You are on page 1of 132

GUÍA PROGRAMA DE ADMINISTRACIÓN DEL

RIESGO DE FRAUDE
PROGRAMA DE ADMINISTRACIÓN DEL RIESGO DE FRAUDE

MÓDULO 1: INTRODUCCIÓN AL FRAUDE

Introducción al fraude

La acción de combatir el fraude antes de que ocurra es vital para cualquier tipo de
organización. De acuerdo con el viejo refrán y principio financiero que dice “es más
económico prevenir que lamentar”, las empresas hoy en día deben considerar que la
implementación y el mejoramiento de un Programa de prevención de fraude es la medida
más inteligente de inversión financiera. Este curso reúne material y recomendaciones que
ayudarán a quienes tienen bajo su responsabilidad la prevención de los delitos económicos
en la Organización, tales como miembros de juntas directivas, auditores, revisores fiscales,
directivos, abogados, consultores, entre otros.

Este curso recopila las mejores prácticas, recomendaciones, principios y políticas que las
diferentes organizaciones de auditoría y lucha contra los delitos económicos han definido
para el correcto manejo del riesgo de fraude. Igualmente, es una guía sobre el Programa
de administración del riesgo de fraude, que incluye ejemplos y recursos que las
organizaciones pueden usar y adaptar de acuerdo con su necesidad. El desarrollo de cada
programa de prevención es diferente en cada organización, ya que la combinación de los
múltiples factores de riesgo (como tamaño del negocio, circunstancias del mercado,
productos, territorio, canal de distribución, y apetito al riesgo) crean innumerables
posiciones de riesgo. Bienvenido al curso de administración del riesgo de fraude.

Objetivos

• Crear y mantener una actitud férrea frente al fenómeno del fraude en la Organización.
• Generar la cultura antifraude tanto a nivel personal como a nivel empresarial.
• Reconocer los factores de riesgo que causan el fraude dentro de las organizaciones.
• Identificar las situaciones en las cuales los recursos y activos de la Organización se
encuentran en riesgo, en peligro de desaparecer, mal administrados o mal usados por
los empleados o personas ajenas.

www.auditool.org 1
Alcance

El presente curso está diseñado para todas aquellas personas que hacen parte del equipo
de la empresa y que de una u otra forma son responsables de la administración y el éxito
de la Organización. De ahí que Miembros de Juntas Directivas, Gerentes, Directivos, Jefes
de Áreas, Administradores, Contadores, Auditores y Revisores fiscales están cordialmente
invitados a realizar este curso. El ejemplo empieza por la cabeza de la Organización y el
Programa de administración del riesgo de fraude no es la excepción. De hecho, el pilar
fundamental del éxito del programa es el compromiso con el cual el personal de la compañía
asume el reto de evitar y rechazar cualquier comportamiento antiético en la Organización.

Los principios del Buen Gobierno Corporativo demandan que la Junta Directiva o quien
haga sus veces dentro de la Organización asegure en general altos estándares éticos sin
importar el carácter de la empresa, sea pública, privada, sin ánimo de lucro; ni el tipo o
tamaño del negocio o la industria en la cual desarrolla su objeto social. La Junta Directiva
cumple un rol crítico e importante dado que históricamente e infortunadamente los fraudes
de talla mundial en cuanto a pérdidas han sido perpetrados por los miembros del equipo
responsable o Junta Directiva de las compañías, con apoyo en muchos casos de algunos
empleados ubicados en posiciones laborales bastante convenientes.

Fraude

Es un fenómeno económico, social y organizacional aplicado a la contabilidad o a las


finanzas que consiste en cualquier acto u omisión de naturaleza dolosa, y por tanto de mala
fe, o de negligencia grave. Esta definición está enfocada a la tergiversación, falsificación o
descripción engañosa de los estados financieros para evitar dar a conocer la realidad
corporativa, que en muchos de los casos está enmarcada en las pérdidas por fraude.
También es fraude el mal uso o abuso de los bienes de una entidad en beneficio de un
sujeto o para provecho individual. Los casos de abuso dependen del tipo de empresa, las
políticas implementadas y la cultura organizacional. Igualmente, fraude es cualquier acto
ilegal caracterizado por el engaño, el ocultamiento o la violación de la confianza, perpetrado
por individuos y organizaciones para obtener dinero, propiedades o servicios, evitar pagos
o pérdida de servicios y asegurar una ventaja personal o del negocio.

El fraude es imposible detectarlo al 100%. A pesar de que se pueden desarrollar


investigaciones sobre fraude, siempre quedará un remanente que no es posible detectar.
Esto se debe a que el defraudador empieza cometiendo fraudes cuyo impacto no genera
pérdidas medibles en la Organización. Poco a poco, los fraudes son cometidos con mayor
regularidad o frecuencia y las pérdidas se incrementan; de ahí que el investigador de fraude
se enfoque en las pérdidas de mayor impacto, y en muchos casos las pequeñas pérdidas
no son detectadas dentro de la investigación.

www.auditool.org 2
El tiempo es el mayor enemigo de las investigaciones de fraude. El tiempo promedio para
detectar un fraude de cuello azul es de 18 meses; sin embargo, un fraude de cuello blanco
o cometido por responsables del gobierno de la empresa, ejecutivos o miembros de la Junta
Directiva, solo puede ser detectado en 24 meses o más tiempo.

No siempre los valores o el dinero son objeto de fraude. El mal uso y el abuso de los bienes
y recursos de la Organización también son fraude.

El riesgo del fraude es directamente proporcional al tamaño de la empresa o entidad; y


también está relacionado en el número de empleados, proveedores, clientes, lugares,
productos, operaciones y transacciones; es decir, a los factores de riesgos.

El monto de la pérdida depende de la posición del perpetrador dentro de la empresa: entre


más alto el cargo, mayor será el fraude.

La mayoría de los perpetradores no tiene antecedentes penales porque no han sido


denunciados. Muchas empresas adolecen de procesos en los cuales el fraude en cualquier
expresión está enmarcado como falta grave, lo cual es usado por los defraudadores para
cometer sus delitos y no ser castigados con severidad. Debido a esto, el reglamento interno
de trabajo debe contener un capítulo especial donde se contemple la comisión de fraude y
sus sanciones. Igualmente, las empresas que no tienen una fuerte estructura de valores,
ética y moral son blanco fácil de los delincuentes porque de antemano saben de dichas
deficiencias o carencias de control. Un criminal sabe a qué empresa presentarse para
trabajar: una donde pueda cometer sus delitos.

Otro aspecto que ayuda a que el criminal cometa el delito es la vergüenza que siente la
víctima, que generalmente es el propietario, gerente o empresario, al saber que su sistema
de control fue violado por un criminal. Cualquiera de estos factores impide que las
denuncias lleguen a las autoridades pertinentes. Asimismo, un débil sistema judicial influye
para que no se denuncie a un defraudador.

También el fraude es todo intento deshonesto por obtener provecho indebido de otra
persona o situación que no siempre se materializa en delito, como es el caso del abuso o
mal uso de los recursos de la compañía. Por ejemplo, el uso del computador y el sistema
de impresión para uso personal.

El fraude no tiene tamaño, no hay fraudes grandes o fraudes pequeños; fraude es fraude.
Las consecuencias del fraude o el impacto económico son las que determinan la gravedad
de la falta o la violación de la ética o moral.

El riesgo de fraude no desaparece, solo se aminora con diferentes controles y estrategias.


Siempre existirá el riesgo residual, el cual se asume, dado que la adopción de medidas de
protección es más costosa que el impacto que pueda generar el riesgo de fraude.

www.auditool.org 3
Veamos la relación costo-beneficio de las medidas de prevención. Se estima que el fraude
empresarial puede costar el 5% de los ingresos brutos en el sector privado y el 10% en el
sector público. A pesar de que no existe una cifra contundente que revele el verdadero
impacto del fraude, las estadísticas arrojan cifras alarmantes.

Los controles internos implementados pueden ser rebasados por la habilidad, creatividad y
capacidad de los perpetradores. Así como se requieren habilidades, creatividad,
experiencia y conocimiento para ejercer un cargo laboral, en la comisión de un fraude
también se requieren estas mismas destrezas. Por esto, aunque el factor humano es de
gran importancia, los controles y la protección de los recursos debe ser el objetivo primario
y fundamental de un gerente, administrador Junta Directiva.

El fraude puede ser cometido en cualquier área de la empresa, no necesariamente requiere


de estructuras elaboradas para su ejecución, y se encuentra en todas las esferas
empresariales: afecta a grandes y medianas empresas, no discrimina; es incluyente. Por lo
tanto, el fraude es un riesgo que amenaza permanentemente cualquier actividad,
corporación, persona o activo. Así mismo, la comisión del fraude siempre ocasiona una
pérdida económica reflejada en la desaparición de un bien o en el uso inadecuado de los
bienes de la institución.

Fraude ocupacional

El fraude ocupacional es cometido por individuos o por un grupo de individuos que atentan
contra las leyes o normas relacionadas con sus cargos o empleos. Cualquier persona puede
cometer fraude ocupacional; de hecho, las estadísticas revelan que no existe un rango
especial o tipo de profesión que tenga mayor tendencia, por lo cual no es raro conocer que
políticos, líderes sindicales, abogados, contadores, vendedores, o empleados de cualquier
nivel cometen fraude en sus puestos de trabajo constantemente. A este tipo de fraude
también se le conoce como fraude de cuello azul.

Igualmente, los delitos de cuello blanco también constituyen fraude ocupacional, pero es
importante diferenciarlo de otro tipo de conducta criminal dada la posición del perpetrador,
el tiempo de planeación y el impacto de las pérdidas.

El fraude ocupacional se clasifica así:

• Fraude ocupacional organizacional: crimen en beneficio de una persona o un grupo


de personas de una organización.
• Fraude ocupacional por autoridades gubernamentales: crimen cometido por
servidores públicos o personas con cargos públicos a través del ejercicio de su
autoridad.

www.auditool.org 4
• Fraude ocupacional profesional: delito cometido por alguien que abusa de su
posición como profesional o experto en un tema específico.
• Fraude individual: delito cometido por individuos en cualquier lugar.

Cabe recordar que muchos individuos cometen fraude en favor de las organizaciones para
las cuales trabajan, aunque en muchos casos no hay retribución económica por el delito
cometido. De este modo, hay fraude en casos como la manipulación de los estados
financieros por parte del contador para esconder las causales de liquidación empresarial y
evitar el cierre de la empresa, o que el auditor externo presente un informe acomodado para
evitar sanciones a la entidad.

Abuso: otra clasificación del fraude

Se entiende como abuso el uso desmedido o sin autorización de los recursos, activos o
bienes de la empresa por parte de los individuos que tienen alguna relación contractual en
la Organización. Si bien es cierto para la mayoría de los perpetradores el abuso no
constituye fraude por que en ningún caso están tomando o reteniendo los valores o recursos
de la empresa, las pérdidas generadas o el incremento de los gastos afectan
ostensiblemente los estados financieros.

Los casos más frecuentes de abuso se evidencian en el incremento sin justificación del
combustible para los vehículos, de los implementos de aseo y cafetería, de insumos como
papelería, herramientas, repuestos, medicinas, elementos de primeros auxilios, material de
empaque, entre otros. Peter Druker argumentó en sus teorías que lo que no se puede medir
no es posible controlarlo; así que el control del gasto va más allá del análisis del estado de
resultados, debido a que el abuso se esconde fácilmente en el consumo ordinario de los
insumos. Se deben crear indicadores de consumo por persona, y campañas de reciclaje,
de uso adecuado de las impresoras y de sensibilización sobre el uso de los insumos de
aseo, y todo lo que tienda al correcto uso de los recursos.

También se considera abuso el tiempo o la jornada laboral en que el empleado no ético


registra inadecuadamente el tiempo de su labor para beneficiarse económicamente o
incluso para esconder conductas fraudulentas.

Factores que influyen en el riesgo de fraude

Son muchas las causas que incrementan el riesgo de fraude, pero las investigaciones
concluyen que son cuatro los factores comunes que se repiten constantemente:

www.auditool.org 5
• Naturaleza del negocio

Los tipos de riesgos que una organización enfrenta están directamente conectados con el
tipo de negocios que desarrolla. El tipo de negocio u operación marca la ruta del Programa
de administración del riesgo, ya que cada entidad tiene un marco de operación y un apetito
al riesgo totalmente diferente. Por ejemplo, los riesgos asociados al fraude en una entidad
médica difieren completamente de la actividad financiera de un banco, de una universidad
o de un almacén de grandes superficies.

• Ambiente en donde opera el negocio

El ambiente en el cual la Organización opera o ejerce su actividad tiene un impacto directo


en sus vulnerabilidades para el fraude. Una empresa con negocios internacionales tiene un
perfil totalmente diferente a una empresa que solo tiene negocios locales. Así mismo, los
negocios online difieren en sus debilidades de los negocios que operan en un local
comercial o industrial.

• Efectividad de los controles internos

Un buen sistema de control interno, con un correcto balance en los controles de prevención
y detección, puede reducir extremadamente las vulnerabilidades de la compañía en cuanto
al fraude. Los controles preventivos son aquellos procesos manuales o automatizados que
evitan anticipadamente que algo inapropiado pase. Los controles de detección pueden ser
también manuales o sistematizados, pero están diseñados para identificar algo malo que
ha ocurrido.

Está claro que ningún sistema de control interno puede eliminar plenamente el riesgo de
fraude, pero un control interno efectivo y bien diseñado puede desalentar el número de los
defraudadores por medio de la reducción de la oportunidad de cometer el delito y el
incremento de la percepción de la detección.

• Ética y valores de la compañía y de su personal

Puede ser raro encontrar o tener una empresa que tenga completamente alineados a sus
empleados y contrapartes con las políticas, los procesos y los procedimientos éticos, dado
que para este tipo de organizaciones está claro que cualquier vacío en los lineamientos
significa el incremento del riesgo de fraude en los procesos.

Mientras muchas organizaciones tienen un Código de Ética, muchos de estos códigos no


son claros, no fueron diseñados acorde al negocio, no han sido actualizados o son confusos
en cuanto a los conceptos de comportamiento aceptable y no aceptable.

www.auditool.org 6
De hecho, en algunas organizaciones la manipulación de los estados financieros y los
registros contables se considera como un comportamiento inaceptable que conlleva a la
terminación del contrato laboral y a la denuncia penal; sin embargo, tomar recursos de la
empresa, como los insumos de papelería o aseo, es considerado menos grave, por lo tanto,
las sanciones son más llevaderas para los defraudadores. Ambos casos son fraude y, como
lo hemos analizado, fraude es fraude y no tiene tamaño; lo que se miden son las
consecuencias y las pérdidas. Por lo tanto, a nivel ético la manipulación de estados
financieros y el abuso deben tener la misma connotación, y es responsabilidad de la
empresa ser consistente frente al comportamiento ético de los empleados para reducir la
habilidad de justificar las acciones del potencial perpetrador. Igualmente, una entidad que
demuestra consistencia, congruencia e integridad puede predecir y gestionar fácilmente
comportamientos inaceptables.

Inversión o gasto

El control del fraude es tomado como un gasto innecesario, dado que no genera ingresos.
Sin embargo, recuperar la pérdida que ocasiona un fraude implica la creación de nuevos
ingresos y el pago de más impuestos para mantener el margen de utilidad neta proyectado.
En otros términos, si bien es cierto la prevención del fraude no arroja a primera vista un
ingreso o utilidad, la protección de los recursos y activos de la empresa evita pérdidas que
en muchas ocasiones son irrecuperables. De ahí que la implementación y el mantenimiento
del Programa de prevención de fraude es la inversión más fructífera que cualquier
organización puede hacer. Cabe resaltar que la prevención del riesgo reduce en un 80% la
probabilidad de la comisión de fraude y debe ser la perfecta combinación entre los recursos
humanos y económicos.

Actitud de tolerancia cero al fraude

Todas las organizaciones son objeto del riesgo de fraude. Incluso el fraude ha exterminado
empresas de gran tamaño, dejando masivas pérdidas para los inversores, significativos
costos legales, encarcelamiento de los miembros más importantes de la Organización y, lo
peor, la erosión y pérdida de la confianza en el mercado. Un acto fraudulento cometido por
una sola persona o un grupo de personas impacta negativamente la reputación, la marca y
la imagen de la empresa. Recordemos que en los demás cursos sobre fraude hemos
insistido que es la Dirección de la Organización la que debe dar el ejemplo, o lo que
denominamos marcar la pauta a seguir, sobre los aspectos fundamentales de la prevención,
detección e investigación del fraude. Por esto, los siguientes puntos deben ser tenidos en
cuenta todos los días en las buenas prácticas de prevención:

• Perseguir y controlar siempre los recursos y activos de la Organización,


• La mejor forma de ganar dinero es controlando el que se tiene,
• Tener visión periférica y pensamiento crítico todo el tiempo,

www.auditool.org 7
• Admitir que se necesita ayuda para prevenir y combatir el fraude,
• Tener la convicción firme y la conciencia necesaria para no dejarse tentar, es decir,
tener actitud férrea,
• DENUNCIAR. Un defraudador no ataca a una sola compañía, ni lo hace una sola vez.

¿Cómo evitar el fraude?

Esta es la pregunta que todos los días los directivos y administradores de una organización
se deben hacer. Cada minuto cuenta y los perpetradores son cada vez más creativos y
habilidosos. Las reacciones a los recientes escándalos económicos producidos por el
fraude han dejado en el público y en los inversionistas un mal sabor y una dura conclusión
en cuanto a los sistemas de prevención. Debido a esto, es necesario y prácticamente
obligatorio conocer los siguientes aspectos fundamentales sobre la prevención del fraude:

• Concientización y sensibilización son imprescindibles. Se debe asegurar que todos


los empleados, sin excepción, hagan parte del Programa de administración del riesgo
de fraude. La actitud férrea frente al rechazo de cualquier actividad fraudulenta debe
ser el lema en todas las áreas de la Organización.
• Conocimiento integral de los delitos económicos. Dado que el fraude es uno de
los tantos comportamientos que generan un crimen, el conocimiento de la normativa
penal en cada región es fundamental.
• Control interno y administración del riesgo se deben ejercer diariamente a través
del Programa de prevención, detección e investigación.
• Conocimiento integral de la contraparte (cliente, empleado, proveedor, accionista,
etc.) porque cada tercero representa un riesgo potencial para la Organización.
• Conocimiento de las modalidades de fraude en todos los aspectos como
operación, tipo de perpetradores, activos preferidos, banderas rojas, entre otros.

Procedimientos para evitar el fraude

La prevención del fraude se puede hacer con simples pasos o procedimientos que indiquen
al perpetrador que la empresa está tomando medidas de protección, pero ante todo
medidas disciplinarias y legales para denunciar a los perpetradores. Son fundamentales
tanto el incremento de la percepción de detección del fraude como la minimización de las
presiones hacia los empleados.

Incremento de la percepción del control del fraude

De acuerdo con los investigadores del comportamiento humano con respecto al fraude, la
percepción del control en los empleados es uno de los más fuertes elementos para reducir
las conductivas delictivas. Esto quiere decir que a mayor percepción del control de fraude,
menor será la probabilidad de que el empleado se enganche en actividades criminales o en
fraude ocupacional.

www.auditool.org 8
Por esto, el Programa de administración de fraude implica en todo su conjunto las medidas
para prevenir y detectar las actividades delincuenciales en la Organización y evitar que
personas no éticas o inescrupulosas entren a la Organización. Por ejemplo, un perpetrador
desde la entrada de la Organización puede percibir el ambiente de control frente al fraude
por medio de los mensajes ubicados en los sitios estratégicos donde cualquier contraparte
los puede leer. También los sistemas de seguridad, acceso y cámaras de vigilancia son
interpretados como fuertes mecanismos de control. Igualmente, al momento de contratar al
nuevo personal, el contrato de trabajo y el reglamento interno de trabajo deben contener
cláusulas específicas sobre las sanciones disciplinarias en los casos de fraude y corrupción.
Sin embargo, un ambiente de control aún en las circunstancias más optimistas y estrictas
no garantiza plenamente la protección de la Organización frente al fraude.

Incremento de la percepción del control del fraude

• Procedimientos de auditorías proactivas,


• Auditorías sorpresa,
• Indicadores financieros y de gestión,
• Educación antifraude para los empleados,
• Obligación de tomar vacaciones,
• Rotación en los puestos de trabajo o cargos laborales,
• Supervisión permanente,
• Reporte de actividades sospechosas o conductas antiéticas,
• Líneas éticas o de denuncias,
• Recompensas y premios.

Minimización de las presiones hacia los empleados

En tanto existan más controles internos que se implementen en la Organización para reducir
la oportunidad o esconder un fraude, mayor será la presión que ejerce la Organización en
los empleados. Por esto, es necesario conocer más sobre la contraparte, en especial los
empleados, dado que ellos permanecen más tiempo dentro de la empresa y tienen mayor
oportunidad de encontrar falencias en los controles internos. Cualquier detalle cuenta,
cualquier cambio conductual es una señal o cualquier expresión puede ser el comienzo de
la comisión de un fraude. Las empresas deben estar atentas y entrenar a los jefes de área
o departamento para entender las señales de alerta y actuar apropiadamente ante la
sospecha de un cambio, así como para asistir a los trabajadores en los momentos difíciles.

La empresa debe tener políticas de puertas abiertas, por medio de las cuales los empleados
y Alta Gerencia puedan comunicarse libremente y sin temor acerca de las medidas
preventivas. Si bien es cierto que el Programa de administración de fraude está construido
con políticas de obligatorio cumplimiento, la entidad debe procurar que exista libertad de
expresión.

www.auditool.org 9
Adicionalmente, la objetividad en el estilo de gerenciamiento o administración de la empresa
es otro factor que promueva la cultura ética, dado que los empleados siempre conocerán
los métodos y mecanismos de evaluación de su labor y el plan de mejoramiento que deben
tomar. De esta manera, congruencia e integridad son aspectos clave para crear un clima
laboral amigable basado en los controles.

Muchas compañías han descubierto que los beneficios de los planes de mejoramiento y
soporte para los empleados alivian las presiones que genera un ambiente de control
antifraude. Por ejemplo, programas de orientación financiera, asistencia médica y social a
las adicciones, fomento de la autoestima y superación personal, entre otros, permiten que
los empleados mejoren su calidad de vida y de alguna manera generen comportamientos
positivos y éticos en su entorno.

Resistencia al Programa de Prevención de Fraude

La Administración o Dirección de la compañía en muchas ocasiones muestra resistencia


frente a la implementación del Programa de administración del riesgo de fraude; ésta es la
gran piedra en el zapato que se debe eliminar lo más pronto posible; para lograrlo se deben
tener a la mano todos los contraargumentos para desmitificar el tema del fraude. Los
argumentos más comunes de quienes muestran resistencia son los siguientes:

Los gerentes consideran que el fraude solo atañe a la auditoría. Ellos típicamente no
entienden que el fraude está escondido y las pérdidas en muchos casos no son detectadas
a tiempo. Así mismo, ellos rechazan la idea de que sus propios trabajadores puedan ser
capaces de robar o abusar de la empresa, aun cuando los estudios sobre fraude
demuestran que una tercera parte de los empleados de cualquier empresa son propensos
a cometer fraude.

Debido a que por naturaleza el fraude permanece escondido, los gerentes y


administradores son reacios a creer en la presencia del fraude. Sin embargo, si un
empleado es atrapado cometiendo un fraude, los gerentes usualmente pretenden creer que
es un solo caso o es aislado, y que no merece mayor atención o consideración, es decir,
manifiestan indiferencia. Los gerentes y administradores deben entender que cuando un
fraude es detectado es demasiado tarde y solo se podrán reconocer las pérdidas.

Los administradores y gerentes consideran que sacar el tema hacia el público podría
promover la comisión de más fraudes en la empresa por parte de los empleados, dado que
en muchas oportunidades la empresa no cuenta con un sólido ambiente de control y ético.
Por esto, consideran que cualquier amenaza debe ser tratada en privado y con pocos
recursos.

www.auditool.org 10
Contraargumentos para la resistencia al Programa de prevención de fraude

Muchos auditores se quejan de la carencia de apoyo y soporte por parte de la


Administración o Alta Gerencia frente a sus esfuerzos en la prevención y detección del
fraude. Los auditores y administradores de riesgos deben entender que el pensamiento
errado acerca de la gestión de los riesgos por parte de la Gerencia se debe a aspectos que
van desde la incredulidad sobre la comisión del fraude en sus empresas hasta el impacto
negativo que puede tener una investigación de fraude.

A pesar de que ésta es una dificultad, los profesionales en el tema deben estar preparados
para recibir cantidades de excusas y capacitados para demostrar con argumentos la
contracara del fraude y los demás delitos económicos. Los siguientes son algunos consejos
al respecto: no discuta con su cliente ni con la Gerencia de la compañía acerca de estos
temas; prepare documentación sobre el impacto del fraude en la industria (pérdidas, tiempo
de recuperación, casos reales, y todo lo que le sirva para demostrar profesionalmente su
posición); nunca acuse a alguien de quien usted sospecha, o está seguro, de cometer un
fraude si la Gerencia sufre de ceguera intencional o ignorancia irracional; su posición debe
ser totalmente profesional hacia la protección de los activos y recursos de la empresa
basados en los procedimientos; cualquier emoción que aflore en una reunión sobre fraude
puede socavar la discusión para convencer a la Alta Gerencia sobre la implementación del
Programa de administración de riesgos.

Estos son dos contraargumentos para lidiar con la ignorancia irracional y la incredulidad
frente al fraude.

• Impacto del fraude y utilidades,


• Impacto de la publicidad y reputación.

Fraude y utilidades

El análisis económico sobre las pérdidas de fraude va más allá del valor que eventualmente
se conoce, que ya el fraude como tal es una pérdida que está asociada al estado de
resultados. Por ejemplo, en el caso de pérdida o robo de los inventarios, el descuadre entre
las cantidades físicas y el libro de inventarios debe ser registrado como pérdida o contra la
provisión de inventarios. En el caso de la pérdida de efectivo, dicho valor debe ser llevado
directamente a un gasto denominado como pérdida. Si analizamos el abuso como fraude,
un ejemplo perfecto sería el uso personal del material de oficina como papel e impresora,
lo que de alguna manera incrementa el gasto de papelería. Por lo tanto, el fraude, en
cualquiera de sus manifestaciones, siempre impactará negativamente las utilidades de la
compañía.

www.auditool.org 11
El siguiente ejemplo económico nos permite reflexionar sobre el impacto de las pérdidas
ocasionadas por un fraude. Sabemos por un principio financiero y contable que:

% Utilidad Neta = Utilidad del Ejercicio / Ventas Netas

Suponemos para este ejemplo que % Utilidad Neta Estimada = 2%. Después de hacer el
proceso de auditoría se verificó que el valor de la pérdida por fraude fue de
$100.000.000.oo

Ahora, debemos preguntarnos: ¿en cuánto se deben incrementar los ingresos del periodo
para generar el mismo nivel de utilidades netas que igualen el monto de la pérdida por
fraude?

Hacemos el cálculo matemático por el cual tomamos el valor de la pérdida y lo dividimos


por el porcentaje de la utilidad esperada. El resultado es el valor de los ingresos de más
que se deben generar para cubrir la pérdida por fraude. En nuestro ejemplo, compensar
cien millones de pesos de pérdida por un fraude implica incrementar los ingresos de la
compañía en cinco mil millones más:

$100.000.000.oo / 2%= $5.000.000.000.oo


$5.000.000.000.oo x 2%= $100.000.000.oo

Sin embargo, un fraude siempre tiene costos ocultos que en muchas ocasiones no se logra
a calcular. Por ejemplo, los impuestos que genera un fraude son un costo oculto, dado que
una pérdida por fraude no es deducible como cualquier gasto operativo de la empresa en
la declaración de impuestos; por lo tanto, se deben pagar más impuestos. Así las cosas, en
nuestro ejemplo, suponiendo una tasa de 30% de impuestos, la pérdida sería de 130
millones.

Adicionalmente, si se contrató a un experto para detectar e investigar el caso, este gasto


también impacta el estado de resultados y disminuye la utilidad.

Con este ejemplo observamos claramente por qué el Programa de prevención de fraude es
una inversión que ayuda a evitar como mínimo el 80% de la pérdida si se implementa
correctamente.

www.auditool.org 12
Impacto de la publicidad y reputación

Muchos ejecutivos de corporaciones son susceptibles a los efectos adversos de la


publicidad por casos que no atendieron adecuadamente. Ciertamente, uno de los
contraargumentos para convencer a los miembros de la Junta Directiva y la Alta Gerencia
es el riesgo reputacional y la publicidad negativa por su gestión. Incluso pequeños casos
que no provocan grandes pérdidas conducen a impactos devastadores sobre la reputación
de los ejecutivos de estuvieron al frente de esos casos y empresas. Por lo tanto, la adopción
de un Programa de administración del riesgo de fraude proactivo no solo protege la empresa
sino que también reduce la probabilidad de efectos negativos en la reputación de quienes
tienen la titánica tarea de administrar la Organización.

Programa de administración del riesgo de fraude

El Programa de administración del riesgo de fraude requiere de un conjunto de normas y


procedimientos para minimizar la probabilidad de ocurrencia de fraude o conductas
delictivas y maximizar la posibilidad de detección de cualquier actividad sospechosa que
puede generar un fraude. La posibilidad de ser atrapado en la mayoría de las situaciones
desestimula y disuade de cometer actos ilegales en la Organización; así, la existencia del
plan mejora el ambiente de control en cuanto a la administración del fraude.

Igualmente, el Programa de gestión del riesgo de fraude permite a la empresa blindarse


frente a los actos delincuenciales que cualquiera de sus contrapartes pueda cometer a
nombre de la Organización, ya que la empresa puede ser responsable y verse involucrada
en investigaciones legales y procesos jurídicos cuando haya sido negligente frente a la
comisión de cualquier delito económico o delito precedente. Por lo tanto, la carencia de un
programa de prevención, detección e investigación puede ser tomada por los estrados
judiciales y las entidades reguladoras como negligencia, por lo que la empresa correría el
riesgo de pagar cuantiosas multas y desmejorar su reputación.

Adicionalmente, prevenir es más económico que reparar. La implementación de un


programa de prevención debería ser una decisión proactiva por parte de la Junta Directiva
en pro de proteger a la Organización de los riesgos que analizaremos en ese curso; sin
embargo, muchas empresas han implementado tales programas con el único fin de
responder a las normativas expedidas por sus países de origen o reguladores, dado su
tamaño, ingresos, patrimonio, tipo de mercado, producto o cliente. La prevención del fraude
y cualquier conducta criminal en las organizaciones debería ser parte de la planeación
estratégica, de implementación voluntaria y aceptada socialmente como parte del éxito
empresarial.

www.auditool.org 13
Pasos para el desarrollo del Programa de administración del riesgo de fraude

Paso 1. Definir los objetivos del Programa de administración del riesgo de fraude

Como en cualquier iniciativa corporativa, se requiere la definición clara y explícita de los


objetivos que la Organización quiere lograr a través de su programa antifraude; de lo
contrario, el programa no tendrá un norte seguro y por ende su éxito será limitado. Además,
los objetivos del Programa de administración del riesgo de fraude deben ser establecidos
conforme a las necesidades y metas específicas de la Organización. Como se ha explicado
durante este curso, cada entidad es única y responde a ciertas cualidades que marcan la
diferencia en su jurisdicción, mercado, industria y apetito al riesgo.

Para determinar los objetivos del Programa de administración del riesgo de fraude, la Alta
Gerencia debe tener presente los siguientes factores:

• Inversión en los controles antifraude,


• Prevención de los fraudes materiales tanto por su naturaleza como su valor,
• Apetito al riesgo de la Administración y/o Gerencia.

Por ejemplo, el enfoque de tolerancia cero al fraude indica que la Alta Gerencia o
Administración tomarían cualquier acción en contra del fraude sin importar su naturaleza y
tamaño, lo cual prioriza la prevención sobre el costo involucrado, como también un bajo
apetito al riesgo de fraude.

Paso 2. Precisar el apetito al riesgo de fraude

Ningún programa de administración del riesgo previene el 100% del fraude, lo que significa
que algunos riesgos quedan en el camino o son residuales. En consecuencia, uno de los
componentes más importantes a definir en el Programa de administración del riesgo de
fraude es el apetito al riesgo. Sin un entendimiento y articulación adecuados del nivel de
riesgo que el Gobierno Corporativo de la empresa está dispuesto a aceptar, cualquier
planteamiento de objetivos, e incluso de detección e investigación de los comportamientos
criminales, carecería de peso y sentido.

El apetito al riesgo puede ser expresado y medido cualitativamente como bajo, medio o alto;
cuantitativamente, a través del diseño de una escala numérica. Por ejemplo, la Dirección
de una entidad decide que puede reducir el riesgo residual de fraude y llevarlo al nivel bajo,
lo cual implica un deseo de fuertes controles y el monitoreo de dichos controles sobre
determinadas áreas del negocio donde el fraude es recurrente. Otra empresa puede decidir
que un riesgo calificado cuantitativamente en 3.0 es demasiado alto y, por lo tanto, es
inaceptable cuando el nivel de mayor riesgo es calificado en 5.0.

www.auditool.org 14
En todo caso, sin importar qué estrategia o metodología utilice la empresa para medir el
apetito al riesgo, los resultados deben estar enfocados en el desarrollo el Programa de
administración del riesgo de fraude.

Paso 3. Examinar los anteriores incidentes de fraude

Otro punto de partida esencial para determinar la estrategia de administración del riesgo de
fraude es analizar los casos previos de fraude y explorar cómo el Programa de
administración de fraude ideal hubiera prevenido, detectado y respondido a estos
incidentes. Al examinar estos casos, la Administración debe considerar los factores que
permitieron que tales fraudes ocurrieran. Las siguientes preguntas ayudan a entender qué
pasó con los casos anteriores:

• ¿Dónde se presentaron los riesgos de fraude?


• ¿Dónde fueron insuficientes los controles internos en el diseño o la operación?
• ¿Dónde fue anulada la aplicación de los controles internos?
• ¿Dónde hubo señales de alerta acerca de la pérdida de los controles?

Este tipo de análisis es demasiado útil para guiar la definición de los objetivos del Programa
de administración del riesgo de fraude, como también para determinar las áreas de la
Organización que requieren de mayor atención dado el riesgo.

Paso 4. Evaluar los riesgos de fraude

Antes de que se pueda desarrollar un programa de administración del fraude, la


Administración o Gerencia tiene que identificar y entender profundamente los riesgos que
la corporación afronta. Cualquier programa desarrollado con componentes, conocimientos
o herramientas insuficientes o que no apunten a la correcta administración del riesgo de
fraude será un fracaso, y una pérdida de tiempo y dinero.

Aunque el proceso de la evaluación del riesgo de fraude es incómodo y requiere de muchas


horas de trabajo, se debe aclarar que dicho proceso es fundamental para la efectividad del
programa de administración; incluso, existen muchos caminos para abordar el proceso,
pero en general la meta es detallar el riesgo de fraude de la Organización, determinar la
probabilidad de ocurrencia y calcular el potencial daño o impacto. Solo cuando los riesgos
hayan sido definidos y entendidos completamente, la Administración puede decidir acerca
de cómo puede reducir los riesgos dentro de los principios de consideración de
productividad y costo-beneficio.

