Los invito a leer mi artículo en la Revista del Colegio de Contadores Públicos: «Tercer Encuentro de Cumplimiento Tributario».

Resumen:

El objetivo del presente artículo es destacar la importancia del análisis de datos como parte de los conocimientos y herramientas que los auditores internos deben desarrollar en la ejecución de sus trabajos, para agregar valor en sus funciones con respecto a la detección y prevención del fraude. La metodología utilizada es descriptiva, cronológica y de tipo cualitativa, orientada principalmente hacia la reflexión por medio de citas de estudios que abordan la realidad de América Latina y el mundo con respecto al fraude, así como sus consecuencias económicas y reputacionales. Se insta a los auditores internos hacia la implementación de herramientas analíticas para enfrentarse a un entorno donde se requiere convertir la información en conocimiento y descubrir los riesgos de fraude que se encuentran ocultos en la data. Asimismo, se abordan cinco pasos para implementar la analítica de datos dentro de las evaluaciones auditoras, con ejemplos de revisiones de cuentas en estados financieros. Se concluye que los auditores internos tienen el reto de evolucionar al ritmo en que lo hace la industria e integrar el análisis de datos en sus trabajos, para lo cual se requiere no solo de inversión en tiempo y recursos, sino de un cambio de mentalidad.

Palabras Clave: análisis de datos, riesgos, fraude, detección de fraude, auditoría interna.

I. INTRODUCCIÓN

El tema del fraude es un riesgo presente en todas las organizaciones. Según estudios de la Asociación de Examinadores Certificados de Fraude – ACFE (2022), la apropiación indebida de activos es la tipología de fraude más frecuente en las empresas, seguida de la corrupción y la manipulación de estados contables.

Para ejemplificar, en 2002 ocurrió la caída de WorldCom, la mayor quiebra en Estados Unidos. El área de auditoría interna de esta compañía reveló que la organización contabilizó de forma irregular casi USD 4,000 millones de dólares en gastos, los cuales la empresa «camufló» contabilizando el dinero faltante como inversión y así lo hizo durante meses. La manipulación originó una inflación artificial de ingresos netos y de sus beneficios brutos.

El cometer fraude para esta empresa implicó un engaño. Sin embargo, una de las herramientas que tienen las compañías para detectarlo es su propia información, entendida, como la colección de datos que juntos adquieren un significado. La realidad de WorldComp, estaba presente en sus datos. La pregunta es, ¿cómo se logra analizar esta información?

En la actualidad, la mayoría de las compañías cuentan con sistemas informáticos donde se almacena la información financiera. Es aquí donde juega un rol prioritario el análisis de datos, por medio de la vinculación de múltiples fuentes de información que evidencia si existen irregularidades ocultas o desviaciones que no pueden ser explicadas o carecen de justificación.

De acuerdo con el Marco Internacional para la Práctica Profesional de la Auditoría Interna, (Instituto de Auditores Internos, 2017), los auditores internos deben tener en cuenta la posibilidad de que ocurran errores significativos, fraudes e incumplimientos en todas sus revisiones. Por tanto, una buena estrategia para la detección del fraude en los trabajos de auditoría es el uso de la analítica de datos, temática que se abordará en este estudio.

La metodología utilizada es descriptiva, cronológica y de tipo cualitativa, orientada principalmente hacia la reflexión por medio de citas de estudios que abordan la realidad de América Latina y el mundo con respecto al fraude, así como sus consecuencias económicas y reputacional.

II. ¿QUÉ ES EL FRAUDE Y CUÁL ES LA RESPONSABILIDAD DEL AUDITOR EN SU DETECCIÓN Y PREVENCIÓN?

Para poder identificar el fraude debemos conocer primeramente de qué se trata. Garner Bryan (2004) define el fraude como «una declaración falsa a sabiendas de la verdad o la ocultación de un hecho material para inducir a otro a actuar en su detrimento». Consecuentemente, el fraude incluye cualquier acto intencional de privar a otro de una propiedad o dinero por medio del engaño.

