Programas y Controles Antifraude
Programas & Controles Antifraude Tabla de contenidos Introducción Vista de conjunto Programas y Controles Antifraude --
Views 107 Downloads 11 File size 917KB
Recommend stories
- Author / Uploaded
- Matias Nahuel Di Vizio
Citation preview
Programas & Controles Antifraude Tabla de contenidos Introducción Vista de conjunto Programas y Controles Antifraude --
La estructura de COSO
Sección 1: Preguntas a considerar Sección 2: Ejemplo de plan de implementación – Realización de valoraciones del riesgo de fraude
Introducción En el actual entorno de los negocios, con requerimientos legislativos y regulatorios incrementados, hay una necesidad grande de que las organizaciones entiendan y aborden los riesgos de fraude. La probabilidad de la ocurrencia del fraude puede ser reducida mediante la implementación de programas y controles antifraude efectivos, que puedan oportunamente identificar el fraude y minimizar el daño resultante. La prevención y detección del fraude también tiene buen sentido de negocios y puede ofrecerle ahorros de costos para la organización.
Sección 3: Muestra del proceso Sección 4: Lista muestra de esquemas de fraude Sección 5: Pasos y consideraciones Apéndice: Estándar de Auditoría No. 5 de la US-PCAOB Este documento tiene la intención de ofrecer información y consideraciones generales sobre un tema o temas particulares y no constituye un tratamiento exhaustivo de tal(es) tema(s). Este documento ofrece referencias generales a varias fuentes, incluyendo la Ley Sarbanes-Oxley de 2002, la U.S. Securities and Exchange Commission, la Public Company Accounting Oversight Board, el American Institute of Certified Public Accountants, y el Committee of Sponsoring Organizations of the Treadway Commission. Es responsabilidad de las juntas de directores, de los comités de auditoría y de las compañías leer e interpretar las fuentes, o la información recibida de ellas, para determinar, personalizar y ajustar las respuestas con base en los hechos, circunstancias y requerimientos de su compañía. Por medio de este documento Deloitte & Touche LLP (Deloitte & Touche) no está prestando asesorías o servicios profesionales de contabilidad, finanzas, inversión, legales, tributarios o de otro tipo. Este documento no es sustituto de tales asesorías o servicios profesionales, ni debe ser usado como base para cualquier decisión o acción que pueda afectar su negocio. La información contenida en este documento probablemente cambiará en aspectos materiales; Deloitte & Touche no está en obligación de actualizar tal información. Antes de tomar cualquier decisión o realizar cualquier acción que pueda afectar sus intereses profesionales, usted debe consultar a un asesor profesional calificado. Deloitte & Touche no es responsable por cualquier pérdida tenida por cualquier persona que confíe en este documento.
Este documento ofrece ejemplos y consideraciones dirigidos a la administración y a los auditores con relación al riesgo de fraude y los programas y controles antifraude, y está escrito en el contexto del Control Interno – Estructura Conceptual Integrada del Committee of Sponsoring Organizations (COSO) de la Treadway Commission1.
Vista de conjunto El fraude siempre ha constituido un riesgo de negocio para las organizaciones. Los escándalos de alto perfil relacionados con la información financiera han renovado el centro de atención puesto en el fraude, resultando en legislación comprensiva y elaboración de reglas por parte de la Securities and Exchange Commission (SEC) relacionadas con el gobierno corporativo y los controles internos. La Sección 404 de la Ley Sarbanes de 2002, Valoración, realizada por la administración, respecto de los controles internos, requiere que la administración de la compañía registre un reporte anual en relación con el control interno sobre la información financiera. La resultante Regla Final de la SEC: Reportes de la administración respecto del control interno sobre la información financiera y certificación de la revelación en los reportes periódicos de la ley de valores, ofrece orientación sobre las responsabilidades de la administración relacionadas con el fraude:
Internal Control – Integrated Framework, Committee of Sponsoring Organizations of the Treadway Commission, copyright 1992, 1994. El resumen ejecutivo y la información para ordenar el documento completo está disponible en: http://www.coso.org/publications/executive-summary_integrated_framework.htm.
1
1
La valoración del control interno sobre la información financiera de la compañía se tiene que basar en procedimientos que sean suficientes tanto para evaluar su diseño como para probar la efectividad de su operación. Los controles que están sujetos a tal valoración incluyen… controles relacionados con la prevención, identificación y detección del fraude2. Adicionalmente, el Estándar de Auditoría No. 2 de la Public Company Accounting Oversight Board (PCAOB) incrementó las responsabilidades de los auditores más allá de las requeridas por la Statement on Auditing La prevención Standards, Consideration of y detección del Fraud in a Financial Statement fraude tiene Audit (SAS 99) (Declaración buen sentido sobre los estándares de auditoría, de negocios Consideración del fraude y puede ofreen la auditoría de estados cerle ahorros de financieros). Si bien el SAS 99 costos para la ofrece orientación detallada organización sobre la valoración del riesgo de fraude, solamente requiere que el auditor obtenga un entendimiento de los programas y controles antifraude de la administración. Según el Estándar de Auditoría No. 2 de la PCAOB, los auditores deben evaluar los programas y controles antifraude como parte de la auditoría del control interno sobre la información financiera. El Estándar de Auditoría No. 2 de la PCAOB señala: El auditor debe evaluar todos los controles que de manera específica tienen la intención de tratar los riesgos de fraude que tengan al menos una probabilidad razonablemente posible de tener un efecto material en los estados financieros de la compañía. Esos controles pueden ser parte de cualquiera de los cinco componentes del control interno sobre la información financiera… Los controles relacionados con la prevención y detección del fraude a menudo tienen un efecto generalizado sobre el riesgo de fraude. Tales controles incluyen, pero no están limitados a: Controles que restringen el uso indebido de los activos de la compañía, uso que pudiera resultar en una declaración equivocada material de los estados financieros;
especialmente las relacionadas con conflictos de interés, transacciones con partes relacionadas, actos ilegales, y monitoreo del código por parte de la administración y del comité de auditoría o la junta; Lo adecuado de la actividad de auditoría interna, y si la función de auditoría interna le reporta directamente al comité de auditoría, así como la extensión de la participación del comité de auditoría con la auditoría interna; y Lo adecuado de los procedimientos de la compañía para manejar los reclamos y para aceptar la presentación confidencial de las preocupaciones sobre asuntos cuestionables de contabilidad o auditoría. Cuando diseña el control interno sobre la información financiera de la compañía, parte de la responsabilidad de la administración es diseñar e implementar programas y controles para prevenir, disuadir y detectar el fraude. La administración, junto con quienes tienen responsabilidad por la supervisión del proceso de información financiera (tal como el comité de auditoría), debe establecer el tono adecuado; crear y mantener una cultura de honestidad y estándares éticos altos; y establecer controles apropiados para prevenir, disuadir y detectar el fraude3. Dada la importancia de los programas y controles antifraude de la administración, las deficiencias en esta área ordinariamente constituyen al menos una deficiencia importante en el control interno sobre la información financiera. El parágrafo 139 del Estándar de Auditoría No. 2 de la PCAOB señala: La interacción de las consideraciones cualitativas que afectan al control interno sobre la información financiera con las consideraciones cuantitativas, ordinariamente resulta en deficiencias en las siguientes áreas que son al menos deficiencias importantes en el control interno sobre la información financiera: Controles sobre la selección y aplicación de las políticas de contabilidad que estén en conformidad con los principios de contabilidad generalmente aceptados; Programas y controles antifraude;
Procedimientos de valoración del riesgo de la compañía;
Controles sobre las transacciones no-rutinarias y no-sistemáticas; y
Determinaciones del código de ética/conducta, Final Rule: Management´s Report on Internal Control Over Financial Reporting and Certification Disclosure in Exchange Act Periodic Reports, U.S. Securities and Exchange Commission, 2003, Section (II)(B)(3)(d). Copia electrónica puede verse en: http://www.sec.gov/rules/final/33-8238.htm. 2
Release No. 2004-001: Auditing Standard No. 2, An Audit of Internal Control Over Financial Reporting Performed in Conjunction with an Audit of Financial Statements, Public Company Accounting Oversight Board, 2002, parágrafos 24 y 25. Puede obtenerse copia electrónica en: http://www. pcaobus.org/rules/Release-10040308-1.pdf. 3
2
Controles sobre el proceso de información financiera de final del período, incluyendo los controles sobre los procedimientos usados para ingresar los totales de las transacciones en el libro mayor; iniciar, autorizar, registrar y procesar los asientos del libro diario en el libro mayor; y el registro de los ajustes recurrentes y no-recurrentes en los estados financieros. El Estándar de Auditoría No. 2 de la PCAOB observa que los controles anti-fraude pueden ser parte de cualquiera de los cinco componentes del control interno sobre la información financiera y refieren a la estructura conceptual de COSO. Los programas y controles antifraude no son complementarios de COSO (i.e., no representan una capa adicional a la estructura), sino que están inmersos en los cinco componentes de la estructura existente.
Resumen de los términos clave Fraude. El entendimiento del fraude es esencial en orden a que la administración y los auditores puedan llevar a cabo sus respectivas responsabilidades. El fraude es definido en los parágrafos 5 y 6 del SAS 99 como, … el acto intencional que resulta en una declaración equivocada material contenida en los estados financieros sometidos a auditoría. Dos tipos de declaraciones equivocadas son relevantes para la consideración que el auditor hace respecto del fraude – declaraciones equivocadas que surgen de la información financiera fraudulenta y declaraciones equivocadas que surgen del uso indebido de activos. Reconociendo que el fraude puede tomar muchas formas4, y que el concepto de materialidad es de naturaleza tanto cuantitativa como cualitativa, se recomienda que cuando diseñe e implemente los programas y controles antifraude la administración considere los tipos adicionales de fraude (incluyendo los que no están referenciados directamente en el SAS 99 o en el Estándar de Auditoría No. 2 de la PCAOB). Los ejemplos de los tipos de fraude que la administración debe considerar incluyen: información financiera fraudulenta declaraciones equivocadas que surgen del uso indebido de los activos gastos inapropiados o no-autorizados (incluyendo sobornos y otros esquemas indecorosos de pago)
negocios consigo mismo (incluyendo sobornos) violaciones de leyes y regulaciones (incluyendo las que exponen a la compañía o a sus agentes a acciones regulatorias o criminales, e.g., fraudes con valores, firma de confirmaciones falsas de auditoría) Programas & Controles Antifraude. La orientación sobre los programas y controles antifraude de la administración se encuentra en el SAS 99 y en la muestra anexa, Management Antifraud Programs and Controls (Programas y controles antifraude de la administración), que describe las actividades de control que la administración debe considerar para abordar los riesgos de fraude. El parágrafo 20 del SAS 99 observa: El auditor debe indagar a la administración respecto de… programas y controles que la entidad haya establecido para mitigar riesgos de fraude específicos que la entidad haya identificado, o que de otra manera ayuden a prevenir, disuadir y detectar el fraude, así como la manera como la administración monitorea esos programas y controles.
Programas y controles antifraude – La estructura de COSO Los siguientes son los cinco componentes derivados de Control Interno – Estructura Conceptual Integrada de COSO que la administración puede considerar con relación a sus responsabilidades por los programas y controles antifraude: 1. Realizar valoraciones del riesgo de fraude 2. Crear un ambiente de control 3. Diseñar e implementar actividades de control antifraude 4. Compartir información y comunicación 5. Monitoreo de actividades
Realizar valoraciones del riesgo de fraude El primer paso al abordar el fraude es la valoración del riesgo de fraude. Las valoraciones del riesgo de fraude están diseñadas para identificar y evaluar los factores de riesgo de fraude que permitirían que ocurra el fraude dentro de la organización. Cada organización tiene riesgos de fraude inherentes que surgen de las condiciones
El Black’s Law Dictionary (Sixt Edition, 1990) define fraude como, “La perversión intencional de la verdad con el propósito de inducir a otro a que participe con alguna cosa valiosa que le pertenece o que renuncie al derecho legal. La representación falsa de una materia de hecho, ya sea mediante palabras o mediante conducta, por medio de alegatos falsos o que conduzcan a error, o por el ocultar algo que ha debido ser revelado, que engaña y tiene la intención de engañar a otro de manera que actúe a partir de su daño jurídico… Un término genérico, que abarca todos los medios multifacéticos que la ingenuidad humana pueda concebir, a los que acude un individuo para obtener ventaja sobre otro por medio de sugerencias falsas o mediante la eliminación de la verdad, e incluye sorpresa, truco, astucia, simulación y cualquier otra forma no razonable mediante la cual otro sea engañado.” 4
3
externas relativas para la industria de la entidad, las operaciones, localizaciones geográficas, tamaño, estructura organizacional y condiciones económicas generales. Por ejemplo, el SAS 99, parágrafo 41 observa que las declaraciones equivocadas materiales debidas a información financiera fraudulenta a menudo resultan de las sobre-declaraciones de ingresos ordinarios y que por consiguiente, el auditor ordinariamente debe suponer que hay un riesgo de declaración equivocada material debida a fraude en relación con el reconocimiento de ingresos ordinarios. La mayoría de las compañías ya han abordado en algún nivel los riesgos de robo. Las valoraciones del riesgo de fraude son más que el proceso de identificar los riesgos de robo y también deben abordar otros fraudes, incluyendo la información financiera fraudulenta y otros usos indebidos de activos. La valoración del riesgo de fraude implica un foco expandido en la consideración de dónde pueden existir factores de riesgo de fraude dentro de la organización y los esquemas de fraude potenciales que podrían ser cometidos. La administración tiene la responsabilidad primaria por realizar las valoraciones del riesgo de fraude. El comité de auditoría debe tener un rol activo en la supervisión del proceso, entender los riesgos de fraude identificados, y evaluar la implementación que la administración hace respecto de las medidas anti-fraude. La evaluación y supervisión que realiza el comité de auditoría no solamente aseguran que la administración cumple plenamente su responsabilidad, sino que también sirve para disuadir que la misma administración se vincule a actividades fraudulentas. El comité de auditoría, junto con la administración, también debe considerar el riesgo potencial de que la administración eluda los controles o tenga otra influencia inadecuada sobre el proceso de información financiera. El parágrafo 8 del SAS 99 observa que, La administración tiene una capacidad única para cometer fraude dado que frecuentemente está en posición para manipular directa o indirectamente los registros de contabilidad y presentar información financiera fraudulenta. La información financiera fraudulenta a menudo implica que la administración eluda los controles que de otra manera puedan parecer que estén operando de manera efectiva. Se debe prestar especial consideración al riesgo de elusión de los controles por parte de la administración tales como (1) registro de asientos ficticios y otros ajustes en el libro diario, particularmente los registrados cerca del final del período contable; (2) supuestos y juicios intencionalmente sesgados usados para estimar saldos de cuentas; y (3) 4
ejecutar transacciones importantes que estén por fuera del curso normal del negocio de la entidad y que carezcan de sustancia económica. La valoración del riesgo de fraude debe ser realizada sin considerar la existencia o efectividad de los controles internos, y debe ser actualizada periódicamente para incluir los cambios en las operaciones y las revisiones a los riesgos de fraude identificadas durante el monitoreo de las actividades de los programas antifraude. En la Sección 2, Ejemplo de plan de implementación – Realización de valoraciones del riesgo de fraude, se ofrece un ejemplo del plan de implementación para la realización de las valoraciones del riesgo de fraude.
