Guia de Auditoría Forense

CONTRALORIA GENERAL DE LA REPUBLICA

MANUAL DE AUDITORIA GUBERNAMENTAL

MANUAL BASICO DE AUDITORIA

PARTE Nº IX A

GUIA AUDITORIA FORENSE

PROYECTO BID/CGR

MANAGUA – NICARAGUA

AGOSTO 2006

Contraloría General de la República

TABLA DE CONTENIDOS

CONTENIDO Página

LA FASE DE AUDITORÍA DE FORENSE............................................................2

METODOLOGÍA DE INVESTIGACIÓN............................................................................4Justificación............................................................................................................7Prevención, detección e investigación....................................................................71-Conociendo al enemigo.......................................................................................82-Motivos................................................................................................................83-Combatiendo ilícitos............................................................................................9TÉCNICAS Y HERRAMIENTAS.............................................................................92 Evaluaciones......................................................................................................103 Procedimientos de salida...................................................................................11Departamentos o áreas gubernamentales de alto riesgo......................................14Áreas consideradas críticas..................................................................................15El método..............................................................................................................16Parámetros de Análisis.........................................................................................17Grupo de Trabajo Especial...................................................................................18CONCLUSIONES................................................................................................19

____________________________________________________________________________________Actualización del MAG y Guías Sectoriales

2


I-LA FASE DE AUDITORÍA FORENSE

Los auditores deben modificar el concepto, de otro modo neutral, del escepticismo profesional y presumir la posibilidad de deshonestidad a diferentes niveles de la administración, incluyendo colusión, anulación de controles internos y falsificación de documentos. Los auditores deben hacer pruebas de confirmación para detectar fraude utilizando los conceptos sobre escepticismo profesional. Los auditores deben dirigir sus pruebas hacia las áreas de alto riesgo tales como cuentas materiales en la información financiera que aparecen regularmente a lo largo del año, y las más importantes, entradas no rutinarias.

Además, la fase de pruebas tipo forense deben incluir el elemento sorpresa. Esta técnica incluye hacer visitas inesperadas, solicitar confirmaciones escritas de los empleados y los clientes, y probar las cuentas que los auditores normalmente no prueban anualmente o que han considerado inmateriales o de bajo riesgo.

Al requerir pruebas sorpresa, los auditores reducirán en forma efectiva la posibilidad de que los administradores, muchos de los cuales fueron auditores, puedan hacer que las cifras “se vean bien” o puedan ocultar errores intencionales en cuentas inmateriales.

II-PLANIFICACIÓN DE UNA AUDITORÍA FORENSE:

Se debe realizar una valoración preliminar para poder planificar los recursos necesarios que se deben utilizar, de acuerdo a la solicitud realizada de alcance de la tarea a realizar y cronograma para el desarrollo de la misma.

Una referencia para el comienzo del desarrollo de una auditoria forense puede ser una denuncia formal e informal, oral o escrita y que obliga la ejecución de tareas forenses para la futura actuación judicial por consecuencia de una probable futura demanda u oficio judicial, puede ser derivada por alguno de los ejecutivos de la organización en un comienzo debido al conocimiento o el resultado de una evaluación primaria del sistema de control interno de la organización.

Para lo mismo es necesario conocer con profundidad a la organización y estar en condiciones de aseverar sobre:

• Naturaleza o actividad de la empresa.• Lugar geográfico donde desarrolla sus actividades.• Naturaleza de los productos o servicios que presta.• Organización y estructura.• Medio ambiente en el cual desarrolla sus negocios y actividades.• Relaciones empresariales u organizacionales, alianzas, clientes y proveedores.• Regulaciones y normativas que debe cumplir dicha organización.• Fuerza laboral.• Capacidad operativa.• Niveles de ingresos y egresos.• Estándares de la organización.


3


• Evaluaciones de control interno.• Reportes de control de gestión.• Personal responsable de las operaciones (Management).

• Modelo de organización, filosofía, políticas, programas, presupuestos, planes y otros.• Estrategia organizacional y su estilo.• Investigación y desarrollo, marketing, diseño de ingeniería de procesos productivos,

distribución, logística y servicio al cliente, entre otros.

III- METODOLOGÍA DE INVESTIGACIÓN:

Un enfoque adecuado para iniciar un servicio de auditoria forense con miras a detectar y determinar los hallazgos de irregularidades, fraude y corrupción en la administración de organizaciones, es establecer una metodología que conste de elementos definidos, consistentes e integrales.

Como aporte para el desarrollo de nuevas y más eficientes metodologías de investigación de fraudes o realización de auditorías forenses consideramos adecuado el siguiente esquema:

1. Definición y reconocimiento del problema: El objetivo de esta fase es determinar si hay suficientes motivos o indicios, para investigar los síntomas de un posible fraude.

El indicio es definido como la totalidad de las circunstancias que conducen a una persona razonable, prudente y profesionalmente preparada a creer que un fraude ha ocurrido, está ocurriendo o ocurrirá. Se debe observar que un indicio no es una prueba, ni siquiera representa una evidencia de que un fraude existe. Es simplemente una razón suficiente para garantizar la investigación del fraude. Antes de comenzar una investigación formal, se debe obtener la aprobación del directorio de la organización ya que una auditoría de fraude es sumamente complicada, controvertida, extenuante y puede ser perjudicial para miembros de dicha organización, se debe contemplar la existencia de convenios de confidencialidad y concertar los futuros pasos a seguir con la finalidad de verificar la existencia de fraude.