La evaluación de los riesgos de fraude será ampliada más adelante.

www.auditool.org 15
Paso 5. Diseñar los componentes del programa

Los componentes específicos del Programa de administración del riesgo de fraude deben
ser diseñados de acuerdo con las características de la Organización, tales como cultura
organizacional, ambiente operacional, jurisdicción, productos y servicios, canales de
distribución y contrapartes, como también el apetito al riesgo. Como lo hemos explicado en
el presente curso, cada entidad tiene su propia personalidad y es el reflejo de las decisiones
adoptadas por los miembros de la Junta Directiva, la Alta Gerencia y la Administración; por
lo tanto, cada diseño es de carácter individual.

El marco para personalizar el Programa de administración de riesgos de fraude


generalmente comprende estas partes:

• Iniciativas para incrementar la cultura antifraude y marcar la pauta en la Organización,


• Controles de prevención de fraude,
• Controles de detección de fraude,
• Políticas, procesos y procedimientos para investigar y responder a los casos de
fraude.

Se debe tener cuidado en la implementación de los componentes del programa, ya que aun
con el mejor de los diseños el programa puede ser ineficiente si la implementación tiene
errores. Cualquier control interno responderá adecuadamente frente a la prevención y
detección del fraude si las personas responsables por su aplicación y monitoreo están
cumpliendo efectivamente con sus deberes.

Paso 6. Comunicar el propósito y las expectativas

El propósito y las expectativas del Programa de administración del riesgo de fraude deben
ser comunicados oportunamente a todos los empleados en todos los niveles de la
Organización. La Organización debe diseñar la estrategia y la campaña de comunicación
sobre el programa para asegurar la alineación del personal con los objetivos de la
Organización. Tal estrategia debe contener elementos formales e informales que permitan
entregar el mensaje de diversas formas.

Adicionalmente, los empleados deben ser informados acerca de sus responsabilidades de


reportar cualquier operación sospechosa que involucre la comisión de un fraude o una
conducta corrupta. Asimismo, los empleados deben ser empoderados con los medios
suficientes que garanticen la confidencialidad en los reportes sin tener que preocuparse por
medidas de retaliación o venganza.

www.auditool.org 16
Paso 7. Garantizar el cumplimiento

El Programa de administración del riesgo de fraude debe incluir los mecanismos diseñados
específicamente para monitorear, identificar y sancionar los incumplimientos de las normas.
Tales rupturas incluyen fallas en el diseño u operación de los controles antifraude como
también las ocurrencias de fraude. Una persona o un equipo especifico debe ser designado
como responsable del monitoreo del cumplimento con respecto al Programa y el manejo de
las instancias sospechosas de no conformidad o incumplimiento. Las acciones disciplinarias
formales que sancionan el incumplimiento intencional deben ser publicadas y publicitadas
en toda la Organización, y los empleados deben firmar el compromiso escrito sobre el
cumplimiento y adhesión al Programa de administración del riesgo de fraude.

Es importante tener presente que a pesar de que el programa esté bien diseñado y funcione,
no todos los intentos de fraude se pueden frustrar en la Organización. Los perpetradores
cada vez son más diestros y creativos al momento de cometer un fraude, de modo que la
Organización debe estar preparada para investigar las sospechas de conductas
fraudulentas.

Paso 8. Medir, evaluar y reportar el rendimiento y efectividad del programa

Se debe evaluar el rendimiento y la efectividad del programa periódicamente, y tales


resultados deben ser reportados a la Alta Gerencia y la Junta Directiva de la empresa.
También es conveniente realizar una evaluación comparativa o benchmarking de las
expectativas internas y la efectividad del programa, lo cual es extremadamente útil para
rediseñar o redireccionar el programa. Recuerde que lo que no se mide, no está sujeto a
control.

MÓDULO 2: PRINCIPIOS FUNDAMENTALES EN LA ADMINISTRACIÓN DEL FRAUDE


- P1. GOBIERNO CORPORATIVO

Principios fundamentales en la administración del fraude

Sabemos que el fraude es cualquier acto u omisión intencional con el propósito de engañar
a terceras personas o víctimas, quienes sufren las pérdidas mientras el perpetrador logra
las ganancias. Algunos aspectos, como la cultura, el origen étnico, la religión, el territorio,
entre otros factores, son de gran importancia al momento de analizar la motivación para la
comisión de un fraude. Los estudios sobre fraude indican que la presión económica ocupa
el primer lugar como motivo para realizar cualquier cosa con tal de solucionar la dificultad
privadamente. Por esto, los defraudadores que están dentro de esta mayoría no ven sus
actos como la comisión de un fraude, sino que califican la acción como la forma de
sobrellevar su situación o sobrevivir a las presiones sociales y económicas.

www.auditool.org 17
Así las cosas, las organizaciones solo pueden proteger sus activos y recursos a través de
la implementación de un sistema de prevención, detección e investigación de fraude
apropiado, o lo que comúnmente llamamos Programa de administración de riesgo de
fraude.

Dicho plan o programa debe contener los siguientes principios:

 P1. Gobierno Corporativo,


 P2. Evaluación periódica del programa,
 P3. Técnicas de prevención de fraude,
 P4. Técnicas de detección de fraude.
 P5. Investigación y acciones correctivas.

P1. Gobierno Corporativo

El Programa de administración del riesgo de fraude debe reflejar las expectativas de la


Junta Directiva y el Gobierno Corporativo con respecto a la tolerancia cero al fraude en la
Organización, y la actitud férrea sobre la no aceptación de cualquier delito económico a
través de políticas escritas que deben ser cumplidas por todas las personas que hacen
parte de la compañía o tienen relación con ella.

Las accionistas o socios de las corporaciones tienen claras sus expectativas sobre el
comportamiento ético organizacional. Hoy en día somos testigos de cómo los delitos
económicos han crecido, y vemos también cómo los reguladores a nivel global incrementan
las penalidades y multas tanto para los individuos como para las organizaciones que
participaron o permitieron la comisión de delitos que son categorizados como fraude. Un
Gobierno Corporativo efectivo y bien instaurado es la base para la firme administración del
riesgo de fraude en cualquier tipo de entidad; mientras que la falta de políticas claras,
ambigüedades en cuanto a la aceptación del riesgo y vacíos en el conocimiento legal
socavan cualquier programa de administración del riesgo. La Junta Directiva y la
Administración deben marcar la pauta para establecer el estándar de la tolerancia del fraude

Ética y Junta Directiva

La Junta Directiva debe asegurar que sus propias prácticas de Buen Gobierno son la pauta
con la cual administran la Organización por medio de políticas, procesos y procedimientos
claros que fomentan el comportamiento ético a cualquier nivel e incluye a empleados,
clientes, proveedores, medios de comunicación, autoridades, reguladores y demás terceros
que de una u otra forma se relacionan con la empresa. La cultura organizacional es clave
en el desarrollo de los negocios y la Junta Directiva debe garantizar que la ética prevalezca
en cualquier tipo de negociación con terceros, tales como clientes, proveedores y
prestadores de servicios; así como también en la contratación, evaluación, remuneración
y/o promoción de los empleados.

www.auditool.org 18
Una Junta Directiva efectiva siempre está comprometida con la ética en los negocios y lo
refleja claramente en el desarrollo de las políticas, procesos, procedimientos, manuales,
evaluaciones y actividades de la Organización. Algunas organizaciones han desarrollado
una cultura corporativa que abarca fuertes prácticas de gobierno que incluyen los siguientes
aspectos:

• Conocimiento de la agenda de la Junta Directiva,


• Fácil acceso a los diferentes niveles de administración de la empresa,
• Control efectivo de la línea ética,
• Nombramiento de miembros de Junta Directiva de forma independiente,
• Evaluación de desempeño, compensación y plan de sucesión para el equipo de Alta
Dirección o Alta Gerencia,
• Evaluación de la participación y aporte de los miembros de Junta Directiva,
• Código de conducta para la empresa,
• Código de conducta especial para el equipo de Alta Dirección o Alta Gerencia,
• Fuerte enfoque de supervisión para mitigar el riesgo de los delitos económicos.

Un programa efectivo de negocios éticos, o simplemente de Ética, es la base de la


prevención, detección y disuasión de cualquier actor fraudulento, debido a que un constante
tratamiento ético por parte de la empresa a todas las contrapartes (empleados, clientes,
vendedores, proveedores y accionistas) ejerce influencia positiva en el comportamiento de
tales personas. Así mismo, el programa de ética crea un ambiente invisible de control donde
cada persona implícitamente siente la necesidad de hacer siempre lo correcto.

Las leyes de la mayoría de los países prohíben los delitos económicos en todas sus
modalidades, como corrupción, fraude, lavado de dinero, entre otros. De hecho,
corporaciones internacionales que tienen impacto global han creado recomendaciones y
estándares que deben ser adoptados en los países por medio de regulación, y en muchos
casos esto implica el cambio de los códigos penales, civiles y comerciales. Sumado a lo
anterior, los gobiernos han incrementado tanto los castigos penales y pecuniarios para los
individuos involucrados en los delitos económicos como las sanciones para las empresas
en que se presenta el crimen.

Debido a que algunos grandes fraudes perpetrados en empresas que cotizan en bolsa de
valores o el mercado de valores causan que caiga dramáticamente el valor de las acciones,
se han generado escándalos de dimensiones poco medibles, y se ha ocasionado un daño
reputacional e inmenso perjuicio a los accionistas. Por lo tanto, para evitar este drama, debe
quedar claro que la Junta Directiva y la Alta Dirección deben responder a las expectativas
del conjunto de accionistas, y de la sociedad en general, que de alguna forma depositan en
la empresa toda su confianza; de lo contrario, los miembros de la Junta Directiva y Alta
Gerencia serán responsables de los delitos cometidos en la Organización.

www.auditool.org 19
Junta Directiva y Fraud Risk Management

Para establecer la pauta correcta con respecto a los crímenes económicos, la Junta
Directiva debe estar conformada correctamente y gozar de un excelente gobierno y
participación, lo cual implica que sus miembros sean reconocidos tanto por su
independencia y criterio profesional como también por su formación ética. Sobre sus
hombros estará depositada toda la confianza y a la vez la responsabilidad de ejercer el
control de la Organización y controlar el acceso a información sensible que usada
erróneamente puede destruir la entidad. Por tanto, cada miembro de la Junta Directiva debe
ejercer como mínimo las siguientes acciones relacionadas con el Programa de
administración del riesgo de fraude:

• Entender sobre los temas fundamentales de riesgo de fraude,


• Mantener una supervisión constante de la evaluación del riesgo de fraude
asegurándose de que dicho riesgo ha sido considerado dentro de la evaluación global
de riesgos y los planes estratégicos de mitigación de la Organización,
• Monitorear los reportes de los riesgos de fraude, las políticas y las actividades de
control, la cuales incluyen la obtención de garantías sobre la efectividad de los
controles,
• Establecer el mecanismo para asegurar que ellos están recibiendo la información
oportuna y exacta de parte de los administradores, auditores, empleados o cualquier
persona relacionad con la compañía sobre un potencial fraude o la ocurrencia del
mismo,
• Supervisar los controles internos establecidos por la empresa para contrarrestar el
fraude,
• Tener la habilidad de conseguir, retener y pagar los expertos que sean necesarios
para la elaboración, implementación y mantenimiento del Programa de administración
de riesgo de fraude,
• Proveer la evidencia correcta a los auditores externos sobre actividades ilegales
asociadas a fraude cometidos dentro de la Organización.

Temas del programa de administración de riesgo de fraude

Así mismo, es responsabilidad de la Junta Directiva realizar el monitoreo efectivo, regular o


constante del Programa de administración de riesgo de fraude a través de un ejecutivo de
la Organización que reúna las condiciones intelectuales y profesionales idóneas para
coordinar el programa y reportar a la Junta Directiva los potenciales riesgos encontrados.
La creación del Programa de administración de riesgo de fraude debe incluir políticas,
procesos, procedimientos, actividades, y sistemas de comunicación y capacitación que
ayuden a evaluar y comunicar dicho programa.

www.auditool.org 20
Aunque cada organización necesita considerar su tamaño y complejidad para determinar
qué tipo de documentos son los más apropiados para el Programa de administración de
riesgo de fraude, los siguientes son los temas que deben ser incluidos sin importar el tipo
de organización de que se trate:

• Roles y responsabilidades,
• Compromisos,
• Conocimiento del fraude,
• Divulgación de conflictos de interés,
• Evaluación de los riesgos de fraude,
• Procedimientos de informe y protección a delatores,
• Procesos de investigación,
• Acciones correctivas,
• Seguridad de la información,
• Monitoreo continuo.

Comité de auditoría

El Comité de Auditoría debe estar compuesto por miembros independientes de la Junta


Directiva, entre quienes debe existir un experto en finanzas con conocimientos contables
nacionales, y si se da el caso, internacionales. El Comité debe reunirse periódicamente con
la suficiente preparación para afrontar los diversos problemas y responder adecuadamente
a los riesgos de fraude que se presenten, especialmente para manejar o administrar
aquellos casos en que los fraudes anulen los controles internos establecidos previamente.

Es un procedimiento clave que el Comité de Auditoría reciba regularmente reportes sobre


el estatus de los casos que fueron reportados a las autoridades o se encuentran en los
estrados judiciales. El Comité de Auditoría se crea para que enfoque proactivamente la
administración del riesgo de fraude y mantenga un rol activo en la supervisión de la
evaluación del riesgo de fraude de la Organización, y de las dificultades encontradas por
los auditores internos o cualquier otro personal de la empresa que esté relacionado con el
monitoreo del fraude. Igualmente, tiene la responsabilidad de evaluar y discutir con las
personas responsables del Programa de administración de fraude los hallazgos sobre un
fraude potencial o materializado.

El Comité de Auditoría debe ser consciente de que los auditores externos de la


Organización tienen la responsabilidad de planear y realizar la auditoría de los estados
financieros de la empresa para obtener seguridad razonable acerca de si los estados
financieros presentados están libres de errores materiales, y en caso de que existan, si
estos fueron causados por error o fraude. Recordemos que el alcance y las limitaciones de
una auditoría externa se rigen por los estándares aplicables a cada territorio.

www.auditool.org 21
Los miembros del Comité de Auditoría deben ser abiertos y honestos con los auditores
externos, porque ellos necesitan contar con el compromiso y la colaboración del Comité, lo
cual incluye un diálogo cordial y abierto con todos los miembros, especialmente con
respecto al conocimiento de cualquier fraude o motivo de sospecha que conduzca a la
ocurrencia de un fraude en la Organización, como también respecto a la supervisión del
sistema de administración del riesgo de fraude, los controles y las medidas de mitigación.

Alta gerencia o administración

La Alta Gerencia o Administración de la entidad tiene responsabilidades generales en el


diseño y la implementación del Programa de administración del riesgo de fraude, que
abarcan las siguientes tareas:

• Marcar la pauta a seguir, o tener tolerancia cero al fraude y actitud férrea frente a
los delitos económicos. Como hemos mencionado en el transcurso del curso, la
cultura organizacional juega un papel preponderante en la prevención, detección y
disuasión del fraude. Los gerentes y administradores necesitan crear y adherirse a
dicha cultura organizacional a través de palabras y acciones con las cuales muestren
claramente que el fraude no se permite en la empresa, que cualquier comportamiento
sospechoso será investigado siempre con rapidez y decisión, y que los delatores no
sufrirán represalias.
• Implementar controles internos adecuados y alineados con la evaluación de riesgos
de la Organización, los cuales deben incluir las políticas y procedimientos definidos y
escritos para evaluar su efectividad. Para llevar a cabo una evaluación razonable es
necesario compilar la información desde varias áreas de la Organización como parte
del programa de administración del riesgo de fraude.
• Reportar a la Junta Directiva las acciones que han sido tomadas para administrar el
riesgo de fraude, así como su efectividad, las acciones correctivas y los riesgos
residuales.

Personal de la empresa

Todos los controles implementados en la Organización son responsabilidad de todos los


que trabaja en ella, sin excepción. Todos los niveles de la compañía deben tener la misma
importancia en cuanto a la administración del riesgo de fraude y no se debe escatimar
esfuerzos en comunicación, educación y entrenamiento para el personal con respecto a
este tema. Los empleados deben estar contagiados naturalmente sobre la actitud férrea
ante el fraude, no dejarse tentar a pesar de cualquier circunstancia y entender que la ética
es esencial a nivel personal, laboral y profesional. Un ambiente ético en la Organización es
fundamental para el Programa de administración del riesgo de fraude.

www.auditool.org 22
Todos los empleados de la Organización deben cumplir estas acciones:

• Conocer al menos lo mínimo sobre fraude y ser conscientes de las banderas rojas,
• Entender sus roles dentro del marco de los controles internos de la Organización,
• Conocer las funciones, políticas, procesos y procedimientos de su cargo,
• Conocer el reglamento laboral, el código de conducta y las demás políticas laborales
creadas en la empresa para evitar cualquier delito económico,
• Participar en la creación de un ambiente de control,
• Aceptar las actividades de implementación, control y monitoreo,
• Reportar actividades sospechosas o incidentes que impliquen un fraude,
• Cooperar en las investigaciones.

Auditoría interna

El Instituto de Auditores Internos (IIA) definió esta labor así: “auditoría interna es una
actividad de consultoría independiente y objetiva que añade valor y mejora las
operaciones de las organizaciones. Esto ayuda a que la Organización logre sus
objetivos a través de un enfoque sistemático y disciplinado para evaluar y mejorar la
efectividad de la administración del riesgo, los controles y el Gobierno Corporativo”.
Con relación al fraude, esto significa que la auditoría interna debe proveer garantías a la
Junta Directiva y Alta Gerencia sobre si los controles que han sido implementados son
suficientes para identificar las situaciones de riesgos de fraude, asegurar que dichos
controles están funcionando efectivamente, y que son apropiados y corresponden al apetito
del riesgo de la empresa. La auditoría interna tiene que revisar adecuada y
exhaustivamente aquellos eventos en los cuales los controles fueron anulados o
quebrantados.

Los auditores internos deben invertir tiempo y atención adecuados para evaluar el diseño y
operación de los controles internos relacionados con la administración del riesgo de fraude.
Así mismo, ellos deben ejercer escepticismo profesional cuando están revisando
actividades y estar alerta ante los signos de fraude que aparecen. Algunos fraudes
potenciales son descubiertos durante las fases preliminares de las auditorías, y deben ser
tratados de acuerdo con el plan de detección, profesionalismo y los estándares legales de
cada región. La función de auditoría interna también debe tomar un rol activo en la cultura
ética de la compañía.

La importancia que una organización le dé a su auditoría interna es un indicador del


compromiso de la efectividad del control interno. Entre las funciones de la auditoría interna
se deben incluir los roles y responsabilidades relacionadas con el fraude, investigaciones
iniciales y completas del sospechoso del fraude, análisis de las raíces y causas del fraude,
recomendaciones para mejorar los controles, monitorear los reportes de los delatores y las
líneas éticas, y proveer educación y entrenamiento sobre ética.

www.auditool.org 23
Los miembros de la auditoría interna tienen la responsabilidad de obtener habilidades,
competencias y entrenamiento suficientes acerca de esquemas de fraude, banderas rojas,
técnicas de investigación, leyes, entre otros. Ellos deben recibir una capacitación y
actualización permanente que se adapte a las características de la empresa, como tamaño,
mercado, complejidad de las operaciones y lugar de los negocios. Además, la auditoría
interna debe ser independiente, tener un acceso adecuado al Comité de Auditoría y
adherirse a los estándares profesionales.

Componentes del programa de administración del riesgo de fraude

La mayoría de las organizaciones tienen formuladas por escrito las políticas, los procesos
y los procedimientos para administrar el riesgo, tales como reglamento interno de trabajo,
código de conducta, códigos de conducta especiales para la Junta Directiva y Alta Gerencia,
procedimientos para gastos de viajes y procesos estándar de investigación. Algunas
empresas también tienen actividades que han sido implementadas para evaluar el riesgo,
asegurar el cumplimiento, identificar e investigar violaciones, medir y reportar el desempeño
de la Organización a terceras partes, y comunicar expectativas. Sin embargo, pocas
compañías han desarrollado un resumen responsable y concienzudo de todos los
documentos y actividades para ayudar a comunicar y evaluar sus procesos, y estos se
deben agregar al Programa de administración de riesgo de fraude aun cuando la
Organización no cuente con algo formal. Para determinar el tipo de documento a anexar al
programa se sugieren las siguientes claves:

• Un documento único y completo que establezca todos los aspectos de la


administración del riesgo de fraude, como políticas, controles, etc.
• Un esquema de la estrategia corto o resumido que enfatice los atributos del control
del fraude, pero que deje el diseño de políticas y procesos específicos para quienes
son responsables de las funciones del negocio dentro de la compañía.
• Un esquema desarrollado por los jefes de áreas, divisiones, o negocios que
compendie políticas, procedimientos, procesos, planes, programas, reportes y cargos
responsables, según su relevancia dentro del marco del control interno.

Elementos del programa de administración de riesgo de fraude

Aunque cada organización necesita considerar su tamaño y complejidad para determinar


qué tipos de documentos formales son los más apropiados, los siguientes son los
elementos que deben ser incluidos en el Programa de administración de riesgo de fraude:

• Compromiso,
• Conocimiento del fraude,
• Procesos de afirmación,
• Divulgación de conflictos de interés,

www.auditool.org 24
• Evaluación de los riesgos de fraude,
• Procedimientos de información y protección de los denunciantes,
• Procesos de investigación,
• Acciones correctivas,
• Procesos de evaluación y mejoramiento,
• Monitoreo continuo.

Compromiso

La Junta Directiva y la Alta Gerencia deben comunicar por escrito su compromiso con
respecto a la administración del riesgo de fraude. Uno de los métodos más utilizados para
definir los valores y principios de la Organización es la creación del código de conducta, un
código de ética tanto general como específico para la Alta Gerencia. Otro método es la
utilización de documentos cortos o cartas por medio de los cuales todos los empleados,
vendedores y clientes se comprometan a aceptar y adoptar el ambiente ético y de control;
estos pueden ser revisados y reeditados en cualquier momento. Cada documento de
compromiso debe ser firmado o ratificado por el presidente de la Junta Directiva y debe ser
entregado incluso a los nuevos empleados en el proceso de vinculación a la Organización.
El reglamento interno de trabajo es otro mecanismo de compromiso para crear un ambiente
ético y de control, que incluso en muchos casos se convierte en el mejor método de
disuasión.

Sin importar qué métodos se usen, se debe expresar explícitamente la importancia de la


mitigación del riesgo de fraude, el reconocimiento de las vulnerabilidades de la
Organización frente al fraude y establecer la responsabilidad de cada persona dentro de la
Organización para asumir los esfuerzos en la administración del riesgo de fraude.

Conocimiento del fraude

La sensibilización del programa es la clave para transmitir las expectativas de la


administración del riesgo de fraude, como también es un efectivo control preventivo. El
conocimiento del fraude y los esquemas de mala conducta son desarrollados a través de
evaluaciones y entrenamiento periódicos y de comunicación frecuente. Un programa de
administración de riesgo de fraude debería asistir a la Organización en un proyecto de
educación continua sobre el fraude diseñado con base en el tipo de empresa, las personas
involucradas, los temas sensibles y la cultura organizacional que sirvan de guía para
solucionar dilemas éticos. Es importante recalcar que la educación continua sobre fraude
es para todas y cada una de las personas que tienen relación con la empresa, lo cual incluye
a los miembros de la Junta Directiva, la Alta Gerencia, clientes, contratistas y proveedores.

www.auditool.org 25
Procesos de afirmación

El proceso de afirmación es el mecanismo por medio del cual la Junta Directiva y la Alta
Gerencia o Administración de la Organización dan a conocer el código de conducta, las
políticas antifraude y demás procesos concernientes a la prevención de los delitos
económicos, a todos los empleados, clientes, proveedores y contratistas. Dichas personas
o empresas deben reconocer, leer y firmar los acuerdos expresados en documentos en los
que conste que conocen los procesos para prevenir las conductas que deriven en cualquier
crimen económico, como también que aceptan y se adhieren al programa de administración
de riesgo y están dispuestos a delatar cualquier conducta sospechosa de fraude o
corrupción. Las empresas que no implementen este proceso de afirmación corren el riesgo
de caer en irregularidades de índole legal costosas y quizás irreparables. Incluso, las
organizaciones deben determinar si existe cualquier problema legal sin resolver antes de
implementar dicho paso.

El proceso de afirmación puede ser manual o electrónico, pero siempre debe tener una
persona responsable que implemente las mejores prácticas para sensibilizar a las
contrapartes sobre dicho proceso, dado que todos aquellos que tengan una relación
contractual con la Organización deben someterse al cumplimiento de las políticas
antifraude. De igual forma, se deben especificar las consecuencias para quienes no se
adhieran al Programa de administración del riesgo de fraude a través del proceso de
afirmación.

Entre las formas para extender el proceso de afirmación se incluyen las siguientes:

• Incorporar a los contratos los términos mediante los cuales los proveedores de bienes
y servicios afirman que están de acuerdo con, y acatan, el código de conducta de la
Organización.
• Exigir un código de conducta específico para la Junta Directiva, la Alta Gerencia y
empleados de alta jerarquía en la Organización.
• Crear acuerdos especiales entre los contratistas, proveedores y la Organización
sobre confidencialidad, uso clasificado de la información y conflictos de intereses.
• Incorporar en el reglamento interno de la empresa un capítulo dedicado a la
administración del riesgo de fraude, sanciones disciplinarias y causales de despido.
• Crear la política de denunciar cualquier tipo de actividad que generó, esté generando
o pueda generar un fraude en la Organización.
• Crear la política de que todos los empleados, incluidos los nuevos, deben cooperar
plenamente con las investigaciones sobre cualquier sospecha o acto de fraude y
corrupción.

www.auditool.org 26
Divulgación de conflictos de interés

Este proceso debe ser implementado por la Junta Directiva y la Alta Gerencia para
determinar los conflictos de intereses existentes o potenciales. Este paso constituye uno de
los avances más importantes en cuando a la administración del riesgo, dado que la colusión
y los conflictos no divulgados causan grandes pérdidas económicas. El Programa de
administración del riesgo de fraude debe incluir los mecanismos para que las contrapartes
divulguen por sí mismos cualquier tipo de conflicto de intereses a la Organización. Se debe
distinguir o tener en cuenta qué pasa cuando el conflicto de intereses es divulgado y qué
pasa cuando el conflicto se oculta.

En caso de que el conflicto sea divulgado, la Organización debe determinar lo siguiente:

• La Administración puede determinar que no existe el conflicto de intereses y solicitar


que se haga el contrato o termine la labor.
• La Administración puede determinar que sí existe el conflicto de intereses y solicitar
que no se haga la negociación o la persona debe abandonar la empresa.
• La Administración puede decidir que existe un conflicto de intereses potencial y puede
imponer ciertas restricciones sobre el individuo y el riesgo identificado para asegurar
que no existe la posibilidad de que el conflicto crezca.

La divulgación de un conflicto de intereses potencial y las decisiones de la Administración


deben ser documentadas y divulgadas a través de un abogado. Todas las restricciones
impuestas necesitan ser monitoreadas, pero en todos los casos las organizaciones deben
evaluar los requerimientos legales y/o los beneficios del negocio frente a la divulgación del
conflicto de intereses, el código de conducta, las políticas antifraude y las demás políticas
creadas para evitar delitos económicos en la Organización.

Evaluación del riesgo de fraude

La evaluación del riesgo de fraude es un proceso que apunta a la identificación proactiva


de las vulnerabilidades internas y externas de la Organización en cuanto al fraude. Dado
que cada organización es totalmente diferente, la evaluación del riesgo es usualmente
confeccionada con elementos únicos que se enfocan en los cuatro factores de riesgo, a
saber: la contraparte, la jurisdicción o zona geográfica, los productos y servicios y los
canales de distribución y ventas. Adicionalmente, las empresas son entes dinámicos en
constante cambio, por lo tanto, la evaluación del riesgo de fraude es un proceso que debe
ir a la par, o en la misma línea, que los negocios de la entidad.

www.auditool.org 27
La evaluación del riesgo comienza con la identificación y priorización de los riesgos
existentes de fraude del negocio. El proceso evoluciona en la medida en que la
identificación y priorización sustenten la formación y comunicación de alineamientos
organizacionales y la ejecución de las demás acciones alrededor de la administración
efectiva del riesgo de fraude, para dar paso a la identificación de nuevos riesgos que surgen
con el desarrollo de las actividades del negocio.

Las bases para un programa de administración de riesgo de fraude efectivo están


enraizadas en el estudio profundo y exacto, o evaluación del riesgo, supervisado por la
Junta Directiva, que identifica dónde puede ocurrir el fraude dentro de la Organización. Sin
embargo, la evaluación del fraude no es una tarea de un solo momento o esfuerzo, ya que
la evaluación del riesgo debe ser ejecutada de forma sistemática y recurrente, e involucrar
al personal apropiado, considerando los esquemas de fraude relevantes, los escenarios, y
los controles de mitigación para dichos esquemas. La existencia de una evaluación del
riesgo y el hecho de que la Administración lo articule efectivamente puede ser un factor de
disuasión para los perpetradores de fraudes.

El Sistema de Control Interno en una organización está diseñado para gestionar los riesgos
inherentes del negocio. Los riesgos del negocio son identificados por medio del protocolo
de evaluación empresarial; asimismo, los controles asociados con cada riesgo analizado,
planificados e implementados. Por ejemplo, el marco COSO, Enterprise Risk Management–
Integrated Framework describe los elementos, principios y conceptos esenciales para todas
las organizaciones, sin importar su tamaño.

Objetivos de la evaluación del riesgo de fraude

El objetivo de la evaluación del riesgo de fraude es ayudar a la Organización a reconocer


cuáles son las vulnerabilidades que podrían permitir que el fraude sea fácil de cometer en
el negocio. A través de este análisis la empresa está en capacidad de identificar las
probabilidades del fraude, así como el lugar y las áreas o cargos que son más susceptibles
para la comisión de un fraude y los potenciales perpetradores. Esto se realiza con el fin
habilitar medidas proactivas para reducir la oportunidad de que ocurra cualquier situación
de favorabilidad del fraude.

El razonamiento estratégico usado en la conducción de la evaluación del riesgo de fraude


requiere una mentalidad escéptica para determinar de qué modo un perpetrador podría
explotar las debilidades del control interno, cómo podría un perpetrador anular o evitar los
controles, o de qué forma podría un perpetrador esconder el fraude.

Dentro de los objetivos de la evaluación del riesgo de fraude se encuentran los siguientes:

• Mejorar la comunicación y el conocimiento acerca del fraude,


• Desarrollar el plan de mitigación del riesgo de fraude,

www.auditool.org 28
• Desarrollar técnicas de investigación para determinar el impacto del fraude,
• Evaluar el Sistema de Control Interno,
• Cumplir con las regulaciones y los estándares profesionales.

Dónde y Quién. Vulnerabilidades

El fraude no perdona y los perpetradores abundan en todas las esferas empresariales y en


todas las industrias; sin embargo, algunas actividades de la Organización son más
propensas al fraude que otras, por lo tanto, aun dentro de la misma empresa los riesgos no
se deben tratar por igual. Por ejemplo, una empresa vende mercancía al detal, sus ventas
son para clientes que pagan en efectivo, no se aceptan pagos a través de medios
electrónicos, y su inventario está compuesto por una amplia gama de referencias y
unidades en volumen. Sabemos que no habrá riesgo de fraude en cuanto al pago con
tarjetas de crédito y débito, pero sí hay un riesgo alto de fraude en la gestión del efectivo y
del inventario. La evaluación del riesgo de fraude guía a la empresa a enfocarse en las
actividades que merecen mayor atención en cuanto al riesgo.

Igualmente, las personas y sus acciones en la empresa incrementan significativamente la


vulnerabilidad de la empresa frente al fraude. El riesgo puede ser originado desde la forma
en la que alguien de la empresa toma decisiones, se comporta o trata a las demás
contrapartes, tanto dentro como afuera de la Organización. En otros términos, el riesgo no
termina en, ni se limita a las actividades que la contraparte hace dentro de la Organización.
Por ejemplo, en los casos de colusión, los empleados, contratistas y proveedores se alían
para obtener beneficios económicos por fuera de la empresa. Este tipo de reuniones
generalmente se hacen por fuera del horario laboral y en sitios diferentes a la empresa.
Debido a esto, la evaluación de los riesgos también se enfoca en las personas que pueden
ocasionar más daño al momento de la comisión de un fraude. Así, diferentes casos de
fraude de cuello blanco y cuello azul son analizados para determinar su incidencia en la
toma de decisiones en un cargo específico.

Controles internos viejos o anticuados

Muchas organizaciones confían fuertemente en sus sistemas de control interno para


prevenir y detectar el fraude. Aunque los controles internos juegan un papel crucial en la
administración del riesgo de fraude, este sistema requiere una evaluación constante de su
funcionamiento. La ejecución de la evaluación del riesgo provee a la Alta Gerencia y la
Junta Directiva la oportunidad de revisar los controles internos y su funcionamiento, para lo
cual se deben tener presentes las siguientes consideraciones:

• Los controles que han sido eliminados debido a los esfuerzos de reestructuración. Es
muy común reducir el tamaño de la Organización y eliminar el control sobre la
separación de las funciones o segregación de deberes, lo cual incrementa
ostensiblemente el riesgo de fraude.

www.auditool.org 29
• Controles que se han erosionado con el tiempo debido a la reingeniería de los
procesos de la empresa. Por ejemplo, se contrata personal temporal a través de
agencias de empleo y no se hace la debida inducción al nuevo personal, con la
convicción de que el contrato es temporal y corto, y los nuevos empleados provienen
de una fuente confiable.
• Nuevas oportunidades de colusión.
• Carencia de controles internos en áreas vulnerables.
• Incumplimiento de los controles, procesos y procedimientos impuestos. Por ejemplo,
los controles que alguien ha comprometido para su propia conveniencia.
• Limitaciones inherentes del control interno que son aprovechadas por los
perpetradores para cometer el fraude y esconderlo. En este caso, se puede usar el
nivel de autoridad para saltar o anular los controles.

Además de lo anterior, es pertinente aclarar que la evaluación del riesgo de fraude debe
incluir los controles actuales para determinar qué tan efectivos son hasta el momento y qué
tan eficientes puede ser en el futuro. Para lograr esto, se debe convencer a la Junta
Directiva sobre la evaluación total del sistema de control, sin importar su diseño ni su tiempo
de implementación.

Construcción de la evaluación de riesgo de fraude

Una buena evaluación del fraude es aquella que se confecciona a la medida de la


Organización, es patrocinada y soportada por los sujetos correctos, que motiva
abiertamente a las personas a participar y, generalmente, le añade valor a las actividades
del negocio. Se deben tener en cuenta los siguientes elementos para garantizar éxito de la
evaluación del riesgo de fraude. Recuerde que este proceso es la base para la excelente
administración de los delitos económicos en la Organización.

