Existen organizaciones de todos los tamaños y tipos: internacionales, locales, familiares, sociedades anónimas, de responsabilidad limitada, personas físicas, gubernamentales, etc.
El común denominador es que no hay ningún accionista y/o administrador de cualquier organización que quisiera ser víctima de un fraude, de ningún tipo y de ninguna dimensión.
Sin embargo, encuestas recientes muestran que 8 de cada 10 empresas han sufrido un fraude en el último año, y que 61% de los fraudes se detectaron mediante controles internos, pero sólo 12% de los encuestados, a pesar de haber sufrido un fraude, tomaron medidas preventivas. ¿Cuáles son esas medidas?, mejorar nuestros controles internos…
Sin embargo, las preguntas obligadas son: ¿qué controles internos hay que mejorar o implementar? ¿Cuáles son los controles que previenen el fraude? La mejor respuesta no es una lista de controles a implementar, porque todas las actividades relativas al marco normativo de la Ley Sarbanes-Oxley y las regulaciones equivalentes nos han enseñado que puede tenerse un sistema sumamente complejo de controles de nivel operativo, pero que sin un monitoreo y adecuado tono de la gerencia, esos controles se pueden evadir. Basta conocerlos a fondo para encontrarles el punto débil.
Como muestra podemos ver las licitaciones públicas, donde muchas son revisadas por los organismos gubernamentales respectivos, encontrando que cumplen cabalmente con las leyes y regulaciones correspondientes; sin embargo, nos quedamos con la duda de si hubo algún tipo de corrupción en el proceso, para lo cual no hay una respuesta simple; es decir, nadie puede decir rotundamente que no.
Derivado de lo anterior, es necesario dar un paso hacia atrás y ver la organización como un todo, así como encontrar la manera de administrar el riesgo de fraude con una visión que va de lo general a lo particular. La experiencia ha demostrado la efectividad de las medidas orientadas hacia la prevención y la disuasión del fraude, que se enfocan en un cambio cultural de los empleados en la organización.
Pero, continuamos hablando de las medidas de control interno, ¿cómo se define el control interno? Las normas y procedimientos de auditoría generalmente aceptadas, definen la estructura del control interno de una entidad como aquElla que consiste en las políticas y procedimientos establecidos para proporcionar una seguridad razonable de lograr los objetivos específicos de la entidad. Dicha estructura consiste en los siguientes elementos:
• El ambiente de control.
• La evaluación de riesgos.
• Los sistemas de información y comunicación.
• Los procedimientos de control.
• La vigilancia.
¿El concepto anterior le suena familiar? En efecto, prácticamente son los mismos elementos del marco conceptual llamado COSO (Committee Of Sponsoring Organizations of the Treadway Commission), que ha sido una de las bases más reconocidas de la estructura del control interno.
Los conceptos anteriores nos ayudan a tener una visión global del control interno. Sin embargo, es necesario discernir cuáles son los elementos, medidas, controles, etc., que ayudarán a prevenir el fraude en la organización.
Mitigar el riesgo de ser víctima de un fraude requiere de un sistema de actividades y controles que, en su conjunto, reduzcan la probabilidad de ocurrencia de fraude y conductas impropias, pero que, al mismo tiempo, maximicen la posibilidad de detectarlas, antes de que signifiquen un quebranto económico significativo.
Mitigar el riesgo de ser víctima de un fraude requiere de un sistema de actividades y controles que reduzcan la probabilidad de ocurrencia de fraude y conductas impropias»
Los objetivos principales de un programa integral de administración de riesgos de fraude son: prevenir, detectar y dar respuesta a los fraudes y conductas impropias en la empresa.
Todas las compañías son susceptibles de padecer algún tipo de fraude, ya que cuando hay colusión e intención, es difícil detectarlo y frenarlo. A pesar de esto, se ha visto que este riesgo se mitiga sustancialmente cuando las empresas cuentan con un programa integral que permite combinar mecanismos de cambio cultural con controles internos en los procesos de negocio.
Un adecuado sistema de administración de riesgos debe partir de una estructura sólida de gobierno corporativo. Todos en la organización desempeñan un papel importante en el proceso de supervisión y monitoreo, tanto el Consejo de Administración como el Comité de Auditoría, la gerencia y los auditores internos.
