Evaluación del programa antifraude de la empresa
Se proporcionara observaciones, recomendaciones y sugerencias que serán de gran utilidad para la administración.
Para proteger a la empresa mediante la realización de una evaluación del programa antifraude, proporcionamos la siguiente información:
- La manera en cómo se evalúa el riesgo de fraude.
- Diez consejos que deben tenerse en cuenta por parte de la administración, de la alta dirección y de los comités de auditoría (en adelante la administración) al establecer un programa antifraude efectivo, eficaz y con los controles relacionados apropiados.
- Consideraciones importantes para la administración al evaluar la efectividad y eficacia del programa antifraude de la organización, con el apoyo de los asesores legales y consultores.
- Resumen de los aspectos que deben evitarse cuando se realiza la evaluación del programa antifraude.
¿Cómo se evalúa el riesgo de fraude?
Existen al menos tres diferentes enfoques para considerar las implicaciones que puede tener el fraude en las organizaciones:
Los escenarios comunes. El enfoque de la administración en los escenarios comunes es, en primer lugar, la identificación de las situaciones más relevantes que pudiesen tener lugar de manera potencial dentro de la organización, y que tengan como resultado un impacto material en los estados financieros y/u operaciones. Para cada contexto que sea identificado, el equipo de evaluación de riesgos describirá el riesgo relacionado con la manera en la que éste sería puesto en práctica dentro de la empresa, los individuos que pudieran hacerlo, así como las áreas que podrían ser afectadas. Con base en los contextos documentados, el equipo identificaría los controles que prevengan, eviten o detecten cada escenario. Los controles que sean documentados mediante este paso se comparan con los controles puestos en práctica y es posible que así identifiquen las brechas o fallas que pudieran existir. En ese momento es cuando se desarrolla un plan de acción para dar solución a las brechas o fallas más significativas.
Los enfoques para considerar las implicaciones que puede tener el fraude en las organizaciones son: escenarios comunes, estrategias de proceso por proceso e indicadores de fraude.
Las estrategias de proceso por proceso: al utilizar el enfoque de proceso por proceso para llegar a documentar y evaluar el programa antifraude y los controles, la administración debe identificar y demostrar los puntos dentro de cada proceso significativo, en los cuales pueden presentarse algunas irregularidades, considerando los principales procesos de negocios. Entonces, la administración identificará y documentará los controles que han sido implementados para mitigar estas posibles áreas de fraude. Las Matrices de Riesgos y Controles (MRC) podrían ser de gran utilidad en este aspecto. Por ejemplo, el equipo para la evaluación de riesgos al revisar las MRC, establecería o determinaría si los riesgos de fraude, que ya han sido identificados, están completos.
Los indicadores de fraude: existen indicadores de riesgo de fraude que proporcionan consideraciones del riesgo para la administración, que pueden utilizarse al desarrollar y poner en práctica un enfoque de evaluación del riesgo de fraude. Estos indicadores se utilizan para facilitar la acumulación de información en relación con el factor de riesgo de fraude y como una guía para el diálogo con los individuos responsables de los controles a nivel de proceso y de entidad. Aunque no es concluyente, la existencia o ausencia de los indicadores de fraude dentro de una empresa, o en sus procesos, proporcionaría conocimientos y experiencia respecto al alcance apropiado para el monitoreo, evaluación y supervisión del fraude.
Diez sugerencias a tener en cuenta
A continuación, se comentan las sugerencias para que la administración establezca un programa antifraude eficaz, así como los controles relacionados, y cada una va acompañada de preguntas y comentarios relevantes que proporcionan la base preliminar para un diagnóstico:
Establecer el entendimiento del programa: determinar y asegurar que el programa antifraude cuenta con todos los elementos que se requieren. Por ejemplo, ¿el programa aborda todos los criterios claves que se definen en las juntas de consejo y políticas de la empresa? ¿Este programa toma en cuenta los elementos claves del SAS 99 y de las recomendaciones o directrices establecidas por el Institute of Internal Auditors (IIA), en relación con el fraude, así como las reglas de gobierno corporativo que hayan sido promulgadas? ¿Abarca el programa todos los procesos de negocios claves, las unidades de negocio y las divisiones que impactan de manera significativa los informes financieros y las operaciones? ¿Existe un proceso de contratación de personal eficaz y efectivo? ¿Se lleva a cabo la segregación de tareas o actividades? ¿Existe la debida diligencia en relación con los proveedores y los socios de negocios? Éstas y otras preguntas facilitarían la evaluación del programa antifraude con el fin de asegurar que abarque a toda la entidad.