Crear un ambiente de control Se debe dar énfasis al ambiente de control de la entidad dado que influye en el tono de toda la organización. Es el fundamento para todos los otros componentes del control interno y ofrece disciplina y estructura. Los factores del ambiente de control incluyen la integridad, los valores éticos y la competencia de la administración y de los empleados de la entidad y tiene un efecto penetrante en la manera como se estructuran y ejecutan las actividades del negocio. El ambiente de control le permite a la entidad desarrollar una estructura ética que debe abordar: problemas de información financiera fraudulenta, uso indebido de los activos, corrupción y otros relacionados con el fraude. El ambiente de control debe establecer el adecuado “tono desde lo alto”, el cual incluye una cultura y ambiente de trabajo que promueva la comunicación abierta, la consulta y el comportamiento ético. El ambiente de control debe estar generalizado a través de la organización, tanto en acciones como mediante palabras. Debe:
crear y mantener una cultura de honestidad, estándares éticos altos, y comportamiento
ofrecer disciplina para las violaciones del código de conducta/ética
establecer un tono apropiado para la actitud de la entidad frente al fraude y la prevención del fraude
promover controles para prevenir, disuadir y detectar el fraude.
El ambiente de control establece y promueve la actitud colectiva hacia el logro del control interno efectivo y la generación de estados financieros confiables. Son críticos el adecuado diseño y la efectividad del ambiente de control. Para mitigar los riesgos de fraude no es suficiente tener controles por sí mismos. Por ejemplo, si los empleados no han sido disciplinados por las violaciones del
código de conducta/ética de la compañía, es probable que el código sea inefectivo. Todos los empleados tienen un rol en el ambiente de control. La administración, la junta de directores y el comité de auditoría tienen la responsabilidad primaria por la creación del tono desde lo alto de la organización. El comité de auditoría debe tener un rol activo en la supervisión de los esfuerzos de la administración para diseñar e implementar controles internos, incluyendo programas y controles antifraude, y debe desafiar a la administración para asegurar que los riesgos de fraude sean identificados y que se implementen y monitoreen actividades de control que sean apropiadas. Los elementos del ambiente de control se discuten en la Sección 5, Pasos y consideraciones e incluyen: tono desde lo alto supervisión por parte del comité de auditoría y la junta de directores participación de la auditoría interna código de ética/conducta línea ética directa y programa de denuncias anónimas entrenamiento respuestas a las deficiencias de control y a las denuncias de fraude
Diseño e implementación de actividades de control antifraude Luego que se realicen las valoraciones del riesgo de fraude y se identifiquen los riesgos de fraude, la administración debe abordar cada riesgo de fraude identificado, haciéndolo mediante la determinación de las actividades de control que existen y mitigan los riesgos. Las actividades de control son políticas y procedimientos diseñados para tratar los riesgos y ayudan a asegurar el logro de los objetivos de la entidad. Las actividades de control ocurren a través de la organización, en todos los niveles y controles. Las actividades de control antifraude pueden ser preventivas y/o detectivas. Los controles preventivos están diseñados para mitigar riesgos de fraude específicos y pueden disuadir que ocurra el fraude, mientras que las actividades de control están diseñadas para identificar el fraude si ocurre. Los controles detectivos también pueden ser usados para el monitoreo de las actividades con el fin de valorar la efectividad de los controles antifraude y pueden ofrecer evidencia adicional respecto de la efectividad de los programas y controles antifraude.
Algunas de esas actividades de control pueden ser de naturaleza automatizada e incluir sistemas de tecnología de la información (TI). Cuando las actividades de control ya no están presentes, la administración debe diseñar e implementar controles adicionales para abordar de manera específica los riesgos de fraude identificados. Se debe prestar consideración especial al riesgo de que la administración eluda los controles. Algunos programas y controles que tratan con la capacidad que tiene la administración para eludir los controles incluyen: (1) supervisión activa por parte del comité de auditoría; (2) programas de denuncias anónimas y sistemas para recibir e investigar los reclamos anónimos; y (3) revisar los asientos al libro diario y los otros ajustes, en búsqueda de posibles declaraciones equivocadas materiales debidas a fraude.
Compartir información y comunicación La comunicación efectiva es un elemento importante de todas las fases de la implementación de los programas y controles antifraude. La filosofía de la compañía sobre la prevención del fraude y los programas y controles antifraude deben ser comunicados claramente a través de la organización de manera que los empleados sean conscientes de las actividades antifraude, tengan un entendimiento claro de lo que se espera de ellos, y conozcan que la organización toma en serio el riesgo de fraude. Esas comunicaciones deben emanar de todos los niveles de la organización y deben incluir comunicaciones con partes externas cuando sea apropiado (incluyendo clientes, proveedores, y agentes). El código de conducta o ética de la compañía a menudo es la primera línea de comunicación relacionada con su filosofía sobre la prevención del fraude. Sin embargo, se deben usar otros métodos de comunicación para crear conciencia respecto de los programas y controles antifraude. La información sobre los programas antifraude puede ser comunicada mediante manuales para empleados (ya sean impresos o en línea), boletines de noticias de la compañía, sitios internet de la compañía, entrenamiento, y mediante presentaciones o discusiones dirigidas por la administración. Los programas y controles antifraude de la administración también deben ser documentados para ofrecer respaldo razonable respecto de sus valoraciones del diseño y la efectividad de la operación de los controles. Los procedimientos implementados para facilitar los procesos de comunicación e información deben ser ellos mismos controlados para prevenir acceso o cambios noautorizados.
Monitoreo de actividades La administración y las otras partes apropiadas en la compañía deben monitorear la calidad y la efectividad de los programas y controles antifraude. El monitoreo de las 5
actividades y las valoraciones constan de procedimientos que incluyen evaluaciones independientes de los controles antifraude que pueden ser realizadas por la auditoría interna o por otros grupos, tales como los propietarios de los procesos de negocio, así como otras actividades de monitoreo continuo que se construyen en las actividades normales de la operación recurrente, tal como las conciliaciones oportunas. Los procedimientos de monitoreo continuo se construyen en las actividades normales de la operación recurrente y a menudo pueden ser más efectivos que las evaluaciones separadas dado que ocurren en tiempo real. Ejemplos de las actividades de monitoreo continuo incluyen:
de sus otros agentes y mediante el tener y promocionar un sistema de presentación de reportes en el que los empleados y los otros agentes podrían reportar la conducta criminal de otros dentro de la organización sin temor a represalias5. Los programas antifraude plenamente efectivos son dinámicos, la información que se obtiene a través del proceso de monitoreo se incorpora de nuevo al proceso de valoración y comienza de nuevo todo el proceso. Este documento está dividido en las siguientes secciones: Sección 1:
Preguntas a considerar. Una lista de preguntas a considerar con relación a los programas y controles antifraude, en el contexto de la estructura de COSO.
Sección 2:
Ejemplo de plan de implementación – Realización de valoraciones del riesgo de fraude. Ilustra los pasos clave al realizar la valoración del riesgo de fraude
Sección 3:
Muestra del proceso. Dos ejemplos de la evaluación de los riesgos de fraude y de los programas y controles vinculados a esos riesgos.
(A) Reconocimiento inapropiado/temprano de ingresos ordinarios
(B) Elusión de los controles por parte de la administración. Asientos o ajustes inapropiados en el libro diario
Sección 4:
Lista muestra de esquemas de fraude. Una lista de esquemas de fraude para ayudar a identificar los riesgos de fraude, escenarios y esquemas posibles, cuando se realizan o evalúan las valoraciones del riesgo de fraude.
Sección 5:
Programas & Controles Antifraude – Pasos y consideraciones. Una discusión detallada de las consideraciones de los programas y controles antifraude.
conciliaciones de los reportes de operación y financieros comunicaciones regulares con partes internas y externas revisiones regulares y recomendaciones de los auditores internos sesiones de planeación y entrenamiento para solicitar retroalimentación respecto de si los controles son efectivos. Las evaluaciones independientes de los controles varían en alcance y frecuencia, y comúnmente son realizadas por la auditoría interna. Las evaluaciones separadas pueden implicar la implementación de actividades detectivas. Por ejemplo, auditoría interna puede diseñar pruebas para mirar de manera específica los casos de reconocimiento temprano de los ingresos ordinarios para asegurar que los controles existentes para el reconocimiento de los ingresos ordinarios están operando de manera efectiva. Los controles detectivos son esenciales para los programas antifraude dado que ofrecen una señal adicional de la efectividad de las actividades de control preventivas y pueden identificar los factores adicionales de riesgo de fraude que deben ser incluidos en la valoración del riesgo de fraude que realiza la administración. Algunas actividades de monitoreo pueden ser de naturaleza automatizada y, por lo tanto, pueden implicar sistemas de TI. Las organizaciones deben dar: Pasos razonables para lograr el cumplimiento con sus estándares, e.g., mediante la utilización de sistemas de monitoreo y auditoría diseñados de manera razonable para detectar la conducta criminal de sus empleados y
United States Sentencing Commission, Guidelines Manual, §8A1.2, comment 3(K), disponible en http://www.ussc.gov/2002guid/&a1_2.htm. En 1991, la United States Sentencing Commission introdujo siete criterios para los programas efectivos para prevenir y detectar violaciones de la ley (incluyendo fraude). Las enmiendas a las Sentencing Guidelines fueron presentadas al Congreso el 20 de Abril del 2004. El texto oficial de esas enmiendas está disponible en la página web de la Comisión en www.ussc.gov y http://www.ussc.gov/2004quid/2004conq.pdf. 5
6
Sección 1 Preguntas a considerar La siguiente es una lista de algunas de las preguntas para que la administración las considere cuando diseñe y evalúe programas y controles antifraude, relacionadas con cada uno de los componentes de COSO. La administración debe considerar y evaluar los hechos y las circunstancias de su organización (e.g., industria de la entidad, operaciones, localizaciones geográficas, tamaño, estructura organizacional, y condiciones económicas generales) y personalizar de acuerdo con ello sus programas y controles antifraude. Cada componente de COSO debe incluir documentación suficiente para respaldar los programas y los controles, así como las valoraciones y conclusiones que lleve a cabo la administración en relación con el diseño y la efectividad de la operación de los programas y controles6. Las siguientes preguntas y temas están adoptados a partir de diversas fuentes, incluyendo la Ley Sarbanes-Oxley de 2002, las Reglas Finales de la SEC sobre Sarbanes-Oxley, el SAS 99, el Estándar de Auditoría No. 2 de la PCAOB, y COSO.
Valoración del riesgo de fraude 1. ¿La compañía tiene procesos formales y programados regularmente para realizar las valoraciones del riesgo de fraude? 2. ¿Es apropiado el personal que participa en las valoraciones del riesgo de fraude? 3. ¿Las valoraciones del riesgo de fraude son realizadas en todos los niveles apropiados de la organización (tales como nivel de entidad, localizaciones o unidades de negocio importantes, saldos de cuentas importantes o niveles de procesos principales? 4. ¿La valoración del riesgo de fraude incluye la consideración de factores internos y externos (incluyendo presiones o incentivos, racionalizaciones o actitudes, y oportunidades)? 5. ¿La valoración del riesgo de fraude incluye la identificación y evaluación de los acontecimientos y denuncias pasadas de fraude dentro de la entidad e industria? ¿Incluye las evaluaciones de las tendencias o relaciones financieras inusuales identificadas a partir de procedimientos o técnicas analíticos? 6. ¿La valoración del riesgo de fraude considera el riesgo de que la administración eluda los controles? 7. ¿La administración considera el tipo, la probabilidad, la significancia y la generalización de los riesgos de fraude identificados? 8. ¿Las valoraciones del riesgo de fraude son actualizadas periódicamente para incluir las consideraciones de los cambios en las operaciones, sistemas de información nuevos, adquisiciones, cambios en roles y responsabilidades de trabajo, empleados en posiciones nuevas, resultados de las auto-evaluaciones de los controles, monitoreo de las actividades, hallazgos de auditoría interna, tendencias de la industria nuevas o en evolución, y revisiones de los riesgos de fraude identificados dentro de la organización? 9. ¿La administración valora el diseño y la efectividad de la operación de las valoraciones del riesgo de fraude? 10. ¿La administración documenta adecuadamente sus valoraciones y conclusiones en relación con el diseño y la efectividad de la operación de las valoraciones del riesgo de fraude? 11. ¿La valoración del riesgo de fraude está diseñada y opera efectivamente?
Ambiente de control 1. ¿La compañía mantiene un apropiado tono desde lo alto? ¿La administración valoró el tono de la organización para determinar si la cultura fomenta el comportamiento ético, la consulta y la comunicación abierta? (Esta valoración puede ser realizada mediante encuestas culturales anónimas, indagaciones y entrevistas, o por revisión realizada por la auditoría interna.) 2. ¿El comité de auditoría y la junta de directores realizan supervisión eficiente de los programas y controles antifraude de la administración? 3. ¿La función de auditoría interna tiene suficiente participación en los programas y controles antifraude,
6
SEC, Final Rule: Management´s Reports on Internal Control, Section (II)(B)(3)(d).
7
incluyendo el monitoreo de la efectividad de los programas y controles antifraude, dados el tamaño y la complejidad de la organización? ¿La función de auditoría interna reporta directamente al comité de auditoría? 4. ¿La compañía tiene un código de ética/conducta publicado (con determinaciones relacionadas con conflictos de interés, transacciones con partes relacionadas, actos ilegales y fraude) disponible para todo el personal y la administración requiere que los empleados confirmen que lo aceptan y están de acuerdo en seguirlo? ¿La frecuencia de las excepciones deteriora la efectividad del código? ¿El código cumple con las reglas y regulaciones aplicables? 5. ¿La compañía tiene una línea ética / de denuncias anónimas con procedimientos adecuados para manejar las denuncias anónimas (recibidas de dentro y fuera de la compañía) y para aceptar la presentación confidencial de preocupaciones respecto de asuntos cuestionables de contabilidad, control interno contable o auditoría? ¿La información y las denuncias anónimas son investigadas y resueltas oportunamente? 6. ¿La compañía tiene estándares formales de contratación y promoción, incluyendo verificaciones de los antecedentes de los empleados que tengan influencia en la información financiera o que participen en la preparación de los estados financieros? 7. ¿La compañía tiene entrenamiento formal y efectivo para los empleados y para los recién contratados, sobre problemas de fraude, ética y código de ética/conducta? 8. ¿La compañía responde de manera oportuna y apropiada a las deficiencias de control importantes, a las acusaciones o preocupaciones por fraude, y a las violaciones del código de ética/conducta? 9. ¿La administración valora el diseño y la efectividad de la operación del ambiente de control? 10. ¿La administración documenta de manera adecuada sus valoraciones y conclusiones relacionadas con el diseño y la efectividad de la operación del ambiente de control? 11. ¿El ambiente de control está diseñado y opera de manera efectiva?