El Instituto Estadounidense de Contadores públicos Certificados (AICPA) analiza el concepto de fraude evaluando su relación con los estados financieros de las compañías. Por lo tanto, la definición del AICPA, tomada de la Declaración sobre Normas de Auditoría (SAS, en inglés) 99: «Inexactitudes generadas por informes financieros fraudulentos: estos abarcan inexactitudes u omisiones intencionales de montos o exposiciones en los estados contables destinadas a engañar a los usuarios de dichos estados».

Para los auditores surge otra apreciación: el riesgo de fraude. Desde el enfoque de la ISO 31000: 2018, el fraude se plantea como una fuente de riesgos que afecta los objetivos organizacionales. Por tanto, en una evaluación de riesgos se deben considerar los posibles actos fraudulentos, tanto los que pudieran proceder del personal de la organización, como de terceros o bien, proveedores de servicios.

De conformidad con las Normas Internacionales para el Ejercicio Profesional de la Auditoría Interna sobre aptitud (1210.A2) del Instituto de Auditores Internos, los auditores internos deben tener conocimientos suficientes para evaluar el riesgo de fraude y la forma en que se gestiona por parte de la organización.

Aclarados los conceptos de fraude y la necesidad de realizar una evaluación del riesgo de fraude, todavía falta contestar la pregunta ¿cuál es el deber de auditor en la detección y prevención del fraude?

El auditor debe considerar dónde está presente el riesgo de fraude dentro de la organización y responder adecuadamente mediante la auditoría a los controles de esa área. Adicionalmente, debe evaluar la posibilidad de ocurrencia de fraude y cómo la organización gestiona el riesgo de fraude (Norma 2120.A2), esto mediante la evaluación de riesgos y la planificación de auditorías.

La norma anterior establece que no es responsabilidad directa de auditoría interna prevenir que se produzca fraude dentro de la organización. Cabe señalar que esta es la responsabilidad de la gerencia como primera línea de defensa. Sin embargo, los auditores pueden brindar recomendaciones para que la organización implemente y ejecute controles preventivos adecuados.

La Fundación Latinoamericana de Auditores Internos – FLAI (2019) indica que la organización debe tener un plan adecuado de respuesta contra el fraude que diseñe políticas claves y metodologías de investigación. El plan debe dejar claro el papel de la auditoría interna cuando se sospecha un fraude y la falla del control asociada.

El auditor interno no está obligado por normativas a tener la experiencia de una persona cuya responsabilidad principal es investigar el fraude. Tales investigaciones son llevadas a cabo de mejor manera por detectives o peritos experimentados delegados para estas tareas. Sin embargo, auditoría interna debe utilizar su experiencia para analizar los conjuntos de datos a fin de identificar tendencias y patrones que puedan sugerir fraude (FLAI, 2019).

• PRINCIPALES TIPOS DE FRAUDE QUE AFECTAN LOS NEGOCIOS

La Asociación de Examinadores Certificados de Fraude – ACFE ha publicado el estudio global «Reporte a las Naciones, Fraude Ocupacional 2022». Este estudio comprende el análisis de 2110 casos de fraude en 133 países, los cuales causaron 3.6 billones de dólares en pérdidas económicas para las organizaciones.

Los casos de estudio de la ACFE corresponden a denuncias de fraude procedentes de ocho continentes, liderados en un 36% por reportes efectuados en Estados Unidos, 23% en África Subsahariana, 10% en Asia Pacífico, 8% en Europa Occidental, 7% en Oriente Medio y África del Norte, 7% en Asia Meridional, 5% en América Latina y El Caribe, 4% en Europa del Este y Asia Occidental / Central, tal como se presenta en la Figura 1.

Figura n.^o 1. Casos de fraude reportados por región.

Fuente: ACFE, 2022.

