FRAUD AND CORUPTION CONTROL

Licencia para Juan Pablo Rodríguez Cárdenas

AS 8001-2008 CONTROL DE FRAUDE Y CORRUPCIÓN Licenciado: Dr. Juan Pablo Rodríguez Fecha: Viernes, junio 19 de 2009 12:23 p.m. Contrato de licencia de uso Este es un acuerdo entre el usuario final del producto (licenciado) y SAI Gloabl Limited, 286 SusexxStreert, Sydney NSW 2000 AUSTRALIA, ABN 67 050 611 642. 1. Definiciones e Interpretaciones Estándares Australianos significa Estándares Australianos e incluye el conjunto de ISO/ Estándares australianos, NZ/ Estándares australianos, los borradores actuales de Estándares australianos y las modificaciones a los Estándares australianos. Usuarios Concurrentes significa el número máximo de personas capaces de tener acceso al producto en cualquier tiempo, y se encuentra limitado al número de licencias adquiridas. Estándares ISO significan estándares publicados por la Comisión Electrónica Internacional (IEC), cuyo distribuidor autorizado es SAI Global. IEC Estándares ISO significan estándares publicados por la Comisión Electrónica Internacional (IEC), cuyo distribuidor autorizado es SAI Global. Uso Interno significa el uso del producto dentro de la Organización de licenciados. Licencia significa el derecho de acceso y uso del producto. Licenciado significa el adquirente o usuario del producto. Producto significa Estándares Australianos, Estándares ISO y Estándares IEC ordenados y adquiridos a través del “infostore” y descargados como archivos PDF. 2. Disponibilidad del Producto Este Estándar Australiano® fue preparado por el Comité MB-004, Gobierno corporativo. Fue aprobado en nombre del Concejo de Estándares Australianos el 26 de octubre de 2007. El estándar fue publicado el 6 de marzo de 2008. Los siguientes se encuentran representados en el Comité MB-004:

• Asociación Australiana de Abogados Especialistas en Derecho de Sociedades • Policía Federal de Australia • Instituto de Directores Ejecutivos de Australia

• Instituto de Investigadores Profesionales de Australia • Sociedad de Asociaciones Ejecutivas de Australia • Centro para la Investigación de Gobierno Corporativo Internacional de la

Universidad de Victoria • Secretarías Colegiadas de Australia • Ingenieros Australianos • Instituto Ambiental de Australia y Nueva Zelanda • Instituto de Auditores Internos – Australia • Servicios IAB • Universidad de Tecnología de Queensland • Instituto de Administración de Riesgo de Autralasia. • Sociedad de Profesionales de Servicio al Cliente • Transparencia Internacional de Australia

Este Estándar fue publicado en borrador para comentarios como DR06651. Estándares de Australia desea reconocer la participación de expertos que contribuyeron al desarrollo de este Estándar mediante su representación en el Comité y durante el período de comentarios. Mantenimiento de Estandares al día Estandares Australianos® son documentos que reflejen los avances en la ciencia, la tecnología y los sistemas. Para mantener su moneda, todos los estandares se revisan periódicamente, y nuevas ediciones son publicadas. Entre las ediciones, las enmiendas podrán ser emitidas. Los estandares también pueden ser retirados. Es importante asegurarse de que los lectores están utilizando un estándar actual, que debe incluir todas las modificaciones que se han publicado desde que el estandar fue publicado. La información detallada sobre los Estandares de Australia, borradores, enmiendas y nuevos proyectos se puede encontrar visitando www.standards.org.au Los Estandares de Australia acogen con satisfacción las sugerencias de mejoras, y alienta a los lectores a notificar inmediatamente sobre cualquier aparente inexactitud o ambigüedad. Contacten por correo electrónico a [email protected], o escriba a Standards Australia, GPO Box 476, Sydney, NSW 2001.

ESTÁNDAR AUSTRALIANO 8001-2008 SOBRE CONTROL DE FRAUDE Y CORRUPCIÓN

PREFACIO Este estándar fue preparado por “Standards Australian Committee MB-004”, para sustituir AS 8001—2003. Las principales revisiones al estándar incluyen:

• Cambios en la estructura y formato • Consideraciones amplias sobre los sistemas de información como un habilitador

de fraude y corrupción y como un medio para detectar fraude y corrupción • Orientación ampliada sobre el rol sugerido en la función de la auditoría interna

de controlar el riesgo de fraude y corrupción • Diferentes consideraciones de corrupción y de las formas en que el riesgo de

corrupción puede ser manejado • Énfasis en el papel ejemplar de altos gerentes como elemento importante dentro

del marco de integridad de la entidad • Metodología mejorada de evaluación de riesgo de fraude (alineados con los

cambios al AS/NZS 4360:2004) • Mejoramiento en los lineamientos para el monitoreo de empleados • Directrices de investigación de antecedentes a nuevos clientes y proveedores • Referencia al rol de la auditoría externa en la detección del fraude

El objetivo de este estándar es proveer un esquema para un acercamiento sugerido al control del riesgo de fraude y corrupción dentro de un amplio rango de entidades a través de todos los sectores de la industria y el gobierno. Esta revisión refleja cambios recientes en la propuesta del control de fraude y corrupción en la economía australiana siendo necesaria debido a los avances tecnológicos y a la forma en que es conducido el negocio. Este estándar es parte de las series de Gobierno Corporativo que comprenden: AS 8000 Principios de Buen Gobierno AS 8001 Control de Fraude y Corrupción (este estandar) AS 8002 Códigos de Conducta Organizacional AS 8003 Responsabilidad Social Corporativa AS 8004 Programas de Protección para Denunciantes de Entidades Adicionalmente, este estándar se adhiere a los referidos aquí: AS/NZS 4360 Administración del Riesgo (y libros de apoyo - HB 436:2004, Directrices de Apoyo de Administración del Riesgo para AS/NZS 4360:2004 y HB 158-2006, Administgración del Riesgo – Entrega de Garantía de Calidad basado en AS/NZS 4360:2004)

AS 4811 Monitoreo de Empleados Como guía adicional en la aplicación de este estándar para el control de riesgo de fraude y corrupción puede consultar Resistencia al Fraude — Una Guía Práctica publicada por SIRCA y disponible de Standards Australia. El término ‘informativo” ha sido utilizado en este estándar para definir la aplicación de los apéndices adjuntos. El apéndice “informativo” adjunto es únicamente para información y guía y no debe ser considerado parte de este estándar.

CONTENIDO INTRODUCCIÓN SECCIÓN 1 ALCANCE Y GENERALIDADES 1.1. ALCANCE 1.2. APLICACIÓN 1.3. MÍNIMOS ACEPTABLES DE COMPLIMIENTO Y DISPOSICIONES ORIENTADORAS 1.4. OBJETIVO 1.5. DOCUMENTOS DE REFERENCIA 1.6. REFERENCIAS A OTROS RONUNCIAMIENTOS ANTI-FRAUDE Y ANTI-CORRUPCIÓN 1.7. DEFINICIONES 1.8. APLICACIÓN DE LOS PRINCIPIOS DE ADMINISTRACIÓN DE RIESGOS AL RIESGO DE

FRAUDE Y RIESGO DE CORRUPCIÓN 1.9. ESTRUCTURA DEL ESTÁNDAR SECCIÓN 2 PLANEACIÓN Y RECURSOS 2.1 APLICACIÓN 2.2 PLAN DE CONTROL DEL FRAUDE Y CORRUPCIÓN 2.3 REVISIÓN DEL PLAN DE CONTROL DE FRAUDE Y CORRUPCIÓN 2.4 RECURSOS PARA EL CONTROL DE FRAUDE Y CORRUPCIÓN 2.5 PAPEL DE LA AUDITORÍA INTERNA EN EL CONTROL DEL FRAUDE Y CORRUPCIÓN SECCIÓN 3 PREVENCIÓN 3.1 APLICACIÓN 3.2 IMPLEMENTANDO Y MANTENIENDO UN MARCO DE INTEGRIDAD 3.3 COMPROMISO DE LA ALTA GERENCIA PARA CONTROLAR EL RIESGO DE FRAUDE Y

CORRUPCIÓN 3.4 RESPONSABILIDAD DE LA GERENCIA DE LÍNEA 3.5 CONTROL INTERNO 3.6 EVALUANDO/VALORANDO EL RIESGO DE FRAUDE Y CORRUPCIÓN 3.7 COMUNICACIÓN Y CONSCIENCIA 3.8 MONITOREO DE EMPLEADOS 3.9 INVESTIGACIÓN ANTECEDENTES DE CLIENTES Y PROVEEDORES 3.10 CONTROLANDO EL RIESGO DE CORRUPCIÓN SECCIÓN 4: DETECCIÓN 4.1 APLICACIÓN 4.2 IMPLEMENTANDO UN PROGRAMA DE DETECCIÓN DE FRAUDE Y CORRUPCIÓN 4.3 PAPEL DEL AUDITOR EXTERNO EN LA DETECCIÓN DEL FRAUDE 4.4 MECANISMOS PARA REPORTE DE INCIDENTES SOSPECHOSOS 4.5 PROGRAMA DE PROTECCIÓN DEL DENUNCIANTE INTERNO SECCIÓN 5 REACCIÓN - RESPUESTA 5.1 APLICACIÓN 5.2 POLÍTICAS Y PROCEDIMIENTOS 5.3 INVESTIGACIÓN 5.4 REPORTES INTERNOS Y LÍNEAS DE ELEVACIÓN DE REPORTES 5.5 PROCEDIMIENTOS DISCIPLINARIOS

5.6 REPORTES EXTERNOS 5.7 ACCIONES CIVILES PARA LA RECUPERACIÓN DE PÉRDIDAS 5.8 REVISIÓN DE LOS CONTROLES INTERNOS 5.9 SEGUROS – CONSIDERACIONES SOBRE LA NECESIDAD DE ADQUIRIR SEGUROS DE

FIDELIDAD APÉNDICES A. MARCO SUGERIDO PARA EL PLAN DE CONTROL DE FRAUDE Y CORRUPCIÓN B. RESUMEN DE RIESGO DE FRAUDE

INTRODUCCION

Eventos recientes dentro Australia e internacionalmente, sugieren un fuerte nexo entre el fraude y la corrupción dentro de entidades, por una parte, y fallas de administración y gobierno a altos niveles, en la otra. Muchos colapsos corporativos surgen del conflicto entre los objetivos de la entidad y los objetivos personales de los “custodios” (administradores) de los activos de la compañía: los directores y principales ejecutivos de la compañía. Esto ha generado un incremento en los incidentes de manipulación de reportes, algunas veces, aumento en el pago de remuneraciones y otros beneficios a los altos ejecutivos y, residualmente, una crisis de confiablidad dentro del mercado global de acciones. La administración de riesgos del negocio ha sido, en años recientes, cada vez más aceptada como un tema importante de gobierno. Esto la ha dirigido a principal foco de los lineamientos de Gobierno Corporativo publicados por el Mercado de Acciones de Australia y por las enmiendas del CLERP 9 (Corporate Law Economic Reform Program Audit Reform and Corporate Disclosure) al Corporations Act. Por extensión de lógica, el control del riesgo de fraude y corrupción es un tema de gobierno que debe ser tenido en cuenta por los controladores de todas las entidades. Cada vez, los incidentes de fraude o corrupción endémica dentro de una organización serán vistos como un indicativo de falla de los controladores de la entidad en el cumplimiento de sus obligaciones de administración. Fraude y corrupción que involucran a entidades Australianas Durante los últimos diez años se han llevado a cabo un número de estudios y encuestas de fraude dentro de la economía Australiana. Los hallazgos de esta investigación1 sugieren lo siguiente:

• El costo del fraude en la economía Australiana es de por lo menos $3 billones por año2

• La incidencia del fraude en la economía Australiana esta aumentado año tras año3. Las organizaciones han experimentado hasta un 63% de crimen económico cada dos años.4

• Entre más grande la organización más grande es la posibilidad de sufrir fraude o corrupción en algún punto del ciclo de su negocio. Por ejemplo, en una encuesta reciente se encontró que el 100% de las organizaciones con más de

1 Vea en particular, PricewaterhouseCoopers, Encuesta sobre crimen en la economía global (resultados australianos) publicados en noviembre de 2005 y KPMG, Encuesta sobre fraude de Australia publicada en Noviembre de 2006. 2 Valor estimado en la economía de Australia por el Instituto de Criminología de Australia (2007) 3 Las estadísticas del Instituto de Criminología de Australia sugieren que por cada 100.000 personas los índices de fraude reportado a la Policía australiana se han duplicado en promedio cada 10 años desde mediados de la 1950. 4 PricewaterhouseCoopers (2005).

5000 empleados reportaron por lo menos un incidente de crimen económico durante un período de dos años.5

• Los resultados de la encuesta demuestran que las organizaciones Australianas pueden tener una mayor tasa de reportes de fraudes reportados que la del promedio global.6

• Estudios sobre fraude y corrupción en Australia durante muchas años demuestran consistentemente que, para la mayoría de entidades Australianas (sobre otras que manejan negocios de banca o seguros), que la principal fuente de conductas fraudulentas y de corrupción se encuentran en la misma entidad típicamente para organizaciones fuera de la banca y el sector de seguros, el fraude interno puede llegar hasta un 75% de los incidentes y perdidas de valor sufridas.7

• El impacto financiero para las víctimas del fraude y la corrupción, y en particular, para las entidades Australianas comprometidas de alguna manera con la actividad de negocio, está aumentando continuamente.

• El costo financiero promedio de pérdidas asociadas a conductas fraudulentas continúa aumentando.

• Se ha visto un incremento en la participación de las organizaciones criminales en el ataque externo al sector financiero dentro de la economía australiana. Es evidente que los ataques externos a las entidades australianas son provocados por bandas o mafias establecidas en otras partes del mundo que usan tentativas de fraudes o fraudes ya probados contra entidades australianas.

• El robo de identidad, el cual es posible por la penetración de los sistemas de información dentro de una amplia comunidad, el ritmo de los negocios y el mejoramiento de los estándares de educación de los perpetradores, se está convirtiendo en la amenaza de fraude más importante dentro de la economía australiana.

• Muchas entidades australianas están defectuosamente preparadas para detectar y prevenir el fraude contra sus negocios, en la medida que la mayoría han hecho un pequeño o pobre desarrollo e implementación de alguna forma de estrategia de control efectivo control el fraude.

• Una proporción significativa de los casos de fraude detectados no han sido reportados a la policía o a otra agencia de control para su investigación.

5 PricewaterhouseCoopers (2005). 6 PricewaterhouseCoopers (2005). 7 PricewaterhouseCoopers (2005) and KPMG (2006).

Ejemplos de fraude en empresas australianas Algunos ejemplos de fraude (diferentes al concepto de corrupción, como se afirmará luego en esta introducción), que ocurren en los negocios australianos y por consiguiente, entran dentro del alcance del presente estándar son:

• Robo de planta y equipo por parte de empleados8.

• Robo de inventario por parte de empleados9.

• Falsificación de facturas (involucrando al personal de la entidad o a personas externas, creando facturas ficticias, reclamando pagos por bienes o servicios no recibidos o exagerando el valor de mercancías despachadas o servicios recibidos/prestados).

• Robo de fondos de forma diferente que la facturación falsa.10

• Robo de efectivo (particularmente al por menor (menudeo) o en otro tipo de negocios de efectivo) usualmente involucrando algunas formas de ocultamiento, por ejemplo: Malversación de los ingresos mediante el ocultamiento de activos o carrusel.

• Fraudes en cuentas por cobrar (malversación o re direccionamiento de deudores).

• Fraudes en tarjetas de crédito, incluyendo uso no autorizado de tarjetas créditos o el número de tarjeta asignado a otra persona (el tipo más común de fraude dentro del sector bancario).

• Fraude en préstamos (documentos de solicitud de créditos diligenciados con nombres falsos y soportados en documentación falsa).

• Robo en propiedad intelectual o en cualquier otra forma de información confidencial.

• Fraude en estados financieros (Falsificación en los estados financieros con el fin de obtener algún tipo de beneficio financiero).

