Guía Evaluación de Riesgo

de Fraude y Corrupción
Inicio de una auditoria
forense
2
 EVALUACION DE RIESGO DE FRAUDE Y CORRUPCION

En esta guía se presenta una metodología para evaluar el riesgo de ocurrencia de fraude
y corrupción, que nos orienta al uso de indicios para ayudar a garantizar que se
identifiquen los riesgos, aumentando la eficacia de las estrategias de evaluación y
mitigación del riesgo de fraude y de corrupción; reduciendo sus incidencias.

Esta metodología es de gran utilidad para realizar evaluaciones de riesgo de fraude y

corrupción, de igual manera es de gran apoyo para llevar a cabo auditorías internas y
externas; contribuyendo a garantizar el cumplimiento de las normas y directrices
pertinentes. La importancia de realizar evaluaciones de riesgos de fraude y corrupción son
claves para un sistema de prevención exitoso ya que se convierte en una herramienta de
gestión para prevenir y detectar el fraude.

No obstante, muchos profesionales de la gestión de riesgos, personal operativo y los

auditores, dependen sustancialmente de sus experiencias y conocimientos personales
para ayudar a garantizar que se hayan identificado los riesgos de fraude, cuando esas
mencionadas experiencias y conocimientos son limitados, aumenta la preocupación de
que los riesgos significativos puedan escapar a la identificación y, por lo tanto, a la
mitigación.

Las evaluaciones de riesgo de fraude y corrupción a menudo no identifican los riesgos

más importantes; por lo que utilizar categorías de fraude y corrupción, como indicios en el
proceso de evaluación de riesgos, es una forma muy útil de garantizar que se detecten los
riesgos de fraude y corrupción significativos.

3
Para identificar los riesgos de fraude y corrupción, es importante utilizar indicios, como los
elementos y las categorías de fraude que sean relevantes para la organización; por lo
cual, se recomienda que las principales categorías de riesgo de fraude y corrupción que
se aplican a la organización se consideren en la fase de planificación, y se utilicen en la
fase detallada de identificación y evaluación de fraude y corrupción.

A continuación, se exploran varias categorías genéricas de riesgo de fraude y corrupción

como, por ejemplo:

 Decisiones
 Información
 Ingreso de fondos
 Salida de fondos
 Bienes que poseemos o usamos
 Percepciones

Decisiones
Son un terreno de gran oportunidad para el fraude y la corrupción, particularmente cuando
hay decisiones importantes, controles deficientes y valores involucrados.

Las categorías de decisión que se deben considerar en la evaluación de riesgos podrían

incluir decisiones que:

 Pueden brindar beneficios significativos o causar costos o inconvenientes

significativos para los clientes, los proveedores u otros.
 Pueden generar beneficios sustanciales para la persona que toma la decisión, para su
unidad o para su gerente.
 Son de mucha importancia para la organización.
 De otro modo son de mayor riesgo.

4
Las decisiones que son de mayor riesgo generalmente pueden incluir aquellas en las que:

 La decisión sus los motivos no están bien documentados.

 Las consideraciones tomadas en cuenta no se han revelado a la entidad afectada por
la decisión.
 La decisión no sigue un proceso bien establecido.
 La decisión es subjetiva.
 La decisión la toma una sola persona.
 La decisión no se revisa correctamente.
 Las decisiones de este tipo son poco frecuentes.
 La persona que toma la decisión selecciona el elemento sobre el cual tomar dicha
decisión.
 El tomador de decisiones no tiene experiencia, tiene poco conocimiento del asunto,
tiene un tiempo limitado para considerar los factores relevantes, etc.
 Es más probable que la entidad afectada por la decisión actúe de manera corrupta;
por ejemplo, la industria tiene la reputación de actividades corruptas o delictivas, o la
empresa ha actuado de manera corrupta.

Información
La información es un elemento importante para su inclusión en una evaluación del riesgo
de fraude y corrupción, por su valor y daño a la reputación causada por el uso indebido o
su mala divulgación.

Las categorías de información pueden incluir:

 Información sujeta a reglas de privacidad.

 Información que es importante para nosotros o que podría ser valiosa para un tercero.
 Información que podría causar daños importantes a las personas de la organización, o
a otras partes.
 Información de alto riesgo.

5
Los riesgos de información relacionados con el fraude y la corrupción son generalmente
más altos si:

 Otras entidades y sus empleados, contratistas, etc. tienen acceso a ella.