• Colaboración y esfuerzo adicional de los miembros de la Alta Gerencia,


Administración y equipo de auditoría para trabajar juntos y aportar su conocimiento
de la empresa desde sus puntos de vista.
• Promotor que tenga independencia mental, experiencia en la Organización,
conocimiento de los negocios y alto liderazgo, con capacidad de escuchar
proactivamente lo bueno, lo malo y lo feo de la empresa y proporcionar sabias
recomendaciones a la evaluación.
• Independencia y objetividad de los líderes de la evaluación del riesgo, los cuales
pueden ser internos o externos, pero con pensamiento crítico, neutral y proactivo en
el manejo de los riesgos corporativos.
• Buen conocimiento del trabajo y del negocio, ya que las organizaciones son
totalmente diferentes unas de otras y cada una enfrenta los factores de riesgo en
distinta forma; además, el apetito al riesgo varía ostensiblemente en cada industria.

www.auditool.org 30
• Acceso sin límites a todas las personas de la Organización para obtener la mayor
cantidad de información disponible, más aún de las personas que trabajan en los
cargos operativos y viven el día a día del negocio.
• Confianza en el proceso de evaluación del riesgo de fraude entre los líderes y los
empleados para que todo el personal esté totalmente comprometido con el proceso.
• Habilidad para pensar lo impensable y mente abierta, dado que la habilidad de los
perpetradores puede rebasar los controles y crear nuevas modalidades para cometer
el fraude y esconderlo.
• Plan de mantenimiento de la evaluación del riesgo a través del tiempo con el ánimo
de mejorar los controles o crear nuevos para mitigar el riesgo de fraude.

Procedimientos de información y protección de los denunciantes

La mayor cantidad de fraudes detectados en las organizaciones son descubiertos por


denuncias y quejas; por lo tanto, para que un programa de antifraude sea efectivo debe
contener los mecanismos para recibir las denuncias y quejas por parte de los empleados o
terceras personas. Los documentos de la Organización no solo deben reflejar la actitud
férrea y tolerancia cero al fraude, sino también expresar la expectativa de que cualquier
sospecha de fraude debe ser denunciada y/o reportada inmediatamente y los medios para
hacerlo. Los canales de reporte de sospechas de fraude deben estar claramente definidos
y comunicados, sin embargo, estos pueden estar incluidos en los mismos canales para
reportar otras violaciones al código de conducta.

Teniendo en cuenta que la gente comete fraudes y que, igualmente, las personas son el
mejor activo de una organización para prevenir, detectar y disuadir el fraude, las
organizaciones deberían considerar la promoción de los recursos habilitados o disponibles
para que los individuos puedan reportar las sospechas o cualquier comportamiento que
pueda generar fraude o corrupción. Por ejemplo, los recursos más comunes y de fácil
acceso son las páginas éticas ubicadas en la página o sitio web de la Organización;
asimismo, las líneas éticas en las cuales el delator puede comunicarse telefónicamente son
otro recurso para denunciar actos corruptos o fraudulentos contra la empresa.

Para alentar los reportes oportunos de las sospechas de fraude, la Organización debería
comunicar las protecciones otorgadas a los individuos que hagan las denuncias, lo cual es
conocido dentro del Programa de administración del riesgo de fraude como la protección a
los delatores. De hecho, en ciertos territorios dicha protección debe ser regulada con el fin
de proteger al delator frente cualquier acto de venganza o retaliación.

www.auditool.org 31
Procesos de investigación

Las organizaciones requieren que el proceso de investigación esté escrito y actualizado,


pues una vez que ocurre el fraude este debe ser reportado, lo cual desencadena la
respectiva investigación. La Junta Directiva y la Alta Administración deben tener y conocer
el protocolo para este proceso, que debe incluir los pasos a seguir en caso de que el
personal de la empresa no tenga las competencias y habilidades para realizar dicha
investigación. Para este caso, la Junta Directiva y la Alta Gerencia deben acudir a la ayuda
de expertos forenses calificados que se encargarán de la situación. El protocolo de
investigación también debe incluir las instrucciones para recopilar las evidencias, la cadena
de custodia, el mecanismo de reporte a las autoridades, los documentos que se requieren
para abrir el proceso de investigación y las acciones legales a seguir. Como se puede
apreciar, este proceso es supremamente delicado y exige cuidado, ya que cualquier error
en la recopilación de la evidencia, cadena de custodia o entrevista puede tirar al suelo todos
los esfuerzos por concretar el tamaño del fraude y el responsable. De este modo, si la
empresa no está preparada con un protocolo forense y profesional, lo mejor es acudir a
expertos certificados en fraude para hacer la investigación.

Acciones correctivas

Las medidas correctivas son las que aplican las consecuencias y los procesos
sancionatorios para aquellos que cometieron un fraude o actividades que ayudaron a que
el fraude se cometiera. Por lo tanto, dichas medidas son un fuerte elemento disuasivo que
debe ser conocido por todos y cada uno de los empleados, clientes, proveedores y, en
general, las contrapartes que tienen relación con la empresa. El código de conducta, los
acuerdos con contratistas y el reglamento de trabajo deben incluir las consecuencias de la
sospecha y/o comisión del fraude. Estas consecuencias incluyen la terminación de la
relación laboral o contractual y el reporte a las autoridades legales y regulatorias, y en la
mayoría de los casos se articula el derecho civil y penal por medio de una acción legal en
contra de quien cometió el fraude. En cualquiera de los casos, la práctica de denunciar sin
importar el tamaño de las pérdidas económicas es otro de los mecanismos de disuasión,
ya que muchos perpetradores atacan varias veces y en diferentes organizaciones sin tener
sanciones de carácter legal o social que pare su comportamiento criminal.

No se limite al tamaño de las consecuencias del fraude, recuerde que fraude es fraude y
son las consecuencias las que determinan la gravedad del fraude.

En los casos de abuso, es preciso determinar en el código de ética o reglamento interno de


trabajo un capítulo especial sobre el abuso de los recursos, activos e insumos de la
Organización, con acciones disciplinarias ejemplares para disuadir tales conductas.

www.auditool.org 32
En los casos en que el fraude ocurre a pesar de las políticas instauradas en la Organización,
se debe revisar el proceso e identificar las falencias, debilidades y fallas del control interno
que fueron socavadas para permitir el fraude, lo cual conduce a la rectificación y el
replanteamiento de los procesos. Por esto, la evaluación del riesgo de fraude debe ser
recurrente, para evitar precisamente que los controles deficientes contribuyan a la comisión
de un crimen. Los auditores internos son un recurso importante para esta labor.

Procesos de evaluación y mejoramiento

El Programa de administración del riesgo de fraude debe incluir cómo y cuándo la Alta
Gerencia de la Organización evaluará la efectividad del programa y monitoreará los
cambios. Como se ha venido explicando durante el curso, este programa es dinámico y
depende de la evolución del negocio y del entorno; por lo cual la evaluación del riesgo y el
mejoramiento del programa deben ser periódicos. Este proceso incluye estudios
estadísticos, análisis de gestión, indicadores financieros, comparaciones con otras
empresas y el sector, proyecciones micro y macroeconómicas, estudios económicos y, en
general, los datos y fuentes que le ayuden a la Administración a detectar nuevos esquemas
de fraude y defraudadores. Los resultados de dicha evaluación deben ser reportados a los
grupos supervisores o a la Junta Directiva para que sean usados en el mejoramiento del
Programa de administración del riesgo de fraude.

Consideraciones del reporte de los resultados de la evaluación del riesgo

Con el objetivo de maximizar la efectividad del proceso de evaluación del riesgo de fraude,
el equipo debe considerar los siguientes puntos para reportar los resultados:

• Reporte objetivo de los resultados: es un gran error aportar opiniones personales,


tendenciosas o subjetivas a la evaluación del riesgo de fraude. Al momento de
reportar los resultados, el equipo de trabajo o los responsables de informar se deben
adherir a los objetivos y hechos con postura ética y sin sesgo hacia los resultados. Es
su obligación mantener los conceptos personales por fuera de la evaluación del riesgo
y esto se debe destacar al momento de hacer el reporte de los resultados. Pensar lo
impensable y tener mente abierta permite la compostura y objetividad profesional.
• Simplicidad: el reporte de los resultados de la evaluación del riesgo de fraude debe
ser elaborado en un lenguaje simple y fácil de entender para todos los usuarios. Evite
al máximo informes largos y pesados. Innove con resúmenes ejecutivos y trate de
anotar todo en una simple hoja para el primer contacto al momento de la entrega del
informe. Un resume ejecutivo con los hechos y estadísticas de mayor trascendencia
tiene mayor impacto. Tenga en reserva el informe completo para sustentar
contraargumentos o ampliar el informe ejecutivo.

www.auditool.org 33
• Enfoque en lo que realmente importa: para el reporte de los resultados de la
evaluación del riesgo de fraude es clave escoger los temas que tienen mayor impacto
en la Organización en cuanto a pérdidas, personas, cargos o situaciones. Convertir el
informe de resultados en una larga lista de hechos sin clasificar que la Gerencia de la
empresa debe solucionar evitará que el proceso continúe. Priorizar aspectos,
determinar qué es lo realmente importante e impactante ayudará a que la Gerencia
se enfoque en mitigar tales riesgos. Clasifique adecuadamente los hechos y
preséntelos por grupos de modo que todos queden amparados en el informe, por lo
cual se debe tener conocimiento de las actividades que permiten el fraude y las
clasificaciones del fraude.
• Identifique las acciones que son claras y medibles para afrontar los resultados:
el informe debe contener recomendaciones para las acciones que son claras y
medibles y pueden disminuir el riesgo de fraude. Estas se deben presentar de tal
manera que si se siguen las recomendaciones los riesgos disminuirán. Debido a esto,
el reporte no debe contener recomendaciones vagas, poco claras o subjetivas y, por
el contrario, las recomendaciones deben ir atadas a los hechos o factores que
demostraron el incremento del riesgo de fraude. Adicionalmente, las
recomendaciones deben ser aceptadas por la Gerencia, la Administración e incluso
por aquellos que de una u otra forma se afectan con las recomendaciones.

Ejemplo 1. Reporte de los resultados de la evaluación del riesgo

El reporte gráfico es un formato que usa los cuadros de mandos de control o tendencias
que ayuda a los miembros de la Junta Directiva y Alta Gerencia a visualizar los aspectos
de mayor importancia y su estado en la gráfica, los cuales pueden ser reemplazados por
otros temas o problemas en la Organización. Por lo tanto, este cuadro de mando de control
debe ser dinámico y puede ser acompañado con el informe del plan de acción, que no debe
tener más de dos páginas. El uso de software especializado en este tipo de informes le
ayudará a innovar con presentaciones dinámicas y precisas para la entrega del informe final
de resultados.

Ejemplo 2. Reporte de los resultados de la evaluación del riesgo

El resumen ejecutivo es un formato compuesto por una sola página que contiene los
aspectos de mayor importancia de la evaluación del riesgo de fraude. Dicho reporte le
brinda al lector una fotografía sobre los resultados del trabajo, junto con la visión del
direccionamiento de los resultados y las acciones que se tomarán para reducir el riesgo de
fraude. Este formato ayuda al equipo a enfocarse en lo que realmente tiene alto impacto en
la Organización. Recuerde mantener el informe ampliado a la mano para dar respuestas a
preguntas específicas sobre la evaluación del riesgo.

www.auditool.org 34
Evaluación del riesgo de fraude y proceso de auditoría

La evaluación del riesgo de fraude debe jugar un papel importante por medio de informar e
influir en el proceso de auditoría. Igualmente, al ser usada en el programa anual de
auditoría, la evaluación del riesgo de fraude debe orientar la estrategia y sensibilización de
la auditoría para aquellas áreas que sea han identificado como origen de un riesgo de fraude
de moderado a alto. Aunque los auditores siempre deben estar en guardia y preparados
para entender los indicadores de fraude, los resultados de la evaluación del riesgo ayudan
fuertemente a los auditores a diseñar un plan de auditoría efectivo y proactivo, enfocándose
en las áreas conocidas como fuente de alto riesgo de fraude.

Durante el transcurso de este trabajo los auditores deben validar que la Organización está
administrando apropiadamente los riesgos calificados entre moderados y altos por la
evaluación del riesgo de fraude, como se describe a continuación:

• Identificando y rastreando la existencia de los controles preventivos y detectivos


implementados para los riesgos de fraude catalogados entre medios y altos que
fueron identificados en la evaluación del riesgo de fraude.
• Diseñando y realizando pruebas para evaluar si los controles identificados están
operando efectiva y eficientemente.
• Identificando si en las áreas donde se identificaron los riesgos catalogados entre
moderados y altos, la Alta Gerencia o la Administración puede anular los controles.
• Desarrollando y entregando reportes que incluyan los resultados de la validación y las
pruebas de los controles para mitigar el fraude.

Monitoreo continuo

El Programa de administración de riesgo de fraude incluye ciertos documentos relacionados


que deben ser revisados de acuerdo con los cambios que debe hacer la Organización para
ajustarse a las nuevas condiciones, ya que el dinamismo del mercado y la evolución
económica demandan actitud de cambio permanente, flexibilidad y capacidad de
adaptación. El monitoreo permite verificar que los controles están funcionando
correctamente de acuerdo con las expectativas de la evaluación del riesgo, o si, por el
contrario, un cambio en cualquiera de los factores de riesgo conlleva a un cambio o a una
nueva implementación de los controles.

www.auditool.org 35
MÓDULO 3: PRINCIPIOS FUNDAMENTALES EN LA ADMINISTRACIÓN DEL FRAUDE
– P2. EVALUACIÓN PERIÓDICA DEL PROGRAMA

P2. Evaluación periódica del programa

La evolución de los negocios, la globalización y la innovación en el mercado brindan la


oportunidad de explorar nuevos territorios, lo cual conlleva correr nuevos riesgos. Por esto,
el Programa de administración de riesgos debe ser evaluado periódicamente por la
Organización y por personal externo experto para detectar nuevos eventos, esquemas y
perpetradores que la empresa debe mitigar.

Las organizaciones deben conocer sobre el riesgo de fraude que las afecta directa o
indirectamente para protegerse a sí mismas y a sus accionistas. Una evaluación
estructurada del riesgo de fraude debe ser elaborada de acuerdo con el tamaño, la
complejidad, la industria, el tipo de mercado, y los objetivos. Así mismo, tal evaluación debe
ser realizada periódicamente con el fin de mejorar los controles e identificar nuevos riesgos.
La evaluación puede estar integrada al estudio general de riesgos de toda la Organización
o, si se prefiere, puede hacerse de forma individual, pero en cualquiera de los casos la
evaluación del Programa de gestión del riesgo de fraude debe contemplar como mínimo la
identificación, la probabilidad y la mitigación del riesgo.

La identificación del riesgo de fraude incluye la recopilación de información de fuentes


externas, como documentos legales emitidos por los cuerpos reguladores o supervisores
(las superintendencias, la administración de impuestos, o Unidades de Investigación
Financiera -UIF-). Las guías clave elaboradas por determinados grupos contables, de
auditoría o de profesionales especializados a nivel global son otro recurso de gran
importancia para la evaluación del riesgo: The Committee of Sponsoring Organizations of
the Treadway Commission (COSO), The Institute of Internal Auditors (IIA), The American
Institute of Certified Public Accountants (AICPA), The Association of Certified Fraud
Examiners (ACFE), entre otros. Sin embargo, otros recursos que surgen a nivel interno de
la Organización son de gran valor para la identificación del riesgo de fraude, tales como
entrevistas, lluvias de ideas del personal que hace parte del gran espectro de actividades
dentro de la compañía, revisión de los quejas y reclamos, revisión de las declaraciones de
los delatores y análisis profundos de los procedimientos.

Un proceso efectivo de identificación del riesgo incluye la evaluación de los elementos del
triángulo del fraude: incentivos, presiones y oportunidades. La elaboración de indicadores
que involucren los incentivos que pueden recibir los empleados para cometer un fraude
provee valiosa información sobre la probabilidad de que dicho fraude ocurra. Incluso, puede
contemplarse la posibilidad de reemplazar los controles actuales en áreas débiles o donde
no exista segregación de funciones.

www.auditool.org 36
La era de la información ha generado grandes beneficios en las organizaciones, que se
reflejan en la velocidad, funcionalidad y la accesibilidad a la información. No obstante, las
empresas enfrentan hoy una mayor exposición al fraude informático. Por consiguiente,
cualquier evaluación del riesgo de fraude debe considerar el acceso y la anulación de los
sistemas de control, como también las amenazas internas y externas de la integridad de las
bases de datos, los sistemas de seguridad y el robo de información financiera y del negocio.

Cada organización tiene diferentes apetitos de riesgo o tolerancia al riesgo; por


consiguiente, los riesgos de fraude deben ser gestionados por medio de la implementación
de prácticas y controles para mitigar dichos riesgos y aceptar aquellos que no pueden ser
cubiertos, teniendo en cuenta que la aceptación implica mayor monitoreo en caso de que
se presenten cambios sustanciales que ameriten una reorientación del plan de mitigación.

Las organizaciones deben buscar un enfoque estructurado para abordar los riesgos. El
beneficio del Programa de administración del fraude debe ser mayor al costo que éste
representa, y la Junta Directiva y la Administración de la empresa deben asegurar que la
Organización posee los controles apropiados en cada lugar y reconocen sus deberes y
responsabilidades como supervisores en términos de sostenibilidad empresarial para sus
socios o accionistas. En conclusión, la Gerencia o Administración de la compañía es
responsable por el desarrollo y ejecución de los controles para evitar el riesgo de fraude,
aplicados por personal objetivo y competente.

Los reguladores, los grupos de profesionales y las autoridades han enfatizado la


importancia del rol que juega la evaluación periódica del Programa de administración del
riesgo de fraude para desarrollar y mantener la efectividad de los controles.

Las organizaciones pueden identificar y evaluar los riesgos de fraude en relación con una
evaluación general de riesgos de la empresa, o de forma independiente a través de una
guía para la evaluación del riesgo de fraude con la cual las organizaciones pueden adaptar
su propio enfoque para satisfacer sus necesidades individuales, complejidades y metas.

La fundamentación de un programa eficaz de gestión del riesgo de fraude debe ser visto
como un componente que exige un mayor esfuerzo de gestión del riesgo empresarial,
basado en una evaluación del riesgo que identifica dónde se puede producir el fraude y
quiénes podrían ser los responsables. Con este fin, las actividades de control siempre
deben tener en cuenta tanto el esquema de fraude como los individuos dentro y fuera de la
Organización que podrían ser los autores de cada acto que conlleva al fraude. En los casos
de posible colusión, los medios de prevención deberían aumentarse mediante controles de
prevención y detección por medio de estricta separación o segregación de funciones.

www.auditool.org 37
Como hemos tratado, el fraude, por definición, implica mala conducta intencional que está
orientada a evadir la detección y los controles. Por lo tanto, el equipo de evaluación del
riesgo de fraude debe participar en el razonamiento estratégico para anticipar el
comportamiento de un posible fraude y su perpetrador. Igualmente, el razonamiento
estratégico requiere una mentalidad escéptica e implica hacer preguntas tales como las
siguientes:

• ¿Cómo podría un perpetrador de fraude explotar las debilidades en el Sistema de


Control?
• ¿Cómo podría un defraudador anular o eludir los controles?
• ¿Cómo podría un perpetrador ocultar el fraude?

Teniendo en cuenta las anteriores preguntas, la evaluación del riesgo de fraude incluye
los siguientes elementos:

• Identificar el riesgo inherente de fraude. Recopilar información para obtener la


población de los riesgos de fraude que podría aplicarse a la Organización. Se incluye
en este proceso la consideración explícita de todos los tipos de esquemas de fraude
y escenarios; incentivos, presiones y oportunidades para cometer fraude, como
también el riesgo de fraude tecnológico específico para la Organización.
• Evaluar la probabilidad y la importancia del riesgo inherente de fraude. Evaluar
la probabilidad relativa y la importancia potencial de los riesgos de fraude identificados
con base en la información histórica, los esquemas de fraude conocidos, y entrevistas
con el personal, que incluyen los propietarios de los procesos del negocio.
• Responder a los riesgos de fraudes inherentes y residuales, razonablemente
probables y significativos. Decidir qué hacer con la respuesta frente a los riesgos
identificados y realizar un análisis costo-beneficio de los riesgos de fraude sobre los
que la Organización desea implementar controles o procedimientos de detección de
fraude específicos.

Equipo de evaluación de riesgos

Una buena evaluación del riesgo requiere el aporte de diversas fuentes y profesionales.
Antes de llevar a cabo una evaluación de riesgos, la Administración debe conformar un
equipo de evaluación de riesgos, que debe incluir individuos de la Organización con
conocimientos, habilidades y perspectivas diferentes. Así mismo, debe incluir una
combinación de recursos internos y externos, tales como estos:

• Personal de contabilidad y finanzas que está familiarizado con el proceso de


información financiera y de los controles internos.
• Personal de operaciones y unidades de negocio no financiero para aprovechar su
conocimiento sobre las operaciones del día a día, las interacciones con clientes y
proveedores, y el conocimiento general de los problemas dentro de la industria.

www.auditool.org 38
• Personal de gestión de riesgos para asegurar que el proceso de evaluación del riesgo
de fraude se integra con el Programa de administración de riesgos de toda la
Organización.
• Personal jurídico y de cumplimiento, ya que la evaluación del riesgo de fraude
identificará los riesgos que dan lugar al potencial perpetrador, los problemas civiles,
y la responsabilidad frente a los reguladores y entes de control si el fraude o la mala
conducta se produjeran.
• Personal de auditoría interna que esté familiarizado con los controles internos de la
Organización y funciones de supervisión. Además, los auditores internos serán parte
integral en el desarrollo y ejecución de las respuestas a los riesgos importantes que
no se pueden mitigar prácticamente por los controles preventivos y de detección.
• Consultores externos con experiencia en las normas aplicables, los indicadores clave
de riesgo, la metodología de lucha contra el fraude, las actividades de control y
procedimientos de detección.
• Gestión.
• Altos directivos.
• Líderes de las unidades de negocios.
• Dueños de procesos importantes (por ejemplo, contabilidad, ventas, compras y
operaciones) deben participar en la evaluación, ya que son en última instancia
responsables de la eficacia de los esfuerzos de gestión del riesgo de fraude de la
Organización.

Identificación del riesgo de fraude

Una vez conformado el equipo de evaluación de riesgos, se debe realizar una lluvia de
ideas para identificar los riesgos de fraude de la Organización. Este método implica la
preparación anticipada por parte de los miembros del comité evaluador y de su líder para
establecer la agenda, facilitar la sesión y la apertura a las ideas sobre los posibles riesgos
y controles. La lluvia de ideas es un método que permite abrir las discusiones de los
incentivos, presiones y oportunidades para cometer fraude; los riesgos de la Administración
cuando se sobrepasan los controles; y los riesgos de fraude relevantes de la Organización.
Otros riesgos, tales como la falta de regulación o el riesgo legal, el riesgo reputacional y el
riesgo operativo, así como el impacto de las TIC o nuevas tecnologías para cometer fraude,
también deben ser considerados en el proceso de identificación de riesgos de fraude de la
Organización.

La información de identificación del riesgo de fraude de la Organización debe ser


compartida con la Junta Directiva y el Comité de Auditoría. La Junta Directiva también debe
evaluar las consecuencias de sus propios procesos con respecto a su contribución al riesgo
de fraude, incluyendo presiones e incentivos.

www.auditool.org 39
Incentivos, presiones y oportunidades

La teoría del triángulo del fraude nos enseña que existen tres elementos interrelacionados
que habilitan a una persona a cometer fraude: los incentivos, las presiones y las
oportunidades. Los incentivos y las presiones conducen al individuo a cometer el fraude, la
oportunidad le abre la puerta al fraude y la racionalización justifica su actuar.

Los motivos para cometer fraude son numerosos, diversos y amplios. Por ejemplo, un alto
ejecutivo puede creer que la estrategia de negocio de la Organización en última instancia
permitirá el éxito, pero los resultados negativos iniciales necesitan ser ocultados para darle
tiempo a la madurez de la estrategia. Otro ejecutivo necesita añadir valor a las acciones de
la empresa para tener derecho a una bonificación o para satisfacer las expectativas de sus
analistas; y otro ejecutivo subestima el concepto de ahorrar con el fin de proveer reservas
para las temporadas de vacas flacas o de bajas ventas, y por medio del abuso defrauda a
la empresa.

El proceso de identificación de riesgos de fraude debe incluir una evaluación de los


incentivos, presiones y oportunidades para cometer fraude. Los incentivos deben ser
evaluados por la Junta Directiva, la Alta Dirección y por los directores o jefes de cada área.
Dicha evaluación debe estar enfocada en identificar la manera como los incentivos pueden
afectar el comportamiento de los empleados al llevar a cabo negocios, o en aplicar el juicio
natural comercial. Los incentivos económicos y los indicadores pueden proporcionar un
mapa de las áreas donde es más probable que ocurra el fraude. También puede haber
incentivos no financieros o no monetarios, como cuando un empleado registra una
transacción ficticia para que él o ella no tengan que explicar la variación de una cuenta.
Incluso mantener el statu quo es a veces un incentivo suficientemente potente como para
que el personal cometa fraude.

Las presiones sobre los individuos para lograr un rendimiento u otros objetivos son otro
factor de importancia, y a menudo son más difíciles de cuantificar. Algunas organizaciones
son transparentes en cuanto el establecimiento de objetivos y métricas específicas sobre
las cuales se medirá el rendimiento operativo o comercial del personal. Otras
organizaciones son más indirectas y sutiles, y se basan en la cultura corporativa para influir
en el comportamiento de los empleados. En muchos casos, los individuos pueden no tener
ningún incentivo monetario gradual para ajustar de manera fraudulenta una transacción
contable o comercial, pero puede haber una fuerte presión, tanto real como percibida, sobre
un empleado para actuar de manera fraudulenta.

www.auditool.org 40
Adicionalmente, las oportunidades para cometer fraude existen en todas las organizaciones
y pueden ser razón suficiente para incurrir en una conducta criminal. Estas oportunidades
son mayores en las zonas con débiles controles internos y sin segregación de funciones.
De modo que es la empresa misma, en la mayoría de los casos, la que genera la
oportunidad para la comisión del fraude. Sin embargo, algunos fraudes, en particular los
cometidos por los miembros de la Administración en algunos casos, pueden ser difíciles de
detectar debido a la que la gestión individual puede eliminar los controles. Por lo tanto, las
oportunidades son la razón para que la Junta Directiva, la Alta Dirección y el Comité de
Auditoría trabajen conjuntamente la gestión del riesgo de fraude.

Anulación de los controles

Como parte del proceso de identificación de los riesgos de fraude, es importante tener en
cuenta la posibilidad de que los miembros de la Administración o cualquier empleado
sobrepasen los controles internos establecidos para prevenir o detectar el fraude. Es
razonable suponer que los individuos que tienen la intención de cometer fraude usarán su
conocimiento sobre los controles internos y aprovecharán sus debilidades o vacíos para
ocultar sus acciones. Por ejemplo, un gerente que tiene la autoridad de aprobar nuevos
proveedores puede crear y aprobar un proveedor ficticio y luego presentar las facturas
reales para el pago, en lugar de presentar directamente facturas falsas para el pago. Por lo
tanto, también es importante tener en cuenta el riesgo de anulación de la gestión de los
controles internos a la hora de evaluar la eficacia de los mismos; es decir, un control
antifraude no es eficaz si se puede reemplazar fácilmente y el mero hecho de tenerlo
implementado no implica que se debe descartar como posible fuente de fraude.

Compresión de los tipos de fraude

La identificación de riesgos de fraude requiere una comprensión del universo de los riesgos
de fraude y el subconjunto de los riesgos específicos de la Organización. Para lograr esto,
es básico tener presente los pronunciamientos y la información de fuentes externas, tales
como noticias de la industria, quejas y casos penales, civiles y legales; así mismo, los
reportes de organizaciones que han sido reconocidas por la investigación y el aporte de
estos temas, tales como el IIA, AICPA, ACFE, y CICA.

Esto también implica la comprensión de los procesos de la Organización y la recopilación


de información sobre fraudes potenciales a partir de fuentes internas, mediante entrevistas
con el personal y el intercambio de ideas con ellos, la revisión de quejas de la línea directa
de los denunciantes, y la realización de los procedimientos analíticos. Debe quedar claro
que cada organización es un mundo totalmente particular, diferente de cualquier otra
corporación, dado que la exposición a los diferentes riesgos es independiente e individual,
por lo tanto, cada factor que incide en la comisión de un fraude difiere en cada organización.
En este punto, la Junta Directiva, el Comité de Auditoría y la Alta Gerencia deben aprender
sobre fraude y las conductas criminales.

www.auditool.org 41
Existen diversas clasificaciones del fraude pero, en resumidas cuentas, el árbol del fraude
que se encuentra anexo a este curso le ayudará a la identificación individual de los riesgos
de fraude. Sin embargo, los riesgos ocupacionales de fraude se clasifican universalmente
en tres categorías generales: declaraciones fraudulentas en los estados financieros,
malversación de activos, y corrupción. El uso de estas categorías es el punto de partida de
un desglose más detallado para producir una evaluación del riesgo de fraude específico en
cada organización.

Fraude en estados financieros

El fraude en los estados financieros se reconoce por la alteración de las cuentas contables,
dependiendo del objeto del fraude y el usuario. Para algunos casos, el perpetrador
incrementará las cuentas que de alguna forma afectan positivamente la utilidad de la
Organización para mostrar a los usuarios de la información un resultado óptimo de la
operación. Sin embargo, en algunas situaciones el criminal puede afectar la utilidad
negativamente para solicitar mayores anticipos en los contratos ganados o defraudar a los
socios o accionistas. Independientemente de cuál sea el motivo, no deja de ser malévolo el
engaño. A continuación, se presenta la clasificación del fraude en los estados financieros o
declaraciones fraudulentas:

• Fraude en estados financieros


A. Indicadores financieros
1. Distorsionar cuentas de estados financieros
2. Registros contables falsos
B. Flujo de caja
1. Reemplazar entradas de efectivo
2. Desplazar salidas de caja
3. Inflar el flujo de caja operativo
4. Impulsar el flujo de caja operativo
C. Incremento de activos e ingresos
1. Reconocimiento de ingresos anticipados
2. Registro de ingresos falsos
3. Registro de diferencias temporales
4. Impulsar los ingresos
5. Desplazar ingresos al periodo posterior
6. Evaluación inapropiada de activos
7. Revelaciones inapropiadas
D. Disminución de gastos y responsabilidades
1. Desplazar gastos a un periodo posterior
2. Reemplazar gastos operacionales por diferidos
3. Manipular gastos que no mueven efectivo
4. Esconder cifras, gastos y pérdidas

www.auditool.org 42
En la evaluación del riesgo de fraude en los estados financieros con declaraciones
fraudulentas se deben hacer preguntas que ayuden a clarificar y desenmascarar aquellos
aspectos del fraude que pueden estar escondidos. Por ejemplo:

• ¿Cuáles son los principales impulsores de los ingresos en la Organización?


• ¿Son los ingresos procedentes de las ventas de volumen de productos relativamente
homogéneos, o están impulsados por un número relativamente pequeño de
transacciones individuales?
• ¿Cuáles son los incentivos y las presiones presentes en la Organización?
• ¿Se registran los ingresos sistemáticamente o de forma manual?
• ¿Hay riesgos de fraude en el reconocimiento de ingresos específicos tanto en la
industria como en la Organización?
• ¿Cómo se reconocen los otros ingresos de la Organización?
• ¿Se registran todos los beneficios de los proveedores y contratistas en las cuentas
de ingresos?
• ¿Qué controles existen para supervisar la recolección y el envío de información
contable y financiera?
• ¿Hay supervisión de alguien cuya compensación no se vea afectada directamente
por su desempeño?
• ¿Alguien compara las revelaciones y estados financieros de la Organización en
relación con otras organizaciones?
• ¿Se hacen preguntas difíciles o problemáticas acerca de si las revelaciones de la
Organización son adecuadas o si podrían mejorarse?

Malversación de activos

Los activos tangibles, como dinero en efectivo e inventario, o intangibles, como las patentes
comerciales o información confidencial del cliente, son objeto de la apropiación indebida
por parte de los empleados, clientes, proveedores o contratistas. La Organización debe
asegurarse de que los controles están funcionando para proteger dichos activos. Las
consideraciones a realizar en el proceso de evaluación del riesgo de fraude incluyen la
identificación de los activos que están sujetos a la apropiación indebida, los lugares donde
se mantienen tales activos y el personal que tiene control y acceso a los bienes tangibles e
intangibles.

www.auditool.org 43
Los engaños o fraudes más comunes que se incluyen en esta categoría son los siguientes:

• Malversación de Activos
A. Disponible
1. Robo de dinero por documentos
a. Hurto
i. Ventas
1) Ventas ficticias
2) Anulación de facturas
ii. Cuentas por cobrar
1) Alteración del saldo del cliente
2) Pérdida total de la cuenta
3) Alteración de recibos
4) Recibos y pagos sin conciliar
5) Jineteo
iii. Devoluciones
b. Hurto en efectivo
2. Robo de dinero en efectivo
a. Ventas no registradas
b. Abonos no registrados
c. Cambio de efectivo por cheque
3. Desembolsos fraudulentos
a. Facturación
i. Empresas de papel
ii. Vendedores no autorizados
iii. Compras personales
b. Gastos
i. Gastos disfrazados
ii. Gastos inflados
iii. Gastos ficticios
iv. Gastos duplicados
c. Tesorería
i. Falso proveedor
ii. Endoso falsificado
iii. Alteración del beneficiario
iv. Alteración del valor
v. Vendedor o mensajero no autorizado
vi. Elaborador no autorizado
vii. Falso autorizador
d. Desembolsos
i. Registro doble
ii. Falsas transacciones
iii. Dobles transacciones

www.auditool.org 44
B. Inventario
1. Mal uso
a. Consumo
b. Desperdicio
c. Vencimiento
d. Averías
2. Hurto
e. Transferencias y traslados
f. Falsa facturación de ventas
g. Compras ficticias
h. Recepción parcial de productos
i. No registro de promociones y ofertas
j. Falso envíos y domicilios
k. Robo encubierto

La protección contra estos riesgos requiere no solo de los controles de físicos, sino también
de controles periódicos, tales como la toma física de inventario con conciliaciones en el libro
mayor o la debida diligencia de los proveedores y contratistas. De todas formas, un criminal
inteligente puede estar pensando en este tipo de controles y diseñar el fraude para eludirlos
u ocultarse a través de las falencias de los controles actuales. Por lo tanto, quienes realizan
la evaluación de riesgos deben tener esto en cuenta e ir más allá de lo que un perpetrador
puede pensar para determinar la probabilidad de fraude y su impacto en la Organización.
Como puede observarse, la clasificación de malversación de activos es bastante compleja
y amplia; por lo tanto, se recomienda dividirla en diferentes temas o campos de acción,
como inventarios, tesorería, entre otros.

Corrupción

La corrupción se define operacionalmente como el abuso del poder para beneficio privado,
actuación que está regulada y sancionada en muchos países del mundo. Por ejemplo, en
Estados Unidos, la FCPA prohíbe a las entidades de origen americano y a sus filiales en el
extranjero sobornar a funcionarios de gobiernos extranjeros, ya sea directa o
indirectamente, para obtener o retener un negocio. Hay leyes similares contra la corrupción
en otros países, así como las pautas establecidas por la Convención de las Naciones
Unidas contra la Corrupción, suscrita por más de 100 países.