8 Robo en planta, equipo e inventarios u otro tipo de propiedad por personas ajenas a la entidad, sufriendo la pérdida y en donde el concepto de decepción no se encuentra involucrado, no es considerado fraude para los propósitos de este estándar. 9 El robo en inventario es probablemente el tipo de fraude más común en empleados dentro de la economía australiana y representa una pérdida significativa en industrias que manejan grandes volúmenes de inventario. En el sector minorista por ejemplo, se ha estimado que el 1.5% de las devoluciones se pierden. Tradicionalmente, el 45-50% de la disminución de inventario son provocado por los empleados. 10 Durante los últimos años, se ha incrementado los sitios de trabajo dedicados al fraude a través de servicios financieros online. Lo anterior, involucra necesariamente a un empleado con cierta forma de control sobre la administración de pagos o abonos a cuentas, sustituyendo sus propios números de cuenta por el número de un proveedor legítimo.

• Revelación o uso de información engañosa o inexacta con el fin de ocultar o distraer actos ilícitos.

• Uso o negociación indebida de información, bien sea comprando o vendiendo información que haya conocido el perpetrador en razón de sus funciones, la cual no ha sido de público conocimiento.

• Uso indebido de la posición de los altos ejecutivo con el fin de obtener algún tipo de beneficio financiero.

Conductas fraudulentas por parte de agentes de entidades australianas Las entidades australianas, en sí mismas (a través de sus directores o administradores como agentes) algunas veces se ven envueltas como perpetradoras de una conducta fraudulenta en diferentes formas, incluyendo:

• Revelación material o deliberada de la información contable y financiera con propósitos indebidos (por ejemplo para aumentar el precio de la acción o para alcanzar la rentabilidad o flujo de caja previsto o presupuestado).

• Sobrefacturación de bienes y servicios remitidos a clientes o usuarios.

• Asumir como utilidad, pagos recibidos por error en lugar de reconocerle un crédito al pagador.

• Evasión de impuestos.

• Lavado de activos.

• Práctica ilegal de venta o compra de acciones en bolsa con información privilegiada.

• Robo de propiedad intelectual. Explicando el incremento de la incidencia del fraude Las razones del incremento de la incidencia del fraude son muchas y muy variadas pero hay cierto número de temas consistentes y recurrentes:

• El continuo esfuerzo por agrandar la eficiencia en los negocios que llevan a

reducir los niveles de empleados y por consiguiente, a la reducción en la adherencia al control interno.

• El incremento en el uso y confianza en tecnología y los cambios asociados en sistemas de pagos y canales. La preocupación específica es la facilidad con la que el crimen comercial puede operar globalmente, el acceso a las cunetas en países al otro lado del globo y luego la rápida transferencia de fondos entre cuentas en diferentes jurisdicciones con la intención de hacer imposible el seguimiento para la recuperación de las ganancias.

• La continua tendencia aduladora de las estructuras organizacionales y la pérdida resultante del enfoque dirigido al cumplimiento de los controles internos y a la administración del riesgo.

• Cambios rápidos y continuos a la operativa del negocio.

• Incremento en el ritmo de los negocios.

• La incapacidad del sistema de penal, de la policía, de la Comisión Australiana de Seguridad e Inversiones, y otros entes reguladores de control y las Cortes para mantener el ritmo con el incremento de trabajo y amplia complejidad de los asuntos reportados.

• El acceso al juegos de suerte y azar, lo cual se ha vuelto un factor significativamente llamativo para que los empleados cometan fraudes contra sus empleadores.

• Mayor complejidad en las relaciones de negocios.

• Cambios en las estructuras de remuneración e incentivos y negociaciones. El valor de la información para una entidad no puede ser exagerada. La pérdida de la información a través de un acceso no autorizado a sus sistemas puede significar daños para la reputación de la entidad en el corto y largo plazo y debe ser tratado como una seria amenaza. Controlar el riesgo del robo de información por un acceso interno o externo no autorizado, puede ser un tema prioritario para las entidades cuyo objeto recae en la información que mantienen. Corrupción involucrando entidades Australianas El índice de corrupción (CPI por sus siglas en inglés) de Transparencia Internacional es una medida de percepción sobre la corrupción en el sector público dentro de cada país encuestado. La encuesta de 2007 realizado en 179 países11 encontró que Australia está en el puesto 11º en términos de transparencia en las negociaciones de las empresas dentro del país. En otras palabras, la economía Australiana fue vista relativamente con baja propensión para la realización de pagos de soborno a oficiales públicos del país en sus negociaciones con el sector privado. Lo anterior comparado con el Indice de Pagos de Sobornos 200612 (BPI por sus siglas en inglés) en el que Australia obtuvo el tercer puesto de los 30 principales países exportadores en términos de su percepción de la transparencia en sus relaciones comerciales con los funcionarios públicos en las economías extranjeras.

11 Índice de Percepción de la Corrupción de Transparencia Internacional 2007 http://www.transparency.org/policy_research/surveys_indices/cpi/2007/ ‘El índice define “corrupción” como el abuso del servicio público para el beneficio particular y mide el grado que se percibe como existente entre los funcionarios públicos y políticos. 12 Índice de pagos de sobornos 2006 de Transparencia internacional.

Mientras este resultado puede ser visto como uno relativamente bueno para Australia, esto subraya el hecho de que al menos la percepción, si no una realidad medible del nivel de corrupción pública en la economía Australiana. La conducta corrupta a la que están sometidas las entidades Australianas y que por ende, están dentro del alcance del programa de control de corrupción contemplado por este estándar incluye:

• Pagos o recibos de comisiones secretas (sobornos), que puede ser pagados en dinero o en alguna forma de valor (por ejemplo proyectos de obra realizados en la residencia de un empleado) y pueden estar relacionados con una decisión especifica o acción del destinatario o en general.

• Liberación de información confidencial con un propósito diferente al propio de la empresa a cambio de algún beneficio o ventajas no financiero acumulando a los empleados que entregan la información.

• La colusión entre oferentes en licitaciones (se produce cuando múltiples

oferentes se ponen de acuerdo de forma clandestina en la preparación de sus propuestas).

• Pago u oferta de donaciones con un propósito político inapropiado.

• Conflictos de interés involucrando un director o alto ejecutivo de una entidad o de otra, actuando en interés propio en lugar de los intereses de la compañía que lo ha nombrado (por ejemplo, dejando de declarar ante la Junta Directiva sobre su interés en una transacción particular en la que la entidad está por realizar, o pagos excesivos de remuneraciones a los directores o altos ejecutivos).

• Serio nepotismo y el favorecimiento en el que el nombrado es inadecuadamente calificado para asumir el rol que se le ha encomendado.

• Manipulación de los procesos de licitación o entregando información de forma selectiva favoreciendo a algún proponente u oferente sobre los demás.

• Entrega de regalos o atenciones para alcanzar un resultado general o específico en el corto o largo plazo, un elemento esencial en la interpretación de este tipo de corrupción sería que pone en riesgo o incumple los valores de la entidad, el Código de Conducta o la Política de Regalos (o cualquier código de conducta o valores de un tercero relevante) o que fue hecho sin la apropiada transparencia dentro de una o más entidades afectadas.

• Sobornar oficiales (en jurisdicciones locales o extranjeras) para asegurar un contrato para proveer bienes o servicios.

• Comisiones ocultas entre el sector privado para asegurar contratos.

Pérdidas asociadas a la corrupción en los resultados de licitaciones derivadas de la reducción deliberada en la competencia y de la aceptación de bienes o servicios con calidades inferiores al estándar que hubieran sido normalmente rechazados. Entidades del sector público o privado pueden sufrir pérdidas si la propuesta seleccionada intenta recuperar el valor pagado por la comisión secreta, cargando el valor de la oferta antes o después que el contrato que haya sido adjudicado. Administrando el Riesgo El enfoque de una entidad a la administración del riesgo de fraude y corrupción puede ser respaldado por una amplia política organizacional desarrollada mediante la consultoría interna o externa, una evaluación comparativa apropiada sobre las mejores prácticas establecidas en los programas y estándares de prevención y detección. Se pueden aplicar los principios de una firme administración del riesgo, planeando, monitoreando y estableciendo acciones correctivas. Este estándar, se dirige a proveer a las entidades de las herramientas que necesitan para aplicar los principios generales de administración del riesgo al control del fraude y la corrupción. Mientras el estándar tiene por objetivo proveer un marco de alto nivel para que sea utilizado por las organizaciones en el desarrollo de un programa antifraude, se puede encontrar una guía adicional Fraud Resistance - A Practical Guide ‘(Resistencia al Fraude - Una Guía Práctica- (SIRCA, 2003).

S E CCIÓN 1 ALCANCE Y GENERALIDADES 1.1. ALCANCE Este estándar provee los lineamientos para un enfoque dirigido al control del fraude y la corrupción, el cual está sujeto a la guía establecida en la Cláusula señalada abajo, se pretende aplicar a todas las entidades incluyendo agencias del sector público, empresas que cotizan en bolsa, corporaciones públicas, corporaciones privadas, otras compañías sin ánimo de lucro comprometidas en negocios o actividades. El fraude y la corrupción contemplados por el estándar se enmarcan en tres categorías principales13-

a. Fraude que implica malversación de activos b. Fraude que implica manipulación de estados financieros o información

financiera (ya sean internos o externos al ente económico). c. Corrupción implicando abuso de autoridad para beneficio personal.

1.2. APLICACIÓN Si bien esta norma se pretende aplicar a todas las entidades que operan en Australia, el grado en que sería aplicable a cada una de las entidades dependerá de los siguientes aspectos de la entidad:

a. Tamaño b. Rotación c. Diversidad de los negocios d. Extensión geográfica e. Dependencia tecnológica f. Industria en la cual opera.

A modo de orientación general, se prevé que la totalidad del estándar se aplicaría a empresas que cotizan en bolsa, las grandes empresas de propiedad privada y todos los departamentos y organismos del gobierno. Estas entidades deberán buscar la aplicación de este estandar en su totalidad para obtener el máximo efecto o para asegurar que las medidas pre-existentes de control de fraude y corrupción son al menos tan sólidas y robustas como se mencionan en el presente estándar. Solamente las partes relevantes de este estándar pueden ser aplicadas a empresas pequeñas y medianas. 1.3. MÍNIMOS ACEPTABLES DE CUMPLIMIENTO Y DISPOSICIONES ORIENTADORAS A lo largo de este documento, el texto en negrilla representa el mínimo aceptable de cumplimiento para las entidades que tratan de aplicar plenamente el estándar. El contenido en letra normal ofrece una orientación en la interpretación y aplicación de

13 Refiérase a la cláusula 1.7.3 para la definición de “corrupción” y a la Cláusula 1.7.8. para la definición de “fraude”

los elementos mínimos aceptables que figuran en negrilla. Cualquier entidad que alegue ser totalmente compatible con el estándar debe, como mínimo, haber aplicado todos los mínimos aceptables de cumplimiento que aquí se exponen. 1.4. OBJETIVO El objetivo de este estándar es esquematizar un enfoque sugerido para controlar el fraude y la corrupción en contra y por entidades australianas14. Esta distinción entre una conducta fraudulenta y corrupta en contra o por entidades australianas es importante, primero porque involucra diferentes consideraciones y la diferenciación no se sustenta solamente en un asunto de ambientes internos o externos. En la primera categoría, la entidad es la victima o supuesta victima y como consecuencia de un incidente de fraude o corrupción va a sufrir, en la mayoría de los casos, un impacto relativamente menor en su reputación (dependiendo de la cuantía) además de cualquier pérdida económica sufrida. En la segunda categoría, la entidad será usualmente la beneficiaria de la conducta hasta que ésta sea descubierta y expuesta, en cuyo caso el impacto reputacional en la organización y su negocio será substancial. A parte de la necesidad de demostrar que la entidad tiene responsabilidad social corporativa, la evasión del fraude y la conducta corrupta en o a nombre de entidades australianas es esencial para salvaguardar la reputación de la entidad, que, una vez dañada, puede ser difícilmente reparada. El estándar pretende ser una guía práctica y efectiva para las entidades que deseen implementar un programa de control de fraude y corrupción, cubriendo los riesgos de fraude y corrupción cometidos dentro de la entidad (con la entidad como víctima), así como el fraude y la corrupción cometidos por o en nombre de la entidad. El estándar propone enfoque para controlar el fraude y la corrupción a través de procesos de:

a. Establecimiento de objetivos y valores para el control de fraude y corrupción en la entidad;

b. Establecimiento de políticas anti-fraude y anti-corrupción de la entidad. c. Desarrollo, implementación, promulgación y mantenimiento de un marco

exhaustivo de integridad. d. Planeación de controles de fraude y corrupción. e. Administración del riesgo, incluyendo todos los aspectos de identificación,

análisis, evaluación, tratamiento, implementación, comunicación, monitoreo y reporte.

f. Implementación de estrategias de manejo para los riesgos de fraude y corrupción, enfocándose particularmente en el riesgo intolerable.

g. Monitoreo y mejoramiento. h. Formación sobre sensibilización. i. Establecimiento de estructuras claras de responsabilidad en términos de

respuesta y escalamiento de investigaciones.

14 En donde la entidad sea la víctima del fraude o de la corrupción y el perpetrador de los mismos sea otro.

j. Establecimiento claro de políticas y procedimientos de reporte. k. Establecimiento de guías para la recuperación de las pérdidas a través del

fraude y la corrupción. l. Implementación de otras estrategias relevantes.15

La adopción de este estándar requiere niveles apropiados de planificación y la aplicación de un enfoque estructurado de administración del riesgo. La aplicación de principios contemporáneos de administración de riesgo es visto como fundamental para la prevención del fraude y corrupción. El objetivo del programa de control de fraude y corrupción perfilado por este estándar es:

i. La eliminación interna y externa de la instigación del fraude y la corrupción en contra de la entidad.

ii. La detección oportuna de todas las instancias de fraude y la corrupción en contra de la entidad en caso que las estrategias de prevención fallen.

iii. Recuperar cualquier propiedad que ha sido apropiada de forma deshonesta o asegurar una compensación equivalente a cualquier pérdida sufrida como resultado de una conducta corrupta o fraudulenta.

iv. Supresión del fraude y la corrupción por entidades contra otras entidades16. Mientras que la “eliminación” del fraude y la corrupción sea, para muchas entidades, inalcanzable, esto nunca debería dejar de ser el objetivo final del programa para mitigar el riesgo de fraude y corrupción sujeto a un análisis de costo-beneficio. En algunos sectores industriales de Australia, existe la discusión sobre si el fraude y la corrupción están tan arraigados que nunca podrán ser totalmente erradicados. Por ejemplo, no es viable eliminar dentro del sector bancario, el fraude externo, la naturaleza de la banca es tal que siempre existirá un cierto nivel de fraude o tentativa de fraude. Por otra parte, en muchas entidades que operan sectores específicos, es posible eliminar completamente los incidentes de fraude y corrupción “por excepción” mediante la aplicación de un enfoque basado en la efectiva gestión del riesgo. Cualquier programa de prevención de fraude necesita considerar los recursos con los que cuenta la entidad y la realidad del sector en la que opera. 1.5 DOCUMENTOS DE REFERNCIA Este estándar debe leerse, interpretarse y aplicarse conjuntamente con los siguientes estándares y manuales: AS 4811—2006 Monitoreo o investigación de empleados 8000—2003 Principios de Buen Gobierno 8002—2003 Códigos de Conducta organizacionales

15 Obtenido en parte de “Commonwealth Fraude Control Guidelines”. 16 Por ejemplo, actividad corrupta por parte de una entidad involucrando el cohecho de servidores públicos extranjeros, de conformidad a lo establecido en el Criminal Code Act 1995 (Commonwealth).