Como principales resultados de este estudio, se pueden destacar los siguientes puntos:

• El tiempo promedio de detección de los fraudes es de 12 meses, con pérdidas promedio de USD 117,000 dólares.
• Las industrias más afectadas en casos de fraude, son: bienes raíces, comercio al por mayor, transporte y almacenamiento, construcción y utilidades. El 50% de los fraudes ocurren en las siguientes áreas de operaciones, contabilidad, ejecutivos de alta gerencia y ventas.

Figura n.^o 2. Resultados del estudio de la ACFE, 2022.

Fuente: ACFE, México 2022

Según la Asociación de Examinadores de Fraude Certificados (ACFE), los fraudes ocupacionales son aquellos en los que un empleado, gerente, funcionario o propietario de una organización comete fraude en detrimento de esa organización. De acuerdo con la ACFE, en el nivel superior, hay tres categorías principales de fraude ocupacional:

• La apropiación indebida de activos, que implica que un empleado robe o haga mal uso de los recursos del empleador, es la más común, con el 86% de los casos dentro de esta categoría. Estos esquemas, sin embargo, tienden a causar la pérdida mediana más baja a USD 100,000 por caso.
• Los esquemas de fraude de estados financieros, en los que el perpetrador causa intencionalmente una omisión o un error material en los estados financieros de la organización, son la categoría menos común (9% de los esquemas) pero la más costosa (USD 593,000).
• La tercera categoría, la corrupción que incluye delitos como el soborno, los conflictos de intereses y la extorsión, se encuentra en el medio en términos de frecuencia y pérdidas. Estos esquemas ocurren en el 50% de los casos y causan una pérdida mediana de USD 150,000.

Los reportes de la ACFE indican que los escenarios de fraude ocupacionales más comunes en América Latina y Caribe corresponden en un 59% a casos de corrupción, seguido de un 17% de fraude de estados financieros y un 15% de fraudes no monetarios (apropiación indebida de activos).

Asimismo, el 41% de los casos son detectados por denuncias, seguido de un 23% detectado por los auditores internos y un 9% producto de revisiones gerenciales, conforme se muestra en la Figura n.^o 3.

Figura n.^o 3. Focos regionales, América Latina y Caribe, 2022.

Fuente: ACFE, 2022

De las estadísticas de ACFE para América Latina destaca el tipo de fraude basado en la corrupción (59%). La corrupción a nivel empresarial puede ocurrir de muchas formas, se destacan: la malversación, el soborno y la extorsión, los cuales reducen considerablemente la credibilidad de los negocios y sus respectivos beneficios.

Como segundo principal tipo de fraude en América Latina se observa el de estados financieros. En este se citan acciones como el reconocimiento inadecuado de ingresos, la manipulación de gastos, el no reconocimiento de pasivos y la presentación incorrecta del flujo de efectivo. Los estados financieros que presentan cifras incorrectas pueden llevar a decisiones comerciales erróneas e incluso a una defraudación fiscal que puede causar daños económicos o afectar la continuidad del negocio, por medio de multas o sanciones.

El fraude es algo que prevalece en la sociedad en cualquier ámbito. Sin embargo, combatir el fraude en América Latina representa un desafío debido a que existen brechas para la aplicación de las mejores prácticas internacionales anticorrupción y antifraude.

¿Cuál es la razón de estas brechas?

Según informe de KPMG International Limited (2022) basado en encuestas realizadas a más de 600 directivos en el continente americano, América Latina tiene el doble de probabilidades de sufrir fraude (49%) en comparación con Norte América (17%).

Esto indica que los programas de gestión del riesgo de fraude y otras defensas internas antifraude son menos sólidos en América Latina. Por tanto, se puede aludir que no hay suficientes empresas que estén al tanto de los controles de fraude o las medidas antifraude que implementan no son efectivas.

¿Cómo se podría mejorar la detección y prevención del fraude en América Latina?