 Las entidades que tienen acceso a la información pueden no tener los procesos,
recursos o incentivos para protegerla adecuadamente.
 La información está sujeta a restricciones legislativas sobre su recopilación, uso,
protección o divulgación, y esto hace que su uso o acceso indebido sea más grave.
 La información está sujeta a reglas de privacidad.
 El estado de la información no es claro para el personal o para los terceros en relación
con la confidencialidad, el nivel de seguridad requerido, etc.
 Los controles internos para la protección de la información son deficientes, por
ejemplo, malas prácticas de contraseñas, las personas tienen accesos que no
necesitan, deficientes controles de acceso desde el área de Tecnologías de la
Información, inadecuadas pistas de auditoría, etc.
 La información podría ser valiosa para un tercero, por ejemplo, para marketing,
decisiones comerciales, uso indebido de información privilegiada, uso ilegal, etc.
 La información podría causar daños importantes a las personas a las que se refiere.
 Los costos para la organización, asociados con el uso indebido por parte de otros,
podrían ser significativos.
 La información podría ser utilizada para afectar negativamente la reputación de la
organización o de las partes interesadas.
 La información confidencial importante para la organización u para otros, o es
propensa al robo, al uso indebido o a la corrupción.

6
Ingreso de Fondos
Los ingresos de fondos son generalmente de mayor riesgo si:

 No existe un sistema bien establecido y de uso constante, para manejar los ingresos.
 Los ingresos son discrecionales, o implican niveles más altos de discreción, o el
cálculo de los ingresos es complejo.
 El monto individual o acumulativo de los ingresos es significativo.
 Las personas desde donde se emiten esos ingresos se resienten de pagarlos, porque
los consideran injustos o irrazonables.
 Las personas que pagan los ingresos no detectarían fácilmente el robo de fondos.
 El recaudo es realizado por contratistas o terceros.
 Los controles internos son deficientes, por ejemplo, una mala segregación de
funciones, falta de supervisión, conciliaciones limitadas, sistemas informáticos o
contable deficiente, etc.

Salidas de Fondos
Los desembolsos o salidas de fondos son generalmente de mayor riesgo cuando:

 Hay controles internos deficientes, como una inadecuada separación de funciones,

supervisión o control limitado, etc.
 Los pagos no son parte de un proceso continuo o son irregulares.
 Solo una persona realiza, inicia o autoriza ese tipo de pagos.
 Los pagos individuales o acumulativos son significativos.
 Hay altos niveles de subjetividad en los pagos.
 Los arreglos contractuales son laxos o están sujetos a cambios.
 No hay monitoreo posterior a la transacción de los pagos o es limitado, para
comprobar que sean razonables.
 Existe un historial de permitir pagos sospechosos.

7
Bienes que poseemos o usamos
Los activos y recursos que son propiedad, o son controlados por la organización son a
menudo susceptibles de fraude y la corrupción. Las categorías que podrían considerarse
son:

 Bienes que son valiosos.

 Bienes que se pueden tomar fácilmente, que no se pueden perder, etc.
 Bienes a las que probablemente le puedan dar mal uso el personal, los contratistas
u otros.
 Otros bienes que poseemos o usamos que son significativos o son propensos al
fraude y la corrupción.

En general, existe un mayor riesgo de robo de bienes en los siguientes casos:

 Los bienes tienen un valor elevado.

 Los bienes son físicamente fáciles de llevar.
 Los bienes son deseables o fáciles de vender.
 Los bienes no se contabilizan en un registro.
 Si se llevan los bienes, puede resultar difícil identificar quién se los llevó.
 La seguridad física es deficiente, por ejemplo, los controles de acceso y seguridad son
deficientes.
 Hay un historial de desapariciones de bienes como estos.
 La contabilidad u otros controles que cubren estos bienes son deficientes, por lo que
es fácil ocultar su apropiación indebida en los libros o registros.
 Existe un historial de permitir que el personal se lleve los bienes.

8
Por lo general, existe un mayor riesgo de que estos bienes se utilicen incorrectamente
cuando:

 Los controles internos sobre su uso son deficientes.

 Hay una falta de orientación política sobre cuál uso está permitido y cuá0.l no.
 Es probable que el personal, los contratistas u otras personas hagan un mal uso de
ellos.
 Es poco probable que se detecte o realice un seguimiento del uso indebido.
 Sería difícil detectar o probar quién hizo un mal uso de los bienes.

Percepción
Puede haber situaciones en las que la percepción del fraude y la corrupción puede dañar
la moral, la reputación, la marca y relaciones con los reguladores, incluso cuando no hay
evidencia de fraude o corrupción. Por tanto, puede valer la pena considerar la percepción
de fraude y corrupción en la toma de decisiones. Esta puede incluir decisiones que
tomamos, actividades que hacemos o que otros hacen en nombre de la organización, que
probablemente la gente piense que se están haciendo de manera corrupta. Es importante
que a la organización se le perciba como honesta y actuando con integridad.

CONCLUSIÓN
Los controles internos deficientes brindan oportunidades para el fraude y la corrupción.
Los riesgos de fraude y corrupción pueden estar asociados con las personas y las áreas
que operan los controles internos, por sufrir de una escasa comprensión de los riesgos de
fraude y corrupción, con deficientes controles para mitigar esas amenazas, con una
comunicación inadecuada con los responsables de los controles internos, y con un
seguimiento deficiente.

La naturaleza de elementos como activos, ingresos e información puede afectar los

riesgos de fraude y corrupción. Los ejemplos incluyen deseabilidad, portabilidad, facilidad
de acceso y facilidad de extracción o copia del artículo.