8003—2003 Responsabilidad Social Corporativa 8004—2003 Sistemas de Protección para Denunciantes de Entidades AS/NZS 4360:2004 Administración de Riesgo HB 158—2006 Entrega de Garantía basado en AS/NZS 4360:2004 Administración del Riesgo. 436:2004 Directrices de Administración del Riesgos (Apoyo a AS/NZS 4360:2004). ASA 240 Responsabilidad del Auditor de Considerar el Fraude en un Reporte de Auditoria Financiera. Adicionalmente, se hacen referencias significativas a las Normas Internacionales para el Ejercicio Profesional de la Auditoría Interna (International Standards for the Professional Practice of Internal Auditing) de acuerdo a su aplicación por parte del Instituto de Auditores Internos de Australia (Institute of Internal Auditors Australia). 1.6 REFERENCIAS A OTROS PRONUNCIAMIENTOS ANTI-FRAUDE Y ANTI-CORRUPCION Este estándar hace uso de un número de pronunciamientos e iniciativas anti-fraude y anti-corrpución desarrolladas en Australia y en otros lugares incluyendo los siguientes:

a. The OECD Convention on Countering Bribery of Foreign Public Officials in International Business Transactions17. / Convención para combatir el cohecho de servidores públicos extranjeros en transacciones comerciales internacionales de la OECD.

b. The Rules of Conduct to Combat Extortion and Bribery by the International Chamber of Commerce./ Reglas de conducta para combatir la extorsión y el cohecho de la Cámara de Comercio Internacional18

c. The Anti-Bribery provisions of the revised OECD Guidelines for Multinationals/ Disposiciones anti soborno de las directrices para empresas multinacionales de la OECD.

d. The Criminal Code Act (Cwth).

e. Commonwealth Fraud Control Guidelines./ Lineamientos para el control del fraude del Commonwealth (f) Commonwealth Fraud Control Schedules./ Programa de control de fraude del Commonwealth

17 Vigente desde Febrero 1999. 18 Adoptado el 26 de marzo de 1996

f. Australian Government Investigation Standards./ Estándares de investigación del Gobierno australiano

g. The Professional Practices Framework of the Institute of Internal Auditors (PPF)./ Marco de prácticas profesionales del Instituto de Auditores Internos

h. Fraud Resistance: A practical guide (SIRCA—2003)./Resistencia al Fraude: una guía práctica19

i. Políticas y guías para la prevención del fraude y corrupción usada por varias agencias en diferentes niveles y jurisdicciones del Gobierno.

j. Business Principles for Countering Bribery—TI Six Step Process’.20 / Principios Empresariales para Contrarrestar el Soborno20

1.7 DEFINICIONES Para los propósitos de esta estándar, aplicarán las siguientes definiciones: 1.7.1 Soborno El acto de pagar a otro individuo una comisión secreta. También es usado para describir la comisión en sí misma.21 1.7.2 Código de Conducta Un documento (denominado igualmente como “Código de Ética”, “Código de Conducta” y otros títulos) ampliamente difundido dentro de la entidad en el que se establecen los estándares de comportamiento esperados por la entidad. 1.7.3 Control (también “control interno”) El proceso, política, mecanismo, práctica o cualquier otra acción existente que actúa para minimizar el riesgo o mejora las oportunidades positivas.22 1.7.4 Corrupción Actividad deshonesta en la que un director, ejecutivo, gerente, empleado o contratista de una entidad actúa de forma contraria a los intereses de la entidad y abusa de su posición de confianza para alcanzar alguna ganancia personal o ventaja para el/ella o para otra persona de la entidad23. El concepto de “corrupción” dentro del estándar, también involucra conductas corruptas de la entidad, o de una persona que pretende

19 Disponible a través de Estándares de Australia 20 http://www.transparency.org/global_priorities/private_sector/business_principles 21 Véase la definición de “comisión secreta o clandestina”, Cláusula 1.7.15 22 Véase el AS/NZS 4360:2004 Cláusula 1.3 23 Véase la Cláusula 1.8. para ejemplos de los tipos de conductas corruptas contempladas en este Estándar.

actuar en nombre de la entidad, con el fin de asegurar una ventaja directa o indirecta inapropiada para la entidad24 1.7.5 Efectividad (en el contexto de efectividad del control interno) Dentro del contexto de riesgo de fraude y corrupción, un control efectivo es el que es considerado efectivo en la prevención o detección del fraude y corrupción y por ende, contribuye al cumplimiento y logro de las metas y objetivos de la entidad.25 1.7.6. Entidad Una corporación, agencia de gobierno, organización sin ánimo de lucro o cualquier entidad comprometida con actividades de negocio o transaccionales con otras entidades en una búsqueda de negocio. 1.7.7 Evidencia Un testimonio (oral) dado en un proceso o que un testigo indique que se encuentra dispuesto a dar, bajo la gravedad de juramento, en un estrado judicial, y documentos de cualquier tipo que pueden ser admitidos como evidencia ante una Corte de Justicia. 1.7.8 Fraude Actividad deshonesta capaz de causar una pérdida financiera real o potencial a cualquier persona o entidad incluyendo robo de dinero u otros bienes por parte de empleados o personas ajenas a la entidad y en la que el engaño es usado al mismo tiempo, inmediatamente antes o después de la actividad. Esto también incluye falsificaciones deliberadas, ocultamiento, destrucción o uso (o tentativa) de documentación falsificada con la intención de utilizarla para dentro del giro normal de los negocios o la utilización indebida de información o de una posición determinada para beneficio personal. El robo de bienes pertenecientes a una entidad, por una persona o personas al interior de la organización, en donde el engaño no es utilizado, se considera igualmente como “fraude” para los propósitos de este estándar. NOTA: El concepto de fraude dentro del significado de este estándar puede implicar conductas fraudulentas o corruptas por parte de personas internas o externas en contra de la entidad o la conducta fraudulenta o corrupta por parte de la entidad contra terceros.26

24 Véase la introducción para ejemplos de tipos de conductas fraudulentas contempladas por este Estándar. 25 Véase HB 158-2006 26 Véase el Prólogo para ejemplos sobre los tipos de conductas fraudulentas contempladas en este estándar.

1.7.9 Evaluación del riesgo de fraude y corrupción La aplicación de los principios y técnicas de la gestión del riesgo en la evaluación de riesgo de fraude y corrupción dentro de una organización.27 1.7.10 Plan de control de fraude y corrupción Documento que resume las estrategias anti-fraude y anti-corrupción de una organización. 1.7.11. Ineficacia (en el contexto de eficiencia del control interno) Un control Interno que, debido de su inoperancia prevista o por algún otro factor, no está contribuyendo (o contribuye poco) a la mitigación del riesgo de fraude o corrupción que está bajo consideración y por lo tanto no contribuye (o contribuye poco) al logro de las metas y objetivos del negocio.28 1.7.12 Investigación Búsqueda de evidencia que implique o intente implicar a personas (ya sea una personal natural o jurídica) con conductas que infringen las leyes penales o las política y estándares impuestas por la entidad afectada. 1.7.13 Parcialmente efectivo (en el contexto de efectividad del control interno) Un control interno que, por razones de inoperancia deliberada o debido a otros factores, no es del todo efectivo en la gestión del riesgo pero contribuye en cierta medida a la administración del riesgo de fraude y corrupción, y por consiguiente, contribuye en igual medida al logro de las metas y objetivos de la entidad.29 1.7.14 Riesgo La probabilidad de que algo pase y que afecte los objetivos30. En consideración al riesgo de fraude y corrupción, este será generalmente un impacto negativo. 1.7.15 Comisión Secreta Un pago en dinero o en especie que haga o pretenda hacer que una persona actúe de forma contraria a los intereses de su jefe o empleador, contraria a las políticas del empleador dadas sobre un tema específico o en contra de intereses públicos. Las comisiones secretas, por definición, serán generalmente pagadas sin conocimiento o sin el consentimiento directo o indirecto del empleador e incluye pagos con finalidad de influir el resultado de una acción o evento específico, así como acciones generales sobre un periodo de tiempo.

27 Véase el AS/NSZ 4360:2004 28 Véase HB 158-2006 29 Véase HB 158-2006 30 Véase AS/NSZ 4360:2004 Cláusula 1.3.13.

1.7.16 Alta Gerencia Personal asociado con la entidad en la alta gerencia, Director o nivel principal y quien tiene autoridad sobre la dirección o administración de la entidad. 1.7.17 Gravedad (en el contexto de riesgo o evento) Probablemente puede tener más que un impacto inmaterial en la entidad, si esto ocurre, con el potencial de amenazar la viabilidad económica del negocio en el corto, mediano o largo plazo o de tener un impacto notable en la reputación de la organización. 1.8 APLICACIÓN DE LOS PRINCIPIOS DE LA ADMINSITRACIÓN DE RIESGO AL RIESGO DEL FRAUDE Y CORRUPCIÓN El fraude y la corrupción son riesgos de negocio y pueden tener un impacto similar tanto en la entidad afectada como en los demás tipos de riesgos de la compañía en términos de:

a. Pérdidas financieras b. Impacto en la reputación; c. Desviación en la administración de la energía; d. Moral organizacional; e. Trastorno organizacional; f. Pérdida del trabajo; g. Reducción del desempeño; y h. Disminución de seguridad.

Todas las entidades independientemente del sector en donde operan enfrentan el riesgo diariamente. Las entidades con conciencia de riesgo, gestionan los riesgos a los que s even expuestos mediante un proceso estratégico y objetivo de:

i. Identificación de riesgos principales ii. Medición de los riesgos asociados a los principales que enfrenta la entidad iii. Identificación de la fuente/causa de los riesgos y de los escenarios bajo los

cuales puede ocurrir iv. Priorización los riesgos identificados desde el más serio al menos serio. v. Evaluación del grado de tolerancia al riesgo vi. Desarrollo de puntos de acción buscando el manejo y tratamiento del riesgo vii. Instalación procesos de seguimiento y reporte de incumplimiento de dicho

plan; y viii. Monitoreo y reporte incluyendo el seguimiento permanente sobre cambios

en el status del riesgo y del contexto del mismo, la efectividad de los controles y del avance en el tratamiento del riesgo.

Una entidad puede usar estos principios de forma estructurada y estratégica con el fin de controlar el riesgo de fraude y corrupción dentro de la operatividad del negocio.

1.9. ESTRUCTURA DEL ESTÁNDAR

El control del fraude y la corrupción es generalmente un concepto escasamente aplicado en el país.

En muchas entidades australianas, el “control de fraude y corrupción” es visto frecuentemente como una estrategia “reactiva”, que no comienza hasta tanto no se descubre un incidente, el cual es seguido de una investigación y de las apropiadas acciones disciplinarias y de otra índole en contra de los empleados o de terceros según se requiera. En estas entidades, no se ha hecho énfasis en un programa de administración del riesgo de fraude y corrupción proactivo.

En otras entidades, por el contrario, el control del fraude y corrupción es casi totalmente “proactivo”, sin respuesta efectiva en caso de ocurrencia de algún incidente. En estas organizaciones, los empleados que han defraudado a sus empleadores en sumas significativas, dejan la organización sin ésta requiera la restitución del daño o tome las acciones penales a las que haya lugar, conformándose con la rectificación de las debilidades de control interno para asegurar que un incidente similar se repita.

En algunas entidades, se han implementado programas preventivos y reactivos pero no se han establecido en términos de detección de fraude y corrupción.

Esta estándar percibe al control de fraude y corrupción como un concepto holístico que involucra la implementación, el monitoreo continuo y mejoramiento a través de 3 temas principales31:

a. Prevención b. Detección c. Respuesta

Adicionalmente a estos tres temas principales, el estándar incluye lineamientos para planear y asignar recursos para los elementos del programa de fraude y corrupción.

Plan para el control del fraude y corrupción se encuentra propuesto, en este estándar, en 4 secciones, así:

Sección 2 Planeación y recursos Sección 3 Prevención Sección 4 Detección Sección 5 Reacción/respuesta

31 Esta estructura para el programa de fraude y corrupción fue sugerido por el Reporte de Servicios Forenses de KPMG sobre Administración de riesgo de fraude publicado en noviembre de 2005.

La figura 1 es una visión general gráfica de la estructura de este estándar.

AS 8001-2008 Control de Fraude y Corrupción

Sección 2

Planeación y Recursos

2.1. Aplicación

Sección 3 Prevención

2.2. Planeación del control de fraude y corrupción

3.1. Aplicación

2.3. Revisión del Plan de Control de Fraude y Corrupción

3.2. Implementando y manteniendo un marco de integridad

Sección 4 Detección

2.4. Recursos para el control de fraude y corrupción

3.3. Compromiso de la alta Gerencia para controlar el riesgo de fraude y corrupción

4.1. Aplicación

Sección 5 Respuesta

2.5. Papel de la Auditoría Interna en el control del fraude y corrupción

3.4. Responsabilidad de la Gerencia de línea

4.2. Implementando un programa de detección de fraude y corrupción

5.1. Aplicación 5.2. Políticas y procedimientos

3.5. Control Interno 4.3. Papel del auditor externo en la detección del fraude

5.3. Investigación 5.4. Reportes internos y líneas de elevación de reportes

3.6. Evaluando/valorando el riesgo de fraude y corrupción

4.4. Mecanismos para reporte de incidentes sospechosos

5.5.Procedimientos disciplinarios

3.7. Comunicación y consciencia 4.5. Programa de protección del denunciante interno

5.6. Reportes externos 5.7. Acciones civiles para la recuperación de pérdidas

3.8. Monitoreo de empleados 5.8. Revisión de los controles internos

3.9. Investigación de clientes y proveedores 3.10. Controlando el riesgo de corrupción

5.9. Seguros

SECCIÓN 2: PLANEACIÓN Y RECURSOS

2.1. APLICACIÓN Los elementos para la planeación y asignación de recursos que se describen en esta sección, representan acciones sugeridas que las entidades deberán considerar si desean desarrollar e implementar un programa de control de fraude y corrupción. El cumplimiento de este estándar requiere que la entidad implemente cada uno de los mínimos aceptables32 en materia de planeación e iniciativas de recursos acordes con el tamaño, la diversidad, su cobertura geográfica, el perfil de riesgo y el sector en donde opera la entidad. 2.2. PLANEACIÓN DE CONTROL DEL FRAUDE Y CORRUPCIÓN 2.2.1. Implementando un Plan de control de Fraude y Corrupción Las entidades deben desarrollar e implementar un Plan de Control de Fraude y Corrupción documentando el enfoque de la entidad para controlar la exposición al fraude y corrupción a todo nivel (estratégico, táctico y operacional). El Plan de Control de Fraude y Corrupción debe detallar la firme intención de implementar y monitorear las iniciativas relacionadas con la prevención, detección y respuesta frente al fraude y la corrupción. Es importante que las entidades consideren el Plan de Control de Fraude y Corrupción como una parte integral del plan de gestión general del riesgo, bajo la premisa de que el fraude y la corrupción son riesgos de negocios que son controlados por la aplicación de principios de gestión del riesgo. En términos de desarrollo del Plan de Control de Fraude y Corrupción, se deberá realizar, de forma preliminar, la evaluación del riesgo de fraude y corrupción, con el fin de mejorar el alcance del futuro programa de control que será documentado en el Plan. La responsabilidad por la implementación y el monitoreo continuo del Plan debe recaer en una persona con la jerarquía, las habilidades, experiencia y dedicación, a la que se pueda descargar esta responsabilidad bajo la dirección de un Comité designado para este propósito.33 Nota: La necesidad de un Plan de Control de Fraude y Corrupción se deriva de los resultados de un análisis de riesgo a través de toda la organización, en donde el riesgo de fraude y corrupción han sido identificados como serias amenazas para la entidad.

32 Véase la Cláusula 1.3. para la distinción entre mínimos aceptables de cumplimiento” y los “lineamientos o guías” previstos en este estándar. 33 Véase la Cláusula 2.4. para la descripción del nivel de jerarquía de los recursos para el control de fraude dentro de la entidad.

2.2.2. Desarrollando un Plan de Control del Fraude y la Corrupción Plan de Control de Fraude y Corrupción debe tener en cuenta, cualquier política existente relacionada con el riesgo de fraude y corrupción. Duplicidad, inconsistencia e incertidumbre deben ser abolidos. El plan debe ser visto como in marco comprehensivo para administrar el riesgo de fraude y corrupción de forma concordante con cualquier otro pronunciamiento realizado por la entidad para reducir el grado de exposición de la misma. Nota: Las entidades que estén desarrollando un Plan de Control de Fraude y Corrupción deben tener en cuenta el marco descrito en el Apéndice A. 2.2.3 Monitoreando la operación del Plan de Control de Fraude y Corrupción Se debe establecer un programa de monitoreo de la implementación del Plan de Control de Fraude y Corrupción, en el que se determinen los procesos de monitoreo internos y externos y se perfilen los puntos clave, los recursos requeridos y los objetivos propuestos. Se requiere una revisión del Plan de Control de Fraude y Corrupción para identificar y entender las razones de cualquier inconformidad o desviación y diseñar planes de mejoramiento. El propósito de esta revisión es asegurar que el Plan de Control de Fraude y Corrupción:

a. Es apropiado para la operación de la entidad b. Cumple con los objetivos para los que fue establecido

2.2.4 Comunicando el Plan de Control de Fraude y Corrupción El compromiso de una entidad respecto de su Plan de Control de Fraude y Corrupción debe comunicado a todos los stakeholders, por diferentes medios, tales como:

a. Una nota apropiada en el reporte anual de la entidad, como parte de la declaración general de integridad o del Gobierno Corporativo.

b. Declaraciones en términos generales y condiciones de negociación con terceros por parte de la entidad.

c. Invitaciones a terceros o requerimiento de propuestas/sugerencias para ser aplicadas en la entidad.

d. En el website de la entidad. Internamente, se requieren comunicaciones periódicas para asegurar que la Administración y el staff se mantengan informados sobre asuntos relacionados con el control de fraude y corrupción incluyendo las mejores prácticas establecidas. El Plan de Control de Fraude y Corrupción debe encontrarse a disposición de todo el personal, especialmente, de aquellas áreas que tiene responsabilidades respecto al control de fraude y corrupción.

