Llegamos a ustedes gracias a:



Columnas de opinión

Prevención de fraudes: Mejorar los controles internos

Por: Daniel W. Draz, director de Fraud Solutions

[|8/04/2011] Hay varias claves para la prevención eficaz del fraude, pero algunas de las más importantes sacadas de la caja de herramientas corporativas, son los fuertes controles internos. Igualmente importantes, sin embargo, son la actitud de la empresa con respecto al fraude, los controles internos y una cultura organizacional ética. Si bien la cultura ética es impulsada por el control del entorno de la alta dirección ("el tono en la parte superior"), la Junta de Directores y el Comité de Auditoría también son esenciales en la promoción de un entorno ético y transparente.

El objetivo de este artículo es fortalecer los controles internos. Según el Comité de Organizaciones Patrocinadoras (COSO http://www.coso.org/), el control interno se define ampliamente como un proceso, efectuado por la junta de directores de la entidad, y demás personal, diseñado para proporcionar una seguridad razonable respecto al logro de objetivos en las siguientes categorías: eficacia y eficiencia de las operaciones, la fiabilidad de la información financiera y el cumplimiento de leyes y reglamentos aplicables.
Los controles internos no deben ser considerados como "estáticos". Se trata de un conjunto dinámico y fluido de herramientas que evolucionan con el tiempo a medida que el negocio, la tecnología y los ambientes de fraude cambian en respuesta a la competencia, las prácticas de la industria, la legislación, la reglamentación y las condiciones económicas actuales.
Si bien ninguna empresa, incluso con los controles internos más fuertes, es inmune al fraude; el fortalecimiento de las políticas internas de control, los procesos y procedimientos definitivamente hacen que las empresas sean un blanco menos atractivo para los delincuentes internos y externos que tratan de explotar las debilidades de control interno.
El fortalecimiento de los controles internos rara vez se logra mediante la mejora de un solo proceso, sino que implica una revisión exhaustiva de los riesgos, los controles internos existentes y su adecuación en la prevención de la ocurrencia de fraudes. Una revisión de control interno puede llevarse a cabo en toda la empresa o en una locación, o llevarla hasta el nivel de las unidades individuales de negocio. Por lo general, una revisión de esta naturaleza implica un examen en profundidad de las personas, procesos y tecnología. Sin embargo, existen otros intangibles que su organización no puede permitirse el lujo de pasar por alto.
Interacción con auditoría
La primera parte del fortalecimiento de los controles internos implica cambiar la actitud que algunos empleados tienen hacia los auditores. Si bien es fácil identificar a los auditores como la policía de asuntos internos -cuya única responsabilidad es descubrir irregularidades. que identifica a los empleados que están rompiendo las reglas, el éxito personal y profesional se obtendrá viendo a los auditores como socios clave y aliados en la batalla contra el fraude. Esto se refuerza aún más con el papel del auditor, que asegura que él o ella estén siempre a la vanguardia de las políticas corporativas, prácticas, procedimientos, tecnología, nuevos productos y servicios, por lo que los auditores son una valiosa fuente de información corporativa.
En segundo lugar, parte del fortalecimiento de los controles internos es simplemente una cuestión de definir o aclarar papeles de propiedad y responsabilidades.
Un error de percepción común entre los empleados de las empresas es que los controles internos son de exclusiva responsabilidad del Departamento de Auditoría de la compañía. Mientras que los auditores internos miden la efectividad del control interno a través de sus esfuerzos, por lo general no asumen la propiedad. Evalúan si los controles están bien diseñados, implementados y funcionando eficazmente y hacen recomendaciones sobre cómo mejorar el control interno.
Según el Instituto de Auditores Internos (IIA por sus siglas en inglés), "la responsabilidad del sistema de control interno de una organización típica es compartida entre todos los ejecutivos, con el liderazgo, por lo general, del director financiero."
Las empresas con fuertes controles internos (políticas, procesos y procedimientos) ven el proceso de manera integral y encontrar un enfoque valioso de equipo. Un ambiente de equipo efectivo comprende los miembros de diferentes unidades y disciplinas de negocio, y puede incluir a representantes de: recursos humanos, de cumplimiento, investigaciones, de auditoría, de la oficina general del letrado, administración superior, y de seguridad (de la información y física).
Para administrar eficazmente este proceso, los distintos departamentos trabajan juntos de una manera interactiva. El trabajo conjunto aumenta la conciencia del problema, fortalece la comunicación, reduce las oportunidades de fraude y garantiza un proceso de control interno más amplio y robusto.
