Auditoría Interna: El Nuevo Pilar de la Alta Dirección Octubre, 2015

Transcripción

1 Auditoría Interna: El Nuevo Pilar de la Alta Dirección Octubre,

2 Sugerencias para evaluar el programa antifraude en la empresa Roberto Abad Acreditado por el IIA para evaluar la Calidad en Auditoria Interna de acuerdo con Normas Internacionales Certified Fraud Examiner (CFE) Certified Internal Control Auditor (CICA) Certified in Risk and Information Systems Control (CRISC) Managing Director Protiviti 2

3 Sobre el conferencista <Su foto> Roberto Abad Acreditado por el IIA para evaluar la Calidad en Auditoria Interna de acuerdo con Normas Internacionales Certified Fraud Examiner (CFE) Certified Internal Control Auditor (CICA) Certified in Risk and Information Systems Control (CRISC) Managing Director Protiviti Contador Público egresado de la Universidad Iberoamericana. Actualmente Managing Director, fundador y responsable de la práctica de Protiviti en México, anteriormente socio de Deloitte y Andersen. Cuenta con 35 años de experiencia profesional, 28 años de experiencia en firmas de consultoría y 7 años de experiencia operativa en diversos negocios fuera de la práctica profesional de Big4. Ha formado las siguientes prácticas: Equipo de Auditoria Especializado en Computación (CAST). Consultoría de Negocios. Consultoría en Riesgos de Negocios Prevención e Investigación de Fraudes. Protiviti México, primera oficina en Latinoamérica de Protiviti y de Robert Half International, Inc. 3

4 Indice Página Introducción 2 Cómo se evalúa el riesgo de fraude? 3 Diez sugerencias a tener en cuenta 10 Algunos aspectos que se deben hacer 20 Algunos aspectos que se deben evitar 23 Conclusiones 26 4

5 Introducción Entre las sugerencias que proporcionamos para proteger a la empresa a través de realizar una evaluación del programa antifraude, se incluyen los siguientes asuntos: 1. Cómo se evalúa el riesgo de fraude? 2. Diez sugerencias que se deben tener en cuenta por parte de la administración, alta dirección y los comités de auditoría (en adelante la administración) al establecer un programa antifraude efectivo, eficaz y con los controles relacionados apropiados. 3. Consideraciones importantes para la administración al evaluar la efectividad y eficacia del programa antifraude de la organización con el apoyo de los asesores legales y consultores. 4. Resumen de los aspectos que se deben evitar cuando se realiza la evaluación del programa antifraude. Si bien esta presentación no tiene el propósito de tocar todos los aspectos de un programa antifraude, sí proporciona observaciones, recomendaciones y sugerencias que pueden ser de gran utilidad para la administración. 5

6 Cómo se evalúa el riesgo de fraude? Existen al menos tres diferentes enfoques para considerar las implicaciones que puede tener el fraude en las organizaciones: 1) Los escenarios comunes, 2) Las estrategias de proceso por proceso 3) Los indicadores de fraude. 1) Escenarios comunes: Identificación de las situaciones más relevantes que pudiesen tener lugar de manera potencial dentro de la organización, y que tengan como resultado un impacto material en los estados financieros y/u operaciones. Para cada situación se describe: El riesgo relacionado con la forma en la que se llevaría a cabo, Los individuos que pudiesen hacerlo, Las áreas que pudiesen ser afectadas. En los contextos documentados, se identifican los controles que previenen o evitan, impiden o detectan cada escenario. Los controles documentados se comparan con los controles puestos en práctica y se posibilita identificar las brechas o fallas que pudieran existir. Es en ese momento, que se desarrolla un plan de acción para dar solución a las brechas o fallas más significativas. 6