Aquellas organizaciones que tienen operaciones fuera de sus países de origen deben tener
en cuenta otras leyes contra la corrupción para establecer un Programa de gestión del
riesgo de fraude. A nivel global, Transparencia Internacional es la organización
multinacional que lucha contra la corrupción y promueve la transparencia en los negocios y
el gobierno. Cada año, Transparencia Internacional emite el informe denominado Índice de
Percepción de la Corrupción anual, que clasifica a los países de acuerdo con sus niveles
de corrupción.

www.auditool.org 45
El Índice de Percepción de la Corrupción puede ayudar a las organizaciones a priorizar sus
esfuerzos contra la corrupción en las zonas del mundo con mayor riesgo. Sin embargo, no
se puede olvidar que la corrupción también puede ocurrir en el país de origen de una
organización e involucrar a cualquier sector económico y al gobierno. Es decir, la corrupción
es una práctica anticomercial de carácter global con devastadoras consecuencias
económicas, políticas y sociales.

Una forma común de la corrupción es ayudar e instigar a los perpetradores para que
obtengan sus beneficios por encima de cualquier principio colectivo. Las autoridades
policiales de todo el mundo han procesado numerosos casos en los que las organizaciones
no han falsificado sus estados financieros pero estructuraron algunas transacciones o
realizaron gestiones que permiten a otras organizaciones o individuos tergiversar sus
estados financieros de forma fraudulenta. Una evaluación exhaustiva de los riesgos tendrá
en cuenta el riesgo de que alguien participe en este tipo de comportamiento, así como otros
tipos de prácticas que puedan ser aplicables a la Organización. A continuación se encuentra
la clasificación de los tipos de corrupción:

• Corrupción
A. Pública
2. Corrupción administrativa
a. Cohecho o sobornos
b. Colusión
c. Tráfico de influencias
d. Peculado
e. Prevaricato
B. Privada
3. Conflicto de intereses
4. Sobornos
5. Manipulación de licitaciones
6. Favoritismo
7. Regalos y gratificaciones

Nómina

El fraude cometido en la nómina o por medio de la administración del talento humano es


mucho más común de lo que parece. La creación de nóminas paralelas en organizaciones
con un gran número de empleados puede salirse de control si no se crean los controles
correctos y suficientes para su administración. A continuación se entrega una clasificación
que le ayudará al equipo encargado de la evaluación del riesgo a determinar qué tipo de
riesgos genera el reclutamiento, la contratación y el pago a los empleados de la
Organización.

www.auditool.org 46
• Nómina
A. Empleados fantasma
1. Empleados no conocidos
2. Empleados retirados
B. Salarios falsos
1. Incrementos salariales
2. Cuentas bancarias no relacionadas
C. Comisiones
1. Sin soporte o justificación
2. Cargos sin comisiones
D. Seguridad social
1. Falsas afiliaciones
2. Empleados retirados
3. Empleados no conocidos

Tecnologías de la información y riesgo de fraude

Las organizaciones dependen de la tecnología y los sistemas de información para realizar


negocios, comunicar y procesar información financiera y comercial. Un entorno de
Tecnologías de la Información (TI) mal diseñado o mal controlado puede exponer a una
organización al fraude. Los sistemas informáticos de hoy en día, unidos por redes
nacionales y mundiales, se enfrentan a una amenaza continua de fraude cibernético y a
una variedad de amenazas que pueden resultar en pérdidas financieras significativas y de
información. Es un componente importante de cualquier evaluación de riesgos,
especialmente cuando se consideran los riesgos de fraude.

Los riesgos de TI pueden incluir amenazas a la integridad de los datos, amenazas de los
hackers a la seguridad del sistema, y el robo de información financiera y sensible de la
empresa. Ya sea en forma de piratería, espionaje económico, desfiguración web, sabotaje
de los datos, virus o acceso no autorizado a los datos, los riesgos de fraude pueden afectar
a todos. De hecho, puede ser utilizado por personas con intención de cometer fraude en
cualquiera de las tres áreas de riesgo de fraude en el trabajo definidas por la ACFE.

• Cibercrimen
A. Piratería
1. Reproducción o utilización de propiedad intelectual
2. Distribución de propiedad intelectual
B. Acceso no autorizado
1. Sistemas de información
2. Robo de identidad
3. Robo de información
4. Uso de dispositivo electrónicos

www.auditool.org 47
C. Vandalismo
1. Destrucción de información
2. Saboteo de sistemas de información
3. Interrupción del servicio
4. Suplantación del sistema de información o web
5. Instalación de malware

Otros tipos de riesgos

• Riesgo reputacional

El riesgo reputacional es la posibilidad de caer en publicidad negativa o especulativa sobre


las actuaciones de la entidad, sus relaciones y prácticas comerciales, lo que conlleva a la
pérdida de la confianza de sus contrapartes. El desprestigio y la mala imagen impactan de
inmediato negativamente en los ingresos o ventas, y también se refleja en la pérdida de los
clientes. Por lo tanto, una simple sospecha o acusación relacionada con lavado de dinero,
financiamiento al terrorismo, fraude de cuello blanco o corrupción para la empresa o para
sus directivos o funcionarios puede causar pérdidas económicas devastadoras.

• Riesgo financiero

El riesgo financiero está relacionado con la incapacidad de administrar los recursos


económicos de la empresa, lo que conlleva a la búsqueda de recursos financieros externos
que en muchos casos son fuentes informales o ilegales de financiación, o esquemas de
préstamos que no se encuentran regulados por las leyes del país. La carencia de controles
administrativos o malos hábitos financieros de la empresa son la oportunidad perfecta que
la industria criminal espera para introducir el dinero producto de las actividades
delincuenciales dentro del sistema económico a través de una empresa cuyas finanzas
están enfermas o en decadencia.

• Riesgo operacional

El riesgo operativo u operacional está relacionado con la pérdida económica originada por
las fallas en los procesos internos, empleados no aptos en los lugares de trabajo, sistemas
de información inadecuados, tecnología que no soporta las actuales operaciones,
infraestructura inadecuada, o eventos externos que afecta el desarrollo normal del objeto
social de la empresa. La ausencia, carencia o fallas en el control de los procedimientos son
la oportunidad que los delincuentes buscan dentro de las empresas para limpiar el dinero o
cometer un delito, en muchos casos acompañados por la negligencia o complicidad de
terceros relacionados con el negocio para facilitar la acción delincuencial o la transacción
ilegal.

www.auditool.org 48
• Riesgo de mercado

El Riesgo de mercado se refiere a la posibilidad de sufrir pérdidas económicas dentro del


negocio producto de movimientos o cambios adversos de los productos, precios, y
condiciones de venta de los productos o servicios ofrecidos. La competencia desleal es el
mayor generador de este tipo de cambios, debido a que el único interés de quien blanquea
el dinero es la legalización sin importar el costo en que sea necesario incurrir. Por esto, los
negocios legales sufren inmensas y a veces irrecuperables pérdidas económicas cuando
su nicho de mercado o sector económico está siendo usado para lavado de activos,
financiación al terrorismo o fraude por la industria criminal.

• Riesgo de contagio

El riesgo de contagio es la posibilidad que tiene el negocio de sufrir pérdidas por un evento
directo o indirecto relacionado con sus contrapartes, que puede ser un cliente, un
proveedor, un accionista o personas vinculadas con la empresa con capacidad dominante
que ejercen control e influencia. Dicha acción o experiencia puede ocurrir dentro del mismo
sector económico afectando económicamente a la empresa, aún si esta no es parte de la
actividad delincuencial. Esto significa que los delincuentes tienen identificado que cierto
sector económico no posee los controles necesarios para evitar el blanqueo de capitales o
fraude, y entonces usan las empresas que están dentro de este sector.

Riesgo inherente de fraude

La evaluación de la probabilidad e importancia de cada riesgo potencial de fraude es un


proceso subjetivo, ya que todos los riesgos de fraude no son igualmente probables, ni todos
los fraudes van a tener un impacto significativo en todas las organizaciones. Recordemos
que las empresas o corporaciones se comportan como personas y tienen su propia
identidad. La evaluación de la probabilidad y la importancia de los riesgos inherentes
identificados permiten a la Organización gestionar sus riesgos de fraude y aplicar
procedimientos preventivos y de detección de forma racional, para lo cual también se deben
incluir los riesgos inherentes de fraude de la empresa o aquellos que no han sido
considerados dentro de los controles conocidos. Al adoptar este enfoque, el grupo de
gestión del fraude será capaz de abarcar todos los riesgos de fraude y los controles
pertinentes diseñados para hacer frente a los riesgos.

Después de la cartografía de los riesgos de fraude y los controles pertinentes, ciertos


riesgos residuales permanecerán, incluyendo el riesgo de anulación de los controles
establecidos. La Gerencia debe evaluar la importancia potencial de los riesgos residuales
y decidir sobre la naturaleza y el alcance del fraude de los controles y procedimientos
preventivos y de detección para hacer frente a tales riesgos.

www.auditool.org 49
La evaluación de la probabilidad de un riesgo de fraude se establece por medio de los casos
de fraude que se presentaron en el pasado en la Organización, la prevalencia del riesgo de
fraude en la industria de la Organización, y otros factores, incluyendo el número de
transacciones individuales, la complejidad de los riesgos, y el número de personas
involucradas en la revisión o aprobación de los procesos. Las organizaciones pueden
categorizar la probabilidad de posibles fraudes como se considere razonable, pero las tres
categorías que son generalmente adecuadas son estas: remota, razonablemente posible y
probable.

La evaluación de la importancia de un riesgo de fraude debe incluir no solo los estados


financieros y la importancia monetaria, sino también las operaciones de una organización,
el valor de marca y la reputación, así como la responsabilidad penal, civil y regulatoria. Por
ejemplo, dos organizaciones diferentes pueden tener cantidades similares de gastos en el
rubro de empleados, pero una organización es una empresa de servicios que cobra los
gastos a los clientes y otra es empresa que vende productos. Aunque la probabilidad de
que el riesgo de gastos fraudulentos en los estados financieros y la exposición monetaria
puede ser similar en ambos organismos, la importancia relativa de los informes de gastos
fraudulentos para la empresa de servicios profesionales puede ser mayor, dado el impacto
que los informes de gastos fraudulentos pueden tener en las relaciones con clientes.

Las organizaciones pueden categorizar la importancia de fraudes potenciales como


consideren razonable, pero las tres categorías que son generalmente usadas son las
siguientes: inmaterial, significativa y material.

Como parte del proceso de evaluación de riesgos, la Organización debe evaluar los
incentivos y las presiones sobre los individuos y las áreas de trabajo o departamentos, y
utilizar esta información en el proceso de evaluación de cuáles son los individuos o
departamentos más propensos a tener incentivos para cometer un fraude, y de ser así, a
través de qué medios. Esta información se puede resumir en la tabla de evaluación del
riesgo de fraude y puede ayudar a las organizaciones a diseñar respuestas para los riesgos
correspondientes o encontrados.

Respuesta a los riesgos de fraude residuales

La tolerancia al riesgo varía de una organización a otra. Para empresas de mayor tamaño,
la Junta Directiva debe ajustar el nivel de tolerancia al riesgo de la Organización, teniendo
en cuenta sus responsabilidades hacia los accionistas, los proveedores de capital, y las
partes interesadas; por lo tanto, tales empresas tendrán un programa de respuesta frente
al fraude mucho más robusto; mientras que algunas organizaciones de menor tamaño solo
abordarán los riesgos de fraude que podrían tener un impacto material en los estados
financieros.

www.auditool.org 50
Muchas organizaciones implementarán la política de "tolerancia cero" con respecto al
fraude, sin embargo, existen ciertos riesgos de fraude que una organización considera
demasiado costosos y requieren de mucho tiempo para hacerles frente a través de los
controles. En consecuencia, la Organización puede decidir no poner los controles en su
lugar para hacer frente a tales riesgos, y si se descubre un fraude, se aplicará la política de
tolerancia cero para el fraude y aceptará las consecuencias que esto genere.

El nivel de tolerancia al riesgo de una organización proporciona apoyo a la gestión de la


administración del riesgo sobre la mejor manera de responder a los riesgos de fraude. Los
riesgos de fraude pueden dirigirse al aceptar el riesgo de un fraude basado en la percepción
del nivel de probabilidad e importancia, el aumento de los controles sobre el área para
mitigar el riesgo, o el diseño de procedimientos de auditoría interna para hacer frente a los
riesgos específicos de fraude.

La Junta Directiva debe garantizar que el grupo de gestión del fraude ha puesto en marcha
el nivel adecuado de controles basados en la tolerancia al riesgo que se ha establecido
para la Organización. En efecto, se deben tener en cuenta los estados financieros y las
operaciones de una organización para diseñar controles adecuados. La clave de este
proceso es ser selectivo y eficaz. Probablemente, hay miles de posibles controles que se
podrían implementar pero el objetivo apunta a un enfoque puntual, específico y estructurado
con controles eficientes que ofrezcan el mayor beneficio por el costo de los recursos.

Al abordar los riesgos de fraude, se debe tener cuidado para asegurar que los controles
antifraude están operando efectivamente y han sido diseñados incluyendo las medidas
adecuadas para hacer frente a los riesgos relevantes. Por lo tanto, los controles antifraude
deben estar diseñados de manera adecuada y ejecutados por personas competentes y
objetivas. La documentación de gestión de los controles antifraude debe incluir la
descripción de lo que hace el control, para qué está diseñado, quién llevará a cabo el
control, quién supervisará y evaluará la eficacia del control y la segregación de funciones
relacionadas.

www.auditool.org 51
MÓDULO 4 PRINCIPIOS FUNDAMENTALES EN ADMINISTRACIÓN DEL FRAUDE -
P3. TÉCNICAS DE PREVENCIÓN DE FRAUDE

P3. Técnicas de prevención de fraude

El Programa de administración del riesgo de fraude debe contener las técnicas


profesionales de prevención para evitar cualquier tipo de riesgo potencial de fraude y mitigar
los impactos en la Organización. La prevención del fraude abarca políticas, procesos,
procedimientos, entrenamientos y comunicaciones que tienen como fin evitar el fraude. Si
bien es cierto que la habilidad del perpetrador puede socavar o quebrantar los controles
para cometer el fraude, es claro que la mejor medida antifraude es la implementación del
programa de prevención de fraude y la actitud férrea o tolerancia cero al fraude en toda
la Organización, es decir, desde la Junta Directiva hasta cualquier persona que tenga
relación contractual con la empresa.

Por otra parte, uno de los elementos más fuertes de disuasión es la conciencia de que todos
los controles y medidas están funcionando perfectamente. La combinación entre los
controles preventivos y las medidas de detección mejoran sustancialmente la efectividad
del Programa de administración del riesgo de fraude. En conclusión, sabemos que todas
las organizaciones son susceptibles de ser objeto de un fraude y que no todos los fraudes
pueden ser prevenidos, ya que la relación costo-beneficio debe primar al momento de la
elaboración del programa de administración del riesgo de fraude. Como hemos tratado en
este curso, elaborar controles de prevención para determinados riesgos puede ser más
costoso que las pérdidas que el mismo riesgo puede acarrear. El secreto está en conocer
sus riesgos y monitorearlos continuamente.

A pesar de los mejores esfuerzos por parte de los responsables de la prevención del fraude,
un hecho sigue siendo inevitable: "El fraude ocurre" El fraude y la mala conducta pueden
ocurrir en varios niveles de cualquier organización, por lo que es esencial que los programas
de prevención y detección estén adecuadamente en su lugar. Aunque la prevención y
detección del fraude son conceptos relacionados, se debe tener claro que no son lo mismo.
Si bien la prevención abarca políticas, procedimientos, capacitación y comunicación; la
detección implica actividades y programas diseñados para identificar el fraude o la mala
conducta que está ocurriendo o ha ocurrido. Aunque existan las medidas preventivas para
minimizar el riesgo de fraude, no se puede asegurar que no exista el fraude.

Una clave para la prevención es sensibilizar a todo el personal en toda la Organización


sobre el programa de gestión del riesgo de fraude, incluyendo los tipos de fraude y mala
conducta que pueden producirse. Dicha sensibilización debe crear un ambiente de control
en el cual todas las técnicas establecidas en el programa son reales y están en vigor.
Igualmente, se debe instruir o proporcionar información sobre las acciones disciplinarias,
penales y civiles que la Organización podría tomar contra el individuo que comete fraude.

www.auditool.org 52
Con esto en mente, la prevención y la disuasión son conceptos interrelacionados que se
convierten en la primera herramienta para atacar a los perpetradores dentro de la empresa.
Si los medios de prevención están en su lugar, funcionan y son bien conocidos por los
potenciales autores de fraudes, esto ayudará a evitar las tentaciones de cometer fraude. El
miedo de ser atrapado es siempre un fuerte disuasivo; por lo tanto, los medios de
prevención eficaces son fuertes controles de disuasión.

El Sistema de Control Interno en una organización está diseñado para hacer frente a los
riesgos inherentes de negocio. Los riesgos del negocio son identificados en el protocolo de
evaluación de riesgos de la empresa, donde también se observan los controles asociados
a cada riesgo. Sin embargo, el establecimiento de controles internos no garantiza el
cubrimiento de todos los riesgos de fraude de una organización. Los riesgos de fraude
requieren controles específicos para mitigarlos, lo que hace que el proceso de evaluación
del riesgo de fraude de una organización sea esencial para la prevención del fraude.
Además, en la implementación de controles de prevención de fraude, es importante que la
Organización evalúe y supervise continuamente su eficacia operativa para ayudar a
prevenir el fraude.

Controles de prevención de fraude

La prevención es la medida más proactiva y económica en la lucha contra el fraude. El


diseño e implementación de las actividades de control debe ser un esfuerzo coordinado y
encabezado por la Junta Directiva y el grupo de gestión del fraude, donde los empleados
deben tener alta participación. En conjunto, esta sección transversal de la Organización
debe ser capaz de hacer frente a todos los riesgos identificados, diseñar e implementar las
actividades de control, y asegurarse de que las técnicas utilizadas son adecuadas para
prevenir que el fraude se produzca de acuerdo con la tolerancia al riesgo de la
Organización.

El éxito continuo de cualquier programa de prevención del fraude depende de su


comunicación constante y su reiteración tanto hacia los empleados como hacia los
candidatos a ocupar las vacantes disponibles. También se logra recalcando la existencia
de un programa de prevención del fraude a través de una amplia variedad de medios tales
como boletines, carteleras, tableros, volantes incluidos en las facturas y pagos a
proveedores y artículos en las comunicaciones internas y externas. Dichos recursos envían
un mensaje a las contrapartes internas y externas de la Organización para que todos se
comprometan a prevenir e impedir el fraude. La Organización debe crear la cultura de
tolerancia cero al fraude por medio de la actitud férrea de no dejarse tentar.

Existen muchos elementos en la prevención del fraude pero los procedimientos creados en
el área de recursos humanos, la claridad de los límites de autoridad, y la implementación
de los niveles de las transacciones conforman la base para crear cualquier programa de
prevención del fraude.

www.auditool.org 53
Procedimientos para recursos humanos

Los departamentos de personal, talento humano o recursos humanos son la piedra angular
de la prevención del fraude corporativo. La elección del empleado ideal tiene que ir más allá
de la búsqueda subjetiva de candidatos idóneos que cumplen con las condiciones técnicas
e intelectuales del cargo a suplir, ya que dicha búsqueda debe ser el primer factor de
disuasión frente al fraude. Sin embargo, el análisis de las aptitudes físicas y mentales de
los solicitantes por medio de entrevistas, pruebas psicométricas y exámenes médicos son
en muchos casos más importantes que la búsqueda de personal que realmente esté y
quiera estar alineado con los valores de la corporación.

Como es bien sabido, el factor humano es fundamental para el desarrollo del mundo
empresarial; y a pesar de que los medios de producción son cada vez más automatizados
o robotizados, la mano de obra y el talento siguen fortaleciendo las industrias en el mundo.
Sin embargo, el éxito empresarial se ve manchado por aquellos que de alguna forma se
dejan conquistar por los antivalores y actúan en contra de la Organización para alimentar
fraudulentamente sus bolsillos. Por esto, los programas de prevención del fraude deben
incluir los procesos de reclutamiento, selección y contratación del personal. La disuasión
de la comisión del fraude empieza por casa y debe iniciarse desde el mismo momento de
contacto que tiene el candidato laboral con la empresa; de este modo, un ambiente de total
control y la actitud férrea frente al fraude son las herramientas básicas de disuasión.

Como se ha podido observar, los perpetradores se encuentran en todas las esferas y hacen
todo lo necesario para romper las normas con el único fin de incrementar su patrimonio y
sostener su ritmo de vida. El perpetrador monitorea y detecta las oportunidades,
deficiencias y faltas de control de su objetivo. Su agudo olfato e instinto para detectar
controles laxos le ayudan a crear las estrategias necesarias para irrumpir en las finanzas y,
en general, en los activos de la empresa y tomar de allí lo que le satisfaga. Un perpetrador
no tiene escrúpulos y en muchos casos buscan las empresas con carencias administrativas
y financieras; es decir, un perpetrador tiene un target y perfila su víctima cuidadosamente.
Pero, ¿cómo puede un empresario proteger su organización desde el Departamento de
Recursos Humanos o Contratación?

El Reglamento Interno de trabajo es la herramienta más básica y conocida del mundo


laboral. Su redacción debe contener aspectos fundamentales sobre faltas graves y leves
relacionadas con el fraude corporativo o los riesgos a los cuales está expuesta la empresa
en este tipo de temas. De esta manera, el Reglamento Interno de trabajo no debe ser la
simple y tradicional recopilación de cláusulas o artículos relativas a la forma de laborar; un
Reglamento Interno de trabajo debe estar alineado con el ambiente de control y el buen
Gobierno Corporativo, de modo que desde el inicio de las labores esté clara para el nuevo
empleado la actitud inflexible ante el fraude.

www.auditool.org 54
El buen Gobierno Corporativo es otra herramienta que protege la entidad o corporación por
medio de la orientación, supervisión y control de los riesgos; es clave para que los
candidatos a suplir las vacantes y los nuevos empleados que pretendan cometer fraude
sientan desánimo al observar que cada una de las personas que ocupan cargos desde la
Junta Directiva hasta el último empleado en la línea de autoridad están comprometidos con
la transparencia y la ética en todas las transacciones de la compañía.

El programa de prevención de delitos económicos también es un recurso avanzado que


permite blindar a la empresa de futuros riesgos y, por ende, de consecuencias económicas
que en algunos casos son pérdidas incalculables, como también reputacionales.

Por lo tanto, los procesos de reclutamiento, selección y contratación del personal que son
desarrollados por el Departamento de Recursos Humanos, o de quien haga sus veces,
deben ser la piedra angular de cualquier programa de prevención de fraude o lavado de
activos. Igualmente, la creación del adecuado ambiente de control debe involucrar un
Reglamento Interno de trabajo capaz de sancionar las faltas leves y graves relacionadas
con los riesgos de fraude, abuso y lavado de dinero en la corporación. Así mismo, como
principio económico y de administración de fraude sabemos que es más barato prevenir
que corregir y dicha prevención debe iniciarse en el primer contacto del candidato con la
empresa, demostrando congruencia e integridad y tomando la actitud antifraude como estilo
de vida laboral.

• Realización de investigaciones de antecedentes o debida diligencia del


empleado

Uno de los riesgos de fraude en cualquier organización se origina en las personas


contratadas para operar el negocio y las promociones de los antiguos empleados a puestos
de confianza y autoridad. Por esa razón, es importante conocer a los empleados con el fin
de evaluar sus credenciales y competencias, sus habilidades para cumplir con el trabajo
designado, y ser conscientes de las cuestiones o dificultades de la vida privada que puedan
afectar su idoneidad para el cargo. Se puede aprender mucho acerca de un individuo a
través de la confirmación de la experiencia laboral y la educación proporcionada en una
solicitud de empleo o currículo vitae o en el seguimiento con las referencias proporcionadas.
Es posible encontrar información falsa o tergiversada, o una historia no revelada donde la
reputación puede representar un riesgo y, posiblemente, negación a ocupar el cargo.

www.auditool.org 55
La Organización debe establecer procedimientos para obtener información suficiente para
evaluar un solicitante de empleo o candidato a una promoción. La naturaleza y el alcance
de la información pueden ser solicitados a partir de un empleado existente o a través de un
tercero u organización independiente, basados en las leyes y reglamentos de la
corporación, que sea especializado en hacer la debida diligencia de la contraparte. Se debe
tener presente que cualquier tipo de comprobación de antecedentes penales, y de situación
financiera y personal solo puede ser posible después de recibir el consentimiento del
individuo. Por esto, el Departamento de Recursos Humanos o talento humano debe estar
apoyado por un asesor legal que instruya sobre la metodología para abordar la información
del candidato.

La verificación de antecedentes también se debe realizar para los clientes nuevos y


existentes, proveedores, socios de negocios, accionistas y contratistas para identificar
cualquier problema de salud financiera, de propiedad, de conflicto de intereses, de
reputación y de integridad que pueda representar un riesgo inaceptable para el negocio.

• Formación contra el fraude

La Organización puede contratar o ascender a individuos competentes que después de


haber sido sometidos a controles de antecedentes apropiados y de debida diligencia,
representan un bajo riesgo de fraude. Es posible que estas personas tengan una
comprensión completa de lo que es el fraude, cuáles son las señales de alerta, y una
apreciación clase sobre las devastadoras consecuencias del fraude. Sin embargo, no se
debe otorgar exenciones para recibir la orientación inicial y la formación continua del
Programa de gestión del riesgo de fraude, independientemente de la posición del individuo
en la Organización. Este tipo de educación sirve para establecer y reforzar la directriz de la
Junta Directiva y la Administración de la compañía con respecto a la responsabilidad del
individuo y el proceso para hacer frente a una sospecha de fraude.

El Departamento de Recursos Humanos de una organización es a menudo el área


responsable de desarrollar y proporcionar la formación necesaria sobre el propósito del
Programa de gestión del riesgo de fraude, incluyendo los códigos de conducta y ética,
temas sobre fraude, y qué hacer cuando se sospecha de fraude. La eficacia de esta
formación depende de la asistencia obligatoria, con actualizaciones periódicas y sesiones
de actualización para todo el personal de la empresa.

www.auditool.org 56
• Evaluación de los programas de desempeño y compensación

Los directivos de recursos humanos deben participar en los programas de gestión de


desempeño y compensación del personal. La gestión del desempeño consiste en la
evaluación del comportamiento y rendimiento de los empleados, así como el análisis de las
competencias relacionadas con el trabajo. Es una característica típica humana querer
reconocimiento sobre el desempeño laboral y obtener la recompensa por el buen
comportamiento y el éxito en el trabajo. La evaluación periódica y precisa sobre el
desempeño de los empleados con la retroalimentación oportuna y constructiva constituye
una de las herramientas más efectivas para la prevención de problemas potenciales de
fraude. Los empleados que no son reconocidos por lo que hacen y lo que han logrado,
especialmente aquellos que han sido pasados por alto para una promoción, pueden sentir
que una conducta inapropiada y fraudulenta está justificada.

La recompensa también se puede reflejar en la compensación o pago. Mediante la


realización de encuestas de compensación y análisis de mercado local, Recursos Humanos
puede determinar si la Alta Dirección y los empleados son compensados adecuadamente
y, por lo tanto, pueden lograr un equilibrio entre la retribución fija y variable. Por ejemplo,
algunos gerentes o jefes de áreas cuya remuneración se basa en gran medida en prima por
objetivos a corto plazo pueden ser motivados para cortar las esquinas o deliberadamente
fabricar resultados financieros fraudulentos para alcanzar dichos bonos.

Delimitación de los niveles de autoridad

El fraude es menos probable cuando el nivel de autoridad de un individuo es proporcional


a su nivel de responsabilidad. Una desalineación entre la autoridad y responsabilidad, en
particular en ausencia de actividades de control y segregación de funciones, puede dar
lugar a fraude.

La Organización debe establecer los niveles de autoridad en toda la empresa como un


control a nivel de entidad. Por otro lado, a las personas que trabajan dentro de una función
específica se les debe asignar acceso limitado a los medios tecnológicos como el software
y hardware como un control a nivel de proceso. Estos tipos de controles, apoyados por una
adecuada segregación de funciones, ayudan en la primera línea de defensa en la
prevención del fraude.

Implementación de los Sistemas de Control de terceros

Los comentarios de terceras personas y/o vinculadas acerca de las transacciones también
pueden ayudar a prevenir el fraude. Debido a que los esquemas de fraude a menudo
implican el uso de entidades y/o individuos, las organizaciones necesitan medidas
exhaustivas desde el inicio hasta el final de las transacciones que eviten la creación de
falsos proveedores, contratistas o empleados, que son los esquemas de fraude más
evidentes y notables.

www.auditool.org 57
Se deben tomar medidas preventivas acerca de la creación de terceros con los cuales se
realizarán las transacciones y estos deben ser controlados por los empleados que tienen la
autoridad en el proceso o por aquellos que la Junta Directiva designe. Tales individuos
deben conocer naturaleza del tercero y las transacciones para evitar a toda costa que
dichas actividades beneficien en última instancia a personas dentro de la Organización.

Documentación de las técnicas de prevención de fraude

Todas las organizaciones deben documentar formalmente las técnicas desarrolladas e


implementadas para prevenir el fraude. Esto incluye la documentación de procesos
utilizados para monitorear el desempeño de los mecanismos de prevención de fraude o
para indicar cuando tales controles son ineficaces. Los procedimientos de análisis llevados
a cabo para asegurar el funcionamiento adecuado de los medios de prevención de fraude
y los resultados de la prueba también se deben documentar minuciosamente. Es decir, cada
movimiento que se haga con respecto al análisis del fraude en la Organización debe quedar
consignado por escrito al igual que sus consecuencias e impactos. En estos casos, es
necesario tener mente abierta y tener presente cualquier manifestación de fraude que
pudiera aparecer. Recordemos que el perpetrador no descansa y es creativo a la hora de
incursionar en nuevos métodos. Los crímenes más elaborados fueron basados en
situaciones sencillas.

Así mismo, está documentación se debe actualizar permanentemente de modo que sirva
de consulta para posteriores casos y personas. Así las cosas, la documentación sobre el
análisis del fraude es la recopilación histórica y forense de la Organización.

En orden a lograr que esta documentación sea completa, es supremamente importante la


descripción detallada de los elementos de las técnicas de prevención del fraude de la
Organización, con énfasis en las funciones y responsabilidades de todas las partes
involucradas.

Evaluación del Programa de prevención de fraude de la Organización

Aquellas organizaciones que desean evaluar su Programa de gestión de riesgo de fraude,


y que se esfuerzan por mejorarlo, deben llevar a cabo las evaluaciones generales de sus
técnicas de prevención. El cuadro de mando de Prevención de Fraude es una herramienta
que se puede utilizar para evaluar el grado de exhaustividad de los controles preventivos
de la Organización y la operatividad adecuada. Las organizaciones deben reevaluar
periódicamente sus técnicas de prevención de fraude para asegurar que se están haciendo
progresos tendientes a llegar a un estado de prevención del fraude óptimo donde no existen
elementos de prevención del fraude que se están deteriorando. Las organizaciones con un
fuerte compromiso en la prevención del fraude también deben permitir la participación de
expertos externos independientes para evaluar sus técnicas de prevención de fraude.

www.auditool.org 58
La evaluación independiente ayuda a perfilar y perfeccionar detalles que se escapan al ojo
del grupo gestor de fraude, como también a determinar nuevas tendencias fraudulentas que
se dan a conocer a través de investigaciones y casos recientes. Hemos hablado
reiteradamente sobre la habilidad de los criminales que operan tanto a nivel individual como
en colectivo usando estrategias que rompen la barrera de lo impensable, por lo tanto, la
evaluación del programa de prevención debe ser holística y abierta.

Monitoreo continuo de los controles para evitar el fraude

El plan, el enfoque y el alcance del control de las técnicas de prevención de fraude deben
ser documentados y actualizados según sea necesario. Debido a todas las partes
implicadas en el proceso de evaluación de riesgos y al posterior diseño de las actividades
de control, es difícil exigir que el Programa de prevención del fraude se controle
regularmente a través de una entidad independiente. Sin embargo, las revisiones periódicas
deben ser planificadas y llevadas a cabo por separado en cualquiera de las auditorías de
rutina para asegurar a la Dirección la eficacia de la prevención del fraude de la
Organización. Es decir, la Organización debe conducir una evaluación independiente de los
controles internos y de su eficacia en el tiempo

El monitoreo es el proceso por medio del cual se evalúa la calidad del ambiente de control
en el tiempo y para ello se requiere de la evaluación de las actividades del día a día en la
empresa. Este proceso involucra la revisión exhaustiva de la información financiera, y
verificación de los inventarios, suministros, equipos y los demás activos de la Organización.

Antes de cada examen del programa, las dificultades como los cambios significativos en la
Organización y sus riesgos asociados, los cambios en el personal responsable de la
ejecución de las actividades y los resultados de las evaluaciones anteriores determinarán
si el alcance del examen actual necesita ser cambiado. Cada evaluación debe incluir
pruebas de que la Administración está reteniendo y educando activamente a los
responsables de la supervisión del Programa de gestión del riesgo de fraude, se han
adoptado las medidas correctivas oportunas y suficientes con respecto a cualquier
deficiencia de control o debilidades señaladas anteriormente, y que el plan de control al
programa de prevención continúa siendo adecuado para asegurar su éxito en la
Organización

www.auditool.org 59
MÓDULO 5: PRINCIPIOS FUNDAMENTALES EN ADMINISTRACIÓN DEL FRAUDE - P4.
TÉCNICAS DE DETECCIÓN DE FRAUDE

P4. Técnicas de detección de fraude

La Organización debe tener claras y formuladas por escrito las técnicas de detección de los
potenciales fraudes o los eventos en los cuales exista una mínima duda sobre la comisión
de un delito, cuando las medidas de prevención hayan sido insuficientes o la habilidad del
perpetrador haya traspasado todas las expectativas de la comisión del delito. La detección
del fraude se enfoca en las actividades y técnicas que reconocen rápidamente y a tiempo
que el fraude ocurrió o está ocurriendo. Si bien es cierto que la prevención es el inicio del
camino, la detección es igualmente importante por los controles y medidas implementados
para detectar el fraude y proporcionar la evidencia sobre la ocurrencia de un fraude; por
esto, las medidas de detección deben ser totalmente diferentes a las medidas de
prevención.

La práctica de mantener las medidas de control y detección exhibidas en un lugar visible


para todas las personas relacionadas con la empresa es uno de los elementos disuasorios
más fuertes para evitar la conducta fraudulenta. Las medidas de detección se utilizan en
conjunto con los controles preventivos, mejoran la eficacia del Programa de gestión del
riesgo de fraude, y proporcionan evidencia de que los medios de prevención están
funcionando según lo previsto y la identificación de fraude se produce fácilmente. Se debe
tener en claro que a pesar de que los controles de detección pueden proporcionar evidencia
de que el fraude está ocurriendo o ha ocurrido, estos no están destinados a prevenir el
fraude.

En algunos casos, los tipos de controles de detección implementados pueden depender de


los riesgos de fraude identificados para una organización. Por ejemplo, si una organización
opera en países que están identificados como de alto riesgo para la corrupción, se pueden
aplicar medidas de detección que controlan las posibles violaciones de las regulaciones
anticorrupción a través de la revisión periódica de informes de gastos y honorarios de
consultoría. Al igual que con la prevención del fraude, es importante para la Organización
evaluar y supervisar continuamente sus técnicas de detección de fraude para ayudar a
detectar el fraude que se está produciendo o se ha producido.