Actividades de control antifraude 1. 2. 3. 4. 5. 6. 7. 8.
¿La compañía mapea o vincula adecuadamente los riesgos de fraude identificados con las actividades de control diseñadas para mitigar los riesgos de fraude? ¿La administración diseña e implementa controles preventivos y detectivos (los controles preventivos están diseñados para detener la ocurrencia del fraude y los controles detectivos están diseñados para identificar el fraude si ocurre)? ¿La compañía tiene controles que restringen el uso indebido de los activos que podría resultar en una declaración equivocada material de los estados financieros? ¿La compañía tiene controles que traten el riesgo de que la administración eluda los controles (incluyendo controles sobre asientos y ajustes al libro diario, estimados, y transacciones inusuales o no-rutinarias)? ¿La compañía considera los controles de la seguridad (incluyendo controles de la TI y el acceso limitado a los sistemas de contabilidad), y considera lo adecuado de las actividades de detección y monitoreo del fraude que utilizan los sistemas de información? ¿La administración valora el diseño y la efectividad de la operación de las actividades de control antifraude? ¿La administración documenta adecuadamente sus valoraciones y conclusiones relacionadas con el diseño y la efectividad de la operación de las actividades de control antifraude? ¿Las actividades de control antifraude están diseñadas y operan efectivamente?
Información & Comunicación 1. 2.
3. 4.
8
¿La información sobre la ética y el compromiso de la administración para con los programas y controles antifraude es comunicada efectivamente a todos los empleados a través de la organización? ¿La administración tiene procedimientos para difundir y obtener información relacionada con los programas y controles antifraude, los riesgos de fraude, las acusaciones de fraude, y las preocupaciones respecto de contabilidad inapropiada, para y desde todos los niveles de la organización y las partes externas (cuando sea apropiado)? ¿La administración valora el diseño y la efectividad de la operación de la información y comunicación? ¿La administración documenta adecuadamente sus valoraciones y conclusiones en relación con el diseño y la efectividad de la operación de la información y comunicación?
Monitoreo de las actividades 1. 2. 3. 4. 5. 6. 7.
¿Auditoría interna y otros participan activamente en el monitoreo y la valoración de los programas y controles antifraude? ¿La actividad de auditoría interna es adecuada para el tamaño y las operaciones de la organización? ¿Los hallazgos y las debilidades identificadas durante el monitoreo de las actividades son incorporadas en la valoración del riesgo de fraude, el diseño del ambiente de control y las actividades de control antifraude? ¿El comité de auditoría supervisa el monitoreo de las actividades? ¿La administración valora el diseño y la efectividad de la operación de las actividades de monitoreo? ¿La administración documenta adecuadamente sus valoraciones y conclusiones relacionadas con el diseño y la efectividad de la operación del monitoreo de las actividades? ¿El monitoreo y la valoración de las actividades están diseñados y operan efectivamente?
9
Sección 2 Ejemplo de plan de implementación – Realización de valoraciones del riesgo de fraude No hay un método estándar con el cual la administración pueda implementar su valoración del riesgo de fraude. Sin embargo, la valoración del riesgo de fraude es un paso crítico para tratar los riesgos de fraude dentro de la organización y como tal debe ser un área de foco importante para la administración. El siguiente ejemplo de plan de implementación resume ciertos elementos del proceso de valoración del riesgo de fraude que se describen en COSO y en el SAS 99.
Paso uno: evalúe los factores de riesgo de fraude
El proceso debe considerar los otros factores de riesgo de fraude, incluyendo fraudes pasados y acusaciones de fraude en la organización, fraudes en la industria, tendencias o relaciones financieras inusuales identificadas a partir de procedimientos analíticos, y el rol potencial que los controles débiles de TI podrían jugar en facilitar que ocurra la actividad fraudulenta El proceso debe considerar los factores de riesgo de fraude a nivel de entidad y a nivel de procesos importantes.
Paso dos: identifique los posibles esquemas y escenarios de fraude Este proceso debe incluir a todo el personal apropiado, incluyendo administración, auditoría interna, administración de TI, propietarios de procesos importantes, así como la supervisión por parte del comité de auditoría.
Los factores de riesgo de fraude son esos eventos o condiciones que señalan incentivos/presiones para cometer fraude, oportunidades para llevar a cabo el fraude, o actitudes/racionalizaciones para justificar una acción fraudulenta (en el Apéndice del SAS 99 se encuentran ejemplos de factores de riesgos de fraude). Los factores de riesgo de fraude no necesariamente señalan la existencia de fraude; sin embargo, a menudo están presentes en las circunstancias cuando existe fraude.
Este paso incluye una lluvia de ideas de los posibles esquemas y escenarios de fraude que podrían resultar de los factores de riesgo de fraude identificados. Por ejemplo, si la compañía enfrenta presiones internas y/o externas importantes para lograr metas de ingresos ordinarios, la lluvia de ideas debe incluir la identificación y la consideración de los escenarios y de los esquemas de fraude que podrían ser cometidos para manipular los ingresos ordinarios
Personal proveniente de diversos niveles de la organización debe participar en este proceso, incluyendo administración, auditoría interna, propietarios de los procesos de negocio, administración de la TI, y el comité de auditoría. El comité de auditoría debe tener un rol activo en la supervisión de los esfuerzos de la administración para identificar y considerar los factores de riesgo de fraude y puede retar a la administración para que verifique que sean abordados los riesgos de fraude.
Se debe prestar consideración especial al riesgo de eludir los controles por parte de la administración tal como (1) registro de asientos o ajustes ficticios en el libro diario, particularmente los registrados cerca del final del período contable, (2) supuestos y juicios intencionalmente sesgados usados para estimar saldos de cuentas, y (3) ejecutar transacciones importantes que estén fuera del curso normal de los negocios de la entidad y que carecen de sustancia económica.
Esta etapa debe incluir la evaluación de los factores de fraude que estén presentes en la organización. Esto puede ser realizado a través de diversos 10
medios, algunos de los cuales pueden ya ser utilizados por la administración en su consideración de los controles internos. Por ejemplo, si la administración ha elegido valorar el ambiente de control mediante una encuesta anónima, los resultados también se pueden usar para evaluar la existencia de factores de riesgo de fraude.
También se debe prestar consideración a los fraudes pasados y a las acusaciones de fraude dentro de la organización y la industria
La identificación de los posibles esquemas de fraude debe ser realizada sin consideración de la existencia o efectividad de los controles internos.
Paso tres: priorice los riesgos de fraude identificados Este paso implica la evaluación de los posibles esquemas de fraude e incluye la consideración de lo siguiente: Tipo. El tipo de riesgo (i.e., uso indebido de activos, información financiera fraudulenta, etc.) Probabilidad. La probabilidad del riesgo (i.e., la probabilidad de que resultará en una declaración equivocada material contenida en los estados financieros). Importancia. La importancia del riesgo (i.e., si es de una magnitud que podría resultar en una posible declaración equivocada material de los estados financieros). Generalización. La generalización del riesgo (i.e., si el riesgo potencial es generalizado para los estados financieros tomados en su conjunto o están relacionados de manera específica con una aseveración, cuenta o clase de transacciones particular). Se debe dar énfasis a los riesgos que son considerados probables, significantes y/o generalizados.
Paso cuatro: evalúe si los controles de mitigación existen o son efectivos La administración debe determinar si hay controles en funcionamiento para mitigar de manera suficiente los riesgos de fraude identificados o si se debe dar énfasis adicional a los controles existentes. Cuando los controles no están presentes, la administración debe considerar la necesidad de diseñar e implementar controles antifraude adicionales para abordar de manera específica los riesgos de fraude identificados. La administración debe mapear o vincular los riesgos de fraude identificados con los controles internos existentes (incluyendo ambiente de control, actividades de control antifraude, y monitoreo de actividades), y documentar las actividades de control antifraude que mitigan y están relacionadas con los riesgos de fraude.
11
Sección 3 Muestra del proceso Abajo se presentan dos ejemplos del proceso de los programas y controles antifraude para dos riesgos de fraude comunes. La información se divide en dos partes – el proceso de valoración del riesgo de fraude, y los programas y controles diseñados para abordar los riesgos de fraude identificados durante la valoración del riesgo de fraude. Los programas y controles que se listan abajo no tienen la intención de representar todas las posibles actividades de los programas y controles que pueden abordar el riesgo de fraude identificado, sino que se muestran como ejemplos de actividades que pueden abordar el riesgo de fraude identificado. La administración debe determinar cómo documentar de mejor manera su valoración del riesgo de fraude y los programas y controles en funcionamiento para abordar los riesgos, con base en los hechos y circunstancias de la compañía.
Reconocimiento inapropiado/temprano de ingresos ordinarios Valoración del riesgo de fraude
VALORACIÓN DEL RIESGO DE FRAUDE
Cuenta o ciclo importante Riesgo de fraude Causa del fraude Elementos del fraude (Qué pude ser similar a ello) Puede implicar a Importancia (Alta, media, baja)
Probabilidad (Alta, media, baja)
Generalización
Actividades del ambiente de control 12
• Realizada por la administración, auditoría interna, administración de TI, propietarios de procesos importantes, y supervisada por el comité de auditoría • Considera factores internos y del ambiente externo (incluyendo presiones o incentivos, racionalización y oportunidad) • Riesgos de fraude identificados en los niveles y localizaciones relevantes dentro de la organización Ingresos ordinarios Reconocimiento inapropiado/temprano de los ingresos ordinarios Existencia de términos o condiciones de venta no-revelados Términos otorgados al cliente que son: • Revelados en la orden de compra pero no en el sistema de entrada de órdenes • Revelados únicamente en los documentos de negociación • Suministrados en cartas anexas, correos electrónicos u oralmente •Gerente de ventas • Representante de ventas • Personal de finanzas y ventas (contralor de división, ejecutivo de entrada de órdenes, administrador del crédito, etc.) • Administrador del inventario • Consejero general • Administración (CEO, CFO, etc.) • Cliente • Cualquier combinación de los anteriores – uno, algunos, o todos La importancia del riesgo (i.e., si es de una magnitud que podría conducir a resultar en una posible declaración equivocada material de los estados financieros) (Alta) La probabilidad del riesgo (i.e., la probabilidad de que resultará en una declaración equivocada material contenida en los estados financieros) (Alta) La generalización del riesgo (i.e., si el riesgo potencial es generalizado para los estados financieros tomados en su conjunto o está específicamente relacionado con una aseveración, cuenta, o clase de transacciones particular) (El riesgo está relacionado con los ingresos y con las cuentas por cobrar) • Entrenamiento/políticas/adherencia regulares respecto de la ética • Código de ética/conducta publicado, con determinaciones relacionadas con el fraude y el comportamiento ético
Actividades de control
VALORACIÓN DEL RIESGO DE FRAUDE
Información y comunicación
Monitoreo de actividades
• Estándares formales de contratación y promoción • Tono desde lo alto, incluyendo actitudes apropiadas hacia los controles y el cumplimiento corporativo • Receptividad a los procesos y hallazgos de la auditoría interna • Entrenamiento en las prácticas de venta • Revisión regular de todos los contratos de venta, con un foco en los términos y condiciones inusuales, y una comparación con las prácticas actuales • Existencia de confirmación/verificación del personal de ventas respecto de la completitud y exactitud de los registros sobre los términos o condiciones de las ventas • Revisión regular de las cuentas por cobrar vencidas con un énfasis en las atrasadas • Segregación de funciones (funciones de ventas y entrada de créditos/ órdenes) • Controles de aplicación para prohibir el procesamiento adicional sin las aprobaciones necesarias • Sistema de autorización y aprobación de transacción para ventas y castigos de cuentas • Cuando sea apropiado, estandarización de los términos y condiciones de las ventas • Un sistema para la administración efectiva del conocimiento para obtener y comunicar la información apropiada que corresponda a los riesgos de fraude en los ingresos ordinarios y a los programas y controles antifraude relacionados con los ingresos ordinarios • Auditoría interna confirma directamente con los clientes las cantidades de las ventas, así como elementos tales como la fecha de pago, los detalles de cualesquiera devoluciones, términos y condiciones noregistradas y cualesquiera acuerdos externos no contenidos en el acuerdo original escrito • Revisión regular de las ventas diarias pendientes y comparación con comparación con las que son “normales” de la compañía o los promedios de la industria. • Revisión regular de las ventas importantes a final de trimestre o a final de año por fijación de precios, facturación, entregas, devoluciones, cambios, o cláusulas de aceptación, que no sean usuales.
