Auditoría de fraude
El fraude es el uso del cargo de una persona para su enriquecimiento personal de forma deliberada, de los recursos o activos de propiedad del empleador.
Entendemos como fraude:
- “La utilización del cargo de una persona para su enriquecimiento personal a través del mal uso o mala aplicación, de manera deliberada, de los recursos o activos de propiedad del empleador”, (ACFE).
- “Cualquier acto ilegal caracterizado por engaño, ocultación o violación de confianza. Estos actos no requieren la aplicación de amenaza de violencia o fuerza física. Los fraudes son perpetrados por individuos y por organizaciones para obtener dinero, bienes o servicios, para evitar pagos o pérdidas de servicios, o para asegurarse ventajas personales o de negocio”, (IIA).
Las organizaciones, tanto públicas como privadas, están tomando conciencia sobre su exposición al fraude y luchan contra esa realidad a través de acuerdos internacionales, convenciones regionales, guías para mejores prácticas, y buscando información sobre percepciones y hechos de soborno y corrupción. Una forma de evaluar qué tan efectivos son nuestros esfuerzos es mediante una auditoría.
La auditoría de fraude consiste en revisar los controles que tiene la organización para prevenir el fraude. También puede ayudar a hacer revisión de los fraudes, una vez que se han identificado, para comprobar cuáles han sido las causas o debilidades que generaron el o los fraudes.
Estas son las mejores prácticas para llevar a cabo las auditorías de fraude:
- Es muy importante que los auditores tengan habilidades, conocimientos y competencia en materia de cumplimiento, fraude, investigación, reglamentación, TI, finanzas, cultura y ética.
- Los auditores deben dilucidar de qué manera los controles se compaginan para disuadir, limitar y detectar el soborno y la corrupción.
- ¿Eres un auditor interno y en tu organización no hay un programa antifraude o tienen un programa informal? Te recomendamos ayudar a establecer un punto de partida, mediante la identificación e investigación de banderas rojas/alarmas, en áreas de riesgo elevado, tales como relaciones con terceros involucrados, regalos y gastos de representación, contribuciones a partidos políticos y proveedores, entre otros.
- Es recomendable que el auditor interno comparta información con otras funciones de gobierno, como el área de cumplimiento, los auditores externos, investigadores, y la Junta Directiva, a fin de comprender cabalmente las posibles implicaciones legales que deriven del alcance de la auditoría, del trabajo de campo, y de los hallazgos.
- Un auditor debe comprender todos los aspectos del programa antifraude de la organización antes de llevar a cabo evaluaciones de riesgo. Además, debe analizar los riesgos inherentes de fraude como parte de la evaluación de riesgos global.
- El plan de auditoría para evaluar la eficacia del programa antifraude debe estar basado en riesgos.
- Los elementos más relevantes que hay que tener en cuenta son la estructura de gobierno, evaluaciones de riesgos — incluidos terceros involucrados—, políticas y procedimientos, comunicación y capacitación, informes e investigaciones, aplicación de normas y sanciones, y revisiones y actualizaciones.
- Es importante evaluar que las normas antifraude de la organización estén definidas con claridad y documentadas en políticas bien definidas. También deben existir procedimientos detallados que no solo describan la manera en que empleados, socios comerciales y terceros deben comportarse, sino que además especifiquen de manera explícita qué comportamientos no son aceptables y/o no cumplen con las normas estipuladas.
- En toda auditoría de fraude deben presentarse evidencias de que existen protocolos para: transacciones con terceros, procesamiento de pagos, informes de gastos y capacitación. Para prevenir acciones ilícitas de empleados en provecho propio, la política de mejores prácticas debe abarcar la conducta de los empleados fuera del lugar de trabajo y los conflictos de intereses.
- Corroborar mediante muestreos, si las políticas y los procedimientos cumplen con las siguientes condiciones:
- Están debidamente documentados;
- Fueron aprobados por el nivel jerárquico adecuado;
- Cumplen con las leyes y regulaciones aplicables;
- Están implementados de manera eficaz.
- Están debidamente documentados;
¿Qué no se debe hacer en una auditoría de fraude?
- Omitir o subestimar el riesgo de fraude. Cuando una organización hace un análisis de riesgo de fraude es necesario revisar que el método se haya utilizado adecuadamente, que el resultado sea coherente con el contexto de la organización y que los controles sean adecuados al nivel de riesgo y nunca subestimar el riesgo que implica que exista fraude y el daño que eso le podría causar a la organización.
- Hacer muestreos que sean reducidos. Al momento de revisar las operaciones en las que hay riesgos de fraude hay que hacer un muestreo completo que contenga la suficiente información para determinar que las acciones tomadas a través de un proyecto, relación comercial u operación han sido suficientes para poder mitigar la existencia de un fraude. Y si hubo fraude, tener suficientes datos para actuar en consecuencia. El muestreo tiene que ser suficientemente significativo.
- No limitarse a los campos en los que son más vulnerables en la organización. Por supuesto, donde haya más vulnerabilidades hay que hacer mayores esfuerzos para hacer la auditoría, verificar que los controles sean eficaces y que la medición de los riesgos es correcta. Pero aquellas áreas que se consideren no vulnerables y en las que es poco probable que haya fraude, no se pueden dejar de revisar porque precisamente allí es donde posiblemente los controles sean menos eficaces y la gente podría tener conductas más tendientes al fraude.
Software GRCTools para la Gestión de Riesgos Corporativos
La implementación de un Sistema de Gestión de Riesgos Corporativos permite que con una serie de pasos se realicen tareas de identificar los riesgos. Para ello se deben tener en cuenta la estructura organizacional, la actividad económica, los recursos, actualizaciones internas, los agentes externos como los tecnológicos etc.
Determinado esto se debe hacer la evaluación de los riesgos, para ello, el Software de Gestión de Riesgos Corporativos de GRCTools es especialmente indicado ya que facilita la configuración de las matrices y la alineación con toda la organización. Los recursos empleados para llevar a cabo una gestión de riesgos eficiente se verán reducidos al mínimo, mejorando además el rendimiento del sistema.
- Implementando el Marco de Riesgo NIST: Estrategias para una Protección Efectiva
- Gestión de riesgos de ciberseguridad: clave para proteger tu empresa
- Comparativa: Software GRC vs. métodos tradicionales de gestión de riesgos
- Impacto del Software GRC en la Reducción de Riesgos Operativos
- Claves para gestionar los riesgos de terceros en tu empresa
¿Desea saber más?
Entradas relacionadas
Implementando el Marco de Riesgo NIST: Estrategias para una Protección Efectiva
El Marco de Riesgo NIST (National Institute of Standards and Technology Risk Management Framework) es un conjunto de lineamientos...