Las organizaciones no pueden eliminar el riesgo de fraude en su totalidad. Siempre hay


personas que están motivadas para cometer fraude y las oportunidades surgen en cualquier
momento si la Organización no tiene controles efectivos. Igualmente, un perpetrador puede
anular un control para su connivencia o influenciar en otros para que le ayuden. Por lo tanto,
las técnicas de detección deben ser flexibles, adaptables y en continuo cambio para
satisfacer los diversos cambios de los diferentes riesgos a los cuales las corporaciones
permanecen expuestas.

www.auditool.org 60
Mientras que las medidas preventivas son evidentes y fácilmente identificables por los
empleados, y demás terceros, otros controles de detección son de carácter clandestino; es
decir, dichos controles operan en un contexto oculto o que no es evidente en el entorno
empresarial cotidiano. Dichas técnicas generalmente se presentan de la siguiente forma:

• Se producen en el curso ordinario de los negocios.


• Se comparan en la información externa para corroborar la información generada
internamente.
• Se comunican las deficiencias identificadas y excepciones a la Dirección apropiada.
• Se usan los resultados para mejorar y modificar otros controles.

A pesar de que cada organización es susceptible al fraude, es imposible tratar de eliminar


todo el riesgo de fraude. Una organización puede elegir diseñar controles más fuertes para
detectar, en lugar de prevenir, ciertos riesgos de fraude, todo depende del apetito al riesgo
y la exposición al riesgo de la empresa. Si los costos estimados de diseño, implementación
y monitoreo de los controles contra el fraude tales como herramientas, personal o formación
superan el impacto estimado del riesgo, la Junta Directiva muy probablemente determinará
que es rentable la implementación.

Líneas directas de denunciantes o delatores

El uso de líneas directas de denunciantes o delatores es una de las medidas más eficaces
que las organizaciones pueden implementar como parte de su Programa de gestión del
riesgo de fraude. También son conocidas como líneas éticas.

Varios de los estudios sobre fraude indican que las denuncias anónimas recibidas a través
de líneas éticas o por otros métodos son uno de los mecanismos más efectivos para la
detección y disuasión del fraude, ya que el mero conocimiento de que una línea telefónica
puede ser empleada para hacer denuncias anónimas inspira cierto temor al perpetrador.
Igualmente, las líneas éticas promueven el manejo oportuno de todos los problemas
reportados y complementan el control de detección. La línea ética debe ser promovida a
través de materiales educativos proporcionados a accionistas, empleados, clientes,
proveedores, contratistas y demás personas que de una u otra forma tengan relación
contractual con la Organización. Para todos ellos debe quedar claro que el uso de la línea
ética o de denunciantes tiene como objetivo proporcionar información valiosa a partir de
una variedad de fuentes fiables y en ningún caso debe ser usada con fines difamatorios o
para causar daño a las personas.

Adicionalmente, la implementación de la línea ética para denunciar por lo general no


requiere de mucho dinero y es fácil de usar. Así mismo, las líneas éticas idealmente deben
soportar una capacidad multilingüe y proporcionar acceso con un agente capacitado las 24
horas del día, los 365 días del año.

www.auditool.org 61
Las líneas éticas más eficaces preservan la confidencialidad de las personas que llaman y
proporcionan seguridad a los empleados para que no sean víctimas de represalias por
informar las sospechas de irregularidades, incluyendo aquellas infracciones cometidas por
sus superiores. La notificación de cualquier anomalía dará lugar a que se adopten medidas
apropiadas y oportunas y, si es el caso, a la corrección de los controles que fueron
vulnerados. Asimismo, para preservar la integridad del proceso de denunciantes, también
se debe proporcionar un medio para reportar cualquier sospecha de fraude que implique a
miembros de Junta Directiva, Alta Dirección o el Comité de Auditoría.

Case Management & Data

Se debe utilizar un sistema de gestión de casos para registrar todas las llamadas y su
seguimiento para facilitar la gestión del proceso de resolución, las pruebas para los
auditores internos y la supervisión por parte la Junta Directiva y/o el Comité de Auditoría
designado por la Junta Directiva.

La denominación Case Management se refiere al software que permite registrar las


llamadas y acumular datos con el fin de armar estadísticas acerca de las llamadas.

La Junta Directiva debe aprobar protocolos para asegurar que los temas relacionados con
el fraude, corrupción, lavado de dinero y financiamiento al terrorismo reportado son
difundidos oportunamente a las partes correspondientes interesadas, tales como el equipo
de Ética y cumplimiento, Recursos Humanos, la Junta Directiva y/o el Comité de Auditoría,
así como legales y de seguridad.

La distribución de informes de tales ocurrencias en sus respectivas áreas de


responsabilidad asegura que ninguna persona se saltará o evitará los controles instaurados,
ya que la información es altamente sensible y puede escalar a problemas de seguridad
mayores.

Con toda la responsabilidad que implica tener los procedimientos documentados para
recibir, retener, e investigar las quejas o sugerencias que alegan la posibilidad de un posible
fraude, muchos comités de auditoría se han dirigido a los proveedores de servicios
independientes para operar las líneas éticas y notificar a la Organización de cualquier
reporte de anomalías.

Un programa de línea ética eficaz debe analizar los datos recibidos y comparar los
resultados con las normas tanto para la compañía como para las organizaciones similares.
Los análisis en curso permiten a una organización formar su nuevo programa de gestión de
riesgos de fraude para hacer frente a la evolución de los riesgos.

www.auditool.org 62
La eficacia del proceso de denuncia a través de las líneas éticas debe evaluarse
independiente y periódicamente, como también el cumplimiento de los protocolos
establecidos, de modo que se pueda verificar si el objetivo de tener dicha línea de denuncia
está cumpliendo con los objetivos trazados y está siendo utilizada adecuadamente.

Controles de proceso

Los controles del proceso específicamente son diseñados para detectar las actividades
fraudulentas, así como los errores y la anulación de los controles internos. Estos controles
incluyen conciliaciones de las cuentas del balance general, revisiones independientes,
inspecciones físicas y recuentos de ítems de inventarios, análisis y auditorías, y en general,
todas las actividades que apunten a la verificación de cifras, documentos y activos físicos.
En caso de no tener control de los procesos de la Organización o exista debilidad en los
controles preventivos, la exposición al riesgo de fraude aumenta y sitúa todo el peso sobre
los controles de detección.

La naturaleza de los riesgos de fraude implica la identificación sistemática de los esquemas


de fraude que pueden ser cometidos en contra o dentro de la Organización para identificar
los controles de los procesos necesarios y así reducir y controlar los riesgos. Por esto, el
conocimiento del fraude va más allá de la teoría y es necesario pensar como criminal para
abarcar la mayor cantidad de tipologías posibles. Igualmente, el concepto y conocimiento
de los expertos en fraude permite ampliar el espectro de actuación de un delincuente.

Cada industria es susceptible de diferentes tipos de esquemas de fraude. La evaluación es


más engorrosa en las organizaciones que hacen parte de diferentes industrias. Las
organizaciones con múltiples unidades de negocio, diferentes tipos clientes, ubicadas en
varias zonas geográficas y con diferentes productos tendrán que realizar primero una
amplia evaluación de toda la estructura y luego realizar evaluaciones profundas, detalladas
y específicas de las unidades de negocio para identificar los procesos necesarios y los
controles para detectar el fraude.

Procedimientos de detección de fraude, análisis de datos y minería de datos

Las organizaciones deben ser capaces de utilizar el análisis de datos, técnicas de auditoría
continua, y otras herramientas de la tecnología de manera efectiva para detectar la actividad
fraudulenta. Los análisis de datos utilizan la tecnología para identificar anomalías, las
tendencias y los indicadores de riesgo dentro de las grandes poblaciones de transacciones
y usuarios. Los usuarios de esta tecnología pueden ser capaces de profundizar en las
entradas o registros contables en busca de transacciones sospechosas que se producen
en un periodo o lo que se hizo en un periodo y posteriormente fue anulado en el siguiente.

www.auditool.org 63
Estas herramientas también pueden permitir a los usuarios buscar entradas o registros
contables, en especial en las cuentas de ingresos y gastos y comparar así las expectativas
entre los objetivos de compensación por medio de incentivos y el incremento inusual de los
ingresos. Por otra parte, el análisis de datos permite a los usuarios identificar las relaciones
entre las personas, organizaciones y eventos.

El análisis proactivo de ciertos esquemas de fraude puede dar lugar a tipos identificables
de transacciones o tendencias para mejorar la capacidad de diseño de los controles dentro
de la Organización; por esto, el análisis de datos es la mejor práctica de detección del
fraude. Así mismo, el análisis de datos también se utiliza de manera rentable para garantizar
la efectividad de otros controles preventivos y de detección de fraude. Es decir, cada dato
o número habla e indica que algo está pasando, por lo tanto, las estadísticas cobran
importancia en el análisis del fraude.

La combinación entre auditoría y el uso del análisis de datos de forma continua en tiempo
real permite gestionar, identificar y reportar actividades fraudulentas más rápidamente y de
forma proactiva. Por ejemplo, la ley de análisis Benford puede examinar los informes de
gastos, las cuentas del libro mayor y las cuentas de nómina para las transacciones
inusuales, cantidades, o los patrones de actividad que pueden requerir un análisis más
detallado. Del mismo modo, el control continuo de las operaciones sujetas a ciertas
"banderas" puede promover la investigación más rápida de las operaciones de mayor
riesgo.

Las herramientas tecnológicas mejoran la capacidad de gestión a todos los niveles para
detectar el fraude. El análisis de datos, la minería de datos y herramientas de análisis digital
pueden ayudarle a hacer lo siguiente:

• Identificar relaciones ocultas entre personas, organizaciones y eventos,


• Identificar las operaciones sospechosas,
• Evaluar la efectividad de los controles internos,
• Monitorear las amenazas y vulnerabilidades de fraude,
• Considerar y analizar miles o millones de transacciones en pocos minutos.

Algunos auditores y empresas de consultoría han desarrollado herramientas, como parte


de sus esfuerzos de detección de fraude, que analizan los asientos contables para mitigar
el riesgo y mejorar el Sistema de Control Interno. Estas herramientas identifican las
operaciones sujetas a ciertos atributos que podrían indicar un riesgo, tales como
identificación del usuario, fecha de entrada, horarios no laborales y cuentas inusuales.
Recordemos que todos los datos que se puedan ingresar a un sistema de información
pueden estar sujetos a análisis, todo depende de qué desea analizar y qué tan amplio y
profundo debe ser el análisis.

www.auditool.org 64
La evidencia de fraude también se puede encontrar en el correo electrónico. La capacidad
de una organización para captar, mantener y revisar las comunicaciones de cualquiera de
sus empleados ha dado lugar a la detección de numerosos fraudes en la última década.
Esto se logra mediante el uso de programas de copia de seguridad estrictos y regulares
que captura los datos, no con la intención de descubrir el fraude, sino meramente como una
salvaguardia en caso de que una búsqueda retrospectiva de pruebas sea necesaria.

El beneficio de mantener una copia de seguridad para fines de protección en cuanto a la


pérdida de información, frente a una posible obligación de aportar pruebas en el
descubrimiento de un fraude, tendrá que ser analizada en el estudio de riesgo de la
Organización.

A medida que las organizaciones crecen y cambian las necesidades de tecnología, también
lo hacen las posibilidades de fraude. Debido a que todas las tramas de fraude y mala
conducta no se pueden combatir con las mismas herramientas y técnicas, la Organización
necesitará evaluar periódicamente la efectividad de los controles, las quejas anónimas y la
auditoría interna.

Documentación de las técnicas de detección de fraudes

Toda organización debe documentar las técnicas desarrolladas e implementadas para


detectar el fraude. Esto incluye la documentación de procesos utilizados para monitorear el
desempeño de los controles de detección de fraude y para indicar cuando tales controles
son ineficaces. Los procedimientos de análisis llevados a cabo para asegurar el
funcionamiento adecuado de los controles de detección de fraude y los resultados de la
prueba también se deben documentar minuciosamente.

Es de suma importancia para esta documentación la descripción detallada de los elementos


de las técnicas de detección de fraude de la Organización, con énfasis en las funciones y
responsabilidades de todas las partes involucradas. Las organizaciones deben designar y
documentar los individuos y departamentos responsables de las siguientes funciones:

• Diseñar y planificar el proceso general de la detección de fraude,


• Diseñar los controles específicos de detección de fraude,
• Implementar los controles específicos de detección de fraude,
• Monitorear los controles específicos de detección de fraude,
• Recibir y responder a las quejas relacionadas con posibles actividades fraudulentas,
• Investigar los informes de actividad fraudulenta,
• Comunicar la información sobre sospechas y confirmaciones de fraude a las partes
correspondientes,
• Evaluar y actualizar periódicamente el plan de cambios en la tecnología y los
procesos.

www.auditool.org 65
Aunque la Organización puede describir y explicar algunos aspectos de sus técnicas de
detección de fraude a sus empleados, proveedores y partes interesadas para promover la
disuasión, habrá aspectos del plan que deben permanecer en confidencialidad. Durante la
fase de desarrollo de detección de fraude, los participantes deben ser advertidos de
mantener dicha información confidencial. La Junta Directiva debe aprobar una lista
específica de las personas que tienen prohibido el acceso a la información y definir su propio
nivel de acceso a la información relacionada con los controles de detección de fraude.

Una vez se haya completado el plan de detección de fraude, el equipo debe desarrollar una
comunicación pública en relación con el plan y su implementación. El conocimiento en toda
la Organización sobre el plan integral de detección de fraude es en sí mismo un fuerte
elemento de disuasión. Al comunicar esto a empleados, proveedores, accionistas y otros,
la Organización afirma que toma en serio el fraude sin revelar todas las características
pertinentes de las técnicas de detección de fraude que emplea. Así mismo, la comunicación
del plan de detección es una de las formas de demostrar la actitud férrea hacia no dejarse
tentar, y tener tolerancia cero al fraude.

Evaluación del Programa de gestión del riesgo de fraude

Las corporaciones deben evaluar su programa de gestión de riesgos de fraude desde el


principio y durante su ejecución para mejorar su eficiencia y cerrar brechas que aparecen
en la implementación del programa. Igualmente, cada empresa debe realizar evaluaciones
generales de sus técnicas de detección de fraude por medio del cuadro de mando de
detección de fraudes, que se puede utilizar para evaluar el grado de exhaustividad de los
controles de detección de la Organización y si están operando correctamente.

Así mismo, las organizaciones deben reevaluar periódicamente sus técnicas de detección
de fraude para asegurar que se están haciendo progresos para llegar a un estado avanzado
de detección del fraude, como también verificar que no existen elementos de detección de
fraudes que se están deteriorando a través del tiempo o por las nuevas prácticas criminales.
Debido a esto, la participación de expertos externos independientes para evaluar las
técnicas de detección de fraude en las organizaciones constituye un fuerte compromiso y
esfuerzo que apunta al blindaje permanente de la entidad.

Monitoreo del Programa de Gestión del riesgo de fraude

La empresa debe desarrollar el plan de monitoreo y toma de mediciones para evaluar el


curso, las correcciones y mejoramiento continuamente de las técnicas de detección de
fraude. Si se encuentran deficiencias, la Administración debe garantizar que las mejoras y
correcciones se hacen tan pronto como sea posible. La Administración debe establecer un
plan de seguimiento para verificar que se han tomado las medidas correctoras o
reparadoras.

www.auditool.org 66
La Organización debe establecer criterios de medición para controlar y mejorar la detección
de fraudes. Estas medidas deben ser proporcionadas a la Junta Directiva continuamente e
incluyen los siguientes grupos:

• Criterios medibles:
▪ Número de esquemas de fraude conocidos cometidos en contra de la
Organización,
▪ Número y estado de las acusaciones de fraude recibidas por la Organización que
requiere investigación,
▪ Número de investigaciones de fraude resueltas,
▪ Número de empleados que no han firmado la declaración de ética corporativa,
▪ Número de empleados que no han completado la formación ética patrocinada por
la Organización,
▪ Número de denuncias recibidas a través de la línea ética de la Organización,
▪ Número de denuncias que se han planteado por otros medios,
▪ Número de comunicaciones para el apoyo del comportamiento ético entregado a
los empleados por los ejecutivos,
▪ Número de vendedores que no han firmado los requisitos de comportamiento
ético,
▪ Puntos de referencia con las encuestas de fraude a nivel mundial, incluyendo el
tipo de fraude experimentado y las pérdidas ocasionadas,
▪ Número de clientes que han firmado los requisitos de comportamiento ético de la
Organización,
▪ Número de auditorías de fraude realizadas por los auditores internos,
▪ Resultados de las encuestas de los empleados u otras partes interesadas en
relación con la integridad o la cultura de la Organización,
▪ Recursos utilizados por la Organización.

• Técnicas de medición adecuadas variarán según la Organización en función de


factores tales como controles en el lugar, los riesgos de fraudes identificados y los
recursos disponibles para atacarlo. Ejemplos de técnicas de medición específicos son
estos:

▪ Recurrencia de los fraudes descubiertos,


▪ Oportunidad de la ejecución de los planes de remediación,
▪ Puntualidad en la implementación de controles adicionales para evitar nuevos
fraudes,
▪ Evaluación de la probabilidad de que se produzcan fraudes perpetrados contra
otras organizaciones del mismo sector de la Organización,
▪ Comparación de fraude frente a las quejas, reclamaciones, etc., a través de las
llamadas a las líneas éticas,

www.auditool.org 67
▪ Comparación entre el número de fraudes descubiertos y el número de auditorías
realizadas por fraude,
▪ Las relaciones de los problemas revelados de los controles de antecedentes en
comparación con el número de controles realizados.

• Un miembro de alto rango de la gestión debe ser asignado como el propietario del
proceso para cada técnica implementada. Cada propietario del proceso debe:

▪ Evaluar la eficacia de la técnica con regularidad,


▪ Ajustar la técnica según sea necesario,
▪ Documentar cualquier ajuste,
▪ Informar inmediatamente a través de los canales apropiados detalles de cualquier
modificación necesaria o cualquier técnica que se vuelve menos eficaz.

MÓDULO 6: PRINCIPIOS FUNDAMENTALES EN LA ADMINISTRACIÓN DEL FRAUDE


- P5. INVESTIGACIÓN Y ACCIONES CORRECTIVAS

P5. Investigación y acciones correctivas:

El plan antifraude debe tener un enfoque coordinado entre la investigación y las medidas o
acciones correctivas que aseguren que el fraude es tratado apropiadamente tanto en tiempo
como en personal. No existe un sistema de control interno que pueda proveer absoluta
garantía en contra del fraude. Por consiguiente, la Junta Directiva debe asegurar que la
Organización desarrolle un sistema de control para la revisión oportuna, competente y
confidencial de los hechos para dar paso a las acciones legales y de cumplimiento que sean
necesarias en las instancias, tanto para un potencial fraude como para un evento que
involucre pérdidas económicas. Igualmente, la Junta Directiva debe definir las propias
reglas o medidas de los procesos de investigación dentro del marco jurídico de cada
territorio y jurisdicción. La Organización, a través de la planeación adecuada de la
investigación y las acciones correctivas, también pueden crear y mejorar las medidas de
recuperación de las pérdidas y minimizar la exposición a un litigio o proceso jurídico que
eventualmente conlleve al daño reputacional.

Es esencial que cualquier violación, desviación u otro incumplimiento del código de


conducta, reglamento interno de trabajo o controles internos, independientemente del lugar
en la Organización o quién esté comprometido, sea reportado y tratado de manera oportuna
con las sanciones apropiadas y la adecuada remediación. La Junta Directiva debe asegurar
que las mismas reglas se aplican a todos los niveles de la Organización, incluyendo la Alta
Dirección.

www.auditool.org 68
La Junta Directiva debe establecer los procesos para evaluar las acusaciones y procesos
judiciales que involucra un fraude, por lo cual las personas asignadas para investigar deben
tener la suficiente autoridad y habilidades para evaluar el caso y determinar las acciones
apropiadas a seguir. En todos los casos donde se instaure un alegato judicial, la Junta
Directiva debe realizar la trazabilidad de cada caso y estar involucrada activamente en el
avance de los mismos.

Un proceso consistente para conducir las investigaciones puede ayudar a la Organización


a mitigar las pérdidas y manejar el riesgo de fraude. Una de las políticas de investigación
creada por la Junta Directiva debe ser la forma como el equipo investigador reporta los
hechos, hallazgos y evidencias con los más altos estándares de confidencialidad a las
personas adecuadas, tales como miembros de Junta Directiva, administradores, gerentes
y asesores legales. Las divulgaciones públicas a los entes de control, sujetos reguladores,
autoridades fiscales y de policía, inversores, socios o accionistas y los medios de
comunicación se deben hacer cuando los hechos que involucra el fraude están totalmente
definidos.

Si ciertas acciones son requeridas antes de que la investigación se complete para preservar
la evidencia, mantener la confidencialidad o mitigar las pérdidas, se debe nombrar un
responsable, que debe asegurar que hay suficientes bases para tomar tales acciones.
Cuando se requiere el acceso a los sistemas de información como software y hardware,
deben ser expertos forenses informáticos quienes accedan a la información usando las
técnicas correctas y aceptadas ante los tribunales para preservar la información o evidencia
intacta.

En muchos casos de fraude se requiere que el área de recursos humanos se involucre en


el proceso de investigación y en las medidas de corrección; para ello se aconseja consultar
o tener a mano la asesoría de un experto legal en asuntos de manejo de personal e incluso
de uniones o sindicatos. Se recomienda rigurosamente que en todos los casos la Junta
Directiva se rodee de consultores legales en diversas áreas y se discuta el caso antes de
tomar cualquier medida después de la investigación. El conocimiento colectivo permite
aclarar las múltiples circunstancias que rodean un fraude como también tomar las medidas
necesarias en el futuro.

Protocolos de respuesta: recepción del caso

Un posible fraude puede llegar a la Organización de muchas maneras, por ejemplo, a través
de sugerencias de los empleados, clientes o proveedores, auditorías internas, identificación
de control de procesos, auditorías externas, la línea ética o por accidente. La Junta Directiva
debe asegurar que la Organización ha desarrollado un sistema para la revisión oportuna,
competente y la investigación confidencial, como también la resolución de los alegatos de
fraude potencial o mala conducta.

www.auditool.org 69
Los protocolos para la intervención en tales casos variarán en función de la naturaleza, el
impacto potencial y la antigüedad de las personas involucradas y deben ser definidos con
claridad y comunicados a la Dirección de la empresa por la Junta Directiva.

El sistema de investigación y respuesta debe incluir un proceso para cumplir los siguientes
pasos:

• Categorización de los casos o problemas,


• Confirmación de la validez de la denuncia,
• Definición de la gravedad del caso,
• Asignación del caso al comité o grupo adecuado,
• Investigación cuando sea apropiado o se amerite,
• Referenciación de asuntos fuera del alcance del programa,
• Análisis de los hechos encontrados,
• Resolución o el cierre de la investigación,
• Definición de la información que debe mantenerse confidencial,
• Definición de la documentación de la investigación,
• Gestión y retención de documentos e información.

El proceso aprobado por la Junta Directiva debe incluir el sistema de gestión de seguimiento
a los casos en el que se registran todas las acusaciones de fraude. Los miembros de la Alta
Dirección pueden tener acceso a este sistema si es necesario para asegurar que se están
tomando las medidas adecuadas siempre y cuando hayan sido designados o aprobados
por la Junta Directiva. La investigación de los casos de fraude es un proceso confidencial
que en el mayor de los casos llega hasta los estrados judiciales, por lo tanto, la
administración de la información debe estar bajo las más rigurosas normas jurídicas.

Protocolos de respuesta: evaluación del caso

Una vez que se recibe la denuncia, la Organización debe seguir el proceso aprobado por la
Junta Directiva para evaluar el caso. El proceso debe incluir la designación de una persona
o grupo de personas con la autoridad y las habilidades necesarias para llevar a cabo una
evaluación inicial de la situación y determinar el curso de la acción apropiada para
resolverla. En los casos que involucran a miembros de la Junta Directiva o a la Alta
Dirección, la Junta Directiva debe contratar asesores externos independientes para ayudar
en esta evaluación.

El caso debe ser examinado para determinar si se trata de una posible violación de la ley,
reglas o política de la empresa. Dependiendo de la naturaleza y la gravedad de la situación,
otros departamentos de la compañía pueden ser consultados tales como el área de
recursos humanos, departamento de asesoría legal, la Alta Dirección, informática, auditoría
interna, la seguridad o la prevención de pérdidas. El auditor externo de la Organización
también debe ser informado de cualquier fraude que podría afectar a los estados financieros
de la Organización.

www.auditool.org 70
Si un caso implica a miembros de la Alta Dirección, o si la denuncia afecta directamente a
los estados financieros, los miembros de la Junta Directiva deben ser informados cuanto
antes y quien es sujeto de la denuncia debe ser retirado temporalmente de sus funciones y
no debe tener acceso al proceso de investigación.

Protocolos de investigación

Las investigaciones deben llevarse a cabo de acuerdo con los protocolos aprobados por la
Junta Directiva. Un proceso coherente de investigación puede ayudar a la Organización a
mitigar las pérdidas y gestionar los riesgos asociados con la investigación.

Los factores a considerar en el desarrollo del plan de investigación incluyen los siguientes:

• Tiempo de respuesta que pueden necesitar las investigaciones debido a los requisitos
legales, para mitigar pérdidas, daños potenciales, o emprender una reclamación de
seguro,
• Notificación - Ciertos casos pueden requerir notificación a reguladores, autoridades,
aseguradores o auditores externos,
• Confidencialidad - Las necesidades de información recopilada tienen carácter
confidencial y su distribución se limita a quienes tienen una necesidad justificada y
están autorizados,
• Privilegios legales - La participación de un asesor legal desde el inicio del proceso o
en algunos casos en la conducción de la investigación, ayudará a salvaguardar las
comunicaciones producto del trabajo entre abogado y cliente,
• Cumplimiento - Las investigaciones deben cumplir con las leyes y normas aplicables
en relación con la recopilación de información y entrevistas a los testigos,
• Aseguramiento de la evidencia - La evidencia debe ser protegida para que no se
destruya o contamine y sea admisible en los procedimientos judiciales (cadena de
custodia),
• Objetividad - El equipo de investigación debe estar suficientemente alejado de los
problemas personales de quienes son objeto de investigación para llevar a cabo una
evaluación objetiva,
• Objetivos - Problemas o preocupaciones acerca del caso podrían influir
adecuadamente en el enfoque, alcance y en algunos momentos específicos de la
investigación.

La responsabilidad de supervisar una investigación se debe asignar a un individuo con un


nivel de autoridad al menos un nivel más alto que cualquier persona potencialmente
implicada en la situación de fraude. Las investigaciones de las denuncias que involucran la
Alta Dirección deben ser supervisadas por la Junta Directiva o, en su defecto, el comité que
ellos designen para tal caso; por ejemplo, el asesor legal puede ser designado para
supervisar la investigación. Sin embargo, se hace énfasis en la importancia del
conocimiento forense en este tipo de problemas.

www.auditool.org 71
Dependiendo de las características específicas de cada caso, el equipo de investigación
puede necesitar miembros de diferentes departamentos o disciplinas para proporcionar los
conocimientos y habilidades necesarias.

Se debe considerar la participación de las siguientes personas o fuentes de conocimientos


en caso de que la investigación la requiera:

• Abogado o consejero legal,


• Investigadores o examinadores expertos en fraude,
• Auditores internos,
• Auditores externos,
• Contadores o contadores forenses,
• Personal de recursos humanos,
• Asesores en seguridad o de prevención de pérdidas,
• Ingenieros de sistemas o TI,
• Forenses especialistas en informática,
• Representante de la Alta Dirección.

El líder del equipo de investigación debe coordinar la investigación y la comunicación con


la Dirección según sea necesario. Las funciones y responsabilidades de cada miembro del
equipo se deben comunicar con claridad. Todos los miembros del equipo deben considerar
si existe un conflicto real o potencial de intereses con cualquiera de los asuntos o partes
que podrían estar involucradas. En caso de que la Organización no tenga los recursos
humanos internos adecuados o si se determina que los recursos humanos internos no son
suficientemente objetivos para investigar el caso, la Junta Directiva debe considerar la
posibilidad de contratar a expertos externos, en lo posible forenses o certificados en la
investigación de fraude.

Realizando la investigación

La planificación es esencial para una investigación exhaustiva, competente y exitosa. El


equipo de investigación debe crear las tareas de investigación y asignar cada tarea a los
miembros de los equipos. El plan debe dar prioridad a la realización de tareas para
proporcionar un informe provisional de los resultados, si es necesario, y para revisar o
planificar los próximos pasos. En esta etapa se hace la consideración a fondo de las
cuestiones legales y las restricciones en el trato con los empleados y terceros, la obtención
de información relevante y la documentación, incluida la solicitud de asistencia a los
tribunales y el control de la integridad de los resultados de la investigación, para maximizar
las probabilidades de éxito.

Las investigaciones generalmente incluyen muchas de las siguientes tareas, sin embargo,
cada proceso es independiente y puede requerir el estudio de más detalles.

www.auditool.org 72
1. La entrevista, que incluye:
1.1 Testigos neutrales,
1.2 Testigos de corroboración,
1.3 Posibles cómplices,
1.4 Acusado.

2. La evidencia recogida, incluyendo:


2.1. Los documentos internos, tales como:
2.1.1. Archivos del personal,
2.1.2. Registros telefónicos internos,
2.1.3. Ficheros informáticos y otros dispositivos electrónicos,
2.1.4. E-mail,
2.1.5. Registros financieros,
2.1.6. Videos de las cámaras de seguridad,
2.1.7. Registros de acceso físico y el sistema de información.

2.2. Registros externos, tales como:


2.2.1. Registros públicos,
2.2.2. Información del cliente / proveedor,
2.2.3. Informes de los medios,
2.2.4. Información en poder de terceros,
2.2.5. Informe detective privado.

3. Los exámenes forenses de los computadores.

4. Análisis de prueba, incluyendo:


4.1. Análisis y categorización de la información recogida,
4.2. Análisis de datos asistido por computadores,
4.3. Desarrollo y prueba de hipótesis.

El equipo de investigación debe documentar y realizar un seguimiento de los pasos de la


investigación, incluyendo:

• Información que se mantiene como privilegiada o confidencial,


• Solicitudes de documentos, datos electrónicos y demás información,
• Memorandos de entrevistas realizadas,
• Análisis de documentos, datos y entrevistas, y sus conclusiones.

www.auditool.org 73
Informe de los resultados

El equipo de investigación debe informar acerca de sus conclusiones a quien supervisa la


investigación: la Alta Dirección, directores, o un abogado. Cuando el asesor legal está
supervisando la investigación, será él quien determina la forma más apropiada del informe.
La naturaleza y distribución del informe pueden verse afectadas por la necesidad de
proteger los privilegios legales y evitar declaraciones difamatorias. Por razones similares,
se debe buscar el asesoramiento de un abogado antes de que quien supervisa la
investigación haga las declaraciones públicas u otras comunicaciones relacionadas con la
investigación. Es decir, el abogado experto en este tipo de casos debe estar atento para
cuando la investigación termine y enfrentar los resultados de manera que las repercusiones
legales y reputacionales sean lo menos negativas posibles.

Acciones correctivas

Después de la que investigación se ha completado, la Organización debe responder a los


hallazgos relacionados. Algunos hallazgos de los efectos potenciales o reales de un fraude
deben ser informados a la Junta Directiva, al Comité de Auditoría y al auditor externo, en
caso de que no hayan recibido directamente los informes de investigación. La notificación
también puede ser necesaria para agencias legales, reguladores, aseguradores y
autoridades en general.

En algunos casos puede ser necesario tomar ciertas acciones antes de que se complete la
investigación, tales como la preservación de las pruebas, el fortalecimiento de la confianza
entre las contrapartes o la mitigación de las pérdidas Esto podría requerir la suspensión o
la reasignación de los individuos o acciones legales para proteger los activos. Los
responsables de estas decisiones deben asegurar que no es una base suficiente para
proteger a la empresa del riesgo de fraude, dado que después de la investigación se debe
replantear la eficacia del programa de prevención y detección.

Cualquier acción tomada debe ser apropiada bajo las circunstancias y aplicada
consistentemente a todos los niveles de empleados, incluidos los altos directivos. De hecho,
cada acción debe ser planeada y consultada con la debida anterioridad con los abogados
expertos, dado que en el caso de tomar acciones disciplinarias, civiles, o penales la
empresa debe evaluar su riesgo reputacional y legal.

www.auditool.org 74
Las posibles acciones correctivas incluyen uno o más de los siguientes:

• Denuncia penal - La Organización podrá remitir el asunto a las autoridades penales


voluntariamente, y en algunos casos puede estar obligada a hacerlo. Las autoridades
de policía, fiscalía y jueces tienen acceso a información y recursos adicionales que
pueden ayudar a esclarecer el caso. Además, las denuncias para la persecución
penal pueden aumentar el efecto disuasorio de la política de prevención del fraude de
la Organización. Un miembro de la Alta Dirección o el jefe de asesores legales, debe
ser autorizado a tomar la decisión de si la búsqueda de la persecución penal es
apropiada, dado que en muchos casos ventilar el fraude ante los medios de
comunicación incrementa la exposición al riesgo reputacional.
• Acción civil - La Organización puede instaurar su propia acción civil contra los autores
para recuperar los fondos.
• Acción disciplinaria – La acción disciplinaria interna puede incluir terminación,
suspensión contractual o llamado de atención. En cualquiera de los casos, se debe
abrir el proceso disciplinario a los involucrados en el fraude.
• Reclamación de seguro - La Organización puede hacer uso de un seguro para cubrir
alguna o la totalidad de sus pérdidas.
• Investigación extendida - La realización de un análisis de las causas y la realización
de una investigación prolongada puede identificar una mala conducta similar en la
Organización en otro lugar, lo que implica que los involucrados son reincidentes.
• Rediseño del negocio - La Organización debe rediseñar su proceso de prevención y
detección manteniendo su rentabilidad para reducir o eliminar la oportunidad de
fraudes similares en el futuro.
• Control interno de remediación - La Organización debe mejorar ciertos controles
internos para reducir la probabilidad del riesgo de fraude similar en el futuro.

Por último, la Organización debería considerar el impacto potencial de su respuesta y el


mensaje que se puede enviar a las partes interesadas, públicas y de más contrapartes.