2.3. Revisión del Plan de Control de Fraude y corrupción 2.3.1. Frecuencia de la revisión El Plan de Control de Fraude y Corrupción debe ser revisado y ajustado periódicamente de acuerdo a las necesidades, y como mínimo, una vez cada dos años. Las entidades que se desenvuelven en ambientes y condiciones de negocio que cambian rápidamente (en particular, en condiciones de cambios tecnológicos significativos) deben revisar y actualizar su Plan de Control de Fraude y Corrupción con mayor frecuencia. 2.3.2. Proceso de continuo mejoramiento El Plan de Control de Fraude y Corrupción debe ser visto como un documento en contante estado de evolución dada las características cambiantes del ambiente de negocios australiano. 2.3.3. Factores que se deben considerar en la revisión del Plan de Control de Fraude y Corrupción Se deben tener en cuenta los siguientes aspectos en la revisión del Plan de Control de Fraude y Corrupción:

a. Confirmar o modificar los objetivos trazados pro la entidad para el control de fraude y corrupción.

b. Modificaciones significativas a las condiciones del negocio.

c. Las estratégicas establecidas como consecuencia de los incidentes de fraude y corrupción.

d. El resultado de cualquier evaluación de riesgo de fraude y corrupción que se haya realizado desde la más reciente versión del plan de control de este riesgo.

e. Cambios en las prácticas locales o internacionales de control de fraude y corrupción.

f. Requerimientos de recursos, especialmente, asegurándose que el recurso humano asignado para la prevención del fraude y corrupción sea de un nivel jerárquico apropiado34, tenga las habilidades adecuadas para el rol que desempeña y que tenga tiempo de dedicación apropiado para las responsabilidades que le fueron asignadas.

g. La naturaleza cambiante del fraude y la corrupción en sectores de la industria específicos, por ejemplo, el Jefe a nivel mundial del crimen organizado para el fraude señala que entre más efectiva sea la investigación de las actividades tradicionales del crimen organizado, genera que el crimen organizado tenga

34 Véase Cláusula 2.4.1.

mayor disponibilidad de tecnología y mayores estándares de educación de los criminales.35

2.4. RECURSOS PARA EL CONTROL DE FRAUDE Y CORRUPCIÓN 2.4.1. Asignación de recursos Le entidad debe asegurar que se ha designado un nivel apropiado de recursos para el control del riesgo de fraude y corrupción. Esto, incluye la designación de personal especializado (de tiempo completo o parcial según sea necesario) para implementar las iniciativas de control, coordinar el proceso de evaluación de riesgo de fraude y corrupción, documentar y recopilar los reportes de incidentes y conducir y coordinar las investigaciones de la entidad dentro de los procesos de fraude y corrupción. Las entidades deben considerar la contratación de recurso humano especializado (interno o externo) con las debidas habilidades y experiencia, o alternativamente, entrenando el personal actual para este rol. Las entidades grandes deben demostrar su compromiso con el control de fraude y la corrupción designando a una persona de alto nivel (preferiblemente de segunda o tercera línea o alternativamente, con línea de reporte directo al CEO en asuntos relacionados con el control de fraude y corrupción) con la responsabilidad de implementar y supervisar el Programa de Control de Fraude y Corrupción. Las entidades más pequeñas deben utilizar una persona de alto nivel que incluya dentro de sus responsabilidades la supervisión del control de fraude y corrupción. 2.4.2. La designación del Jefe de control de fraude y corrupción Las organizaciones más grandes deben considerar la designación de un Oficial de Control de Fraude y Corrupción de tiempo completo o parcial cuya responsabilidad sea el manejo de la exposición al riesgo de la entidad (la dedicación total o parcial dependerá principalmente del tamaño de la entidad). La descripción de puesto debe incluir la como responsabilidad principal el control del fraude y corrupción. Se recomendable que la persona designada para ocupar este cargo de tener la capacidad de entender y traducir las mejores prácticas en materia de control de fraude y corrupción en prácticas y procedimientos amigables para ser aplicados en la entidad y realizar o coordinar la capacitación sobre los principales procedimientos, especialmente a las gerencias de línea. El Jefe de Control de Fraude y Corrupción debe mantenerse actualizado en las mejores prácticas en materia de fraude y corrupción, mediante:

a. Un programa de capacitación formal. b. Participación en los seminarios, conferencia y workshops relevantes. c. Manteniendo material bibliográfico de referencia.

35 Los bancos y otras entidades del sector financiero necesitan mantenerse vigilantes frente a las últimas tendencias de fraude y corrupción y deben adoptar un enfoque cuyo objetivo sea la administración del riesgo reduciendo y eliminando los incidentes de fraude y corrupción dentro de la entidad.

d. Red de información con colegas de otras instituciones. En muchas entidades grandes, ya existirán parte de la infraestructura necesaria para el control de fraude y corrupción, por lo cual se requiere solamente una modificación para la implementación de mejores prácticas. 2.4.3. Otros recursos para el control de fraude y corrupción Otros recursos importantes dentro de la entidad en términos de control de fraude y corrupción incluye:

a. Recurso Humano/relaciones dentro del sector. b. Salud ocupacional y seguridad social. c. Funcionarios de cumplimiento (Compliance). d. Consultor corporativo. e. Aseguramiento de calidad. f. Administración de registros g. Gestión de riesgo corporativo h. Administración de seguros i. Especialistas y consultores en seguridad en la información j. Administradores de las relaciones y asuntos con el regulador; y donde sea

relevante k. Practicantes de impacto ambiental

El Jefe de control de Fraude (si es designado) debe tener la responsabilidad de asegurar que todos los recursos para el control del fraude y corrupción actúen coordinadamente de tal forma que, trabajen conjuntamente con el fin de alcanzar los objetivos propuestos en el Plan de control de Fraude y Corrupción. Un Comité de supervisión debe tener la última responsabilidad por asegurar que el control de fraude y corrupción se cumpla, incluyendo la responsabilidad de asegurar que los recursos para el control de fraude y corrupción se encuentren coordinados de forma efectiva. 2.5. PAPEL DE LA AUDITORÍA INTERNA EN EL CONTROL DEL FRAUDE Y CORRUPCIÓN 2.5.1. Aplicación del recurso de auditoría interna en el control de fraude y corrupción Mientras que la principal responsabilidad de la identificación del fraude y corrupción dentro de una organización recae en la Administración, las entidades deben reconocer que la actividad de la auditoría interna puede ser, en el contexto global de riesgo, parte efectiva del ambiente de control con el fin de identificar los indicadores de fraude y corrupción. La actividad de la auditoría interna debe planearse y conducirse para detectar el fraude, ser planificada y llevada a cabo con el fin de evitar y disuadir el fraude y

cumplir con el marco de prácticas profesionales establecidas por Instituto de auditores Internos (IIA).36 2.5.2. Aplicación del Marco de Prácticas Profesionales del IIA La experiencia ha demostrado que la actividad de la auditoría interna puede ser efectiva tanto en la detección como en la prevención del fraude si se asegura una adherencia al sistema de control interno.37 Las organizaciones deben considerar el papel de la auditoría interna en la detección, prevención e investigación del fraude, y, para esto, debe considerarse el Marco de Prácticas Profesionales, el cual señala que:

El auditor interno debe tener el conocimiento suficiente para identificar los indicadores de fraude pero no se le exige que tenga el expertise de una persona cuya responsabilidad principal es la detección e investigación del fraude.38

La práctica 1210. A2-I y 121.A2-2 publicadas el 5 de enero de 2001 es una guía para la interpretación de los Estándares internacionales de la Práctica Profesional de auditoría interna, como a continuación se señala: 2.5.3. El papel de la auditoría interna en la disuasión del fraude La Práctica 1210.A2-139 establece: “5. Los auditores internos tiene la responsabilidad de apoyar en la disuasión del fraude mediante la evaluación de la idoneidad y efectividad del sistema de control interno, de acuerdo a la exposición potencial al riesgo en los diferentes segmentos de la operación de la organización. Para cumplir con esta responsabilidad, los auditores internos, deben, por ejemplo, establecer si:

• El ambiente organizacional fomenta la consciencia y cultura de control

• Se han establecido objetivos y metas realistas

• Existen políticas escritas (por ejemplo, código de Conducta) que describan las conductas y actividades prohibidas y las acciones requeridas cuando se descubran incumplimientos a las mismas.

• Políticas establecidas para la autorización de transacciones

36 Véase el Marco de prácticas Profesionales –PA 1210 para una mayor guía en el rol de la auditoría interna en la identificación y detección del fraude. 37 La novena encuesta global de fraude realizada por Ernst and Young concluyó que el 30% de los encuestados identificaron a la auditoría interna como el factor más importante en la prevención y detección del fraude (comparado con un 46% que estimaba que un fuerte ambiente de control interno era el factor más importante.) 38 Véase el Marco de Prácticas Profesionales del Instituto de Auditores Internos PA 1210. A2. 39El sistema de numeración dentro de la Práctica 1210.A2-1 y 1210.A2-2 es utilizada en los extractos de la presente sección.

• Se han desarrollado políticas, prácticas, procedimientos, reportes y otros mecanismos para monitorear las actividades y salvaguardar los activos de la organización, principalmente, en las áreas de alto riesgo.

• Los canales de comunicación proveen a la administración de información adecuada y confiable.

• Las recomendaciones deben realizarse para el establecimiento o mejoramiento de los controles efectivos para ayudar a detectar el fraude.

2.5.4. El papel de los auditores internos en la reacción frente a un incidente de fraude o la sospecha de fraude La práctica 1210.A2-1 establece: “6. Cuando un auditor interno sospeche de una conducta irregular, se deberá informar al nivel adecuado dentro de la organización. Los auditores internos deben recomendar las investigaciones necesarias de acuerdo con las circunstancias. Por último, el auditor debe realizar el seguimiento adecuado para establecer si las responsabilidades de las actividades de auditoría interna se cumplieron.“ Las cláusulas 7 a 11 de las Prácticas se relacionan con el papel de la auditoría interna en la investigación y reporte del fraude detectado. 2.5.5. El papel de la auditoría interna en la detección del fraude La práctica 1210.A.2-2 establece: “1. La administración y la auditoría interna tienen diferentes roles respecto a la detección del fraude. El curso normal del trabajo de un auditor es proveer una apreciación, investigación y evaluación, independiente de las actividades de la organización como un servicio a la entidad. El objetivo de la auditoría interna en la detección del fraude es apoyar a los miembros de la organización en el cumplimiento efectivo de sus responsabilidades dándoles un valor agregado a través de su análisis, apreciaciones, recomendaciones, consejos e información concernientes a las actividades revisadas. El objetivo comprometido incluye fomentar la efectividad del control a un costo razonable. 2. La administración tiene la responsabilidad de establecer y mantener un sistema de control a un costo razonable. Para el grado de fraude que pueda estar presente en las actividades cubiertas por el curso normal del trabajo descrito anteriormente, los auditores internos tienen la responsabilidad de ejercer una debida diligencia como se encuentra establecido específicamente en el estándar 1220 en relación don la detección de fraude.

3. Un sistema de control interno bien diseñado no debe conducir al fraude. Las pruebas realizadas por los auditores, junto con los controles razonables establecidos por la Administración, mejoran la posibilidad de detectar cualquier indicador existente de fraude y de considerarlo para futuras investigaciones”.

La Práctica 1210.A2-1 señala: “12. La detección del fraude consiste en identificar indicadores de fraude suficientes para justificar la recomendación de una investigación. Estos indicadores pueden surgir como resultado de controles establecidos por la Administración, pruebas de auditoría, y otras fuentes internas o externas a la organización. 13. En la realización de los contratos, las responsabilidades del auditor interno para la detección de fraude son:

• Tener conocimiento suficiente sobre fraude para poder identificar indicadores

de fraudes que hayan podido ser cometidos.

• Estar alerta a las oportunidades, tales como deficiencias de control, que podrían permitir el fraude. Si se detectan debilidades importantes de control, los auditores internos deben realizar pruebas complementarias que incluyan pruebas dirigidas a la identificación de otros indicadores de fraude.

• Evaluar las señales de alerta o indicadores de posibles fraudes cometidos y decidir si se requiere alguna acción o investigación.

• Notificar a las autoridades competentes dentro de la organización si existen indicadores suficientes sobre la comisión de un fraude cuya investigación es recomendada”.

SECCIÓN 3: PREVENCIÓN 3.1. APLICACIÓN Los elementos de prevención descritos en esta sección representan las acciones sugeridas a las entidades que desean desarrollar y aplicar un amplio programa de control de fraude y corrupción. El contenido de esta sección considera elementos proactivos del programa de control de fraude y la corrupción de una entidad. El cumplimiento de esta Norma exige que la entidad implemente cada uno de los mínimos aceptables40 de las iniciativas de prevención de tal forma que sea apropiado teniendo en cuenta el tamaño, la diversidad, la cobertura geográfica, el perfil de riesgo y el sector en donde la entidad opera. 3.2. EJECUCIÓN Y MANTENIMIENTO DE UN MARCO DE INTEGRIDAD 3.2.1 Creación de una cultura ética Una estrategia clave en la gestión del riesgo de fraude y corrupción dentro de una entidad implica la implantación y el mantenimiento de una sólida cultura ética. La entidad debe plantearse como objetivo asegurar la consolidación de una cultura ética saludable y sostenible a través de la aplicación de un marco de integridad que debe incluir un proceso de benchmarking y monitoreo continuo respaldado por el ejemplo dado por la Alta Gerencia. Si la cultura ética de la entidad cae por debajo de los niveles aceptados, se deben tomar medidas correctivas, las cuales incluyan una amplia base de comunicación y un programa de capacitación. Todos los empleados, incluida la Administración, los Directores y otros relacionados con las operaciones comerciales de la entidad, en cualquier capacidad, deberían estar obligados a confirmar por escrito, cada año, que han cumplido, en los últimos doce meses, el Código de Conducta de la entidad y con las políticas de fraude y que seguirán cumpliendo durante los siguientes doce meses. 3.2.2 Los elementos del marco de integridad Muchas entidades consideran que promover una cultura ética se logra mediante la publicación de un código de comportamiento (conocido como Código de Ética o Conducta). Investigaciones recientes muestran que la promulgación de un código de comportamiento puede ser más efectivo si se implementa como parte de un enfoque coordinado – un código de comportamiento es un elemento importante pero no es el único elemento, de un marco de integridad efectivo. Los elementos fundamentales de un sólido marco de la integridad se exponen en la Tabla 1. Las entidades deben considerar e implementar estos conceptos según el caso.

40 Véase la Cláusula 1.3. para la distinción entre mínimos aceptables y guías provistos en este estándar.

TABLA 1

PRINCIPALES ELEMENTOS DE UN MARCO DE INTEGRIDAD Elemento Descripción

1. Marco de integridad El desarrollo de un marco de integridad apropiado usando un enfoque participativo que constituya el compromiso de todos los empleados y esté sujeto a un monitoreo y mantenimiento constante. Incluirá el desarrollo y la promulgación de otros elementos fundamentales señalados a continuación.

2. Ejemplo Adherencia visible porp arte de la Alta Gerencia al marco de integridad de la entidad.

3. Alta Gerencia La Alta Gerencia reconoce la necesidad de establecer y mantener una cultura ética y promueve dicha cultura.

4. Códigos de comportamiento Un Código de Ética o Conducta amplio incorpora unas aspiraciones de alto nivel en su declaración de valores con descripciones poco detalladas sobre conductas inaceptables – Un Código de Conducta debe ser más prescriptivo según corresponda al contenido de la entidad

5. Establecimiento de responsabilidades La responsabilidad asignada a un funcionario de alto nivel para asegurar que las iniciativas de integridad sean implementadas y monitoreadas. Esta persona deberá tener línea de reporte directa al Comité de Éticas o a otro cuerpo de alto nivel con responsabilidad por la cultura ética de la entidad. Adicionalmente al establecimiento de responsabilidades específicas para mejorar el rendimiento de la entidad sobre este tema, debe comunicarse internamente de manera clara que cada persona asociada con la organización tiene un papel que desempeñar en la promoción de la integridad y del comportamiento ético.

