Introducción

En el actual marco regulatorio global, las organizaciones están cada vez más sujetas a normativas internacionales relacionadas con la comisión de delitos, sobre todo de corrupción y soborno. Históricamente, el regulador más activo ha sido, dado su carácter extraterritorial,el Departamento de Justicia (DOJ) de los Estados Unidos, a través de la FCPA (Foreign Corrupt Practices Act).
En este campo, muchos gobiernos siguen las recomendaciones de la OCDE (Organización para la Cooperación y el Desarrollo Económico). Los de Reino Unido, Francia, Turquía, y España, entre otros, han reformado sus legislaciones, alineándolas a la lucha contra el fraude y la corrupción. Un ejemplo es la reforma del Código Penal de España, cuyo trámite se inició en octubre de 2013 y fue aprobado finalmente el 21 de enero de 2015 por el Congreso de los Diputados. En otros casos, como el del Reino Unido, se han introducido nuevas leyes como la UK Bribery Act.
De acuerdo con las recomendaciones de la OCDE, los programas de cumplimiento normativo definen los principios, valores, reglas de actuación y comportamientos de la actividad de la organizaciones; cuestiones que deben aceptarse, comunicarse, supervisarse, revaluarse y adaptarse con regularidad, para asegurar la eficacia continua de los controles internos, medidas y políticas de la compañía.
El objeto es doble: por un lado, facilitar al mercado información sobre los mecanismos específicos con los que la entidad mantiene un ambiente de control interno que propicia la generación de información financiera completa, fiable y oportuna; y por otro, prevenir y atenuar las posibles conductas irregulares así como propiciar las vías para detectarlas.
Este sistema de principios, valores y reglas empieza en la alta dirección. Y a partir de ahí, a través de un código de conducta, comportamientos adecuados y el diseño y la comunicación de las correspondientes políticas y procedimientos, se proyecta al resto de la organización.
En esta guía detallamos los principales elementos de un programa eficaz de prevención, detección e investigación de fraudes.

Prevención, detección e investigación del fraude

En cualquiera de sus categorías: apropiación de activos, corrupción, manipulación contable, uso de información privilegiada, etc., los delitos económicos han derivado en nuevas amenazas para las organizaciones de todo el mundo. La irrupción de las nuevas tecnologías y las dificultades de las organizaciones para adaptarse por sí solas a un entorno económico en cambio continuo, complican la situación. El aumento de los fraudes detectados y su impacto han obligado a invertir en nuevas medidas de prevención para minimizar los daños. Es fundamental contar con un programa eficaz de prevención, detección e investigación de delitos; junto al que deben constar, al menos, los siguientes elementos:
  1. Un órgano colegiado o unipersonal, dependiente del Consejo de Administración, que vele por la aplicación del Código de Conducta y sirva para procurar un comportamiento profesional, ético y responsable de toda la organización.
  2. Un Código de Conducta o de Buenas Prácticas que defina los principios y valores que rigen las relaciones de la organización con sus grupos de interés (empleados, clientes, accionistas, socios de negocio, y proveedores) y que se implanta, se difunde y es aceptado por dichos grupos de interés.
  3. El compromiso de la alta dirección.
  4. Un plan de comunicación y formación para toda la organización.
  5. Un programa eficaz de prevención, detección e investigación de fraude.
  6. Un canal de denuncias, como vía de comunicación interna, que permita informar al órgano responsable, tanto de irregularidades de naturaleza financiera y contable, como de eventuales incumplimientos del Código de Conducta. Para lograr reducir la probabilidad de fraude, las organizaciones deben realizar un gran esfuerzo en la gestión de dicho riesgo.
A continuación mostramos cinco principios fundamentales para que una organización gestione proactivamente el riesgo de fraude. Esto es, los cinco elementos de un programa eficaz de prevención, detección e investigación de delitos:
  1. Establecer un programa de gestión del riesgo de fraude, como parte de la estructura de gobierno. También conocido como programa anti-fraude, que incluye una política escrita y que recoge las expectativas del Consejo de Administración y los altos directivos en relación con la gestión de riesgo de fraude.
  2. Realizar una evaluación periódica de la exposición al riesgo de fraude, con el fin de identificar potenciales actuaciones y fraudes específicos que la organización necesita mitigar.
  3. Implantar técnicas de prevención que eviten, en la medida de lo posible, posibles fraudes y mitiguen los impactos en la organización (tanto económicos como reputacionales).
  4. De forma adicional, implantar técnicas de detección, para descubrir fraudes cuando las técnicas de prevención hayan fallado o no hayan mitigado el riesgo de comisión de fraude.
  5. Y, por último, implantar un proceso de reporting, para solicitar input sobre potenciales fraudes. La investigación del fraude debe coordinarse con la acción correctiva, para que la gestión sea adecuada.
En los siguientes apartados, detallamos el rol del auditor interno en prevención, detección e investigación de fraude, en cada uno de estos cinco elementos.
Según la última encuesta realizada por el Instituto de Auditores Internos de España y contestada por 170 auditores internos, Auditoría Interna incluye cada vez más entre sus funciones la prevención, detección e investigación de fraude: un 81% de los encuestados manifiesta que Auditoría Interna colabora en la prevención de fraude interno; un 84%, en la detección; y un 82%, en la investigación.
En el caso del fraude externo, los porcentajes son similares, aunque algo menores, tanto en la prevención como en la detección. Los departamentos de sistemas de información, cumplimiento normativo, legal, financiero y recursos humanos colaboran junto a Auditoría Interna en la prevención, detección e investigación de fraudes tal y como describimos a lo largo de esta guía y resumimos en la sección relativa al rol del auditor interno.