Una vez que existe la estructura deseable, los elementos de un programa integral de administración de riesgo de fraude se dividen en tres partes, ilustrado en el esquema (pág. síg.) que, a su vez, es comparable con los elementos del control interno.
Ambiente de control-Supervisión del Consejo de Administración/ Comité de auditoría, funciones del equipo directivo
Fuente: Fraud Risk Management, KPMG, LLP
Crear un ambiente en el que los empleados sientan la obligación de comportarse con ética, porque así se comportan todos los miembros de la organización, incluso los de la alta gerencia. La experiencia muestra que las excepciones a los controles en la alta gerencia generan una actitud de cinismo en los empleados, quienes dejan de ver a la estructura ética como un esfuerzo serio.
Evaluación de riesgos-Evaluación de riesgos de fraude
Un programa integral de administración de riesgos de fraude debe comenzar con evaluar cuáles son estos riesgos en la organización, y calificarlos por la probabilidad de ocurrencia y la magnitud de impacto. El proceso tiene que ser adecuado y pensado para cada organización, ya que no hay un inventario común o menú de riesgos de fraude, del cual se pueda escoger lo que le aplique. Por lo tanto, se recomienda considerar, tanto los factores externos que crean riesgos de fraude: sustitutos de productos, cambios en la industria y en la economía, cambio en legislaciones, necesidades y expectativas de los clientes, etc.; como los factores internos: incentivos y presiones sobre los empleados, baja moral, nuevos sistemas, nuevos productos, rotación de personal, etcétera.
Sistemas de información y comunicación-Comunicación y entrenamiento/Análisis forense proactivo de datos
Por un lado están los sistemas que van a permitir procesar las transacciones y que producen datos que pueden analizarse para detectar irregularidades de forma temprana, algunos ejemplos comunes son:
• Monitorear empleados “fantasma”, mediante la comparación de log-ins al sistema de la organización, reloj checador, etc., contra la lista de nómina.
• Comparar la lista de proveedores con la lista de empleados, incluyendo familiares directos de los empleados y otros datos particulares, como: direcciones, teléfonos, entre otros.
• Monitorear saldos antiguos de cuentas por pagar y partidas en conciliación antiguas en las conciliaciones bancarias y otras conciliaciones.
• Monitorear ajustes manuales al sistema de contabilidad.
• Monitorear consecutivos de facturas pagadas por proveedor.
Por otra parte, está la forma de comunicar las políticas y procedimientos, así como los valores éticos de la organización. La comunicación de valores no debe ser letra muerta, sino documentos dinámicos que permitan a los empleados enterarse de la percepción de la administración de los valores, los cuales se quieren aplicar en el trabajo y en las actividades diarias dentro de la organización.
En adición, deben considerarse los controles sobre los sistemas de información, como resguardos, respaldos, controles de acceso (passwords), etc. Cuando un empleado incurre en conductas impropias, tendrá la intención de destruir la evidencia, y si el sistema no funciona correctamente o no hay políticas adecuadas de resguardo, la destrucción de dicha evidencia es inminente.
Los procedimientos de control Código de conducta/Due diligence a terceros y empleados/Controles de riesgos de fraude específico en cada proceso/Mecanismos de denuncia anónima/Protocolos de respuesta
Los controles internos que todos conocemos y que, en muchas organizaciones, son aquéllos en los que se han volcado esfuerzos, son los controles de riesgo de fraude específico en cada proceso; es decir, las organizaciones se toman un tiempo mayor en verificar firmas de autorización en algunos procedimientos, que en evaluar el riesgo que mitiga ese control y si la transacción en general tiene sentido.
Un ejemplo común en las investigaciones de fraude es el de la recepción de materiales. Por ejemplo, una firma en la factura es suficiente, y es que es común escuchar el argumento de que: es la firma del gerente de operaciones. Pero, nadie verifica si el gerente de operaciones autoriza la compra de un elefante africano para una operación que manufactura tuercas, por lo que el control específico de la firma de autorización ya perdió valor.
Los controles como un mecanismo efectivo de denuncia anónima, disminuyen el riesgo de fraude hasta en 50%, de acuerdo con las estadísticas de la Asociación de Examinadores de Fraude Certificados (ACFE, por sus siglas en inglés), cuya función es doble, pues por una parte ayuda a la detección de problemas percibidos por los empleados y, por otra, disuade al posible perpetrador, ya que puede ser denunciado.