Predicar con el ejemplo de la administración (Tune of the Top): evaluar la evidencia relacionada con el comportamiento ético de la administración, incluyendo las políticas y procesos que prohíben la cancelación de los controles por su parte. Por ejemplo, ¿Respalda al alta administración de manera activa los esfuerzos del programa antifraude? ¿Cuál es el tenor de los mensajes comunicados por la alta administración a la mediana administración y a los empleados?, y más importante aún, ¿la mediana administración y los empleados perciben que el comportamiento y las actividades de la alta administración o dirección son consecuentes con sus palabras, como por ejemplo, si la alta administración “hace lo que dice”? ¿Existe una coherencia y consecuencia apropiada en la forma en que el código de conducta es implementado en todas las ubicaciones y unidades? ¿Existen los controles eficaces aplicados sobre las transacciones no rutinarias? ¿Son documentados de manera adecuada los controles a nivel de empresa?
Evaluar el riesgo de fraude: debido a que la definición del fraude varía en gran medida entre las comunidades legales, de auditoría y negocios, es importante determinar cómo se define dentro del contexto de la organización, para lograr identificación de riesgos de fraudes específicos de la industria, geográficos, así como otros riesgos relevantes. Asegurarse de que el programa antifraude considere la manera en que este riesgo es evaluado, mitigado y monitoreado dentro de la estructura interna del control. ¿Cuáles son los riesgos de fraude específicos de la industria? ¿Cuáles son los riesgos de fraude geográficos específicos [p. ej. en relación con la Foreign Corrupt Practices Act (Ley para las Prácticas de Corrupción Foráneas)], como la corrupción, soborno, etcétera)? El riesgo de fraude se podría evaluar utilizando un enfoque de escenario, al evaluar los riesgos dentro de los procesos específicos o al considerar la aplicabilidad de los indicadores de riesgo de fraude relevantes. Es esencial que el riesgo de fraude no sea sólo identificado, sino que se le dé prioridad o se mida utilizando los criterios acordados por la administración.
Identificar los controles de mitigación: ¿el riesgo de fraude que ha sido identificado, aborda y mitiga de manera específica el programa antifraude? Por ejemplo, los controles deben estar relacionados o vincula dos a un riesgo de fraude específico identificado, tanto en el nivel de entidad como en el de proceso. En relación con el diseño de los controles, el Public Company Accounting Oversight Board (PCAOB), o Consejo o Junta de Supervisión de Contabilidad de las Empresas Públicas, establece que la documentación de la empresa debe abarcar: “el diseño de los controles para prevenir, evitar o detectar el fraude, incluyendo a la persona que implementa los controles y la segregación de actividades o tareas relacionadas”.
Llevar a cabo pruebas de fraude: la administración debe determinar cuáles son los controles que deben ser evaluados, incluyendo todos aquéllos que están designados como un control antifraude. La actividad de auditoría interna que se relaciona con la identificación y detección del fraude debe ser adecuada, según los riesgos de la organización. La función de auditoría interna debe reportar de manera directa al comité de auditoría. El Comité de Auditoría debe demostrar un nivel adecuado de participación e interacción, tanto proactivo como reactivo, con la auditoría interna en relación con los temas de fraude.
La Ley Sarbanes-Oxley tiene disposiciones específicas para proteger a quienes proporcionan información sobre las prácticas ilegales o indebidas en una organización.
Mantener un código de conducta efectivo y eficaz: el PCAOB requiere la documentación de las disposiciones del código de conducta, de manera específica las relacionadas con los conflictos de interés, las transacciones de las partes relacionadas, las acciones ilegales y el monitoreo del código, por parte de la administración. De existir un código, ¿es público? ¿Es comunicado de manera adecuada en toda la organización? ¿Es reforzado de manera periódica por medio del entrenamiento y las iniciativas para la concienciación de los empleados? ¿Es aplicado de manera uniforme? ¿Es aplicable a las terceras partes relacionadas (vendedores, agentes, agentes de bolsa, etcétera)?
Llevar a cabo la supervisión del programa antifraude: el riesgo de fraude y los temas relacionados necesitan estar en el programa de actividades de las reuniones del Comité de Auditoría, del comité de divulgación y del comité ejecutivo (o del Comité Ejecutivo para la administración o gestión del riesgo) en los momentos apropiados. Debe existir la documentación adecuada de dichas consideraciones de supervisión para establecer la viabilidad y el contenido del programa antifraude.
Identificar e investigar las denuncias anónimas en una manera eficaz y oportuna: deben existir los procedimientos adecuados para atender las quejas o reclamaciones y aceptar la información proporcionada de manera confidencial o anónima sobre las preocupaciones, en relación con los temas o asuntos cuestionables respecto a la contabilidad y la auditoría. ¿Ha establecido el Comité de Auditoría los procedimientos adecuados para manejar las quejas o reclamaciones confidenciales y anónimas, y todas las presentaciones de información en relación con los informes financieros y/o las irregularidades de las auditorías? ¿Cuál es la frecuencia en la que se producen los fraudes reportados? ¿Existe algún procedimiento que haya sido implementado para asegurar las investigaciones independientes y las soluciones? ¿Cuál es el periodo de tiempo existente entre la recepción de la denuncia inicial y la investigación resultante? ¿Cuál es el periodo de tiempo que existe entre la comunicación de los resultados de la investigación y el completamiento de las soluciones? ¿Cuáles pruebas se llevan a cabo para determinar si se ha reportado, investigado y resuelto un fraude, en la manera descrita en el programa antifraude?
