El fraude es un concepto legal y amplio, por lo cual las organizaciones siempre deben considerar el riesgo de que pueda ocurrir. Obviamente, es importante considerar que las empresas con efectivos controles implementados y orientados a la mitigación del riesgo de fraude están mejor preparadas para enfrentarlo, mas no para evitarlo. Por el contrario, aquellas que no poseen controles con un enfoque de riesgos (modelo COSO) deberán asumir sus consecuencias con mayor frecuencia.

Un fraude casi siempre es perpetrado en contra de los intereses de las empresas. El personal deshonesto de la organización o los terceros ajenos a ella se apropian indebidamente de sus recursos, sean estos financieros o no, para su propio beneficio, y ocasionan consecuentes pérdidas para la empresa afectada. De igual modo, una empresa puede cometer fraude para alcanzar sus objetivos. En ambos casos, el delito es el mismo.

Antiguamente, los controles eran prácticas y procedimientos de autorización, custodia, registro, revisión y monitoreo, de uso particular, y se implementaban en todo tipo de empresas, aunque no eran aplicables en algunas por su realidad económica. Hoy, el modelo de control propuesto por el comité COSO está diseñado para adecuarse al modelo de negocios de la organización, según su tamaño o actividad.

El modelo deberá identificar y analizar los riesgos más importantes que afecten el logro de los objetivos. De esta manera, como una de las medidas de respuesta al riesgo, se implementarán actividades de control a medida y orientadas hacia la mitigación de la amenaza identificada; es decir, los controles hoy en día deberán diseñarse para la mitigación de los eventos negativos.

Modelo inicial

El primer informe COSO (Marco Integral de Control Interno o COSO I) de 1992 modificó el concepto obsoleto de control interno, al ofrecer una mayor amplitud en la responsabilidad y el alcance del mismo, y una definición común más actualizada. El control interno y la disuasión del fraude está diseñado para mejorar el desempeño organizacional, la gestión y reducir el alcance del fraude en las organizaciones.

El comité estableció que todo sistema de control debería considerar cinco componentes necesarios para su efectividad, todos entrelazados y sin excluir a ninguno. Además, se tomaría como base la necesidad de contar con un ambiente de control maduro y sólido, para el éxito en la efectividad de los demás componentes. 

También se exigió que, antes de la adecuación de prácticas de control, previamente deberán evaluarse los riesgos presentes en cada una de las actividades. De esa forma, los controles disuasivos se enfocarán únicamente en reducir la probabilidad de ocurrencia y el impacto de los eventos negativos.

Modificaciones importantes

El nuevo marco de control del 2004 o COSO II (Gestión de Riesgos Corporativos) surgió a raíz de una segunda ola de fraudes y del accidente del transbordador espacial Columbia. Este modelo amplió la visión del riesgo a eventos negativos, amenazas y oportunidades; a la localización de un nivel de tolerancia al riesgo, y al manejo de estos eventos mediante portafolios de riesgos. Mejora las decisiones de respuesta al riesgo, al brindar información para identificarlos. Así, permite elegir alternativas de respuesta.

La última actualización del 2017 o COSO III (Marco de Gestión de Riesgo Empresarial- Alineación del Riesgo con la Estrategia y el desempeño) posee un enfoque más amplio y relaciona la estrategia, la misión y la visión de la empresa con la gestión de riesgos. Además, mejora la agilidad de los sistemas de gestión de riesgos para adaptarse a los entornos y ofrece mayor confianza en la eliminación de riesgos y la consecución de objetivos.

La mayoría de las organizaciones adoptan el Modelo COSO II: Gestión de Riesgos Corporativos, ya que les permite mejorar sus prácticas de control interno o decidir encaminarse hacia un proceso más completo de gestión de riesgo. Vale aclarar que ningún modelo reemplaza a otro: todos se complementan, pero están orientados a que cada nueva versión mejore a la anterior. ¿Cómo escoger el modelo que más le conviene emplear a tu organización? Déjanos tu opinión.