Siete medidas preventivas pueden ayudar a los auditores internos a noquear a la actividad
fraudulenta en el primer round.
Por Carl Pacini y Richard Brody
Los profesionales en Auditoría Interna deberían desempeñar un rol integral en los esfuerzos
que realizan sus organizaciones para combatir el fraude. En efecto, los hechos
demuestran que las organizaciones se desenvuelven mejor frente al fraude cuando los auditores
internos están presentes. En su Reporte para la Nación del 2004, la Asociación de Examinadores
Certificados de Fraude establece que la media de pérdidas sufridas por las organizaciones con
un departamento de auditoria interna fue 50.000 dólares menor que en las organizaciones sin un
departamento de auditoria. El reporte también indica que los esquemas de fraude identificados
por auditores internos fueron más del doble que los detectados por los auditores externos,
a pesar del hecho de que las organizaciones víctimas en el estudio eran más propensas
a tener auditorias externas.
La expectativa de que los auditores internos actúen en la prevención y detección del fraude
es mayor que nunca. Los riesgos incrementales asociados con malversaciones – desde
reportes financieros fraudulentos hasta amenazas a la seguridad de la información –
hacen que el involucramiento del auditor interno en este proceso sea imperativo.
Los auditores internos pueden ayudar a la alta gerencia a perseguir
agresivamente posibles conductas fraudulentas en lugar de esperar que estas situaciones
sean puestas ante sus ojos. Los ejecutivos corporativos, comités de auditoria, y los inversores
están al tanto de los beneficios que la experiencia de los auditores internos puede aportar en las
iniciativas anti-fraude.
Los auditores pueden tomar numerosos pasos para combatir el fraude, muchos de los cuales están
listados en la “lista de control para la prevención del fraude” que se muestra más adelante.
Las necesidades y las circunstancias específicas de cada organización individual típicamente
determinará qué medidas serán de mayor beneficio y llevarán a lograr los resultados más efectivos.
Siete pasos en particular, sin embargo, pueden ser de valor casi para cualquier organización,
sin importar su tamaño, industria o ubicación. Estas medidas proactivas pueden servir como
una parte integrante del régimen de prevención, detección y reporte del fraude del departamento de auditoria.
REALIZAR CHEQUEOS AMBIENTALES DE LOS EMPLEADOS
Una de las claves para mitigar la actividad fraudulenta es asegurar que la organización está
compuesta de empleados de alta moral y ética. Realizando chequeos de referencia a los empleados,
las organizaciones pueden ayudar a minimizar las amenazas de robos y otras conductas fraudulentas.
Un empleado con historia de perpetración de fraude puede moverse de una organización a otra, dejando
detrás de sí una pista de inconductas y abusos. Empleados deshonestos pueden defraudar a una
organización inadvertida por decenas de miles de dólares y cambiarse a un nuevo trabajo antes que su
fraude sea descubierto. Cuando las referencias de los empleados no son chequeadas, los malhechores
pueden deslizarse en un proceso de selección.
Antes de contratar a un empleado nuevo, las organizaciones no deberían confiar en listas de
teléfonos de previos empleadores provistas por ellos mismos, ya que podrían ser falsas.
En cambio, deberían ser obtenidos en forma independiente. Además, las credenciales profesionales
deben ser chequeadas y los títulos académicos confirmados.
Los empleadores también deben considerar realizar un segundo chequeo de referencias a los
seis meses de comenzado su trabajo en la organización. La razón por la cual se hubiera
despedido a un empleado de un trabajo reciente, pudo no haber tenido tiempo de convertirse
en parte de sus antecedentes durante la búsqueda inicial.
Por último, los empleadores deben realizar un chequeo ambiental y criminal que permita
identificar cualquier acto criminal u ofensa llevadas a cabo por el individuo. Cualquier información
obtenida de la investigación permite al empleador formular preguntas directamente al candidato
para obtener una evaluación completa y adecuada antes de tomar una decisión.
Los auditores pueden resultar de gran ayuda con respecto a los chequeos ambientales
y otras investigaciones. Como se explica en la Ley de Creditos…” siguiente, las organizaciones
pueden asegurar su cumplimiento con los requerimientos legales empleando los servicios de
un auditor interno en lugar de contratar a alguien de afuera.
INCREMENTAR EL USO DE REVISIONES ANALITICAS
El fraude puede afectar los estados financieros en sus tendencias e indicadores, y las
cuentas que son manipuladas para ocultar fraudes pueden manifestar relaciones inusuales
con otras cuentas que no han sido manipuladas. Más aún, los delincuentes pueden estar
comprometidos sólo esporádicamente en actividades fraudulentas, creando patrones erráticos
en saldos de cuentas periódicamente. A través de un análisis financiero, los auditores internos
pueden revelar relaciones inesperadas o la ausencia de relaciones que debieron estar presentes.