VALORACIÓN DEL RIESGO DE FRAUDE
Elusión de los controles, por parte de la administración –Asientos o ajustes inapropiados en el libro diario Valoración del riesgo de fraude
Cuenta o ciclo importante Riesgo de fraude Causa del fraude Elementos del fraude (Qué pude ser similar a ello)
• Realizada por la administración, auditoría interna, administración de TI, propietarios de procesos importantes, y supervisada por el comité de auditoría • Considera factores internos y del ambiente externo (incluyendo presiones o incentivos, racionalización y oportunidad) • Riesgos de fraude identificados en los niveles y localizaciones relevantes dentro de la organización Cierre y reporte financiero Eludir los controles para asientos o ajustes en el libro diario, resultante en estados financieros declarados equivocadamente La administración dirige o participa en entradas o ajustes en el libro diario para manipular los resultados de la operación Los asientos y/o ajustes en el libro diario son registrados para de manera inapropiada: 13
Puede implicar a Importancia (Alta, media, baja)
Probabilidad (Alta, media, baja)
VALORACIÓN DEL RIESGO DE FRAUDE
Generalización
Actividades del ambiente de control
Actividades de control
Información y comunicación
Monitoreo de actividades
• Incrementar ingresos ordinarios o resultados • Disminuir costos de ventas o gastos • Manipular saldos de cuentas para cumplir acuerdos de deuda, lograr metas financieras o presupuestos, reducir u ocultar pasivos, declarar equivocadamente activos, etc. • CEO • CFO • Consejero general • Gerentes general / de división • Contralores corporativo / de división • Cualquier combinación de los anteriores – uno, algunos, o todos La importancia del riesgo (i.e., si es de una magnitud que podría resultar en una posible declaración equivocada material de los estados financieros) (Alta) La probabilidad del riesgo (i.e., la probabilidad de que resultará en una declaración equivocada material contenida en los estados financieros) (Alta7) La generalización del riesgo (i.e., si el riesgo potencial está generalizado para los estados financieros tomados en su conjunto o está relacionado específicamente con una aseveración, cuenta, o clase de transacciones particular). (Generalizado a través de los estados financieros.) • Supervisión activa por parte del comité de auditoría • Entrenamiento/políticas/adherencia regulares respecto de la ética • Códigos de ética/conducta publicados, con determinaciones relacionadas con el fraude • Estándares formales de contratación y promoción (con verificaciones de los antecedentes de quienes tienen influencia importante en la información financiera) • Tono desde lo alto, incluyendo actitudes hacia los controles y el cumplimiento corporativo • Segregación de funciones y aprobaciones requeridas – los asientos y los ajustes en el libro diario requieren dos firmas incluyendo las aprobaciones apropiadas antes de colocarlas • Controles de aplicación para prohibir el procesamiento adicional sin las aprobaciones necesarias • Documentación de respaldo requerida para todos los asientos en el libro diario no-sistemáticas/manuales • Controles generales de computación que limiten al acceso al sistema del libro mayor y el registro de los nombres de los individuos que inician y/o aprueban los asientos en el libro diario no-sistemáticos/manuales • Un sistema para la administración efectiva del conocimiento para obtener y comunicar la información apropiada que pertenezca al riesgo de que la administración eluda los controles, así como los programas y controles antifraude • Identificar y evaluar el carácter apropiado de los asientos en el libro diario inusuales y no-rutinarias (considerar utilizar técnicas asistidas por computador para identificar los asientos inusuales o no-rutinarios) • Revisión regular de los reclamos por ética / anónimos con las denuncias o preocupaciones respecto del comportamiento ético inapropiado de la administración o la información financiera inapropiada • Revisión regular de los resultados financieros incluyendo analíticas y ratios financieras con comparación con las que son “normales” de la compañía o los promedios de la industria.
El parágrafo 41 del SAS 99 señala, “Aún si el auditor no identifica riesgos específicos de declaración equivocada material debida a fraude, hay la posibilidad de que la administración pudiera eludir los controles, y de acuerdo con ello, el auditor debe tratar ese riesgo aparte de cualesquiera conclusiones relacionadas con la existencia de riesgos más específicamente identificables.” El riesgo de que la administración eluda los controles incrementa la probabilidad de fraude y la probabilidad de que resultará en una declaración equivocada material contenida en los estados financieros. 7
14
Sección 4 Lista muestra de esquemas de fraude La siguiente lista de posibles esquemas de fraude puede ser utilizada por la administración y por los auditores como ayuda en la identificación de riesgos, escenarios y esquemas de fraude posibles, cuando se realizan o evalúan las evaluaciones del riesgo de fraude de la administración. La lista de esquemas de fraude no tiene la intención de ser una lista completa de todos los posibles esquemas de fraude para todas las industrias.
Esquemas de información financiera fraudulenta Reconocimiento inapropiado de los ingresos ordinarios Acuerdos con una parte - Los términos y condiciones de las ventas pueden ser modificados, revocados o enmendados de otra manera por fuera del proceso de ventas o de los canales de presentación de reportes reconocidos y pueden impactar el reconocimiento de los ingresos ordinarios. Las modificaciones comunes pueden incluir el otorgar derechos de devolución, términos de pago extendidos, devoluciones o cambios. Los vendedores pueden conceder esos términos y condiciones haciéndolo en cartas ocultas, correos electrónicos o acuerdos verbales, en orden a reconocer los ingresos ordinarios antes que se ejecute la venta. En el curso ordinario del negocio, los acuerdos de venta pueden y a menudo son enmendados, y no hay equivocación al darle a los compradores el derecho a devolución o cambio, en la extensión en que los ingresos ordinarios se reconozcan en el período contable apropiado, establecidas las reservas apropiadas. Transacciones de “ida y vuelta” – Registro de las transacciones que ocurren entre dos o más compañías para las cuales no hay propósito de negocio o beneficio económico para las compañías que participan. Esas transacciones a menudo se realizan con el propósito de inflar los ingresos ordinarios o la creación de apariencia de crecimiento fuerte en las ventas. Las transacciones pueden incluir ventas entre compañías por la misma cantidad dentro de un breve período de tiempo, o pueden incluir un préstamo a o la inversión en un cliente de manera que el cliente tenga la capacidad para comprar los bienes. El efectivo puede cambiar de manos, pero el solo pago no legitima la transacción o justifica el reconocimiento de los ingresos ordinarios si no hay un propósito de negocio subyacente o beneficio para las transacciones.
Facture y retenga – Una transacción de facture y retenga ocurre cuando los productos han sido cargados como una venta pero la entrega y la transferencia de la propiedad no ha ocurrido para la fecha en que se registra la venta. La transacción puede incluir una venta o una orden de compra legítima; sin embargo, en el momento en que se registra la venta el cliente no está listo, dispuesto, o capaz para aceptar la entrega del producto. Los vendedores pueden tener los bienes en sus instalaciones o pueden enviarlos a diferentes localizaciones, incluyendo almacenes de terceros. Alteración de la documentación de envío – Mediante la creación de documentación de envío falsa, la compañía puede registrar con falsedad transacciones y reconocer de manera inapropiada ingresos ordinarios. Mediante la alteración de la documentación de envío (comúnmente cambiando las fechas y/o los términos de envío), la compañía puede incrementar los ingresos ordinarios en un período contable específico independiente de que los hechos y circunstancias de la transacción y los ingresos ordinarios resultantes deban haber sido registrados en el siguiente período de contabilidad. Acuerdos para “Vender-a-través-del” producto – Estos acuerdos de venta incluyen términos contingentes que se basan en el desempeño futuro del comprador de los bienes (comúnmente distribuidores o revendedores) e impactan el reconocimiento de los ingresos ordinarios por parte del vendedor. Esos términos contingentes pueden o no estar incluidos en los acuerdos de venta y pueden ser suministrados en los acuerdos con una parte. Los acuerdos para “vender-a-través-de” son similares a las ventas contingentes y pueden incluir el envío de bienes a una parte que acuerda vendérselos a terceros. La venta no se considera que ocurra (y por consiguiente los ingresos ordinarios no se deben registrar) hasta que los bienes se vendan al tercero (el cliente o usuario final) sin términos de venta contingentes adicionales. Pago por adelantado – Algunas transacciones de venta requieren que los clientes paguen por adelantado los servicios que les serán prestados durante un período de tiempo. Las compañías pueden intentar reconocer, antes que se presten los servicios, toda la cantidad del contrato o la cantidad de los pagos recibidos (y antes que se ganen los ingresos ordinarios). En algunos casos, el esquema puede incluir la falsificación o modificación de registros de contabilidad (e.g., órdenes de compra, facturas y contratos de venta). 15
Períodos de contabilidad que permanecen abiertos – Los registros de contabilidad que de manera inapropiada permanecen abiertos luego del final del período de contabilidad pueden permitir que las compañías registren en el actual período de contabilidad transacciones adicionales que ocurren después del final del período de contabilidad. Este esquema comúnmente implica registrar en el período actual las ventas y/o los ingresos de efectivo que ocurren después del final del período de presentación de reportes. Los esquemas algunas veces incluyen la falsificación o modificación de la documentación de contabilidad (fechas en los documentos de envío, órdenes de compra, extractos bancarios, conciliaciones de efectivo, diario de ingresos de efectivo, etc.) en un intento por cubrir el rastro del fraude. Falla en registrar las provisiones o bonificaciones por ventas – Algunas transacciones de venta requieren que las compañías registren provisiones o reducciones de las cantidades brutas de las ventas (e.g., contabilizar devoluciones futuras en ventas). Mediante el fallar en registrar las provisiones o reducciones, las compañías pueden sobre declarar de manera inapropiada los ingresos ordinarios. El esquema puede incluir la falsificación o modificación de los registros de contabilidad en un intento por ocultar los términos o condiciones que pueden requerir la reducción en las ventas (e.g., órdenes de compra, facturas y contratos de venta).
Esquemas de inventarios Inflar el valor del inventario – Las valuaciones del inventario pueden ser manipuladas de diversas formas, incluyendo: movimiento de inventario entre las localizaciones para inflar ficticiamente las cantidades del inventario, posponer y sub-reportar los castigos y las reservas por obsolescencia, manipulación de las unidades de valuación aplicadas a los inventarios en cartera, y capitalización inapropiada del inventario. Inventario “fuera del lugar” o ficticio – Las compañías pueden “crear” inventario mediante la falsificación de asientos en el libro diario, reportes de recepción y envío, órdenes de compra, o ciclo de cuentas. Las compañías pueden participar en esos esquemas para disminuir el costo de las ventas como un porcentaje de las ventas o para mantener saldos de inventario por acuerdos de deuda u otras razones.
Otros esquemas de información financiera Confirmaciones de auditoría fraudulentas – Las confirmaciones de auditoría fraudulentas pueden impactar todos los tipos de cuentas o transacciones que sean confirmados con terceros (ventas, efectivo, cuentas por cobrar, deuda, pasivos, etc.). Los esquemas pueden incluir colusión con terceros que reciban las confirmaciones de auditoría o pueden implicar que la compañía le suministre a los auditores información de contacto falsa (direcciones 16
de correo, números de fax, números telefónicos, etc., falsos) de manera que las confirmaciones sean desviadas a los conspiradores que participan en el esquema. Cuentas por cobrar “refrescadas” – Con el fin de ocultar el aumento de los saldos de las cuentas por cobrar (incluyendo saldos incobrables conocidos o sospechados) mientras se evita incrementar la provisión de deudas malas, la compañía puede “refrescar” el vencimiento de las cuentas por cobrar y representar de manera inapropiada los saldos de las cuentas por cobrar como que sean de naturaleza corriente en lugar de mostrar la verdadera edad de las cuentas por cobrar. Esto puede ocurrir con transacciones de intercambio con clientes, en las que los clientes pueden recibir “créditos” para sus cuentas y provisiones para volver a comprar bienes mientras que hay poca, si la hay, transferencia física de mercancía. Algunos esquemas pueden sencillamente modificar o editar las fechas de las facturas en el sistema de cuentas por cobrar, lo cual resulta en un reinicio del proceso de vencimientos para las cuentas por cobrar modificadas. Los esquemas pueden incluir la falsificación o la modificación inapropiada de la documentación contable (facturas, órdenes de compra, órdenes de cambio, reportes de envíos, etc.) para cubrir el esquema de fraude. Manipulaciones promocionales de las provisiones – Las provisiones (bonificaciones) promocionales pueden darse como descuentos, incentivos u otros créditos a compradores/clientes como un incentivo por la compra de productos. Las provisiones (bonificaciones) pueden tomar la forma de descuentos por volumen, reembolsos por manejo especial, reembolsos por co-publicidad, honorarios por espacios preferentes, etc. A menudo las provisiones (bonificaciones) promocionales se basan en eventos futuros (tales como volúmenes de compra durante un período de tiempo especificado, costos futuros de publicidad, etc.) y a menudo requieren estimados considerables que pueden ser manipulados o sesgados. Algunos esquemas implican el reconocimiento temprano de los ingresos por pagos recaudados por adelantado o la falla en causar las devoluciones o los créditos que probablemente sean ganados por el comprador. Otros esquemas de fraude implican información financiera fraudulenta y la clasificación equivocada de los créditos en el estado de resultados. Ajustes a los estimados – Los estimados son comunes durante el proceso contable y pueden ser manipulados para impactar ingresos ordinarios, gastos, valuaciones de activos y/o pasivos. La administración a menudo se encuentra en una posición que puede influir o sesgar los estimados. Los esquemas comunes de fraude implican la reducción de las causaciones o de las reservas en orden a incrementar las ganancias del período actual, y pueden implicar la creación temprana de reservas por excesos o “reservas cookie-jar”* cuando la compañía estuvo en una
posición financiera para crear un “amortiguador” contra pérdidas futuras. Entidades y pasivos por-fuera-del-balance – Para ocultar pasivos, algunos esquemas incluyen el uso de vehículos “por-fuera-del-balance” o entidades de propósito especial. Los vehículos por-fuera-del-balance pueden ser permitidos según los PCGA; sin embargo, algunos esquemas están diseñados para utilizar esas entidades o transacciones para ocultar deuda y declarar pasivos de manera equivocada en el balance general y también pueden tener impacto en el estado de resultados. Valuaciones inapropiadas de activos – A menudo hay una relación directa entre sobre-declaración de activos e inflación de las ganancias. Muchos esquemas de fraude incluyen “ocultar” o ubicar de manera equivocada los débitos en el balance general, los cuales de otra manera se deben registrar en el estado de resultados. Esos débitos a menudo son registrados inapropiadamente como activos o como reducción de pasivos existentes. La sobrevaluación de activos a menudo se considera una manera relativamente “simple” para manipular de manera directa las ganancias reportadas. “Ofertas de inversión” falsas – Diseñadas para sobredeclarar activos y ganancias, los esquemas pueden de manera deliberada sobre-declarar las inversiones existentes o crear inversiones ficticias. Las inversiones también se pueden intencionalmente clasificar de manera equivocada, resultando ello en el reconocimiento inapropiado de ganancias o en la falla en reconocer pérdidas. Otros esquemas se diseñan para ocultar o diferir pérdidas a partir de las ventas o los retiros permanentes derivados de deterioros. Capitalización inapropiada de gastos – Los desembolsos de capital son costos que benefician a la compañía durante más de un período contable, y de acuerdo con ello, los desembolsos deben ser amortizados durante la vida del activo. Las compañías pueden capitalizar de manera inapropiada ciertos desembolsos en orden a evitar reconocer toda la cantidad del gasto en el período actual. Los gastos pueden ser capitalizados en varias cuentas de activos, y pueden incluir costos de desarrollo de software, costos de investigación y desarrollo, costos de inicialización, costos por intereses, costos de publicidad, costos de inventario y mano de obra, etc. Agregar al efectivo cheques en circulación – Las conciliaciones del efectivo pueden ser manipuladas en
orden a inflar los saldos finales de efectivo. Algunos esquemas se logran mediante la “conciliación” de un elemento o el ajuste de la conciliación, o pueden incluir la selección y eliminación de cheques específicos de los registros de los cheques en circulación. Asientos de consolidación no-justificados – Algunos esquemas ocurren durante el proceso de cierre y consolidación financiera e implican ajustes de consolidación no-justificados o ficticios. A menudo hay documentación contable o explicaciones limitadas para los asientos y actividades de consolidación. Manipulaciones al interior de la compañía – Similar a los otros esquemas de contabilidad que implican consolidaciones, las manipulaciones al interior de la compañía pueden tener documentación o explicaciones limitadas para las entradas y actividades al interior de la compañía. Los esquemas pueden darse para sobre/ sub-declarar saldos o pueden implicar la creación de transacciones ficticias. Partes relacionadas que “crean” transacciones – Las transacciones con partes relacionadas se realizan con entidades que son controladas o influenciadas por la compañía. Los esquemas pueden incluir la revelación inapropiada o inadecuada de las transacciones o esquemas más elaborados para “crear” transacciones ficticias entre las entidades, a menudo con la intención de incrementar los ingresos ordinarios o los activos reportados. Fraudes en la revelación – Las revelaciones fraudulentas pueden incluir suministrar información falsa o la falla en revelar información requerida. Los esquemas pueden incluir la falla de la compañía en revelar ciertas transacciones con partes relacionadas, deterioros de activos materiales, pasivos no-registrados o prácticas de contabilidad que violen los PCGA.