El 41% de los casos de fraude son denunciados según ACFE. Por tanto, corresponde a todos los colaboradores la responsabilidad de levantar la mano y denunciar el fraude de manera temprana, para ello se requieren controles basados en capacitación y evaluación de riesgos donde la principal responsabilidad recae en los directivos, como parte de su función de gobierno corporativo y reforzamiento de la cultura organizacional.

Sin embargo, existe un 23% de casos de fraude que es detectado por los auditores internos (ACFE, 2022). Esto refuerza la responsabilidad que como auditores internos se posee para evaluar la posibilidad de ocurrencia de fraude en cada uno de los trabajos desde la fase de planeación. Adicionalmente, se destaca en los auditores internos la necesidad de revisar cómo la organización gestiona el riesgo de fraude, como parte de sus funciones de aseguramiento y consultoría con un enfoque basado en riesgos.

¿Qué tipo de fraudes pueden detectar los auditores y cómo?

Los auditores pueden emplear diversas herramientas y procedimientos en la detección de fraude, para ejemplificar, se expone un caso hipotético de fraude dentro del proceso de licitación de compras:

Por medio de listar todas las cotizaciones que se habían recibido en un período de tiempo y comparando los domicilios de los oferentes entre sí, se detectó que había varios oferentes que tenían el mismo domicilio. Por tanto, se llegó a conocer que se trataba de la misma empresa que entregaba varias cotizaciones con distintos nombres. Se ampliaron procedimientos y se cotejaron las bases de datos de proveedores con las bases de datos del personal, y se corroboró que existe personal que está relacionado con los proveedores, lo cual es prohibido por las políticas de la compañía.

Otro ejemplo, son los procedimientos efectuados para detectar empleados fantasmas o fraude de nómina:

Mediante la comparación de los registros de nómina contra los datos del personal activo de la empresa, así como la revisión de los registros de nómina con los informes de la tarjeta de tiempo y los archivos del personal de los empleados, se determinó que existían las siguientes discrepancias: números de seguridad social duplicados, direcciones duplicadas y cuentas bancarias duplicadas, con lo que se logró identificar la existencia de empleados ficticios.

Adicionalmente, para reforzar el fraude de estados financieros se expone un caso bastante sonado en 2012 (Hussain, Maryam), en el que se descubrió que la empresa Caterpillar, una de las mayores empresas dedicadas a la fabricación de maquinaria pesada del mundo realizó la compra de la empresa ERA Mining Machinery Ltd y su filial Siwei, por alrededor de 653 millones.

En este caso, la empresa Siwei fingía tener una mayor cantidad de inventario de lo real y, por lo tanto, inflaba el valor de sus activos al hacer a la empresa más llamativa para su compra. Cabe mencionar que la aprobación de esta toma de decisiones fue, en su mayoría, realizada por la gerencia y los altos directivos de la empresa Siwei.

De este tipo de problemáticas surge la necesidad de que los auditores internos se esfuercen en ampliar sus conocimientos y aptitudes sobre procedimientos que contribuyan a detectar y recomendar controles que puedan prevenir el fraude. Para reforzar este enfoque, en el apartado III. se aborda el valor de la analítica de datos como herramienta para la detección y prevención del fraude.

 III. USO DE ANÁLISIS DE DATOS EN LA DETECCIÓN Y PREVENCIÓN DEL FRAUDE

 El International Auditing and Assurance Standards Board (IAASB, 2016), mediante el Data Analytics Working Group, define el análisis de datos en la auditoría de la siguiente manera:

Cuando es usado para la obtención de evidencia de auditoría, es la ciencia y el arte de descubrir y analizar patrones, desviaciones e inconsistencias y la extracción de otro tipo de información útil de los datos subyacentes relacionados con el asunto en cuestión a auditar a través del análisis, el uso de modelos y la visualización con el propósito de planear o ejecutar el trabajo de auditoría de dicho asunto.