7 Cómo se evalúa el riesgo de fraude? 7

8 Cómo se evalúa el riesgo de fraude? 2) Proceso por proceso Al utilizar proceso por proceso para documentar y evaluar el programa antifraude y los controles se debe: Identificar y documentar los puntos dentro de cada proceso significativo donde pueden presentarse irregularidades considerando los principales procesos de negocios. Se identifican y documentan los controles que han sido implementados para mitigar estas posibles áreas de fraude. Las Matrices de Riesgos y Controles (MRC) pueden ser de gran utilidad en este aspecto. Por ejemplo, el equipo para la evaluación de riesgos al revisar las MRC s puede establecer o determinar si los riesgos de fraude, que ya han sido identificados, están completos. 8

9 Cómo se evalúa el riesgo de fraude? Area o proceso Riesgo Control A M Documento Riesgo de fraude M A Proceso manual 1 M Inicio Fin Proceso Decisión B 1 Sistema A Tarjetas de asistencia B Listado de nómina 1 Este proceso se hace por duplicado además de ser la información que es tomada para generar la nómina 1 La información que es procesada en el sistema de nóminas no es utilizada para generar la nómina sino los listados manuales del piso de producción 9

10 Cómo se evalúa el riesgo de fraude? 3) Indicadores de fraude: Proporcionan consideraciones del riesgo y se pueden utilizar al desarrollar y poner en práctica un enfoque de evaluación del riesgo de fraude. Facilitan la acumulación de información en relación con el factor de riesgo de fraude Se utilizan como guía para el diálogo con los individuos responsables de los controles a nivel de proceso y de entidad. La existencia o ausencia de los indicadores de fraude dentro de una empresa o en sus procesos puede proporcionar conocimientos y experiencia en relación con el alcance apropiado para el monitoreo, evaluación y supervisión del fraude. 10

11 Nuestro entendimiento 11

12 Diez sugerencias a tener en cuenta Lista de sugerencias para poder establecer un programa antifraude eficaz y controles relacionados. Cada sugerencia va acompañada de preguntas y comentarios relevantes que proporcionan la base preliminar para un diagnóstico: (1)Establecer el entendimiento del programa. Determinar y asegurar que el programa antifraude cuenta con todos los elementos que se requieren. Por ejemplo: Aborda el programa todos los criterios claves que se definen en las juntas de consejo y políticas de la empresa? Tiene dicho programa en cuenta los elementos claves de SAS 99 y de las recomendaciones o directrices establecidas por el IIA (Institute of Internal Auditors) en relación con el fraude, así como las reglas de gobierno corporativo que hayan sido promulgadas? Abarca el programa todos los procesos de negocios claves, las unidades de negocio y las divisiones que impactan de manera significativa los informes financieros y las operaciones? Existe un proceso de contratación de personal eficaz y efectivo? Se lleva a cabo la segregación de tareas o actividades? Existe la debida diligencia en relación con los proveedores y los socios de negocios? Estas y otras preguntas pueden facilitar la evaluación del programa antifraude con el fin de asegurar que abarque toda la entidad. 12

13 Diez sugerencias a tener en cuenta (2) Predicar con el ejemplo (Tune of the Top) de la administración Evaluar la evidencia relacionada con el comportamiento ético de la administración, incluyendo las políticas y procesos que prohíben la cancelación de los controles por su parte. Por ejemplo: Respalda al alta administración de manera activa los esfuerzos del programa antifraude? Cuál es el tenor de los mensajes comunicados por la alta administración a la mediana administración y a los empleados? Y más importante aún, la mediana administración y los empleados perciben que el comportamiento y las actividades de la alta administración o dirección son consecuentes con sus palabras, como por ejemplo, si la alta administración hace lo que dice? Existe una coherencia y consecuencia apropiada en la forma en que el código de conducta es implementado en todas las ubicaciones y unidades? Existen los controles eficaces aplicados sobre las transacciones no rutinarias? Son documentados de manera adecuada los controles a nivel de empresa?, 13

