Gestión de riesgo de fraude
Gestión de riesgo de fraude.
“Una tendencia y una necesidad
de negocio”.
1. Lineamientos para combatir el fraude
2. Gestión de riesgo de fraude
3. Aplicaciones prácticas de gestión de riesgo de fraude
3.1. Administración de Programas y controles antifraude APCA
•
Matriz de evaluación APCA
•
Matriz de decisión APCA
3.2. Gestionando el riesgo de fraude
•
Marco de trabajo para una política de control de fraude
•
Política sobre fraude
•
Matriz de decisión considerando una política sobre
fraude
3.2. Gestionando el riesgo de fraude (cont.)
•
Marco de trabajo de evaluación de riego de fraude
•
Scorecard de Preveción de Fraude
•
Scorecard de Detección de Fraude
3.3. Auditoría Interna y Fraude
•
Matriz de reporte al Comité de Auditoría
•
Preguntas a considerar sobre aspectos de fraude en las
organizaciones
3.3. Corrupción o cumplimiento
•
Datos de la encuesta mundial 2008 de E&Y
Información para aplicación práctica.
A. Administración de Programas y Controles
AntiFraude (2002) / Organizaciones USA.
B. Managing the Business Risk of Fraud: A
Practical Guide (2008) / IIA –
AICPA-ACFE.
C. Internal Auditing and Fraud (2010) / IAI.
D. Corruption or compliance – weighing the
costs; 10th global fraud survey (2008) /
Ernst & Young.
Los escándalos financieros de los últimos años, principalmente
los corporativos, afectaron el normal desarrollo de los negocios
al generar un ambiente de inseguridad; para reestablecer la
confianza en el esquema financiero y económico mundial
varios países y organizaciones emitieron o actualizaron
lineamientos considerando la importancia de prevenir, detectar
y combatir el fraude financiero en las organizaciones y la
corrupción financiera en general; a continuación se lista
algunas de esas disposiciones normativas:
Los escándalos financieros de los últimos años, principalmente los corporativos,
afectaron el normal desarrollo de los negocios al generar un ambiente de inseguridad;
para reestablecer la confianza en el esquema financiero y económico mundial varios
países y organizaciones emitieron o actualizaron lineamientos considerando la
importancia de prevenir, detectar y combatir el fraude financiero en las organizaciones
y la corrupción financiera en general; a continuación se lista algunas de esas
disposiciones normativas:
• Administración de Programas y Controles Antifraude.
• Convergencia Internacional de Medidas y Normas de Capital – Comité de Basilea
(Acuerdo de Basilea 2).
• Convención de las Naciones Unidas Contra la Corrupción – CNUCC.
• Declaración sobre Normas de Auditoría DNA (SAS)-99 (AU 316) “La Consideración
del Fraude en los Estados Financieros.”.
• Ley Sarbanes Oxley (Sarbanes Oxley Act - USA).
• Norma Internacional de Auditoría NIA (ISA) -11 Sección 240A “Fraude y Error”.
• Norma Internacional de Auditoría NIA (ISA) Sección 240 “Responsabilidad del
Auditor de Considerar el Fraude y Error en una Auditoría de Estados Financieros”.
Los lineamientos antes señalados, entre otros aspectos,
establecen mayores responsabilidades para los organismos de
control, directivos (miembros de consejo / directorio),
ejecutivos (alta gerencia) y auditores (tanto internos como
externos) de las organizaciones en cuanto a su deber de
considerar y combatir el fraude financiero desde sus
respectivos campos de acción.
El Comité de Supervisión Bancaria de Basilea
considera al fraude como uno de los tipos de
eventos de pérdida inmerso en el concepto de
Riesgo Operativo siendo por lo tanto uno de
los varios riesgos a ser mitigados en las
entidades financieras; desde su perspectiva el
Comité de Basilea define y clasifica al fraude
de la siguiente manera:
“Fraude Interno: Pérdidas derivadas de algún tipo de actuación encaminada a defraudar, apropiarse de bienes indebidamente o soslayar regulaciones, leyes o políticas empresariales (excluidos los eventos de diversidad / discriminación) en las que se encuentra implicada, al menos, una parte interna a la empresa.
