miércoles, 13 de abril de 2016

Acerca del fraude: Oportunidad percibida y Auditoría Interna.

El fraude se presenta cuando convergen la oportunidad, la presión y la racionalización, según Donald Cressey en su libro “Other people’s money” en 1973.  Como en un incendio, que requiere 3 elementos convergentes (combustible, oxigeno y temperatura), el fraude presenta de manera similar, los 3 elementos: la Oportunidad (combustible), la racionalización (oxígeno) y lapresión (temperatura).

En un incendio, basta aislar uno de los 3 elementos para sofocarlo.  Por ejemplo, en incendios de hidrocarburos, se utiliza una espuma que forma una película acuosa de alcohol para aislar la atmósfera del combustible y de esa manera se sofoca el incendio.


Para efectos de control interno, es muy poco lo que podemos hacer como auditores internos con el elemento de la racionalización, que se mete a todos lados como el aire en nuestro ejemplo del fuego: las personas deseosas de justificar sus actos buscarán una razón para su acto delictivo, incluyendo comportamientos patológicos de un depredador corporativo quien dice “lo hice porque pude”.


Por otra parte, como auditores internos no hay mucho que podemos hacer con la presión.  Esto es algo muy personal y algo que no sea un elemento de presión para algunos será una presión insoportable para otros.

Las empresas podrían implementar algunos sistemas de alerta temprana para detectar los posibles riesgos no administrados.  Incluso podrían revisar objetivos poco realistas o excesivos que la organización ejerce sobre ellos generándoles presión (ya sea interna, externa o propia[1]).  Sin embargo, aquellas presiones que no tienen una manifestación inmediata como los malos hábitos personales son difíciles de identificar rápidamente y por lo general pasan desapercibidos durante mucho tiempo (piense en adicciones, ludopatía, etc.).


Donde la auditoría interna puede ejercer una labor diferencial para mitigar el riesgo de fraude, es definitivamente en el combustible del fraude: la oportunidad.


En su libro, Cressey aclara que se trata de la percepción de la oportunidad, por lo tanto hay 2 frentes que el auditor debe trabajar: uno, el frente de la oportunidad real y dos, el frente de la percepción de la oportunidad, sea que haya realmente una oportunidad o no.


Las limitaciones de recursos hacen que algunas iniciativas encaminadas a reducir la oportunidad percibida sea un reto, pero, por otra parte, siempre y cuando estamos hablando de la percepción, se trata de transmitir el mensaje al posible perpetrador del fraude y no necesariamente la modificación del comportamiento de las personas, los procesos o la tecnología en la organización.


Vayamos varios siglos atrás, cuando el estratega bélico Sun Tzu decía que el arte de la guerra se basa en el engaño: si estamos lejos, engañar al enemigo haciéndoles pensar que estamos cerca.  Y si estamos cerca, parecer que estamos lejos.  Si somos pocos, tenemos que fingir que somos una multitud y si somos una multitud, pretender que somos pocos.  Esta estrategia se aplicó con éxito durante la invasión japonesa de Corea hacia 1590, cuando las fuerzas coreanas estaban siendo sitiadas en Doksan.  El general coreano Kwon Yul (o Gwon Ryul) y sus hombres se estaban quedando sin agua, pero engañaba a los sitiadores utilizando cubetas de arroz en lugar de agua para "lavar" sus caballos, dando así la falsa impresión de abundancia de agua a los vigías japoneses.  Las tropas japonesas se desmoralizaron por esto, y decidieron retirarse a Seúl y abandonar el sitio.  El general Kwon lanzó entonces un contraataque y los invasores japoneses perdieron miles de soldados en su retirada.  Eso cuenta la historia[2].


Las lecciones de la historia son muchas y siguen siendo aplicables muchos siglos después, muy lejos del campo de batalla:   No se trata de aniquilar al enemigo, sino engañar su percepción.  No se trata de tener todos los recursos, sino de hacer creer a los perpetradores que sí los tenemos.


Del mismo modo, con el fin de mitigar el riesgo de fraude, no es necesario remover todo el "combustible" (o eliminar cualquier oportunidad).  Lo que tenemos que hacer es preparar el escenario: tenemos que crear la percepción que la oportunidad no existe.  Si no se percibe una oportunidad, hemos minimizado eficazmente el riesgo de fraude.


