Análisis de datos. Herramienta para la prevención del fraude y aplicación de las políticas corporativas

Revista Nº 66 Abr.-Jun. 2016

Víctor Padilla* 

Arturo Lara** 

(México) 

*Magíster en administración de empresas 

Examinador de fraudes certificado 

Administrador de base certificado Oracle 

**Auditor en la Universidad Nuevo León, Monterrey 

MBA por Texas a&M International University en Laredo, Texas USA 

Certificado en COBIT Foundations por Isaca 

Resumen

La dinámica de negocios y el gran volumen de transacciones que gestionan las empresas, por la facilidad que proporcionan las tecnologías, que integran sus sistemas de información, hacen que estas enfrenten nuevos retos para la detección y prevención tanto de fraudes como de abusos. Por lo que el análisis de datos se ha constituido como una respuesta eficiente a este reto. Por lo tanto, empleo de herramientas que puedan analizar grandes cantidades de datos, así como configurar alertas tempranas de hechos irregulares, es sin duda un recurso que debe estar a la mano de las empresas.

Palabras clave:

Análisis de datos; Fraude; Indicadores; Políticas corporativas; Prevención de fraude.

Contenido

Introducción

1. El análisis de datos en comparación con los enfoques basados en auditorías

2. Manera como funciona el análisis de datos

3. Una poderosa herramienta para gestionar el riesgo en el extranjero

4. Una amplia gama de beneficios

5. El análisis de datos y los indicadores

6. Caso de estudio

Conclusiones

Bibliografía

Introducción

Para cada compañía, el análisis de datos puede ser un arma clave en el arsenal de la lucha contra el fraude. La verdad de las operaciones de cada empresa se encuentra en sus datos. Mediante el uso de técnicas de análisis de datos, las empresas pueden utilizar estos datos para identificar indicios de fraude y desarrollar medidas preventivas para minimizar el riesgo de futuros incidentes de fraude.

El combate al fraude nunca había sido tan importante. Las empresas están bajo una creciente presión para mejorar la eficacia y transparencia de sus prácticas de gobierno corporativo. Los escándalos financieros a gran escala de la última década, las regulaciones gubernamentales, tales como la Ley Sarbanes-Oxley del 2002, la Ley Dodd Frank y la Ley de Prácticas de Corrupción en el Extranjero (FCPA, por sus siglas en inglés), así como el creciente escrutinio del comportamiento de las empresas por el público en general, son factores que impulsan a las empresas a mejorar sus esfuerzos para enfrentar y controlar el fraude.

Identificar, controlar y, en última instancia, disuadir el fraude, puede ser un reto por distintas razones:

• No existe un proceso o control de negocio perfecto. Usted necesita pruebas efectivas y la aplicación de mecanismos para apoyar a su entorno de control.

• Para el cumplimiento de los objetivos organizacionales, los recursos deben ser asignados con eficacia. A través de todas las áreas de operaciones, las empresas deben hacer más con menos para competir hoy. Su entorno de control no es una excepción. Los análisis de datos pueden ayudarle a aprovechar su infraestructura de tecnología con el objeto de identificar el fraude y protegerlo de una manera más rápida y eficiente.

• La presión para desempeñar y cumplir con ciertos parámetros, puede motivar a los empleados a comportarse correctamente. No todo fraude comienza con un empleado que busca robar a la compañía. La consecuencia involuntaria de algunas estrategias de medición de desempeño, puede ser una motivación para que los empleados traten de jugar con el sistema ejecutando acciones inapropiadas.

• La colusión es difícil de identificar y aún más de probar. Cuando alguien dentro de la organización decide cooperar en un fraude con un tercero, puede ser difícil de aislar e identificar dicho comportamiento, especialmente si la parte involucrada tiene algún conocimiento de su entorno de control. El análisis de datos puede ayudar a identificar esta situación.

• No importa qué tan eficaz sean sus controles o qué tan fuerte sea su cultura corporativa, siempre puede haber un empleado que se incline al fraude.