La falta de trabajo en conjunto puede tener consecuencias como lo indica este ejemplo:
Una compañía de finanzas descubrió un robo de los empleados a través de más de un proceso de control de propiedad individual interna. Antes de hacer público el robo a todas las partes, el departamento actuó de inmediato sobre la información y se enfrentó al empleado sospechoso. Mientras que el empleado en última instancia, admitió el robo, la incapacidad de llevar la ecuación hacia otros departamentos ha tenido importantes repercusiones a largo plazo. La investigación posterior y el análisis forense en última instancia determinaron que el empleado era parte de una banda organizada. No solo fueron fondos robados, sino también información de identificación personal (PII), que pueden haber sido utilizados para cometer robos de identidad fuera de la corporación. Mientras que la investigación debería haber sido impulsada exclusivamente por el departamento de investigaciones, la magnitud y el alcance de la operación hubieran sido identificados con anterioridad de haber tenido a las personas adecuadas participando en el descubrimiento inicial del incidente bajo un grupo de control interno uniforme, con líneas claras de responsabilidad y autoridad .
Entonces, la pregunta es: ¿cuáles son las mejores prácticas a utilizar para lograr que la gente coopere en un grupo como éste? Aunque sería fácil decir que hay una norma de buenas prácticas para conseguir que distintos gerentes, ejecutivos y líderes de la unidad de negocio se sienten a la mesa para ponerse de acuerdo sobre los protocolos de control interno, la propiedad y las responsabilidades; por desgracia, dada las diferentes culturas y la dinámica de funcionamiento en cada empresa, no hay una solución de "talla única" que vaya a trabajar de manera uniforme para todas las empresas.
Sin embargo, desde mi experiencia, un enfoque "de arriba abajo" implica la formación de un grupo interno de control del trabajo, encabezado por el departamento de auditoría con el apoyo del comité de auditoría. Esto funciona en muchas empresas, especialmente en las que haya rendición de cuentas en virtud de la Ley Sarbanes Oxley al comité de auditoría y la junta de directores de la empresa. Mientras que a algunos líderes de las unidades de negocio les molesta que les digan qué hacer, cuáles son los procesos a implementar y cómo ponerlos en práctica, eventualmente la mayoría lo hará, dado el entorno de reglamentaciones y la información interna que ordena que se tomen ciertas medidas. Es posible evitar el resentimiento a través de la construcción de una buena relación, donde reúne equipos multidisciplinarios, de buena gana, bajo los auspicios de fortalecer los controles internos y la creación de una empresa más fuerte.
Comunicación
Una forma de fortalecer los controles internos es mejorar el proceso de comunicación. He visto innumerables situaciones en las que las principales partes interesadas son conscientes de los grandes acontecimientos que ocurren dentro de una unidad de empresa o negocio. Esto es problemático, ya que no hay oportunidad para que la administración arregle algo que no sabe que está estropeado. La interacción regular y la comunicación entre los departamentos, es de suma importancia en este proceso.
Los protocolos de comunicación deben ser establecidos y acordados en toda la empresa. Los casos y procedimientos de incidentes críticos de notificación de distribución deben hacerse públicos, para asegurar que todos estén al tanto de un incidente y entiendan cuáles son sus roles definidos cuando se produce el incidente.
Parte de estar al tanto de un incidente corresponde a la ética, la línea telefónica y los sistemas de notificación de eventos que están siendo utilizados por la empresa, de conformidad con la ley Sarbanes Oxley. Muchos profesionales de la industria tienen experiencia en la operación de la ética y el cumplimiento de los sistemas de línea directa, pero no todos los incidentes son reportados a través de estos mecanismos de cumplimiento. Una de las preguntas clave está alrededor de saber ¿cómo las compañías notifican a los titulares clave cuando se produce un evento fuera de la ética o sistema de cumplimiento? Si bien esta comunicación a menudo recae en un programa de respuesta del primer tipo, es imperativo que las empresas tengan definidos sus procesos y protocolos de comunicación para que los empleados del manejo de las claves estén al tanto.
Un sistema de notificación efectiva funciona en un servidor central, genera un mensaje sobre los acontecimientos en tiempo real para los empleados predefinidos, cuando se produce el evento, y es enviado directamente a los empleados y a sus dispositivos inteligentes. Este nivel de notificación de eventos asegura de que las personas que necesitan saber acerca de un incidente se hacen conscientes en el momento oportuno y fomenta una respuesta inmediata, y unificada según sea necesario.