14 Diez sugerencias a tener en cuenta (3) Evaluar el riesgo de fraude. Ya que la definición del fraude varía entre las comunidades legales, de auditoría y negocios, se debe definir dentro del contexto de la organización, para identificar riesgos de fraudes específicos de la industria, geográficos, así como otros riesgos relevantes. Asegurarse que el programa antifraude tenga en cuenta la manera en que este riesgo es evaluado, mitigado y monitoreado dentro de la estructura interna del control. Cuáles son los riesgos de fraude específicos de la industria? Cuáles son los riesgos de fraude geográficos específicos (p. ej. en relación con la Foreign Corrupt Practices Act (Ley para las Prácticas de Corrupción Foráneas), como la corrupción, soborno, etc.)? El riesgo de fraude se puede evaluar utilizando un enfoque de escenario, al evaluar los riesgos dentro de los procesos específicos o al considerar la aplicabilidad de los indicadores de riesgo de fraude relevantes. El riesgo de fraude no solamente debe identificarse, sino que también se le debe dar prioridad o medir utilizando los criterios acordados por la administración. 14

15 Diez sugerencias a tener en cuenta (4) Identificar los controles de mitigación. Aborda y mitiga de manera específica el programa antifraude el riesgo de fraude que ha sido identificado? Por ejemplo, los controles deben estar relacionados a un riesgo de fraude específico identificado a nivel entidad como a nivel de proceso. El Public Company Accounting Oversight Board (PCAOB), establece que la documentación debe abarcar el diseño de los controles para prevenir, evitar o detectar el fraude, incluyendo a la persona que implementa los controles y la segregación de actividades o tareas relacionadas. (5) Llevar a cabo pruebas de fraude. Se deben determinar los controles que serán valuados, incluyendo los que están designados como un control antifraude. La actividad de auditoría interna que se relaciona con la identificación y detección del fraude debe ser adecuada, dados los riesgos de la organización. La función de auditoría interna debe reportar de manera directa al comité de auditoría. El comité de auditoría debe demostrar un nivel adecuado de participación e interacción, tanto proactivo como reactivo, con la auditoría interna en relación con los temas de fraude. 15

16 Diez sugerencias a tener en cuenta (6) Mantener un código de conducta efectivo y eficaz. El PCAOB requiere la documentar el código de conducta, de manera específica: conflictos de interés, transacciones de partes relacionadas, acciones ilegales y el monitoreo por parte de la administración. De existir un código: Es este código público? Es comunicado de manera adecuada en toda la organización? Es reforzado de manera periódica por medio de entrenamiento y las iniciativas de concientización de los empleados? Es aplicado de manera uniforme? Es aplicable a las terceras partes relacionadas, (los vendedores, agentes, agentes de bolsa, etc.)? (7) Llevar a cabo la supervisión del programa antifraude. El riesgo de fraude y los temas relacionados deben ser temas de las reuniones del comité de auditoría, del comité de divulgación, y del comité ejecutivo en los momentos apropiados. Debe existir la documentación adecuada de dichas consideraciones de supervisión para de esta forma, establecer la viabilidad y el contenido del programa antifraude. 16

17 Diez sugerencias a tener en cuenta (8) Identificar e investigar las denuncias anónimas en una manera eficaz y oportuna. Deben existir procedimientos adecuados para atender quejas o reclamaciones y para trabajar con información confidencial o anónima sobre los temas de fraude. Tiene el comité de auditoría procedimientos adecuados administrar estos temas? Cuál es la frecuencia en la que se producen los fraudes reportados? Existe algún procedimiento implementado para asegurar investigaciones independientes y sus soluciones? Cuál es el período de tiempo existente entre la recepción de la denuncia inicial y la investigación resultante? Cuál es el período que existe entre informar los resultados de la investigación y adoptar las soluciones? Cuáles pruebas se hacen determinar si se ha reportado, investigado y resuelto un fraude, en la manera en que se describe en el programa antifraude? (9) Remediar las deficiencias de manera oportuna. Al tener deficiencias en el programa antifraude y en los controles internos, éstos deben ser solucionadas de manera oportuna. Se debe tener en cuenta si existen indicadores que sugieran que dichas deficiencias han sido explotadas, como por ejemplo, si alguien ha aprovechado la oportunidad de manera interna o externa al tomar ventaja de las debilidades de los controles para el beneficio personal o corporativo. 17