 PROGRAMA DE GESTIÓN DE RIESGO DE FRAUDE

El Libro Verde de Gobierno Corporativo de la Comisión Europea define éste como “el sistema por el cual las empresas son dirigidas y controladas”; aunque se puede definir de muchas otras maneras, como “el proceso por el cual las empresas se hacen sensibles a los derechos y deseos de las partes interesadas”. También puede describirse como el modo en que la dirección cumple con sus obligaciones y responsabilidades.
Las partes interesadas de todas las organizaciones tienen sus expectativas puestas en los comportamientos éticos de las mismas. Por ello, las organizaciones deben responder ante estas expectativas.
El Consejo de Administración y la alta dirección deben asegurar que las prácticas de gobierno marcan las pautas para la adecuada gestión del riesgo de fraude. Además, deben implementar políticas que fomenten un comportamiento ético y que incluyan tanto procesos relativos a empleados, clientes, proveedores y otras terceras partes, como procesos que especifiquen a quién reportar en los casos en los que no se cumplan los estándares.
La mayoría de las organizaciones tienen políticas y procedimientos de gestión de riesgo de fraude, pero pocas han desarrollado un documento único que incluya todas estas actividades y que constituya una guía documental útil a la hora de comunicar y evaluar sus procesos, es decir, un agregado de políticas y procedimientos que denominamos programa de gestión del riesgo de fraude.
Según la encuesta del Instituto de Auditores Internos de España antes mencionada, el 49% de los encuestados afirma que su organización cuenta con un mapa de riesgos de fraude con el que valora y gestiona sus riesgos; si bien sólo un 27% de los trabajos de Auditoría Interna incluyen tareas encaminadas a la valoración de los citados riesgos.
A continuación exponemos los principales aspectos que deben abordarse en cualquier programa eficaz de gestión del riesgo de fraude:
  • Roles y responsabilidades.
  • Compromiso de la alta dirección.
  • Conocimiento del fraude.
  • Evaluación del riesgo de fraude.
  • Procedimiento de reporte y protección de los denunciantes y denunciados.
  • Procedimiento de investigación.
  • Acciones correctivas.
  • Vigilancia / seguimiento continuo.
Un programa eficaz sobre ética en los negocios es la base para prevenir y detectar actos fraudulentos y criminales. En la medida en que una organización fortalece los sistemas de prevención y detección de fraude, mayor es la probabilidad de evitarlo y, en su caso, identificar y detectar su existencia. Una organización que fomenta el tratamiento ético con sus empleados, clientes, proveedores y otras terceras partes, consigue ser tratada de la misma forma.