Mientras que muchas compañías utilizan recursos propios o contratan a un consultor o vendedor para poder proveer estos servicios de ética, código de conducta y de notificación de incidentes; un número cada vez mayor de informes del sistema en general, ayudan a fortalecer los controles internos, ya que ofrecen más oportunidades para evaluar los hechos denunciados y las correspondientes deficiencias del control interno.
Uno de los métodos para fortalecer los controles internos asociados a este proceso implica la evaluación de los protocolos de comunicación utilizados para promover la línea de la ética, el conocimiento de los empleados sobre esa línea, cómo acceder a ella y la manera de utilizarla de manera eficaz. Según el Informe a la Nación ACFE 2010, los fraudes tienen más probabilidades de ser detectados a través de una advertencia más que por cualquier otro medio. Este proceso puede fortalecerse a través de una mayor promoción de la línea directa de correos de la empresa, las comunicaciones internas, boletines informativos y la página web de la compañía.
Si bien no todas las llamadas a la línea directa de ética son indicativas de una debilidad de control interno o de fraude, las que demandan un mayor escrutinio para determinar la raíz del problema. Una vez que la causa se ha determinado, hay una oportunidad para fortalecer los controles internos, si un control es explotado o inexistente.
Separación de funciones
Un área en la que muchas empresas pueden reforzar significativamente sus controles internos implica la segregación de las políticas de las obligaciones, y esto a menudo es considerado el "control interno primario". Es imperativo que haya una separación adecuada de las obligaciones relacionados con la custodia, la autorización y control del origen de los documentos y los registros. Por ejemplo, una persona no debe tener la facultad exclusiva de iniciar una transacción, autorizar o aprobar una transacción, y completar la transacción sin contar con la aprobación de la gerencia. La falta de una adecuada separación de las políticas de las obligaciones a menudo es la causa original de muchos fraudes y robos en las empresas sin fuertes controles internos en esta área.
Ha habido tantos ejemplos de fraude cometidos como resultado directo del fracaso de una empresa para segregar las obligaciones que no es necesario centrarse únicamente en uno. Más bien, es importante examinar los temas comunes que contribuyen a estos fraudes. En general, el fraude ocurre en el área de finanzas; involucra a alguien que no es supervisado en el control que tiene sobre los fondos de la empresa y los documentos (cheques) y el acceso a las cuentas bancarias para hacer depósitos y retiros; no hay separación de funciones y el fraude se produce en empresas que carecen de controles internos. Así, por ejemplo, un contador es capaz de girarse un cheque a sí mismo sin preocuparse de ser detectado.
Utilizando las mejores prácticas de prevención de fraudes, las obligaciones financieras (desembolsos en efectivo) siempre deben estar separados entre varios empleados. Esto significa que hay varios empleados que participan en el proceso financiero y que son supervisados en varias instancias durante el proceso. Esto asegura que un empleado no pueda manipular todo el proceso y aumenta la conciencia entre los empleados de que alguien no solo está mirando, sino que está realizando auditorías aleatorias para conciliar las transacciones financieras. Las acciones de retención deben ser controladas y aseguradas, se deben exigir los niveles secundarios de aprobación de la gerencia, doble firma en los cheques y la autorización de pago de los saldos financieros que sobrepasen los montos establecidos. Además, todos los empleados deben tener establecidos niveles individuales de transacciones financieras que varían de acuerdo a sus niveles de gestión, o una posición de autoridad, las necesidades de las unidades de negocio y la capacidad de obligar a la empresa a un compromiso financiero.
Los cheques no son la única área de preocupación. El mismo tipo de controles internos deberían aplicarse a las tarjetas de crédito de la empresa y las herramientas de pago electrónico. Sería muy fácil que un empleado que tiene las cuentas por pagar bajo su responsabilidad, saque dinero de manera fraudulenta o establezca pagos electrónicos fraudulentos, sin el nivel adecuado de supervisión y control. La separación de funciones en este ámbito también impide que un empleado cree cuentas de proveedores fantasma, facturas falsas y destine pagos hacia ellos sin las adecuadas verificaciones.
Lecciones aprendidas
Si bien ninguna empresa quiere experimentar eventos fraudulentos internos o externos, la victimización puede tener beneficios corporativos a largo plazo en la lucha contra el fraude si todos los departamentos tienen protocolos integrados de gestión de incidentes, y el incidente es manejado apropiadamente después de los hechos.