18 Diez sugerencias a tener en cuenta (10) Consultar con los asesores o consultores. Consultar con asesores legales, los especialistas en fraude y con los auditores externos sobre la medida en la que los documentos de la empresa evalúan, refinan y mejoran el programa antifraude y los controles relacionados. 18

19 Algunos aspectos que se deben hacer Consideraciones para tomarse en cuenta al evaluar el programa antifraude, con la cooperación y el respaldo del consejo, así como de otros asesores o consultores: 1. Contar con un consejo calificado. Que esté bien versado y tenga pleno conocimiento de las diversos temas financieros, operativos, reglas y regulaciones de autoridades (p. ej. CNBV, SEC, etc.). 2. Evaluar el entorno antes de diseñar el programa antifraude: Los riesgos, la cultura, el estilo de operación específicos en su organización, industria y geografía en la que se opera en relación con la comunicación de las irregularidades en la contabilidad, las auditorías y el fraude Ya que no existe una talla le sirve a todos, las respuestas y soluciones se hacen en la medida en que se aprenda y se conozca más sobre el entorno existente y la capacidad de evaluar cuáles de estas soluciones o respuestas funcionan mejor. 3. Integrar las políticas y procedimientos de ética. Para comunicar la existencia de fraude e irregularidades en todas las unidades de negocios, geografías y subsidiarias. Formar una plataforma común para recibir, evaluar e investigar las quejas o reclamaciones. 4. Involucrar a la administración y a la junta o consejo de directores En la evaluación y el fortalecimiento del programa antifraude. Entender los procesos que se han puesto en marcha para prevenir, evitar y detectar el fraude Obtener el respaldo para lograr su fortalecimiento, es prácticamente imposible mejorar y/o poner en práctica el programa sin este apoyo. 19

20 Algunos aspectos que se deben hacer 5. Contar con especialistas, de ser necesario, para diseñar y llevar a cabo el programa. Identificar a los revisores de fraude certificados, contadores forenses, evaluadores de riesgo certificados y a los especialistas en la gestión del riesgo de fraude. Es de gran ayuda tenerlos identificados, aunque de momento no se necesiten, por si las dudas. 6. Evaluar a las firmas que ofrecen informes confidenciales y de otras soluciones relacionadas. Existen muchas nuevas firmas que ofrecen diversas soluciones como por ejemplo, las líneas directas, los programas de entrenamiento y concientización de los empleados, etc. Determinar si el proveedor cuenta con los recursos apropiados para satisfacer sus necesidades. Examinar la experiencia y reputación del proveedor. Los contratos de servicio deben incluir cláusulas de confidencialidad y fechas de conclusión de trabajos. Ojo, existen muchos charlatanes. 7. Comunicar la política y el programa antifraude de manera frecuente dentro de la organización. Comunicación integral asegura que todos los empleados entiendan: La importancia que tiene la prevención del fraude Su papel y responsabilidades en relación con las denuncias anónimas sobre posibles violaciones de las políticas, leyes y regulaciones de la empresa, La confidencialidad de dicha proporción de información Las expectativas de la organización en relación con el comportamiento ético. 20

