INTRODUCCIÓN

Actualmente una herramienta imprescindible para conocer las debilidades y fortalezas

de un negocio es el control interno, porque es mediante las técnicas y metodologías
que presenta esta área del conocimiento que se pueden mitigar los riesgos que
afectan o no a una organización; además colabora en el logro de objetivos.

Existen organizaciones de todos los tamaños y tipos: internacionales, locales,

familiares, sociedades anónimas, de responsabilidad limitada, personas físicas,
gubernamentales, etc.

El común denominador es que no hay ningún accionista y/o administrador de cualquier

organización que quisiera ser víctima de un fraude, de ningún tipo y de ninguna
dimensión.

Sin embargo, encuestas recientes muestran que 8 de cada 10 empresas han sufrido
un fraude en el último año, y que 61% de los fraudes se detectaron mediante controles
internos, pero sólo 12% de los encuestados, a pesar de haber sufrido un fraude,
tomaron medidas preventivas, es decir, mejoraron sus controles internos.
 EL CONTROL INTERNO Y EL FRAUDE

Hay que partir de la consideración de que un buen y adecuado sistema de control

interno no constituye garantía de la no ocurrencia de irregularidades. Otra cosa
diferente es que si ese control es eficiente y adecuado en sumo grado, conducirá a
una reducción de la posibilidad de que sucedan irregularidades.

Derivado de lo anterior, es necesario dar un paso hacia atrás y ver la organización

como un todo, así como encontrar la manera de administrar el riesgo de fraude con
una visión que va de lo general a lo particular. La experiencia ha demostrado la
efectividad de las medidas orientadas hacia la prevención y la disuasión del fraude,
que se enfocan en un cambio cultural de los empleados en la organización.

Las normas y procedimientos de auditoría generalmente aceptadas, definen la

estructura del control interno de una entidad como aquella que consiste en las políticas
y procedimientos establecidos para proporcionar una seguridad razonable de lograr los
objetivos específicos de la entidad. Dicha estructura consiste en los siguientes
elementos:

 El ambiente de control.

 La evaluación de riesgos.

 Los sistemas de información y comunicación.

 Los procedimientos de control.

 La vigilancia.

Los elementos mencionados nos son familiares porque prácticamente son los mismos
elementos del marco conceptual llamado COSO (Committee Of Sponsoring
Organizations of the Treadway Commission), que ha sido una de las bases más
reconocidas de la estructura del control interno.

Página 2|8
Los conceptos anteriores nos ayudan a tener una visión global del control interno. Sin
embargo, es necesario discernir cuáles son los elementos, medidas, controles, etc.,
que ayudarán a prevenir el fraude en la organización.

Mitigar el riesgo de ser víctima de un fraude requiere de un sistema de actividades y

controles que, en su conjunto, reduzcan la probabilidad de ocurrencia de fraude y
conductas impropias, pero que, al mismo tiempo, maximicen la posibilidad de
detectarlas, antes de que signifiquen un quebranto económico significativo.

Los objetivos principales de un programa integral de administración de riesgos de

fraude son: prevenir, detectar y dar respuesta a los fraudes y conductas impropias en
la empresa.

Todas las compañías son susceptibles de padecer algún tipo de fraude, ya que
cuando hay colusión e intención, es difícil detectarlo y frenarlo. A pesar de esto, se ha
visto que este riesgo se mitiga sustancialmente cuando las empresas cuentan con un
programa integral que permite combinar mecanismos de cambio cultural con controles
internos en los procesos de negocio.

Un adecuado sistema de administración de riesgos debe partir de una estructura

sólida de gobierno corporativo. Todos en la organización desempeñan un papel
importante en el proceso de supervisión y monitoreo, tanto el Consejo de
Administración como el Comité de Auditoría, la gerencia y los auditores internos.

Una vez que existe la estructura deseable, los elementos de un programa integral de
administración de riesgo de fraude se dividen en tres partes, ilustrado en el esquema
(pág. síg.) que, a su vez, es comparable con los elementos del control interno.

Página 3|8
Ambiente de control-Supervisión del Consejo de Administración/ Comité de
auditoría, funciones del equipo directivo.