EVALUACIÓN DEL RIESGO DE FRAUDE

Para protegerse, tanto a sí misma como a otras partes interesadas, la organización debe entender y conocer cuál es su riesgo de fraude y cuáles son los riesgos específicos a los que está directa o indirectamente expuesta. Esta evaluación puede integrase en una evaluación del riesgo en conjunto, o desarrollarse de forma independiente; pero, como mínimo, debe incluir:
  • La identificación del riesgo concreto.
  • La probabilidad de ocurrencia e impacto.
  • La respuesta al mismo.

Identificación del riesgo de fraude concreto

Para identificar un riesgo, la organización puede utilizar fuentes de datos externas o internas. Entre las externas están los organismos reguladores, el propio sector, las principales guías como COSO, y organizaciones profesionales como The Institute of Internal Auditors (IIA), American Institute of Certified Public Accountants (AICPA), Association of Certified Fraud Examiners (ACFE), etc.
Las fuentes internas incluyen entrevistas con el personal adecuado o representante de un amplio abanico de actividades dentro de la organización; la revisión de las denuncias interpuestas a través de los mecanismos implantados (canal de denuncias o línea ética) y otros procedimientos analíticos.
Para que un proceso de identificación y evaluación del riesgo de fraude sea efectivo, debe incluir la evaluación de los incentivos y las presiones y oportunidades de cometer fraude. Asimismo, la evaluación del riesgo de fraude debe considerar la potencial eliminación de controles por parte de la dirección, así como el análisis de aquellas áreas donde los controles son débiles o no existe una clara segregación de funciones.
La tecnología proporciona a la organización muchos beneficios, como la velocidad en las comunicaciones y la accesibilidad a la información, pero también incrementa la exposición al riesgo de fraude. Por tanto, una evaluación del riesgo debe considerar tanto los accesos a los sistemas como las amenazas internas y externas a la integridad de los datos, la seguridad de los sistemas y el robo de información confidencial y sensible.

Probabilidad de ocurrencia e impacto

Evaluar la probabilidad e impacto de los potenciales riesgos de fraude es un proceso en el que hay que contar con factores monetarios o económicos, financieros, operacionales, reputacionales y legales. No todos los riesgos potenciales tienen la misma probabilidad y el mismo impacto en todos los casos.
La organización debe considerar en primer lugar aquellos riesgos inherentes a su negocio. Evaluar la probabilidad y el impacto de estos riesgos le permite gestionar su riesgo de fraude e implementar y aplicar procedimientos preventivos y de detección de una forma racional.
Una vez mapeados los riesgos, con sus respectivos controles, es posible que exista un riesgo residual.
La dirección evalúa el potencial impacto de los riesgos y decide la naturaleza y alcance de los controles preventivos y de detección así como los procedimientos para su gestión.
  • Probabilidad de ocurrencia. La evaluación de la probabilidad de ocurrencia de un determinado riesgo de fraude considera factores como la ocurrencia en la organización de ese riesgo en el pasado, su frecuencia en las organizaciones del mismo sector, la complejidad del riesgo y el número de personas involucradas en la revisión y aprobación del proceso, entre otros factores.
Evaluada la probabilidad de ocurrencia, ésta se categoriza de varias formas. La tres más utilizadas son probabilidad remota, probabilidad posible y probabilidad probable.
  • Impacto en la organización. La evaluación del impacto de que un riesgo de fraude finalmente se materialice no solo tiene en cuenta factores monetarios en los estados financieros, sino también factores operacionales, el valor de la marca, la reputación, aspectos legales y regulatorios.
Al igual que con la probabilidad de ocurrencia, una vez evaluado el impacto de que un riesgo de fraude se materialice, éste se categoriza. La forma más común es la que diferencia entre impacto no significativo, impacto significativo e impacto material.
De forma adicional, las organizaciones deben evaluar los incentivos y presiones de los individuos y departamentos: qué individuos y departamentos tienen mayores incentivos y, por tanto, mayor probabilidad de comisión de fraude. Toda esta información permite a la organización diseñar las respuestas adecuadas.