2. Recopilación de evidencias de fraude: Una vez que hay indicios y se realiza la búsqueda de evidencias suficientes para garantizar el éxito de la investigación se deben recopilar evidencias para determinar si el fraude ha tenido lugar. Las evidencias son recogidas para determinar quien, que, cuando, donde, porque, cuanto y como se ha cometido el fraude. Se debe organizar las evidencias de tal modo, que todos los elementos y variables que interactúan en el fraude sean consideradas, se pueden utilizar cuadros de vulnerabilidad que muestran los siguientes indicadores.

• Síntomas del fraude que indican una creciente posibilidad de que el fraude está ocurriendo.• Activos que han desaparecido o han sido sustraídos.• Individuos que han dispuesto de estos activos.• Modos en que ha sucedido el evento.

Metodología de Investigación

1. Definición y reconocimiento del problema.


4


2. Recopilación de evidencias.3. Evaluación de evidencias detectadas.

• Métodos que el autor ha utilizado para ocultar el fraude.• Racionalizaciones que se han usado para justificar el gasto.• Controles internos que se han vulnerado o que se omitieron y han proporcionado la

oportunidad de cometer y ocultar el fraude.

Para evitar que aparezcan sospechas e implicar a individuos inocentes, es costumbre en la búsqueda de evidencias seguir las siguientes pautas:

• Referirse a la “investigación” con una palabra menos intimidatoria como “trabajo especial”, “auditoría”,”consultoría de procesos”, etc.

• Iniciar las tareas usando técnicas de investigación que sean poco reconocibles, comenzar las tareas con procedimientos comunes a los de la auditoría financiera tradicional.

• Involucrar al comienzo, el menor número de asistentes y referentes de la organización.• Trabajar gradualmente en forma perimetral al evento denunciado, en los alrededores del

presunto sospechado, hasta tener la suficiente información para confrontar en una entrevista final.

3. Evaluación de las evidencias recolectadas. De acuerdo a la planificación inicial realizada en este paso, las evidencias recolectadas se estudian para determinar si son suficientes y válidas como para comenzar a reportar eficazmente el fraude. La evidencia deber ser evaluada para determinar si es completa y precisa, si es necesario seguir recolectando más evidencias. De la evidencia recolectada surgirá la respuesta de que acciones judiciales se pueden realizar por parte de la Organización. De acuerdo a la necesidad y oportunidad que observe el directorio de la organización probablemente, se fijará la necesidad de continuar en la búsqueda de más evidencia o se culminara con las tareas de campo.

4. Elaboración del informe final con los hallazgos. La fase final de la investigación del fraude es presentar los resultados. Esto supone un reto, ya que el informe de fraude normalmente es la evidencia primaria disponible y en algunos casos única sustentatoria de la investigación realizada. El informe es de vital importancia puesto que los pleitos judiciales se ganan o se pierden mayormente en base a la calidad del informe presentado.

Algunas recomendaciones importantes para la elaboración de un buen informe de fraude son:

• Preciso.• Oportuno.• Exhaustivo.• Imparcial.• Claro.• Relevante.• Completo.

Un informe de fraude nunca debe contener una conclusión u opinión de cómo el fraude tuvo lugar. Cuando un caso se inicia en la justicia el informe de fraude es admitido como prueba. Si


5


el mismo contiene opiniones y conclusiones erróneas, el abogado defensor puede usarlo para demostrar prejuicios contra su cliente.

Evaluación del Riesgo Forense:

Al comenzar sus tareas forenses el auditor debe evaluar el riesgo de distorsión material que el fraude o error pueden producir en los estados financieros y debe indagar ante la administración sobre:

1. Existen fraudes o errores significativos que hayan sido descubiertos.2. La visualización de debilidades en el diseño de los sistemas de administración y de control

interno, la existencia o funcionamiento de determinados controles, las condiciones o hechos que incrementan el riesgo de fraude o error.

3. Cuestionamientos sobre la integridad o competencia de la administración.

4. Presiones inusuales internas o externas sobre la entidad.

5. Transacciones inusuales.

6. Problemas para obtener evidencia de auditoría suficiente y competente.

Asimismo es importante que el auditor tome en cuenta el ambiente de control implantado en la empresa y la actitud de la gerencia general y del personal respecto al ambiente de control.

Detección de Fraudes:

En base a la evaluación del riesgo realizada, el auditor debe diseñar procedimientos de auditoría que le ofrezcan una incertidumbre razonable de poder detectar las distorsiones producidas por fraude o error, que tengan un efecto material en el conjunto de los estados financieros.

En consecuencia, el auditor busca la evidencia de auditoría suficiente y competente que le asegure que no se ha producido un fraude o error que tenga efecto material en los estados financieros o que de haberse producido, el efecto del fraude se refleja adecuadamente en los estados financieros o el error ha sido corregido. La probabilidad de detectar errores es, por lo general mayor que la de detectar fraudes, puesto que el fraude va comúnmente acompañado de actos específicamente concebidos para ocultar su existencia (Teoría de la Ocultación).

Debido a las limitaciones inherentes a la auditoría tradicional, existe un riesgo inevitable de que las distorsiones materiales en los estados financieros por un fraude y en menor extensión, por errores no puedan ser detectadas.

El posterior descubrimiento de estas distorsiones producidas por un fraude o error, existente durante el período cubierto por el dictamen, no indica que el auditor no se haya ceñido a los principios básicos y procedimientos esenciales de auditoría, que el auditor haya observado o no estos principio


6


y procedimientos, determinará lo apropiado de los procedimientos que haya aplicado en las circunstancias, y la congruencia entre el dictamen y los resultados de aquellos procedimientos.