Prevención Detección Respuesta

Supervisión del Consejo de Administración / Comité de Auditoria
Funciones del Equipo Directivo
Auditoria Interna, Cumplimiento y Funciones de Monitoreo
 Evaluación de riesgos
de fraude y conductas  Protocolos de
irregulares. investigación interna.
 Código de conducta y  Mecanismos de  Protocolos de
normas relacionadas. denuncia anónima. aplicación y de
 Due dilligence de  Auditoria y supervisión. rendición de cuentas.
empleados y terceras  Análisis forense  Protocolos de
partes. proactivo de datos de revelación de
 Comunicación y la compañía. información.
entrenamiento.  Protocolos de acciones
 Controles de riesgo de correctivas.
fraudes específicos por
procesos.
Fuente: Fraud Risk Management, KPMG, LLP

Crear un ambiente en el que los empleados sientan la obligación de comportarse con

ética, porque así se comportan todos los miembros de la organización, incluso los de
la alta gerencia. La experiencia muestra que las excepciones a los controles en la alta
gerencia generan una actitud de cinismo en los empleados, quienes dejan de ver a la
estructura ética como un esfuerzo serio.

Evaluación de riesgos-Evaluación de riesgos de fraude

Un programa integral de administración de riesgos de fraude debe comenzar con

evaluar cuáles son estos riesgos en la organización, y calificarlos por la probabilidad
de ocurrencia y la magnitud de impacto. El proceso tiene que ser adecuado y pensado
para cada organización, ya que no hay un inventario común o menú de riesgos de
fraude, del cual se pueda escoger lo que le aplique. Por lo tanto, se recomienda
considerar, tanto los factores externos que crean riesgos de fraude: sustitutos de

Página 4|8
productos, cambios en la industria y en la economía, cambio en legislaciones,
necesidades y expectativas de los clientes, etc.; como los factores internos: incentivos
y presiones sobre los empleados, baja moral, nuevos sistemas, nuevos productos,
rotación de personal, etcétera.

Sistemas de información y comunicación-Comunicación y

entrenamiento/Análisis forense proactivo de datos

Por un lado están los sistemas que van a permitir procesar las transacciones y que
producen datos que pueden analizarse para detectar irregularidades de forma
temprana, algunos ejemplos comunes son:

 Monitorear empleados “fantasma”, mediante la comparación de logins al

sistema de la organización, reloj controlador, etc., contra la lista de nómina.

 Comparar la lista de proveedores con la lista de empleados, incluyendo

familiares directos de los empleados y otros datos particulares, como:
direcciones, teléfonos, entre otros.

 Monitorear saldos antiguos de cuentas por pagar y partidas en conciliación

antiguas en las conciliaciones bancarias y otras conciliaciones.

 Monitorear ajustes manuales al sistema de contabilidad.

 Monitorear consecutivos de facturas pagadas por proveedor.

Por otra parte, está la forma de comunicar las políticas y procedimientos, así como los
valores éticos de la organización. La comunicación de valores no debe ser letra
muerta, sino documentos dinámicos que permitan a los empleados enterarse de la
percepción de la administración de los valores, los cuales se quieren aplicar en el
trabajo y en las actividades diarias dentro de la organización.

En adición, deben considerarse los controles sobre los sistemas de información, como
resguardos, respaldos, controles de acceso (passwords), etc. Cuando un empleado
incurre en conductas impropias, tendrá la intención de destruir la evidencia, y si el

Página 5|8
sistema no funciona correctamente o no hay políticas adecuadas de resguardo, la
destrucción de dicha evidencia es inminente.

Los procedimientos de control Código de conducta/Due diligence a terceros y

empleados/Controles de riesgos de fraude específico en cada
proceso/Mecanismos de denuncia anónima/Protocolos de respuesta

Los controles internos que todos conocemos y que, en muchas organizaciones, son
aquéllos en los que se han volcado esfuerzos, son los controles de riesgo de fraude
específico en cada proceso; es decir, las organizaciones se toman un tiempo mayor en
verificar firmas de autorización en algunos procedimientos, que en evaluar el riesgo
que mitiga ese control y si la transacción en general tiene sentido.