Uso indebido de los activos Retención de efectivo – Los esquemas de retención a menudo incluyen el ciclo de ventas, cuando los empleados usan el efectivo pero no registran la venta o toda la cantidad del efectivo recaudado. Un esquema típico de retención puede implicar a un almacén de venta al por menor donde el empleado recauda efectivo del cliente, se guarda el dinero, y evita registrar la transacción en el punto del sistema de ventas. Otros esquemas de retención no están limitados a transacciones en efectivo y pueden incluir el desvío de cheques de los clientes.
* Contabilidad Cookie jar o reservas cookie jar es una práctica contable en una empresa que utiliza las generosas reservas de los años buenos
contra las pérdidas que pudiera sufrir en años malos. Un ejemplo de una reserva cookie es el pasivo que se crea cuando una empresa registra un gasto que no está directamente vinculado a un determinado período contable - el gasto puede caer en un período u otro. Las empresas pueden registrar este tipo de gastos discrecionales cuando los beneficios son altos porque pueden darse el lujo de tener la respuesta positiva a los ingresos. Cuando los beneficios son bajos, la empresa reduce el pasivo (la reserva) en lugar de registrar un gasto en la año malo. El resultado habitual de la contabilidad cookie jar es una “suavización” de los ingresos netos durante el transcurso de varios años (Cfr: Wilkipedia). Debe recordarse que esta es una ‘práctica’ contable prohibida por la mayoría de estructuras de información financiera (N del t).
17
Desembolsos fraudulentos – Los esquemas pueden incluir esquemas de facturación, fraude en el aprovisionamiento, robo de cheques de la compañía, esquemas de nómina y “empleados fantasma”, y esquemas de desembolso de gastos. El esquema común de aprovisionamiento es establecer vendedores o proveedores falsos en el sistema de cuentas por pagar o aprobar pagos por servicios que son recibidos por el empleado o defraudador. Los esquemas de nómina pueden incluir falsificación de horas trabajadas, creación de empleados ficticios, falla en retirar empleados que han robado a la compañía y el desvío de pagos hacia empleados o defraudadores.
Otros esquemas de fraude Cohecho, corrupción & sobornos – La corrupción y el cohecho tienen una variedad de formas dentro de la organización y pueden incluir elementos tales como que los vendedores le paguen “gratificaciones” a los compradores para asegurar ventas, los compradores le paguen primas a los vendedores a causa de las relaciones personales con el vendedor, pagos a las “compañías de fachada” por servicios que no son prestados, términos de pago que se “estructuran” para evitar las firmas de aprobación adecuadas, o que el mismo vendedor pueda aparecer en el sistema de cuentas por pagar en una cantidad de formas como método para duplicar los pagos. Los esquemas también pueden incluir proveedores de servicio preferidos que estén dispuestos a pagarles sobornos a los individuos por los negocios de la compañía. La Foreign Corrupt Practices Act (“FCPA”) fue promulgada para reducir la amenaza de cohecho y corrupción en los países extranjeros. Lavado de dinero – Lavado de dinero es el proceso de ocultar la fuente de dinero obtenido ilegalmente. Este proceso es de importancia crítica para quien lo comete, dado que le permite al criminal disfrutar las utilidades sin revelar su fuente. Las actividades pueden implicar desviar las fuentes, cambiar la forma, o mover los fondos hacia un lugar donde sea menos probable que llame la atención. Las utilidades provenientes del lavado de dinero pueden provenir del uso de efectivo, negociaciones internas, cohecho, esquemas de fraude por computador, ventas ilegales de armas, contrabando y actividades del crimen organizado.
18
Sección 5 Programas & Controles Antifraude – Pasos y consideraciones Esta sección discute los pasos y consideraciones a cargo de la administración en relación con el riesgo de fraude y los programas y controles antifraude.
Programas & Controles Antifraude – Pasos y consideraciones
Al preparar esta sección, se han referenciado las siguientes fuentes: Realizar valoraciones del riesgo de fraude
SEC, Final Rule: Management´s Reports on Internal Control Over Financial Reporting and Certification of Disclosure in Exchange Act Periodic Reports PCAOB Auditing Standard No. 2, An Audit of Internal Control Over Financial Reporting Performed In Conjunction With an Audit of Financial Statements SAS 99, Consideration of Fraud in a Financial Statement Audit SAS 99 Exhibit, Management Antifraud Programs and Controls
Monitoreo de actividades
Compartir información & comunicación
Crear un ambiente de control
Diseñar e implementar actividades de control antifraude
Committee of Sponsoring Organizations of the Treadway Commission, Internal Control – Integrated Framework United States Sentencing Commission, Guidelines Manual
Cada uno de los cinco componentes de COSO se discute en el contexto de: alcance y objetivos
Los cinco componentes de la estructura de COSO están interrelacionados y el proceso de implementación y actualización de los programas y controles antifraude es de naturaleza interactiva. Los programas antifraude verdaderamente efectivos son dinámicos y en ellos la información obtenida mediante el proceso de monitoreo se incorpora de nuevo en la valoración del riesgo y comienza de nuevo todo el proceso.
participantes y responsabilidades elementos y diseño valoraciones realizadas por la administración ejemplos de documentación común La evaluación de las deficiencias de los programas y controles antifraude hace parte de la valoración general que respecto del control interno hace la administración. La administración debe valorar el diseño y la efectividad de la operación de los programas y controles antifraude y suministrar suficiente documentación de sus programas, valoraciones y conclusiones, incluyendo la identificación de cualesquiera deficiencias. Tal y como ocurre con las otras deficiencias del control interno, la administración y el auditor deben evaluar la importancia de esas deficiencias. 19
1. Realizar valoraciones del riesgo de fraude Alcance & Objetivos Las valoraciones del riesgo de fraude deben ser realizadas en todos los niveles apropiados de la organización, incluyendo:
el nivel de entidad y debe considerar los factores internos y externos, así como las presiones sobre la organización
el nivel de saldo de cuenta importante – tratar los riesgos a este nivel ayuda a focalizar las valoraciones del riesgo de fraude en las cuentas que podrían estar declaradas equivocadamente en forma material
localizaciones o unidades de negocio importantes, dado que los riesgos de fraude comúnmente difieren de localización a localización debido a diferentes operaciones, estructuras organizacionales, cultura, etc.
La valoración del riesgo de fraude debe considerar el fraude por colusión, así como el riesgo de que la administración eluda los controles. Existe fraude por colusión cuando más de un individuo de dentro y fuera de la entidad se comprometen en una conspiración para eludir o anular las actividades de control interno. A menudo el fraude por colusión no puede ser identificado mediante las técnicas tradicionales de prueba. También se debe prestar atención al riesgo de que la administración eluda los controles, dado que típicamente la administración tiene la capacidad de cometer fraude porque frecuentemente está en posición para de manera directa o indirecta manipular los registros contables8. El que la administración eluda los controles puede ocurrir de maneras impredecibles.
Participantes & Responsabilidades La administración tiene la responsabilidad primaria por la realización de las valoraciones del riesgo de fraude. Históricamente, la mayoría de los fraudes materiales a menudo han sido dirigidos en parte por la administración y detectados por los empleados y por quienes son responsables por el gobierno corporativo en otros niveles de la organización. Por consiguiente, es crítico que los empleados que están por fuera de la administración participen en la valoración del riesgo de fraude. Es importante que la valoración del riesgo de fraude incluya a los propietarios de los procesos de negocio o a quienes tengan conocimiento, control o influencia importante sobre las actividades dentro de un proceso o ciclo de negocios importante. El comité de auditoría o la junta de
8
SAS 99, parágrafo 8.
20
directores (cuando no existe comité de auditoría) debe evaluar la identificación que de los riesgos de fraude hace la administración, y debe tener un rol activo en la supervisión del proceso de valoración del riesgo de fraude. La administración de la TI debe participar, dado que algunos esquemas de fraude son facilitados por el desactivar o eludir los controles del sistema de información. Adicionalmente, auditoría interna debe tener un rol activo en el desarrollo, el monitoreo y la evaluación continua de las valoraciones del riesgo de fraude.
Elementos y diseño La valoración formal del riesgo de fraude debe ser realizada, documentada y actualizada periódicamente. Las actualizaciones deben incluir consideraciones de los cambios en las operaciones, sistemas de información nuevos, adquisiciones, cambios en los roles y responsabilidades de trabajo, empleados en posiciones nuevas, resultados de las auto-evaluaciones de los controles, monitoreo de las actividades, hallazgos de auditoría interna, tendencias de la industria nuevas o en evolución, y revisiones de los riesgos de fraude identificados dentro de la organización o industria. La administración debe identificar los eventos o condiciones que señalen incentivos/presiones para cometer fraude, oportunidades para llevar a cabo el fraude, o actitudes/racionalizaciones para justificar una acción fraudulenta. A tales eventos o condiciones se les refiere como factores de riesgo de fraude. Los factores de riesgo de fraude no necesariamente señalan la existencia de fraude; sin embargo, a menudo están presentes en las circunstancias cuando existe fraude y pueden ayudar a identificar los riesgos de fraude potenciales. Incentivos/presiones – Las presiones pueden ser reales o percibidas. La presión usualmente es creada por circunstancias en las cuales quien comete el fraude es ya sea sujeto o percibe que es sujeto de ella (e.g., presiones financieras personales tales como que la(el) esposa(o) pierde el trabajo, o presiones del mercado para lograr objetivos o metas financieras). También pueden haber incentivos que incrementen la probabilidad de fraude (e.g., bonos de la administración estructurados con base en el logro de objetivos financieros). Actitudes/racionalización – Racionalización es el proceso mediante el cual la persona que comete un fraude legitima o justifica el crimen. A menudo incluye una actitud o un sentimiento de derecho y/o la creencia de que “la compañía puede permitir
ello.” Por ejemplo, quien comete el fraude puede racionalizar un robo diciendo “la compañía gana millones, perdería solamente unos pocos miles y yo realmente necesito el dinero” o “haciendo cuentas nadie pierde.” Oportunidades – Las oportunidades para cometer fraude se pueden manifestar ellas mismas de diversas maneras. Si los controles internos a la información financiera o a la salvaguardia de activos son inadecuados, puede ser relativamente fácil para quien comete el fraude registrar transacciones fraudulentas o activos ficticios. Algunos empleados (a menudo dentro de la administración) pueden estar en posición para eludir los controles, lo cual puede crear oportunidades para cometer fraude. Hay otra consideración para las oportunidades, la cual a menudo se pasa por alto – la baja percepción de la detección o de las consecuencias sin sentido para el comportamiento inapropiado dentro de la organización pueden permitir mayores oportunidades para que ocurra fraude que si hay el elemento que disuade con alta probabilidad de detección y consecuencias severas. Además, la colusión puede permitirle a quienes cometen fraude eludir los controles existentes, haciendo que tales controles sean inefectivos. Los controles internos tradicionalmente más preventivos no son efectivos para tratar el fraude por colusión. El fraude por colusión generalmente es encontrado mediante controles detectivos unidos a un entendimiento del negocio y del entorno de la operación.
implica información financiera fraudulenta o uso indebido de activos la importancia del riesgo, esto es, si es de una magnitud que podría conducir a que resulte en una posible declaración equivocada material de los estados financieros la probabilidad del riesgo, esto es, la probabilidad de que resultará en una declaración equivocada material contenida en los estados financieros la generalización del riesgo, esto es, si el riesgo potencial es generalizado para los estados financieros tomados en su conjunto o está relacionado de manera específica con una aseveración, cuenta, o clase de transacción particular. Si bien la intención del proceso no es identificar los riesgos que no sean importantes (i.e., robo inmaterial de suministros de oficina), se debe observar que el comportamiento inapropiado puede ser indicador de problemas más amplios en el ambiente de control. También, la Sección 302 de la Ley Sarbanes-Oxley requiere la revelación de cualquier fraude sea o no material, que implique a la administración o a otros empleados que tengan un rol importante en los controles internos del emisor. La valoración del riesgo de fraude debe ser realizada sin considerar la existencia o la efectividad de los controles internos. Los riesgos de fraude deben ser identificados, documentados y evaluados antes que la administración determine si las actividades de control existentes mitigan de manera suficiente el riesgo de fraude identificado. Más tarde, durante el diseño e implementación de las actividades de control antifraude, los riesgos de fraude identificados deben ser mapeados o vinculados con las actividades de control antifraude para asegurar que todos los riesgos de fraude identificados están suficientemente mitigados.
El Apéndice al SAS 99 ofrece ejemplo de factores de riesgo de fraude que la administración puede considerar como parte de la valoración del riesgo de fraude. La administración también debe considerar factores de riesgo de fraude adicionales tales como los fraudes conocidos dentro de la industria y la organización, así como las denuncias o sospechas anteriores respecto del fraude. La consideración de los factores de riesgo de fraude es crítica, dado que los factores de riesgo conducen a riesgos de fraude que necesitan ser considerados cuando se implementan las actividades y los programas de control.
Valoraciones realizadas por la administración
La administración debe evaluar los factores de riesgo de fraude, hacer lluvias de ideas sobre los esquemas y escenarios de fraude que podrían resultar de los factores de riesgo de fraude, y evaluar los esquemas y escenarios de fraude para identificar los que se deben considerar riesgos de fraude. El parágrafo 40 del SAS 99 señala:
La administración debe evaluar el diseño y la efectividad de la operación del proceso de valoración del riesgo de fraude y documentar sus conclusiones. Ejemplos de situaciones o circunstancias que pueden señalar que las valoraciones del riesgo de fraude no están operando efectivamente incluyen:
… la identificación del riesgo de declaración equivocada material debida a fraude implica la aplicación de juicio profesional e incluye la consideración de los atributos del riesgo, incluyendo:
la participación del comité de auditoría y de la auditoría interna es insuficiente
el tipo de riesgo que puede existir, esto es, si
los fraudes que han ocurrido señalan que el proceso de valoración del riesgo de fraude no es efectivo 21
los auditores externos identificaron riesgos de fraude que la organización no había identificado anteriormente
Ejemplos de documentación común El propósito de la documentación es ofrecer evidencia de la existencia del programa y del proceso de la administración para identificar los riesgos de fraude. La documentación debe ser suficiente para que los auditores entiendan cómo la administración implementó el programa y sus conclusiones en relación con el diseño y la efectividad de la operación de la valoración del riesgo de fraude. La documentación relacionada con las valoraciones del riesgo de fraude puede incluir lo siguiente: actualizaciones periódicas, incluyendo la consideración de fraudes pasados, riesgos de fraude, y la participación de los empleados apropiados
supervisión y revisión del proceso de valoración del riesgo de fraude realizadas por la administración y por el comité de auditoría
participación de la auditoría interna, incluyendo la prueba de la efectividad del proceso de valoración del riesgo y de los controles internos
evaluación realizada por la administración respecto de los factores de riesgo de fraude para determinar cuáles factores de riesgo están identificados como riesgos de fraude
valoraciones y conclusiones de la administración, relacionadas con el diseño y la efectividad de la operación de la valoración del riesgo de fraude.