Remediar las deficiencias de manera oportuna: cuando las deficiencias en el programa antifraude y en los controles relacionados son identificadas, éstas deben ser solucionadas o remediadas de manera oportuna. La administración también debe considerar si existen indicadores que sugieran que dichas deficiencias han sido explotadas, por ejemplo, si alguien ha aprovechado la oportunidad de manera interna o externa al tomar ventaja de las debilidades de los controles para el beneficio personal o corporativo.
Consultar con los asesores o consultores: la administración debe consultar con los asesores legales, los especialistas en fraude y los auditores externos, la medida en la que los documentos de la empresa evalúan, refinan y mejoran el programa antifraude y los controles relacionados.
Algunas cosas que se deben hacer
A continuación se presentan algunas consideraciones importantes para la administración al evaluar el programa antifraude, con la cooperación y el respaldo del consejo, así como de otros asesores o consultores:
- Contar con una representación adecuada de un consejo calificado que esté bien versado y tenga pleno conocimiento de las reglas y regulaciones de autoridades (por ejemplo, CNBV, SEC, etcétera).
- Evaluar los riesgos, la cultura, el estilo de operación de la administración, los recursos internos y los procedimientos existentes de la organización, en relación con la comunicación de las irregularidades en la contabilidad, las auditorías y el fraude, antes de diseñar el programa antifraude. Entender los riesgos específicos relacionados con el fraude en su organización, industria y geografía en la que opera su empresa. Debido a que no existe el concepto o enfoque de “una talla le sirve a todos” al formular un programa antifraude, las respuestas y soluciones se desarrollarán en la medida en que se aprenda y se conozca más sobre las opciones existentes, y mientras sea capaz de evaluar cuáles de estas soluciones o respuestas funcionan mejor en su organización.
- Integrar las políticas y procedimientos de ética para informar o comunicar la existencia de fraude e irregularidades en todas las unidades de negocios, geografías y subsidiarias. Tratar de lograr una plataforma común para recibir, evaluar e investigar las quejas o reclamaciones.
- Involucrar a la administración y a la junta o consejo de directores en la evaluación y el fortalecimiento del programa antifraude. Entender los procesos que la administración ya ha puesto en marcha para prevenir, evitar y detectar el fraude. Obtener el respaldo de la junta o consejo de directores para lograr el fortalecimiento del programa antifraude existente, ya que es imposible mejorar y/o ponerlo en práctica sin este apoyo.
- Contar con especialistas, de ser necesario, para diseñar y llevar a cabo el programa. Identificar a los revisores de fraude certificados, contadores forenses, evaluadores de riesgo certificados, y a los especialistas en la gestión del riesgo de fraude. Incluso si la administración no utiliza a estos asesores o consultores de inmediato, es de gran ayuda calificarlos de manera previa, en caso de que sean necesarios para llevar a cabo una investigación que esté relacionada con un tema delicado.
- Llevar a cabo las actividades que sean necesarias para evaluar a las firmas que ofrecen informes confidenciales de denuncias anónimas y de otras soluciones relacionadas. Existen muchas nuevas firmas que ofrecen diversas soluciones en relación con los programas de los informantes o aquellas personas que denuncian las prácticas ilegales o incorrectas en la organización, por ejemplo: las líneas directas, los programas de entrenamiento y la concienciación de los empleados, etc. Determinar si el proveedor cuenta con los recursos apropiados para satisfacer sus necesidades es lo más importante en este caso. Examinar la experiencia y reputación del proveedor. Asegurar que los contratos de acuerdos a nivel de servicio incluyan estipulaciones respecto a la confidencialidad y a la terminación oportuna de la información.
- Comunicar la política y el programa antifraude de manera frecuente dentro de la organización. Una estrategia de comunicación integral y asegura que todos los empleados entiendan: a) la importancia que tiene la prevención del fraude; b) su papel y responsabilidades, en relación con las denuncias anónimas que involucren posibles violaciones de las políticas, leyes y regulaciones de la empresa; c) la confidencialidad de dicha proporción de información, y d) las expectativas de la organización en cuanto al comportamiento ético.