Un ejemplo común en las investigaciones de fraude es el de la recepción de

materiales. Por ejemplo, una firma en la factura es suficiente, y es que es común
escuchar el argumento de que: es la firma del gerente de operaciones. Pero, nadie
verifica si el gerente de operaciones autoriza la compra de un elefante africano para
una operación que manufactura tuercas, por lo que el control específico de la firma de
autorización ya perdió valor.

Los controles como un mecanismo efectivo de denuncia anónima, disminuyen el

riesgo de fraude hasta en 50%, de acuerdo con las estadísticas de la Asociación de
Examinadores de Fraude Certificados (ACFE, por sus siglas en inglés), cuya función
es doble, pues por una parte ayuda a la detección de problemas percibidos por los
empleados y, por otra, disuade al posible perpetrador, ya que puede ser denunciado.

Si el mecanismo de denuncia está soportado por un código de conducta que es claro y

contundente, y además es reconocido por todos los miembros de la organización, el
resultado será un efecto disuasorio de las conductas impropias dentro de una
organización.

Por último, la consideración de la segregación de funciones en el diseño e

implementación de todos los controles y mecanismos para prevenir, disuadir y detectar
el fraude, ayudarán a mitigar el riesgo a su mínima expresión.

Página 6|8
Vigilancia-Auditoría y supervisión/ Protocolos de remediación

Los controles sin monitoreo no funcionan. Es decir, la administración puede hacer los
mejores manuales de procedimientos y políticas del mundo, pero sin monitoreo del
cumplimiento de los mismos, se convierten en un esfuerzo inútil, ya que es común
pensar que en nuestra organización, sí se monitorean los controles. Sin embargo,
pensemos cuántas veces no hemos visto un control clave sobre el manejo de efectivo,
las conciliaciones bancarias sin firmar, sin revisar y con varias páginas de partidas en
conciliación.

Es importante señalar que la función del monitoreo también debe incluir las sanciones,
tanto para el que incumple los controles e incurre en conductas impropias como para
el que debió haber supervisado, ya que las actividades se delegan, pero no la
responsabilidad.

Por lo anterior, los protocolos deben tener actividades a seguir cuando se presenta un
ilícito o un acto de conducta impropia, así como las sanciones que se aplicarán al
perpetrador(es) y su línea directa de supervisión.

Página 7|8
 CONCLUSIONES

El énfasis de la gestión efectiva y responsable de las empresas debe ponerse en la

disuasión de los delitos o conductas impropias. La investigación del fraude, del abuso
y del error no debe ser el interés primordial de la alta dirección de las empresas, pues
se trata de una posición más bien reactiva que proactiva. Su interés principal debe
estar encaminado a fortalecer un gobierno corporativo eficaz, basado en un sistema de
control de riesgos, que impida el abuso de confianza y disminuya la probabilidad del
error y el engaño.

Las organizaciones necesitan dejar de ver el control interno como una larga lista de
“candados” que no se relacionan entre sí y que crean la percepción de
sobrerregulación o burocracia, sino como un complemento a un cambio cultural, es
decir, una combinación de los controles o candados necesarios, de acuerdo con los
riesgos, la participación y el tono de la gerencia en los temas éticos y de valores.

Sólo así se tomarán las medidas concretas para mejorar la confianza en las empresas
y se trabajará para la protección de su patrimonio.

Finalmente, como derivación de este ensayo pongo dos reflexiones:

1. El director de seguridad y control de Microsoft mencionó en una conferencia,

que los controles de alto nivel o a nivel organización, que se implementaron en
su compañía (por ejemplo: código de ética, línea de denuncia, mecanismos
efectivos de comunicación y entrenamiento, etc.), ayudaron a mitigar el riesgo
de fraude mucho más efectivo que utilizando sólo los controles sobre los
procesos, ya que ayudaron a un cambio cultural en los empleados.

2. El cambio cultural en el entorno adecuado es posible. Hay varias muestras en

nuestro entorno, por ejemplo, un individuo que en su país no respeta las leyes
ni contribuye a la sociedad, se muda a otro país y además de ser respetuoso
de las leyes, trabaja con más ahínco y se vuelve un ejemplo de civismo. Es
decir, el entorno ayuda al individuo a adaptarse al mismo. Un entorno ético
ayuda a los empleados a comportarse con ética.

Página 8|8