El análisis de datos consiste en revisar datos brutos para identificar tendencias y anomalías y extraer información significativa de un gran conjunto de datos. La «analítica de datos» no es un programa tecnológico, pero la tecnología permite un uso más eficaz y eficiente del análisis de datos (Fundación Latinoamérica de Auditores Internos – FLAI 2022).

El uso del análisis de datos crea oportunidades para los auditores internos, así como para las entidades que los utilizan, mejora la calidad de la evaluación y respuesta al riesgo del auditor (Data Analytics Working Group, 2016).

Entre los beneficios del uso del análisis de datos se incluyen:

• Mejora la capacidad del auditor para recopilar evidencia de auditoría a partir del análisis de poblaciones más grandes, lo que incluye permitir mejores selecciones basadas en el riesgo de esas poblaciones para pruebas adicionales por parte del auditor.
• Una visión del auditor más amplia y profunda de la entidad y su entorno, que proporciona a la entidad auditada información valiosa adicional para informar su propia evaluación de riesgos y operaciones comerciales.

Sin embargo, de acuerdo con los estudios del Data Analytics Working Group (2016), el análisis de datos también presenta limitaciones que los auditores deben tomar en cuenta:

• El análisis de datos que no es relevante para la auditoría, que no está bien controlado, que no es confiables o cuya fuente (interna o externa) no se comprende bien podría tener consecuencias negativas para la calidad de la auditoría.
• Debido a la necesidad de que el auditor ejerza su juicio profesional en relación con la contabilidad y la auditoría, así como cuestiones relacionadas con la integridad y validez de los datos, poder probar el 100% de una población no implica que el auditor pueda proporcionar algo más que una opinión de seguridad razonable.
• En los estados financieros de la mayoría de las entidades, existen importes y revelaciones significativos que son estimaciones contables o que contienen información cualitativa. El uso de la tecnología de análisis de datos de una auditoría de estados financieros no reemplazará la necesidad de juicio y escepticismo profesionales.
• El uso efectivo de la tecnología puede ayudar al auditor a obtener evidencia de auditoría suficiente y apropiada. Sin embargo, se debe tener precaución con respecto al posible «exceso de confianza» del auditor y de las partes interesadas en la tecnología, en el que los auditores que carecen de una comprensión clara de los usos y las limitaciones de la tecnología creen falsamente que los resultados son infalibles.

Como principales limitaciones en el análisis de datos se puede destacar que se requiere, entre otros aspectos, cuidar la calidad de los datos, una responsabilidad donde se debe involucrar al equipo directivo. Adicionalmente, los auditores deben mantener su juicio profesional, sin caer en «exceso de confianza» por el uso de la tecnología, debido a que en una auditoría se garantiza una «seguridad razonable», no absoluta.

Los datos se utilizan no solo desde el punto de vista de la comprensión de lo que sucedió en el pasado, sino desde la perspectiva de usarlos para decidir qué se puede hacer en el futuro para prevenir el fraude.

¿Qué tanta relevancia puede tomar la correcta recolección y análisis de los datos?

Para contestar esta pregunta a continuación se describen los pasos para un análisis de datos, y posteriormente cómo podemos implementarlo en la prevención y detección del fraude.

De acuerdo con el Global Technology Audit Guides, Data Analysis (2018), existen cinco pasos para el análisis de datos, los cuales se mencionan a continuación:

• Primer paso: Definir preguntas

 Este primer paso consiste en identificar los objetivos que se persiguen. Se identifican los indicadores clave de rendimiento (KPI) para ayudar a medir si está progresando hacia lo que buscamos.

En el caso de una auditoría de estados financieros, esta fase consistiría en la selección de las cuentas materiales y significativas. Una vez seleccionadas, se define la pregunta ¿qué es lo que se quiere probar? Si es su integridad, su exactitud o bien analizar el comportamiento y la tendencia que se ha presentado en los últimos años, por ejemplo.