Si el mecanismo de denuncia está soportado por un código de conducta que es claro y contundente, y además es reconocido por todos los miembros de la organización, el resultado será un efecto disuasorio de las conductas impropias dentro de una organización.
Por último, la consideración de la segregación de funciones en el diseño e implementación de todos los controles y mecanismos para prevenir, disuadir y detectar el fraude, ayudarán a mitigar el riesgo a su mínima expresión.
Vigilancia-Auditoría y supervisión/ Protocolos de remediación
Los controles sin monitoreo no funcionan. Es decir, la administración puede hacer los mejores manuales de procedimientos y políticas del mundo, pero sin monitoreo del cumplimiento de los mismos, se convierten en un esfuerzo inútil, ya que es común pensar que en nuestra organización, sí se monitorean los controles. Sin embargo, pensemos cuántas veces no hemos visto un control clave sobre el manejo de efectivo, las conciliaciones bancarias sin firmar, sin revisar y con varias páginas de partidas en conciliación.
Es importante señalar que la función del monitoreo también debe incluir las sanciones, tanto para el que incumple los controles e incurre en conductas impropias como para el que debió haber supervisado, ya que las actividades se delegan, pero no la responsabilidad.
Por lo anterior, los protocolos deben tener actividades a seguir cuando se presenta un ilícito o un acto de conducta impropia, así como las sanciones que se aplicarán al perpetrador(es) y su línea directa de supervisión.
Un ejemplo del alcance que pueden tener las sanciones para quienes tienen obligación de supervisar y monitorear es el que sigue:
Como resultado de una investigación en la que se acusaba de robo de efectivo a los cajeros de una organización, emitimos un informe pericial y lo presentamos ante las autoridades judiciales respectivas. El comentario de la Agente del Ministerio Público fue: … ¿y cómo es posible que los contadores de la compañía no se hayan percatado de la diferencia entre la recepción de efectivo y los recibos emitidos?… ¿no son ellos también culpables de administración fraudulenta?, pregunta que también se hace el Consejo de Administración de la compañía. Si existen sanciones y acciones contra los perpetradores y contra quienes debieron haberlo supervisado, es probable que se tome el esfuerzo de monitoreo con mayor seriedad, lo cual ayudará a la prevención, disuasión y detección del fraude.
Conclusión
Como corolario a este artículo tenemos dos reflexiones:
1) El director de seguridad y control de Microsoft mencionó en una conferencia, que los controles de alto nivel o a nivel organización, que se implementaron en su compañía (por ejemplo: código de ética, línea de denuncia, mecanismos efectivos de comunicación y entrenamiento, etc.), ayudaron a mitigar el riesgo de fraude mucho más efectivo que utilizando sólo los controles sobre los procesos, ya que ayudaron a un cambio cultural en los empleados.
2) El cambio cultural en el entorno adecuado es posible. Hay varias muestras en nuestro entorno, por ejemplo, un individuo que en su país no respeta las leyes ni contribuye a la sociedad, se muda a otro país y además de ser respetuoso de las leyes, trabaja con más ahínco y se vuelve un ejemplo de civismo. Es decir, el entorno ayuda al individuo a adaptarse al mismo. Un entorno ético ayuda a los empleados a comportarse con ética.
El énfasis de la gestión efectiva y responsable de las empresas debe ponerse en la disuasión de los delitos o conductas impropias. La investigación del fraude, del abuso y del error no debe ser el interés primordial de la alta dirección de las empresas, pues se trata de una posición más bien reactiva que proactiva. Su interés principal debe estar encaminado a fortalecer un gobierno corporativo eficaz, basado en un sistema de control de riesgos, que impida el abuso de confianza y disminuya la probabilidad del error y el engaño.
Las organizaciones necesitan dejar de ver el control interno como una larga lista de “candados” que no se relacionan entre sí y que crean la percepción de sobrerregulación o burocracia, sino como un complemento a un cambio cultural, es decir, una combinación de los controles o candados necesarios, de acuerdo con los riesgos, la participación y el tono de la gerencia en los temas éticos y de valores.
Sólo así se tomarán las medidas concretas para mejorar la confianza en las empresas y se trabajará para la protección de su patrimonio.
L.C. Judith Yadhyra Galván Rodríguez
Directora Forensic Services, KPMG