6. Comité de Ética El Comité de Ética, una vez nombrado, será el árbitro final en asuntos relacionados con posibles o aparentes conductas indebidas o dilemas éticos que no pueden resolverse en otra instancia en la organización. Adicionalmente es el órgano encargado de la supervisión de la operación y el mantenimiento de todo el marco de integridad. Este Comité puede ser también, la Junta o Consejo de Administración de acuerdo al marco de gobierno de la entidad.

7. Comunicación Programa de comunicación del Código de Ética y Conducta. Comunicar la importancia de los estándares éticos mediante la distribución periódica de material a través de revistas o del website.

8. Entrenamiento Entrenamiento continuo específico en la utilización del uso de códigos de comportamiento y herramientas éticas para la toma de decisiones. Incluyendo componentes éticos en todo entrenamiento.

9. Refuerzo La incorporación de estándares de ética en la gestión del desempeño de la Administración, ej. Retroalimentación 360º, sistemas de administración de desempeño y estrategias o esquemas de remuneración.

10. Benchmarking Un programa de un benchmarking continuo de estándares éticos tendientes a identificar oportunidades de mejoramiento de los estándares éticos de la entidad entre los diferentes elementos de la entidad – La entidad debe publicar, adicionalmente, los resultados del informe de auditoría en éticas corporativas a los principales stakeholders.

11. Reporte de quejas Un mecanismo de comunicación de las preocupaciones éticas dentro y fuera de los canales comunes de comunicación.

12. Compliance o cumplimiento Política de certificación sobre el cumplimiento de las políticas corporativas en relación con el manejo de conflictos de interés. Revelación de información confidencial y otros asuntos relacionados.

3.2.3 Monitoreo sobre la cultura ética Una entidad debe llevar a cabo una evaluación de cultura ética para comparar varias unidades de negocios y el desempeño de la entidad periódicamente. Esto implica la distribución de un cuestionario estructurado para todo el personal y luego recoger y analizar los resultados.41 Se deben establecer planes de acción basados en los resultados y en las deficiencias encontradas (ej. Entrenamiento, workshops, progamas de entrenamiento a través de internet (E-learning), modificaciones el Código de Conducta). 3.2.4. Otros lineamientos El Anexo B del AS800-2003 señala los principales valores de una cultura ética y la necesidad de establecer una arraigada cultura ética. AS 8002-2003 establece una guía más detallada para implementar un Código de Conducta efectivo y las entidades debería referirse a dicho estándar. Los Principios de Buen Gobierno desarrollados por el Mercado de Valores de Australia, proveen una guía útil para desarrollo e implementación del Código de Conducta bajo el Principio 3 – “Promover la toma de decisiones de forma ética y responsable”. Es obligatorio para las entidades australianas que cotizan públicamente de acuerdo con las normas del mercado de valores australiano “Australian Securities Exchange - ASX Listing rules”.42 3.3. COMPROMISO DE LA ALTA GERENCIA PARA CONTROLAR EL RIESGO DE FRAUDE Y CORRUPCIÓN 3.3.1. Conciencia de riesgo Una entidad debe asegurar que la Alta Gerencia tenga un alto nivel de compromiso visible para controlar el riesgo de fraude y corrupción cometido tanto en contra de la entidad como por la entidad (ej. En términos de asegurar que la entidad o su propios funcionarios no estén comprometidos con una conducta fraudulenta o corrupta en su relación con terceros). Un alto nivel de conciencia de riesgo para el riesgo de fraude y corrupción debe estar presente a en la alta gerencia y si no es así, este punto debe ser objeto de un entrenamiento preventivo a ese nivel. Este entrenamiento preventivo debe incluir nuevos tipos de tecnología que puedan ser utilizados para la comisión de fraudes y medidas tecnológicas que puedan ser usadas por la entidad para minimizar tipologías de fraude. 3.3.2. Considerando el fraude y la corrupción como un riesgo serio Un factor importante que contribuye a un ambiente propenso para el fraude y corrupción en las empresas australianas es el fracaso de la Alta Gerencia en el

41 Esto se puede alcanzarse mediante la utilización de tecnología “web-enable”. 42 http://www.asx.com.au/supervision/governance/principles_good_corporate_governance.htm

tratamiento o administración de amenazas de riesgos relevantes en contra de la entidad como consecuencia de asignar recursos suficientes para la administración del problema. En muchos casos, la Alta Gerencia se vuelve conformista y demuestra su preocupación frente a fraude y la corrupción únicamente cuando un incidente mayor ocurre, generalmente, después de un serio daño financiero o a la reputación. Una posible explicación de esto es que los incidentes de fraude y corrupción ocurren, para muchas entidades, ocasionalmente – experiencias recientes muestran, sin embargo, que cuando ocurren, el resultado deviene en pérdidas operativas significativas o daños reputacionales. Las entidades que demuestras la implementación de “mejores prácticas” en el control de fraude y corrupción tendrán, siempre, una Alta Gerencia que reconoce la necesidad de prevenir y detectar el fraude y corrupción, aún cuando no han ocurrido incidentes recientes. 3.3.3 CONOCIMIENTO DE LA ALTA GERENCIA SOBRE TEMAS RELACIONADOS CON FRAUDE Y CORRUPCIÓN La Alta Gerencia debe tener, como mínimo, un entendimiento de los siguientes temas relacionados con el fraude y corrupción:

a. La incidencia del fraude y corrupción en Australia b. Tipologías de fraude y corrupción comunes en la industria en donde la entidad

opera y las pérdidas asociadas a las conductas de este tipo. c. La robustez del ambiente de control interno de la entidad en términos de su

habilidad para prevenir y detectar los tipos de fraude y corrupción que pueden llegar a ocurrir.

d. Conocimiento de las tipologías de fraude y corrupción que han sido detectadas en la entidad in los últimos 5 años y cómo se han manejado en términos de acciones disciplinarias y mejoramiento en los controles internos.

e. La estrategia de la entidad frente a la prevención y control de fraude y corrupción

f. Conocimiento de nuevas herramientas tecnológicas para detectar y prevenir la actividad fraudulenta.

3.4 RESPONSABILIDAD DE LA ALTA GERENCIA 3.4.1. Responsabilidad en la prevención y detección del fraude Las entidades deben asegurar que los gerentes de línea sean conscientes de sus responsabilidades para la prevención y detección del fraude y corrupción. La gestión del fraude y corrupción deben ser incorporados en el sistema de evaluación del desempeño y el desempeño de cada gerente debe medirse contra el benchmark apropiado para la industria o sector en donde se desenvuelve. 34.2. La necesidad de un enfoque integral por parte de toda la organización para controlar el fraude y la corrupción

El control del fraude y corrupción es visto, generalmente, como una responsabilidad “corporativa” (ej. La responsabilidad de la administración central a un nivel corporativo) en lugar de ser una responsabilidad de la administración de cada gerencia. Generalmente, el fraude ocurre en los negocios que se encuentra apartados de la administración central, debida a que no se encuentran sujetos a una debida evaluación y la administración no puede ver las necesidades de tomar medidas de control frente al fraude y corrupción. Es considerado como un principio relevante de este estándar, considerar que ninguna estrategia en sí misma, pueda ser efectiva para administrar el riesgo de fraude y corrupción y como consecuencia, que ninguna persona o tipo de persona pueda administrar integralmente el riesgo. 3.4.3. Logrando que la Gerencia de Línea sea consciente de su responsabilidad de controlar el fraude y corrupción La Gerencia de Línea debe estar consciente de que administrar el fraude y corrupción es, en gran parte, su responsabilidad al igual que administrar otro tipo de riesgos. Con el fin de enfatizar en este punto, es importante que se desarrolle e implemente un programa que incluya los siguientes elementos:

• Incorporar en el sistema de evaluación de desempeño el control de fraude y corrupción

• Incluir en las descripciones de puesto de los gerentes la prevención del fraude y corrupción

• Cualquier pérdida operativa debe ser asignada al centro de costo en el cual ocurrió la pérdida y debe tener un impacto económico en el desempeño del respectivo centro de costo

• La Gerencia de Línea debe recibir una capacitación adecuada en materia de control de fraude y corrupción y durante su entrenamiento debe ser informado de sus principales responsabilidades en este tema.

3.5. CONTROL INTERNO 3.5.1. Implementación de un sistema de control interno efectivo Las entidades deben asegurar que los procesos de cada área, particularmente, aquellos que han sido calificados como de alta predisposición al riesgo de fraude y corrupción, se encuentran sujetos a un riguroso sistema de control interno que se encuentre bien documentado, que sea actualizado regularmente y sea entendido por todo el personal. Nota: Existe un fuerte lazo entre la ocurrencia de fraude y corrupción y la existencia de pobres sistemas de control interno dentro de la entidad. En muchos casos en los que eventos de fraude y corrupción son detectados, es posible identificar debilidades fundamentales en los controles internos o fallas que permiten la ocurrencia del incidente o fallas en la rápida detección después de su ocurrencia. Lo anterior supone que el establecimiento controles internos estrictos es un arma en la protección de una entidad frente al fraude.

3.5.2. El rol del sistema de control interno en la prevención del fraude y corrupción Dentro del ambiente competitivo, puede llegar a ser difícil mantener o reafirmar un sistema de control interno al mismo tiempo, cuando la entidad está buscando ser más eficiente en la operación del negocio, con el fin de bajar los costos. El papel del control interno enfocado a dar seguridad al negocio no es entendido, generalmente, por parte de la Alta Gerencia en la mayoría de las entidades australianas. El Control Interno debe ser considerado como la primera línea de defensa en la lucha en contra del fraude y la corrupción. Mientras una entidad que tenga solamente un sistema de control interno efectivo no se encuentre protegida íntegramente contra el fraude, resulta claro que dicho sistema es un elemento esencial para un adecuado control de de fraude. 3.5.3. Puntos de atención para el desarrollo de un sistema de control interno que puede ser efectivo para la prevención del fraude Se señalan a continuación los elementos sugeridos del sistema de control interno que ayudará a la entidad a protegerse en contra del riesgo de fraude y corrupción:

a. Controles Internos enfocados al riesgo, es decir, que hayan sido desarrollados después de que la entidad haya tomado en cuenta los riesgos a los que se enfrenta y buque su mitigación (sería ideal que esto involucre el desarrollo de controles internos cuyos objetivos sean los riesgos identificados mediante la aplicación del AS/NZS 4360:2004).

b. Controles internos debidamente documentados. c. Proceso de mejoramiento continuo – los controles internos debe ser revisados y

modificados según sea necesario de forma periódica. d. Controles internos que sean comunicados efectivamente al todo el personal de

acuerdo a su nivel de responsabilidad y jerarquía. e. Controles internos que sean accesibles al personal – Si el personal de una

entidad ya tiene acceso a la intranet, debe accederse a la versión más reciente del sistema de control interno de forma rápida y eficiente.

f. Una cultura de control interno fuerte en la cual, todo el personal comprenda la importancia de cumplir con los controles internos – lo cual puede incluir su adherencia como un elemento del programa de revisión de desempeño.

g. Un programa para evaluar el grado de cumplimiento de la entidad respecto de sus controles internos – esto puede realizarse a través de una encuesta online dirigida a todo el personal.

h. La Alta Gerencia debe ser un ejemplo en la adherencia a los controles internos de la entidad

i. Un programa de auditoría interna que incorpore la revisión del cumplimiento a los controles internos.

3.6. EVALUANDO/VALORANDO EL RIESGO DE FRAUDE Y CORRUPCIÓN 3.6.1. Implementando una política para evaluar el riesgo de fraude y corrupción

Las entidades deben adoptar una política y procedimientos para la identificación, análisis y evaluación sistemática del riesgo de fraude y corrupción (“risk assesssment” – evaluación del riesgo) y deben realizar periódicamente evaluaciones amplias de riesgos de fraude y corrupción dentro de sus propias operaciones. La frecuencia con la que la entidad debe llevar a cabo este ejercicio depende de varios factores, tales como el tamaño, la diversidad de las funciones del negocio, de la distribución geográfica, la profundidad de las inspecciones regulatorias o de otras entidades, el grado de cambios tecnológicos y el riesgo inherente dentro del sector en donde la entidad opera. Generalmente, esta evaluación debe realizarse cada dos años. La evaluación de riesgo de fraude y corrupción debe realizarse de acuerdo con el AS/NZS 4360:2004 y los manuales HB 436:2004. El proceso recomendado, como principio general para realizar este ejercicio, es evaluar la probabilidad y el impacto para cada riesgo relacionado con otros riesgos de fraude o de la entidad. El resultado más importante del proceso de evaluación del riesgo de fraude y corrupción es desarrollar un programa efectivo de gestión antifraude y anticorrupción adecuado específicamente para enfrentar los riesgos propios de la entidad. Se debe monitorear la efectividad de las medidas periódicamente. 3.6.2. Aplicación de los principios de la administración de riesgos para evaluar el riesgo de fraude y corrupción El AS/NZS 4360:2004 contempla unos procesos de 7 estados de evaluación del riesgo, cuyos principales elementos son:

a. Consulta y comunicación. b. Establecimiento del contexto. c. Identificación de riesgos. d. Análisis de riesgos. e. Evaluación de riesgos. f. Tratamiento de riesgos. g. Monitoreo y revisión.

La figura 2 es un resumen gráfico de este proceso:

Figura 2 Proceso genérico de la administración de riesgo

3.6.3. Proceso de evaluación del riesgo de fraude y corrupción 3.6.3.1. Metodologías para la evaluación del riesgo de fraude y corrupción Las entidades que llevan a cabo una evaluación del riesgo de fraude y corrupción han utilizado tradicionalmente, una de las siguientes 3 alternativas de metodologías:

a. Evaluación independiente de procesos y procedimientos incluyendo series de entrevistas uno a uno con personal principal y soportes documentales de revisiones de control interno.

b. Una encuesta de riesgo de fraude y corrupción mediante la publicación y análisis de un cuestionario hecho a la medida de la entidad, de sus unidades de negocio, o funciones operacionales de la entidad que está siendo evaluada.

c. Taller con enfoque consultivo que involucre la mayor cantidad de opiniones del personal de la unidad de negocio que está siendo evaluada, en donde el “equipo de evaluación de riesgo” formado para cada unidad de negocio, identifique y evalúe los riesgos relevantes de la unidad de negocio.

El enfoque sugerido es consistente con la guía establecida en HB436:2004 que propone las siguientes cuatro alternativas de metodologías en la identificación del riesgo organizacional:

1. Lluvia de ideas en grupo. 2. Técnicas estructuradas, tales como flujogramas, revisión del diseño del sistema,

análisis de sistema, estudio Hazard and Operatibility (HAZOP) y modelos operacionales.

3. Para las situaciones menos definidas, tales como la identificación de riesgos estratégicos, se utilizan los procesos con una estructura más general “what if” (Que pasaría si) y análisis de escenarios.

4. Cuando los recursos son limitados, se podrá un enfoque más flexible, como por ejemplo, concentrándose en un número más pequeño de elementos claves o utilizando check list.

La elección del enfoque o propuesta más apropiada (o combinación de las mismas) dependerá de un rango de factores, incluyendo presupuesto, disponibilidad de tiempo de los participantes, urgencia, limitaciones geográficas o estructurales. Para cada riesgo identificado el AS/NSZ4360:2004 requiere que el proceso de evaluación incluya:

i. Evaluación preliminar de los riesgos que han sido identificados con el fin de considerar cuáles de ellos pueden ser objeto du un análisis más detallado.

ii. Evaluación de los procesos, mecanismos y prácticas (controles internos) actuales utilizados para minimizar el riesgo;

iii. Evaluación del impacto para la entidad en caso de que se materialice el riesgo; iv. Evaluación de la probabilidad del ocurrencia dentro del marco de los controles y

estrategias existentes; v. Estimar el nivel de riesgo mediante el análisis entre el impacto y la probabilidad

de ocurrencia.