Los auditores deberían considerar el analizar unos cuantos años de información de los estados
financieros para obtener un panorama claro del impacto de cualquier esquema de fraude.
Varias técnicas de revisión analítica pueden ser utilizadas, incluyendo el análisis de
tendencias (horizontal), análisis de indicadores (vertical), o estados similares,
comparaciones presupuestarias, comparaciones con promedios de la industria,
y revisiones de los sistemas contables y sus registros de entrada. Cualquier item inusual
que se encuentre debe ser analizado para determinar si el fraude pudo o no ser la causa de la aberración.
REALIZAR REVISIONES DE LOS CONTRATOS
Revisar los contratos y acuerdos de la compañía puede ayudar a identificar posibles fraudes
contractuales, incluyendo coimas, sobornos, o conflictos de intereses entre los empleados
de la organización. Los fraudes en los contratos pueden ocurrir cuando un proveedor toma
fraudulentamente ventajas de un contrato para tener ganancias ilegales. También puede
involucrar una conspiración entre personal de la entidad y un proveedor, o entre dos o más proveedores.
Los auditores pueden investigar fraudes en los contratos a través de la búsqueda de patrones inusuales
en los registros o la actividad contractual. Un potencial signo de fraude, por ejemplo, podría ser un
contratista que rutinariamente oferta último, o licita más bajo, u obtiene la recompensa contractual.
Los contratos también pueden ser revisados para detectar evidencias de proveedores que siempre
consiguen los contratos sin una legítima razón – la revisión puede revelar que las coimas o
sobornos están motivando las adjudicaciones. Además, una revisión de los registros públicos puede
revelar si un empleado tiene algún interés encubierto con un contratista.
CONDUCIR UN ANALISIS ECONOMICO DE LAS AMENAZAS DE ESPIONAJE
Para proteger su información sensible, las organizaciones deberían llevar a cabo un análisis que
convierta las amenazas en activos intelectuales. El análisis debe incluir una evaluación de los activos
que se poseen y cómo podrían ser objeto de fraude. Para las entidades involucradas con e-commerce
(comercio electrónico), servicios o campos orientados a la tecnología, el análisis de amenazas
también debe incluir una evaluación de la exposición al espionaje económico, que involucra el robo,
el mal uso, o el abuso de los secretos comerciales y de la información confidencial del negocio
(activos fuera de Balance).
La ley americana sobre los Secretos Comerciales define un secreto comercial como “aquella información, incluyendo una fórmula, modelo, compilación, programa, dispositivo, método, técnica, o proceso, que (i)
genera un valor económico independiente, real o potencial, el cual es preservado de que no sea divulgado,
y de que no pueda ser fácilmente descubierto por otras personas que puedan obtener un valor económico
por su revelación o uso, y (ii) está sujeta a esfuerzos razonables para mantenerla en secreto”. Son ejemplos
de secretos comerciales la información sobre ventas y marketing, información sobre el desarrollo
de productos, listas de clientes, y planes estratégicos de negocio.
Los pasos claves para proteger los secretos comerciales son, primero, identificar los
conocimientos de la compañía que pueden constituir un secreto comercial, y luego implementar
los pasos necesarios para asegurar que esta información sea guardada confidencialmente. Bajo la ley
americana de Espionaje Económico de 1996, la información pierde su protección legal como secreto
comercial si una empresa no realiza los esfuerzos necesarios para conservar su estado
de confidencialidad. Un método efectivo de demostrar “esfuerzos razonables”, y consecuentemente
establecer su protección legal, es implementar un plan de protección de secretos comerciales.
Según un artículo de J.H.A.Pooley publicado por Texas Intellectual Property Journal,
“Entendiendo la Ley de Espionaje Económico de 1996”, un plan debería incluir los siguientes elementos:
- Acuerdos de confidencialidad – deben ser utilizados con proveedores, contratistas,clientes y empleados.
- Políticas de Documentación – para protección, guardado, y destrucción de documentos,incluyendo las provisiones para señalar documentos confidenciales.
- Controles de acceso físico – tanto para visitantes como para empleados
- Controles de acceso a computadoras – para redes de computadoras, terminalesy laptops. La seguridad informática debe incluir también entrenamiento a empleadosen el área de ingeniería social – la práctica de obtener ilegalmente contraseñas u otrasinformaciones a través de “habilidades sociales”.
- Chequeos de ambiente – deben ser realizados sobre empleados tanto como sobreproveedores y contratistas.
- Educación – la advertencia a empleados debe realizarse usando un programa queasegure la continuidad y responsabilidad.
La consideración de cada clase de activo, especialmente los activos extracontables, y la
evaluación de la exposición a pérdidas, puede ayudar a los auditores internos a identificar las
vulnerabilidades que podrían ser explotadas por ladrones.