El manejo adecuado siempre incluye el análisis post-evento que le da a la empresa excelentes "lecciones aprendidas". Durante este proceso, las partes interesadas deben hacer las preguntas difíciles, y recopilar la información para identificar los factores que permitieron que ocurra el evento.
El proceso no debe ser visto como una misión de detección de averías, pero sí como la determinación de si hubo una empresa, política, procedimiento o guía para abordar esta situación, si las directrices se siguieron tal como fueron diseñadas o adecuadas para hacer frente (o evitar) la situación que se produjo.
Si el fraude se produjo porque uno o más empleados no siguieron las políticas de control interno, entonces hay medidas correctivas que las unidades de negocios pueden tomar para asegurarse de que las políticas se seguirán en el futuro. Estos incluyen la comunicación a los empleados con respecto a una mayor sensibilización, los procesos correctos de manipulación y el cumplimiento de la política. Puede ser que los empleados simplemente reaccionaron como se esperaba, dadas las circunstancias, pero las políticas de control interno no fueron suficientes para guiar su comportamiento. Las lecciones aprendidas aquí fortalecerán los controles internos a través de la creación de nuevos controles.
Un caso de fraude sin una evaluación en profundidad del incidente, lecciones aprendidas y acciones correctivas significa generalmente que hay una excelente oportunidad para que los criminales recarguen sus actividades y la compañía siga teniendo altos niveles de fraude.
Un gran ejemplo de esto implica el cronometraje entre los empleados no exentos. Muchas compañías están utilizando los sistemas electrónicos de planilla ofrecidos a través de servicios como ADP para marcar la llegada al trabajo, la salida del trabajo, el almuerzo, los días de descanso por enfermedad y las vacaciones. Los sistemas funcionan bien, pero como cualquier otra tecnología, después de la aplicación, siempre hay empleados tratando de encontrar la manera de vencer al sistema y robar tiempo. En pocas palabras, llegar 15 minutos tarde al trabajo y que su control esté acoplado a ese tiempo. Una vez que se realizan dos o tres investigaciones sobre este tipo de actividad, los métodos utilizados por los empleados para manipular el reloj son revelados y solucionados. Adicionalmente, como el robo de tiempo es generalmente una violación de las políticas de conducta de la compañía, cuando los empleados son despedidos por robar tiempo, se conoce que esa es la respuesta de la empresa ante esa acción y eso sirve como elemento disuasorio de una actividad como esa en el futuro.
Tecnología
Mientras que la tecnología nos permite realizar las funciones esenciales del negocio, hay correlaciones directas entre la tecnología, eventos de fraude y el proceso de control interno. Las aplicaciones tecnológicas son probablemente las fuentes más grandes de riesgo y exposición que enfrentan las empresas. Rigurosos controles internos, incluidos los controles de acceso a la plataforma y a la red, uso remoto y las políticas de protección de contraseñas, son necesarios para regular toda la plataforma informática.
Además, debe haber controles internos establecidos para todas las aplicaciones móviles y los dispositivos de la compañía de telecomunicaciones, como las computadoras personales y los teléfonos inteligentes. Dada la rapidez con que la tecnología está cambiando, el fortalecimiento de los controles internos en este ámbito gira en torno al flujo de procesos ya que la tecnología no es estática.
Un gran ejemplo de la evolución de la tecnología, el riesgo y la demanda de los controles internos implica el cloud computing. Mientras que la computación en la nube es vista como una manera de reducir los costos informáticos, la necesidad de reforzar los controles internos es importante si la información de su empresa no está bajo su supervisión y control directo.
Como se indicó anteriormente, esta es una razón importante por la que los profesionales de la seguridad de la información son uno de los equipos responsables de la supervisión del control interno.
Evaluaciones de los riesgos de fraude
De conformidad con la legislación y la reglamentación vigente, muchos de los controles internos existentes hoy en día están diseñados específicamente para proteger la información de identificación personal (PII), y los datos de los consumidores en posesión de las empresas. En el entorno empresarial de hoy, la protección de los consumidores y la información son de suma importancia. Los controles internos se pueden fortalecer a través de los departamentos de evaluaciones del riesgo de fraude, las auditorías, y un examen de las políticas y procedimientos; en particular, las que involucran a los empleados que tienen una interacción directa con los consumidores y su información de identificación personal. Los métodos en que los datos se reúnen, manipulan, almacenan y destruyen en relación con las prácticas de retención de datos de la empresa deben ser examinados en detalle. Además, una evaluación de la información y las prácticas de seguridad física, los métodos de protección y los controles que rodean a los consumidores y sus datos de identificación personal deben llevarse a cabo para encontrar las vulnerabilidades y tomar las medidas correctivas que rodean estos controles internos.
