sábado, 21 de mayo de 2016

FUNCIONES DEL ÁREA DE AUDITORÍA INTERNA EN MATERIA DE PREVENCIÓN, DETECCIÓN E INVESTIGACIÓN DEL FRAUDE

Estándar

DE ACUERDO CON LA ENCUESTA REALIZADA POR EL INSTITUTO DE AUDITORES INTERNOS DE ESPAÑA, CADA VEZ SON MÁS LOS DEPARTAMENTOS DE AUDITORÍA INTERNA QUE INCLUYEN ENTRE SUS FUNCIONES LA PREVENCIÓN, DETECCIÓN E INVESTIGACIÓN DE FRAUDE. UN 81% DE LOS ENCUESTADOS MANIFIESTA QUE ENTRE LAS FUNCIONES DE LA AUDITORÍA INTERNA, SE ENCUENTRA LA COLABORACIÓN EN LA PREVENCIÓN DE FRAUDE INTERNO; UN 84% LA DETECCIÓN, Y UN 82%, LA INVESTIGACIÓN. LOS PORCENTAJES 26 DE FRAUDE EXTERNO SON SIMILARES, AUNQUE ALGO MENORES, TANTO EN LA PREVENCIÓN COMO EN LA DETECCIÓN.

Además, junto a los departamentos de Auditoría Interna, colaboran en la detección e investigación de fraudes los departamentos de sistemas de la información, de cumplimiento normativo, legal, financiero, y recursos humanos.
Entendemos que, en temas de riesgos de fraude, pueden ser también responsabilidad de Auditoría Interna:

La confección periódica de un mapa de riesgos.

Analizar, con el apoyo de las áreas de negocio, las particularidades en materia de riesgos de fraude de cada proceso: su nivel de exposición, el tipo de procesamiento (manual o sistematizado), las particularidades de la gestión de la empresa (rotación de personal, antigüedad de gestores, posibles situaciones de conflicto de intereses, etc.), los posibles esquemas de fraude, los controles existentes y el grado de cobertura que ofrecen a los riesgos identificados.
Este mapa de riesgos de fraude es una parte del mapa de riesgos generales de la organización, desarrollado dentro del esquema de identificación que establece la organización (para ahondar en materia de Risk Assessment nos remitimos a lo ya señalado por el Enterprise Risk Management de COSO).

Fomentar e impulsar la existencia de medidas preventivas dentro de la organización en general y los procesos en particular.

Algunas de las medidas preventivas se clasifican en:
– La existencia de un marco normativo apropiado y difundido dentro de la empresa, que incluye, entre otros, el código ético, códigos de conducta, código disciplinario y cualquier otro instrumento que dé a conocer el comportamiento ético esperado por parte de las personas (empleados, proveedores, clientes, socios de negocio, etc.) de la organización.
– La difusión y comunicación de los compromisos éticos como normas de comportamiento en todos los niveles.
– Una clara y transparente estructura de roles y funciones.
– La existencia de una metodología adecuada de evaluación de riesgos, conocida, difundida y aplicada.
– Asesorar en la necesidad de controles en los procesos, orientados a minimizar la exposición en riesgos de fraude.
– Prácticas efectivas de supervisión de actividades en cada área de negocio.
– Incorporar objetivos de control en materia de fraude o irregularidades dentro de las revisiones planificadas de auditoría.
– Fomentar la existencia de modelos de detección o alerta temprana gestionados por las áreas de negocio, o como indicadores (hooks) por parte de la propia auditoría, en forma de alertas ante anomalías o como inputs (en función de su grado de criticidad) para incorporar a posteriores revisiones planificadas.

La supervisión en cuanto a la segregación de funciones.