Evaluación del Sistema de Control Interno:

Los procedimientos de evaluación del sistema de control interno, estarán dirigidos a estudiar y verificar el control interno de la organización, lograr una comprensión adecuada del sistema de control interno, que mantenga sobre sus operaciones o sobre sus activos la empresa.

Esta comprensión es necesaria para:

1. Planificar la investigación.2. Verificar que el sistema de control interno opera de acuerdo a su diseño original.3. Establecer si es adecuado para los propósitos de la investigación, en especial como

confiabilidad del material probatorio que proporciona y como fuente de dicho material.4. Comprobar la adecuada salvaguarda de activos y recursos de la organización.5. Verificar la oportuna y exacta información financiera económica emitida.6. Verificar la adhesión a las políticas de la empresa.7. Visualizar el debido cumplimiento de las regulaciones locales y el estricto cumplimiento de la

ley.

La evaluación del sistema de control interno ayuda a identificar a los posibles responsables de las operaciones fraudulentas. Los presuntos involucrados que pueden ser de la misma organización o con terceros relacionados.

CATEGORÍAS DE RIESGO DE FRAUDE:

Oportunidades regidas por Motivación de Buenos controles Controles insatisfactoriosEstilo de dirección y prácticas de personal.Fraude improbable Fraude posibleDirección débil o poco recta y prácticas de personal deficientes.Fraude probableFraude inevitable

OportunidadMotivaciónAccesoConocimientoTiempoNecesidadJustificaciónDesafíoFraude


7


Prevención, detección e investigación.

Cuando se investiga un fraude, con frecuencia, surgen factores que hubieran puesto a la compañía sobre aviso de que todo no estaba bien, haciéndola susceptible al fraude. La evaluación de estos factores es sólo un paso en el proceso de estimación de riesgo.

Ninguno de estos factores discutidos a continuación es probablemente por sí mismo, una indicación de fraude sin embargo, cuando existe una combinación de varios factores, generalmente habrá un nivel alto de riesgo.

INDICADORES DE ILÍCITOS:

1-Conociendo al enemigo

En esta sección desarrollaremos los motivos y atributos comunes de los defraudadores, cabe aclarar que no se pretende con estos ejemplos hacer un análisis sociológico de los perfiles expuestos.

La generalidad de los casos de fraude ocurre cuando se suman motivo y oportunidad, siendo casos prácticamente aislados aquellos que se perpetran íntegramente desde el exterior de la organización.

Por esta razón el arma principal en las organizaciones para mitigar este riesgo es la generación de un ambiente de control necesario que inhiba el fraude.2-Motivos

La siguiente no es una lista enunciativa de los motivos que pueden llevar al fraude, dado que los mismos pueden adquirir tantas facetas como circunstancias ocurran.

CodiciaEn estos casos se llega a convertir en una “bola de nieve” que por ejemplo podría comenzar con la falsificación de comprobantes de gastos siguiendo con comisiones confidenciales, cuando alcanzan un estilo de vida que no pueden abandonar este círculo se torna constante.

Problemas financierosLa probabilidad de la ocurrencia de fraude se ve incrementada ante la existencia de presionesde rendimiento, la escasez de liquidez y las proporciones claves para cumplir con los convenios de préstamo. Han existido casos de directores que confabularon con sus proveedores para mejorar sus índices financieros, como la emisión de notas de crédito para ser descontadas en el costo de compras futuras.

Otro caso a destacar es ante la existencia de estructuras complejas del grupo económico. Si otras compañías propiedad del defraudador están en dificultades financieras, se puede encontrar la forma de sacar fondos del grupo principal para apoyar las otras. Los defraudadores ven este tipo de operaciones como “préstamos”.

Poca lealtadPodría ocurrir en el caso que la administración o la dirección se sintieran mal remuneradas.

Venganza


8


Sé da en ciertos tipos de fraude y las causales pueden variar desde el sentimiento de explotación que pueden sentir los empleados, la ambición frustrada, la degradación de algunos individuos después de una reorganización o una adquisición hasta la baja moral producto de un despido masivo.

AburrimientoEs el caso típico en los técnicos en sistemas informáticos, que al sentirse frustrados en su trabajo tratan de golpear al sistema. La motivación no está en el fraude en sí mismo sino en alcanzar una meta “personal”. Este tipo de motivación no es muy fácil de ser encontrada, pero debe tenerse en cuenta cuando exista staff de gente joven con altos conocimientos técnicos en comparación con la gerencia.

AtributosHay que destacar que a la hora del análisis se debe enfocar tanto al comportamiento como al contenido de las respuestas que se reciben, dado que es más fácil ocultar que falsificar o no decir nada a sostener un argumento infundado.

3-Combatiendo ilícitos

El fraude es uno de los muchos riesgos que tienen los negocios, y como la mayoría de los riesgos difícilmente puede eliminarse. Sin embargo, puede mitigarse y manejarse para limitar el riesgo y el daño. En este sentido la creación de un ambiente que lo inhiba y la toma de medidas fuertes y adecuadas cada vez que se encuentra un fraude o se sospecha su existencia constituyen la estrategia de combate de la organización.

TÉCNICAS Y HERRAMIENTAS

Como desarrollamos anteriormente, las estrategias de combate del fraude deben desarrollarse coherentemente y deben comprender todas las técnicas y herramientas necesarias para mitigar el riesgo de que exista fraude.