Proporcionar listas de auto evaluación a los directores de departamento y requerir una revisión semestral de las políticas, prácticas y procedimientos, es un método eficaz para la evaluación de los controles clave y garantizar que son adecuados para la prevención del fraude. Además, las evaluaciones de riesgo de fraude salvaguardan los activos de la empresa, protegiendo a la compañía de añadir responsabilidad y riesgo financiero. La supervisión semi anual generalmente proviene de cualquiera de los departamentos de cumplimiento o de auditoría. Mientras PII es una preocupación importante por razones de privacidad y las violaciones de datos, hay una variedad de procesos de negocio críticos y procedimientos que podrían ser examinados en las evaluaciones de riesgo de fraude en función del tipo de negocio, la industria y la regulación o supervisión de la empresa. La supervisión de las evaluaciones de riesgo de fraude es típicamente responsabilidad del departamento de auditoría de la empresa.
Probando los controles clave
Es esencial diferenciar las evaluaciones de riesgo de fraude de las pruebas de control. El propósito principal de las evaluaciones de riesgo de fraude es la recopilación de información acerca de los procesos, procedimientos y controles, mientras que las pruebas de control determinan si los controles están funcionando como se espera o no.
Es importante que probemos el control interno en un ambiente controlado, ya que los controles internos solo se prueban bajo un "fuego real"; las condiciones en tiempo real no pueden ser un control eficaz en absoluto. Las pruebas son una parte integral en cualquier entorno de control y pueden ser un indicador clave no solo para evaluar la intensidad de los controles internos, sino también para saber si necesitan ser fortalecidos. Las pruebas de simulación también pueden evaluar la disposición de eventos y procesos efectivos de la unidad de negocio. El tipo de prueba, la regularidad de la prueba y el calendario de pruebas puede variar de empresa a empresa, y puede ser determinado por las necesidades de cada empresa y los requisitos reglamentarios.
Todas las herramientas tecnológicas y de información deben ser evaluadas. Un ejemplo perfecto de las pruebas de control interno en el área de tecnología consiste en pruebas de controles de acceso y disponibilidad de información en línea, a través de plataformas de información en Internet. Una prueba reciente realizada por una empresa encontró una falla de seguridad en la plataforma, que sin saberlo, expuso la información personal de los consumidores al público en general, y lo había estado haciendo durante años hasta que fue detectado. El agujero fue tapado, pero el daño ya estaba hecho.
Según la sección 404 de Ley Sarbanes Oxley sobre los requerimientos y refuerzos para las pruebas de control: La ley ordena que la Comisión adopte reglas que obliguen a que cada informe anual de una empresa, distinta de una sociedad de inversión registrada, contenga (1) una declaración de responsabilidad de la gerencia para establecer y mantener una adecuada estructura de control interno y procedimientos para la presentación de informes financieros, y (2) evaluación de la gerencia, a partir del final del más reciente año fiscal, de la eficacia de la estructura de control interno de la empresa y los procedimientos para la presentación de informes financieros. La Sección 404 también requiere que el auditor de la compañía de fe, e informe sobre la evaluación de la gerencia en los controles internos de la empresa y los procedimientos para la presentación de informes financieros de acuerdo con las normas establecidas por el Public Company Accounting Oversight Board.
Conclusión
En este artículo, hemos discutido una serie de métodos y enfoques para fortalecer los controles internos. Una cosa es cierta: Teniendo en cuenta el entorno cambiante de negocios y de reglamentación, y el número y la diversidad de tipos de fraudes que se cometen contra las empresas a nivel mundial, los controles internos deben ser revisados, evaluados, probados y fortalecidos con regularidad.
Es insuficiente crear controles internos y esperar que pasen la prueba con el tiempo sin modificarlos periódicamente para que cumplan con las condiciones actuales.
Daniel Draz, CSO (US)
Daniel W. Draz, es director de Fraud Solutions, una corporación de consultoría especializada en fraude e investigación. Tiene un master en Gestión de Delitos Económicos y 26 años de investigación, cumplimiento, auditoría y experiencia de riesgo de fraude especializado en el sector privado.