Medición

La escala y la complejidad de las investigaciones de fraude a menudo varían


considerablemente, lo que requiere de cierta flexibilidad o personalización para las medidas
adoptadas. Lo que no es sujeto de medición es difícil de controlar. Recordemos que las
empresas son entes que se comportan diferente unas de otras. Adicionalmente, las
corporaciones están compuestas por personas, las cuales provienen de diferentes culturas,
tipos de educación y contextos sociales. Debido a esto, cada organización debe tener una
cultura organizacional única, con la cual todas las contrapartes se alineen y se mantengan
en ella. Parte de la cultura organizacional es la administración del riesgo, función altamente
dinámica y que en la mayoría de los casos obedece a factores externos.

www.auditool.org 75
Aunque existe una variedad de medidas que se pueden aplicar, las siguientes puede ser
medidas relativamente sencillas y de gran alcance que se recomienda tener presente:

• Tiempo de resolución de problemas o número promedio de días para resolver un caso


- Esto se puede medir por separado para las diferentes categorías de incidente y así
evitar la creación de presión para resolver casos complejos en un breve periodo de
tiempo poco realista.
• Repetición de los incidentes o número de incidentes del periodo actual que son de
naturaleza similar a los incidentes en periodos anteriores - Una baja tasa de incidentes
de repetición puede demostrar la eficacia en el rediseño de los procesos del negocio
y los controles internos en respuesta a incidentes anteriores.
• El valor de las pérdidas que se recuperaron y prevención de futuras pérdidas - Las
investigaciones de fraude son importantes por su efecto disuasorio, por lo que su
relación costo-beneficio no debe juzgarse únicamente por los activos que ayudan a
recuperar. Sin embargo, el seguimiento de las recuperaciones de activos y la
estimación de futuras pérdidas ayudan a demostrar el valor de las acciones de gestión
del riesgo de fraude.

Ejemplos de documentos

Un enfoque proactivo para la gestión del riesgo de fraude es uno de los mejores pasos que
las organizaciones pueden adoptar para mitigar la exposición a las actividades fraudulentas.
A pesar de que la eliminación completa de todo el riesgo de fraude es inalcanzable o muy
costosa, las organizaciones pueden tomar medidas positivas y constructivas para reducir
su exposición.

La combinación de la gestión eficaz de los riesgos de fraude, una evaluación exhaustiva


del riesgo de fraude, fuertes medidas de prevención y detección del fraude, así como las
investigaciones coordinadas y oportunas y las acciones correctivas, puede mitigar
significativamente los riesgos de fraude.

A pesar de que el fraude no es un tema que cualquier organización quiere tratar, la realidad
es que la mayoría de las organizaciones experimentan el fraude en algún grado. El aspecto
clave a destacar es que el tratamiento del fraude puede ser constructivo y con visión de
futuro, lo que ayuda a posicionar a una organización como líder dentro de su segmento de
la industria o sector económico. Existen organizaciones fuertes, eficaces y bien
administradas porque la Junta Directiva y la Alta Gerencia toman medidas proactivas para
anticipar los problemas antes de que ocurran y adoptan medidas para evitar resultados no
deseados. La implementación del sistema de prevención de fraude debería ayudar a
establecer un clima organizacional de tolerancia cero a las conductas delictivas en el que
se tomen medidas positivas y constructivas para proteger a las contrapartes y asegurar un
resultado positivo.

www.auditool.org 76
Se debe reconocer que la dinámica de cualquier organización requiere una reevaluación
continua de exposiciones a los diferentes riesgos de fraude y las respuestas a la luz de la
evolución del entorno donde la Organización se encuentra.

En archivo anexo, puede encontrar algunos ejemplos de los pasos que se deben seguir
para implementar el programa. Estos son apéndices que pueden ser modificados y que en
ningún caso son camisas de fuerza. Cada empresa debe ajustarlos para tener el alcance
correcto para mitigar el fraude.

Marco de muestra para una política de control del fraude

Este es un ejemplo o muestra que otras entidades han usado. Como tal, cada empresa
debe ajustarlo a sus necesidades. Es posible que esta información no esté completa para
su empresa de acuerdo con todos los conceptos indicados en el presente curso. Este
material se proporciona como un ejemplo que puede
ser utilizado como una herramienta, referencia o punto de partida.

Para su consulta, abra el archivo SISTEMA DE PREVENCIÓN DE FRAUDE. APÉNDICES.

1. RESUMEN EJECUTIVO

a. Definición de fraude
b. Declaración de la actitud de fraude
c. Código de conducta
d. Relación con otros planes de la entidad
e. Funciones y responsabilidades

2. SÍNTESIS DE ESTRATEGIA DE CONTROL DEL FRAUDE

a. Nombramiento de oficial de control de fraude


b. Asistencia externa al oficial de control del fraude
c. Responsabilidades de control del fraude
d. Gestión del riesgo de fraude (incluida la evaluación del riesgo de fraude)
e. Sensibilización sobre el fraude
f. Detección del fraude
g. Denuncia de fraudes
h. Investigación de fraude y otras conductas impropias o antiéticas
i. Revisión del control interno tras el descubrimiento del fraude
j. Garantía de fidelidad y seguro de la conducta criminal
k. Programa de auditoría interna

www.auditool.org 77
3. GESTIÓN DE RIESGOS DE FRAUDE

a. Programa para la evaluación del riesgo de fraude


b. Revisión continua de las estrategias de control del fraude
c. Evaluación del riesgo de fraude
d. Implementación de las acciones propuestas

4. PROCEDIMIENTOS PARA INFORME DE FRAUDE

a. Informes internos
b. Informes de los miembros de la Alta Gerencia
c. Protección de los empleados que reportan cualquier sospecha de fraude
d. Denuncia anónima externa
e. Informes a la policía y fiscalía
f. Informes a las partes externas, entidades reguladoras y medios de comunicación
g. Recursos administrativos
h. Recuperación de los activos de una conducta fraudulenta
i. Requisitos de información

5. CONDICIONES DE EMPLEO

a. Proceso de selección de empleados o personal


b. Programa de vacaciones anuales
c. Conflicto de intereses
d. El impacto de los conflictos de interés
e. Registro de intereses
f. Política de conflicto de intereses

6. PROCEDIMIENTOS PARA LA INVESTIGACIÓN DE FRAUDE

a. Las investigaciones internas


b. Recursos externos para la investigación
c. Documentación de los resultados de la investigación

7. ESTRATEGIA DE AUDITORÍA INTERNA

a. Estructura de auditoría interna


b. Función de control de fraude en auditoría interna

8. REVISIÓN DEL RÉGIMEN DE CONTROL DEL FRAUDE

www.auditool.org 78
Ejemplo de política de fraude

• Antecedentes

La política de fraude corporativo se creó para facilitar el desarrollo de los controles que
ayudarán en la detección y prevención de fraude en contra de la corporación XXX. Es
intención de la corporación XXX promover el comportamiento organizacional coherente,
íntegro y congruente a través de directrices, políticas y la asignación de responsabilidades
para el desarrollo y exitoso cumplimiento de los controles y desarrollo ético de las
investigaciones.

• Alcance de la política

La política de fraude se aplica a cualquier irregularidad o sospecha de irregularidad,


operación sospechosa o no habitual en la cual estén involucrados o haya participación de
empleados, así como de accionistas, consultores, proveedores, contratistas, agencias
externas que hacen negocios con los empleados de esos organismos, y/o cualquier otra
contraparte que tenga una relación de negocios con la corporación XXX.

Cualquier actividad de investigación requerida se llevará a cabo sin tener en cuenta la


dimensión del presunto infractor de servicio, posición, título, nacionalidad o su relación con
la Compañía.

• Política de Fraude

La Administración de la empresa es responsable de la detección y prevención del fraude,


de apropiación indebida de recursos, abuso y otras irregularidades. El fraude se define
como la representación intencional falsa o encubrimiento de un hecho material con el
propósito de inducir a otro a actuar en consecuencia a su lesión. Cada miembro del equipo
directivo estará familiarizado con los tipos de irregularidades que pudieran ocurrir dentro de
su área de responsabilidad y estarán alertas ante cualquier indicio de irregularidad.

Cualquier irregularidad que se detecta o se sospecha se debe informar inmediatamente al


Director de la Unidad o Jefe del Programa de Riesgo de Fraude, que coordina todas las
investigaciones con el Departamento Legal y otras áreas o departamentos afectados, tanto
internos como externos.

www.auditool.org 79
• Acciones que constituyen fraude

Los términos descuadres, faltantes, apropiación indebida, abuso y otras irregularidades


fiscales se refieren a las siguientes actividades fraudulentas, pero no se limitan a ellas (se
sugiere tener presente el curso de banderas rojas para listar todos los posibles
comportamientos y arbitrariedades que se pueden cometer. Use el árbol del fraude,
en el cual se especifican todas las actividades fraudulentas que pueden ocurrir en
una organización. Incluya aquellas actividades que bajo su experiencia la empresa
puede sufrir):

• Cualquier acto deshonesto o fraudulento,


• Tergiversación o manipulación de estados financieros,
• Falsificación de documentos,
• Apropiación indebida de fondos, valores, inventarios, suministros, recursos, u
otros activos,
• Inexactitudes en la entrega o notificación de dinero o transacciones financieras,
• Especulación como resultado del conocimiento de información privilegiada de las
actividades de la empresa,
• Divulgación de información confidencial y propiedad de terceros,
• Robo de bases de datos o cualquier información de la empresa,
• Divulgación de las actividades de seguridad dedicadas a proteger a las personas,
valores, recursos y activos de la empresa,
• Aceptación o búsqueda de cualquier tipo de beneficio económico o material para
beneficio personal derivado de la relación contractual con los contratistas,
proveedores o prestadores de servicios y/o materiales para la Compañía.
Excepción: los regalos menores a US $50 en valor de carácter corporativo,
• Destrucción y/o eliminación de registros contables, financieros, documentos que
involucren cualquier contraparte de la empresa o pertenezcan a la empresa,
• Uso inadecuado o abuso de los registros, información, muebles, software,
hardware, accesorios y equipos, maquinaria, vehículos y demás activos de la
compañía,
• Uso inadecuado del tiempo laboral para actividades de índole personal no
relacionadas con el cargo desempeñado o actividad laboral,
• Cualquier irregularidad similar o relacionada derivada del comportamiento no
ético en la compañía.

• Otras irregularidades

Todas las irregularidades en la conducta moral y ética de un empleado deben resolverse a


través del Departamento de Recursos Humanos y basados en el código laboral del país,
código de ética y Reglamento Interno de trabajo.

www.auditool.org 80
Si hay alguna duda en cuanto a si una acción constituye un fraude, póngase en contacto
con el Director de Jurídico y/o Jefe del Programa de Riesgo de Fraude para la apropiada
orientación.

• Responsabilidades de investigación

El Director de la Unidad o Jefe del Programa de Riesgo de Fraude tiene la responsabilidad


principal de investigar todas las sospechas de actos fraudulentos como se define en la
política. Si la investigación confirma que en efecto se han producido actividades
fraudulentas, el Director de la Unidad o Jefe del Programa de Riesgo de Fraude emitirá un
informe dirigido al personal asignado para continuar con el caso en la Junta Directiva o la
Administración a través del Comité de Auditoría.

Las decisiones de denunciar ante las autoridades de policía y fiscalía se tomarán cuando
los resultados del examen sobre la verificación del fraude sean positivos. Igualmente, las
agencias reguladoras serán contactadas para proceder a la investigación independiente, lo
cual se hará conjuntamente con el asesor legal, la Junta Directiva y la Alta Dirección.

• Confidencialidad

El Director de la Unidad o Jefe del Programa de Riesgo de Fraude mantendrá la


confidencialidad de toda la información recibida. Cualquier empleado que sospeche de una
actividad o persona deshonesta o fraudulenta deberá notificar al Director de la Unidad o
Jefe del Programa de Riesgo de Fraude de inmediato, y no debe intentar realizar
personalmente investigaciones o entrevistas y/o interrogatorios relacionados con cualquier
acto fraudulento sospechado.

Los resultados de la investigación serán revelados o discutidos solo con aquellos que tienen
una necesidad legítima de conocer la información y han sido previamente autorizados por
la Junta Directiva. Con el fin de evitar daños a la reputación de las personas sospechosas
y de la empresa, se prohíbe hablar, compartir o mencionar el caso, la investigación y el
resultado hasta que el caso haya sido resuelto y la Junta Directiva decida revelarlo a través
de un asesor legal.

• Autorización para la investigación de presuntos fraudes

Los miembros de la Unidad de Investigación de Fraude tendrán:

▪ Acceso libre y sin restricciones a todos los registros de la Compañía, almacenes,


sucursales locales, nacionales y en el exterior

www.auditool.org 81
▪ Autoridad para examinar, copiar y/o tomar la totalidad o parte de los contenidos
de los archivos, escritorios, armarios, gabinetes, vitrinas, bibliotecas, laboratorios,
lockers, vestiers, vehículos de la empresa, y todas las instalaciones de reciclaje,
disposición de basuras, almacenamiento, bodegaje, despacho y recepción del
establecimiento o empresa sin el conocimiento o el consentimiento previo de
cualquier individuo que pudiera usar o tener la custodia de dicha área, artículos
o instalaciones cuando se está dentro del alcance de su investigación.

• Procedimientos para reportar

Se debe tener gran cuidado en la investigación de las presuntas irregularidades, fraudes u


operaciones sospechosas a fin de evitar acusaciones erróneas o alertar a los individuos
sospechosos sobre una investigación en curso.

El empleado que descubra o sospeche de una actividad fraudulenta podrá hacer contacto
con el Director de la Unidad o Jefe del Programa de Riesgo de Fraude inmediatamente. El
empleado u otra persona que tenga conocimiento de una actividad fraudulenta pueden
permanecer en el anonimato mientras se hace la investigación. Todas las consultas
relativas a la actividad objeto de la investigación de la persona sospechosa, su abogado o
representante, o cualquier otro investigador deben dirigirse a la Unidad de Investigaciones
o al Departamento Legal. Cualquier solicitud de información sobre la condición de la
investigación que se esté llevando a cabo será rechazada. La respuesta correcta a
cualquier pregunta es: "No estoy en libertad de discutir este asunto." Bajo ninguna
circunstancia se debe hacer ninguna referencia a "robo", "el crimen", "el fraude", "la
falsificación", " la apropiación indebida ", o cualquier otra referencia específica.

El denunciante debe ser informado de lo siguiente:

• No se comunique con el presunto individuo en un esfuerzo por determinar los hechos


o la restitución de la demanda.
• No discuta el caso, los hechos, sospechas o acusaciones con alguien, a menos que
se solicite expresamente que lo haga por el Departamento Legal o Director de la
Unidad o Jefe del Programa de Riesgo de Fraude.

• Terminación

Si una investigación resulta en la recomendación de terminar el contrato laboral o rescindir


de los servicios der trabajador, la recomendación será revisada para su aprobación por los
representantes designados de Recursos Humanos y el Departamento Legal y, en su caso,
por los abogados externos, antes de tomar cualquier acción. La Unidad de Investigaciones
o el Director de la Unidad o Jefe del Programa de Riesgo de Fraude no tiene la autoridad
para despedir a un empleado. La decisión de despedir a un empleado se hace a través de
la Alta Gerencia.

www.auditool.org 82
En caso de que la Unidad de Riesgo de Fraude considere que la decisión de la gestión es
inadecuada debido a los hechos presentados, tales hechos serán expuestos para su
consideración ante la Junta Directiva para la correspondiente evaluación.

• Administración

El Director de la Unidad y/o Jefe del Programa de Riesgo de Fraude son responsables de
la Administración, revisión, interpretación y aplicación de esta política de fraude. La política
de fraude será revisada anualmente y actualizada según sea necesario durante el año de
vigencia.

• Aprobación

CEO / Vicepresidente Sénior / Ejecutivo)


Fecha

www.auditool.org 83
Matriz de decisión de políticas de fraude

La presente matriz se puede utilizar como una herramienta para resumir y visualizar las
responsabilidades que se han definido para la Organización. Este es solo un ejemplo que
le ayudará a construir su propia matriz y definir "qué" debe hacer y "quién" tiene las
responsabilidades.

(P = Responsabilidad Primaria S= Responsabilidad Secundaria C= Responsabilidad


Compartida)

Unidad de Auditoria Finanzas Alta Junta Admon Recursos Jurídica


Acción requerida Investigación Interna Contabilida Gerencia Directiva Riesgo Humano

1 Controles para prevenir el fraude S S S P C S S S

2 Notificación de Incidentes P S S S S S S S

3 Investigación del Fraude P S S S

4 Referencias a Aplicación de la Ley P S S


Recuperación de las cantidades adeudadas al
5 Fraude P

6 Recomendaciones para evitar el fraude C C S S S S S S

7 Revisiones de control interno P

8 Manejar los casos de naturaleza sensible P S S S S S S

9 Publicidad / Notas de Prensa P P

10 Litigios civiles y laborales S S P


Acción / recomendaciones correctivas para
11 prevenir recurrencias C C S C S

12 Monitoreo de las Recuperaciones S P

13 Proactiva Auditoría Fraude S P

14 Formación y Educación del Fraude S P P P P

15 Análisis de Riesgos y Vulnerabilidades S S P

17 Análisis de Casos P S

18 Línea de Ética S S P S

www.auditool.org 84
Ejemplo matriz de evaluación del riesgo de fraude

Este ejemplo es solo para fines ilustrativos y se centra exclusivamente en los riesgos
potenciales de la facturación o el reconocimiento de ingresos dentro de la información
financiera y contable. Es decir, cada ciclo o grupo de cuentas contable debe ser analizado
dependiendo el riesgo. Por ejemplo, una evaluación completa del riesgo de fraude
considerará la información financiera fraudulenta en otras áreas relevantes para la
Organización, tales como cartera o cuentas por cobrar, disponible, proveedores y cuentas
por pagar, inventario, etc. Además, el riesgo de apropiación indebida de activos, la
corrupción, y otras faltas se estarían evaluando de la misma manera.

Matriz de evaluación del riesgo de fraude. Interpretación

• Identificando riesgos de fraude y esquemas: esta columna debe incluir una lista
completa de los posibles riesgos de fraude y esquemas que pueden enfrentarse en
la Organización. Esta lista será diferente para todas las organizaciones, ya que cada
una tiene diferente exposición al riesgo y apetito al riesgo. Igualmente, la lista de los
riesgos de fraude debe ser construida por las investigaciones de la industria, las
entrevistas con los empleados y contrapartes, sesiones de reflexión o lluvia de ideas,
y con las quejas o denuncias de la línea ética o de denunciantes. El árbol del fraude
presentado en este curso le ayudará a verificar los tipos de fraude que se pueden
cometer en la Organización en cada área.

• Probabilidad de ocurrencia: para diseñar un Programa de gestión del riesgo de


fraude eficiente es importante evaluar la probabilidad de los riesgos de fraude
identificados, de manera que la Organización establezca los controles antifraude
adecuados para cada tipo de riesgos desde el punto de vista de la ocurrencia. Para
los fines de la evaluación, la forma más adecuada para evaluar la probabilidad de la
ocurrencia del riesgo es Remota, Razonablemente posible y Probable.

www.auditool.org 85
• Importancia de la Organización: los factores cuantitativos y cualitativos deben ser
considerados al evaluar la importancia de los riesgos de fraude para una
organización. Por ejemplo, ciertos riesgos de fraude de carácter financiero pueden
afectar de forma irrelevante a la Organización, pero el mismo riesgo podría afectar en
gran medida la reputación de la compañía, por lo tanto, tales riesgos serían
considerados como un riesgo más significativo para la Organización. Para los fines
de la evaluación de riesgos, la importancia de los riesgos se debe catalogar como
inmaterial, significativa, y material.

• Personas y / o Departamento sujetos de riesgo: a medida que se identifican y


evalúan los riesgos de fraude, es importante evaluar qué personas dentro y fuera de
la Organización están sujetos al riesgo. Este conocimiento ayudará a la Organización
a adaptar su respuesta a los riesgos de fraude, incluyendo el establecimiento
adecuado de la segregación de funciones, revisión adecuada de los manuales de
funciones, aprobaciones y niveles de autoridad y procedimientos proactivos de
auditoría.

• Existencia de controles internos antifraude: mapa de los controles pre-existentes


de los riesgos relevantes de fraude identificados. Tenga en cuenta que esto ocurre
después de la identificación y evaluación de probabilidad e importancia de los riesgos
de fraude.

• Evaluación de la eficacia de controles internos: la Organización debe tener un


proceso para evaluar si los controles identificados están operando de manera efectiva
y mitigan los riesgos de fraude según lo previsto. Es decir, se debe determinar la
eficacia de los procedimientos actuales a través de la revisión y seguimiento como
parte de la estructura de control interno.

• Riesgos residuales: tras el examen de la estructura de control interno, se pueden


determinar qué riesgos de fraude no pueden ser mitigados adecuadamente debido a
varios factores, ya que algunos controles que fueron diseñados adecuadamente no
están en su lugar para hacer frente a ciertos riesgos de fraude, o los controles
identificados no están operando de manera efectiva. Estos riesgos residuales deben
ser evaluados por la Organización en el desarrollo de la respuesta del riesgo de fraude
para determinar el costo-beneficio de la implementación del control o de la
revaloración de los controles antiguos.

• Respuesta a los riesgos de fraude: los riesgos residuales deben ser evaluados por
la Organización para diseñar el proceso que mitigue este tipo de riesgo. La respuesta
a los riesgos de fraude podría estar enmarcada en la aplicación de controles
adicionales y/o el diseño de técnicas de auditoría de fraude más proactivas, y/o la
reducción de la actividad que está generando el riesgo.

www.auditool.org 86
Cuadro de mando Prevención del fraude

Para evaluar la fortaleza del sistema de prevención del fraude de la Organización se debe
realizar la evaluación de cada área cuidadosamente y marcar el área, el factor, o
consideración así:

• Rojo: indica que el área, el factor, o consideración necesita fortalecimiento o una


mejora sustancial para bajar el riesgo de fraude a un nivel aceptable. Es decir, el
riesgo de fraude en el área objeto de evaluación o factor de riesgo analizado es
demasiado alto comparado con el promedio aceptado.
• Amarillo: indica que el área, el factor, o consideración necesita un poco de refuerzo
y mejora para bajar el riesgo de fraude a un nivel aceptable. En este caso, los cambios
que se requieren no son extremos o simplemente se requiere un poco de más rigor
en cuanto a la ejecución del control.
• Verde: indica que el área, el factor, o consideración es fuerte y el riesgo de fraude se
ha reducido por lo menos al nivel mínimamente aceptable, por lo tanto, solo requiere
de seguimiento.

Se debe recordar que el mínimo de aceptación de riesgo siempre conlleva a revisiones


periódicas para que en lo posible el riesgo no alcance el límite de aceptación, ya que el
objetivo es mantener los riesgos lo más bajos posible.

Cada área, factor, o consideración analizada, ya sea rojo o amarillo, debe tener una nota
asociada con el que se describe el plan de acción para llevarlo a verde en el cuadro de
mando.

Ejemplo Cuadro de mando Prevención del fraude

A continuación, se presenta el ejemplo del Cuadro de mando de prevención del fraude con
los aspectos de mayor importancia que se deben tener en cuenta. Como se ha expuesto
en todas las matrices, estos son solo ejemplos que le ayudarán a elaborar su matriz final,
por lo tanto, se sugiere complementar la información con los datos de la empresa a evaluar.

Área de Prevención de fraude, factor, o consideración Puntuación Notas

Nuestra cultura organizacional, o la pauta establecida, es tan


fuerte como lo puede ser y establece un entorno de tolerancia
cero con respecto al fraude.

La Alta Dirección de la Organización muestra constantemente


la actitud apropiada en relación con la prevención del fraude y
fomenta la comunicación libre y abierta con respecto al
comportamiento ético.

www.auditool.org 87
Área de Prevención de fraude, factor, o consideración Puntuación Notas

Nuestro Código de Conducta Organizacional tiene


disposiciones específicas que abordan y prohíben relaciones
inapropiadas donde los miembros de la Junta Directiva o
miembros de la Administración podrían utilizar sus posiciones
para obtener beneficios personales o para otros fines
inadecuados.

Hemos hecho una evaluación rigurosa del riesgo de fraude


mediante el marco integrado de gestión de riesgos COSO para
Empresa y hemos tomado medidas concretas para fortalecer
los mecanismos de prevención que sean necesarios.

Hemos evaluado el riesgo de fraude para nuestra organización


de manera adecuada sobre la base de evaluaciones de
organizaciones similares en nuestra industria, fraudes
conocidos que han ocurrido en otras organizaciones similares,
con el intercambio local de ideas sobre el fraude y
reevaluaciones periódicas de riesgo.

Hemos abordado los puntos fuertes y débiles de nuestro


entorno de control interno y hemos tomado medidas específicas
para fortalecer la estructura de control interno para ayudar a
prevenir las ocurrencias de fraude.

Nuestra estructura organizacional no contiene entidades que


podrían ser utilizadas para fines inapropiados o que puedan
permitir la extensión transacciones o relaciones corruptas

Hemos evaluado todas las operaciones en el extranjero y


operaciones descentralizadas cuidadosamente y hemos
tomado medidas proactivas para asegurar que dichas
transacciones tienen las medidas de prevención de fraude y se
ajustan a las normas legales con los más estrictos y altos
principios éticos.

Hemos descartado de nuestra organización todas las relaciones


innecesarias de terceros, intermediarios y sus partes
relacionadas.

Hemos tomado medidas positivas para garantizar que las


relaciones con las contrapartes no permitan oportunidades para
que se produzcan fraudes sin ser detectado.

www.auditool.org 88
Área de Prevención de fraude, factor, o consideración Puntuación Notas

Hemos evaluado la alineación de las autoridades y


responsabilidades en todos los niveles de gestión de la
Organización para estar al tanto de los desajustes que pueden
representar las vulnerabilidades frente al fraude.
Nuestro Comité de Auditoría ha adoptado una postura activa y
proactiva con respecto a la prevención del fraude.

Nuestro Comité de Auditoría está integrado exclusivamente por


consejeros independientes e incluye personas con experiencia
en contabilidad, finanzas y delitos económicos.

Nuestro Comité de Auditoría se reúne por lo menos cada tres


meses y dedica tiempo a la evaluación del riesgo de fraude e
implementación de los mecanismos de prevención del fraude
de forma proactiva.

Tenemos un fuerte Departamento de Auditoría Interna que


funciona independientemente de la gestión administrativa. El
reglamento o estatuto de nuestro Departamento de Auditoría
Interna establece expresamente que el equipo de auditoría
interna ayudará a prevenir y detectar el fraude y la mala
conducta.

Hemos designado a una persona con la autoridad y


responsabilidad de la supervisión y el mantenimiento de
nuestros programas de prevención del fraude, y hemos dado a
este individuo los recursos necesarios para administrar
nuestros programas de prevención del fraude con eficacia. Este
individuo tiene acceso directo al Comité de Auditoría.

Nuestro departamento de recursos humanos lleva a cabo


investigaciones de antecedentes con el objetivo específico de
asegurar que se identifican y se eliminan del proceso de
contratación las personas con registros o características
inapropiadas incompatibles con nuestra cultura corporativa y
ética.

Nuestro Departamento de Recursos Humanos lleva a cabo


investigaciones de antecedentes con respecto a promociones o
traslados a puestos de responsabilidad.

El personal involucrado en el proceso de información


financiera ha sido evaluado en cuanto a sus competencias e
integridad

www.auditool.org 89
Área de Prevención de fraude, factor, o consideración Puntuación Notas

Todos nuestros empleados, proveedores, contratistas y socios


comerciales han llegado a ser conscientes de nuestras políticas
de tolerancia cero al fraude y son conscientes de las medidas
que se deben tomar en caso de que cualquier evidencia de un
posible fraude llegue a su conocimiento.

Tenemos un programa riguroso para comunicar nuestras


políticas y procedimientos de prevención de fraude para todos
los empleados, proveedores, contratistas y socios de negocios.

Tenemos políticas y procedimientos para la autorización y


aprobación de ciertos tipos y valores de acciones para ayudar
a prevenir y detectar las ocurrencias de fraude.

Nuestro proceso de medición y evaluación del desempeño


incluye un elemento sobre abordar específicamente la ética y la
integridad, así como la adhesión al Código de Conducta
Organizacional.

Todos los nuevos empleados deben someterse a rigurosos


programas de educación sobre ética y concientización sobre el
fraude y su prevención.

Todos los empleados deben asistir a capacitación o a


programas periódicos (al menos anuales) sobre ética y
concientización sobre el fraude, y prevención del fraude. La
eficacia de esta formación se afirma a través de pruebas o
exámenes.

Los empleados que terminaron, renunciaron o fueron retirados


de la Organización deben participan en un proceso de
entrevista de salida diseñado para identificar posibles fraudes y
las vulnerabilidades de controles internos de los fraudes que se
puedan estar llevando a cabo en nuestra organización. Un
enfoque específico de estas entrevistas es una evaluación de la
integridad y la adhesión de la Administración al código de
conducta de la Organización. Todos los problemas resultantes
de estas entrevistas se deben comunicar a nuestro Comité de
Auditoría.

Tenemos un programa de protección a los denunciantes y/o una


efectiva línea contra el fraude. Su existencia y procedimientos
son conocidos por todos los empleados, proveedores,
contratistas y socios de negocios.

www.auditool.org 90
Área de Prevención de fraude, factor, o consideración Puntuación Notas

Se revisan los mecanismos de prevención de fraude de forma


continua y se documentan las críticas, así como la
comunicación con el Comité de Auditoría respecto a las áreas
que necesitan mejoras.

Tenemos un plan de respuesta frente al fraude y sabemos cómo


responder si se hace una acusación de fraude. El plan de
respuesta frente al fraude considera:

• Quién debe realizar la investigación.

• Cómo se debe realizar la investigación.

• Cuando se debe hacer una divulgación voluntaria al gobierno.

• Cómo se determina la acción correctiva.

• Cómo remediar las deficiencias de control identificadas.

• Cómo administrar medidas disciplinarias.

Ejemplo Cuadro de mando Detección del fraude

A continuación, se presenta el ejemplo del Cuadro de mando de detección del fraude con
los aspectos de mayor importancia que se deben tener en cuenta. Como se ha expuesto
en todas las matrices, estos son solo ejemplos que le ayudarán a elaborar su matriz final,
por lo tanto, se sugiere complementar la información con los datos de la empresa a evaluar.

Área de Detección de fraude, factor, o consideración Puntuación Notas

Hemos integrado nuestro sistema de detección de fraude con


nuestro sistema de prevención del fraude conservando la
relación costo-beneficio
Nuestros procesos y técnicas de detección de fraude impregnan
todos los niveles de responsabilidad dentro de nuestra
organización, la Junta Directiva y del Comité de Auditoría, los
administradores de todos los niveles, a los empleados en todas
las áreas de operación.

www.auditool.org 91
Área de Detección de fraude, factor, o consideración Puntuación Notas

Nuestras políticas de detección de fraude incluyen la


comunicación con accionistas, empleados, proveedores,
contratistas y las demás contrapartes sobre la implementación
del sistema de detección de fraude; sin embargo, ciertos
aspectos críticos del sistema de detección no se darán a
conocer para mantener la eficacia de los controles ocultos.
Asignamos periodos de vacaciones obligatorias y también
hacemos rotaciones de personal en los puestos de trabajo para
los empleados en las áreas contables, finanzas, inventarios,
compras y áreas que ejercen controles clave en la
Organización.
Reevaluamos periódicamente los criterios de evaluación del
riesgo de nuestra organización de acuerdo con el crecimiento y
los cambios presentados para asegurar que somos conscientes
de la ocurrencia de todos los posibles tipos de fraude
Nuestros mecanismos de detección de fraude tienen mayor
enfoque en las áreas en las que hemos concluido que los
controles preventivos son débiles o no son apropiados

Centramos nuestro análisis de datos y continuos esfuerzos de


auditoría en la evaluación de los diferentes esquemas de fraude
que la compañía, la industria o la línea de negocios puede sufrir.

Tomamos medidas para garantizar que nuestros procesos de


detección, procedimientos y técnicas son confidenciales para
que los empleados ordinarios y los posibles autores de fraudes
no se enteren de su existencia.

Tenemos una amplia documentación de los procesos de


detección de fraude, procedimientos y técnicas, lo que nos
permite mantener la detección de fraude en el tiempo para
hacer los cambios que requiera el equipo de detección de
fraude.

Nuestros controles de detección incluyen la línea ética de


fraude, la cual debe ser de fácil acceso y con el correspondiente
plan de administración.

Nuestro programa para la línea ética contra el fraude ofrece


anonimato a los individuos que informan las presuntas
irregularidades.

www.auditool.org 92
Área de Detección de fraude, factor, o consideración Puntuación Notas

Nuestro programa de línea ética contra el fraude incluye


garantías tales como que los empleados que informan las
presuntas irregularidades no enfrentarán represalias o castigos
y se hará seguimiento a los posibles casos de venganza
después de que un problema se haya informado.

Nuestra línea ética contra el fraude es multilingüe y proporciona


acceso a un asistente capacitado las 24 horas del día, los 365
días del año.

Nuestra línea ética contra el fraude utiliza un sistema de gestión


de casos para registrar todas las llamadas y su seguimiento a
las respuestas y soluciones.

La línea ética para prevenir fraude se prueba periódicamente


por nuestros auditores internos y es supervisado por el Comité
de Auditoría.

Nuestro programa de línea ética contra el fraude analiza los


datos recibidos y compara los resultados contra los casos
presentados en organizaciones similares.

Nuestro programa de línea ética contra el fraude se evalúa


periódicamente de forma independiente para verificar la eficacia
y el cumplimiento de los protocolos establecidos.

Utilizamos un sistema riguroso de análisis de datos y de


auditoría continua para detectar las actividades fraudulentas.

Nuestros controles a los sistemas de información incluyen


controles específicamente diseñados para detectar actividades
fraudulentas y errores, que incluyen conciliaciones, revisiones
independientes, inspecciones físicas, recuentos, análisis,
auditorías e investigaciones.
Nuestro plan de auditoría interna hace énfasis en las
actividades diseñadas para detectar el fraude.

Nuestros auditores internos participan en el proceso de


evaluación del riesgo de fraude y planifican actividades de
detección de fraude basados en los resultados de esta
evaluación de riesgos.

www.auditool.org 93
Área de Detección de fraude, factor, o consideración Puntuación Notas

Nuestros auditores internos informan al Comité de Auditoría y


se enfocan en la administración del riesgo, en especial en la
detección de fraudes.

Nuestro Departamento de Auditoría Interna cuenta con recursos


financieros adecuados, personal capacitado y entrenado para
cumplir con las normas profesionales.
Nuestro personal de auditoría interna posee las competencias
necesarias para apoyar los objetivos del grupo.

Nuestro Departamento de Auditoría Interna lleva a cabo


evaluaciones de riesgo para entender la motivación y dónde la
manipulación puede dar lugar al fraude.
Nuestro personal de auditoría interna es consciente del fraude
y están entrenados con las mejores herramientas y técnicas de
detección, investigación y respuesta al fraude como parte de su
programa de educación continua.

Nuestros programas de análisis de datos se centran en los


asientos de diario, transacciones inusuales y transacciones que
tienen lugar al final de un periodo o lo que se hizo en un periodo
e invirtió en el próximo periodo.

Tenemos sistemas diseñados para controlar las entradas al


libro diario para evidenciar las posibles anulaciones de
documentos o registros destinados a manipular la información
financiera.

Utilizamos análisis de datos, minería de datos y herramientas


de análisis digitales para:

a. Identificar relaciones ocultas entre personas,


organizaciones y eventos;
b. Identificar las transacciones sospechosas de fraude;
c. Evaluar la eficacia de los controles internos;
d. Controlar las amenazas de fraude y vulnerabilidades;
e. Examinar y analizar grandes volúmenes de transacciones
en una base de tiempo real.
Utilizamos técnicas de auditoría continua para identificar y
reportar actividades fraudulentas más rápidamente, incluyendo
el análisis de la Ley de Benford para examinar los informes de
gastos, las cuentas del libro mayor, y las cuentas de nómina
para las transacciones inusuales, cantidades, o los patrones de
actividad que pueden requerir un análisis más detallado.

www.auditool.org 94
Área de Detección de fraude, factor, o consideración Puntuación Notas

Tenemos sistemas para supervisar el correo electrónico de los


empleados con fines de levantar evidencia en los casos de un
posible fraude.