2. Crear un ambiente de control Alcance & Objetivos El ambiente de control debe estar generalizado a través de la organización, tanto en acciones como mediante palabras, y debe permear todos los niveles de la organización. El ambiente de control debe crear y mantener una cultura de honestidad; establecer estándares éticos altos; promover comportamiento ético; ofrecer disciplina por las violaciones del código de ética/ conducta; establecer un tono apropiado para las actitudes de la entidad hacia el fraude y la prevención del fraude; y promover controles para prevenir, disuadir y detectar el fraude.
Participantes & Responsabilidades La administración, junto con quienes tienen responsabilidad por la supervisión del proceso de información financiera (tal como el comité de auditoría), 22
son primariamente responsables por la creación del ambiente de control. El comité de auditoría y la junta de directores deben ser independientes de la administración y participar activamente en la creación, comunicación y supervisión del ambiente de control. La función de auditoría interna también tiene un rol importante en el ambiente de control y debe tener una línea directa de presentación de reportes independientes dirigidos al comité de auditoría. Los empleados también participan en el ambiente de control dado que deben acoger y apoyar los programas y los controles, así como reportar las sospechas de fraude y ofrecer luces sobre el tono de la organización durante las valoraciones culturales.
Elementos & Diseño Tono desde lo alto El ambiente de control debe incluir un apropiado “tono desde lo alto” que incluya una cultura y un ambiente de trabajo que promueva la comunicación abierta, consulta, y el comportamiento ético. La administración debe considerar dar pasos razonables para evaluar la cultura de la organización para asegurar que existe un apropiado tono desde lo alto. Las valoraciones pueden incluir indagaciones a la administración, auditoría interna, o incluir encuestas anónimas u otros medios para obtener luces respecto del tono de la organización. Un apropiado tono desde lo alto fomenta el comportamiento ético así como el desarrollo de y el cumplimiento con las actividades antifraude, tales como los controles que restringen la información financiera fraudulenta y el uso indebido de los activos de la compañía que podrían resultar en una declaración equivocada material de los estados financieros. La administración debe diseñar controles para salvaguardar los activos, disuadir los desfalcos y el uso indebido de los activos, y restringir otros usos inapropiados de los activos de la compañía (tales como pagos de efectivo no-autorizados, uso inapropiado de activos o servicios de la compañía, uso equivocado o robo de intangibles incluyendo propiedad intelectual). Pueden existir situaciones en que el desfalco por parte de un empleado, aún cuando sea pequeño, puede ser considerado una “bandera roja” o indicador de problemas más amplios incluyendo la cultura de racionalización. Dada la importancia del tono desde lo alto y la influencia que la administración tiene en las organizaciones, la Sección 302 de la Ley Sarbanes-Oxley del 2002 requiere que los ejecutivos que firman le revelen a los auditores del emisor y al comité de auditoría de la junta de directores cualquier fraude, sea o no material, que implique a la administración o a otros empleados que tengan un rol importante en los controles internos del emisor.
Supervisión por parte del comité de auditoría y la junta de directores El comité de auditoría tiene la responsabilidad de: monitorear el proceso de información financiera supervisar el sistema de control interno y los programas y controles antifraude supervisar las funciones de auditoría interna y contaduría pública independiente reportarle a la junta de directores los hallazgos. El comité de auditoría debe entender su rol de asegurar que la organización tenga programas y controles antifraude para ayudar a prevenir, detectar y disuadir el fraude. Debe tener un rol activo en la supervisión de los esfuerzos de la administración para diseñar e implementar controles internos, incluyendo los programas y controles antifraude, y debe retar a la administración para que enfatice que los riesgos de fraude sean identificados durante las valoraciones del riesgo y que están diseñadas y monitoreadas las actividades de control apropiadas para mitigar los riesgos de fraude. El comité de auditoría debe asegurar que la organización haya implementado un programa efectivo de ética y cumplimiento, y que sea probado periódicamente. Dado que la ocurrencia del fraude importante frecuentemente puede ser atribuida a que la administración (y otros) eluda los controles internos, el comité de auditoría juega un rol importante para asegurar que los controles internos abordan las áreas de riesgo apropiadas y están funcionando tal y como fueron diseñados. Dada la importancia que tiene el rol de supervisión por parte del comité de auditoría en relación con los programas y controles antifraude, el Estándar de Auditoría No. 2 de la PCAOB observa que la supervisión inefectiva por parte del comité de auditoría puede ser un indicador fuerte de que existe una debilidad material en el control interno sobre la información financiera9.
evaluar los riesgos de fraude y los controles, así como para recomendar acciones para mitigar los riesgos y mejorar el control. Las auditorías internas pueden servir tanto para detectar como para disuadir el fraude, haciéndolo mediante el examen y la evaluación de lo adecuado y de la efectividad del sistema de control interno. Los auditores internos pueden realizar auditorías proactivas en búsqueda de corrupción, uso indebido de activos y fraude en los estados financieros. Los auditores internos deben tener una línea directa de presentación de reportes independientes al comité de auditoría para permitirles expresar cualesquiera preocupaciones respecto del compromiso de la administración para con controles internos apropiados y para reportar las sospechas o denuncias de fraude que implica a la administración principal10. El Estándar de Auditoría No. 2 de la PCAOB observa que una función de auditoría interna inefectiva debe ser considerada al menos como una deficiencia importante en el control interno sobre la información financiera11.
Código de ética/conducta El código de ética/conducta debe tener determinaciones relacionadas con conflictos de interés, transacciones con partes relacionadas, actos ilegales, así como el monitoreo del código por parte de la administración y el comité de auditoría o la junta. La Sección 406 de la Ley Sarbanes-Oxley del 2002 y la Regla Final de la SEC, Disclosure Required by Sections 406 and 407 of the Sarbanes-Oxley Act of 200212 , requiere que la entidad registrada revele si ha adoptado un código de ética y si no, explique por qué. Las reglas de NYSE y NASDAQ también requieren la adopción y la revelación pública del código de conducta y ética de negocios. La regla final de la SEC define el término “código de ética” como:
Estándares escritos que estén razonablemente diseñados para disuadir las infracciones y promover la:
Conducta honesta y ética, incluyendo el manejo ético de los conflictos de interés actuales o aparentes entre las relaciones personales y profesionales;
Revelación plena, razonable, exacta, oportuna y
Participación de la auditoría interna Una función de auditoría interna efectiva puede ser extremadamente útil en el diseño, implementación y supervisión de los programas y controles antifraude. Los auditores internos tienen la oportunidad de identificar y
9
PCAOB, Auditing Standard No. 2, paragraph 140.
10
Muestra al SAS 99, Management Antifraud Programs and Controls sección “Auditores Internos.”
11 12
PCAOB, Auditing Standard No. 2, paragraph 140. Final Rule: Disclosure Required by Sections 406 and 407 of the Sarbanes-Oxley Act of 2002, section (II)(B)(2)(c), Final Definition of “Code of Ethics.” Pueden obtenerse copias electrónicas en http://www.sec.gov/rules/final/33-8177.htm.
23
comprensible, en los reportes y documentos que la entidad registrada archive con, o presente a, la Comisión y en las otras comunicaciones públicas hechas por la entidad registrada; Cumplimiento con las leyes, reglas y regulaciones gubernamentales que sean aplicables; La presentación rápida de reportes internos a la persona o personas apropiadas identificadas en el código, respecto de las violaciones del código; y Accountability por la adherencia al código. El código de ética/conducta debe aplicar a todos los individuos que participen en y/o tengan influencia sobre los estados financieros y a cualquiera que prepare los estados financieros, incluyendo a quienes tengan responsabilidades directas de participación o supervisión (e.g., miembros de la junta de directores, consejo general, y directores ejecutivos). La junta de directores y el comité de auditoría tienen responsabilidades de supervisión del código de ética/conducta, las cuales pueden ser documentadas en las actas de las reuniones de la junta de directores junto con su revisión y aceptación del código de ética/conducta. Las compañías deben considerar desarrollar un código de ética/conducta para todos los empleados, con confirmaciones periódicas de que los empleados entienden el código y están de acuerdo en seguirlo. También debe haber entrenamiento sobre el código de ética/conducta y comunicación apropiada dirigida a todos los empleados respecto de dónde pueden encontrarlo y a quién llamar si hay preguntas o preocupaciones respecto de las políticas.
Línea directas de ética y programa de denuncias anónimas La Sección 301 de la Ley Sarbanes-Oxley de 2002, Estándares relacionados con los comités de auditoría de las compañías registradas, requiere que el comité de auditoría de cada emisor establezca procedimientos para: la recepción, retención y tratamiento de los reclamos recibidos por el emisor en relación con asuntos de contabilidad, controles internos contables o auditoría, y
de la organización (i.e., vendedores, clientes, y agentes) para reportar, sin miedo de amenaza o sanción, el comportamiento fraudulento. Debe haber entrenamiento para asegurar que todos los empleados conocen cómo y cuándo usar la línea directa. Las compañías deben valorar el carácter adecuado de los procedimientos para manejar los reclamos y para aceptar la presentación confidencial de las “denuncias anónimas” relacionadas con las preocupaciones respecto de asuntos de contabilidad y auditoría que sean cuestionables. Además de establecer la línea directa, las compañías deben tener un programa y unos procedimientos, formales, para el seguimiento apropiado de las denuncias reportadas. Los mismos procedimientos para permitir el proceso de denuncias anónimas deben ser controlados para prevenir el acceso o los cambios no-autorizados.
Estándares de contratación y promoción Las organizaciones deben dar pasos para asegurar que existen estándares apropiados para la contratación y la promoción del personal. Para los individuos con influencia en la información financiera o que participan en la preparación de los estados financieros (incluyendo junta de directores, comité de auditoría, consejo general, CFO y contralores), esos estándares deben incluir la investigación de los antecedentes de la educación anterior, experiencia de trabajo, evidencia de integridad, y búsqueda de evidencia de actividad penal. Todos los pasos dados deben ser documentados y revisados por personal apropiado. La administración debe considerar las investigaciones de los antecedentes de los empleados existentes si no fueron realizadas cuando el empleado fue contratado inicialmente o promovido, o si los empleados estuvieron en posiciones clave a través de adquisiciones o fusiones. A individuos específicos de la administración se les debe asignar la responsabilidad general para supervisar el cumplimiento con los estándares y procedimientos antifraude. La organización debe usar el debido cuidado para no delegar la autoridad sustancial discrecional a individuos que la organización sabe, o debe conocer mediante el ejercicio de la diligencia debida, que tienen la propensión a participar en actividades ilegales13.
Entrenamiento la presentación confidencial, anónima, por parte de los empleados del emisor, de las preocupaciones relacionadas con asuntos de contabilidad o auditoría que sean cuestionables Las líneas directas deben ser accesibles para todos los empleados. La administración también puede considerar tenerlas disponibles para individuos de fuera 13
La administración debe ofrecerle entrenamiento a los recién contratados y entrenamiento periódico a todos los empleados, para reforzar los valores éticos de la compañía y el ambiente de control antifraude con un foco en la ética, el fraude y el código de ética/conducta de la compañía. La administración también debe considerar realizar entrenamiento personalizado con base en los riesgos de
United States Organizational Sentencing Commission, Guidelines Manual, §8A1.2, comment, 3(k).
24
fraude identificados de la organización. Por ejemplo, si la organización ha identificado riesgos de fraude relacionados con el reconocimiento inapropiado o temprano de los ingresos ordinarios, se puede suministrar entrenamiento al personal apropiado que participa en el ciclo de ventas para abordar los riesgos de fraude identificados. El entrenamiento también puede incluir y reforzar otros asuntos del código de ética/conducta de la organización, incluyendo el cumplimiento con leyes y regulaciones, el uso de líneas directas para denuncias anónimas, y los estándares de contratación.
Respuestas para controlar las deficiencias & denuncias de fraude La administración y los comités de auditoría deben tener respuestas oportunas y apropiadas para las deficiencias de control, las denuncias o las preocupaciones de fraude, que sean importantes, y para las violaciones del código de conducta. La administración y los comités de auditoría deben tener procesos para responder a las denuncias de fraude, y las investigaciones se deben iniciar oportunamente. En ciertas circunstancias, tales como las denuncias que involucran a la administración principal, se deben realizar investigaciones completamente independientes usando especialistas externos. Se deben tomar acciones prontas y apropiadas contra quienes participan en actividades fraudulentas y cualquier fraude, sea o no material, que implique a la administración, debe serle comunicado al comité de auditoría y a los auditores externos14. La administración y el comité de auditoría deben asegurar que las deficiencias de control importantes son corregidas oportunamente. El Estándar de Auditoría No. 2 de la PCAOB observa que las deficiencias importantes que le han sido comunicadas a la administración y al comité de auditoría y permanecen sin corregir luego de un período de tiempo razonable, deben ser consideradas al menos como deficiencias importantes y son un indicador fuerte de que existe una debilidad material en el control interno sobre la información financiera15. Adicionalmente, la administración debe asegurar que oportunamente se toman las acciones disciplinarias apropiadas para cuando se encuentren violaciones del código de ética/conducta. La acción disciplinaria apropiada y oportuna puede demostrar y ofrecer evidencia respecto del compromiso de la administración para con los valores éticos y reforzar la intolerancia de la administración respecto del comportamiento fraudulento y otro que no sea apropiado.