- Enfatizar el nivel apropiado de independencia en relación con las denuncias anónimas. Dicho de manera simple, la persona o grupo de personas que las revise o investigue, no deberá tener ningún interés en el resultado de dicha investigación. Se debe delegar dicha responsabilidad a un nivel adecuado de autoridad de manera muy cuidadosa para asegurar la independencia adecuada.
- Recordar que la Ley Sarbanes-Oxley tiene disposiciones específicas para proteger a quienes proporcionan información sobre las prácticas ilegales o indebidas en una organización. Asegurarse de que su programa incluye los protocolos y procedimientos de investigación que sean suficientes para asegurar que los empleados que hagan denuncias anónimas, no sean señalados ni discriminados por sus acciones; además de mantener la confidencialidad y las promesas de anonimato. El Comité de Auditoría también debe revisar el número general y el tipo de todas las quejas o preocupaciones que sean recibidas por la organización con el fin de determinar si existen patrones específicos que indiquen un tema que sea dominante o de vital importancia con un individuo, departamento, ubicación geográfica, entre otros.
Algunas cosas que se deben evitar
Los que mencionamos a continuación son algunos de los errores que la administración debe evitar en relación con la evaluación de los programas antifraude:
Demorar la realización de acciones: la solución de los controles sería necesaria en la medida en que la administración asuma esfuerzos para asegurar que el programa antifraude sea eficaz. Además, puede existir un riesgo de fraude que cree exposiciones no aceptables para la empresa. Mientras más rápido se identifiquen estos asuntos o problemas, más rápido se podrán tomar las acciones necesarias para abordarlos y darles solución.
Tomar e implementar un programa desarrollado para otra empresa y llevar a cabo dicha implementación, sin tener en cuenta los aspectos y las características específicas de su organización: no existe el enfoque de “una talla le sirve a todos” para desarrollar un programa antifraude, de la misma manera en que una mejor práctica para una empresa no es, de ninguna manera, la mejor para todas. Para ser eficaz, un plan para la implementación de un programa antifraude adecuado requiere de la realización de un análisis muy cuidadoso para asegurar la forma cultural idónea, la correcta mitigación del riesgo real, así como el respaldo de la administración.
Olvidar los posibles conflictos de interés al desarrollar o poner en práctica su programa antifraude: por ejemplo, al establecer las entradas y los procedimientos de escalamiento apropiados y determinar quién se encargará de llevar a cabo todas las investigaciones adecuadas de los problemas o denuncias recibidas para asegurar que se preserve la objetividad necesaria.
No lograr la documentación de las actividades y el monitoreo de denuncias anónimas relacionadas con el fraude. Mantener los registros adecuados de las reuniones, logros y decisiones: este tipo de registros es muy útil si se necesita defender el proceso o las acciones. Además, es de gran importancia dar seguimiento a las denuncias de manera periódica para determinar si su porcentaje ha variado durante el periodo en el que les dio seguimiento. Si las empresas han dado seguimiento a las quejas o reclamaciones en el pasado, la administración será más capaz de definir la tarea que tiene que desarrollar.
Desarrollar soluciones demasiado complicadas: es importante evitar programas onerosos que creen gastos innecesarios e informes internos duplicados. Si el programa requiere tiempo, esfuerzo y dinero de manera desproporcionada, en relación con el riesgo, definitivamente fracasará. Por ejemplo, la organización podría tener una o más líneas de denuncia anónima. Tener demasiadas líneas confundiría a los empleados, lo que representa un gran problema para muchas empresas. Se debe medir de manera cuidadosa las opciones antes de decidir la forma en la que se procederá para tener una nueva línea de denuncia, si se determina que es la solución apropiada. En resumen, es necesario que mantenga el programa tan simple como sea posible.
Es importante evitar programas onerosos que creen gastos innecesarios e informes internos duplicados.
Olvidar que se haga énfasis en la prevención y la disuasión: mientras que las reglas de la SEC requieren que las empresas desarrollen los procedimientos para manejar denuncias anónimas, tiene sentido desarrollar, de manera simultánea, las políticas y los procedimientos para prevenir y evitar las irregularidades o el fraude. Los procedimientos de prevención y disuasión, por separado, son inadecuados; por lo tanto, es recomendable establecer ambas medidas en forma conjunta.
Ignorar las denuncias que parecen ser insignificantes o no materiales: en algunas ocasiones un incidente específico de fraude podría ser una parte de un patrón mucho más amplio; otras veces, el costo de un acto de fraude, incluyendo el daño inherente a la reputación de la organización, puede escalar a proporciones más significativas. La materialidad no será el umbral para determinar cuándo una denuncia anónima debe ser presentada ante el Comité de Auditoría. La evaluación de la importancia de dicha queja es la responsabilidad del comité de auditoría y no de la administración.
Fuente: Revista Contaduría Pública del Instituto Mexicano de Contadores Públicos – Autor Roberto Abad
fraude.jpg