La bibliografía para reducir la percepción es extensa: mecanismos de reporte, revisión de la gerencia, fortaleza de controles internos, orden, limpieza, disciplina, tono en la cima, etc.  En mi experiencia, cualquier elemento que incremente la incertidumbre reduce la oportunidad percibida.


Por otra parte, las acciones específicas para reducir, transferir, mitigar, o simplemente absorber una oportunidad real es una tarea que debe definirse teniendo en cuenta el apetito de riesgo de la compañía, con la concurrencia del Directorio.  Son ellos los que deben trazar la línea entre aceptable e inaceptable.

Implementación, seguimiento y auditoría es parte del trabajo diario del auditor que funciona en conjunto con la gerencia[3].

¿Cómo podemos reducir la percepción de oportunidad?
Hace algunos años leí un artículo publicado por una firma de contabilidad donde decían que hay 3 tipos de personas en una organización:   los que no cometen un fraude incluso si tienen una clara oportunidad, los que cometen fraude buscando activamente la oportunidad, y los que se inclinan a uno u otro lado, dependiendo de las circunstancias (es decir, la oportunidad percibida).  Incluso indicaban porcentajes y proporciones, pero los estudios no fueron científicos, así que voy a dejarlo como una opinión experta no sustentada, pero que debemos prestar atención.


Sin embargo, la noción que la mayoría de la gente va a inclinarse en cualquier dirección es corroborada parcialmente por el Informe “Reporte a las Naciones 2016” del ACFE, donde se muestra que el 88.3% de los perpetradores nunca fueron castigados o despedidos, es decir, fueron primerizos[4].


Está claro que no hay defensa contra los depredadores corporativos que buscan activamente una oportunidad.  Por otro lado, sería un uso ineficiente de los limitados recursos que tenemos para centrarse en aquellos que no están inclinados a cometer fraude, incluso con una clara oportunidad.  Nuestro objetivo, por lo tanto, debe estar en ese tercer grupo de personas (el grupo más grande de acuerdo a los expertos mencionados anteriormente), para mitigar el riesgo de fraude en una organización.


Por desgracia, no tengo una receta para eliminar la oportunidad percibida, pero basado en mi experiencia, si puedo decir qué cosas incrementan la oportunidad percibida:
  1. La falta de mecanismos de reporte: si el 39.1% de los casos de fraude se revelan por informantes, es difícil concluir que una empresa tiene un sistema de prevención de fraude robusto si carecen de mecanismos adecuados de información que estén acordes a su complejidad, su industria, geografía y tamaño. Además, esto podría dar la impresión que la administración no llevó a cabo las diligencias debidas, lo que aumenta el riesgo de un proceso penal, si se produce un evento de fraude[5].

Permítanme repetir algo que todos hemos escuchado hasta el hastío sobre los mecanismos de información.  Nosotros debemos:

  • Preservar el anonimato
  • Ser claros en "No tolerancia a represalias por reportes hechos de buena fe"
  • Poder comunicar los datos y hechos de manera fácil
  • Dejar abierta la posibilidad de comunicación con el informante.

  1. La falta de revisión por la gerencia: 19.4% de los casos de fraude tuvo faltas de revisión por la dirección como su principal factor que contribuye al fraude. Eso no sorprende, puesto que la gerencia es quien mejor conoce dónde están las grietas en el sistema.  En línea con esto, los dos puntos de enfoque para los auditores internos son:
  • Para que la revisión de la gerencia sea eficaz, requiere experiencia y conocimiento de los procesos y sistemas. Y sí, me refiero tanto a la gerencia como al equipo de auditoría.
  • Para que el monitoreo sea eficaz, se requiere un trabajo coordinado entre la gerencia y los Auditores Internos: Auditoría Interna debería brindar una certeza razonable sobre los esfuerzos de gestión en el monitoreo, para evitar la duplicación del trabajo.