14 15
Valoraciones realizadas por la administración Deben ser realizadas valoraciones culturales en los diversos niveles y localizaciones de la organización, con el fin de determinar la efectividad de la operación de los programas y controles implementados. La administración puede considerar usar encuestas o entrevistas culturales anónimas para valorar los puntos de vista de los empleados en relación con el ambiente de control. La administración debe valorar el diseño y la efectividad de la operación del ambiente de control y documentar su valoración y sus conclusiones. Ejemplos de situaciones o circunstancias que pueden señalar deficiencias dentro del ambiente de control incluyen: pocas o ninguna llamada a las líneas directas de ética / denuncias anónimas violaciones no documentadas del código de ética/ conducta los empleados no están recibiendo entrenamiento en ética y fraude los empleados con influencia importante en la información financiera son contratados y promovidos sin investigaciones de los antecedentes la administración no aborda y corrige las deficiencias de control importantes dentro de un razonable período de tiempo las denuncias o preocupaciones relacionadas con el fraude no son investigadas oportunamente las encuestas culturales señalan preocupaciones respecto de la integridad de la administración y el tono desde lo alto de la organización
Ejemplos de documentación común El propósito de la documentación es ofrecer evidencia de la existencia de los elementos del ambiente de control. La documentación puede incluir la evaluación o valoración del tono de la organización y de otros documentos creados en la ejecución de los elementos del ambiente de control. La documentación debe ser suficiente para que los auditores entiendan cómo la administración ha implementado el programa y sus conclusiones en relación con el diseño y la efectividad de la operación del ambiente de control. La documentación relacionada con el ambiente de control puede incluir lo siguiente:
Sarbanes-Oxley Act of 2002, Section 302(a)(5)(B). PCAOB, Auditing Standard No. 2, paragraph 140.
25
las valoraciones, realizadas por la administración, respecto de la cultura y el tono de la organización, deben ser documentadas y revisadas por el comité de auditoría controles correspondientes al uso indebido de los activos de la compañía y a la información financiera fraudulenta que pudieran resultar en una declaración equivocada material de los estados financieros participación del comité de auditoría y de la auditoría interna en los programas y controles antifraude el código de ética debe ser publicado y estar disponible para todos los empleados en manuales de empleados, manuales de políticas, líneas directas, o en alguna otra documentación o localización formal certificación o confirmación de los empleados, respecto de que cumplen con las leyes y regulaciones y que entienden y aceptan el código de ética/conducta publicado la recepción y el manejo de los reclamos y las preocupaciones relacionadas con los asuntos de contabilidad o auditoría que sean cuestionables, incluyendo las investigaciones de la administración y las respuestas a las denuncias y preocupaciones estándares formales de contratación y promoción que incluyan evidencia de las investigaciones de antecedentes realizadas y revisadas el entrenamiento periódico debe ser dado a todos los empleados y debe incluir una discusión sobre ética, fraude, leyes y regulaciones a todos los empleados se les debe dar entrenamiento en fraude y ética evidencia de que la administración y el comité de auditoría respondieron apropiada y oportunamente a las deficiencias de control importantes, a las denuncias o preocupaciones relacionadas con el fraude, y a las violaciones del código de ética/ conducta acciones disciplinarias y apropiadas, con comunicación de las violaciones de los códigos de conducta/ética y las respuestas de la organización a tales violaciones valoraciones, realizadas por la administración, respecto del diseño y la efectividad de la operación del ambiente de control
26
3. Diseño e implementación de actividades de control antifraude Alcance & Objetivos Las actividades de control antifraude son las acciones tomadas por la administración para mitigar riesgos de fraude específicos y para prevenir, detectar y disuadir el fraude. Las actividades de control deben ser diseñadas para prevenir la ocurrencia del fraude y detectar si ocurre, así como para mitigar el riesgo de que la administración eluda los controles y los otros esquemas para anular las actividades de control.
Participantes & Responsabilidades La administración, junto con quienes tienen la responsabilidad para supervisar el proceso de información financiera (tal como el comité de auditoría), deben establecer controles apropiados para prevenir, disuadir y detectar el fraude. Los empleados, los propietarios de los procesos de negocio, o quienes son responsables por cuentas o procesos importantes, deben participar en el diseño e implementación de las actividades de control antifraude. El comité de auditoría debe revisar y aprobar lo adecuado de las actividades de control antifraude, y asegurar que los controles están diseñados para abordar el riesgo de que la administración eluda los controles o ejerza influencia inapropiada sobre el proceso de información financiera. La administración de la TI puede ofrecer luces respecto de los sistemas de información y los procesos de la TI y puede ayudar en el diseño de los controles de TI. La auditoría interna debe ayudar en el desarrollo de los controles antifraude con base en su entendimiento de las operaciones y de los hallazgos de auditoría interna.
Valoraciones realizadas por la administración La valoración de las actividades de control antifraude hace parte de la valoración más amplia de todas las actividades de control. La administración debe valorar el diseño y la efectividad de la operación de las actividades de control antifraude y documentar sus conclusiones. Ejemplos de situaciones o circunstancias que puedan señalar que las actividades de control no están operando efectivamente incluyen: carencia de controles antifraude detectivos falla en vincular los riesgos de fraude identificados con las actividades de control de mitigación existe documentación insuficiente para respaldar las actividades de valoración que realiza la administración
Elementos & Diseño Para asegurar que todos los riesgos de fraude identificados han sido adecuadamente mitigados, la administración debe mapear o vincular las actividades de control con los riesgos de fraude identificados durante la valoración del riesgo. Se debe dar consideración a los factores ambientales de fraude, incluyendo: presiones o incentivos, racionalización y oportunidad. No siempre es posible crear controles para tratar las presiones, incentivos y racionalización de los empleados; sin embargo, la administración puede crear controles internos fuertes que reduzcan de manera importante las oportunidades de fraude dentro de la organización. La eliminación de las oportunidades de fraude y el incremento de la percepción de detección dentro de las organizaciones puede agregar valor importante en términos de prevenir y disuadir el fraude. Las actividades de control deben incluir controles generales de computación que limiten el acceso a los sistemas de información y aseguren el procesamiento exacto. Además, los controles de aplicación del ciclo de negocios pueden ayudar a automatizar la detección y prevención del fraude. Algunos de los controles relevantes incluyen validación de los datos procesados por la aplicación, construcción de pruebas de razonabilidad para detectar cuentas, precios o volúmenes inusuales, alarmas automatizadas de excepciones para ayudar a llamar la atención de la administración respecto de las desviaciones, segregación de las funciones de los controles implementados en las aplicaciones, verificaciones incorporadas en las aplicaciones para prevenir el procesamiento inusual de transacciones, y otras verificaciones cruzadas para asegurar que todas las transacciones se incluyeron en el proceso.
Ejemplos de documentación común El propósito de la documentación es ofrecer evidencia de la existencia del programa y de los procesos de la administración para implementar actividades de control antifraude preventivas y detectivas. La documentación debe ser suficiente para que los auditores entiendan cómo la administración implementó el programa y sus conclusiones relacionadas con el diseño y la efectividad de la operación de las actividades de control antifraude. La documentación relacionada con las actividades de control antifraude puede incluir lo siguiente: políticas y procedimientos relacionados con las actividades de control para identificar quiénes realizan las actividades, la frecuencia de los procedimientos, y la evidencia subyacente para las actividades las actividades de control antifraude están
mapeadas con los riesgos de fraude identificados durante la valoración del riesgo de fraude
4. Compartir información & comunicación Alcance y objetivos La administración debe comunicar su compromiso para con el comportamiento ético, así como la existencia de programas antifraude. Todos los empleados deben tener un entendimiento claro de lo que se espera de ellos en relación con el comportamiento ético y deben entender cuál comportamiento es aceptable y cuál no es aceptable. La comunicación recibida de la administración debe incluir contenido que sea apropiado y la información suministrada debe ser oportuna, actualizada, exacta y accesible.
Participantes & responsabilidades La administración tiene la responsabilidad primaria para asegurar la comunicación efectiva de los programas antifraude a través de la organización. El comité de auditoría debe participar activamente en la supervisión y revisión de la información y comunicación relacionada con los programas antifraude. Otros departamentos o funciones dentro de la organización pueden ser involucrados en el compartir la información, incluyendo recursos humanos y quienes son responsables por el entrenamiento de los empleados. Los jefes y los administradores de los departamentos también deben participar en la comunicación a sus respectivos departamentos de las actitudes antifraude y éticas. La auditoría interna, los empleados y las partes externas deben tener la responsabilidad de reportar el comportamiento inapropiado y tener acceso a mecanismos tales como líneas directas donde se puedan reportar los problemas fraudulentos y otras irregularidades.
Valoraciones que realiza la administración La administración debe valorar el diseño y la efectividad de la operación de la comunicación e información relacionadas con los programas y controles antifraude, y documentar su valoración y conclusiones. Ejemplos de situaciones o circunstancias que pueden señalar que las actividades de comunicación e información no están operando efectivamente incluyen: el comité de auditoría falla en recibir y revisar las valoraciones del riesgo de fraude los empleados no tiene acceso al código de ética/ conducta el fraude que implica a la administración no le es 27
comunicado al comité de auditoría y a los auditores externos las valoraciones que realiza la administración respecto de los programas y controles antifraude no están suficientemente documentadas
Elementos & diseño Cada organización tiene que capturar información financiera y no-financiera pertinente relacionada con eventos y actividades tanto externos como internos. La administración debe diseñar un sistema para la administración efectiva del conocimiento con el fin de obtener y comunicar la información apropiada relacionada con los riesgos de fraude y los programas y controles antifraude. La información suministrada debe ser oportuna, actualizada, exacta y accesible.
Ejemplos de documentación común El propósito de la documentación es suministrar evidencia de la existencia del programa y de los procesos de la administración relacionados con la comunicación de información relacionada con sus programas y controles antifraude. La comunicación y la información deben ser procesadas y estar disponibles para cada uno de los cinco componentes de la estructura de COSO relacionados con los programas y controles antifraude. Debe existir evidencia de la valoración que realiza la administración respecto del diseño y la efectividad de la operación de la comunicación y la información, y la documentación debe ser suficiente para que los auditores externos evalúen la comunicación efectiva de los programas y controles antifraude. La documentación relacionada con la información y comunicación de los programas y controles antifraude puede incluir lo siguiente: comunicación del código de ética/conducta sitios web corporativos que suministren información sobre ética y sobre los programas y controles antifraude materiales de entrenamiento sobre ética y fraude boletines corporativos que se refieran a programas sobre ética y antifraude discursos o mensajes del CEO relacionados con ética
28
5. Monitoreo de actividades Alcance & objetivos El monitoreo de las actividades y de las valoraciones debe constar de procedimientos que incluyan evaluaciones independientes de los controles antifraude que puedan ser realizados por auditoría interna u otros grupos, así como las actividades de monitoreo continuo que estén inmersas en las actividades de operación recurrentes tales como las conciliaciones.
Participantes & Responsabilidades La administración, junto con quienes tienen responsabilidad por la supervisión del proceso de información financiera (tal como el comité de auditoría) deben participar activamente en el monitoreo de las actividades. El monitoreo de las actividades puede comenzar primero con “auto-evaluaciones” de las personas responsables por las cuentas, procesos u operaciones importantes, e incluir empleados fuera de la administración. Los resultados deben estar sujetos a revisión y valoración por parte de la administración, la auditoría interna y el comité de auditoría. La función de auditoría interna debe tener responsabilidades continuas para evaluar la efectividad de los controles antifraude y para comunicarle a la administración y al comité de auditoría las deficiencias y debilidades de control. El comité de auditoría debe participar en la supervisión de las actividades de monitoreo y la administración de la TI debe participar en el monitoreo de las actividades relacionadas con TI.
Elementos & diseño Las evaluaciones de los controles antifraude deben ser realizadas por la administración y por la auditoría interna con el fin de mirar las ocurrencias de fraude dentro de la organización y para determinar si los controles antifraude son efectivos. Los hallazgos y las debilidades del monitoreo de las actividades deben ser incorporados en las valoraciones del riesgo de fraude. El comité de auditoría debe revisar las valoraciones que realiza la auditoría interna respecto de la efectividad de los controles antifraude y debe determinar si el monitoreo de las actividades es suficiente para mitigar los riesgos de fraude identificados. El comité de auditoría debe evaluar el carácter adecuado de la actividad de la auditoría interna y asegurar que la función de auditoría interna le reporta directamente al comité de auditoría. Las actas del comité de auditoría deben documentar los hallazgos y la presentación funcional de reportes de auditoría interna. La función de auditoría interna es crítica para el éxito general del monitoreo de las actividades.
Valoraciones que realiza la administración La administración debe valorar el diseño y la efectividad de la operación del monitoreo de las actividades y documentar su valoración y sus conclusiones. Ejemplos de situaciones o circunstancias que pueden señalar que el monitoreo de las actividades no está operando efectivamente incluyen: participación insuficiente del auditor interno o del comité de auditoría la función de auditoría interna es inefectiva falla en retroalimentar, con los hallazgos del monitoreo, la valoración del riesgo de fraude y el diseño de las actividades de control antifraude
Ejemplos de documentación común El propósito de la documentación es ofrecer evidencia de la existencia del programa y de los procesos que realiza la administración en relación con el monitoreo de las actividades. La documentación debe ser suficiente para que los auditores entiendan cómo la administración implementó el programa y sus conclusiones en relación con el diseño y la efectividad de la operación del monitoreo de las actividades. La documentación relacionada con el monitoreo de los programas y controles antifraude puede incluir lo siguiente: evaluaciones realizadas por la administración y por la auditoría interna para monitorear y valorar la efectividad de los programas y controles antifraude las deficiencias y debilidades del control interno deben ser identificadas, documentadas y comunicadas hacia el nivel superior apropiado dentro de la organización controles internos actualizados o modificados como resultado del monitoreo de los controles antifraude la revisión que el comité de auditoría hace respecto de los procesos (tanto evaluaciones como el monitoreo continuo de las actividades) y la aprobación de lo adecuado de tales controles valoraciones que realiza la administración respecto del diseño y efectividad de la operación de las actividades de monitoreo
29
Apéndice
Estándar de auditoría AS-5 de la US-PCAOB: Auditoría del control interno a la información financiera, integrada con la auditoría de estados financieros En julio del 2007 la US-PCAOB publicó el Auditing Standard No. 5, An audit of internal control over financial reporting that is integrated with an audit of financial statements and related independence rule and conforming amendments (Estándar de Auditoría No. 5, Auditoría del control interno a la información financiera, integrada con la auditoria de estados financieros, y regla de independencia relacionada y ajustes por las enmiendas)*. El AS-5 reemplazó al AS-2 e hizo precisiones importantes en relación con el enfoque de auditoría del control interno: basado-en-riesgos, desde arriba-hacia-abajo, centrado en los controles a nivel-de-entidad. Con relación a los programas y controles anti-fraude, antes que eliminarlos, fortaleció su importancia y requerimientos, ampliando éstos en buena medida. Refiriéndose al fraude, resalta que éste no solo tiene que ser prevenido y detectado, sino que tiene que existir un proceso claro de administración del riesgo de fraude (identificación, valoración y respuesta). Los siguientes son extractos tomados del AS-5 relacionados con el fraude. (El resaltado que se hace al término fraude no corresponde al original).
