La Gestión Estratégica del Riesgo de Fraude, cuando se implementa de manera efectiva, sirve como la primera línea de defensa de la organización contra daños financieros y de reputación, salvaguardando su integridad operativa, estabilidad financiera y, en última instancia, asegurando el éxito a largo plazo de la organización. La gestión del riesgo de fraude es un proceso estratégico que comienza desde la parte superior de la organización, que es la Junta Directiva (BoD).
El Consejo de Administración marca la pauta desde la cima y transmite el firme mensaje de evitar y minimizar los riesgos de fraude. La dirección de la organización sigue el mensaje del Consejo de Administración y desarrolla procesos de gestión del riesgo de fraude y los aplica a todos los niveles de la organización. Las prácticas de gestión de riesgos requieren la aplicación del ciclo completo para que todos los riesgos de fraude no sólo se identifiquen, sino que se evalúen y se responda a ellos adecuadamente.
Gestión estratégica del riesgo de fraude: El enfoque de las «4T»
Ciclo de gestión del riesgo de fraude
El ciclo de gestión de riesgos implica un proceso interrelacionado de identificación de los riesgos de fraude, la evaluación de sus impactos financieros y de reputación, y la priorización de las acciones para controlar y reducir dichos riesgos de fraude.
El ciclo de gestión del riesgo de fraude incluye los siguientes pasos:
- Establezca un grupo de gestión del riesgo de fraude y fije objetivos.
- Identificar las áreas de riesgo de fraude.
- Comprender y evaluar la magnitud de los riesgos de fraude.
- Desarrollar una estrategia de respuesta a los riesgos.
- Aplicar la estrategia y asignar responsabilidades.
- Aplicar y supervisar los controles sugeridos.
- Revise y refine el proceso y hágalo de nuevo.
Establecer una función y un comité de gestión de riesgos
Se establece una función de gestión de riesgos cuya principal tarea es facilitar y coordinar el proceso global de gestión de riesgos, incluida la gestión del riesgo de fraude.
La función de gestión de riesgos está dirigida por el Director de Riesgos (CRO). El comité de gestión de riesgos está formado por diferentes miembros de las organizaciones, como el director financiero (CFO), los jefes de planificación y ventas, el jefe de inversiones y el jefe de tecnología de la información. Todos estos miembros colaboran en el marco de los comités para garantizar que los factores de riesgo de fraude se identifiquen y se aborden adecuadamente utilizando los recursos disponibles. El CRO actúa como secretario del comité de gestión de riesgos y presenta los puntos del orden del día a los miembros del comité, incluidos los riesgos de fraude importantes, los incidentes de fraude, las medidas paliativas disponibles y los controles.
Los miembros del comité se reúnen de vez en cuando para asegurarse de que se identifican y mitigan las posibles actividades fraudulentas. Los miembros del comité de gestión de riesgos promueven la comprensión y evaluación de los riesgos de fraude y facilitan el desarrollo de una estrategia específica para hacer frente a los riesgos de fraude identificados.
Identificación y análisis de las áreas de riesgo de fraude
Cada riesgo de fraude debe ser explorado, para identificar cómo puede evolucionar e impactar potencialmente en las operaciones y negocios de la organización. Un análisis cuidadoso del escenario de riesgo de fraude ayuda a evaluar el impacto y las posibilidades de fraude en cualquier departamento o proceso específico.
Para evaluar las áreas en las que la posibilidad de que se produzca un fraude es alta, se utilizan diferentes técnicas, como:
- talleres y entrevistas,
- lluvia de ideas,
- mapeo de procesos,
- comparaciones con otras organizaciones,
- cuestionarios,
- discusiones con los compañeros.
Comprender y evaluar la escala de riesgo
Una vez identificados los riesgos de fraude, se realiza una evaluación del impacto y la probabilidad de que se produzcan. Para evaluar el impacto y la probabilidad de los riesgos de fraude se utilizan parámetros específicos y cuadrículas de evaluación.
Los riesgos de fraude se analizan y priorizan basándose en el análisis de impacto y probabilidad y en la puntuación del riesgo. Los riesgos de fraude se dividen en alto, medio y bajo. Esta clasificación permite orientar los recursos disponibles para hacer frente a los riesgos de fraude de nivel alto y medio.
Cuando la probabilidad neta y la probabilidad objetivo de un riesgo concreto difieren, esto indicaría la necesidad de modificar el perfil de riesgo en consecuencia.
Es una práctica habitual evaluar la probabilidad en términos de:
- alto – probable
- moderado – posible
- bajo – remoto.
El análisis del riesgo de fraude se realiza en el registro de riesgo de fraude. La mayoría de las organizaciones incluyen la evaluación de los riesgos de fraude en todos los registros de riesgo preparados para los diferentes departamentos y funciones.
Algunas organizaciones también preparan registros detallados de riesgo de fraude que consideran la posible actividad fraudulenta. El registro de riesgos de fraude suele dirigir la mayor parte del trabajo de gestión proactiva del riesgo de fraude que realiza una organización.