Clara estrategia corporativa

La estrategia corporativa debe:

1 Existir2 No sólo incluir el éxito del negocio sino el combate al fraude3 Ser comunicada a todo el personal y mostrar evidencias claras de entendimiento4 Contener mediciones de logros de objetivos5 Asignar los recursos necesarios para el logro de los objetivos

El éxito de la estrategia corporativa dependerá de la habilidad del negocio para manejar los riesgos inherentes a los objetivos y a la estrategia de la organización.

Manejo del riesgo de fraude por objetivos. Seguidamente se proporcionan ejemplos:

Objetivos a nivel de actividad

Objetivos operativos

1 Garantizar un suministro adecuado de materias primas.


9


2 Desarrollar una tecnología para diseñar productos, para las necesidades del mercado.3 Comprometer recursos en proyectos con la mayor tasa de rentabilidad.

Objetivos financieros

1 Hacer pagos por compras autorizadas.2 Garantizar que todos los servicios prestados se facturen en el período correspondiente.

Objetivos de cumplimiento

1 Garantizar que se presenten las declaraciones de IVA.2 Cumplir con las regulaciones sobre salud y seguridad.

Principios comerciales sólidosGeneralmente los principios se relacionan tanto con la toma de decisiones de la corporación como con el comportamiento esperado de los empleados, al llevar a cabo los negocios de la organización. Los mensajes claves de la declaración deben integrarse a todos los aspectos de la cultura de la compañía.

Código de ética comercialEs de vital importancia que el personal de la empresa conozca la idiosincrasia y la ética comercial corporativa de la empresa en la cual trabaja, que adopte la misma como propia y que la cumpla.

Este principio fundamental sirve para encolumnar los valores éticos que diseñó y que posee la empresa en el mercado en el cual actúa y los valores diferentes que pueden poseer los distintos trabajadores que pertenecen a dicha institución homologando las prácticas de la empresa y generalizándolas. En la actualidad es muy común que la gran mayoría de las empresas posean sus códigos de ética, los cuales deben ser conocidos por los empleados de la misma y no sólo poseer una copia de los mismos, sino también debe existir constancia de su conocimiento, firma de la entrega y lectura del mismo. El fin principal es que no desconozcan la existencia del mismo, así también que lo cumplan en toda su extensión.

Política efectiva de personalDado que la mayor parte de los fraudes corporativos los comete la administración y los empleados, este eslabón se convierte en una pieza fundamental dentro de las técnicas de prevención.

Desarrollaremos a continuación los aspectos más importantes en este tema.

ASPECTOS IMPORTANTES:

1 Investigación a fondo para un reclutamiento efectivo

- Se debe segregar el reclutamiento del proceso de investigación- Verificación independiente de los detalles y referencias del empleado (documentos

originales)- Confirmación oral de las referencias- Investigación de los espacios vacíos en la historia de empleo- Participación de un observador independiente en las entrevistas – Las afirmaciones

grandiosas deben ponerse a prueba- Prueba de las respuestas evasivas


10


Estos procedimientos deben ser aplicados tanto al personal en relación de dependencia como a los contratistas. Dado que los mismos tendrán acceso a información y activos de la misma manera que el personal permanente.

2 Evaluaciones

Este procedimiento permite vigilar el rendimiento y discutir el desarrollo de carrera dando una posibilidad de diálogo y discusión de carrera.

No sólo deben ser lineales, sino también laterales o en 360 grados.

3 Procedimientos de salida

Es importante ante cualquier renuncia, rotación y reingeniería que se produzca en la empresa que el departamento de recursos humanos disponga entrevistas de salida o desvinculación, las mismas dirigidas correctamente a las causas y orígenes de la desvinculación, esto pueden generar una retroalimentación del sistema de controles internos de la compañía, así como también, dar indicios de irregularidades en diferentes secciones de la empresa.

No deben existir ambivalencias sobre los procedimientos a aplicar a los defraudadores dentro de la Compañía, esto incluye tanto las acciones legales como las consecuencias para la continuación de su empleo.

Administración del riesgoEn cualquier negocio la administración necesita entender los riesgos principales que enfrenta el negocio, si va a evitar los impactos adversos significativos, debidos a eventos inesperados o incontrolados. La administración debe identificar áreas de riesgo, evaluar la probabilidad de que surja un evento adverso y considerar el impacto potencial de tal suceso. Esto proporciona una base sobre la cual la administración puede decidir aceptar el riesgo y correr con él o tomar medidas para minimizarlo.Controles y auditoria efectivosNingún sistema de controles puede evitar todos los fraudes, pero las compañías en las cuales los controles se mantienen bajo revisión y se actualizan, son las menos susceptibles. Si las debilidades de los controles se ven aisladamente, el riesgo puede no ser apreciado en su totalidad.

Ejemplo:Una compañía parecía estar muy bien controlada pero se detectaron debilidades en los controles del departamento de compras. A saber,

1 Falta de procedimientos de oferta competitiva para las compras de artículos diferentes a las materias primas

2 Procedimientos débiles para la apertura de cuentas de proveedores y falta de revisión de las modificaciones hechas por los datos existentes

3 Cantidad demasiado grande de cuentas de proveedores inactivas

4 Procedimientos débiles en la firma de cheques, falta de claridad en la orden del banco, muchos cheques por más valor del límite autorizado para firmar, o con una sola firma en lugar de dos.


11


Cuando el análisis de control interno permite concluir que los controles son eficientes, se puede enfocar el análisis en los factores de riesgo. Para este proceso existen algunos indicadores, los cuales detallamos en el cuadro a continuación.