Actividades No Autorizadas - Ejemplos: operaciones no reveladas (intencionalmente);
operaciones no autorizadas (con pérdidas pecuniarias); valoración errónea de posiciones (intencional).
Hurto y Fraude – Ejemplos: fraude / fraude crediticio/ depósitos sin valor; hurto / extorsión / malversación / robo; apropiación indebida de activos; destrucción dolosa de activos; falsificación; utilización de cheques sin fondos; contrabando; apropiación de cuentas, de identidad, etc.; incumplimiento / evasión de impuestos (intencional); soborno / cohecho; abuso de información privilegiada (no a favor de la empresa).
Fraude Externo: Pérdidas derivadas de algún tipo de actuación encaminada a defraudar, apropiarse de bienes indebidamente o soslayar la legislación, por parte un tercero.
Hurto y Fraude – Ejemplo: hurto/ robo; falsificación; utilización de cheques sin fondos.
Seguridad de los Sistemas – Ejemplo: daños por ataques informáticos; robo de información (con pérdidas pecuniarias).”
Fuente: Comité de Supervisión Bancaria de Basilea; Convergencia Internacional de Medidas y Normas de Capital
La Ley Sarbanes Oxley (SOX) establece rigurosas
disposiciones para combatir el fraude financiero y las
inadecuadas
prácticas
de
negocio
en
las
organizaciones, su cumplimiento es obligatorio para
todas las compañías que cotizan en la Bolsa de
Valores de los Estados Unidos de Norteamérica
(denominadas empresas o compañías públicas), sus
subsidiarias y afiliadas; algunos de los aspectos que
incluye la mencionada Ley son los siguientes:
• “Responsabilidad de la Compañía por Fraude Penal (Título VIII) • Responsabilidad penal por alteración de documentos (sec. 802).
• Deudas no deducibles si fueron incurridas con violación de las leyes de fraude de valores (sec. 803).
• Estatuto de limitaciones por fraude de valores (sec. 804).
• Revisión de las pautas de sentencia federal por obstrucción de la justicia y fraude penal (sec. 805).
• Protección para empleados de compañías públicas registradas que indican evidencia de fraude (sec. 806).
• Sentencias para accionistas defraudadores de compañías públicas registradas (sec. 807). • Responsabilidad Penal de Empleados (Título IX)
• Intentos y conspiraciones para cometer fraude (sec. 902).
• Responsabilidad penal por fraude postal y cablegráfico (sec. 903).
• Responsabilidad penal por violaciones al Employee Retirement Income Security Act de 1974 (sec. 904).
• Modificación de las guías de sentencia referentes a ciertos delitos de empleados (sec. 905). • Responsabilidad de la compañía por los informes financieros (sec. 906).
Fuente: Ley Sarbanes Oxley.
2. Gestión de riesgo de fraude
Principio 1. Programa de Gestión de Riesgo de Fraude Principio 2. Evaluación periódica de exposición al riesgo de fraude Principio 4. Reporte, coordinación y acción correctiva Principio 3. Técnicas de Prevención Principio 4. Técnicas de Detección Gestión de Riesgo de FraudeFuente: Managing the Business Risk of
2. Gestión de riesgo de fraude
1. Programa de gestión de riesgo de fraude. 2. Evaluación periódica de exposición al riesgo de fraude 3. Técnicas de Prevención Principio 1: Como parte de la estructura de gobierno de la organización, un programa de gestión de riesgo de fraude debe estar implementado, incluyendo una política (o políticas) por escrito para transmitir las expectativas de la junta de directores y personal directivo superior en relación con la gestión del riesgo de fraude.
Fuente: Managing the Business Risk of
Fraud (IIA / ACFE / AICPA) Principio 2: La exposición al riesgo de fraude debe ser evaluada periódicamente por la organización para identificar específicos esquemas potenciales y eventos que la organización necesita para mitigar.
Principio 3: Técnicas de prevención para evitar potenciales eventos clave de riesgo de fraude deben ser establecidas, cuando sea posible, para mitigar los posibles impactos en la organización.
2. Gestión de riesgo de fraude
4. Técnicas de detección 5. Reporte, coordinación y acción correctiva Principio 4: Técnicas de detección debe establecerse para
descubrir eventos de fraude cuando las medidas preventivas han fallado un riesgo no mitigado se ha materializado.