1. El análisis de datos en comparación con los enfoques basados en auditorías

Entonces, ¿cómo ayuda el análisis de datos? Los controles internos tradicionales se apoyan en un enfoque de auditoría orientada, ya sea mediante la realización de los procedimientos típicos de una auditoría interna, o en respuesta a una sospecha de fraude; los auditores a menudo se apoyan en una metodología de muestreo estadístico. Por tal motivo, ellos no ven todos los datos y tienden a centrarse en las transacciones más grandes, o aquellas en las que perciben un mayor riesgo. Dicho enfoque significa que grandes cantidades de datos rara vez se consideran. Los estafadores suficientemente inteligentes para llevar a cabo sus actividades irregulares en pasos pequeños, y de una manera que no aparecen inherentemente riesgosos, podrían evitar la detección por años y como resultado apropiarse indebidamente de sumas enormes.

En contraste con los métodos tradicionales, el análisis de datos, de manera general, no se apoya en muestreos de documentos. En cambio, en la mayoría de los casos, el uso eficaz de técnicas forenses de análisis de datos, ofrece la posibilidad de analizar la totalidad de la población de los datos electrónicos disponibles para un escenario dado, y busca conexiones u otras características inusuales que podrían indicar presencia de fraude, lo que le permite centrarse en las transacciones de alto riesgo para desarrollar un análisis más detallado.

Ciertos tipos de transacciones tienen niveles más altos de riesgo inherente y son candidatos para un análisis más detallado. Entre estos tipos de transacciones se pueden encontrar:

• Los pagos a proveedores de mayor riesgo.

• Los gastos de reembolso al personal de desarrollo de negocios que trabajan con funcionarios del Gobierno nacional o internacional.

• Los pagos realizados desde y hacia cuentas bancarias en el extranjero.

• El uso de nuevos abogados, contadores, consultores y otros profesionales sin relación previa con la empresa, incluyendo los pagos fuera de la norma relativa a los patrones históricos de dichas entidades.

• Transacciones de pagos sospechosos, como los servicios prestados sin un apoyo adecuado, donaciones, gastos de entretenimiento de lujo, regalos, gastos de facilitación, viajes con propósito comercial indocumentado o sin aclaración, etc.

• Los pagos hechos para entretener al personal que es parte de un gobierno que pueda constituir un soborno.

• Las transacciones que se alejan ampliamente de las normas —que podría ser una transacción por su monto que no encaja en la cantidad habitual dependiendo de su destinatario o su categoría.

• Las entradas de diario a la cuenta de efectivo, con grandes movimientos atípicos o poco frecuentes. Esto puede indicar alguien conectando una cuenta contable menos examinada para forzar conciliaciones de efectivo con el objetivo de ocultar un esquema de defraudación de fondos.

• Las entradas de diario de alto rango para incrementar el ingreso, especialmente en las que se observaron características inusuales adicionales, tales como el momento de registro, cantidades en pesos redondeados para indicar estimados, etc.

• Las entradas de ajuste manual registradas por el nivel corporativo, usualmente elaboradas cuando se preparan los estados financieros consolidados para subsidiarias. Aunque dichas entradas pueden ser válidas, así también pueden ser utilizadas para cometer fraude al presentar incorrectamente una imagen más favorable de los resultados operativos reales notificados a las entidades públicas y a otros inversionistas que se basan en los estados financieros de la compañía para invertir en la misma. El incentivo para cometer dicho fraude puede ser por una ganancia personal vía a un bono, aumento de sueldo, aumento de puesto, o además solo para continuar con un cargo, cuya permanencia se condiciona con el rendimiento.

El análisis de datos puede soportar su debida diligencia al momento de una fusión o adquisición. Después de todo, usted no solo adquiere la compañía sino también adquiere sus pasivos, incluyendo las consecuencias de cualquier fraude o acciones inapropiadas. Además, junto con cualquier otra área del negocio, el aspecto impositivo en este tipo de operaciones puede tener mucha importancia, ya que es posible ser acreedor de serias penalidades y consecuencias fiscales por falsificar pagos dudosos registrados en sus libros o en sus archivos.