Parte introductoria: áreas de énfasis del AS-5 C. Énfasis en los controles al fraude El estándar propuesto sobre auditoría del control interno discutió los controles al fraude y los procedimientos del auditor relacionados con esos controles entre los conceptos de prueba, los cuales se incluyeron hacia el final del estándar. Los comentaristas sugirieron que la ubicación de la discusión, o la carencia de especificidad * El texto completo del A-5 puede obtenerlo, así: En inglés, en: http://www.pcaobus.org En español, en: http://www.deloitte.com.co/mercadeo/rauditoria/AS5.pdf 16 Ver parágrafos 14 y 15 17 Ver parágrafo 11 18 Ver parágrafo 14
30
relacionada con los controles que se deben considerar controles al fraude, fallaban en enfatizar de manera apropiada esos controles o en proveer a los auditores con suficiente orientación sobre cómo probar los controles al fraude. En respuesta, la junta ha hecho algunos cambios en el estándar final. Primero, la discusión del riesgo de fraude y los controles anti-fraude ha sido trasladada más cerca del comienzo del estándar para enfatizar a los auditores la importancia relativa de esos asuntos al valorar el riesgo mediante el enfoque de arriba-hacia-abajo16. La incorporación de la valoración que hace el auditor sobre el riesgo de fraude – requerida en la auditoría de estados financieros – en el proceso de planeación del auditor para la auditoría del control interno debe promover la calidad de la auditoría así como mejor integración. Si bien el control interno no puede proveer seguridad absoluta de que el fraude será prevenido o detectado, esos controles deben ayudar a reducir los casos de fraude, y, por consiguiente, una atención dirigida a los controles al fraude en la auditoría del control interno debe enriquecer la protección de los inversionistas. Segundo, el fraude de la administración también ha sido identificado en el estándar final como un área de riesgo más alto; de acuerdo con ello, el auditor debe focalizar más su atención en esta área17. Finalmente, el estándar, tal y como es adoptado, provee orientación adicional sobre los tipos de controles que tienen que cubrir el riesgo de fraude18.
H. Uso del trabajo de otros en una auditoría integrada … En línea con el enfoque general basado-en-riesgos para la auditoría del control interno a la información financiera, la extensión en la cual el auditor puede usar el trabajo de otros depende, en parte, del riesgo asociado con el control que se está probando. En la
medida en que el riesgo decrece, lo hace la necesidad que tiene el auditor de ejecutar el trabajo por sí mismo. El impacto que el trabajo de otros tiene en el trabajo del auditor también depende de la relación entre el riesgo y la competencia y objetividad de quienes ejecutan el trabajo. En la medida en que el riesgo disminuye, también disminuye el nivel necesario de competencia y objetividad19. De la misma manera, en las áreas de más alto riesgo (por ejemplo, controles que cubren los riesgos de fraude específicos), el uso del trabajo de otros estaría limitado, si pudiera llegar a usarse.
Texto del AS-5 (La numeración de los parágrafos corresponde al original)
Administrar el riesgo de fraude 14. Cuando planea y ejecuta la auditoría del control interno a la información financiera, el auditor debe tener en cuenta los resultados de su valoración del riesgo de fraude20. Como parte de la identificación y prueba de los controles a nivel-de-entidad, tal y como se discute al comienzo del parágrafo 22, y de la selección de los otros controles a probar, tal y como se discute al comienzo del parágrafo 39, el auditor debe evaluar si los controles de la compañía administran de manera suficiente los riesgos identificados de declaración equivocada material debida a fraude así como los controles que tienen la intención de administrar el riesgo de que la administración eluda esos controles. Los controles que pueden administrar esos riesgos incluyen – a. Controles sobre transacciones importantes, inusuales, particularmente aquellas que resultan en entradas al libro diario tardías o inusuales;
para que la administración falsifique o administre de manera inapropiada los resultados financieros. 15. Si durante la auditoría del control interno a la información financiera el auditor identifica deficiencias en los controles diseñados para prevenir o detectar fraude, el auditor debe tener en cuenta, durante la auditoría de estados financieros, esas deficiencias cuando desarrolla su respuesta a los riesgos de declaración equivocada material, tal y como es provisto en AU sec. 316.44 y.45. 29. Para identificar las cuentas y revelaciones importantes y sus aseveraciones relevantes, el auditor debe evaluar los factores de riesgo, cualitativos y cuantitativos, relacionados con los elementos de línea de los estados financieros y las revelaciones. Los factores de riesgo relevantes para la identificación de las cuentas y revelaciones importantes así como sus aseveraciones relevantes incluyen – Tamaño y composición de la cuenta; Susceptibilidad a declaración equivocada debida a errores o fraude; Volumen de actividad, complejidad, y homogeneidad de las transacciones individuales procesadas mediante la cuenta o reflejadas en la revelación; Naturaleza de la cuenta o revelación; Complejidades de la contabilidad y de la presentación de reportes asociadas con la cuenta o revelación; Exposición a pérdidas en la cuenta;
b. Controles sobre entradas y ajustes al libro diario hechas en el proceso de final del período de presentación de informes financieros; c. Controles sobre transacciones con partes relacionadas; d. Controles relacionados con estimados importantes realizados por la administración; y
Posibilidad de pasivos contingentes importantes que surgen de las actividades reflejadas en la cuenta o revelación; Existencia, en la cuenta, de transacciones con partes relacionadas; y Cambios, a partir del período anterior, en las características de la cuenta o revelación.
e. Controles que atenúan incentivos y presiones
19
Ver parágrafo 18. Ver parágrafos .19 a .42 de AU sec. 316, Consideration of Fraud in a Financial Statement Audit [Consideración del fraude en una auditoría de estados financieros], referentes a la identificación de los riesgos que pueden resultar en declaración equivocada material debido a fraude.
20
31
Entendimiento de las fuentes probables de declaración equivocada 34. Para entender adicionalmente las fuentes probables de declaraciones equivocadas potenciales, y como parte de la selección de los controles a probar, el auditor debe lograr los siguientes objetivos – Entender el flujo de las transacciones relacionadas con las aseveraciones relevantes, incluyendo cómo se inician, autorizan, procesan, y registran esas transacciones; Verificar que el auditor ha identificado los puntos, dentro de los procesos de la compañía, en los cuales podría surgir una declaración equivocada – incluyendo una declaración equivocada debida a fraude – que, individualmente o en combinación con otras declaraciones equivocadas, sería material;
65. Se afectan los factores de riesgo si hay una posibilidad razonable de que una deficiencia, o una combinación de deficiencias, derivará en una declaración equivocada de un saldo de cuenta o de una revelación. Los factores incluyen, pero no están limitados a, lo siguiente: nsacciones; La naturaleza de las cuentas de los estados financieros, las revelaciones, y las aseveraciones implicadas; La susceptibilidad frente a pérdida o fraude, de los activos o pasivos relacionados; La subjetividad, complejidad, o extensión de los juicios requeridos para determinar la cantidad implicada;
Identificar los controles que la administración ha implementado para administrar esas declaraciones equivocadas potenciales; e
La interacción o relación del control con otros controles, incluyendo si son interdependientes o redundantes;
Identificar los controles que la administración ha implementado sobre la prevención o detección oportuna de la adquisición, el uso, o la disposición, no-autorizados, de los activos de la compañía, que podrían derivar en una declaración equivocada material de los estados financieros.
La interacción de las deficiencias; y
Prueba de la efectividad del diseño 42. El auditor debe probar la efectividad del diseño de los controles determinando si los controles de la compañía, si son operados como fue prescrito por personas que poseen la autoridad y competencias necesarias para ejecutar efectivamente el control, satisfacen los objetivos de control de la compañía y efectivamente pueden prevenir o detectar los errores o el fraude que derivaría en declaraciones equivocadas materiales contenidas en los estados financieros. Nota: Una compañía más pequeña, menos compleja, puede lograr sus objetivos de control de manera diferente de como lo hace una organización más grande, más compleja. Por ejemplo, una compañía más pequeña, menos compleja, puede tener pocos empleados en la función de contabilidad, limitando las oportunidades para la segregación de funciones y conduciendo a que la compañía implemente controles alternativos para lograr sus objetivos de control. En tales circunstancias, el auditor debe evaluar si esos controles alternativos son efectivos. 32
Evaluación de las deficiencias identificadas
Las posibles consecuencias futuras de la deficiencia. Nota: La evaluación de si una deficiencia de control presenta una posibilidad razonable de declaración equivocada puede ser realizada sin cuantificar la probabilidad de ocurrencia como un porcentaje o rango específico. Nota: Las múltiples deficiencias de control que afectan al mismo saldo de cuenta del estado financiero o a la misma revelación incrementan la probabilidad de declaración equivocada y pueden, en combinación, constituir una debilidad material, aún si tales deficiencias individualmente pueden ser menos severas. Por consiguiente, el auditor debe determinar si las deficiencias de control individuales que afectan la misma cuenta o revelación importante, aseveración relevante, o componente del control interno colectivamente derivan en una debilidad material.
Indicadores de debilidades materiales 69. Los indicadores de debilidades materiales en el control interno a la información financiera incluyen – juicios requeridos para determinar la cantidad implicada; Identificación del fraude, sea o no material, por
parte de la administración principal21; Re-emisión de estados financieros previamente emitidos, para reflejar la corrección de una declaración equivocada material22; Identificación, por el auditor, de una declaración equivocada material de los estados financieros en el período actual en circunstancias que señalan que la declaración equivocada no habría sido detectada por el control interno a la información financiera de la compañía; y Supervisión inefectiva por parte del comité de auditoría de la compañía, respecto del proceso de presentación de reportes externos y del control interno a la información financiera de la compañía.
Obtención de manifestaciones escritas 75. En una auditoría del control interno a la información financiera, el auditor debe obtener, de la administración, manifestaciones escritas – a. Reconociendo la responsabilidad de la administración por el establecimiento y mantenimiento de efectivo control interno a la información financiera; b. Señalando que la administración ha ejecutado una evaluación y hecho una valoración de la efectividad del control interno a la información financiera de la compañía y especificando el criterio de control; c. Señalando que la administración no usó los procedimientos que los auditores ejecutaron durante las auditorías del control interno a la información financiera o de los estados financieros como parte de la base para la valoración que realiza la administración respecto de la efectividad del control interno a la información financiera;
d. Señalando la conclusión de la administración, como la expresó en su valoración, respecto de la efectividad del control interno a la información financiera de la compañía, con base en el criterio de control y para la fecha especificada; e. Señalando que la administración ha revelado al auditor todas las deficiencias en el diseño u operación del control interno a la información financiera que se identificaron como parte de la evaluación que realiza la administración, incluyendo la revelación por separado, al auditor, de todas esas tales deficiencias que considera son deficiencias importantes o debilidades materiales en el control interno a la información financiera; f. Describiendo cualquier fraude resultante en una declaración equivocada material para los estados financieros de la compañía y cualquier otro fraude que no resulte en una declaración material para los estados financieros de la compañía pero que implica a la administración principal o a la administración o a otros empleados que tienen un rol importante en el control interno a la información financiera de la compañía; g. Señalando si las deficiencias de control identificadas y comunicadas al comité de auditoría durante los compromisos anteriores en conformidad con los parágrafos 77 y 79 han sido resueltos, e identificando específicamente cualesquiera que no; y h. Señalando si hubo, posterior a la fecha sobre la que se está reportando, cualesquiera cambios en el control interno a la información financiera u otros factores que pueden significativamente afectar al control interno a la información financiera, incluyendo cualesquiera acciones correctivas tomadas por la administración en relación con las deficiencias importantes y las debilidades materiales.
Para el propósito de este indicador, el término “administración principal” incluye al ejecutivo principal y a los funcionarios financieros que firman las certificaciones de la compañía tal y como es requerido bajo la Sección 302 de la Ley, lo mismo que a cualesquiera otros miembros de la administración principal que juegan un rol importante en el proceso de presentación de informes financieros de la compañía. 22 Ver Financial Accounting Standards Board Statement No. 154, Accounting Changes and Error Corrections, relacionada con la corrección de una declaración equivocada. 21
33
Documento original: Antifraud Programs & Controls. Deloitte Development LLC, 2004. NB: Este documento original fue preparado con base en el AS-2 de la US-PCAOB. El AS-2 fue reemplazado, en julio del 2007 por el AS-5. La presente traducción incluye un apéndice con extractos tomados del AS-5 relacionados con el fraude y la administración del riesgo de fraude. La traducción y el apéndice fueron realizadas por Samuel A. Mantilla, asesor de investigación contable de Deloitte & Touche Ltda., Colombia, con la revisión técnica de César Cheng, Socio Director General de Deloitte & Touche Ltda., Colombia. Nuestras oficinas: Bogotá Carrera 7 No. 74-09 Tel 57 (1) 5 461810 Fax 57 (1) 2178088 Carrera 12 No. 95-81 P.5 Tel: 57 (1) 6367902 Fax: 57 (1) 2561556 Medellín Calle 16 sur No. 43 A - 49 P. 9 P. 10 57 (4) 3138899 Fax 57 (4) 3139343 Barranquilla Calle 76 No. 54-11 Of. 1101 Tel: 57 (5) 3608306 Fax: 57 (5) 3608309 Cali Centroempresa Calle 64N No. 5B-146 Sector C. Piso 3 Tel: 57 (2) 5247027 Fax: 57 (2) 5244836 - 5244957 Acerca de Deloitte Deloitte se refiere a una o más de las firmas de Deloitte Touche Tohmatsu, una asociación suiza, sus firmas miembros, y sus respectivas subsidiarias y afiliadas. Deloitte Touche Tohmatsu es una organización de firmas miembros dedicada a la excelencia en la prestación de servicios profesionales y asesoramiento, focalizada en el servicio al cliente a través de una estrategia global ejecutada localmente en aproximadamente 140 países. Con acceso al valioso capital intelectual de 135.000 personas en todo el mundo, Deloitte presta servicios en cuatro áreas profesionales: auditoría, impuestos, consultoría y asesoramiento financiero. Atiende a más de la mitad de las compañías más grandes del mundo, así como también a importantes empresas nacionales, instituciones públicas y compañías exitosas de rápido crecimiento global. Los servicios no son prestados por Deloitte Touche Tohmatsu Verein y, por regulaciones u otras razones, determinadas firmas miembros no ofrecen servicios en todas las áreas profesionales. Por su estructura de asociación suiza, Deloitte Touche Tohmatsu y sus firmas miembros no tienen responsabilidad sobre las acciones u omisiones de las demás. Cada firma miembro es una entidad legal separada e independiente operando bajo los nombres “Deloitte”, “Deloitte & Touche”, “Deloitte Touche Tohmatsu”, o cualquier otro nombre relacionado.
34
Una Firma miembro de Deloitte Touche Tohmatsu © 2008