FACTORES QUE PUEDEN SOCAVAR LOS CONTROLES:

1- Estilo administrativo autocrático

Dominio administrativo. Las transacciones se manejan fuera del sistema principal.

2- Obediencia incondicional del personal.

Los procedimientos se siguen por rutina o consentimiento del personal, o bien por confabulación para el fraude.

3- El agrupamiento de los empleados deteriora la segregación de deberes.

Los empleados pueden haber trabajado juntos antes, en otros países o compañías con una moralidad pobre.

4- Personal de calidad pobre

Los controles internos sólo son tan efectivos como la gente que los opera.

5- Alta rotación del personal

Inadecuadamente entrenados, pueden carecer de experiencia, no absorberán la cultura de la compañía.

6- Moral baja

Un personal descontento es menos probable que opere efectivamente los controles.

7- Resultados a cualquier costo.

Se puede hacer un trabajo malo y los resultados se pueden manipular para garantizar logros en el papel.

8- Manuales y procedimientos pobres

Controles no vinculados a los riesgos que enfrenta el negocio en cada área estructurados.

9- Responsabilidad no vinculada con la rendición de cuentas.Los manuales necesitan estar vinculados de cerca con la rendición de cuentas. Cada miembro del personal necesita un paquete claramente definido de procedimientos y controles del cual es responsable.

10- Demasiados procedimientos y controles.


12


Burocracia. Demasiados procedimientos, controles límites de autoridad, etc. Esto generalmente sucede cuando no se ha seguido un enfoque basado en los riesgos. El personal tratara de evitar el sistema.

Seguridad en el sector de computadoras

Los sistemas de control interno bien diseñados, implementados y mantenidos en un sistema de información pueden mitigar el riesgo de ocurrencia de hechos fraudulentos.

Para el diseño de estos sistemas de controles se debe tener en cuenta:

1 La oportunidad del diseño: en la etapa de implementación de los sistemas informáticos será más práctico y económico.

2 La existencia de sistemas integrados: esta consideración debe ser tenida en cuenta a la hora de evitar inconsistencias en los controles.

Plan de respuesta al fraude

Este plan se refiere a las posibles respuestas de la compañía a los fraudes o robos mayores.

Las características específicas indispensables de un plan de respuesta al fraude debe ser:

1 Pautas claras con respecto a cada circunstancia y a la filosofía comercial de la compañía2 Reflejar la naturaleza y el grado de pérdidas probables3 Cobertura de las declaraciones de políticas a nivel general y específicas en los casos de fraude

Los problemas que se solucionan mediante la implantación de este tipo de planes son:

1 Comunicación inadecuada con consecuentes acciones tardías o inapropiadas2 Falta de liderazgo y de control de manera que los investigadores y asesores no son

adecuadamente dirigidos y se pierde tiempo y dinero.3 Falta de reacción rápida de manera que se incurre en pérdidas adicionales o se pierde la

evidencia requerida para lograr una recuperación exitosa, o poder entablar una demanda.4 La especulación de la prensa (medios de comunicación masivos), afecta el precio de las

acciones, o crea dificultades con los clientes y los proveedores.

1. Calificación del riesgo inherente a la organización

No todas las organizaciones de la administración gubernamental encierran el mismo nivel de riesgo frente al fenómeno corrupción. En este sentido, aquellas donde se resuelven reclamos a la administración o excepciones a regímenes comunes, cuya aprobación puede dar lugar a grandes intereses estarán en un extremo; aquellas donde la decisión sólo involucra aspectos de escasa repercusión económica se ubicarán en el otro extremo.

El riesgo inherente deberá ser calificado como alto, medio o bajo. A tales efectos, el auditor considerará:


13


La significatividad de las operaciones involucradas, en comparación con las operaciones de otras entidades, la trascendencia económica de las operaciones a que dieren lugar las decisiones que se identificaron como de riesgo, la sensibilidad social ante el tipo de operaciones en cuestión.

Las condiciones internas de la organización.

SignificatividadEs importante la consideración de la significatividad del monto de los recursos que administra la organización. No involucra el mismo riesgo inherente, una organización cuyo presupuesto es de 800 millones de dólares anuales que otra con un presupuesto de 30 millones. Resulta obvio señalar que las operaciones que tendrán lugar en la primera, serán por montos muchos mayores.

Trascendencia económicaAsimismo, debe evaluarse si la entidad con un presupuesto de 30 millones tiene la facultad de tomar decisiones, cuyo impacto en términos económicos, supera ampliamente su propio presupuesto; por ejemplo, la dependencia gubernamental donde se definen las regulaciones de construcción y las excepciones a las mismas.

Sensibilidad socialAquellas actividades donde los actos de corrupción pueden generar una reacción social mayor. Por ejemplo, los que se comenten en perjuicio de instituciones de menores o ancianos.

Condiciones de la organizaciónEstas incluirán las motivaciones y aptitudes dentro de la organización y la actitud hacia el control, tales como los métodos de reconocimiento de sus funcionarios, en particular, y de su personal en general; sistemas de reclutamiento de personal ajenos al mérito y a la idoneidad, sentido de pertenencia a la organización que esta haya sido capaz de desarrollar en sus integrantes; funcionarios responsables inexpertos; nivel de vida de sus miembros acorde a las remuneraciones, grado de politización en la toma de decisiones, predisposición de los funcionarios a la rendición de cuentas, etc.