2. Manera como funciona el análisis de datos

La forma más fácil de ilustrar el poder del análisis de datos es con el ejemplo. Considere el tema de la colusión. Esto puede ser muy difícil de detectar y probar. Supongamos que un empleado dentro de la empresa decide colaborar con una persona que trabaja para un proveedor, con el objeto de elaborar un plan en colusión con el proveedor y tener un ingreso indebido.

El empleado sabe que las cantidades pagadas en dicho plan deben mantenerse por debajo de un cierto límite para evitar la necesidad de aprobación por parte de los niveles superiores y llamar la atención de la auditoría interna. El proveedor ya está instalado en su sistema como un beneficiario aprobado. Así, el empleado arregla una segunda cuenta para dicho proveedor y elabora pagos regulares que son enviados a una dirección separada con el fin de no ser detectada por los controles del proveedor. Después, el colaborador recoge dichos pagos. Estos son el tipo de planes o arreglos que los controles internos tradicionales no ven.

A través del análisis de datos, no obstante, indicadores de un fraude como este tipo pueden ser descubiertos. Las transacciones y otros datos extraídos de los sistemas fuente pueden ser analizados para marcar cuentas con más de una dirección de pago. Además, en este tipo de arreglos o planes donde los empleados crean una cuenta adicional para un proveedor, dicha cuenta es usualmente utilizada solo para pagos fraudulentos, por tal motivo, los pagos dudosos son ligados a las facturas con características inusuales incluidas pero no limitadas a los números de factura consecutivos, a los cambios en los patrones de la estructura de la nomenclatura de las facturas y a las variaciones substanciales de las cantidades históricas de las mismas pagadas al proveedor.

Un investigador forense entrenado puede utilizar el análisis de datos para segregar y obtener un rango de facturas y pagos con características inusuales por nivel de riesgo para una inspección posterior.

¿Esto quiere decir que cada cuenta con varias direcciones y que paga de manera consistente la misma cantidad o que presenta otras características inusuales es fraudulenta? Por supuesto que no. Es posible que usted haya empezado a hacer negocios con un proveedor existente, pero en un lugar diferente, o puede haber llegado a un acuerdo de consultoría que exige pagos trimestrales de una cantidad fija.

El punto es que sus datos pueden ser revisados por un forense para descubrir patrones que se asocian con mayor frecuencia con un fraude, generando un examen más detallado. Parte de ese examen puede ser automatizado y reportado casi en tiempo real. Por ejemplo, a través de pruebas de datos conjuntos, la dirección y teléfono de la cuenta del proveedor sospechoso puede ser comparada con la misma información de sus empleados. Si se encuentran elementos similares en los datos, usted podría proporcionar automáticamente una alerta a un funcionario designado para determinar si la relación de los empleados y proveedores está en conformidad con la política de la empresa.

Un enfoque más exhaustivo para una estrategia de análisis de datos implica el acceso de los registros públicos externos para revisar las características específicas de los datos proporcionados por los proveedores y los empleados. Por ejemplo, las direcciones de los proveedores pueden ser comparados con las bases de datos públicas para determinar si una dirección es residencial o comercial, si los ocupantes de la dirección cambian con frecuencia, o si la dirección se encuentra como disponible, inválida, o le falta el número de unidad u otra información.

Los números telefónicos de los proveedores pueden ser comparados con datos públicos para determinar si el número de teléfono es válido y para verificar si existen otras discrepancias, como un número telefónico que aparece en una casilla postal, si es un número telefónico móvil o de celular; o si una línea fija terrestre no coincide con el código postal de los proveedores.

La información recopilada automáticamente desde el internet, a través de técnicas de recolección de datos, se puede utilizar para comprobar si existen problemas tales como: si las direcciones de los proveedores y de los empleados o números telefónicos han sido reclamados por otras entidades con diferentes nombres en el pasado recientemente.