Fuente: Managing the Business Risk of
Fraud (IIA / ACFE / AICPA) Principio 5: Un proceso de reporte debe estar implementado para solicitar información (input) sobre un potencial fraude, y un enfoque coordinado para la investigación y la acción correctiva debe utilizarse para ayudar a asegurar que el potencial fraude se abordará de manera adecuada y oportuna.
3. Aplicaciones prácticas de gestión de riesgo de fraude
3. Aplicaciones prácticas de gestión de riesgo de fraude
3.1. Administración de Programas y controles antifraude APCA • Matriz de evaluación APCA
• Matriz de decisión APCA 3.2. Gestionando el riesgo de fraude
• Marco de trabajo para una política de control de fraude • Política sobre fraude
• Matriz de decisión considerando una política sobre fraude 3.2. Gestionando el riesgo de fraude (cont.)
• Marco de trabajo de evaluación de riego de fraude • Scorecard de Preveción de Fraude
• Scorecard de Detección de Fraude 3.3. Auditoría Interna y Fraude
• Matriz de reporte al Comité de Auditoría
• Preguntas a considerar sobre aspectos de fraude en las organizaciones 3.4. Corrupción o cumplimiento
3.1. Administración de Programas y Controles
AntiFraude (2002) / Organizaciones USA.
3.1. Administración de Programas y Controles
AntiFraude (2002) / Organizaciones USA.
3.1. Administración de Programas y Controles
AntiFraude (2002) / Organizaciones USA.
Este documento identifica medidas que las entidades pueden
implementar para evitar, disuadir y detectar el fraude.
Se explican estas medidas en el contexto de tres elementos
fundamentales:
• 1) crear y mantener una cultura de honestidad y ética
elevada;
• 2) evaluar los riesgos de fraude e implementar los procesos,
procedimientos y controles necesarios para mitigar los riesgos
y reducir las oportunidades de fraude; y,
3.1. Administración de Programas y Controles
AntiFraude (2002) / Organizaciones USA.
1) CREAR UNA CULTURA DE HONESTIDAD Y ETICA
ELEVADA.
•Establecer el “Clima en la Cima”.
•Crear un Ambiente Positivo de Trabajo.
•Contratar y Promover Empleados Apropiados.
•Capacitación.
•Confirmación.
•Disciplina.
3.1. Administración de Programas y Controles
AntiFraude (2002) / Organizaciones USA.
2)
EVALUAR
LOS
PROCESOS
Y
CONTROLES
ANTIFRAUDE.
•Identificar y Medir los Riesgos de Fraude.
•Mitigar los Riesgos de Fraude.
3.1. Administración de Programas y Controles
AntiFraude (2002) / Organizaciones USA.
3) DESARROLLAR UN PROCESO APROPIADO DE
VIGILANCIA.
•El Comité de Auditoría o Junta Directiva.
•La Gerencia.
•Los Auditores Internos.
•Los Auditores Independientes.
3.1. Administración de Programas y Controles
AntiFraude (2002) / Organizaciones USA.
FIRMA & Asociados.
Evaluación de Riesgo - APCA
Resultado de la Evaluación de Riesgo - APCA.
1 Crear Una Cultura de Honestidad y Ética Elevada
Calificación del Riesgo:
CR = Calificación del Riesgo. CR = CT x 100
CT = Calificación Total. PT
PT = Ponderación Total.
Empresa : CR = 0 x 100
140
CR = %
Nivel de Riesgo (Administración de Programas y Controles Antifraude)
Subtotal: Crear Cultura de Honestidad y Ética Elevada 60
2 Evaluar los Procesos y Controles Antifraude
Rojo 15% - 50% Naranja 51% - 59% Amarillo 60% - 66% Verde 67% - 75% Azul 76% - 95% Empresa : Subtotal: Evaluar los Procesos y Controles Antifraude 30
3 Desarrollar un Proceso Apropiado de Vigilancia
Elab. Por : Fecha:
Sup. Por: Fecha:
Subtotal: Desarrollar Proceso Apropiado de Vigilancia 50
Total Elementos APCA 140
Nota: La calificación que el auditor asigna a cada sub elemento de la Administración de Programas y Controles Antifraude - APCA debe estar sustentada en los respectivos papeles de trabajo, la calificación puede surgir de la evaluación de control interno a través de los métodos: cuestionario de control interno
narrativas, flujodiagramación o los que el auditor considere convenientes en las circunstancias.