Una vez que las categorías de información han sido identificadas, los auditores deberían
determinar si la información secreta del negocio está siendo revelada a receptores no deseados.
Según un artículo del New York Law Journal, “Resguardando contra el espionaje económico”,
de M.G.Radigan, las potenciales fuentes de exposición incluyen los contratos de proveedores,
y la literatura disponible al público, así como la existencia de filtraciones a través de socios
ocasionales, empleados, trabajadores temporarios, o consultores que no han firmado
acuerdos de confidencialidad. Si la exposición es detectada, los auditores internos deberían tomar
los recaudos necesarios para eliminarla, minimizarla, o al menos controlarla.
INCREMENTAR LAS EVALUACIONES Y TESTEOS DE CONTROLES INTERNOS
Muchos ejemplos de fraudes de alto perfil han sido, al menos en parte, resultado de debilidades
en los sistemas de control interno. En algunos casos, los controles necesarios no existían;
en otros, los controles estaban anulados, frecuentemente por la alta gerencia. Los auditores
internos están generalmente en la mejor posición para reconocer los riesgos relacionados con
fraudes, y sugerir medidas correctivas. Este hecho no ha pasado desapercibido por las autoridades
regulatorias, como la U.S. Securities and Exchange Comisión (SEC), que ha aprobado reglas de
gobernabilidad que requieren que las compañías incluidas en la lista de la New York Stock Exchange
tengan una función de auditoría interna.
El control interno debe ser integral para lograr un gobierno corporativo efectivo, y representa un área
en la cual el departamento de auditoría interna puede agregar real valor y ayudar a la organización a
cumplir con sus metas y objetivos. Dados los requerimientos de la Ley Sarbanes-Oxley
del 2002, específicamente la sección 404 “requerimientos para reporte de control interno”,
los auditores internos en una organización sujeta a dicha Ley deberían enfocar su atención
en identificar debilidades y trabajar con la gerencia para corregirlas. Para que este proceso
sea exitoso, sin embargo, es crítico que la auditoría interna reporte directamente al Comité de Auditoría
y no a la Dirección Financiera. Ante la existencia de ejecutivos involucrados en algunos de los fraudes
reportados, la auditoría interna debe mantener la independencia y objetividad para determinar qué áreas
necesitan ser investigadas.
Los auditores internos deben trabajar en conjunto con los auditores externos para asegurar que los
controles sean testeados y que todos los requerimientos legales sean cumplidos. Aunque las
Normas de Auditoría Generalmente Aceptadas indican que el auditor externo decide en qué
medida puede descansar en el trabajo del auditor interno, es claro que el mayor grado de
confianza se logrará cuanto más competente y objetivo sea el auditor interno. Trabajando juntos,
os auditores internos y externos pueden lograr auditorías de mayor calidad y pueden incrementar la
probabilidad de detectar y prevenir fraudes.
MEJORAR LA SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN
Los fraudes que involucran sistemas de información pueden ser categorizados como
manipulación de los registros de entrada, de los registros de procesamiento, o los registros de salida.
La manipulación de los datos de entrada consiste en el ingreso de datos falsos o fraudulentos en los
sistemas de información, mientras que la manipulación de los registros de salida es robar datos – como
listas de clientes, planes de fusión, y secretos comerciales – de los sistemas. La manipulación de los
datos en el procesamiento incluye la alteración de los programas de computación o sus códigos.
Muchos controles no físicos en los sistemas de información son claves para prevenir fraudes que
puedan brotar de aquellos tipos de actividades.
CONTRASEÑAS. El explosivo crecimiento de Internet ha conducido a un incremento en el número de
puertos de salida para las redes de computación. Los auditores internos deberían asegurar que sólo
los usuarios legítimos tengan acceso a las redes y datos asociados. Aunque las contraseñas son
la línea más antigua de defensa, seguirán siendo el método más efectivo para el control de
acceso. Para asegurar su efectividad, sin embargo, las contraseñas deben ser utilizadas apropiadamente.
Idealmente, las contraseñas deben ser generadas al azar por el sistema y contener una combinación
de letras, números y caracteres especiales. La seguridad efectiva requiere que las contraseñas sean
cambiadas periódicamente, ya que la frecuencia en su cambio depende de los niveles de riesgo.
Por ejemplo, las instituciones financieras y agencias gubernamentales, que son blanco frecuente
de delincuentes, deberían requerir el cambio de passwords más seguido. Los sistemas operativos
de las organizaciones deben llevar registro de los intentos fallidos para acceder y limitar los intentos
de acceso hasta que el usuario quede automáticamente inhabilitado. Además el empleado no debe
compartir su contraseña con otros usuarios o mostrarla en cualquier lugar en que pueda ser vista
por otros usuarios.