Considere la siguiente situación. Supongamos que ha encontrado todas las siguientes características de temas relacionados con un proveedor activo que recibe pagos sustanciales:

• El único número de contacto que tiene en su archivo para el vendedor es un número móvil.

• El código postal de la dirección proporcionada por el vendedor no existe de acuerdo con las tablas del servicio postal.

• Las facturas asociadas con el vendedor muestran características inusuales, tales como inconsistencias en la codificación de los números de la factura.

Claramente, estaría usted preocupado. Estos son solo los tipos de elementos que los análisis de datos pueden descubrir, y que podrían ser pasados por alto por las medidas tradicionales de control interno basados en auditoría. El uso de análisis de datos para examinar la información pública relevante y del análisis forense de los datos internos, pueden ser una herramienta poderosa para detectar y prevenir el fraude.

3. Una poderosa herramienta para gestionar el riesgo en el extranjero

Las mejoras en las capacidades de prevención de fraude, inherentes al análisis de datos, pueden ser particularmente útiles para las empresas especialmente con un entorno global. Ciertas actividades consideradas ilegales bajo la ley de Estados Unidos, en particular bajo la Foreign Corrupt Practices Act, FCPA, podrían considerarse como algo normal en otras regiones del mundo. Estar conscientes sobre la posible exposición hacia la FCPA y sus penalidades substanciales, debe ser comunicada de manera proactiva y clara a su personal mientras realiza negocios de manera directa o a través de intermediarios en los mercados extranjeros.

Las leyes estadounidenses no son las únicas que persiguen este cometido. Por ejemplo, la Ley Antisoborno del Reino Unido del 2010 a menudo se puede aplicar a las empresas estadounidenses con conexiones con el Reino Unido, y sus disposiciones, en algunos casos, son incluso más estrictas que las de FCPA.

Parte del efectivo cumplimiento de la FCPA y otras leyes pertinentes, es un entendimiento a escala macro de donde sus riesgos residen. En muchos mercados extranjeros, industrias como la energía, la salud y el transporte tienen un alto nivel de participación por parte del gobierno o incluso son propiedad de los mismos. Debido a que las violaciones que establece la FCPA implican a menudo la corrupción u otras interacciones inapropiadas con funcionarios del gobierno, tales industrias llevan un mayor nivel de riesgo.

El cumplimiento de las reglas de la FCPA y otras locales puede ser especialmente difícil para las empresas medianas que hacen sus primeras incursiones en un mercado extranjero. A menudo se acercaban a los funcionarios locales u otros contactos con los esquemas que se representan como la forma normal de hacer negocios en ese mercado y que puede ser verdad, pero si la forma normal de hacer negocios es una violación de la FCPA u otra ley aplicable, por ende, la actividad sigue siendo ilegal.

Contar con los datos correctos en primer lugar es vital para que funcione el análisis, y esto puede ser especialmente cierto en los mercados extranjeros. Sin embargo, aunque usted quiera recolectar la información necesaria sobre los empleados, proveedores y clientes para hacer el trabajo de análisis de datos, también hay que considerar cuidadosamente las leyes de privacidad aplicables en cada país.

Las empresas también tienen que entender que no pueden evadir la responsabilidad de la FCPA mediante el uso de intermediarios u otras relaciones con terceros. Es probable que se termine involucrado en cualquier fraude, soborno u otra actividad inapropiada que terceros hagan a nombre de la entidad. El análisis de datos puede ser útil mientras refuerza la aplicación de sus políticas corporativas para cubrir dichas partes y sus actividades.

El cumplimiento que exige la FCPA es un problema grave. Las sanciones por violaciones que emite la FCPA pueden llegar a los millones de dólares. Se podrían incluso perder los privilegios de exportación o la capacidad de hacer negocios con el gobierno federal. Y las consecuencias legales para los individuos involucrados también pueden ser muy graves. El análisis de datos puede ayudar en este aspecto.

4. Una amplia gama de beneficios

Hemos descrito algunos ejemplos de cómo funciona el análisis de datos. A continuación se presentan algunas de las principales formas como se puede fortalecer la estrategia global de cumplimiento corporativo:

Es más eficiente. El proceso puede ser altamente automatizado y se puede ampliar el alcance de sus esfuerzos de control interno más allá del muestreo estadístico, con el fin de incluir todos los datos.