MATRIZ DE EVALUACION DE RIESGOS - ADMINSITRACIÓN DE PROGRAMAS Y CONTROLES ANTIFRAUDE APCA
No. ELEMENTOS Y SUB ELEMENTOS APCA Ponderación Calificación Calificación del Riesgo %
Motivos Principales de la Calificación Asignada
Observaciones
1.2 Crear Un Ambiente Positivo de Trabajo 10 1.1 Establecer el "Clima en la Cima". 10
1.4 Capacitación 10
1.3 Contratar y Promover Empleados Apropiados 10
1.6 Disciplina 10
1.5 Confirmación 10
Riesgo Confianza
2.1 Identificar y Medir los Riesgos de Fraude 10 Alto Baja
Mo. Alto Mo. Baja
Mo. Moderado Mo. Moderada
2.2 Mitigar los Riesgos de Fraude 10 Mo. Bajo Mo. Alta
Bajo Alta
2.3 Implementar y Monitorear los Controles Internos Apropiados 10
3.2 La Gerencia 10 Nivel de Confianza =
3.1 El Comité de Auditoría o Junta Directiva 10
Nivel de Riesgo =
3.4 Los Auditores Independientes 10
3.3 Los Auditores Internos 10
3.1. Administración de Programas y Controles
AntiFraude (2002) / Organizaciones USA.
FIRMA & Asociados.
MATRIZ DE DECISIÓN POR ELEMENTO APCA - PLAN DE ACCIÓN
Administración de Programas y Controles Antifraude
No. Elementos y Subelementos % Calificación
1 Crear Una Cultura de Honestidad y Ética Elevada
Establecer el "Clima en la Cima".
Crear Un Ambiente Positivo de Trabajo
Contratar y Promover Empleados Apropiados
Capacitación
Confirmación
Disciplina
2 Evaluar los Procesos y Controles Antifraude
Identificar y Medir los Riesgos de Fraude
Mitigar los Riesgos de Fraude
Implementar y Monitorear los Controles Internos Apropiados
3 Desarrollar un Proceso Apropiado de Vigilancia
El Comité de Auditoría o Junta Directiva
La Gerencia
Los Auditores Internos
Los Auditores Independientes
Los Examinadores de Fraude Certificados 1.2
5 W 1 H (why, what, who, when, where, how)
Programas y Controles Antifraude Riesgo (porqué) Recomendación (que) Responsable (quien) Plazo (cuando) Lugar
(donde)
Procedimientos, Actividades, Tareas (como)
Objetivo (cuantificado) Indicadores de Éxito Observaciones 1.1 1.3 1.4 1.5 1.6 2.1 2.2 2.3 3.1 3.2 3.3 3.4 3.5
3.2. Managing the Business Risk of Fraud: A
Practical Guide (2008) / IAI – AICPA - ACFE.
Contenido.
•Gobierno del Riesgo de Fraude (Fraud Risk Governance).
• Evaluación del Riesgo de Fraude (Fraud Risk Assessment)
• Prevención del Fraude (Fraud Prevention)
• Detección del Fraude (Fraud Detection)
• Investigación del Fraude y Medidas Correctivas (Fraud Investigation and Corrective
Action).
Ejemplos.
• Marco de la Política de Control de Fraude (Framework for a Fraud Control Policy).
• Política de Fraude (Fraud Policy).
• Marco de la Evaluación del Riesgo de Fraude (Fraud Risk Assessment Framework)
• Exposiciones al Riesgo de Fraude (Fraud Risk Exposures).
• Scorecard de Prevención de Fraude (Fraud Prevention Scorecard)
• Scorecard de Detección de Fraude (Fraud Detection Scorecard).
• Prinicipios Relacionados con el Fraude – Fundación OCEG (OCEG Foundation
Principles that Relate to Fraud).
• Marco Integrado de Control Interno COSO en aspectos de Fraude (COSO Internal
Control Integrated Framework).
3.2. Managing the Business Risk of Fraud: A
Practical Guide (2008) / IAI – AICPA - ACFE.