Auditoría Interna mantiene una posición de independencia respecto al resto de áreas de la organización; independencia que ejerce con la debida supervisión en cuanto a la segregación de funciones.
En muchas organizaciones, la responsabilidad de pruebas en segregación de funciones –para bien o para mal– se relega al auditor de sistemas. El razonamiento que subyace tras esta asignación es que la revisión de la segregación de funciones se limita a los controles de acceso a los Sistemas de Información. No es que sea incorrecta, pero pasa por alto la importancia de revisar poderes y permisos para autorizar las funciones y también toda la comprensión de los riesgos de negocio que pueden ir asociados a funciones conflictivas.
Por ello, el auditor informático se eleva por encima de las matrices de configuración de acceso lógico, entiende el negocio de forma que identifica los riesgos y facilita los mecanismos de control más eficientes; es decir, trabaja en el marco de la Auditoría Interna de una forma organizada.
En este sentido se enmarca el rol del auditor interno al comunicar un riesgo asociado a la segregación de funciones: que los controles que deben implantarse vayan alineados con la estrategia y objetivos fijados para la organización.
El auditor interno, por lo tanto, debe evaluar tanto que los controles de los poderes de las tecnologías de la información están alineados con la organización del negocio y debidamente implementados, como que los sistemas de control manuales de los poderes o autorizaciones responden realmente a los roles estratégicos asignados. El auditor interno, con el soporte de auditores de sistemas, puede reforzar tres pilares fundamentales para una correcta segregación de funciones:
– El buen gobierno.
– La gestión de riesgos.
– La adecuación de los controles.

La elaboración de Planes de Auditoría Interna.

Debe entenderse por planificación de Auditoría Interna el conjunto de planes, programas y actividades propios de auditoría encaminados a organizar en el tiempo la actividad de la función de Auditoría Interna, con la finalidad de que ésta garantice de forma eficaz y eficiente la máxima cobertura de los riesgos de la organización con los recursos de los que dispone.
La planificación es una actividad continua, lo que significa que debe existir una retroalimentación que permita, a su vez, que sea influida por los resultados de los trabajos programados.
Esto supone que los auditores internos deben obtener de su trabajo información para la elaboración de los planes correspondientes y fijar el alcance de futuras auditorías, recursos necesarios, tiempos de ejecución, rotación de riesgos, etc.  BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
Auditoría Interna se encarga de la elaboración de los Planes de Auditoría, y considera en todo momento las opiniones e inquietudes de la dirección.
Estos planes deben ser consecuentes con el Estatuto de Auditoría Interna, con los objetivos de la organización y de Auditoría Interna y con los requisitos de los reguladores en materia de Auditoría Interna y control interno.
La eficacia en la elaboración de los mencionados planes radica en un conocimiento global del universo auditable (diferente al contable), así como de aplicar un enfoque basado en riesgos, para que la planificación de la auditoría vaya alineada con el crecimiento de las líneas de negocio y de los cambios que sufren las organizaciones.
La evaluación de riesgos permite analizar el impacto de los potenciales eventos en el logro de los objetivos. Por tanto, un proceso para identificar y evaluar los riesgos es un pilar básico de un sistema de control adecuado y una de las bases para establecer un Plan de Auditoría Interna.
Los cambios a los que se enfrentan las organizaciones hacen que los planes deban ser actualizados de forma periódica, al menos anualmente.

Garantizar el correcto funcionamiento del canal de denuncias.

Auditoría Interna puede tener también la obligación de vigilar el cumplimiento de todo lo relacionado con el canal de denuncias, a fin de asegurar que está siendo debidamente administrado, que las denuncias recibidas son tratadas convenientemente y que, en el caso de producirse irregularidades, estás son adecuadamente identificadas.
De forma complementaria, Auditoría Interna debe coordinarse con los servicios jurídicos en aquellos aspectos que puedan tener implicaciones legales.
Además, es necesario establecer protocolos de actuación para aquellas denuncias que se reciben en temas de acoso o discriminación, derivando su tratamiento, por ejemplo, al área de relaciones laborales.
Por último, la metodología para la correcta evaluación de denuncias debe ser aplicable para el análisis de riesgos, previo a la realización de los trabajos de auditoría.

La participación en la investigación.