Es más eficaz. Debido a que el análisis de datos abarca esas transacciones que más necesitan de su atención, el personal pasa menos tiempo buscando las transacciones que son poco probables que sean un problema y más tiempo en aquellas que pueden ser fraudulentas.

Identifica oportunidades de mejora. El análisis de datos puede ayudar a resaltar las debilidades actuales en las normas de funcionamiento y entorno de control. Obviamente, da la oportunidad de evaluar los problemas que hicieron posible los fraudes anteriores. Pero, también puede ayudar a identificar actividades sospechosas, que incluso pueden resultar no ser fraudulentas; puede ayudar a considerar si esos procedimientos o controles subyacentes a dichas transacciones deben ser modificados antes de que sean explotados con fines fraudulentos.

No solo fortalece los controles, envía un mensaje claro a los trabajadores de la entidad. La mayoría de los empleados son buenos, trabajan para buscar construir carreras y ayudar a su empresa. Pero una parte importante de cualquier programa de prevención del fraude es el envío de un mensaje fuerte para los empleados que podrían considerar cometer algún acto fraudulento. Al hacer claro que ahora se están evaluando todos los datos, los empleados son menos propensos a pensar que pueden evitar la detección solo por parámetros de control conocidos.

Se puede incluso poner orden a ciertas prácticas que se pueden catalogar como derrochadoras. Por ejemplo, ¿esas múltiples cuentas de proveedores? Tal vez no se abrieron para perpetrar el fraude, tal vez solo se hizo debido a que usted no tiene procedimientos claros alrededor de cómo establecer, documentar y controlar sus actividades, tales como el control de los pagos duplicados con cada proveedor. Los desperdicios podrían no ser un delito, pero pueden ser igualmente destructivos para su cuenta de resultados.

La amplitud de los datos recolectados, por los sistemas actuales de TI, es asombrosa. Las empresas deben aprovechar los datos disponibles mediante su adecuado análisis para aumentar la eficacia de su lucha contra el fraude y los esfuerzos de cumplimiento corporativo. Una estrategia de análisis de datos bien diseñada puede fortalecer los controles internos, ayudar a cumplir mejor las políticas corporativas, puede gestionar de forma proactiva los riesgos en una economía cada vez más globalizada, puede identificar los desperdicios y mejorar los procesos de negocio existentes.

5. El análisis de datos y los indicadores

El análisis de datos ayuda a los administradores de riesgo a detectar comportamientos en transacciones o eventos que están sucediendo en el momento o un período posterior muy corto por medio de comparar la estructura o característica de estas operaciones contra un estándar preestablecido, también llamados parámetros, lo que permite generar indicadores que sirven para alertar de posibles irregularidades de fraude. Esto permite que los departamentos encargados de aseguramiento puedan reaccionar de forma pronta y expedita aplicando protocolos de detección y contención de fraudes en proceso o a punto de llevarse a cabo.

Por lo tanto, un indicador que consiste en una medida explícita utilizada para determinar el desempeño irregular de una operación, genera una señal que revela el progreso de acciones que pueden constituir irregularidades; el indicador es un medio para medir lo que realmente sucede en comparación con una operación lícita y autorizada por la empresa.

En otras palabras, un indicador alerta de la exposición a un riesgo de fraude, por lo que los indicadores que arroja el análisis de datos ayudan a:

• Generar métricas usadas para monitorear la exposición a un riesgo de fraude identificado a través del tiempo.

• Implementar medidas correctivas de fondo, de tal manera que se pueda determinar si realmente fueron efectivas al valorar si los incidentes van realmente a la baja.

• Generar estadísticas que permitan identificar correlaciones entre eventos externos e internos con transacciones irregulares.

