Por: CP Iván Rodríguez. Colaborador de Auditool.

A finales del año 2024, la Oficina del Auditor de la Ciudad de Edmonton, capital de la provincia canadiense de Alberta presentó un informe que expone las debilidades estructurales en el programa de gestión del riesgo de fraude del municipio. El informe de noviembre de 2024, denominado "Fraud Risk Management Audit – City of Edmonton^[1]" y que fue elaborado entre abril y julio de 2024, evalúa el nivel de madurez del sistema de la ciudad en comparación con estándares internacionales de renombre, como los de la Asociación de Examinadores de Fraude Certificados (ACFE), el Comité de Organizaciones Patrocinadoras de la Comisión Treadway (COSO) y la firma consultora Grant Thornton. El resultado es claro y refleja algunas deficiencias. Según se aprecia en el documento, el programa se encuentra en etapas iniciales, con elementos aislados de formalidad pero sin un enfoque integral, documentado y monitoreado de manera sistemática. Utilizando una escala de madurez de cinco fases —Básico, en Desarrollo, Establecido, Avanzado y Práctica Líder—, el informe muestra un panorama de fragmentación que deja a la ciudad vulnerable a pérdidas financieras, daños reputacionales y erosión de la confianza pública. Aunque hay fortalezas notables en áreas como la investigación de denuncias, las deficiencias en gobernanza, evaluación de riesgos y monitoreo preventivo, se destaca la urgencia de una transformación. En general, el programa de Edmonton oscila entre "Básico" y "en Desarrollo", lo que implica un riesgo elevado de exposición. De acuerdo con el informe, solo el 24% del personal recibe capacitación periódica en concienciación sobre fraude, y menos del 41% de los directores reporta un seguimiento formal de riesgos en sus áreas. Estas cifras además de reflejar brechas operativas evidencian una oportunidad perdida para alinear la gestión municipal con estándares que han reducido fraudes en un 50% en entidades similares, según benchmarks de ACFE. El informe evalúa cinco componentes interconectados, revelando un mosaico de avances aislados y lagunas críticas. A continuación, se presenta un resumen de cada uno.

Gobernanza del riesgo de fraude:

Se encuentra en la fase "en Desarrollo". La gobernanza es el pilar fundamental de cualquier programa antifraude, pero en Edmonton, esta estructura es frágil. No existe un programa formalmente definido, ni un responsable designado para su liderazgo. Hay ausencia de los documentos rectores —políticas claras, indicadores de desempeño y un apetito de riesgo de fraude (el nivel de exposición tolerable por la organización)—. Esta ausencia deja al municipio sin un norte estratégico, permitiendo que el fraude pueda aparecer gracias a la desorganización. Si bien hay un reconocimiento informal del riesgo en algunos niveles, no hay integración corporativa. La capacitación en concientización es escasa, cubriendo solo al 24% del personal, lo que fomenta una cultura de "no pasa nada" en lugar de vigilancia proactiva. Recomendaciones prioritarias:

• Establecer un programa formal con roles y responsabilidades explícitas, incluyendo un "fraude champion" a nivel ejecutivo.
• Definir y documentar el apetito de riesgo de fraude, alineado con objetivos municipales.
• Lanzar programas de educación obligatorios y recurrentes, con módulos interactivos sobre señales de alerta y ética.

Evaluación del riesgo de fraude

Fase "Básica". Aquí, los riesgos de fraude se diluyen dentro de la evaluación financiera general, sin una categoría independiente que permita un escrutinio detallado. No hay metodologías estandarizadas para identificar, valorar o monitorear amenazas específicas, como manipulaciones en compras o desvíos en fondos públicos. Solo el 41% de los directores encuestados indica que su área realiza un seguimiento activo, lo que deja amplias zonas ciegas en operaciones complejas como licitaciones o pagos a proveedores. Implicaciones: Esta aproximación reactiva ignora fraudes emergentes, como los cibernéticos o impulsados por IA, que según COSO representan el 30% de los incidentes en entidades públicas. La recomendación central es: Desarrollar herramientas específicas - talleres de mapeo de riesgos, software de modelado y revisiones anuales - para vincular evaluaciones a controles preventivos.

Actividades de control de fraude

Están en la fase "Básica". Los controles preventivos (como segregación de funciones) y detectivos (auditorías sorpresa) existen, pero de manera irregular. Áreas como Finanzas, Compras y Tecnología exhiben robustez - con protocolos de doble verificación y análisis de datos -, mientras que otras dependencias operan con lagunas, como accesos no autorizados a sistemas o revisiones laxas en contratos. Esta distribución desigual genera puntos vulnerables y un uso ineficiente de presupuestos, con un costo potencialmente alto en fraudes no detectados. El informe urge a mapear controles contra evaluaciones de riesgo, asegurando cobertura uniforme. Integrar IA para monitoreo en tiempo real podría transformar esta fase, alineándola con prácticas avanzadas, que se emplean en otras ciudades como Toronto.

Investigación y acción correctiva

Está en fase "Establecida"En contraste con las debilidades previas, este componente destaca como fortaleza. La política de fraude y denuncias es operativa, respaldada por una línea directa administrada por un tercero independiente, lo que fomenta reportes anónimos. La Guía de Investigación de Fraude proporciona un marco claro para respuestas rápidas y confidenciales. Como debilidad se aprecia que la directiva administrativa de fraude y denuncias data de 2017 y no se alinea con el nuevo marco de políticas corporativas de 2021, lo que podría limitarla y muestra la conveniencia de actualizarla, incorporando lecciones de casos recientes y métricas de cierre de investigaciones.

Monitoreo de la gestión del riesgo de fraude

Está en fase "Básica". El monitoreo se limita a un panel básico en la Oficina del Auditor, sin tableros de control integrales ni KPIs para rastrear tendencias, incidentes o cumplimiento. No hay análisis predictivo de datos para anticipar picos de riesgo. Se propone adoptar herramientas digitales para crear tableros centrales que midan métricas tales como tasa de denuncias resueltas, cobertura de controles y ROI de capacitaciones. Esto facilitaría reportes periódicos.

El núcleo del informe radica en reconocer que el programa actual es fragmentado: fortalezas aisladas (como la línea de denuncias) coexisten con debilidades sistémicas, sin una integración que genere sinergias. La gobernanza y evaluación de riesgos emergen como los eslabones más débiles, exacerbados por una concientización insuficiente que deja al personal desprotegido ante tácticas sofisticadas de fraude. Este ejemplo muestra las bondades de un buen análisis y que pueden ser adaptadas por los auditores en su trabajo. Las enseñanzas son claras, institucionalizar un programa integral requiere liderazgo ejecutivo claro, métricas cuantificables, capacitación continua y monitoreo centralizado. Sin una revisión profunda, la exposición al fraude persistirá, socavando la eficiencia operativa y la confianza ciudadana en una era de escrutinio público intensificado. 

^[1] Ver: Fraud Risk Management Audit – City of Edmonton 

CP Iván Rodríguez - CIE AF

Auditor y consultor, diplomado en Alta Gerencia de Seguros y Derecho de Seguros. Especialista en Dirección Financiera y Desarrollo Organizacional, diplomado en Gerencia de la Calidad. Contador público (CP) de la Pontificia Universidad Javeriana con 20 años de experiencia en diversas empresas. Tiene amplia experiencia en la elaboración y ejecución de auditorías y revisorías fiscales. Dirección y ejecución de asesorías, consultorías y capacitaciones. Colaborador de Auditool.

Bogotá DC, Colombia.