Los factores descriptos no acreditan por sí mismos la existencia de maniobras corruptas, sin embargo, operan como “pistas de auditoría”, o señales de peligro que el auditor debe considerar a la hora de calificar el nivel de riesgo de la organización.

Esta primera clasificación, de acuerdo con la naturaleza de la organización, determinará el mayor o menor esfuerzo que invertirá el auditor en la identificación de las áreas susceptibles a ser objeto de maniobras corruptas. Como es habitual en auditoría, aplicamos el criterio de significatividad y relevancia en la determinación del alcance de nuestro trabajo.

Departamentos o áreas gubernamentales de alto riesgo

Dentro de la estructura de la administración gubernamental moderna entendemos que debería calificarse como de alto riesgo inherente, sin que las siguientes áreas sean consideradas excluyentes:

Departamentos de recaudación de impuestosEntes aduanerosDepartamentos de policía


14


Entes regulatoriosÓrganos de control en general.

2. Identificación de las áreas de la organización a ser analizadas en profundidad.

El conocimiento profundo de la organización deberá abarcar el entendimiento de sus objetivos y las estrategias que lleva adelante para alcanzarlos, los sistemas o procesos a que dan lugar esas estrategias y la forma en que interactúan con el medio en que se desarrolla. En el tema que nos ocupa, este último es el que reviste particular interés.

El método que proponemos consiste en identificar primero cuáles son las decisiones que involucran interés económico donde pueden producirse las acciones corruptas o fraudulentas, para determinar posteriormente cuál es el “proceso” de formación de tal decisión, y todas las instancias del trámite administrativo que tienen lugar para obtener ese resultado. Una vez identificado el proceso cabe graficarlo mediante un cursograma o flujograma, deben apropiarse a las dependencias o áreas de la organización donde ellas tienen lugar.

Áreas consideradas críticas

La experiencia nos indica que las áreas donde se llevan a cabo operaciones o procesos más susceptibles de padecer acciones corruptas son:

• Selección de oferentes para la ejecución de obras y/o adquisición de bienes o servicios.• Análisis de reclamos que involucren intereses de terceros, ajenos a la administración.• Áreas de resolución de pedidos de excepciones a reglamentaciones.• Concesión de permisos, licencias, concesiones, etc. para la explotación de bienes y /o recursos

públicos,• Áreas de negociación,• Áreas de inspección, muy particularmente las de tasas y tributos,• Adjudicación de subsidios y/o subvenciones,• Concesión de beneficios fiscales extraordinarios.

3. Relevamiento y evaluación del sistema de control interno

Una vez identificadas las áreas a ser analizadas con detenimiento, el auditor deberá desarrollar el procedimiento habitual de auditoría de relevamiento y evaluación del sistema de control interno imperante en ellas. A estos efectos deberá, sin embargo, mantener en mente el fin que persigue, esto es formarse una opinión de que existe una razonable seguridad en los sistemas instituidos por la organización, y que ellos funcionan, para prevenir a la organización de maniobras corruptas o fraudulentas. En ese orden, el hincapié deberá estar puesto en los sistemas diseñados por la organización para formar las decisiones que darán lugar a los actos administrativos.

Conviene señalar que el desarrollo de este punto está realizado considerando que la maniobra corrupta más frecuente es la de decisiones de los funcionarios con fines distintos al bien de la organización a la que pertenecen y no el robo o sustracción de activos, en consecuencia, no se han orientado específicamente los procedimientos con el objeto de detectar tales actos.


15


Esos sistemas implementados deben brindarle al auditor una seguridad razonable de que: las decisiones que se tomen estén de acuerdo con las leyes y normas vigentes, se encuentra adecuadamente explicitada la fundamentación de las decisiones tomadas, sea ese fundamento técnico o sustentado en principios de economía y/o eficiencia, la totalidad de las voluntades/ opiniones pertinentes están documentadas y resguardadas, cualquiera sea el soporte elegido (considerado válido en el ámbito), el sistema de información implementado permite rendir cuentas integrales de las decisiones tomadas, hay consistencia en las decisiones de la organización, esto es que ante casos de similares características se resuelve en el mismo sentido.

El método

El método sugerido para este relevamiento involucra los siguientes pasos:

. . comprender el proceso establecido para aquellas operaciones/ actos de la administración identificados para ser analizados en profundidad (ver punto 2),

. . identificar las áreas (y personas) que llevan adelante las tareas involucradas en esos procesos y analizar la segregación de funciones en las mismas; resulta muy útil la diagramación del circuito,

. . explicitar los objetivos del control, esto es aquellas actividades donde debería ir formándose la decisión de la administración y las características de esos dictámenes.

. . identificar los posibles errores de competencia (facultad legal) en la decisión.

. . identificar todas las áreas técnicas con competencia para resolver sobre la materia objeto de trámite.

. . identificar los controles existentes en el proceso para garantizar que se hayan respetado las instancias mencionadas en los puntos anteriores o que, en su defecto, se encuentre adecuadamente expuesta la excepción.

. . identificar los controles existentes para asegurar que el proceso comprenda la integridad de trámites de la naturaleza en cuestión,

. . verificar que los trámites y controles identificados efectivamente funcionen.

. . verificar el método de custodia documental (cualquiera sea el método elegido), tendiente a permitir una rendición de cuentas, en el sentido amplio del término, de lo actuado,

. . verificar el grado de confiabilidad de los soportes documentales.

Si bien el listado que precede puede parecer excesivo, no es más que el reflejo del proceso lógico que todos los auditores realizamos cuando llevamos a cabo un relevamiento de control interno, esta vez aplicado a la identificación de sistemas débiles para detectar y evitar la corrupción.