Para hacer un efectivo análisis de datos basado en parámetros, estos se deben definir en forma objetiva o cuantitativa, como son: horas de captura de facturas, valores de transferencia, fechas y horarios permitidos para autorizar compras de divisas, máximos y mínimos del valor de una operación, entre otros. Los parámetros subjetivos como actitud de un vendedor, signos de riqueza no justificada por un empleado, son parámetros que difícilmente son detectados con analizadores de datos.

Los parámetros objetivos los podemos dividir en financieros y operacionales.

Ejemplos de los de tipo financieros son:

• Crecimientos injustificados de activos como inventarios.

• Tendencias irregulares, como por ejemplo en el nivel de un gasto en específico.

• Crecimientos o disminuciones abruptas en la relación que hay entre dos saldos de la contabilidad, como por ejemplo el costo de ventas en relación con las ventas.

• Rotaciones lentas, como por ejemplo, en las cuentas por cobrar que puede ser indicador de un fraude en los cobros a clientes.

• Apalancamientos inusuales en pasivos, por ejemplo, el crecimiento de las deudas con acreedores diversos que no tienen nada que ver con el capital de trabajo.

• Contraposiciones, por ejemplo, baja en ventas y alza de comisiones.

Los otros parámetros, no menos importantes, son los operacionales, algunos de ellos son:

• Tiempos y movimientos, por ejemplo, desplazamientos más lentos de productos terminados para la venta.

• Movimientos logísticos inusuales, incrementos en fletes y maniobras, por ejemplo.

• Desperdicios mayores a los estándares, como por ejemplo en recortes a placas de acero, o desperdicio que arrojan los tornos al hacer piezas con materias primas basadas en metales como bronce y cobre.

• Velocidad de consumo de materia prima mayor a la velocidad de producción del producto final, como ejemplo consumos de plástico mayor al que indica una estructura de materiales para inyección de válvulas plásticas.

• Degradación excesiva de primeras a segundas (calidad del producto), ejemplo piezas de ropa que tienen defecto se venden a un precio inferior a otro tipo de clientes. Sin embargo, le venden en forma corrupta piezas sin defecto como si en realidad lo tuvieran.

• Compras o ventas inusuales asociados a cambios de precios exagerados y no indexados a la realidad del mercado. Un producto ligado a una moneda extranjera por su materia prima, la divisa no presenta ningún cambio y el precio de compra se está incrementando 30% en algunas operaciones.

Es importante identificar las características de un indicador objetivo, estas regularmente son:

• Que se pueda generar a partir del sistema de información actual y formal (fuente).

• Que esté estandarizado y pueda determinarse automáticamente por rutinas de análisis de datos.

• Que se encuentre definida su fórmula o procedimiento de cálculo con base en las operaciones analizadas.

• Que se encuentre definida su interpretación, es decir, que se pueda determinar con certeza cómo interpretarse y las limitaciones inherentes que tiene.

• Que tenga la posibilidad de ser comparado a través del tiempo para analizar su tendencia. Por ejemplo, el consumo de combustible de un camión mes por mes en relación con los kilómetros reportados por su sistema GPS, o en un punto del tiempo comparado con unidades iguales como gastos de viaje de los diferentes vendedores o gastos de mantenimiento de las diferentes sucursales.

• Que se pueda comunicar como alerta para accionar oportunamente.

Existen diferentes tipos de indicadores que se pueden determinar dependiendo de las necesidades de investigación que determine el analista, estos indicadores, de acuerdo con el momento en que se calculan, los clasificamos en:

Alertas: estos indicadores se calculan analizando transacción por transacción. Son muy útiles ya que entregan información prácticamente en tiempo real, gracias a que existen interfaces eficientes entre el analizador de datos y las aplicaciones administrativas y operativas.

Prácticamente son alertas robóticas. Son ideales para integrarse al monitoreo continuo. Como ejemplo tenemos las alertas obligatorias para investigar operaciones que pudieran darse con recursos ilícitos, como lo establece la regulación de prevención de lavado de dinero.