Respuesta al riesgo residual de fraude

La tolerancia al riesgo varía de una organización a otra. La alta dirección establece el nivel de tolerancia al riesgo teniendo en cuenta su responsabilidad frente a los socios o accionistas, las entidades financiadoras y demás partes interesadas.
Algunas organizaciones prefieren gestionar únicamente los riesgos de fraude con impacto material en los estados financieros; otras, implantan programas de respuesta al fraude más estrictos, con políticas de “tolerancia cero”.

LA PREVENCIÓN DEL FRAUDE

Las técnicas de prevención de fraude no garantizan que el fraude no se cometa, pero son la primera línea de actuación para minimizar el riesgo.
Un elemento importante en un programa de prevención de fraude es la existencia de una política escrita que establezca quién es el responsable de gestionar el riesgo dentro de la organización en sus diferentes ámbitos y circunstancias (prevención, detección, e investigación). Un documento oficial que detalle claramente cuáles son los derechos y obligaciones de todos los directivos y empleados frente a la potencial irregularidad y sus consecuencias, independientemente de su categoría o nivel profesional, o de su vinculación a la organización. De hecho, el 64% de los encuestados por el Instituto de Auditores Internos de España manifiesta que su organización cuenta con una política antifraude de este tipo.
Entre otros de los muchos elementos trascendentales en la prevención del fraude, se encuentran los procedimientos de Recursos Humanos, los límites de la autoridad y los procedimientos transaccionales.
  • Procedimientos de Recursos Humanos. La función de Recursos Humanos juega un papel muy importante en la prevención del fraude en los siguientes procedimientos:
– Desarrollo de investigaciones de antecedentes, o conocimiento y verificación del perfil de un empleado.
– Impartición de cursos anti-fraude.
– Evaluación del desarrollo y establecimiento de programas de compensación.
– Realización de entrevistas de salida del personal.
  • Límites de la autoridad. La comisión de un fraude es menos probable cuando el nivel de autoridad de una persona en la organización es proporcional a su nivel de responsabilidad. En este sentido, la desalineación entre responsabilidad y autoridad, unido a la ausencia de controles y de segregación de funciones, tiene un impacto elevado en la comisión de fraude.
  • Procedimientos transaccionales. Las revisiones de terceros, incluso de otras partes relacionadas, ayuda a prevenir el fraude. Las medidas preventivas son especialmente necesarias para transacciones con partes relacionadas controladas por miembros de la alta dirección o por empleados con autoridad y con interés especial en compañías externas relacionadas con la organización.

LA DETECCIÓN DEL FRAUDE

En muchos casos, los controles de detección dependen de los riesgos de fraude identificados en la organización. Por ejemplo, si una organización americana opera en países con un alto nivel de corrupción, implantará controles para identificar violaciones de FCPA, como la revisión de gastos u honorarios de consultoría.
Igual que ocurre con los controles preventivos, la organización necesita evaluar y supervisar de forma continua sus técnicas de detección. Si bien un 41% de las empresas encuestadas por el Instituto de Auditores Internos de España manifiesta no realizar trabajos de supervisión o pruebas automatizadas para la detección del fraude, un 32% manifiesta que incorpora siempre en los Planes de Auditoría Interna tareas encaminadas a la detección de fraude.
Los controles de detección deben ser flexibles, para adaptarse a los cambios de los riesgos.
Los controles preventivos son fácilmente identificados por los empleados y/o terceras partes. Pero los controles de detección son, por su naturaleza, clandestinos: dichos controles operan en un contexto que no es evidente en el entorno empresarial. Las técnicas de detección preventivas suelen:
  • Producirse en el curso normal de la actividad de la compañía.
  • Basarse en información externa, que corrobora información generada internamente.
  • Comunicar de manera formal y automática las deficiencias y excepciones identificadas.
  • Mejorar y/o modificar otros controles.
Las técnicas de detección incluyen mecanismos de reporting anónimo (canal de denuncias), denuncia (anónima o no), procesos de control y procedimientos proactivos de detección de fraude, diseñados específicamente para identificar actividades fraudulentas.
La última encuesta referenciada al inicio de este documento muestra los medios de detección que las organizaciones ponen a disposición de sus empleados: los canales de denuncias internos y externos y las revisiones de Auditoría Interna continúan siendo, con un 39% y un 47% respectivamente, los métodos de detección más eficaces.

