Evaluar los riesgos de fraude inherentes. Una vez identificados los riesgos de fraude de diferentes fuentes, se evalúa la probabilidad de fraude. La evaluación de la probabilidad es un proceso subjetivo porque normalmente la organización no dispone de datos o información relevante que prediga con exactitud la probabilidad de determinados riesgos de fraude.

Evaluar los riesgos de fraude inherentes

Para evaluar la probabilidad de los riesgos de fraude, la organización puede tener en cuenta diversos factores como los incidentes pasados, la prevalencia del riesgo de fraude en el sector, el entorno de control interno, los recursos disponibles para hacer frente al fraude, los esfuerzos de prevención del fraude por parte de la dirección, las normas éticas seguidas, las pérdidas inexplicables, las quejas de los clientes, etc.

Sobre la base de la evaluación general y la utilización de la información disponible, el evaluador del riesgo de fraude desarrolla o diseña los controles preventivos y de detección en diversos procesos y actividades de la organización. Los controles preventivos y detectivescos se implementan mayoritariamente en procesos de alto riesgo, que son aquellos donde las posibilidades de ocurrencia de fraude son altas. Estos procesos incluyen el manejo de efectivo, la gestión de caja, la tesorería, las operaciones, etc.

Una vez evaluada la probabilidad de fraude, se evalúa la frecuencia con la que se produce. La frecuencia se evalúa en función de la disponibilidad de información pasada o histórica sobre los incidentes de fraude. 

Las frecuencias de ocurrencia de los fraudes pueden definirse como sigue:

• Muy frecuente
• Frecuente
• Con una frecuencia razonable
• Ocasionalmente y
• Raro

Muy frecuente

Significa que se espera que el riesgo de fraude se produzca diariamente o incluso varias veces al día. Estos riesgos de fraude pueden no tener un impacto elevado, pero debido a la gran cantidad de ocurrencias, el impacto puede ser alto durante un período determinado. Un ejemplo puede ser el embolsamiento de dinero en efectivo por parte de la persona que recibe el dinero en el mostrador.

Frecuente

Significa que se espera que el riesgo de fraude se produzca con frecuencia, lo que puede ser una vez al día después de cada dos días o semanalmente. Estos riesgos de fraude también pueden no tener un impacto elevado, pero debido a que se producen muchos, el impacto acumulado puede ser alto durante un periodo determinado. Un ejemplo puede ser el embolsamiento de dinero en efectivo o el robo de pequeños activos físicos de las oficinas. 

Razonablemente frecuente

Significa que se espera que el riesgo de fraude se produzca cada semana o cada mes. Estos riesgos de fraude pueden tener un alto impacto debido a un menor número de incidentes de fraude durante un período determinado. Un ejemplo puede incluir el embolsamiento de efectivo o el robo de pequeños activos físicos de las instalaciones de la oficina. 

Ocasionalmente

Significa que el incidente de fraude no se produce con frecuencia, pero el defraudador realiza fraudes en determinadas ocasiones. Estos fraudes pueden tener un alto impacto porque pueden estar respaldados por una planificación adecuada por parte de los defraudadores para obtener el mayor número posible de beneficios personales. Un ejemplo puede incluir actividades de lavado de dinero. 

Raro

Significa que el incidente de fraude ocurre una vez a lo largo de los años, pero tiene un alto impacto tanto en términos de reputación como de pérdidas financieras para la organización. Estos tipos de fraude suelen implicar a muchos defraudadores que pueden estar dispersos en diferentes jurisdicciones y lugares. Los ejemplos pueden incluir ciberataques a grandes organizaciones nacionales para obtener y utilizar información confidencial.

Del mismo modo, para la ocurrencia del riesgo de fraude, las definiciones son hechas por la organización, tales como:

• Casi seguro
• Probablemente
• Razonablemente posible
• Improbable
• Remoto 

Casi seguro

Significa que las probabilidades de que se produzca son muy altas, lo que puede suponer más del 90% de posibilidades.

Probablemente

Esto significa que las posibilidades de que se produzca un fraude oscilan entre el 65% y el 90%.

Razonablemente posible

Esto significa que las posibilidades de que se produzcan fraudes oscilan entre el 35% y el 65%.

Improbable

Esto significa que las posibilidades de que se produzca un fraude oscilan entre el 10% y el 35%.

Remoto

Esto significa que las posibilidades de que se produzca un fraude son inferiores al 10%.

Reflexiones finales

La dirección y los gerentes responsables de cada departamento o área importante dentro de la organización deben llevar a cabo la evaluación, que luego debe compartirse con el Consejo de Administración. A continuación, todas las partes pueden colaborar en el desarrollo y la aplicación de actividades de control del fraude, tanto preventivas como de detección, para mitigar los riesgos identificados en función de su probabilidad o importancia para la organización y teniendo en cuenta los controles ya existentes.