Periódicos: estos indicadores se calculan analizando transacciones contenidas en un período de tiempo determinado, como semana o meses, aun cuando pueden ser períodos más largos. Se emplean para detectar situaciones no tan críticas como las alertas, sin embargo, son útiles para analizar operaciones que tienen sentido al ser analizadas en su conjunto, para detectar excepciones respecto de una banda de tolerancia determinada con base en el promedio calculado de la población.

Como ejemplo tenemos los gastos de mantenimiento del equipo de transporte hechos cada trimestre unidad por unidad y comparado entre el promedio de todas las unidades. Posiblemente los más alejados del promedio requieran una investigación especial.

Bajo demanda: estos indicadores aunque ya estén diseñados solo se calculan cuando surge alguna situación que puede disparar la probabilidad hacia arriba de que un evento de fraude suceda. Como ejemplo tenemos el comercio de metales no ferrosos como el plomo o el cobre, que tiene un valor de mercado negro activo.

En estos casos cuando el valor de mercado está muy bajo los incentivos para realizar el robo de inventarios de estos materiales es menor, por lo que no se calculan ciertos indicadores relacionados con el manejo de inventarios. Sin embargo, cuando el precio sube en forma desproporcionada, los incentivos de fraude crecen y el mercado negro ofrece pagos atractivos para los defraudadores. Lo que hace que los controles convencionales no sean suficientes y se invierta en pruebas auxiliares que ayuden a detectar irregularidades.

Un indicador puede presentarse en diferentes unidades, es importante saberlo ya que es parte primordial por el valor interpretativo que esto supone. Algunos ejemplos son:

• Presentarlo en forma de porcentaje, que indica la proporción de un dato en relación con otro, muy útil para presentarse en forma de gráfica de pastel.

• Eventos raros, si sucedió o no sucedió, muy eficiente para detectar defectos. Los defectos (irregularidades) se ajustan más a la distribución de Poisson, esta representa la probabilidad de que ocurra un determinado número de eventos durante un período de tiempo, se especializa en la probabilidad de ocurrencia de eventos con probabilidades muy pequeñas, o sucesos raros. Es aplicable para estimar las fallas de control.

• Un número simplemente que está sujeto a parámetros como mínimos y máximos. Es el caso de transacciones irregulares, cuando estas se salen del valor promedio. Por ejemplo, ventas, comisiones, entre otras.

• Calificaciones. Estas se asocian con el resultado del análisis a rangos de valores que se ligan a una escala cuantitativa o cualitativa que da una calificación de nivel de riesgo. Como escalas del 1 al 10; alto, medio o bajo. Entre otras. Estos indicadores se presentan en algunas ocasiones como semáforos.

• Una consecuencia. Este indicador se determina a partir de consecuencias que nos revelan información indirecta sobre datos difíciles de medir. La rotación de proveedores por comprador, o el valor de mercado, ciertos productos en relación con las cotizaciones favorecidas por el comprador, entre otros datos, nos pueden dar luz con respecto a los actos de corrupción del mismo.

Existen varios indicadores convencionales que vale la pena tener presentes y que en el medio de control interno son conocidos:

1. Indicadores clave de desempeño (KPI. Key Performance Indicators).

2. Indicadores clave de riesgo (KRI. Key Risk Indicator).

3. Indicadores clave de control (KCI, Key Control Indicator).

Estos indicadores, aunque muchos administradores los utilizan para la dirección de sus procesos de negocio, también se relacionan en ocasiones con riesgos de fraude. En términos generales cada indicador trata de lo siguiente:

Indicadores de desempeño: miden el desempeño y el logro de objetivos, en riesgo operacional se aplica a los objetivos como reducción de exposición, minimización, o mitigación y qué tan bien la empresa desempeña la administración del riesgo.

Indicadores de riesgo: proveen información del nivel de exposición a un riesgo operacional dado en un período de tiempo. Para poder proporcionar tal información un indicador de riesgo tiene que tener una relación explícita con un riesgo específico cuya exposición, en otras palabras, implica que hay una relación entre cambios en el valor de este indicador, con los cambios en la exposición al riesgo operacional o con la realización de una pérdida.