LA INVESTIGACIÓN DEL FRAUDE Y ACCIONES CORRECTIVAS

Cualquier violación, desviación o infracción de un código de conducta o de cualquier control, debe ser reportado y tratado de forma oportuna, independientemente de quién lo cometa. Es un hecho esencial para cualquier organización. El castigo impuesto debe ser apropiado a la infracción. Y el Consejo de Administración debe asegurar que se apliquen las mismas reglas a todos los niveles de la organización, incluyendo la alta dirección.
Es recomendable contar con un protocolo de actuación frente al fraude. Entre otros aspectos, el documento debe definir el procedimiento desde que se detecta la posible infracción hasta su resolución, y tratar todos los aspectos que surjan a lo largo de la investigación: legales, toma de evidencias, consultas a externos, áreas involucradas, modelo de reporting, medidas correctivas, medidas disciplinarias, etc.
De la encuesta del Instituto de Auditores Internos de España se desprende que el 50% de las empresas cuentan con un protocolo de actuación frente al fraude; que en el 49% de los casos incluye quién es la persona o cuál es el departamento o comité encargado de resolver la investigación y de adoptar las correspondientes medidas.

Recepción y evaluación de las alegaciones

  • Recepción de alegaciones. Una organización puede tener noticia de un potencial fraude a través de diversas vías: los propios empleados, clientes, proveedores, auditores internos, auditores de cuentas, los procesos de control, o, incluso, accidentalmente.
Entonces, la organización debe asegurar que se ponga en marcha un sistema competente, eficaz y confidencial para la revisión de las alegaciones recibidas, la investigación del potencial fraude y su resolución.
La investigación y respuesta incluyen los siguientes procesos:
– Categorización de las alegaciones recibidas.
– Confirmación de la validez de la alegación.
– Definición de la gravedad de la alegación.
– Propuesta para transmitir el asunto al nivel apropiado dentro de la organización.
– Realización de la investigación y determinación de las responsabilidades.
– Resolución y cierre de la investigación.
– Determinar aquella información que debe permanecer confidencial.
– Documentación de la investigación llevada a cabo.
De forma adicional, implementar un sistema de gestión de denuncias o alegaciones donde puedan registrarse adecuadamente las mismas.
  • Evaluación de las alegaciones. Recibida una alegación, se evalúa y califica. Para ello, se designa a un individuo o grupo de individuos con cierta autoridad dentro de la organización y con las habilidades o capacidades necesarias para esta primera evaluación y determinar el procedimiento a seguir.
Si una alegación involucra a la alta dirección, o afecta a los estados financieros, es necesario atender a las leyes o regulaciones, que pueden exigir que otras partes sean debidamente informadas.

Realización de las investigaciones

Es esencial planificar la investigación para que sea competente y exhaustiva. Una investigación de fraude, generalmente, incluye las siguientes cuestiones: entrevistas, recolección de evidencias, tanto documentos internos como documentación de fuentes públicas, evidencias digitales a través de un análisis forense, y un análisis de las evidencias recopiladas, con pruebas analíticas de testeo o hipótesis.

Reporting de resultados

El equipo de investigación informa sobre los resultados obtenidos, tanto a la parte que supervisa la investigación, como a la dirección de la organización y al departamento de asesoría legal.
La naturaleza de la comunicación, así como la forma de distribuirla, debe tener en cuenta los objetivos de la investigación y evitar cualquier afirmación difamatoria. Por ello, antes de que el responsable de la supervisión de la investigación haga públicos los resultados, se necesita el asesoramiento de un abogado.

Acciones correctivas

Realizada la investigación, la organización determina qué acciones tomar en vista de los resultados. Entre las posibles acciones están:
  • Despedir.
  • Abrir un procedimiento penal.
  • Abrir un procedimiento civil.
  • Establecer medidas disciplinarias.
  • Solicitar una reclamación al seguro contratado.
  • Continuar con la investigación, implantando nuevos procedimientos.
  • Implantar nuevos procesos de negocio y de control.