21 Algunos aspectos que se deben hacer 8. Enfatizar el nivel apropiado de independencia en relación con las denuncias anónimas. La persona o grupo de personas que las revise o investigue, no deberá tener ningún interés en el resultado de dicha investigación. Delegar la responsabilidad a un nivel adecuado de autoridad para asegurar la independencia. 9. Recordar que la Ley Sarbanes-Oxley tiene disposiciones específicas para proteger a aquellas personas que proporcionan información sobre las prácticas ilegales o indebidas en una organización. El programa debe incluir los protocolos y procedimientos de investigación suficientes para asegurar que los empleados que hagan denuncias anónimas, no sean señalados ni discriminados por sus acciones. Mantener la confidencialidad y cumplir las promesas de anonimato. El comité de auditoría debe revisar el número general y el tipo de todas las denuncias recibidas, para determinar si existen patrones o peculiaridades diversas con individuos, departamentos, ubicaciones geográficas, etc. 21

22 Algunos aspectos que se deben evitar Lo que mencionamos a continuación son algunos de los errores que la administración debe tratar de evitar en relación con la evaluación de los programas antifraude: 1. Demorar la realización de acciones. La solución de los problemas será eficaz en la medida en que el programa antiraude sea eficaz. Puede existir un riesgo de fraude importante para la empresa y que no sea detectado o monitoreado. Mientras más rápido se identifiquen los problemas, más rápido se podrán tomar las acciones para solucionarlos. 2. Tomar e implementar un programa ajeno e implementarlo sin tener en cuenta los aspectos y las características específicas de su organización. No existe el enfoque de una talla le sirve a todos Una mejor práctica para una empresa no es de ninguna manera una mejor práctica para todas. Para ser eficaz, se requiere realizar un cuidadoso análisis que asegure, la correcta mitigación del riesgo real. 3. Olvidar los posibles conflictos de interés al desarrollar o poner en práctica su programa antifraude. Establecer los procedimientos adecuados para escalar los problemas. Determinar quién se encargará de llevar a cabo las investigaciones de los problemas o denuncias recibidas para asegurar que se preserve la objetividad necesaria.. 22

23 Algunos aspectos que se deben evitar 4. No tener la documentación de las actividades y el monitoreo de denuncias anónimas de fraude. Mantener los registros de reuniones, decisiones y documentación adecuada. La documentación es vital si se necesita defender el proceso o las acciones. Dar seguimiento a las denuncias periódicamente para determinar si su porcentaje ha variado durante el período en el que les dio seguimiento. Si se ha dado seguimiento a las denuncias en el pasado, será más fácil definir la tarea que tiene que desarrollar. 5. Desarrollar soluciones demasiado complicadas. Evitar programas caros que crean gastos innecesarios e informes internos duplicados. Si el programa requiere tiempo, esfuerzo y dinero de manera desproporcionada en relación con el riesgo, definitivamente fracasará. Se puede tener una o más líneas de denuncia anónima. Tener demasiadas líneas puede confundir al personal. Mantener el programa tan simple como sea posible. 5. Olvidar hacer énfasis en la prevención y la disuasión. Las empresas deben desarrollar procedimientos para manejar denuncias anónimas (SEC) Por lo tanto se deben preparar las políticas y procedimientos para prevenir y evitar el fraude. Las políticas y procedimientos de prevención y disuasión, funcionado por separado, son inadecuados. Por lo tanto, es recomendable establecer ambas medidas en forma conjunta. 23

24 Algunos aspectos que se deben evitar 6. Ignorar las denuncias que parecen ser insignificantes o no materiales. Un incidente de fraude podría ser una parte de un patrón mucho más amplio. El costo de un fraude, con todo y el daño reputacional, puede crecer desmedidamente. La materialidad no necesariamente es el parámetro de medición para actuar y en ciertos casos,la evaluación de la importancia es responsabilidad del comité de auditoría y no de la administración. 24

25 Conclusiones El riesgo de fraude existe, hay que tomarlo en serio. Es fundamental que la administración de alto nivel se involucre en el plan antifraude. En el mercado existen No existe una talla le queda a todos La Gestión de Riesgos de Negocios ha evolucionado a Gestión de Riesgos de Negocios y Fraude. Hacer algo, es mejor que no hacer nada 25

26 INFORMACIÓN DE CONTACTO 26

27 Gracias por su Atención! PREGUNTAS 27