Nuestra documentación de detección de fraude identifica los


individuos y departamentos responsables de estos actos:

• Diseño y la planificación del proceso general de la


detección de fraudes.
• Diseño de los controles específicos de detección de fraude.
• Implementación de controles específicos de detección de
fraude.
• Monitoreo de los controles específicos de detección de
fraude
• Recibir y responder las quejas relacionadas con la posible
actividad fraudulenta.
• Investigación de los informes de actividad fraudulenta.
• Comunicación de información sobre sospechosos y
confirmados de la ejecución de fraude a las partes
autorizadas.
• Periódicamente, evaluar y actualizar el plan de cambios en
la tecnología, los procesos y la Organización.

www.auditool.org 95
Área de Detección de fraude, factor, o consideración Puntuación Notas

Hemos establecido criterios de medición para controlar y


mejorar el cumplimiento de los controles de detección de
fraude, incluyendo:

• Número de los esquemas de fraude conocidos cometidos


en contra de la Organización y pérdidas generadas en
tales eventos
• Número y estado de las acusaciones de fraude recibidas
por la Organización que requieren investigación.
• Número de investigaciones de fraude resueltos.
• Número de empleados que han firmado la declaración o
código de ética
• Cantidad de horas invertidas en la formación de los
empleados sobre ética y cuántos empleados han
completado los programas de capacitación.
• Número de denuncias recibidas a través de la línea ética
de la Organización.
• Cantidad de mensajes de apoyo y promoción al
comportamiento ético entregados a los empleados por los
ejecutivos.
• Cantidad de vendedores que han firmado la política de
comportamiento o código de ética de la Organización.
• Cantidad de clientes que han firmado la política de
comportamiento o código de ética de la Organización.
• Número de auditorías de fraude realizadas por los
auditores internos.
Evaluamos periódicamente la eficacia de nuestros procesos de
detección de fraude, procedimientos y técnicas; documentamos
las evaluaciones y revisamos nuestros procesos,
procedimientos y técnicas según corresponda, o como mínimo
cada año.

MÓDULO 7: PRINCIPIOS O PRÁCTICAS PARA PREVENIR FRAUDE

Principios o prácticas para prevenir fraude

A continuación, se entrega un listado resumen de las mejores prácticas que el Grupo de


Cumplimiento y Ética abierta (OCEG Foundation: Open Compliance Ethics Group) ha
diseñado para guiar a los miembros de Junta Directiva, Alta Gerencia y comités de auditoría
para establecer los principios para un Programa de administración del riesgo de fraude
fuerte.

www.auditool.org 96
El material que se presenta a continuación corresponde a un ejemplo o muestra de otra
entidad. Como tal, se debe ajustar este material para su empresa, dado que la información
y ambiente de control y apetito al riesgo varían de acuerdo con cada organización. El
material se proporciona como un ejemplo que puede ser un utilizado como una herramienta,
referencia o punto de partida.

• Cultura sobre fraude

▪ Cultura organizacional

o Definir los principios y valores que reflejan altos estándares éticos y la


posición de tolerancia cero hacia el fraude y la corrupción.
o Mejorar el clima ético como un elemento de disuasión de la conducta
fraudulenta y corrupta.
o Fomentar el liderazgo ético a través de recompensas y reconocimientos
dentro del modelo de conducta apropiada para enfrentar los factores que
potencialmente podrían conducir a conductas fraudulentas o corruptas.

▪ Cultura del riesgo

o Definir la filosofía y el estilo de comunicación a través del cual de la


Organización demuestran su posición de cero tolerancia de riesgo de fraude
y la existencia de fuertes políticas y controles antifraude.
o Mejorar la gestión de riesgos de fraude a través de la Junta Directiva y la Alta
Dirección, los cuales establecen la pauta o la actitud férrea frente a los
diversos factores o circunstancias que crean riesgos de fraude como método
de disuasión y detección.

▪ Cultura de gobierno

o Definir el estilo y enfoque de gobierno para especificar el nivel deseado de


supervisión de la Junta Directiva y la participación en el programa de lucha
contra el fraude, incluyendo los umbrales o niveles de aceptación del riesgo
de fraude.
o Mejorar el clima del Gobierno Corporativo para asegurar que el Programa de
gestión del riesgo de fraude es responsabilidad de la Junta Directiva, la cual
de evaluar el programa al menos cada año.

▪ Cultura laboral

o Comprender la filosofía y el estilo de la Administración del recurso humano


para incluir los aspectos que contribuye a la disuasión el riesgo de conductas
fraudulentas o corruptas.

www.auditool.org 97
o Aumentar el compromiso de la fuerza laboral mediante la estructuración de
las políticas y prácticas en la contratación, formación, evaluación del
desempeño, promoción, compensación, recompensas, sanciones
disciplinarias, progresos profesionales, retiro anticipado y la terminación del
contrato laboral para disuadir comportamientos fraudulentos y corruptos,
incluidas las prácticas que tienen que ver con decisiones acerca protección
de los denunciantes.
o Mejorar la satisfacción de la fuerza laboral a través de compromisos
conjuntos para eliminar o mitigar los factores que crean riesgos de fraude y
corrupción.

Principios o prácticas para prevenir fraude: organización del personal

• Liderazgo
▪ Definir las responsabilidades de los jefes de área o departamento en cuanto la
comunicación de los objetivos del Programa de gestión del riesgo de fraude.
▪ Mantener constante comunicación con su equipo de trabajo para facilitar el
alineamiento de los objetivos de la Organización donde los individuos deben
apoyar los esfuerzos de la empresa para evitar las conductas fraudulentas.
▪ Asegurar que los líderes o jefes de área están calificados para servir como
defensores en lucha contra el fraude basado en la conducta ética o en la
transformación positiva de una conducta fraudulenta, corrupta o inapropiada del
pasado.
▪ Mejorar las habilidades y competencias de los líderes o jefes de área para incluir
el conocimiento profundo de fraude, los factores que desencadenan la conducta
fraudulenta, como también el ámbito de aplicación, los parámetros y las
actividades del Programa de gestión del riesgo de fraude.

• Personal de supervisión
▪ Definir la estructura de supervisión y quienes serán responsables de:
✓ Incluir en los documentos y cuadros de mando la información acerca de si
un miembro de la Junta Directiva o la Junta Directiva en su totalidad han sido
asignados con responsabilidades de supervisión de dirigir las actividades del
Programa de gestión del riesgo de fraude.
✓ Evidenciar el compromiso proactivo de la Organización para la gestión del
riesgo de fraude.
✓ Designar al Comité de Auditoría interna y a los auditores externos como
monitores de los riesgos de fraude para desempeñar un papel activo en el
proceso de evaluación de riesgos.
✓ Designar a un miembro del nivel ejecutivo como responsable de la gestión
del riesgo de fraude.

www.auditool.org 98
✓ Aprobar los recursos económicos suficientes en el presupuesto para los
objetivos propuestos del Programa de administración del riesgo de fraude.
✓ Asegurar la eficacia del diseño de las políticas de gestión del riesgo de fraude
para alentar el comportamiento ético de empleados, clientes, contratistas y
proveedores e insistir en el cumplimiento diario de tales políticas.
✓ Elaborar las políticas de buenas prácticas del Gobierno Corporativo como un
componente del Programa de gestión del riesgo de fraude.
✓ Requerir que el Comité de Auditoría se reúna por separado con la firma de
auditoría externa y el director de auditoría para discutir los resultados del
programa de lucha contra el fraude en los estados financieros de la entidad.
✓ Asegurar que la Junta Directiva está recibiendo información precisa y
oportuna de la Administración, empleados, auditores internos y externos, y
otras partes interesadas en relación con las posibles ocurrencias de fraude.
✓ Asegurar la protección de todos los privilegios necesarios y la adhesión a la
política de gestión de la información para las comunicaciones relacionadas
con las investigaciones de fraude y discusiones del Comité de Auditoría.

▪ Seleccionar el o los miembros de la Junta Directiva con más habilidades,


experiencia, conocimiento, y carácter para supervisar el Programa de gestión del
riesgo de fraude.
▪ Mejorar habilidades y competencias para la supervisión de la Junta Directiva en
orden a:
✓ Tener un conocimiento profundo de lo que constituye el riesgo de fraude y la
corrupción.
✓ Establecer la pauta a seguir de cero tolerancia al riesgo a través de los
procesos de selección, contratación, evaluación y planificación de la
sucesión del CEO.
✓ Mantener la supervisión de la evaluación del riesgo de fraude y la corrupción.
✓ Evaluar la gestión de identificación de los riesgos de fraude y corrupción.
✓ Aprovechar la experiencia de los auditores internos y externos respecto a los
eventos o condiciones que indiquen incentivos y presiones para perpetrar el
fraude, las oportunidades para llevar a cabo el fraude, o actitudes y
racionalizaciones para justificar una acción fraudulenta.
✓ Conocer cómo y dónde se cree que los estados financieros de la entidad
podrían ser susceptibles de error material debido al fraude.
✓ Consultar con otras empresas de la industria acerca de los riesgos de fraude.
✓ Identificar las operaciones inusuales o eventos sospechosos, cantidades,
proporciones y tendencias que podrían indicar asuntos que tienen
implicaciones fraudulentas en los estados financieros.
✓ Supervisar los controles internos sobre los informes financieros establecidos
por la Dirección.

www.auditool.org 99
✓ Evaluar el riesgo de fraude financiero cometido por la Dirección o Alta
Gerencia
✓ Asegurar que los controles para prevenir, disuadir y detectar el fraude por
parte de la Administración están funcionando.
✓ Facultar al Comité de Auditoría y a los auditores externos para buscar y
reportar el fraude de todos los tamaños y tipos.

• Personal estratégico
▪ Definir la estructura y responsabilidades del personal que será asignado para la
administración del Programa de gestión del riesgo de fraude a través de la
descripción específica del tipo de labores, asignación de los recursos económicos
y la autoridad para diseñar e implementar un programa de gestión del riesgo de
fraude. Dicho programa debe incluir la definición de la políticas, el establecimiento
de controles, la formación o capacitación, la implementación de iniciativas en la
lucha contra el fraude, los procesos para informar e investigar presuntas
violaciones, el método para comunicar a la Junta Directiva sobre el progreso del
programa, el estado de las investigaciones, actividades relacionadas con la
detección y mitigación de incidentes de conducta fraudulenta o corrupta y las
medidas correctivas para mejorar el programa.
▪ Elaborar la debida diligencia sobre quien será el responsable de la administración
del Programa de gestión del riesgo de fraude para confirmar que el individuo está
calificado a nivel cognitivo y conductual y se alinea a los principios éticos de la
Organización.
▪ Replantear las evaluaciones de desempeño de quienes intervienen directamente
en la formulación de la planeación estratégica de la Organización con el ánimo
de que dichos ejecutivos estén alineados con el programa de gestión de fraude.
▪ Evaluar el rendimiento del personal estratégico comparando los objetivos de
rendimiento del Programa de gestión de riesgos de fraude y los objetivos del
rendimiento individual.

• Personal de operaciones
▪ Definir la estructura y responsabilidades del personal de operaciones que tienen
responsabilidades relacionadas con las gestión del riesgo de fraude en todos los
niveles, incluyendo la participación en la creación de un fuerte ambiente de
control, diseño e implementación de las actividades de control operacional,
participación en las actividades de vigilancia, revelación de casos de fraude y
corrupción, prestando especial atención a las funciones únicas de auditoría
interna, el cumplimiento, la ética y las funciones de ejecución de programas de
investigación.
▪ Seleccionar el personal de operaciones que debe estar investido de la
responsabilidad de los diversos aspectos del Programa de gestión del riesgo de
fraude para evitar cualquier violación a la ética y buena conducta.

www.auditool.org 100
▪ Evaluar el desempeño del personal de operaciones comparando su rendimiento
individual con respecto a los objetivos del Programa de gestión del riesgo de
fraude.

Principios o prácticas para prevenir fraude: planeación estratégica antifraude

• Alcance y objetivos
▪ Definir el alcance del Programa de gestión del riesgo de fraude por sí solo o como
parte del Programa de ética, cumplimiento, prevención, detección y disuasión de
actos fraudulentos y criminales.
▪ Definir las partes interesadas y los grupos de interés internos y externos.
▪ Definir la metodología de planificación del equipo, que incluye miembros con
conocimientos sobre el comportamiento humano y los procesos del negocio con
mayor riesgo o susceptibles de conductas fraudulentas.
▪ Definir y/o revisar los objetivos de Organización con el fin de definir, alinear y
priorizar las iniciativas de gestión del riesgo de fraude.
▪ Definir lo objetivos del Programa de gestión del riesgo de fraude que miden la
prevención de pérdidas, la protección proporcionada por los controles de
detección y la resolución oportuna de las alegaciones de conducta fraudulenta o
corrupta.

• Modelo de negocio y contexto


▪ Identificar las entidades clave de la Organización, unidades de negocio y grupos
de personas para la determinación del alcance del programa, la comprensión de
los riesgos, y dar prioridad a la implementación de las iniciativas del Programa de
gestión del riesgo de fraude.
▪ Identificar los principales activos físicos, tecnología e información sobre los
cuales es necesario establecer un acceso específico, segregación de funciones
del deber y otros controles de prevención y detección del fraude.
▪ Identificar procesos clave del negocio que conlleven a nuevos riesgos de fraude
y corrupción, tales como procesos financieros, ventas y marketing, fabricación,
distribución y cumplimiento, investigación y el desarrollo de nuevos productos,
selección y contratación de empleados y contratistas, entre otros.
▪ Identificar tipos de empleo, posiciones, roles y tareas que incluyen funciones en
la empresa que son más susceptibles a los riesgos de fraude debido a las
presiones de la Organización, la percepción de falta de supervisión o autoridad
significativa sobre los activos, cuentas y revelaciones.

• Identificación de limitaciones
▪ Definir la metodología para identificar los límites obligatorios y voluntarios de
conducta legal y ética.

www.auditool.org 101
▪ Identificar los límites obligatorios que incluyen leyes, reglamentos y tratados que
proscriben el fraude y la corrupción en todas las regiones, a nivel comercial y
operativo; prácticas habituales en la industria y normas de conducta profesional
por las cuales los individuos, empleados y/o agentes están sujetos.
▪ Identificar los límites voluntarios, incluidos los valores sociales y las normas para
la industria, regiones de operación y ventas relativas al fraude y la corrupción. Así
mismo, los valores de la Organización para incluir un compromiso con la conducta
ética y una posición de tolerancia cero en la conducta fraudulenta, corrupta o
ilegal.

• Identificación de los eventos


▪ Definir la metodología para la identificación de eventos, tales como intercambio
de ideas, definición de las categorías y clasificaciones para los diversos riesgos
de fraude y corrupción.
▪ Establecer la metodología para facilitar la comparación de los riesgos entre las
unidades de negocio, departamentos y grupos, lo cual incluye la consideración
de las presiones del mercado y los métodos de negociación en determinadas
industrias y geografías que representan mayor riesgo de fraude.
▪ Determinar las instancias en las cuales la Junta Directiva y la Administración de
la empresa incurran en conductas fraudulentas o corruptas, sobrepasen los
controles internos de detección y prevención.
▪ Identificar y analizar los acontecimientos dentro de la cultura organizacional, la
mezcla de los productos y servicios que ofrece la compañía, los procesos y
sistemas de la Organización, las tendencias y los cambios del mercado y en la
sociedad que puede introducir el fraude y riesgos relacionados con la corrupción.
▪ Identificar los cambios en los procedimientos de contabilidad, fusiones y
consolidación de información donde la externalización o subcontratación en
áreas con procesos de detección débiles introducen mayores riesgos en la
empresa.

• Evaluación de riesgos
▪ Definir la metodología de evaluación de los riesgos con el fin de identificar la
frecuencia y los factores desencadenantes que requieren una reevaluación.
▪ Incluir los criterios para determinar la probabilidad, el impacto económico, legal y
reputacional, y la prioridad relativa de los riesgos identificados a través de la
información histórica, los esquemas de fraude conocidos, la experiencia de
auditoría interna y externa, los expertos en la materia para zonas geográficas e
industrias, y entrevistas con los responsables de los procesos.
▪ Analizar el riesgo y el impacto de conformidad con la metodología prescrita y
coherente en toda la empresa para poder hacer una comparación significativa y
facilitar el establecimiento de prioridades.
▪ Definir las prioridades para asignar adecuadamente los recursos disponibles a
altos riesgos de fraude.

www.auditool.org 102
• Diseño y estrategia del Programa
▪ Analizar las iniciativas y controles actuales para mitigar el riesgo de fraude.
▪ Definir nuevas iniciativas para abordar los riesgos en caso de que las iniciativas
actuales no se completen con el nuevo diseño de prevención y detección para
mitigar el riesgo de fraude.
▪ Analizar si la iniciativa de diseñar el plan de administración de riesgo de fraude
es un requisito legal o por el contrario es un acto voluntario de protección, y
relación costo-beneficio de la implementación.
▪ Definir iniciativas para abordar las oportunidades y valores para mejorar la cultura
ética organizacional que resulta en un ambiente de control con mayor resistencia
a los riesgos de fraude.
▪ Seleccionar las iniciativas, controles y rendición de cuentas basados en los
recursos asignados para la elaboración del Programa de administración del
riesgo de fraude.
▪ Definir las respuestas a la crisis para incluir los peores escenarios en los cuales
la conducta fraudulenta o corrupta de cualquier contraparte relacionada con la
empresa introduzca riesgos de fraude.
▪ Alinear el plan estratégico a la estrategia de control de fraude a través de políticas
que:
✓ Definen el fraude.
✓ Comunican el compromiso de la entidad para la prevención, detección y
disuasión del fraude.
✓ Describen las estrategias de control de fraude, incluyendo la formación y la
estrategia de auditoría interna en relación con el control del fraude.
✓ Reflejan las iniciativas de control de fraude, incluyendo la responsabilidad y
los recursos y la resistencia al cambio atenuantes.
✓ Reflejan la metodología de gestión del riesgo de fraude: identificación,
evaluación y priorización.
✓ Documenten las funciones y responsabilidades referentes al fraude en todos
los niveles de la Organización.
✓ Comuniquen los procedimientos para reportar e investigar el fraude,
incluyendo la divulgación y las acciones disciplinarias.
✓ Direccionen el reclutamiento y contratación del personal y conflicto de
intereses.
✓ Determinen con qué frecuencia y métodos se mide y evalúa el programa.

www.auditool.org 103
Principios o prácticas para prevenir fraude: evitar, proteger y preparar

• Controles generales, políticas y procedimientos


▪ Desarrollar controles, políticas y procedimientos que representan una mezcla de
controles diseñados para prevenir, detectar, supervisar y responder a los riesgos
de fraude, los cuales deben incluir:
✓ Políticas para definir el fraude, irregularidades, confidencialidad y la
presentación de informes de los resultados de las investigaciones.
✓ Experto responsable para llevar a cabo las investigaciones y las acciones
disciplinarias y legales que se tomarán una vez confirmado el fraude.
✓ Políticas para motivar y empoderar a los empleados, clientes, contratistas y
proveedores a mantener y cumplir con altos estándares éticos en todas las
relaciones contractuales e individuales.
✓ Política sobre total apertura y honestidad al 100% con los auditores externos.
✓ Política para informar directamente al Comité de Auditoría sobre los fraudes
cometidos por la Alta Dirección o errores que causen distorsión de los
estados financieros.
✓ Política para que auditoría interna o externa contacte el nivel apropiado de la
Administración cuando se ha detectado el fraude.
✓ Procedimientos relativos a la naturaleza y el alcance de las comunicaciones
con el Comité de Auditoría sobre el fraude cometido por empleados de nivel
inferior.
✓ Controles preventivos, como entrevistas de salida, verificación de
antecedentes, la formación y entrenamiento, la segregación de funciones, la
evaluación del desempeño, las prácticas de compensación y bonificaciones,
restricciones de acceso físico y lógico para empleados y contratistas.
✓ Controles detectivos, como la denuncia anónima, la auditoría interna y
controles a los procesos.

▪ Implementar y administrar controles, políticas y procedimientos que confirman las


funciones y responsabilidades relacionadas con la política de fraude.
▪ Implementar la comunicación para garantizas la aplicación, el cumplimiento y la
evaluación de los controles de gestión del riesgo de fraude.
▪ Automatizar los controles, políticas y procedimientos para proteger a la
Organización contra el riesgo de cualquier conducta fraudulenta o corrupta y
detectar las variaciones inherentes al comportamiento humano.

• Código de conducta
▪ Desarrollar el Código de Conducta para incluir las expectativas sobre la conducta
apropiada frente a las oportunidades de fraude o corrupción.
▪ Incluir la política de no retaliación o toma de venganza en los casos que sean
descubiertos.

www.auditool.org 104
▪ Incluir los procedimientos adecuados para la presentación de informes de
conducta fraudulenta o corrupta identificada independientemente de si se
presenta la oportunidad de un conflicto de intereses entre clientes, proveedores,
gobierno u otra relación de negocios y el uso de activos y recursos de la
Organización.
▪ Distribuir y socializar el código de conducta en todos los niveles de la
Organización, de modo que cada nivel comprenda y reciba en sus respectivas
funciones y responsabilidades en relación con el fraude y la gestión del riesgo de
corrupción
▪ Publicar el código de conducta en lugares de fácil acceso para todo el personal
de la Organización.
▪ Actualizar y renovar el código de conducta con base en los cambios en la
legislación, las condiciones de operación y mercado, y políticas que se adopten
a través del tiempo

• Formación, entrenamiento y educación


▪ Diseñar y desarrollar capacitación relacionada con la conducta ética para
enfrentar los factores de riesgo o las oportunidades que conllevan a la conducta
fraudulenta o corrupta que se producen en todos los niveles de la Organización.
▪ Asegurar que los programas de formación y entrenamiento acerca de la
prevención del fraude y corrupción están actualizados en cuanto a los cambios
en los roles y responsabilidades.
▪ Asegurar que los individuos o contrapartes que están en relación con la
Organización comprendan, asimilen y cumplan con las normas, políticas y
procesos instaurados para prevenir las conductas fraudulentas.
▪ Confirmar que la formación y entrenamiento sobre la gestión del riesgo de fraude
sea apropiada para cada cargo y persona de la Organización, como también
entregada de conformidad con el plan de formación.
▪ Evaluar a los empleados después de cada capacitación, curso o entrenamiento
para verificar que la implementación del Programa de prevención del fraude ha
cumplido con todos los objetivos de gestión.

• Administración de personal
▪ Definir las funciones, responsabilidades y deberes con relación con la de gestión
de riesgo de fraude, incluyendo la separación de funciones y los conflictos de
interés.
▪ Contratar el personal o la fuerza laboral usando criterios de selección que
minimicen el riesgo de una futura conducta fraudulenta.
▪ Verificar los antecedentes de todas las personas que entrarán a la empresa en
calidad de empleados o contratistas y hacer la debida diligencia para cotejar la
historia de cualquier conducta inapropiada o ilegal anterior que se refiere a las
responsabilidades de la posición para la cual el individuo está siendo
considerado.

www.auditool.org 105
▪ Evaluar el rendimiento de los empleados y promover los criterios de evaluación
que incluyen la conducta ética y legal para desincentivar cualquier tipo de
conducta fraudulenta o corrupta.
▪ Compensar y premiar a los empleados a través de mecanismos e incentivos que
no atentan contra las políticas y prácticas para prevenir el fraude.
▪ Realizar las entrevistas de salida al momento de terminar el contrato laboral,
retiro o despido del empleado para identificar focos de fraude o actividades
antiéticas.
▪ Confirmar que los empleados se retiran de manera consistente con la política de
fraude, devuelven los activos asignados de la Organización y los registros e
información confidencial han sido devueltos o destruidos de conformidad con la
política de fraude.

• Seguros y riesgo compartido

Diseñar e implementar la política de seguros y riesgo compartido para mantener a la entidad


en un nivel adecuado en función de la tolerancia al riesgo y proteger a la Organización de
cualquier riesgo de fraude residual no mitigado por los controles, políticas y procedimientos.

Principios o prácticas para prevenir fraude: supervisión continua

• Aseguramiento de control y auditoría


▪ Supervisar controles, políticas y procedimientos a través de individuos diferentes
al equipo de auditoría interna para verificar si los problemas detectados fueron
escalados apropiadamente, abordados con los procedimientos correctos, e
investigados oportunamente.
▪ Encuestar a los empleados y las demás contrapartes relacionadas con la
empresa acerca de la pertinencia del Programa de lucha contra el fraude, la
cultura ética y de cero tolerancia al fraude, la aplicación de los procesos y
procedimientos y las denuncias de las conductas fraudulentas o corruptas.

• Línea ética
▪ Definir el enfoque de la línea ética para abordar de manera coherente las
preocupaciones y problemas a través de la validación, la investigación, la
resolución y los procesos de remediación, bien sea que se identifique a través de
auditoría o por medio de un informe de sospecha de conducta fraudulenta o
corrupta.
▪ Proporcionar una línea ética que permita a la entidad recibir informes de
sospecha de conducta fraudulenta o corrupta, tanto sobre una base identificada
como anónima.

www.auditool.org 106
▪ Proporcionar la línea de ayuda o soporte que permita a los interesados internos
y externos obtener orientación sobre si el comportamiento observado o de
sospecha constituye una conducta fraudulenta o corrupta y, por lo tanto, debe ser
informado y tratado de conformidad con las políticas y procedimientos aplicables

Principios o prácticas para prevenir fraude: evaluación periódica

• Planeación de la Evaluación
▪ Definir el alcance y los objetivos de la frecuencia de la evaluación periódica del
Programa de gestión del riesgo de fraude.
▪ Definir el tipo de evaluación para comprobar la efectividad del diseño y la eficacia
del funcionamiento del Programa de administración del riesgo de fraude.
▪ Definir el nivel de aseguramiento y la evaluación del equipo de auditoría para
determinar la calidad de la ejecución de la auditoría interna y de su papel en el
programa.

• Reporte de resultados
▪ Definir el estatus y el privilegio de las comunicaciones durante la evaluación y la
socialización de los resultados de la evaluación del Programa de gestión del
riesgo de fraude a la Junta Directiva y al nivel ejecutivo que debe estar
involucrado con la administración del programa de gestión del fraude.

Principios o prácticas para prevenir fraude: respuesta y mejoramiento

• Administración de incidentes y gestión de casos


▪ Procesar, escalar y gestionar los incidentes de fraude y corrupción de acuerdo
con las restricciones legales aplicables sobre la información anónima y
confidencial a través de la revisión oportuna, competente y la investigación y
resolución de casos de fraude y potencial o mala conducta, de esta manera:
✓ Categorizar los tipos o casos de fraude.
✓ Confirmar la validez de la denuncia.
✓ Definir la gravedad de la acusación.
✓ Escalar el problema o la respectiva investigación.
✓ Referir los casos que se presentan por fuera del alcance del programa.
✓ Llevar a cabo la investigación y determinación de los hechos.
✓ Resolver o cerrar la investigación.
✓ Analizar si la conducta constituye una debilidad del control interno para
remediarla.
✓ Identificar el tipo de información que debe mantenerse en confidencialidad.
✓ Definir cómo se documentará la investigación.
✓ Gestionar y mantener los documentos e información.

www.auditool.org 107
▪ Resolver los problemas de acuerdo con la metodología implementada en el
Programa de administración del riesgo de fraude.

• Investigaciones especiales
▪ Determinar la necesidad y el alcance de la investigación, sobre todo cuando el
tema del supuesto fraude se basa en la conducta de los ejecutivos o requiere de
técnicas especializadas como la contabilidad o auditoría forense.
▪ Crear un equipo de investigación compuesto por expertos profesionales con
habilidades de investigación, con conocimiento de la empresa, procedimientos y
sistemas.
▪ Planear la investigación basada en la coherencia del alcance, los procedimientos
de investigación y el plan de gestión de la información.
▪ Ejecutar el plan de investigación de acuerdo con el Programa de administración
del riesgo de fraude.
▪ Comunicar la investigación y el seguimiento de acuerdo con el plan de
investigación, incluyendo el anonimato de los participantes, la confidencialidad y
los requisitos de presentación de informes externos.

• Respuesta a las crisis y comunicación


▪ Ejecutar el plan de crisis y de respuesta a emergencias con base en el análisis
de los casos anteriores, lo cual debe ser ejecutado por las personas designadas
por la Junta Directiva para enfrentar las anomalías que se salen del enfoque del
Programa de administración del riesgo de fraude.

• Disciplina y divulgación
▪ Ejecutar el proceso disciplinario de acuerdo con la política de fraude en relación
con el rango de las sanciones para las conductas corruptas y fraudulentas y de
acuerdo con los antecedentes disciplinarios establecidos por una conducta
similar cometida anteriormente.
▪ Divulgar los resultados de la investigación con el nivel apropiado de la
Administración, la Junta Directiva y el Comité de Auditoría de acuerdo con los
requisitos legales y según sea necesario a los interesados externos, incluyendo
los medios de comunicación.

• Remediación y mejoramiento
▪ Modificar el programa para endurecer los controles preventivos, mejorar los
controles de detección y acelerar los controles de mitigación.
▪ Comparar y clasificar las iniciativas antifraude para reducir el riesgo de pérdida.

www.auditool.org 108
Principios o prácticas para prevenir fraude: información y comunicación

• Gestión de la información y registros


▪ Clasificar los datos y registros para facilitar su manejo constante en cada uno de
los procesos ejecutados como parte del Programa de gestión del riesgo de
fraude.
▪ Definir el acceso a la información con base en cada tipo de registro de acuerdo
con la confidencialidad, el anonimato, los requisitos legales y las normas
profesionales.
▪ Definir disponibilidad, integridad y recuperación de la información en particular en
el contexto de la historia transaccional donde la información que falta puede ser
un indicador de la ocultación de actividad fraudulenta.
▪ Definir la gestión del monitoreo de la información principalmente en relación con
los informes de conducta fraudulenta.
▪ Confirmar que las anulaciones del sistema o anulaciones de acceso están
autorizadas y que los informes o materiales sensibles confidenciales se manejan
de acuerdo con la política establecida.
▪ Definir la disposición de la información para apoyar el equilibrio de las
necesidades de información y los costos de producción de las investigaciones o
litigios.
▪ Definir el programa de administración y registro de la información para asegurar
que los responsables de los registros relacionados con el Programa de gestión
del riesgo de fraude están identificando, administrando y disponiendo de los
documentos de acuerdo con las políticas y procedimientos establecidos.

• Comunicación
▪ Desarrollar el Plan de comunicación para las políticas relacionadas con el fraude,
así como procedimientos, capacitación, investigaciones e informes.
▪ Ofrecer comunicaciones en los diferentes niveles en conformidad con el
Programa de administración del riesgo de fraude.

• Informes internos
▪ Elaborar informes internos que reflejen el análisis de riesgos, las prioridades de
las iniciativas de la administración del riesgo, el progreso hacia los objetivos de
gestión del riesgo de fraude, el estado y los resultados de las evaluaciones y las
medidas disciplinarias adoptadas en respuesta a las investigaciones.

• Informes externos
▪ Desarrollar sistemas de divulgación y documentos que cumplan con los
procedimientos de respuesta a crisis y la gestión de la información.
▪ Satisfacer las necesidades y requerimientos de la Organización y la contraparte
externa en cuanto a la información y la obligación de entregar documentos
relacionados con los casos de fraude y corrupción.

www.auditool.org 109
▪ Crear y gestionar las divulgaciones y notificaciones del avance de los casos y
resultados de las investigaciones de acuerdo con los procedimientos
estandarizados en el Programa de administración del riesgo de fraude.

Principios o prácticas para prevenir fraude: tecnología

• Aprovechar la tecnología para apoyar el programa:


▪ Automatizar los controles que monitorean las operaciones, refuerzan las reglas
del negocio y la separación de funciones.
▪ Intercambiar conocimiento de las tendencias e historia de los incidentes, riesgos
y conductas para facilitar el análisis de riesgos y de decisiones disciplinarias.
▪ Presentar informes de fraude o corrupción.
▪ Gestionar incidentes y seguimiento de las pérdidas.
▪ Investigar en términos forenses.

MÓDULO 8: MARCO INTEGRADO DE CONTROL INTERNO COSO PARA EL


PROGRAMA DE ADMINISTRACIÓN DEL RIESGO DE FRAUDE. RECOMENDACIONES
COSO

Marco Integrado de Control Interno COSO para el Programa de administración del


riesgo de fraude. Recomendaciones COSO

Los controles internos son generalmente definidos como los procesos para proveer
seguridad razonable con respecto al logro de los objetivos y a la confiabilidad de los reportes
financieros, así como la efectividad y eficiencia de las operaciones y el cumplimiento en la
aplicación de las normas y regulaciones.

www.auditool.org 110
COSO ha identificado cinco componentes del control interno, que aplican consistentemente
en la administración del riesgo de fraude, como se observa en la siguiente tabla.

Componente
COSO Actividades de administración del riesgo de fraude

• Establecer una política apropiada de dar el ejemplo que rija la cultura


organizacional.
• Documentar la estrategia de control del fraude, el Código de Ética y
conducta, el Reglamento Interno de trabajo y las políticas de
reclutamiento, contratación y promoción del personal.
• Establecer, complementar y evaluar las funciones de auditoría
interna.
• Desarrollar los programas de capacitación, formación y
entrenamiento
• Desarrollar las políticas y metodología para investigar los potenciales
casos de fraude.
Ambiente de • Investigar los casos o sospechas de fraude.
control • Promulgar los controles para prevenir, disuadir y detectar el fraude.
• Implementar y mantener la línea ética para denunciar las conductas
fraudulentas y corruptas.
• Establecer el programa de denunciantes.
• Implementar una profunda y debida diligencia para nuevos los
empleados
• Establecer una segregación apropiada de funciones y
responsabilidades.
• Implementar análisis conductual para identificar potenciales
perpetradores.
• Instaurar medidas disciplinarias y consecuencias legales para
quienes cometan fraude o cualquier conducta ilegal.

www.auditool.org 111
Componente
COSO Actividades de administración del riesgo de fraude

• Establecer el proceso de evaluación del riesgo que tenga en cuenta


los factores de riesgo de fraude y esquemas de fraude.
• Analizar los potenciales riesgos externos: competencia, tecnología,
cambios económicos, nuevas regulaciones.
• Analizar los potenciales riesgos internos: rotación del personal,
disponibilidad económica para nuevos proyectos, nuevos sistemas
de operación, desarrollo de nuevos productos, incursión en otras
Evaluación zonas geográficas.
del riesgo de • Buscar el personal apropiado para el proceso de evaluación del
fraude riesgo de fraude.
• Realizar evaluaciones de riesgo de fraude con una base regular o
periódicamente.
• Establecer los objetivos sobre la administración del fraude en
concordancia con la planeación estratégica.
• Desarrollar la estrategia para administrar los riesgos para identificar
los factores y reaccionar oportunamente.