3.2. Managing the Business Risk of Fraud: A
Practical Guide (2008) / IAI – AICPA - ACFE.
3.2. Managing the Business Risk of Fraud: A
Practical Guide (2008) / IAI – AICPA - ACFE.
3.2. Managing the Business Risk of Fraud: A
Practical Guide (2008) / IAI – AICPA - ACFE.
3.2. Managing the Business Risk of Fraud: A
Practical Guide (2008) / IAI – AICPA - ACFE.
3.2. Managing the Business Risk of Fraud: A
Practical Guide (2008) / IAI – AICPA - ACFE.
3.2. Managing the Business Risk of Fraud: A
Practical Guide (2008) / IAI – AICPA - ACFE.
3.2. Managing the Business Risk of Fraud: A
Practical Guide (2008) / IAI – AICPA - ACFE.
3.2. Managing the Business Risk of Fraud: A
Practical Guide (2008) / IAI – AICPA - ACFE.
Prevención de fraude scorecard
N° Prevención de fraude: área, factor o consideración Rojo Amarillo Verde Notas
1 Nuestra cultura organizacional - tono en lo alto - es tan fuerte como puede serlo y
establece un entorno de cero tolerancia con respecto al fraude. 2
La alta dirección de nuestra organización siempre muestra una actitud apropiada en materia de prevención de fraude y favorece la comunicación libre y abierta con respecto al comportamiento ético.
3
Nuestro Código de Conducta de la organización contiene disposiciones específicas que abordan y prohiben relaciones inapropiadas en las que los miembros de nuestro consejo o los miembros de la gerencia en base a su posición podrían utilizar para obtener beneficios personales u otros inapropiados propósitos.
4
Hemos hecho una evaluación rigurosa de los riesgos de fraude mediante COSO ERM y se han tomado medidas concretas para fortalecer en lo necesario nuestros mecanismos de prevención.
5
Hemos evaluado los riesgos de fraude para nuestra organización de manera adecuada sobre la base de las evaluaciones de organizaciones similares en nuestra industria, conocemos fraudes que se han producido en similares organizaciones, realizamos lluvias de ideas sobre temas de fraude, y efectuamos una periódica re evaluación de risgo. 6
Hemos abordado las fortalezas y debilidades de nuestro ambiente de control interno de manera adecuada y se han tomado medidas concretas para fortalecer la estructura de control interno para ayudar a prevenir la ocurrencia de fraude.
… n
Notas: 1 2
Fuente: Managing the Business Risk of Fraud
IIA / ACFE / AICPA * Adaptado
Cada área, factor o consideración evaluado como rojo o amarillo debe tener una referencia en el campo "notas" describiendo el plan de acción para convertir esa evaluación en verde para el próximo scorecard.
Total
Evaluación (alerta)
Para evaluar la fortaleza del sistema de prevención de fraudes de la organización, evaluar cuidadosamente cada área, factor o consideración como:
Rojo: indica que el área, factor o consideración necesita sustancial fortalecimiento y mejora para disminuir el riesgo de fraude a un nivel aceptable. Amarillo: indica que el área, factor o consideración necesita algún fortalecimiento y mejora para disminuir el riesgo de fraude a un nivel aceptable. Verde: indica que el área, factor o consideración es fuerte y el riesgo de fraude ha sido reducido - al menos - a un nivel mínimo aceptable.
3.2. Managing the Business Risk of Fraud: A
Practical Guide (2008) / IAI – AICPA - ACFE.
3.2. Managing the Business Risk of Fraud: A
Practical Guide (2008) / IAI – AICPA - ACFE.
Esta guía para la práctica emitida por el IIA en
diciembre del 2009 presenta la siguiente
información:
•Definición de fraude.
•Concientización sobre el fraude.