El objetivo final del proceso de evaluación de riesgo será el entendimiento de los riesgos de fraude y corrupción que enfrenta la entidad como una base para el desarrollo e implementación de planes de acción y mitigación que apunten a dichos riesgos. 3.6.3.2 Pasos para el proceso de evaluación de riesgo A continuación se presentan los detalles de cada uno de los pasos de la evaluación de riesgos descritos en la figura 2, enfocados específicamente al proceso de evaluación del riesgo de fraude y corrupción:

a. Establecimiento del contexto Para que una evaluación del riesgo sea efectiva, debe ser realizado considerando de forma integral el contexto en donde la entidad opera. Lo anterior, supone entender los siguientes aspectos de la entidad:

• Contexto externo, el cual define las relaciones entre la entidad y su ambiente externo, incluyendo el estudio de la naturaleza de las amenazas que enfrenta la entidad, “conductores de fraude y corrupción” dentro de la industria y dentro del ambiente en el cual opera la entidad, y los requerimientos regulatorios o jurisdiccionales;

• Contexto interno, el cual provee un entendimiento de la entidad, incluyendo el estudio de la naturaleza de los negocios, su cultura, los principales stakeholders, el histórico de incidentes de fraude y corrupción, claves de negocio o estrategias de negocio, sus sistemas de información y el funcionamiento de un ambiente de control;

• Contexto de gestión o administración del riesgo, el cual implica determinar el alcance, límites y parámetros de las actividades que deben realizarse para la administración del riesgo de fraude y corrupción;

• Criterios de riesgo, a través de los cuales cada riesgo se evaluará para determinar cuando el riesgo puede no ser tolerado y cuando necesita una acción por parte de la entidad;

• Enfoque y estructura que debe utilizarse en el proceso de administración de los demás riesgos de fraude y corrupción;

• Documentar la creación del contexto es una buena práctica comercial que debe seguirse siempre que sea factible.

b. Identificación de riesgos

El objetivo de la identificación de riesgos es desarrollar una lista de los riesgos de fraude y corrupción y sus fuentes, que pueden llegar a impactar potencialmente la consecución de los objetivos de la entidad. Se debe crear una lista exhaustiva de los riesgos, independientemente de si se encuentran o no bajo el control. Para la realización de dicha lista, se tienen en cuenta generalmente, los registros de riesgos, que pueden encontrarse documentados detalladamente de tal forma que facilitan tanto el análisis subsecuente como las futuras revisiones de fraude y corrupción.

Diferentes enfoques pueden facilitar o mejorar notablemente el entendimiento de las fuentes de riesgo, incluyendo las siguientes:

• El mapeo de los procesos de negocio, en el que participen tanto los titulares del proceso como los que lo operan;

• Definir de forma clara el modus operandi de los incidentes potenciales de fraude y corrupción

• Examinar los resultados de las investigaciones de fraude y corrupción que se hayan llevado a cabo en la entidad, y analizar casa de estudio de esta u otra entidad.

c. Análisis de riesgo

El análisis de riesgos es el mecanismo mediante el cual, se puede lograr un mejor entendimiento de los riesgos y así, facilitar el mejoramiento de los planes de acción para tratar dichos riesgos. El análisis de riesgo involucra examinar y revisar el impacto de esos riesgos y su respectiva probabilidad de ocurrencia a la luz de la efectividad de los controles. Se debe realizar un análisis preliminar de riesgo, como un mecanismo para eliminar los “riesgos bajos” y así enfocar la atención y los recursos en los riesgos altos con el fin de de llevar a cabo una evaluación más detallada y completa. La evaluación detallada de riesgo generalmente inicia con un examen de la efectividad de los controles que existen actualmente para administrar dichos riesgos identificados. Dicha evaluación puede concluir, si cada control es:

• Efectivo • Parcialmente efectivo • No efectivo

Para mitigar el riesgo de fraude y corrupción al que se relaciona. Se deben tener en cuenta todos los controles que puedan afectar tanto el impacto como la probabilidad del riesgo de fraude y corrupción, tales como:

• Requerimientos regulatorios y estándares • Marcos de cultura y conducta ética • Políticas y prácticas de gobierno • Prácticas de contratación de personal, incluyendo análisis de potenciales

empleados y de empleados actuales • Procedimientos operativos estándar • Prácticas de auditoría, conciliación y aseguramiento • Prácticas de seguridad física y lógica, sistemas e infraestructura • Proceso de reporte e investigación de incidentes • Reportes de monitoreo y administración

La evaluación de cada control interno no representa un análisis de controles en términos de su habilidad para mitigar el riesgo de la entidad en general, sino que es

un análisis que debe enfocarse a la percepción del impacto del control respecto de cada riesgo de fraude y corrupción asociado. En este análisis de riesgos, la medida sobre el impacto, se basa usualmente en el nivel de pérdidas financieras que puede conllevar, en cambio de realizarse sobre las pérdidas de cada incidente o acumuladas dentro de un período de tiempo. No obstante, el riesgo de fraude y corrupción debe dar lugar a consecuencias no financieras que igualmente deben ser consideradas, tales como, impactos regulatorias, legales, de seguridad, relacionados con el desempeño del negocio, confianza proveniente de los satkeholders, reputación, bienestar de los empleados e impactos morales. Por ejemplo, un incidente de fraude y corrupción que ocurra puede tener inmediatamente consecuencias financieras menores, pero consecuencias significativas a largo plazo relacionadas con la pérdida de valor de su marca. La probabilidad de un evento de fraude y corrupción se mide en consideración del “impacto que pueda ocurrir”. Este contexto va a determinar en gran medida la escala de probabilidad que va a ser utilizada. Por ejemplo, dicha escala puede basarse en la probabilidad43 en relación con la vida de la entidad, la duración en que ha estado presente la entidad en determinados mercados o lugares, o sobre otros períodos de tiempo o actividad. Existe una variedad de factores (generalmente específicos para ciertos tipos de riesgo de fraude y corrupción) que pueden tener efecto tanto en el impacto como en la probabilidad que deben considerarse, incluyendo lo siguientes: Consecuencias o impacto para la entidad en caso de que se materialice el riesgo: 1. La posible cuantía de la pérdida que podría sufrir la entidad

El impacto del incidente de fraude y corrupción (cualquiera de las contempladas previamente) puede causar un impacto económico a la entidad. Las consecuencias económicas o financieras que se relacionan directamente con los tipos contemplados anteriormente, deben ser consideradas en relación a los otros riesgos que enfrenta la entidad (ej. No se deben limitar al impacto financiero sino relacionarse con otros riesgos de fraude y corrupción).

2. El impacto financiero y no financiero en la entidad derivado de las investigaciones y acciones relacionadas con los incumplimientos de los riesgos contemplados.

La potencial cuantía de las pérdidas deben considerar igualmente las “consecuencias legales” que se derivan de la detección del incidente de fraude y corrupción, incluyendo los pasivos por la actuación de los directores de empleados y pérdidas de terceros. Otros impactos financieros incluyen pérdidas derivadas de interrupciones en el negocio, disminución del precio de la acción o distracción en su administración.

3. Impacto en la reputación en relación con los stakeholders, el gobierno, socios o accionistas y su reputación en general.

Las consecuencias de cada incidente debe igualmente incluir consecuencias reputacionales y no financieras, que puedan llegar a tener un impacto en la entidad.

43 HB 436:2004 tiene ejemplos de consecuencias y escalas de probabilidad que pueden adaptarse a las necesidades de diferentes entidades.

Probabilidad de ocurrencia del riesgo 4. El volumen de las transacciones asociadas con el funcionamiento específico del negocio

Entre más número de transacciones asociados con el funcionamiento del negocio, mayor el riesgo de fraude y corrupción asociado al funcionamiento del negocio.

5. La extensión de la cobertura tecnológica sobre las transacciones asociadas al riesgo de fraude y corrupción

Las transacciones que dependen de la tecnología se encuentran mayormente cubiertas al riesgo de fraude y corrupción que aquellas que involucran procesos manuales debido a que la revisión de aquellas presentan un mejor nivel.

6. La naturaleza de los potenciales beneficios para los perpetradores

Activos tales como efectivo o bienes que puedan convertirse en efectivo fácilmente tienden a ser más atractivos para apropiarse de ellos que otros y podría ser un indicador de mayor disposición al riesgo de fraude.

7. Los incidentes que hayan sido previamente identificados en la entidad

Entre más alto sea el número de incidentes de este tipo en la entidad, mayor probabilidad de ocurrencia.

8. La incidencia del riesgo en la industria en donde la entidad opera y dentro de la economía general.

Entre más alto el número de incidentes del tipo dentro de la industria en que opera la entidad (o dentro de la economía en general) más probable es que estos incidentes ocurran dentro de la entidad en su misma operación.

9. El estado actual de la cultura integral (en general dentro de la entidad y específicamente dentro de las unidades de negocio en donde el riesgo es identificado)

Es más probable que el fraude y corrupción se presente en entidades que tengan una cultura de integridad pobre. La cultura de integridad puede ser considerada separadamente de su cultura de control interno la cual puede ser tenida en cuenta cuando se analice el riesgo de control interno.

El análisis de riesgos puede realizarse utilizando métodos cualitativos (basado en métodos descriptivos más que numéricos), semi- cuantitativos (en donde los valores sean asignados para describir escalas) o cuantitativos (usando escalas numéricas) tanto para medir el impacto como la probabilidad.44

Propuestas gráficas pueden utilizarse para ilustrar los rangos obtenidos y apoyar en la evaluación del riesgo.

d. Evaluación de riesgos

La evaluación del riesgo de fraude y corrupción se realiza con el fin de facilitar las decisiones sobre las necesidades y prioridades para el tratamiento de dichos riesgos. Esas decisiones se encuentran guiadas por los criterios desarrollados como parte del establecimiento del contexto en las fases anteriores del proceso de administración de riesgos. Los criterios de decisión45 pueden incluir: -

• Nivel de riesgo evaluado. • Clasificación de los riesgos. • Posibles consecuencias en caso de un evento de riesgo o la acumulación de

consecuencias frente a múltiples acontecimientos. • Probabilidad de los eventos o de sus resultados.

44 Véase el HB436:2006 para mayor información con enfoques diferentes de administración de riesgo. 45 Véase la Cláusula 7.2. HB 436:2006

• Definición de niveles de tolerancia. • El grado o rango de incertidumbre en la evaluación del riesgo.

El resultado de la evaluación puede establecer si los riesgos identificados son o no tolerables y si requieren o no tratamiento. Sin embargo, la evaluación podrá, sin embargo, indicar que no hay suficiente información para tomar una decisión en este sentido y se requerirá un nuevo análisis.

e. Tratamiento del riesgo

En “tratamiento del riesgo” las decisiones se toman de acuerdo a las mejores opciones de tratamiento que deban seguirse para cada riesgo de fraude y corrupción. Este ejercicio debe considerar tanto resultados positivos como negativos que puedan derivarse de la aplicación de cada opción de tratamiento. En los casos en que un enfoque, como por ejemplo, el "análisis de costo-beneficio” se utilice para ayudar a la toma de decisiones, es necesario tener cuidado para garantizar que se analicen los resultados tanto tangibles (por ejemplo, financieros) como no tangibles. La gama de opciones que deben ser considerados incluyen:

• Evitar el riesgo impidiendo iniciar actividades o descontinuar aquellas que puedan agregar más riesgo al riesgo.

• Modificar la probabilidad (reducir) de ocurrencia del evento o de su impacto negativo, por ejemplo, mediante el mejoramiento de medidas de seguridad preventiva y defensivas;

• Cambios en el impacto (reducción negativa, mejoramiento positivo) del evento, por ejemplo, teniendo implementados procedimientos robustos de detección e investigación;

• Compartiendo el riesgo, mediante pólizas de infidelidad o seguros contra la interrupción del negocio; y

• Retener el riesgo, aceptando el riesgo residual seguido de otras actividades para gestionarlo.

Las decisiones que se tomen para la evaluación y el tratamiento pueden considerar el costo total del riesgo de fraude y corrupción, incluyendo el incremento o reducción de este valor por los controles establecidos como resultado de decidir sobre una determinada opción de tratamiento, como por ejemplo: -

• Pérdidas directas o colaterales derivadas de la materialización del riesgo

• Costo de los controles anticipados o de las propuestas sobre opciones de

tratamiento, tales como:

o Evaluación continua del riesgo o Prevención o Disuasión o Detección; y

• Costos reactivos por las acciones de respuesta frente al riesgo, tales como:

o Investigación del evento de fraude o corrupción. o Recuperación de los valores perdidos como resultado del evento de riesgo,

incluyendo los costos legales en que pueda incurrir. o Restauración de la capacidad y habilidad de la entidad a sus niveles

anteriores al del evento de riesgo.

Todas las acciones propuestas, deben ser validadas con el Gerente o con la alta Gerencia según sea necesario antes de su implementación.

3.6.4. Monitoreo y revisión Las entidades deben monitorear y revisar periódicamente cualquier cambio en el contexto, de su ambiente de riesgo y de la efectividad y eficiencia en sus controles. De la misma forma, las entidades deben revisar periódicamente, el progreso de la implementación de la opción de tratamiento del riesgo acordada, su efectividad y eficacia. Debe considerarse la pertinencia y posible impacto en los riesgos identificados, se cualquiera de las opciones de manejo que no fueron implementados totalmente. Las entidades deben considerar la participación de expertos independientes en la revisión de las estrategias de control del riesgo de fraude y corrupción, entre ellos, expertos en IT, Jurídico u Compliance. La entidad debe considerar realizar un benchmarking de su propio desempeño en esta área frente a otras entidades que operan en la misma industria. Los beneficios derivados de cada acción deben compararse con los beneficios que tendrán los ajustes necesarios. 3.7. COMUNICACIÓN Y CONCIENCIA 3.7.1. Conciencia sobre fraude y corrupción Todo el personal (sean o no de alto nivel) debe tener una conciencia frente al fraude y corrupción y sobre cómo reaccionar ante una actividad de este tipo sospechosa o detectada. Las entidades periódicamente deben comunicar al staff de forma clara: las definiciones sobre las conductas que constituyan fraude o prácticas de corrupción, las medidas de detección implementadas y una declaración inequívoca sobre la no tolerancia de este tipo de conductas al interior de la organización (política de cero tolerancia). Nota: El fraude y corrupción internos pueden ser detectados mediante la observación, investigación y reporte de los mismos funcionarios, compañeros o colegas de los perpetradores. Igualmente, la forma más probable de detectar una instigación externa es a través de un empleado de la entidad víctima. 3.7.2. La necesidad de una conciencia de fraude y corrupción Un elemento importante de cualquier programa de control de fraude y corrupción es concientizar a los funcionarios (tanto gerentes como no gerentes) de varios aspectos

sobre el riesgo de fraude y corrupción, incluyendo señales de alerta tempranas y cómo reaccionar si existe una sospecha. Es igualmente importante para todos (gerencia y staff) entender claramente los tipos o actividades considere como corruptas o fraudulentas (Véase también la cláusula 3.2. en relación con la necesidad de desarrollar una cultura ética adecuada). El propósito principal del entrenamiento para concientizar del riesgo de fraude y corrupción es apoyar en la prevención y control del fraude aumentando el nivel de conciencia entre todos los empleados. Una proporción significativa de fraudes y prácticas corruptas son causadas por no identificarlos en una fase preliminar debido a la inhabilidad de los funcionarios de la entidad para reconocer las señales de alerta, porque no están seguros de cómo reportar sus sospechas o por falta de confianza en la integridad del sistema de reportes o en el proceso de investigación. 3.7.3 fomentando la conciencia de fraude y corrupción al interior de la entidad Las técnicas de control sobre la concientización del riesgo de fraude y corrupción y la actitud de la entidad para controlar el fraude y la corrupción se fomentarán mediante:

a. Asegurando que todos los empleados reciban entrenamiento respecto al Código de Conducta y a otros elementos relacionados con el marco de integridad de la entidad durante su inducción y durante todo el tiempo que sea empleado de la entidad;

b. Asegurando que todos los empleados reciban un entrenamiento periódico sobre concientización frente al fraude de acuerdo a su respectivo nivel de responsabilidad;

c. Asegurando la actualización de las políticas y procedimientos relacionados con el fraude, del Código de Conducta y de otros pronunciamientos éticos, los cuales deben ser comunicados a todos los empleados;

d. Asegurando que el staff sea consciente de otras formas en que puede reportar acusaciones o preocupaciones relacionadas con una conducta anti-ética46 o fraude.

e. Alentando al staff a denunciar o reportar cualquier sospecha de fraude y corrupción.

Adicionalmente, la conciencia de fraude y corrupción y los estándares de conducta deben ser promovidos mediante reuniones de grupos primarios en las unidades de negocio, o periódicos o publicaciones internas, o mediante la demostración por parte de la Alta Gerencia a través de un acto manifiesto de compromiso constante sobre todas sus relaciones con la entidad.