La nueva tecnología es habilitar formas de protección biométrica de passwords, como registros de
voz, huellas digitales, patrones de retina, y firmas digitales. Los auditores internos, que estén al
tanto de estos avances, estarán en una posición privilegiada para que su organización incremente
sus controles de seguridad.
ENCRIPCIÓN. Los datos almacenados en archivos y transmitidos a través de líneas de comunicación
están sujetos a invasión por empleados no autorizados y otros individuos. Un control que combate
este problema es la encriptación, o traducción de la información a un código secreto. El esquema de
encriptación más popular para la transmisión de datos basados en la web es SSL – Secure Sockers
Layer --, un protocolo para la transmisión de documentos privados para Internet. Los sistemas de
comunicación más comunes para transmisión de paquetes de información contienen la habilidad
para encriptar los datos, y las organizaciones deberían tomar ventaja de estos controles
cuando estén disponibles.
CONSOLE LOGS. Los auditores internos deberían evaluar la posibilidad de que los sistemas
operativos de sus organizaciones mantengan un registro seguro de cada transacción o ingreso en
el sistema. La identificación del usuario, la hora y fecha de los ingresos, y la transacción misma
deberían ser capturados. Con las recientes mejoras que han tenido las tecnologías de guardado
de datos, los registros de consola se han convertido en un control efectivo. Un registro de
consola bien mantenido puede ayudar a los auditores internos a testear combinaciones de
usuarios y transacciones, así como proveer soporte para la detección de futuros posibles fraudes.
El log también puede servir como un disuasor de fraudes, si los empleados saben de la existencia
de registros de toda la actividad que se realiza.
CONTROLES DE SEGURIDAD DE REDES. Los auditores internos – o nuestros especialistas
en fraude con habilidades en seguridad informática – deberían realizar una revisión periódica de
los controles de seguridad en los sistemas o redes. Los auditores pueden identificar los controles
de seguridad establecidos realizando un cuestionario preliminar sobre todos los aspectos de
los sistemas operativos de una entidad, incluyendo las políticas y prácticas del personal.
Obtener información sobre los procedimientos también puede ayudar a entender las razones
para incluir o no ciertos controles, así como a determinar la efectividad de los mismos.
Esta revisión también puede revelar qué pasos adicionales deben seguir los auditores para reducir
la posibilidad de fraude informático.
BACKUPS. Los archivos de datos y los sistemas deben estar protegidos de delitos o destrucción
por parte de empleados infieles o agentes externos. Una de las formas más efectivas de asegurar
los datos importantes es establecer un sistema de resguardo (backup). Aunque muchas firmas
tienen procedimientos de backup, los auditores internos deben periódicamente evaluarlos.
Los auditores deben determinar si los archivos de datos actualizados están a buen resguardo,
en lugar seguro, alejado del acceso por agentes operacionales de la empresa.
CREAR Y MANTENER UNA POLITICA SOBRE FRAUDE
Toda organización debería crear y mantener una política escrita sobre fraude, para dejar en claro
su posición ante comportamientos fraudulentos. La política debe ser un documento separado,
diferenciado del código de conducta o de ética de la organización, estableciendo allí que
el fraude es una preocupación que merece una atención especial.
El contenido de la política sobre fraude debe ser explícito y claro. Deben establecerse claramente
las actitudes específicas que constituyen fraude y abuso, como así también las acciones que
serán tomadas contra los perpetradores de fraude. La organización debe sustentar
esta política consistentemente y asegurar que sea distribuida y comunicada a todos los empleados.
Una política de fraude transmite a los empleados que la organización está con los ojos atentos
en el fraude, y puede servir como disuasivo para los posibles perpetradores.
UN POCO DE PREVENCIÓN
Los auditores internos están perfectamente posicionados para contribuir a la detección y
prevención de actividades fraudulentas. No sólo los auditores están bien calificados en esta área,
sino que pueden ayudar a la compañía a evitar potenciales conflictos con requerimientos legales
asociados con la investigación. Más aún, la participación de la auditoria interna en iniciativas anti-fraude
ayuda a la organización a sacar ventaja de los expertos internos que conocen mejor a la compañía.
Los siete pasos proactivos descriptos representan sólo una pequeña muestra de las áreas en
las cuales la auditoria interna puede agregar valor y asistir en la prevención y detección del fraude.
Existen numerosas oportunidades para individuos deshonestos para cometer fraudes, y los auditores
deberían trabajar en conjunto con la gerencia para considerar las mejores alternativas para
mantener a la organización al resguardo de posibles daños. Cuando resultan exitosas para
combatir el fraude, las medidas preactivas cosechan su mejor resultado. Como dice el viejo adagio,
una onza de prevención es mucho más valiosa que una libra de cura.
Nenhum comentário:
Postar um comentário