  1. Debilidades de control: el ACFE indica que el 29.3% de los casos de fraude tuvo problemas de control interno, y que en el 20.3% el principal factor que contribuye al fraude fue la gerencia ignorando los controles. De los tres factores que aumentan la oportunidad percibida, esto es en mi opinión, el más peligroso.  Una debilidad de control impacta una organización en dos dimensiones, una cuantitativa y otra cualitativa (ambos igualmente dañinos): la primera es el error o distorsión cuantitativo que puede causar a la información financiera de la compañía.  Es más, este problema puede también afectar sus procesos de decisión.  La segunda dimensión es el impacto cualitativo en el tono en la cima: si la administración cree que el control está funcionando y no podemos convencerles de lo contrario, van a tener una falsa sensación de seguridad que puede llevar a tomar decisiones miopes y por lo tanto se desviarán de sus objetivos reales.  En el mejor escenario, el resultado final estará envuelto en capas de ineficiencia.
Así que preguntémonos: ¿Qué pasa si uno de los siguientes escenarios se presenta?
  1. La organización tiene deficiencias en el control pero la dirección lo niega: este es el peor escenario. Cuando leemos el análisis post mortem de cualquier acontecimiento de impacto a un negocio, nos encontraremos con estos dos elementos presentes (Cualitativo y cuantitativo).  Upton Sinclair solía decir que es difícil entender algo cuando tu salario depende de no entenderlo: si hicimos nuestro trabajo siguiendo el manual, ¿Por qué la gerencia está en negación?
  2. La organización tiene problemas de diseño o de implementación, pero la gerencia minimiza sus efectos: la administración cree que los controles están presentes, cuando en realidad no lo están. Una auditoría dará a conocer dichas debilidades, pero podría pasar un lapso inaceptablemente largo entre las auditorías y el riesgo puede tener dimensiones indeseadas para entonces.
  3. La dilación: la gerencia tiene prioridades en conflicto y debe decidir qué irá primero. Auditoría interna debería ayudarles a que separen lo importante de lo urgente y luego, ayudarles a priorizar.

*******
 Concluyendo, creo firmemente que, por omisión, los auditores internos tienen una responsabilidad real e ineludible en el incremento de la oportunidad percibida.
Mi consejo sobre dónde comenzar es: primero no dejar que las cosas empeoren.  Basado en mi experiencia y en base a evidencia anecdótica, puedo decir que no importa cuán grave sea una situación, siempre podemos hacerlo peor por falta de atención, diagnóstico erróneo, problemas sin identificar, y acciones miopes.  No reinventemos la rueda: utilicemos marcos de referencia que sean objetivos y usemos metodologías probadas.  Esto no es como hace 75 años cuando los auditores tuvieron que ser creativos por dónde empezar: nuestra profesión en la actualidad cuenta con Estándares, Marcos de referencia para Práctica de la Auditoría Interna y repositorio de conocimientos que son todos ellos ampliamente aceptados pero que sobre todo, funcionan.
Sé que mi consejo anterior puede parecer largo y fatigoso, pero recordemos otra máxima de Sun Tzu: "Entrenamiento: 1000 días, Batalla: 1 hora".
Hik Park. MBA, MEd, CIA, CFE, CRMA.

[1] Interna: la organización donde labora.  Externa: cualquier ámbito fuera de trabajo.  Propia: relacionados al individuo como familia, amistades, conocidos fuera del trabajo, etc.
[2] Para los lectores sudamericanos, les adjunto un ejemplo de la Guerra del Pacífico entre Chile y Perú en 1879: El General peruano Andrés A. Cáceres amarraba ramas de árboles en las patas de los auquénidos que usaba para cargar.  Al andar, éstos levantaban más polvo, lo que impedía ver la fuerza real con la que contaba (se dice que creían que eran muchos más de los reales por el polvo adicional que levantaban).
[3] Se debe tener los resguardos necesarios para no impactar la independencia y la objetividad del auditor, tal como se expresa en los estándares y el IPPF del IIA.
[4] 2016 Report to the Nations on Occupational Fraud and Abuse.  Copyright 2016 by the Association of Certified Fraud Examiners, Inc. (“ACFE”).
[5] En Canadá por ejemplo, se ha modificado la ley C-45 artículo 22.1, la cual menciona la frase “Negligencia laboral  criminal”.  La mejor defensa será la debida diligencia de los representantes de la compañía (el concepto de “representante” ha reemplazado las palabras “empleado”, “funcionario” y /o “director”.

No hay comentarios.:

Publicar un comentario