4. Evaluación del grado de discrecionalidad del funcionario

La discrecionalidad del funcionario en áreas críticas tiene que estar reducida a su mínima expresión y debe tener claramente delimitada la responsabilidad, sólo a aquellos casos que escapan a la rutina del área bajo análisis. La determinación de cuáles son los niveles razonables dependerá del criterio del auditor.A estos efectos deberá considerar cuál es la “rutina” de las áreas que evalúa. Pueden ofrecer especial dificultad aquellas cuya misión sea la resolución de excepciones. En estos casos, el auditor debe poner énfasis en la sistematización de las problemáticas a resolver. Las facilidades que nos ofrece hoy día la tecnología para manejar bases de datos extensas y clasificar información con una velocidad y economía increíbles hasta hace unos años permiten al funcionario tener “memoria” de


16


lo actuado con anterioridad, sea por sí o por sus antecesores, esto es la consistencia en las decisiones. Eso es lo esperable. Pueden existir cambios de opinión, pero estos deben estar justificados.

Otro aspecto conexo a considerar es si existe en la organización, respecto de los trámites involucrados, la adecuada segregación de funciones. Ello reduce el riesgo de que una persona esté en condiciones tanto de cometer como de ocultar actos fraudulentos o dolosos.

Cuando las funciones de detección de la necesidad (sea de comprar o tomar una decisión sobre un requerimiento de un tercero), el análisis y la decisión propiamente dichas, las ejecuta una sola persona, ella está en posición de cometer y ocultar la irregularidad o fraude. Por ejemplo si en una operación de compra de equipamiento informático quién pone de manifiesto la necesidad, autoriza la compra y la gestiona es el mismo individuo, existe posibilidad que los requerimientos puedan estar “preparados” de manera que la oferta admisible sea una y sólo una.

5. Análisis en particular de las operaciones.

La selección de las operaciones en particular deberá ser muy cuidadosa, teniendo en cuenta que difícilmente pueda evaluarse la totalidad de las operaciones involucradas. En ese orden, entendemos que debiera incluir aquellos trámites de excepción, que se apartaron de la normativa, o bien, de los usos y costumbres, así como también al análisis de aquellos trámites demorados y/o denegados.

El análisis de las operaciones se relevará a partir de la documentación existente propia del caso en cuestión, entrevistas con los participantes en la tramitación y, de considerarlo necesario, el requerimiento de información a terceros. Atento al tipo de conclusiones a las que se pretende arribar, cabe tomar contacto con otros terceros no beneficiarios de las operaciones pero potenciales involucrados; por ejemplo, oferentes no adjudicatarios de la contratación analizada, o bien donde el proceso identificado como de riesgo sea la tramitación de excepciones, entrevistar a otros empresas o individuos que hubieren requerido excepción y su trámite se encuentre demorado, en vías de resolución o denegado.

Parámetros de Análisis

Revisten especial interés en este tipo de análisis los parámetros identificados, tendientes a formar la opinión de auditoría de que no están dadas las condiciones para concluir razonablemente que el riesgo de que se verifiquen maniobras dolosas es nulo o lo razonablemente bajo como para que no justifique el costo que demandaría una investigación más profunda por el Grupo de Trabajo especializado.

Creemos útil incluir algunos parámetros que hemos desarrollado en la práctica, (estando claros de que resulta imposible consignar el total de los parámetros de comparación para este tipo de evaluación) a modo de enumeración se considera que debe:

Existir una actitud de los funcionarios de respeto por las leyes y la normativa aplicable, Códigos de Ética y Conducta que deben cumplir y observar.

Existir respeto e interés por el control y una actitud que lo facilite,


17


Existir espíritu de pertenencia a la organización y una actitud de defensa de sus intereses,

Existir sistemas de reclutamiento y promoción de personal sustentados en la idoneidad y el mérito,

Procurar que los niveles de vida de los funcionarios deben estar acorde con sus ingresos,

Existir una adecuada segregación de funciones, Facilitar que las decisiones sean tomadas por quien tenga competencia legal

para hacerlo Existir consistencia en las decisiones que se tomen. Las decisiones deben estar fundamentadas, el fundamento podrá ser técnico o

por criterios de economía y/o eficiencia, Existir reglas claras y equitativas para la formación de las decisiones de la

Administración y deben ser de fácil acceso a los terceros que tienen un interés legítimo en ellas.

Las decisiones de rutina deben estar sistematizadas, ya sea mediante reglamentos o instrucciones internas, de forma que permita quitar discrecionalidad al funcionario y reducir costos de tramitación, minimizar los trámites de “excepción”, cuando se sigan estos trámites, deberán estar adecuadamente fundamentadas y documentadas las razones que los motivaron, así como también su resolución.

Existencia de un sistema efectivo de rendición de cuentas En aquellos casos de adquisiciones, deberá resultar posible analizar el costo de las mismas y su

comparación con valores de mercado. Esto reviste especial interés en las contrataciones de obras de infraestructura.

Grupo de Trabajo Especial

La creación de un Grupo de auditores especializados y multidisciplinario a efectos de incorporarse en la etapa de investigación puede ser una solución práctica.

En el marco descrito, la investigación de la potencial existencia de hechos de corrupción podría hacerle perder al auditor su objetivo principal. Podría darse el caso extremo de que mediante sus tareas, los auditores aseguren, con un grado alto de razonabilidad, la no existencia de prácticas corruptas, pero a la vez, la gestión ser totalmente inadecuada. (Por ejemplo: funcionarios honestos pero incapaces).