La Administración debe ser consciente de su obligación legal respecto a los derechos de los trabajadores, como por ejemplo, aquellas que se derivan de la ley federal de privacidad (federal Privacy Act 1988).

46 Refiérase a la Cláusula 4.4. como guía para el establecimiento de otras formas de reporte de sospechas de fraude y corrupción.

3.8. INVESTIGACIÓN DE EMPLEADOS 3.8.1 Implementando un programa de investigación para empleados En el AS 4811-2006 se encuentran aspecto relacionados con el proceso de investigación de empleados e involucra la verificación, con el consentimiento previo del individuo, de la identidad, integridad y credenciales de una persona de confianza. Las organizaciones deben considerar la aplicabilidad de este estándar de acuerdo a sus propias circunstancias, y si se considera adecuado, implementar todas las disposiciones del mismo.47 La investigación de empleados debe realizarse dentro del ámbito de la regulación y con el consentimiento expreso e informado del individuo. La investigación del empleado se realiza para el nuevo personal (incluyendo contratistas) y para todo el personal que es transferido a una posición de la Alta Gerencia o a una posición que sea considerada de alto riesgo, en términos de una potencial exposición al fraude o corrupción. Nota: Una investigación de empleados rigurosa, es considerada como una forma efectiva de reducir la exposición potencial de la entidad frente al riesgo de fraude y corrupción interno. El objetivo de este proceso de investigación es reducir el riesgo de un potencial quebrantamiento a la seguridad y obtener un alto nivel de seguridad sobre la integridad, identidad y credenciales de sus empleados. 3.8.2. Desarrollando una política de investigación de empleados A muchos empleados que han cometido algún tipo de fraude en el lugar de trabajo, se les ha encontrado un historial de conductas deshonestas con anteriores empleadores.48 Se identificó entonces que, prevenir que este tipo de empleados con historiales de conductas deshonestas en el trabajo fueran contratados, reducirá el riesgo de conductas fraudulentas o corruptas. El proceso debe desarrollarse de tal forma que provea una investigación efectiva de empleados o de personas de confianza:

a. Antes de citarlas. b. Durante la promoción o cambio de las circunstancias de un empleado,

principalmente, si la persona va a ser promovida a una posición de alto nivel o a una posición que implique alto riesgo e fraude o corrupción.

c. Antes de completar el período de prueba. Se debe establecer como condición inicial y permanente del proceso de investigación, el requerimiento sobre la honestidad y completa revelación de información.

47 Para los propósitos del AS-2006, una persona de confianza, se define como “un individuo que es o busca ser, empleado dentro de una organización y que le es o le serán confiados recursos y/o activos”. 48 Véase la Encuesta de fraude de KPMG 2006 la cual halló que el 14% de los empleados involucrados en una conducta fraudulenta dentro de una entidad tenían un historial previo de conductas deshonestas con un empleador anterior comparado con un 7% en la encuesta realizada en 2004.

Este proceso debe incluir una revisión sistemática y periódica de:

i. Posiciones con mayor exposición al riesgo. ii. Cualquier cambio en las circunstancias del personal.

Respecto a los cambios en las circunstancias personales del personal de confianza, todos los empleados de confianza actuales o potenciales deberán formar una declaración estableciendo que notificarán a sus empleados cualquier cambio significativo en las circunstancias (tales como, ser acusado por un delito, bancarrota, etc.). Lo anterior, debe ser parte de la declaración anual establecida en la cláusula 3.2 relacionada con el requerimiento de certificar el cumplimiento respecto al código de conducta. 3.8.3 Investigaciones a realizar Se debe incluir el siguiente tipo de pesquisas como parte de la investigación de empleados (esta lista no es taxativa):

a. Verificación de la identidad solicitando por lo menos dos tipos de documento de identidad (pasaporte, certificación de nacimiento o registro civil, licencia de conducción, declaración de renta).

b. Certificado de antecedentes judiciales. c. Referencias de dos empleados actuales, por lo menos – esto requerirá

normalmente llamadas telefónicas de contacto. d. Cualquier consideración sobre vacíos en la historia del empleado y las razones

de los mismos. e. La verificación de las calificaciones anotadas.

Véase el AS 4811- 2006 para mayores particularidades de la investigación de empleados.

3.9. INVESTIGACIÓN DE CLIENTES Y PROVEEDORES 3.9.1. Verificación de clientes y proveedores Las entidades deben seguir para asegurar la buena fe de sus nuevos proveedores y clientes y confirmar periódicamente la buena fe de sus proveedores y clientes continuos. La entidad debe reconsiderar aquellas relaciones comerciales cuyas investigaciones refieran una gran tendencia al riesgo de fraude o corrupción en la transaccional continua con la otra parte. Nota: Existe un riesgo significativo de fraude o corrupción externo en la economía australiana. Puede ser a través de la contratación de una parte mediante la manipulación de la licitación o sistema de contratación o solicitando el pago de comisiones secretas. 3.9.2 Sometiendo a investigación a los clientes y proveedores Mientras que hay una tendencia significativa en Australia de fraude y corrupción instigado por personas internas a la organización, existe una sensación creciente que

las empresas australianas se vuelven cada vez más susceptibles de un fraude instigado por personas externas a la organización. El sector bancario/financiero o asegurador han sido tradicionalmente, los objetivos de perpetradores externos de fraude, lo cual se ha venido extendiendo a otros factores de la economía.49 Adicionalmente, hay una evidencia creciente de la participación del crimen organizado en los ataques de fraude externo en las corporaciones australianos y las agencias gubernamentales. La corrupción perpetrada normalmente por terceras personas, involucra manipulación en las licitaciones o procesos de contratación, mediante el pago de sobornos. El riesgo de fraude y corrupción se reducirá si la entidad sabe o conoce con quién negocia en las transacciones comerciales significativas. Los recientes cambio a la regulación sobre prevención de lavado de activos y financiación del terrorismo alrededor del mundo, han modificado igualmente, los requerimientos en el sentido de exigir mayores investigaciones respecto de otras partes con las que negocia la entidad. 3.9.3. Investigaciones a realizar El proceso debe realizarse de tal forma que provea una investigación efectiva de antecedentes de los proveedores y clientes que pueden representar una ampliación de créditos pre-existente otorgados por la entidad. Si un cliente o proveedor es una corporación, la investigación debe incluir:

a. Los registros de la compañía. b. Confirmación ABN. c. Verificación de los detalles de los directivos. d. Búsqueda de posibles situaciones de quiebra de los directores. e. Búsqueda sobre sanciones de los directivos. f. Calificación crediticia. g. Búsqueda de procesos pendientes o juzgamientos realizados. h. Verificaciones de lista telefónicas. i. Verificación del lugar desde donde negocia. j. Búsqueda en internet.

3.10. CONTRARRESTANDO EL RIESGO DE CORRUPCIÓN 3.10.1 Medidas específicas para contrarrestar el riesgo de corrupción Las entidades deben considerar de forma separada, medidas cuyo objetivo sea controlar el riesgo de corrupción – cuando proviene de agentes externos respecto a empleados u otras personas relacionadas a la entidad como la que proviene de empleados y otros relacionados con la entidad respecto a terceras personas buscando un beneficio para la entidad. Las medidas específicas que se consideren en el programa anti-corrupción deben incluir: 49 Encuesta de fraude KPMG 2006 sección 1.5.

• Un programa de resistencia a la corrupción en donde la entidad realice una fuerte declaración (en términos de conductas corruptas internas o externas) que sea comunicada apropiadamente y que sea aplicada consistentemente a través de toda la entidad.

• Implementando una política de rotación de personal de tal forma haya una menor probabilidad que existan relaciones impropias.

• Requerir “auditorías de proveedores” sobre proveedores de alto riesgo. • Procedimientos de selección o contratación mejorados. • Ampliar los canales de comunicación al interior de la entidad, de tal forma que

los empleados tengan una gama de alternativas para reportar cualquier situación de sospecha sobre conductas corruptas50.

• Ampliar canales de comunicación con clientes, proveedores y otras terceras personas con el fin de alentarlos para que denuncien cualquier tipo de conducta corrupta involucrada con la entidad o cualquier persona relacionada con ella.

3.10.2 Otras guías Una entidad no puede implementar satisfactoriamente una política anti-corrupción con el fin de defender a la entidad en contra de ataques de corrupción por parte de terceras personas mientras que al mismo tiempo está comprometida con actos de corrupción. Transparencia internacional publicó un folleto titulado “Principios de negocios para contrarrestar el soborno – Proceso de 6 pasos de Transparencia Internacional (TI Six Steo Process)51. El folleto proveía una guía basada en 6 principios fundamentales:

• Decidir una política de no-sobornos. • Plan de implementación. • Desarrollar el contenido de un programa. • Implementar un programa. • Monitorear el programa. • Evaluar el programa.

Este documento representa una guía valiosa para el establecimiento del programa con el objetivo específico de corrupción de acuerdo como está contemplado en este estándar.

50 Véase la cláusula 4.4. como guía para la implementación de estrategias alternativas de reportes de fraude y corrupción. 51 http://www.transparency.org/global_priorities/private_sector/business_principles

SECCIÓN 4: DETECCIÓN 4.1. APLICACIÓN Los elementos establecidos en esta sección representan un número de acciones que se deben tomar para incrementar la probabilidad la detección de fraude y corrupción. Para dar cumplimiento a este estándar, se requiere que una entidad implemente cada uno de los mínimos aceptables52 sobre iniciativas de detección apropiadas para la entidad considerando aspectos tales como, tamaño, diversidad, distribución geográfica, perfil de riesgo y el sector de la industria en donde opera. 4.2. IMPLEMENTANDO UN PROGRAMA DE DETECCIÓN DE FRAUDE Y CORRUPCIÓN 4.2.1. Sistemas de detección Las entidades deben implementar sistemas encaminados a la detección ágil del fraude y corrupción, tanto como sea posible luego de su ocurrencia, en el evento en que falle su sistema preventivo. Estos sistemas deben incluir lo siguiente:

a. Revisiones “post-transaccionales”. b. Minería de datos en tiempo real y sistema de análisis para identificar

operaciones de fraude sospechosas. c. Análisis de administración de información y reportes contables.

NOTA: Incluso en entidades que han aplicado un amplio programa de control de fraude y la corrupción, es posible que el fraude o la corrupción se produzca de vez en cuando. 4.2.2. Responsabilidad respecto al programa de detección de fraude y corrupción La responsabilidad para desarrollar los sistemas de investigación y detección de fraude y corrupción debe recaer en un recurso específico para este efecto tal como el Oficial de Control de Fraude y Corrupción53 como se mencionó en la Cláusula 2.4.2. El Oficial de Fraude y Corrupción debe, preferiblemente, trabajar en coordinación con el negocio y auditoría interna en implementación de los planes de acción de los hallazgos identificados en el proceso de evaluación del riesgo, para formular sistemas y procedimientos de detección de fraude y corrupción efectivos (el Oficial de Control de Fraude y Corrupción debe tener la suficiente autoridad para lograr este objetivo). Vale la pena considerar si las iniciativas de detección de fraude y corrupción deben ser comunicadas de forma general a la administración y al staff. Esto puede tener el

52 Véase la Cláusula 1.3. para la distinción entre “mínimos de cumplimiento aceptable” y “guía” provistos por este estándar. 53 El programa de detección de fraude y corrupción de una entidad debe ser facilitado por otra área diferente a la línea de negocio; de acuerdo a lo que sugiere la experiencia, algunas líneas de negocio no tiene un incentivo para detectar el fraude y corrupción o si es detectado, fallan en su persecución.

efecto de proporcionar un elemento adicional disuasivo para los empleados que pueden encontrarse motivados para cometer fraude o para involucrarse en una conducta corrupta. Cada uno de los sistemas descritos en la Cláusula 4.2.1 se considera en más detalle a continuación. 4.2.3. Revisión “post-transaccional” La revisión de las transacciones después de haber sido procesadas puede ser efectiva para identificar la actividad fraudulenta y corrupta. Esta revisión llevada a cabo por personal independiente a la unidad de negocio en donde las transacciones se vean afectadas, puede descubrir documentación faltante o alterada, autorizaciones falsificadas o alteradas o soportes documentales inadecuados. Adicionalmente, la posibilidad de detectar transacciones fraudulentas, estrategia que puede tener un efecto preventivo significativo, así como la amenaza de detección puede ser suficiente para disuadir al personal que, de otro modo, estaría motivado para participar en fraude y corrupción. Por ejemplo, en caso de un fraude de nómina, la revisión de cambios último minuto en las instrucciones de la entidad hacia los bancos, puede identificar números de cuenta duplicados o empleados inexistentes. La revisión de contactos puede indicar irregularidades significativas en relación con la adjudicación de un contrato para un proveedor de servicios o bienes, lo cual puede ser indicativo de una relación indebida entre el contratista y el Gerente de Adquisiciones. 4.2.4. Minería de datos en tiempo real y sistema de análisis Los sistemas de información de una entidad son la fuente de información sobre fraude más importante y, en un sentido restringido, de conductas corruptas. Mediante la implementación de aplicaciones de software y técnicas sofisticadas (y, en algunos casos, relativamente sofisticadas), se pueden identificar una serie de transacciones y luego ser investigadas de tal forma que puedan llegar a identificar tempranamente conductas fraudulentas o corruptas. Por ejemplo, un tipo común de fraude es la facturación falsa, en donde miembros del staff concientes de las debilidades inherentes de control interno, llegan a procesar facturas ficticias de bienes o servicios que no ha provisto a la entidad. Es común para los empleados utilizar su dirección de residencia como dirección de una entidad ficticia en nombre de la cual se emiten las facturas. Con un análisis relativamente simple de los sistemas de la entidad puede identificar los casos en los cuales una misma dirección es grabada o registrada para el supuesto proveedor y un empelado. El mismo proceso puede identificar la misma si dirección está siendo utilizada por dos proveedores, lo cual es puede indicar fraude. Un análisis estratégico computacional puede involucrar técnicas off-line (fuera de línea) y en tiempo real. En las técnicas off-line, la información es extraída del sistema computacional al sistema personal utilizando las aplicaciones de software adecuadas. Esta información es analizada de tal forma que identifique evidencias de fraude o

transacciones corruptas, teniendo en cuenta que el riesgo de fraude y corrupción identificados durante el proceso de evaluación de riesgo descrito en la Cláusula 3.6. Las técnicas de tiempo real involucrarán un análisis de la información activa dentro del sistema. Ejemplos de los sistemas de detección de fraude en tiempo real son aplicaciones de software sofisticado usados dentro de el sistema bancario para detectar el riesgo de fraude en tarjetas de crédito (tanto fraude con tarjetas de crédito o fraude con mercancías) en un período de tiempo corto después de las transacciones fraudulentas, permitiendo el bloqueo inmediato de la cuenta. Otros ejemplos de sistemas en tiempo real son las técnicas de procesamiento de datos que permitan la detección de fraude en seguridad social, lavado de activos o evasión fiscal. 4.2.5. Análisis de administración de información y reportes contables para identificar tendencias Mediante el uso de técnicas relativamente sencillas en el análisis de la de gestión información contable y reportes, se pueden examinar e investigar tendencias que puedan indicar conductas fraudulentas o corruptas. Algunos ejemplos de los tipos de administración de información y reportes contables que se pueden utilizar sobre la base de la comparación y contraste son las comparaciones de presupuesto aprobado vs. Presupuesto ejecutado por centro de costoso individuales, reportes comparando los gastos en relación con el benchmarking del sector y reportes en donde se resalten las tendencias inusuales de malas deudas o deudas de dudoso cobro.