El riesgo de fraude se clasifica como riesgo operativo, que se centra en los riesgos asociados a las personas, los procesos y los fallos del sistema. Una evaluación del riesgo de fraude tiene en cuenta si se identifican estos focos y, si se identifican, indica la posibilidad de que se produzca un fraude.
Desarrollar una estrategia de respuesta a los riesgos
Una vez identificados y evaluados los riesgos de fraude, la dirección y los empleados de la organización, en colaboración con el departamento de gestión de riesgos, elaboran estrategias para afrontarlos.
Las estrategias para responder al riesgo de fraude se clasifican en una de las siguientes categorías:
- retención de riesgos al optar por aceptar pequeños riesgos;
- evitar el riesgo de venta de determinados productos para evitar el riesgo de que se produzcan fraudes;
- reducción de riesgos mediante la aplicación de controles y procedimientos;
- transferencia de riesgos (transferencia de riesgos a las aseguradoras
El apetito de riesgo de fraude es establecido para la organización por la función de gestión de riesgos. El apetito de riesgo es el nivel de riesgo que la organización está dispuesta a aceptar, y el consejo debe determinarlo. El apetito por el riesgo de fraude influye en las estrategias a desarrollar para gestionar los riesgos de fraude.
Aplicar la estrategia y asignar responsabilidades
La estrategia de gestión del riesgo de fraude elegida debe ser comunicada a los responsables de su aplicación.
Para una aplicación eficaz de la estrategia de gestión del riesgo de fraude, la responsabilidad de cada acción específica debe asignarse adecuadamente al empleado y al personal correspondiente, con plazos claros.
Aplicar y supervisar los controles sugeridos
La estrategia de gestión del riesgo de fraude elegida puede requerir el desarrollo y la aplicación de nuevos controles. Los empleados y el personal al que se le asignen responsabilidades para aplicar la estrategia deben garantizar que se apliquen controles pertinentes y eficaces para contrarrestar los riesgos de fraude.
Los controles de gestión del riesgo de fraude deben ser supervisados para evaluar si se alcanzan o no los objetivos deseados y se reducen y mitigan los riesgos de fraude. El departamento de gestión de riesgos realiza este seguimiento. Si se identifican controles débiles o una aplicación ineficaz de los mismos, se toman medidas para reforzar los controles débiles o la aplicación eficaz.
El enfoque de las «4T»
Los riesgos de fraude son inciertos y pueden producirse en cualquier momento, por lo que es importante comprender que los riesgos de fraude pueden tener repercusiones generalizadas en los objetivos y la rentabilidad de la organización.
Una buena forma de resumir las diferentes respuestas a los riesgos de fraude es con las 4T de la gestión de riesgos:
- tolerar,
- terminar,
- tratar y
- transferencia.
Tolerar: En los casos en que la probabilidad y el impacto del riesgo de fraude son bajos, entonces las organizaciones pueden decidir simplemente mantener el riesgo de fraude porque están dentro de los límites aceptables. La dirección debe registrar y supervisar los riesgos de fraude retenidos, ya que la retención de los riesgos de fraude debe ser siempre una decisión informada de la dirección.
Terminar: Algunos riesgos de fraude pueden estar fuera de los límites del apetito de riesgo de fraude o ser evaluados como si tuvieran un impacto tan severo en la organización que se detuviera la actividad particular que lo causa. Por ejemplo, las organizaciones pueden decidir no continuar con una actividad empresarial en una determinada región o país.
Tratar: Las organizaciones pueden decidir tomar medidas sobre los riesgos de fraude más graves para reducir la probabilidad o la gravedad de los mismos. Por ejemplo, instalando un cortafuegos para reducir la probabilidad de una intrusión externa en el sistema de la aplicación.
Transferencia: Las organizaciones transfieren los riesgos de fraude mediante acuerdos de seguros. La función de gestión de la tesorería de la empresa puede estar asegurada, de modo que si se produce un fraude y se malversa el dinero en efectivo, la organización puede ser compensada por la pérdida.
Reflexiones finales
La Gestión Estratégica del Riesgo de Fraude subraya el papel vital que desempeñan las iniciativas proactivas, integrales y continuas contra el fraude dentro de una organización. Enfatiza las responsabilidades de la Junta Directiva y la administración en el establecimiento del tono y los estándares para disuadir las actividades fraudulentas, al tiempo que emplea un enfoque sistemático, las «4T» (tolerar, terminar, tratar, transferir), para identificar, evaluar y abordar de manera eficiente los riesgos de fraude.
Un enfoque tan meticuloso requiere un ciclo continuo de detección, evaluación, respuesta, implementación y revisión, empleando la participación activa de un comité dedicado a la gestión de riesgos, dirigido por un Director de Riesgos. Además, subraya la necesidad de establecer un apetito por el riesgo de fraude, que en última instancia influye en la estrategia de respuesta al riesgo de la organización.
A medida que las organizaciones se enfrentan a un panorama en constante evolución de riesgos de fraude, una estrategia integral y adaptable de gestión del riesgo de fraude se vuelve primordial, ofreciendo salvaguardas sólidas para proteger y mantener la integridad, la reputación y la estabilidad financiera de la organización.