•Roles y responsabilidades respecto al fraude
•Responsabilidades de auditoría intera
•Evaluación de riesgo de fraude
•Prevención y detección del fraude
•Investigación del fraude
3.3. Internal Auditing and Fraud (2009) /IIA.
Matriz de Reporte de Eventos al Comité de Auditoría
Matriz de Reporte de Eventos al Comité de Auditoría
N° Evento Magnitud Inm edia tam ente Pró xim a re unió n Rep orte anua l Res umen anu al
1 Desfalcos, fraudes, robo:
Que no impliquen a la alta dirección
Falla mayor de control Más de $ 10.000 X
Involucra colusión Más de $ 10.000 X
Menor Bajo $ 10.000 X
Que impliquen a la alta dirección Siempre X
2 Denegación de acceso de auditoría interna a
personas o datos Cualquier valor X
3 Violación de la política de ética
Alta dirección (gerencia) Cualquier valor X
Gerencia media Cualquier valor X
4 Discución de reemplazo del Director Ejecutivo
de Auditoría
Cualquier
circunstancia X
Fuente: Internal Auditing and Fraud IPPF - Practice Guide
The Institute of Internal Auditors * Adaptado
3.3. Internal Auditing and Fraud (2009) /IIA.
Preguntas a Considerar sobre Aspectos de Fraude en las Organizaciones
Observaciones
N° Pregunta Si Parcial No
1 ¿Tiene la organización una estructura de gobierno de fraude implementadaque identifique y asigne las resonsabilidades sobre investigaciones de fraude? 2 ¿Tiene la organización una política de fraude implementada?
3 ¿La organización ha identificado leyes y regulaciones relacionadas con fraude propias aplicables en las jurrisdicciones donde realiza sus negocios? 4 ¿El programa de gestión de fraude de la organización incluye cooridnación con
auditoría intena?
5 ¿Tiene la organización una línea directa de fraude (fraud hotline)? 6 ¿El estatuto (manual / guía) de auditoría describe los roles y responsabilidades
de auditoría interna en lo relacionado con fraude?
7 ¿Dentro de la organización ha sido asignada la responsabilidad sobre temasde fraude en cuanto a: detección, prevención, respuesta y concientización?
8 ¿La gerencia y el Director Ejecutivo de Auditoría mantienen actualizado al comité de auditoría sobre los aspectos de fraude de la organización? 9 ¿Promueve la gerencia la concientización y entrenamiento sobre temas de
fraude dentro de la organización?
10 ¿Lidera la gerencia las evaluaciones de riesgo de fraude e incluye en el proceso de evaluación al área de auditoría interna?
11 ¿Los resultados de las evaluaciones de riesgo de fraude son consideros en el proceso de planificación de la auditoría?
12 ¿Existen programas periódicos de concientización y entrenamineto sobre temas de fraude provistos para todos los empleados?
13 ¿Existen herramientas automatizadas disponibles para los responsables de prevenir, detectar e investigar fraude?
14 ¿Ha identificado la Gerencia los tipos de potenciales riesgos de fraude en sus áreas de responsabilidad?
15
¿Conoce la Gerencia y el Director de Auditoría Interna dónde obtener orientación sobre temas de fraude de parte de organizaciones profesionales?
16 ¿Conocen la Gerencia y los auditores internos sus responsabilidades profesionales relacionadas con fraude?
17 ¿Ha incorporado la Gerencia apropiados controles para prevenir, detectar e investigar el fraude?
18 ¿Tiene la Gerencia el aporpiado conjunto de habilidades para realizar investigaciones de fraude?
19 ¿La Gerencia y la actividad de auditoría interna evalúan periódicamente la efectividad y eficiencia de los controles para fraude?
20
Are fraud investigation workpapers and supporting documents appropriately secured and retained?
¿Los papeles de trabajo y la documentación soporte de las investigaciones de fraude están archivados de manera apropiada y segura?
Notas:
1
2
Fuente: Internal Auditing and Fraud
IPPF - Practice Guide Preguntas a Considerar Respuesta
Conducir oportunas y apropiadas discuciones a cerca de fraude con todos lo niveles de la organización, incluyendo el Comié de Auditoría, demuestra que la actividad de auditoría interna está ejerciendo un rol proactivo en esta área. Algunas de las preguntas que
con determinada regularidad los auditores internos pueden realizar a cerca de fraude incluyen las anteriormente indicadas.
Esta no es una lista de chequeo. No incluye todas las preguntas que pueden ser necesarias para evaluar el riesgo de fraude en una determinada organización, ni contiene las preguntas necesarias de seguimiento que dependen de las respuestas a las preguntas anteriores. En consecuencia, auditores pueden utilizar estas preguntas como punto de partida para crear sus propias herramientas y
lluvias de ideas sobre riesgos de fraude.