4.3. Papel del auditor externo en la detección del fraude 4.3.1. Trabajo en equipo con la auditoría externa en la detección del fraude Las entidades cuyos estados financieros son auditados, deben estar familiarizados con el papel y las responsabilidades del auditor en la detección del fraude. La Alta Gerencia y/o los Comités de auditoría de las entidades auditadas deben discutir con los auditores, en términos de los procedimientos de auditoría que se llevarán a cabo durante la auditoría con el propósito de detectar inexactitudes materiales en los estados financieros que señalen un fraude o error. 4.3.2 Cambios recientes a las responsabilidades del auditor en la detección del fraude Los cambios recientes de los estándares internacionales y australianos de auditoría han aumentado la responsabilidad de los auditores para la detección del fraude como parte de la auditoría. Estas normas han modificado procedimientos de auditoría, buscando que mediante la auditoría exista mayor probabilidad de detectar errores materiales en los estados financieros debido al fraude (o error). 4.3.3 Impulsando el programa de detección de fraude del auditor externo

Las entidades auditadas deberían adoptar una posición proactiva en relación con el programa de detección del fraude del auditor. Esto incluiría:

a. Hacer énfasis al auditor sobre la filosofía de detección de fraude y corrupción y la importancia de incluir la detección del fraude como parte de la auditoría;

b. Ofrecimiento de todo el apoyo necesario para que el auditor pueda desarrollar una amplia evaluación de este tema; y

c. Consideración interna de los factores de riesgo de fraude establecidos en los estándares de auditoría.54

4.4. MECANISMOS PARA REPORTE DE INCIDENTES SOSPECHOSOS 4.4.1. La aplicación de un programa para el establecimiento de canales de información alternativos Las entidades deben garantizar que se encuentren disponibles para todo el personal, los medios adecuados para la presentación de reportes sobre sospechas o de conductas anti-éticas. En este contexto, la entidad debe considerar una política de notificación obligatoria respecto de conductas sospechosas o confirmadas de fraude o corrupción, mediante uno o más líneas de reporte alternativo. 4.4.2 La necesidad de formalizar un sistema de presentación de informes Es importante que todos los casos de fraude y corrupción detectados en el interior, en contra o por la entidad, según se el caso, sean reportados a la Alta Gerencia. Es importante también que todo el personal asociado a una entidad, cuente con medios alternativos para reportar, asuntos de atención que involucren denuncias de conducta anti- ética o ilegal. Esto implicará que las vías a través de las cuales, los empleados y otros puedan reportar sus sospechas a la Alta Gerencia. Los reportes de de comportamiento que impliquen un posible fraude o corrupción deben ser capaces de ser comunicados a la Alta Gerencia, mediante:

a. Un sistema adecuado para la presentación de reportes casos irregulares o sospechas a través de la estructura organizacional actual (por ejemplo, a la Alta Gerencia a través de la línea jerárquica.

b. Canales alternativos internos. c. Canales alternativos externos.55

4.3.3. Mecanismos alternativos de reporte El objetivo de los mecanismos alternativos de reporte deben asegurar que: a. Las fallas en los sistemas de control del fraude y corrupción actual o potencial sean

rectificados apropiadamente. b. Los Problemas sistemáticos y recurrentes relacionados con los incumplimientos

sean reportados a aquellos con la suficiente autoridad para corregirlos.

54 Estándares de auditoría ASA 240, La responsabilidad del autor para auditar el departamento de finazas. 55 Véase la Cláusula 4.5.

El programa de control de fraude y corrupción deben tener acuerdos de reporte tanto internos como externos. Tantos las líneas de reporte interno como externo deben permitir el anonimato. La información cuya fuente es anónima regularmente es confirmada pero debe ser tratada con el máximo grado de escepticismo hasta tanto su veracidad no sea confirmada mediante una investigación independiente; La Información anónima, en muchos casos, puede justificar una evaluación e investigación preliminar de la evidencia disponible, y una investigación más completa debe proceder solamente si la información recibida de la fuente anónima es soportada apropiadamente como evidencia. 4.5. PROGRAMA DE PROTECCIÓN DEL DENUNCIANTE INTERNO 4.5.1. Implementando una política de protección del denunciante interno Las entidades deben implementar una política para la protección activa de los denunciantes y debe asegurar que la política sea debidamente comunicada y entendida por todo el personal. 4.5.2. Mayores lineamientos en la implementación del programa de protección al denunciante interno Con el fin de promover el reporte ágil de las sospechas y situaciones irregulares, las entidades deben adoptar una política para fomentar la denuncia cuando se tenga conocimiento de conducta fraudulenta o corrupta. El personal debe sentirse en condiciones de reportar directamente un fraude o corrupción a su superior o a la administración y debe tener canales alternativos para estos efectos (Véase la Cláusula 4.4.). Véase el AS 8004-2003 para una mayor guía en la implementación de una política efectiva de protección al denunciante.

SECCIÓN: REACCIÓN 5.1. APLICACIÓN Los elementos establecidos en esta sección representan un número de acciones que se deben tomar para incrementar la reacción o respuesta de la entidad frente a los incidentes de fraude y corrupción detectados. Para dar cumplimiento a este estándar, se requiere que una entidad implemente cada uno de los mínimos aceptables sobre iniciativas de detección apropiadas para la entidad considerando aspectos tales como, tamaño, diversidad, distribución geográfica, perfil de riesgo y el sector de la industria en donde opera. 5.2. POLÍTICAS Y PROCEDIMIENTOS Las entidades deberán establecer políticas y procedimientos apropiados para el manejo de sospechas de fraude o corrupción detectadas a través de sus sistemas de detección o por otras fuentes. Lo anterior incluye el desarrollo e implementación de:

a. Medidas apropiadas para una investigación amplia de estos asuntos basados en los principios de independencia, objetividad y las normas de justicia natural.

b. Sistemas por porte interno pata todos los incidentes detectados. c. Protocolos de reporte de asuntos relacionados con sospechas de fraude o

corrupción dirigidos a las autoridades competentes. d. Políticas para la recuperación de fondos o propiedad de los bienes que fueron

robados.

5.3. INVESTIGACIÓN56 5.3.1. La necesidad de tener recursos calificados para la investigación La investigación de una sospecha de fraude y corrupción debe ser conducida por personas con las habilidades y experiencia apropiada, quienes son independientes de la unidad de negocio en la que se haya denunciado que ha ocurrido la conducta fraudulenta y corrupta. Esta área o funcionario independiente debe ser una autoridad competente (ente de control), un gerente o una persona de alto jerarquía dentro de la entidad misma o un consultor externo que opere bajo la dirección de un funcionario independiente de alto nivel dentro de la entidad.

56 Las agencia del Gobierno Federal deber referirse a los lienamientos de Control De Fraude del Commonwealth - Commonwealth Fraud Control Guidelines – (Guideline 4) y el estándar australiano de Investigación Gubernamental (Australian Government Investigations Standard)

5.3.2. RECURSOS PARA LA INVESTIGACIÓN EXTERNA Si una parte externa se encuentra comprometida a apoyar en la conducción de una investigación, todas las personas comprometidas deben ser calificadas para este fin, en términos de calificaciones formales y experiencia, para llevar a cabo el trabajo contemplado. Es importante también que cualquier investigación se encuentre acorde con las prácticas aceptadas dentro de la respectiva jurisdicción y cualquier persona que conduzca una investigación sea una persona aceptada dentro de la jurisdicción(es) en la(s) que se lleve a cabo la investigación. Una práctica aceptable se refiere a ofrecer un trato correcto, justo y equitativo respecto a la persona investigada, de tal forma que los derechos del sospechoso no sean vulnerados. Eso significa también, que las evidencias obtenidas de cualquier fuente durante el curso de una investigación, cumplan con los requerimientos legales con el fin de garantizar la suficiencia de la evidencia para apoyar los cargos que resulten. Las investigaciones deben ser conducidas de cauerdo con los siguientes principios:

a. Se debe requerir a las partes externas que se encuentren comprometidas para conducir una investigación en nombre de una entidad, una acuerdo de confidencialidad relacionado con la información que por el ejercicio de sus funciones y el desarrollo de la investigación pueda llegar a conocer. Los Consultores externos necesitan un expertise apropiado para la conducción de una investigación. Así mismo, también necesitarán tener acceso a otros recursos para manejar inquietudes técnicas o asuntos jurídicos que pueden surgir.

b. Cualquier investigación y los procedimientos disciplinarios resultantes deben ser conducidos en una atmósfera permanente de transparencia, asegurando que las reglas de la justicia natural se cumplan.

c. Los principios rectores de cualquier investigación en un presunto caso de conductas impropias son la independencia y la objetividad.

d. Una investigación debe cumplir con la legislación aplicable en la jurisdicción en donde la acción se vaya a iniciar o pueda iniciarse.

e. Documentación y registros adecuados deben realizarse y conservarse para todas las investigaciones. Estos registros deben conservarse de acuerdo a las exigencias legales, mejores práctica y lineamientos respecto al manejo de información confidencial.

f. Las entidades que lleven a cabo una investigación sobre las denuncias de conductas indebidas deben asegurar que la información que surja de, o que sea relevante para, la investigación no se encuentre diseminada y accesible para las personas que no requieran por su descripción de puesto recibir dicha información.

g. Las investigaciones involucrarán potencialmente las siguientes actividades investigativas:

i. Entrevistas a los testigos relevantes incluyendo declaraciones escritas, y cuando sea apropiado incluir testigos internos y externos a la entidad.

ii. Revisar y recolectar la evidencia documental iii. Análisis forense de los sistemas de cómputo iv. Evaluación de las grabaciones de llamadas. v. Requerir a los demás bancos o instituciones financieras (sujeto a la

obtención de las debidas órdenes judiciales). vi. Requerir a terceras personas. vii. Búsqueda de información y confiscaciones viii. Testimonios de especialistas y peritos ix. Descurbimiento de fondos, activos y bienes. x. Preparación de descripciones de la evidencia xi. Establecer una alianza con la policía u otros entes de control o

reguladores. xii. Entrevistas con personas sospechosas de estar involucradas en el

incidente de fraude y corrupción. xiii. Preparación del reporte.

h. Cualquier investigación de una conducta impropia dentro de la entidad debe

estar sujeta a un nivel apropiado de supervisión por un Comité responsable dentro de la entidad, considerando la seriedad de los asuntos bajo investigación. En los casos más serios, se contempla que un Comité de alto rango será el Comité de Auditoría, Comité de Ética o la Junta Directiva.

5.4. REPORTES INTERNOS Y LÍNEAS DE ELEVACIÓN DE REPORTES 5.4.1. Recolectando información relacionada con los incidentes de fraude y corrupción Las entidades deben desarrollar e implementar un programa para la captura, reporte, análisis, escalonamiento de los incidentes de fraude y corrupción detectados. Este programa debe buscar asegurar que los incidentes de fraude y corrupción que ocurran con o sin el conocimiento de la Alta Gerencia sean reportados. La entidad debe establecer un registro de fraude y corrupción y asegurar que todos los incidentes que ocurran (estén sujetos al mínimo umbral de reporte). 5.4.2. Registros de incidentes de fraude y corrupción El registro de incidentes de fraude y corrupción debe ser administrado por el Oficial de Control de Fraude y deberá incluidos la siguiente información en relación con cualquier incidente de fraude o corrupción susceptible de reporte:

• Fecha y hora del reporte. • Fecha y hora en que el incidente fue detectado. • Cuál fue la fuente del reporte (cómo salió a la luz) a la administración (ej.

Reporte anónimo, reporte normal, reporte de un proveedor. • La naturaleza del incidente. • El Valor de la pérdida (si hay). • Las acciones tomadas después de descubrir el incidente.

5.4.3. Programa de análisis y reporte de incidentes de fraude y corrupción Una entidad debe llevar a cabo un análisis de incidentes reportados y periódicamente, informar o reportar las tendencias a un órgano de revisión apropiado (ej. Comité de Auditoría, Comité de Ética o Junta Directiva). Los reportes anuales deben indicar las acciones que se han tomado para reducir el nivel de fraude en general. 5.5. PROCEDIMIENTOS DISCIPLINARIOS 5.5.1. Procedimientos disciplinarios Una entidad debe asegurar que su propio Manual de Recursos Humanos (o cualquier otra guía) incluya puntualmente los procedimientos disciplinarios que deben realizarse. 5.5.2. Implementando una Política de procedimientos disciplinarios El resultado final de un procedimiento disciplinario puede involucrar amonestaciones, terminación, degradación, finalización o reducción del cargo de un empleado o de cualquier otra persona interna. Un elemento importante de la política será la aplicación de las reglas de la justicia natural y la imparcialidad. 5.5.3. Separación de la investigación y el proceso de decisión Es importante separar la investigación del proceso de determinación o decisión en relación con los incidentes de fraude y corrupción, Los resultados de la investigación deben poner en conocimiento de las personas responsables de tomar las decisiones sobre las medidas disciplinarias. Esta responsabilidad puede recaer en una persona Senior o en un pequeño Comité que puede tomar la decisión sobre la base de las evidencias y después aplicar la política de procedimientos disciplinarios. 5.6. REPORTES EXTERNOS 5.6.1. Implementando una política para manejar los reportes externos de fraude y corrupción Las entidades deben asegurar que tienen un apolítica sobre si y cómo se debe realizar (y si es conveniente) una denuncia sobre fraude y corrupción a la policía o a las autoridades competentes57, o a otros entes reguladores (por ejemplo, como sea identificado en la regulación) Cuando se encuentra una evidencia de fraude y corrupción respecto a una denuncia o una serie de denuncias, la entidad debe llevar a cabo un proceso formal de análisis para determinar cuándo un asunto debe ser necesariamente puesto en conocimiento de las autoridades competentes par a su investigación y así, potencialmente realizar una investigación penal.

57 La obligación legal de denuncia varía de jurisdicción a jurisdicción en Australia – en algunas jurisdicciones, la denuncia es obligatorio y en toros es opcional.

5.6.2. Formatos de reporte dirigidos a autoridades competentes Como mínimo, las entidades deben proveer los siguientes puntos a las autoridades (la entidad debe buscar que las autoridades sean las que establecen la forma como deben ser reportados estos asuntos)58:

• Resumen de la denuncia. • Lista de testigos o potenciales testigos. • Lista de sospechosos o potenciales sospechosos. • Copias de las declaraciones o manifestaciones obtenidas hasta ese punto

incluyendo en particular, cualquier declaración escrita hecha por el sujeto de investigación.

• Una copia de la transcripción de cualquier entrevista realizada con la persona sospechosa.

• Una copia de cualquier medio electrónico en que se haya registrado o grabado la entrevista.

• Copias de la evidencia documental obtenida hasta ese momento, en cuyo caso las copias deben ser retenidas por la entidad.

• Cualquier organigrama o diagrama que resuma la denuncia y la evidencia que la entidad haya producido.

5.6.3. Compromiso de dar cumplimiento a la ley En el evento en que la decisión se llevar a la autoridad competente el caso, la entidad debe comprometerse con la autoridad a proporcionar toda la asistencia razonable que requiera para conducir la investigación de forma integral y apropiada. Esto puede incluir el compromiso de la entidad con ayudar a la investigación con recursos financiera o de otra índole en coordinación o independientemente de la autoridad. 5.7. ACCIONES CIVILES PARA LA RECUPERACIÓN DE PÉRDIDAS Las entidades deben asegurar que tiene políticas que incluyan las acciones pertinentes cuando haya evidencia del fraude y corrupción y cuando los beneficios de tomar esas acciones superen los fondos que se emplearán con esa medida. 5.8. REVISIÓN DE LOS CONTROLES INTERNOS 5.8.1. Revisión de control interno siguiendo los incidentes de detección de fraude y corrupción En cada instancia en donde el fraude sea detectado, el Oficinal de Control de Fraude (si es apropiado. Refiérase a los lineamientos para el desarrollo del Plan de Control de Fraude en la cláusula 2.2. la cual provee una guía para el nombramiento de este oficial) y la administración deben reevaluar si el ambiente de control interno es adecuado y considerar cuando requiere una mejora. Cuando se requiera un mejoramiento, éste se debe implementar lo antes posible.

58 Derivado del Commonwealth Fraud Control Guidelines.

5.8.2. Responsabilidad respecto de la revisión de control interno La responsabilidad de asegurar que el ambiente de control interno sea reevaluado y asegurar que las recomendaciones que surjan sean implementadas debe ser establecida previamente. Un resumen sobre las recomendaciones y requerimientos para la modificación del ambiente de control interno debe ser remitidos al gerente del departamento correspondiente. 5.9. SEGUROS – CONSIDERACIONES SOBRE LA NECESIDAD DE ADQUIRIR SEGUROS DE FIDELIDAD Las entidades deben considerar mantener políticas relacionadas con los seguros de fidelidad de empleados /sujetos al análisis de costo/beneficio) que asegure a la entidad frente al riesgo de pérdida derivado de na conducta fraudulenta interna. Los seguros por conductas externas de fraude y corrupción deben mantenerse igualmente incluidos de la forma más apropiada en los seguros contra robo a la propiedad de la entidad. Los seguros para la administración del riesgo de fraude corrupción y robo de la propiedad de la entidad deben mantenerse como parte del programa de seguros de la entidad e incluir una consideración sobre el nivel de cobertura, inclusiones, exclusiones y deducibles.

FRAUD AND CORUPTION CONTROL

Documents

Transcript of FRAUD AND CORUPTION CONTROL