Indicadores de control: proveen información sobre el desempeño de un control para alcanzar sus objetivos en términos de prevención de pérdidas, reducciones, entre otros. Se usan para medir la eficiencia de un control operacional en un punto del tiempo. Para que funcionen y provean tal información, deben estar asociados con riesgos específicos.

6. Caso de estudio

Fondo

El nuevo director financiero (CFO) de una empresa que cotiza en bolsa, estaba preocupado de que su rápido crecimiento, así como líneas de negocio altamente diversificadas, pudieran haber creado algunas oportunidades de cometer fraude y que estas fueran tomadas por empleados y funcionarios, convirtiéndose en quebrantos para la empresa.

Metas

El cliente solicitó una revisión proactiva de todo el universo de pagos, facturas, proveedores y empleados de los últimos tres años, con el fin de identificar los puntos débiles en el control interno y proporcionar una valuación del nivel del riesgo de fraude de la empresa.

Nuestro rol

La empresa contrató los servicios de la firma para utilizar mAnalytics, nuestra plataforma forense de análisis de datos, para revisar registros de más 3.000 empleados y 6.000 proveedores, así como 100.000 facturas y más de 40.000 documentos de pago.

Nuestro análisis, que incluyó más de cincuenta pruebas forenses diferentes, fueron dirigidas a:

• Los pagos y facturas duplicadas.

• Los pagos y las facturas con características inusuales que puede indicar la presencia de un fraude.

• Los posibles proveedores y empleados fantasmas.

• Los proveedores y empleados no válidos.

• Proveedores duplicados.

• Los conflictos potenciales entre los empleados y los proveedores.

• Desarrollo del análisis aplicando la Ley de Benford, que identifica números con baja frecuencia de aparecer dentro de un conjunto de datos, que de presentarse con frecuencias altas, pueden indicar la presencia de fraude.

Como resultado de este compromiso, el fabricante validó y reforzó sus prácticas de ética y enfoque de lucha contra el fraude y fue capaz de seguir adelante en el incremento de su confianza en la forma de operar.

Los resultados

Como resultado de nuestra investigación, proporcionamos un resumen detallando puntos relevantes para llevar a cabo mejoras en todas las áreas de interés de la empresa, incluyendo una valuación de los riesgos por niveles, así como las excepciones encontradas para cada proveedor y empleado.

Los resultados específicos incluyeron:

• Las facturas que arrojaron fuertes indicios de estar duplicadas cuya suma ascendió a cientos de miles de dólares.

• Un pequeño conjunto de los pagos y facturas que representan más de un millón de pesos en pagos cuya frecuencia era sospechosa. Algunos de los proveedores que estaban asociados a estas operaciones fueron identificados como de alta prioridad a través de nuestra metodología de puntuación del riesgo.

• Cientos de facturas con números secuenciales consecutivos de los mismos proveedores que llevaron un examen más detallado de estas operaciones.

• Un proveedor con dos registros activos en el sistema, uno que había recibido millones de dólares en pagos y un segundo que había recibido un pago muy cuestionable de 800.000 pesos.

Mediante la combinación de las puntuaciones de riesgo y los importes de pago asociado a cada empleado y proveedor, hemos ayudado al cliente a priorizar y centrar su atención en la investigación de transacciones con características de alto valor y riesgo significativo. Con resultados de la investigación, detallando estos hallazgos, el cliente implementó políticas y controles más estrictos.

Conclusión

Podemos decir que cada vez las operaciones son más complejas, y con altos volúmenes transaccionales, lo cual limita la supervisión o revisión por métodos manuales u oculares. Adicionalmente, algunas irregularidades no tienen patrones que las hagan predecibles, por lo que utilizar datos de diversas fuentes para detectar áreas de oportunidad con el fin de fortalecer el control interno, y en el peor de los casos detectar conductas no éticas, es una herramienta que toda empresa debe considerar utilizar.

Bibliografía

LARA, A. (2012). Toma el control de tu negocio. Editorial LID.

Casos de negocios de la firma RSM USA.