• Definir y documentar los controles que mitigan el fraude y vincularlos


a los riesgos de fraude identificados.
• Modificar los controles existentes en caso de evidenciar nuevos
Controles y
esquemas de fraude.
actividades
• Diseñar e implementar nuevos controles para prevenir y detectar
antifraude
fraude y corrupción.
• Usar herramientas tecnológicas como apoyo antifraude.
• Designar a quien mantendrá y actualizará los registros y políticas.

www.auditool.org 112
Componente
COSO Actividades de administración del riesgo de fraude

• Fomentar la importancia del Programa de gestión del riesgo de


fraude.
• Promover la posición de la Organización sobre el riesgo de fraude
tanto interno como externo a través de programas de comunicación
corporativa.
• Diseñar y divulgar la sensibilización acerca del fraude y las conductas
antiéticas.
• Definir qué tipo de información será de carácter confidencial y qué
Información y información se puede compartir con terceros.
comunicación • Comunicar oportunamente a los empleados los cambios referentes a
las actividades y su impacto en el Programa de administración de
riesgos.
• Informar a los empleados sobre las políticas del control interno y
cómo se relacionan con las actividades que cada uno desarrolla.
• Promover el autocontrol y el autocuidado.
• Comunicar a la contraparte externa sobre los esfuerzos de la
Organización para mantener altos estándares éticos y de
transparencia en las operaciones.
• Efectuar una evaluación periódica a los controles antifraude.
• Planear y ejecutar evaluaciones independientes al Programa de
gestión del riesgo de fraude por parte de auditoría interna o de otros
expertos.
• Aplicar el uso de recursos tecnológicos para ayudar en las
Monitoreo
actividades de vigilancia y detección continua.
• Monitorear las actividades diarias por parte de los jefes de área o
departamento.
• Revisar información financiera, contar inventarios, conciliar cuentas,
revisar suplementos, etc.

Programa de cumplimiento corporativo

El Programa de cumplimiento corporativo tiene por objetivo la protección de la entidad y,


por ende, la reducción sustancial de cualquier tipo de sanción o multa aplicada por la
carencia de controles referentes a los delitos económicos, como lavado de dinero,
financiamiento al terrorismo, corrupción, narcotráfico, fraude, y los demás delitos asociados
a nivel global y los cuales de alguna forma se encuentran en el código penal de cada país.

www.auditool.org 113
El Programa de cumplimento hace parte del Programa de administración del riesgo de
fraude y es la guía legal para prevenir y detectar cualquier conducta delictiva y responder
ante cualquier circunstancia jurídica a la que la entidad esté expuesta o en la que se vea
involucrada. Un Programa de cumplimiento efectivo debe ser implementado de forma
proactiva o antes de que la empresa sufra cualquier tipo de exposición o ataque criminal.

La adopción y el mantenimiento apropiado del Programa de cumplimiento ayuda a la


compañía a enfrentar los casos en que la empresa se vea implicada en procesos judiciales
en los que se haya perpetrado un crimen o delito económico, dado que para ciertos jueces
el hecho de tener el programa implica la intención de protección y la disposición de
legalidad.

Dicho programa debe contemplar los cuatro factores de riesgos que existen en cuanto a la
mitigación de los delitos económicos: zona geográfica o jurisdicción, productos y servicios
que comercializa la empresa, los canales de distribución y ventas, y las contrapartes.

Muchas empresas han adoptado de manera voluntaria el Programa de cumplimiento como


parte del Programa de administración del riesgo de fraude debido al ámbito de sus negocios
internacionales, a relaciones con contrapartes de otros países, o a mercados financieros o
de capital de mayor envergadura. Por ejemplo, si una empresa latina desea entrar al
mercado financiero norteamericano, la empresa debe implementar los procesos necesarios
para, como mínimo, alcanzar los estándares norteamericanos. De modo que las personas
que representan el Programa de cumplimiento deben ser expertos calificados con
capacidad de cubrir los riesgos a los cuales la Organización está expuesta.

Un Programa de cumplimiento y ética efectivo debe contener dos elementos esenciales


para lograr efectividad:

• Debida diligencia para prevenir y detectar conductas antiéticas o criminales.


• Cultura ética organizacional y cumplimiento de las normas y regulaciones al 100%.

Recomendaciones para el Programa de cumplimiento corporativo

Para el desarrollo del Programa de cumplimiento y ética se recomiendan los siguientes


pasos para efectuar un control fuerte; éstas se han explicado detalladamente en el
Programa de administración del riesgo de fraude:

• Establecimiento de parámetros,
• Asignación de responsabilidades,
• Comité de Auditoría,
• Debida diligencia para empleados y contratistas,
• Comunicación del Programa de Cumplimiento y Ética,

www.auditool.org 114
• Entrenamiento y formación a los empleados,
• Aseguramiento del Programa,
• Acciones disciplinarias y legales,
• Respuesta apropiada a los eventos,
• Evaluación periódica del Programa.

Programa de Ética

En la mayoría de los grupos sociales las personas comparten los mismos valores. Ellos
generalmente están de acuerdo respecto a lo que es bueno o malo, correcto o no correcto,
o moral o inmoral. Incluso puede que alguien no esté de acuerdo con uno de los valores
que se manejan en el grupo, pero siempre los valores sociales de la mayoría afectarán las
creencias y comportamientos de todo el grupo.

La colección de valores y creencias de un grupo de personas se determina Ética. Por lo


tanto, Ética reúne los razonamientos sobre lo que es correcto o lo que es equivocado, o
específicamente la sociedad determinará o calificará a una persona de acuerdo con sus
acciones dentro del grupo.

Por esto, determinar éticamente qué está bien o qué está errado es demasiado complicado
debido a que este concepto es solo de carácter subjetivo y se acomoda dependiendo del
grupo donde el individuo socializa, como también de la transformación de la persona a
través del tiempo. Por ejemplo, el perpetrador sabe que robar el dinero de la cuenta de los
clientes de la empresa está errado, pero este individuo buscará a alguien que acepte su
comportamiento criminal y comparta sus creencias y justificaciones acerca de robar el
dinero, a tal punto que encontrará la justificación perfecta y aceptada para socializar como
moralmente correcto su comportamiento.

Adicionalmente, diferentes grupos dentro de la misma sociedad pueden tener diferentes


valores y polarizar acerca del bien y de mal, lo cual se refleja en sus comportamientos
individuales y en especial como empleados. Cualquiera que sea el concepto de ética de los
empleados, dicho conjunto de valores ejercerá una fuerte influencia en muchas de las
decisiones dentro de las empresas.

Se han detectado cuatro factores que generalmente afectan las decisiones éticas de los
empleados:

• Leyes, normas, regulaciones, códigos.


• Códigos de ética en la Organización y en la industria.
• Presiones sociales de los empleados.
• Tensión entre las creencias del personal y las necesidades de la Organización.

www.auditool.org 115
¿Ético o moral?

Desafortunadamente, una falacia muy común acerca de la ética son los aspectos de
legalidad. Es decir, en muchas decisiones divagamos o tenemos ambivalencias acerca si
la decisión es ética o moral. Una excusa perfecta frente al comportamiento antiético es la
norma. Este enfoque totalmente legal deduce erróneamente que las acciones que no están
explícitamente prohibidas por la norma o regulación son éticas. El principal error en este
enfoque es que los estándares legales se quedan cortos al establecer los principios éticos.
Aunque la fundamentación de la ley es parte del comportamiento ético, las leyes por sí
mismas no describen cómo debe ser un comportamiento ético. Por ejemplo, alguien puede
ser deshonesto, carente de principios, no confiable, injusto e indiferente sin quebrantar la
ley. Las personas éticas se comportan de acuerdo con sus principios y valores y no se rigen
por la ley. Por lo tanto, la ley o norma es solamente el límite mínimo para tomar una decisión
legal pero esto no determina cómo las personas pueden comportarse éticamente.

Debido a esto, se hace necesario tener políticas éticas en las organizaciones, por las cuales
la Junta Directiva y la Alta Gerencia puedan comunicar la filosofía empresarial y desarrollar
exitosamente el Programa de ética. El Código de Ética debe estar diseminado en todos los
niveles de la empresa entre todos los empleados sin importar el rango y tiempo de
permanencia en la empresa. Adicionalmente, algunas compañías han encontrado que el
Código de Ética es la mejor herramienta para evitar comportamientos corruptos entre las
contrapartes adicionales a los empleados.

Iniciativas para mantener la ética

Existen algunas teorías acerca de la ética y como empleados encontramos que en los
lugares de trabajo hay cierto código de ética que ayuda a orientar el comportamiento
humano sobre principios como el respeto, la honestidad y la transparencia. Sin embargo, el
carácter ético se consolida en las personas en la niñez y en los comienzos de la
adolescencia. De modo que si una persona no aprendió sobre ética en los primeros años
de su vida, es muy probable que dicho individuo no sea ético en la adultez.

Sin embargo, otras teorías sostienen que los valores y la moral son formados en los
primeros años de la adultez e incluso dicha formación se extiende durante toda nuestra
existencia. De hecho, solo se aprende de ética en la medida en que se tomen decisiones
donde las personas tienen la capacidad de hacer juicios y cambiar su comportamiento
tantas veces como sea necesario.

www.auditool.org 116
El programa de negocios éticos se construye pensando en la teoría de que las personas
aprenden sobre ética y moral en la medida en que se exponen a diferentes ambientes y se
ven afectadas o modifican su comportamiento de acuerdo con sus experiencias. Por esto,
el Código de Ética es el principal manual que cualquier organización debe tener para
garantizar un único comportamiento en todas sus áreas, donde todas las personas que
tienen relaciones contractuales o las contrapartes estén alineadas con los principios y
valores que la empresa ha establecido.

La actuación pobre o mala gestión de miembros de Junta Directiva, administradores y


gerentes en recientes años ha demostrado la necesidad imperante de implementar o
reforzar el Gobierno Corporativo. Los eventos que involucran delitos económicos como
fraude, abuso y corrupción en todos los niveles ha deteriorado la confianza pública en
diferentes sectores de la economía; y a causa de esto, hoy en día las organizaciones
trabajan arduamente e invierten más recursos económicos y de conocimiento para
mantener o recuperar el respeto en los negocios, y adelantar iniciativas que incluyen la
adopción del código de Ética, formación ética para todos los empleados de la Organización
y el establecimiento del programa de ética y cumplimiento.

Desarrollo del Programa de Ética

Un Programa de ética debe estar diseñado de manera individual para cada organización,
confeccionado de acuerdo con los cuatro factores de riesgo y conforme a la planeación
estratégica. Identificar estas características y reforzar el reconocimiento de los problemas
orienta a la empresa a la prevención de las conductas criminales. Para desarrollar el
programa se sugiere tener en cuenta las presentes actividades:

• Entender las razones por la cuales personas buenas pueden cometer actos antiéticos.
• Definir los valores actuales y futuros de la Organización.
• Verificar si los valores de la Organización han sido comunicados apropiadamente.
• Escribir y actualizar las políticas, procedimientos y estructuras éticas en la
Organización.
• Averiguar cómo los miembros de la Junta Directiva, socios y accionistas, miembros
de la Gerencia y Administración, empleados, contratistas y otros miembros de la
empresa conciben el éxito personal.
• Determinar si la ética en la Organización es un problema de liderazgo.

Una vez aclarados los anteriores aspectos para construir un programa de ética efectivo, es
necesario desarrollar, implementar y administrar un plan exhaustivo que comprende los
siguientes componentes:

• Enfoque en el liderazgo ético,


• Definición de visión,
• Definición de los valores,

www.auditool.org 117
• Código de Ética,
• Designación del Oficial de Cumplimiento y Ética,
• Comité o grupo especial de Ética,
• Estrategia comunicacional sobre ética,
• Formación y entrenamiento sobre ética,
• Línea ética o de reporte de fraude y comportamiento corrupto,
• Premios y sanciones sobre el comportamiento ético,
• Sistema de monitoreo y trazabilidad de bases de datos,
• Evaluación periódica del plan de ética y de base de datos,

MÓDULO 9: HERRAMIENTAS PARA DESARROLLAR EL PROGRAMA DE


ADMINISTRACIÓN DEL RIESGO DE FRAUDE Y CONCLUSIONES

Herramientas para desarrollar el Programa de administración del riesgo de fraude

Los siguientes cuestionarios fueron diseñados por ACFE (Association of Certified Fraud
Examiners) y traducidos para efectos de este curso. Cada cuestionario contiene una serie
de preguntas diseñadas para ayudar a las organizaciones a ampliar la visión del riesgo en
determinadas áreas en la evaluación del riesgo. Estos módulos deben ser desarrollados
entre el líder de la evaluación y el responsable en la Organización o dueño del proceso a
evaluar, quien debe ser una persona con pleno conocimiento de la operación. El resultado
de la evaluación a través de estos cuestionarios debe ser revisado en la Organización para:

• Identificar el potencial riesgo de fraude,


• Evaluar la posibilidad y significatividad de ocurrencia de los riesgos identificados,
• Evaluar qué personas y áreas son más vulnerables para cometer un fraude,
• Identificar los métodos que las personas usan para cometer un fraude,
• Identificar y rastrear la existencia de los controles preventivos y detectivos para los
riesgos relevantes,
• Evaluar si los controles identificados están funcionando eficiente y efectivamente,
• Identificar y evaluar el riesgo residual de fraude resultante de la inefectividad o la
carencia de los controles,
• Responder a los riesgos residuales.

Es necesario tener presente que este tipo de herramientas se debe ajustar a la corporación
que está evaluando y el material que se presenta es solo un ejemplo académico que le
ayudará a guiarse frente a la evaluación del riesgo del fraude.

www.auditool.org 118
Tome como punto de partida el árbol del fraude que se entrega en este material. Allí usted
encontrará las actividades criminales más comunes que suceden en las empresas
clasificadas por grupos de cuentas o actividades similares. Elabore por cada área de trabajo
un formulario con la mayor cantidad de preguntas de control que le ayudarán a verificar el
Sistema de Control Interno de la Organización. En este punto el equipo interdisciplinario
debe reunirse para elaborar el cuestionario con el soporte del conocimiento individual. Así
mismo, tome experiencias de otras organizaciones para elaborar el formulario de preguntas.
No se limite a preguntar lo impensable, dado que algunos esquemas de fraudes se elaboran
y se esconden donde menos se imagina. Recuerde que entre más preguntas haga, más
información obtendrá.

H1. Evaluación de empleados

Las preguntas de evaluación de empleados están diseñadas para evaluar la probabilidad


de que un evento fraudulento ocurra dentro de la Organización, tomando como base los
siguientes elementos:

• Controles internos,
• Ambiente de control interno,
• Recursos disponibles para prevenir, detectar y disuadir el fraude.

# Pregunta Sí No N/A
1 ¿Los empleados tienen una descripción detallada de sus
funciones o un manual de funciones?
2 ¿Los empleados conocen el organigrama que muestra las
líneas de responsabilidad?
3 ¿La empresa ha formulado y escrito procedimientos y
políticas contables financieras?
4 ¿Existe una política formal sobre homologación para las
transacciones financieras, tales como compras comisiones
o viajes?
5 ¿La empresa tiene una declaración o Código de Ética?
6 ¿Los directivos exhiben y fomentan el comportamiento
ético?
7 ¿La empresa ha definido y escrito políticas y procedimientos
de fraude?
8 ¿Hay en la empresa un miembro sénior de la Gerencia
responsable del cumplimiento de las políticas de fraude?
9 ¿La Organización educa a los empleados sobre la
importancia de la ética y los programas de lucha contra el
fraude?

www.auditool.org 119
# Pregunta Sí No N/A
10 ¿Los incidentes de fraude son investigados con prontitud y
profundidad?
11 ¿La Organización tiene una línea anónima para informar
sospechas de violaciones de la ética y de los programas de
lucha contra el fraude?
12 ¿La empresa mantiene un registro de incidentes de fraude?
13 ¿La empresa lleva a cabo las verificaciones de
antecedentes para nuevos empleados?
14 ¿La empresa tiene un cargo que se enfoque en la
prevención de pérdidas?
15 ¿La empresa tiene auditoría interna?
16 ¿Están segregadas las funciones relacionadas con la
autorización, custodia de los activos, registros de
transacciones y presentación de informes?
17 ¿El cumplimiento de controles internos es auditado
periódicamente?
18 ¿Los empleados sienten que son bien tratados y justamente
compensados?
19 ¿Los empleados tienen grandes deudas personales o
problemas de crédito?
20 ¿Los empleados parecen gastar mucho más de lo que están
ganando?
21 ¿Los empleados apuestan excesivamente o se deleitan con
apuestas?
22 ¿Los empleados usan alcohol o drogas psicotrópicas o
alucinógenos?
23 ¿Existen empleados resentidos con sus superiores?
24 ¿Los empleados tienen una relación cercana con
proveedores o competidores?
25 ¿Los empleados tienen intereses empresariales que
podrían entrar en conflicto con sus deberes en la empresa?
26 ¿La empresa efectúa alta rotación de personal?
27 ¿Los empleados están obligados a tomar vacaciones
anuales?
28 ¿Está la compañía dominada por un pequeño grupo de
personas?
29 ¿La empresa tiene expectativas y medidas de productividad
poco realistas?
30 ¿La Administración no entrega retroalimentación positiva a
los empleados ni reconocimientos por desempeño en el
trabajo?

www.auditool.org 120
# Pregunta Sí No N/A
31 ¿El personal siente temor al entregar malas noticias a
supervisores acerca de la gestión de los empleados?
32 ¿Existe falta o fallas en la comunicación entre empleados y
directivos?
33 ¿La empresa adolece de una organización clara de las
responsabilidades?
34 ¿Parece que a la Gerencia no le importa ni recompensa el
comportamiento adecuado del empleado?

www.auditool.org 121
H2. Evaluación de Junta Directiva y Alta Gerencia

H2. Evaluación de Junta Directiva y Alta Gerencia Sí No N/A


¿La Junta Directiva está compuesta principalmente personal
relacionado con la empresa o existen expertos independientes
en ella?
¿El Comité de Auditoría es independiente?
¿Ha habido alta rotación de directivos y miembros de la Junta
Directiva?
¿Hay un inusual y significativo número de empleados clave que
no están de acuerdo con las políticas de la compañía
recientemente?
¿La empresa está involucrada en litigios o es posible que en el
futuro cercano la empresa deba responder en un litigio?
¿La empresa tiene actividades offshore y cuentas bancarias en
jurisdicciones internacionales?
¿Cualquiera de los altos directivos tiene cuentas bancarias
offshore o intereses empresariales?
¿Los empleados clave experimentan presiones financieras,
tales como deudas, juegos de azar, las facturas médicas o
divorcio?
¿Algún empleado clave parece vivir más allá de sus
posibilidades?
¿Los empleados clave tienen juicios civiles o registro de
quiebras?
¿Los empleados clave tienen una condena penal?
¿Uno o dos empleados clave o un pequeño grupo parecen
dominar a la empresa?
¿Los empleados clave tienen amigos o familiares reportando
directamente a ellos?
¿Alguno de los empleados clave parecen tener una asociación
o relación cercana con un vendedor?
¿Tienen los empleados clave intereses empresariales que
podrían entrar en conflicto con sus deberes en la empresa?
¿Algún empleado clave es propietario de una parte de cualquier
empresa que hace negocios con esta empresa?
¿Existen empleados clave que no hayan tomado vacaciones?
¿Los empleados clave tienen una cantidad significativa de su
patrimonio invertido en la empresa?
¿La empresa tiene inusualmente altas deudas?
¿El plan de compensación de empleados clave se basa
principalmente en el desempeño de la compañía?

www.auditool.org 122
¿Se minimizan las utilidades para pagar menos impuestos?
¿Hay presión excesiva para aumentar el precio de las acciones
de la empresa?
¿La compañía recientemente ha experimentado grandes
pérdidas de operación o inversión?
¿La Organización tiene suficiente capital de trabajo?
¿La Organización tiene crédito suficiente?
¿Está la Organización bajo presión para informar ganancias
favorables?
¿La empresa depende de solo un número limitado de productos
o clientes?
¿La empresa ha tropezado con dificultades para recoger
cuentas por cobrar?
¿La compañía recientemente ha incursionado rápidamente en
nuevas líneas de negocio o producto?
¿Ha experimentado la empresa una reducción en el volumen de
ventas?
¿La empresa tiene competidores fuertes que la están
superando?
¿Está la empresa bajo presión para vender o fusionarse con
otra empresa?
¿La empresa cambia cuentas bancarias a menudo?
¿La empresa evita entregar información a las auditorías
ordinarias?
¿La empresa cambia constantemente el equipo de auditoría?
¿La empresa tiene problemas con las agencias reguladoras o
superintendencias?
¿La empresa tiene malos o pobres procedimientos de
contabilidad?
¿Parece que el departamento contable no tiene los
profesionales adecuados?
¿La Organización no divulga sus prácticas contables
cuestionables o inusuales?
¿La empresa tiene un número grande de transacciones
inusuales al fin del año?
¿La Organización carece de personal de auditoría interna
adecuado?
¿La Organización carece de un sistema de control interno o no
aplica los controles internos existentes?

www.auditool.org 123
H3. Controles físicos para prevenir el fraude

H3. Controles físicos para prevenir el fraude Sí No N/A


¿La Organización investiga los antecedentes laborales para identificar
conductas anteriores deshonestas o inmorales?
¿Existen políticas y procedimientos para tratar la conducta deshonesta
o inmoral?
¿La Gerencia de la empresa soporta y ayuda en la gestión de la ética y
las políticas de lucha contra el fraude?
¿La Organización educa a los empleados sobre la importancia de la
ética y los programas de lucha contra el fraude?
¿La Organización proporciona una línea de reporte anónimo para
reportar sospechas de violación de la ética y de las políticas de lucha
contra el fraude?
¿La Organización limita el acceso a las áreas que contienen
documentos sensibles tales como facturas, recibos, contratos, libros de
contabilidad?
¿La empresa mantiene un sistema de auditoría para proporcionar el
rastro o trazabilidad de acceso a las áreas sensibles?
¿La Organización limita el acceso a sistemas informáticos con
documentos delicados tales como el software de contabilidad,
inventario y nómina?
¿La Organización restringe el acceso a las áreas con activos de alto
valor tales como tesorería e inventario?
¿La Organización utiliza CCTV y equipo de grabación para controlar
las entradas, salidas y las zonas con activos sensibles o de alto valor
comercial?
¿La Organización lleva a cabo auditorías al azar por auditores internos
o externos sin previo aviso para inventario, dinero, gastos, compras,
facturación y otras cuentas?
¿La Organización contrata profesionales expertos en prevención o
personal de seguridad para monitorear controles físicos?
¿La Organización puntualmente investiga incidentes sospechosos de
fraude o aquellos que fueron reportados?

www.auditool.org 124
H4. Esquema de fraude previo al registro del efectivo

Este esquema de fraude incluye las siguientes modalidades:

• Recoger dinero en efectivo y no registrar la venta,


• Recolección de efectivo, robar una parte del efectivo y registrar parte de la venta,
• Recolección de pago de un cliente y no acreditar el valor en la cuenta del cliente,
• Recoger dinero en efectivo y jinetear el dinero a través de una cuenta que devengue
intereses personales antes de depositar en la cuenta de la empresa.

H4. Esquema de fraude previo al registro del efectivo Sí No N/A


¿Se elabora un examen periódico y analítico de las cuentas de ventas
mediante el análisis vertical y horizontal por cliente y producto?
¿Se elabora un examen periódico de inventario y recepción de
registros utilizando el muestreo estadístico?
¿Se hace un examen periódico de análisis de tendencias de los
inventarios?
¿Se hace un examen periódico de los inventarios mediante conteos de
inventario físico?
¿Hay examen periódico de inventario y recepción de mercancía
mediante verificación de documentos?
¿Existe una revisión periódica de las cuentas de provisión y gasto por
pérdida de inventario?
¿Existe una revisión periódica de cuentas por cobrar y estimación de
gasto de provisión para cuentas incobrables?
¿Existe una revisión periódica de las cuentas de efectivo para las
entradas irregulares?
¿Existen documentos contables sin series o consecutivos impresos o
automáticos?
¿El responsable de cuentas por cobrar está restringido a preparar el
depósito bancario?
¿El funcionario de cuentas por cobrar está restringido a recibir dinero
de los clientes?
¿Está el cajero restringido al acceso de los registros de cuentas por
cobrar?
¿Tiene el cajero acceso restringido a conciliaciones bancarias y de
clientes?
¿Las funciones de facturación, tesorería, contabilidad, archivo y
cuentas por cobrar estás segregadas o separadas en diferentes
funcionarios?
¿Quien recibe los cheques en la empresa es diferente a quien los
endosa o consigna?

www.auditool.org 125
H4. Esquema de fraude previo al registro del efectivo Sí No N/A
¿Existe el control sobre el correo físico de documentos que se abre?
¿Se verifica que el recibo de consignación sellado por el banco
corresponde al dinero enviado por al banco por la Organización?
¿Se consignan el efectivo y los cheques diariamente?
¿Existe una política escrita sobre la recuperación de la cartera
perdida?
¿Existe una persona encargada que recibe las quejas y/o
reclamaciones de los clientes y es diferente al responsable de las
cuentas por cobrar o facturación?
¿Está el acceso físico al sistema de contabilidad restringido a solo las
personas autorizadas?
¿La empresa utiliza personal independiente para hacer los cobros a
los clientes?

www.auditool.org 126
H5. Esquema de robo de efectivo posterior al registro

El esquema del hurto de efectivo incluye estas modalidades:

 Robo de efectivo en el punto de venta,


 Robo de cuentas por cobrar,
 Robo de dinero en efectivo de depósitos bancarios.

H5. Esquema de robo de efectivo posterior al registro Sí No N/A


¿Se reconcilian los totales de la cinta de caja registradora con la
cantidad de medios en la caja registradora?
¿El empleado de la caja registradora es responsable de preparar
cierre de la caja registradora y elaborar el informe de cierre?
¿Las funciones de conciliar los bancos, las cuentas por cobrar de los
clientes y el cierre diario de las cajas registradoras están segregadas
en diferentes funcionarios?
¿La elaboración de los ingresos de caja, arqueos, depósitos
bancarios, conciliaciones de recibo de depósito, conciliaciones
bancarias, registro de depósitos y desembolsos de efectivo están
segregados?
¿El empleado de cuentas por cobrar puede hacer consignaciones
bancarias?
¿La rotación de trabajo o asignación es obligatoria para los empleados
que se encargan de cobros y tareas de contabilidad?
¿Se declaran vacaciones obligatorias para los empleados que se
encargan de cobros y tareas de contabilidad?
¿Se realizan arqueos sorpresa?
¿La empresa utiliza un sistema de punto de venta (POS)?
¿El sistema realiza un seguimiento de inventario permanente?
¿Se impide a todos los empleados, a excepción de administradores,
hacer cambios en el sistema POS?
¿Los empleados de contabilidad tienen acceso a las cuentas por
cobrar?

www.auditool.org 127
H6. Esquemas de corrupción

Los esquemas de corrupción incluyen las siguientes modalidades:

 Esquemas de soborno, que implican ofrecer, dar, recibir o solicitar una cosa de valor
para influir en una decisión empresarial,
 Esquemas de soborno que se producen cuando los vendedores hacen pagos no
divulgados a los empleados de la compra de las empresas,
 Esquemas de licitaciones que se producen cuando un empleado asiste
fraudulentamente a un vendedor en un contrato a través del proceso de licitación
competitiva para ganar,
 Esquemas de extorsión económica que se producen cuando un empleado demanda
pago de un proveedor para las decisiones tomadas a favor del vendedor. La negativa
a pagar la extorsión resulta en un daño para el vendedor,
 Esquemas de propinas ilegales que implican dar o recibir algo de valor para ejercer
influencias en una decisión empresarial.

H6. Esquemas de corrupción Sí No N/A


¿Se verifican requisitos y se elabora la debida diligencia de los
licitantes?
¿El empleado de la caja registradora es responsable de preparar
cierre de la caja registradora y elaborar el informe de cierre?
¿Se adjudican contratos con base en criterios predeterminados?
¿Se encuesta a los vendedores periódicamente con respecto a las
prácticas de compra de la empresa?
¿Son confidenciales las ofertas recibidas?
¿La comunicación entre oferentes y empleados de compras es
restringida?
¿Están los paquetes de solicitud de oferta numerados y controlados?
¿Son revisados los pliegos para las posibles restricciones de
competencia?
¿Se revisan las compras para identificar cantidades excesivas?
¿Se revisan las compras para identificar proveedores favorecidos?
¿Hay una política de licitación establecida?
¿Hay una política de empresa que se ocupa de la recepción de
regalos, descuentos y servicios ofrecidos por un proveedor o cliente?

www.auditool.org 128
Conclusiones

• Cultura organizacional: tener actitud férrea, marcar la pauta, no dejarse tentar. La


cultura corporativa es el primer escalón y la base de mayor importancia para prevenir
y disuadir cualquier comportamiento criminal en la Organización. Los criminales
saben y reconocen cuáles son las empresas e incluso mercados que son estrictos y
fuertes en cuanto a las medidas antifraude. Un perpetrador busca debilidades de
control y detesta las empresas que a diario promulgan la cultura de la ética y la
transparencia, por lo tanto, si quiere evitar criminales en la Organización, publicite y
expanda por doquier la actitud férrea y la pauta a seguir.
• El ejemplo empieza por casa y marcar la pauta es la manifestación de que la Junta
Directiva, la Gerencia, los directivos y administradores están alineados en la cultura
antifraude. Es bien sabido que los empleados permanentemente evalúan a sus jefes
por múltiples razones, por lo tanto, el comportamiento ético debe ser el factor que
predomine en cualquier crítica positiva que los trabajadores hagan. Un criminal del
fraude busca aliados con quienes cometer sus fechorías y en muchos casos requiere
de la autorización de un nivel de mayor rango para alcanzar su cometido, por lo tanto,
la pauta establecida le indica al perpetrador que no es posible aliarse con
supervisores o directivos.
• El compromiso de la Junta Directiva es vital para emprender el camino de la
prevención, detección y disuasión del fraude. La Junta debe estar plenamente
identificada con el Programa de administración del riesgo de fraude y todo lo que
implica. Sus miembros son responsables del proyecto y deben ser los primeros
individuos que demuestren el compromiso con el buen Gobierno Corporativo y la ética
en los negocios.
• El Programa de administración del riesgo de fraude involucra de manera fundamental
a los empleados, quienes a diario registran las operaciones, hacen consignaciones,
están en contacto con el cliente, despachan el inventario y muchas más actividades.
De modo que el Programa está diseñado para evitar cualquier actividad fraudulenta
en toda la Organización y eso incluye todas y cada una de las operaciones que cada
empleado hace. Incluirlos en la administración del fraude es la mejor estrategia para
detectar acciones mal intencionadas, pues quién mejor que un trabajador para delatar
a sus compañeros.
• Comunique, informe o cuente los avances del Programa y algunos detalles
pertinentes a las actividades preventivas. La socialización del Programa permite que
todos los empleados tengan conocimiento de las actividades relacionadas con la
cultura antifraude y ayuda a reforzar el concepto ético. La comunicación constante
sobre el Programa permite que las contrapartes conozcan los avances y, por ende, la
determinación de erradicar las conductas criminales de la empresa. De esta manera,
un vendedor o cliente corrupto no estará cómodo en caso de cometer un fraude.

www.auditool.org 129
• Campañas y más campañas sobre delitos económicos. No pare de socializar el
Programa. Los empleados, y en general la Organización, deben estar en función de
alguna actividad que incluya temas éticos y antifraude. Innove con premios, volantes,
concursos, afiches, botones y demás material con poder de recordación para
promover los valores éticos.
• Usted trabaja con gente, por lo tanto, debe saber con quién trabaja. Investigue y haga
la debida diligencia de la contraparte en especial respecto a empleados, contratistas,
clientes, proveedores y expertos que lo acompañan. Promulgue la política de la
debida diligencia en el personal, los clientes y proveedores, de modo que si alguien
recomienda a un tercero para tener cualquier relación de tipo contractual con la
Organización entienda que siempre se hará la investigación de antecedentes. Un
perpetrador odia que miren su pasado criminal y más aún cuando a la fecha no ha
pagado un solo peso por su actuar y aún está libre. El criminal no quiere ser
investigado, por lo tanto, la menor sospecha de carencia de información o
documentos debe ser considerada como una alarma para desistir del proceso de
vinculación.
• Rodéese de expertos con conocimientos forenses, y en riesgos, delitos y los demás
detalles que le ayudarán a construir un programa efectivo, eficiente y justo a la medida
para la Organización. Las personas que pasan todo el tiempo estudiando e
investigando este tipo de proyectos tienen un conocimiento holístico que les permite
ver más allá, reconocer actividades criminales en todas partes y pensar lo
impensable.
• Ante la menor duda actúe. No espere a que el caso sea más grande o derive en más
pérdidas. Recuerde que un fraude de cuello azul se descubre en 18 meses
aproximadamente y uno de cuello blanco en más de 24 meses; por lo tanto, el hecho
de que aparezca hoy debe ser considerado como la manifestación de un acto que no
es nuevo. Un detalle por más pequeño e insignificante importa, no lo descarte o
subestime.
• El Reglamento Interno de trabajo es la clave para administrar las acciones
disciplinarias en la comisión de un fraude o en conductas éticas. Incluya un capítulo
para la administración del riesgo de fraude e incorpore todas las actividades que se
encuentran en el árbol del fraude y las que usted considera que pueden ocurrir.
Sanciones disciplinarias ejemplares disuaden naturalmente. Exponga públicamente
el Reglamento Interno de trabajo. Obligue a su lectura a los nuevos empleados y
prepare un examen corto y simple sobre los temas que se encuentren en el
reglamento, incluyendo el fraude y la corrupción. Use las herramientas legales para
prevenir el fraude.
• Proactividad más que reactividad. Adelántese a los hechos, no espere a que el
perpetrador ataque. Salga de la rutina y construya nuevos escenarios en los cuales
puedan ser cometidos los delitos que son fraude. El criminal innova cada día y nos
lleva la delantera en muchas ocasiones; por lo tanto, es el momento de despertar para
prevenir. Las reacciones son costosas porque detectar e investigar requiere de
mayores recursos económicos y humanos.

www.auditool.org 130
• El Programa de administración del riesgo de fraude está planteado para cualquier tipo
de negocio, empresa e industria. El programa incluye todas las conductas antiéticas
que derivan en fraude o abuso y por ende cualquier tipo de pérdidas; por lo tanto, no
subestime el fraude, pero tampoco considere que el Programa solo debe ser
implementado en grandes organizaciones. El Programa debe ser confeccionado de
acuerdo con el tamaño de la Organización y su cultura empresarial. Tome de este
curso el material que más le convengan y ajuste su Programa con otros recursos,
pero en todo caso no copie modelos de programa de una empresa a otra sin hacer
los ajustes respectivos. Recuerde que cada empresa tiene un ADN que se debe
respetar, de lo contrario el Programa de administración del riesgo de fraude estará
abocado al fracaso.
• Denuncie y gestione legal y civilmente las denuncias y quejas. Los perpetradores
conocen que la vergüenza, la carencia de tiempo, la falta de asistencia de expertos e
impunidad son los motivos más comunes por los que una víctima no denuncia. No
subestime la denuncia en los casos en los cuales el abuso o el fraude genera
pequeños impactos económicos.

www.auditool.org 131