9
Otros problemas de alto riesgo incluyen que podrían dar lugar a consecuencias negativas
sustanciales, o donde la probabilidad del fraude y la corrupción son particularmente altos.

El uso de indicios en las evaluaciones de riesgo de fraude y corrupción puede ayudar a

garantizar que se identifiquen los riesgos importantes, pero esos indicios utilizados deben
ser las más apropiadas para cada organización, los que se explicaron en esta publicación
son genéricos y, si se utilizan, debe estar sujetos a adaptaciones o modificaciones.

La evaluación documental

La evaluación documental, la investigación y auditoría forense

En el contexto de una investigación, el auditor forense es el integrante del equipo de

trabajo que tiene la idoneidad para evaluar transacciones y procesos administrativos
complejos y su relación con una o más presuntas maniobras fraudulentas. Sin embargo,
existen circunstancias en las cuales una parte (o todo el fraude) consiste en la falsificación
y adulteración de documentos y comprobantes que sustentan las operaciones. En estos
casos, si la adulteración o falsificación no resulta burda, es aconsejable que el auditor
forense sea asistido por un perito o experto documental.

Las circunstancias por las cuales el auditor forense puede requerir de tal auxilio pueden
derivar de diversos motivos:

Inherentes a los documentos examinados

Derivadas de testimonios

Relacionadas con el contexto de la investigación y auditoría forense Analicemos

seguidamente cada una de estas posibilidades:

10
Relacionadas con el contexto de la investigación y auditoría forense

En otras oportunidades, una concurrencia de factores puede hacer pensar al auditor

forense que cierta documentación es falsa o adulterada.

Por ejemplo:

Un comprobante fuera de secuencia, particularmente en el caso de cheques. Como

quienes tienen acceso a los talonarios de chequeras, cuando sustraen un cheque en
blanco lo usan generalmente un tiempo después (posiblemente cuando ya no están en la
empresa o la función), suele suceder que al presentarlo al cobro la empresa damnificada
ya esté usando una numeración posterior.

El uso de un color de tinta inusual. Por ejemplo, si siempre se han completado los
comprobantes con tinta azul, el uso de tinta negra en un único comprobante puede llamar
la atención, y eventualmente, a pensar que no es un original.

La firma o autorización de un comprobante por una persona que:

No había aún comenzado a prestar servicios en la función

Ya había dejado de estar en la función que lo habilitaba a autorizar

Estaba con licencia por enfermedad o vacaciones

No estaba en el horario correspondiente

De manera semejante a lo que sucede en la relación entre el investigador y el auditor

forense, cuando el auditor forense encomienda una labor a un perito documental:

El auditor forense expresará sus dudas al perito en virtud de lo mencionado en los

párrafos precedentes, solicitándole expedirse con claridad y fundamentos sobre el
particular.

11
Pero probablemente el perito documental pudiera identificar elementos adicionales cuya
sofisticación pudiera haber escapado a la percepción del auditor forense e investigador,
constituyéndose en aportes valiosos. Por ejemplo:

Identificar el uso de una tinta diferente en varios comprobantes, indicativo de que la

secuencia declarada no es la real. (Por ejemplo, cuando la fecha del comprobante fuera
declarada en un momento anterior a la del inicio de uso de dicha tinta)

Detectar más firmas falsificadas que las sospechadas por el auditor forense e investigador

Falsificación y adulteración de documentos de identidad

En diversidad de circunstancias, quienes realizan transacciones con una organización

deberán demostrar su identidad con un documento idóneo. En ocasiones, bastará con su
mera exhibición (por ejemplo, para ingresar a las instalaciones); en tanto que en otros
casos se conservará una fotocopia del documento como constancia de que la transacción
se realizó con la persona correcta. Por ejemplo, en el caso de operaciones bancarias tales
como la entrega de tarjetas de débito y crédito.

La primera diligencia del auditor forense, en el caso de fraudes que involucren a

contrapartes externas y en las cuales se haya conservado copia de su comprobante de
identidad, es:

Ver si de la fotocopia surgen aspectos que debieron ser advertidas por el personal que
realizó el control de identidad, tomando varios ejemplos:

Diferencias notables entre el aspecto de la persona y la fotografía en el documento

Diferencias entre la firma del comprobante y el documento de identidad

Incongruencia entre el número de documento y la edad de la persona, (cuando se trata

del seriado de documentos nacionales con los cuales el personal está más familiarizado)

Averiguar si el documento utilizado en la transacción fue denunciado por su titular como

extraviado o robado, en qué momento y ante quién. Esto ocurre si es un cliente habitual y
12
registrado quien extravió el documento y debió denunciar la circunstancia oportunamente
a la organización, y no solamente a la autoridad policial. Es distinto el caso si la
transacción se llevó a cabo con un cliente ocasional.

Entrevistar al personal interviniente preguntándole sobre las circunstancias de la

transacción. Algunos aspectos que debieran llamar la atención son, por ejemplo:
individuos que deben mirar la firma del documento al momento de firmar.

13