La participación del auditor interno en las investigaciones de fraude puede ser diversa y abarcar diferentes niveles de responsabilidad en función de la organizacion:
– Realización de la investigación en una fase inicial, hasta confirmar las sospechas/indicios o desestimar la existencia de fraude.
– Realización de la investigación únicamente en casos de hasta un cierto límite de daño, o en casos que no requieran determinadas competencias o medios técnicos especiales, con los que no cuenta el área de Auditoría Interna.
– Realización completa de la investigación y coordinación con un equipo multidisciplinar.
– Colaboración/asistencia técnica a equipos externos, que lideran el proceso.
– Seguimiento de la implantación de recomendaciones o acciones de mejora propuestas por el equipo responsable de la investigación.
Los distintos roles que pueda adoptar Auditoría Interna en la investigación deben estar previstos en las políticas corporativas y en los propios estatutos de Auditoría Interna. Estas directrices posicionan la labor del auditor interno y establecen su responsabilidad en la investigación, reconociendo su autoridad a todos los niveles dentro de la empresa.
En cualquier caso, consideramos que el auditor interno, al menos:
– Debe ser informado de la existencia de cualquier potencial fraude en los momentos previos a la investigación, dado que se encuentra en la mejor posición, por su presencia en la compañía y su conocimiento del negocio, para prestar un apoyo experto sobre la potencial irregularidad y los posibles pasos a llevar a cabo. Todo ello con independencia del rol que desempeñe en la futura investigación.
– Debe ser informado de los avances que se produzcan.
– Debe ser informado de los resultados finales de la investigación y de las posibles acciones, dado que los resultados pueden afectar al plan de trabajo del área de Auditoría Interna y a la evaluación y seguimiento de controles que realiza el área.
La investigación puede realizarse con personal propio o terceros especialistas contratados. Pero la gestión y supervisión debe recaer necesariamente en las áreas de Auditoría Interna y Asesoría Jurídica de la empresa. Si la investigación de las denuncias recibidas o de las alertas identificadas recae en el departamento de Auditoría Interna, el mismo debe:
– Cumplir las normas y principios en su labor de investigación, soportando fehacientemente los hallazgos y realizando la labor con la idoneidad, transparencia y competencia debida.
Algunas organizaciones realizan grandes esfuerzos para que los miembros de Auditoría Interna cuenten con la competencia y la capacidad para llevar a cabo las correspondientes investigaciones. Un 45% de los encuestados por el IAI manifiesta que sus equipos de Auditoría Interna no cuentan con formación especializada en investigación de fraudes y un 50% no cuenta con los recursos técnicos e informáticos adecuados.
– Documentar con el debido celo profesional todos los pasos ejecutados, prestando especial atención a la validez legal en la captura de evidencias y el debido soporte de los hallazgos, no sólo de cara a sustentar y soportar el contenido del informe final, sino además como soporte y herramienta de defensa de la empresa cuando, en caso de producirse una irregularidad, la organización decida iniciar acciones legales contra el infractor y sea necesario utilizar estas evidencias como prueba. Es necesario que Auditoría Interna cuente con el asesoramiento del área de Asesoría Jurídica de la empresa cuando sea necesario.
– Asesorarse/capacitarse sobre las particularidades legales que debe cumplir en la captura, tratamiento y custodia de datos de empleados, o terceros y en la forma en que puede acceder a los mismos durante la investigación, para no invalidar la prueba. El área de Asesoría Jurídica debe asesorar en materia de derechos del empleado y obligaciones legales de la empresa, para no violar principios constitucionales, ni leyes, ni cualquier otro tipo de normativa vigente.
– Informar a los órganos de gobierno de la empresa sobre las características de los hechos denunciados o identificados e investigados.

Realizar el seguimiento de los planes de acción.

El objetivo es instaurar medidas correctivas de las debilidades de control o puntos de mejora en el desarrollo de los procesos, con el fin de garantizar la mejora continua del sistema de control interno (en el caso de la efectiva implantación de las medidas) o de alertar ante la permanencia de situaciones que exponen a la organización (en el caso de demoras o inacción en la implantación de medidas correctivas).
4 IDEAS CLAVE:
  1. El mapa de riesgos de fraude es una parte integrante del mapa de riesgos generales de la organización.
  2. La planificación de Auditoría Interna es una actividad continua que debe contar con la necesaria retroalimentación y actualización periódica.
  3. Un proceso de identificación y evaluación de riesgos es un elemento básico de un sistema de control y una de las bases del Plan de Auditoría Interna.
  4. Cuando Auditoría Interna investigue denuncias o alertas de fraude debe documentar adecuadamente sus hallazgos y realizar su labor con la idoneidad, transparencia y competencia debidas.
MAS INFORMACIÓN EN “LA FABRICA DEL PENSAMIENTO” DEL INSTITUTO DE AUDITORES INTERNOS
ALBERT SALVADOR LAFUENTE
Auditor Interno – Especialista en Fraude Interno

No hay comentarios.:

Publicar un comentario