No creemos que se deba desligar el análisis de la gestión y la corrupción; si hay una buena gestión se debe entender que no existe un marco propicio para que se configuren actos de corrupción, por el contrario, si hay corrupción, seguramente la gestión no ha de ser la adecuada, de ahí la necesidad de realizar auditorías integrales.

Este Grupo de Trabajo debe actuar una vez que los auditores han detectado elementos que les hacen presumir actividades o acciones que pueden ser definidas como corruptas. Debe tener una formación profesional multidisciplinaria y estar integrada por personas de reconocida probidad y experiencia.


18


A nuestro entender, debe existir una estrategia de implementación, que mínimamente, contemple los siguientes aspectos:

• En una primera etapa abordar los problemas más graves y poner todos los recursos en ello, a fin de obtener resultados en un período corto de tiempo. Esto pretende darle confianza al auditor, dar el mensaje de que se está trabajando seriamente y beneficiarse con esos resultados que operan como disuasivos y preventivos.

• Propiciar que el Grupo recabe información de los distintos equipos de auditoría y promueva reuniones a fin de intercambiar experiencias y proveer de nuevos elementos a todos los auditores.

• Aumentar la presencia en aquellos lugares que fueron identificados como potenciales lugares de corrupción.

• En las áreas identificadas, trabajar a fondo y sin tolerancia, realizar informes que sean claros y completos. Más allá de que la ecuación costo-beneficio no sea favorable.

• Trabajar sobre la mentalidad del auditor y capacitarlo sobre estos temas. Debe existir por parte de la EFS un compromiso claro en materia de capacitación y adecuación de las habilidades, conocimientos y técnicas a las necesidades. En ese sentido es función primordial de las EFS mantener a los auditores actualizados en las distintas técnicas y recursos tecnológicos.

Además, se deben definir las características y habilidades necesarias para formar parte del Grupo de Trabajo, así como también para realizar auditorías en aquellas áreas identificadas con mayor riesgo para la concreción de actividades corruptas.

CONCLUSIONES

Como funcionarios de órganos de control y como ciudadanos, debemos exigir y aportar nuestra cuota para que la lucha contra el flagelo de la corrupción no se limite sólo a una batalla reclamativa. Actualmente, se percibe a las EFS como organismos que juegan un rol relevante en la detección de acciones corruptas. Si bien esto es así, también deben generar elementos que ayuden a combatir las causas que generan estos actos. De otra manera estaríamos creando soluciones coyunturales y no combatiendo el problema de raíz. Hemos definido que las causas pueden ser varias. La influencia de las EFS sólo puede darse en aquellas organizaciones sobre las que desarrollan su trabajo. Debemos, por lo tanto, agudizar nuestro ingenio a fin de combatir en la práctica la corrupción.

Nuestra propuesta sólo intenta ser un primer paso en el tratamiento de este fenómeno.

Esperando que pueda ser útil para los miembros de la OLACEFS en general y de los auditores en particular. Seguramente mucho habrá que trabajar sobre ella y muchos cambios deberán ser introducidos. Asimismo, crea un marco de combate contra la corrupción dentro del ambiente regional, lo que puede promover la colaboración entre las EFS dado el carácter transnacional que detenta la corrupción y a su vez las similitudes en sus orígenes y modos de operar a nivel de cada país en particular.

La utilización de la auditoría de gestión como medio para prevenir las actividades de corrupción en organizaciones con fallas en su gestión, el razonamiento de actuar sobre ella identificando las áreas


19


de mayor riesgo, y la creación de un Grupo de Trabajo con especialistas que sirvan de soporte a los auditores son los elementos más destacables del método propuesto.

Creemos indispensable, entonces, la implementación y mejoramiento de la auditoría de gestión. En ese marco, elaboramos procedimientos que pueden resultar útiles para su implementación y desarrollo como medio de prevención y lucha contra la corrupción.

Además de los procedimientos normales de esta auditoría, hemos desarrollado procedimientos especiales tendientes a cumplir este objetivo.

El método propuesto sigue el razonamiento lógico de auditoría de gestión, esto es conocimiento profundo de la entidad, detección de los riesgos de que puedan existir maniobras corruptas, identificación de las áreas donde esos riesgos se verifican y seguimiento de procedimientos específicos para satisfacernos razonablemente de su inexistencia.

Implicaría también una clara definición de cómo debe actuar el auditor, definición que hoy entendemos muy necesaria.

Asimismo, creemos que es importante la creación de Grupos de Trabajo especializados dada la trascendencia del tema y las distintas formas en las que se puede manifestar. Este grupo quitaría la presión sobre los auditores durante el desarrollo de su trabajo. A su vez, les permitiría focalizarse sobre la gestión propiamente dicha.

Todos estos elementos tomados en su conjunto pueden ser aplicables a las distintas EFS y es nuestra esperanza que contribuyan a la acción fiscalizadora de Latinoamérica.

Entendemos que nuestra propuesta no es la única manera de combatir la corrupción. Debe ser combatida desde muchos frentes e incluyendo muchos aspectos. Las EFS por sí, son sólo una herramienta más. Nuestra propuesta tampoco es la única manera con la que cuentan las EFS para combatir la corrupción, seguramente puede y debe ser ampliada por cada una de ellas de acuerdo a sus circunstancias.


20

Guia de Auditoría Forense

Documents

Transcript of Guia de Auditoría Forense