La guía antifraude del COSO incluye una serie de elementos que pueden observar las organizaciones para implementar sus sistemas de gestión de riesgo de fraude, los cuales deben alinearse con el sistema de control interno. En este editorial abordamos los requerimientos para atender estos elementos.
De acuerdo con la NIA 240 el fraude es “un acto intencionado realizado por una o más personas de la dirección, los responsables de gobierno de la entidad, los empleados o terceros, que conlleve la utilización del engaño con el fin de conseguir una ventaja injusta o ilegal”. Este tipo de actos van desde el robo de activos (tales como inventarios y efectivo) o su uso inapropiado hasta la presentación de información financiera alterada, entre muchas otras conductas sancionables.
La NIA 240 también explica que el fraude conlleva la existencia de un incentivo o presión para quien lo realiza y, además, la percepción de que existe una oportunidad para hacerlo. Por ejemplo, puede haber presión cuando la dirección o cualquier empleado de la entidad debe alcanzar cierto nivel de metas, y si esto se une a la percepción de que existe una oportunidad para cometer el fraude (como puede ser la sensación de que se pueden eludir los controles establecidos por la gerencia), el riesgo se incrementa.Considerando la definición anteriormente expuesta sobre fraude, puede decirse que la gestión de riesgo de fraude se convierte en un tema crucial para cualquier organización, debido a que implica la implementación de acciones que prevengan la aparición de estas conductas, con el fin de proteger los recursos de la entidad y su reputación frente a terceros.
La gestión de riesgo de fraude va de la mano con el sistema de control interno que aplica cada organización, por lo cual la responsabilidad principal sobre su implementación pertenece a los responsables del gobierno y a la dirección de la entidad.
Es imprescindible disponer de programas de gestión de fraude. Un programa de gestión de riesgo de fraude provee el conjunto de políticas y procedimientos que la organización ha diseñado para que le sirvan de guía al momento de actuar frente a un suceso de esas características, señalando el compromiso de la dirección, los riesgos a los que se enfrenta la organización y los procedimientos que deben seguirse.
En la medida en que este programa se encuentre documentado, para cualquier entidad será más fácil desarrollar acciones organizadas encaminadas a llevarlo a cabo, puesto que asegura que todos los directivos, empleados y demás miembros alineen su comportamiento frente al mismo.
El Committee of Sponsoring Organizations of the Treadway –COSO– cuenta con un programa que aborda las principales orientaciones para la implementación, gestión y evaluación del sistema de control interno desde cinco elementos, los cuales son ampliamente reconocidos y utilizados:
Asimismo, con base en esas mismas áreas, el COSO diseñó un sistema de gestión de riesgo bajo el entendido de que este debe trabajarse de forma paralela al sistema de control interno de la organización. Esta es una opción adecuada, que las organizaciones pueden seguir para la implementación de sus programas de gestión de riesgo. Cada uno de los cinco principios en los que el sistema se fundamenta corresponde con una de las áreas evaluadas en el informe COSO, las cuales se abordan a continuación, siguiendo la ruta para la Implementación efectiva de la nueva Guía Antifraude de COSO de Ernst & Young.
El primer principio de gestión de riesgo para el COSO se relaciona con el ambiente de control que existe dentro de la organización. De este podemos interpretar que el éxito de un programa de gestión de riesgo de fraude solo puede darse en la medida en que la dirección asuma un compromiso frente a su cumplimiento. De ahí que sea importante que los directivos asuman la tarea de implementar una cultura ética en la organización, comunicando a los empleados y siguiendo ellos mismos los valores que deben practicarse, para despertar una conciencia frente a la problemática.
Algunas de las acciones que pueden incluirse son la capacitación al personal de la organización en el momento de su ingreso, donde se comuniquen los valores de la organización y, por parte de los directivos, se eduque a los empleados frente a las implicaciones que traen para la empresa los riesgos de fraude. Para esto es necesario que se delegue a un miembro de la organización la responsabilidad del programa de gestión de riesgo de fraude. Esta persona debe permanecer atenta a comunicar a la dirección sobre sus resultados.
El objetivo de este principio es que la entidad pueda identificar los riesgos específicos a los que se encuentra expuesta, ya sea por el sector al cual pertenece o por el conocimiento que obtenga de sus procesos y actividades, con el fin de conocer a qué áreas deben apuntar los controles y acciones que vayan a tomarse para su gestión. En este punto es conveniente que la entidad examine:
La evaluación debe centrarse en la probabilidad de ocurrencia del riesgo, y en el impacto que traería para la organización si llegara a materializarse.
Algunas de las fuentes que pueden examinarse son las siguientes:
Puede continuar con la lectura de los elementos restantes del sistema de gestión de riesgo en nuestro análisis Elementos para el sistema de gestión de riesgo de fraude según COSO (parte II)