En el modelo de una institución financiera, donde uno de los principales usos de los datos es comprender el comportamiento normal de los clientes, la cuenta significativa sería la Cartera de crédito. Sin un correcto análisis de esta cuenta se dificultará mucho detectar el fraude, ya que la desviación del comportamiento normal es un indicador relevante.

Se formula la pregunta de la siguiente manera: ¿Cómo ha sido el comportamiento de la cartera de crédito en los últimos cinco años?  Los indicadores propuestos o KPIs son:

• el porcentaje de colocación de la cartera de crédito,
• el porcentaje de recuperación de cartera,
• el porcentaje de morosidad de la cartera,
• el porcentaje de saneamiento de la cartera.

• Segundo paso: Obtener data relevante

 Esta parte es comúnmente conocida como descubrimiento de información. El acceso a todos los datos disponibles permite realizar:

• un valioso análisis,
• correlaciones más precisas,
• construcción de modelos de análisis y pronósticos significativos,
• identificación de insights relevantes (la esencia que nos permite encontrar la solución a un problema).

Para este ejemplo, se puede considerar las fuentes de información requeridas, tales como:

• la disponibilidad de la información financiera, en cuanto a tiempo y tecnologías utilizadas;
• el sistema en el cual se registran los datos de la cartera de créditos;
• si existen interfaces o módulos con otros sistemas;
• quiénes nos proporcionarán esta información, si es la administración o un departamento de tecnología de la información (TI) quien realizará la extracción de los datos de cartera.

En este aspecto se recomienda la participación de un departamento de informática que pueda extraer la información de cartera de forma independiente a un área operativa.

• Tercer paso: Limpiar o Normalizar Data 

La limpieza de datos consiste, entre otros, en corregir o eliminar datos incorrectos, dañados, duplicados, con formato incorrecto o incompletos dentro de un conjunto de datos y eliminar información inútil.

La normalización de datos implica almacenar cada elemento de datos tantas veces como sea necesario. Da como resultado una reducción de los datos y una mayor integridad para su uso con un propósito específico. La integridad es garantizar que los datos reflejen con precisión los eventos comerciales subyacentes y que se rectifique cualquier anomalía.

Para la normalización de datos se pueden emplear diversas técnicas. Se menciona uno de ellos:

De acuerdo con estudios de IBM (2020), la extracción, transformación y carga (ETL) se ha convertido rápidamente en una de las maneras más eficientes de migrar conjuntos grandes y pequeños de datos desde las fuentes a un data warehouse. ETL sirve para el procesamiento masivo de datos en tiempo real (o lo más cercano posible) y se resume en extraer, obtener los datos desde diferentes fuentes, transformar y normalizarlos a una estructura que nos sea útil.

Por ejemplo, para el análisis de cartera si se requiere visualizar los datos de un cliente, dependiendo del diseño de la data warehouse, por medio de ETL se puede utilizar una sola consulta para obtener información personal del cliente, el historial de compras y pedidos, y la información de facturación.

• Cuarto paso: Analizar data 

A medida que se analizan los datos recopilados, se puede determinar si son los correctos y los que se necesitan para alcanzar el objetivo. La determinación incluye, pero no se limita a:

• evaluar si se necesitan datos adicionales,
• recopilación de datos nuevos o diferentes,
• revisar la pregunta original, y formular preguntas adicionales.

Existen diferentes tipos de análisis de datos, entre ellos se mencionan:

• Análisis descriptivos, cubren los detalles del rendimiento pasado y pueden incluir cambios interanuales o mensuales en ventas, ingresos, precios, inventario, clientes o visitantes, u otras tendencias o cambios que ya se hayan producido.
• Análisis de diagnóstico, examina los factores que conducen a una tendencia o resultado.
• Análisis predictivo, utiliza modelos de predicción para discernir lo que podría ocurrir en el futuro.
• Análisis prescriptivos, evalúan los posibles resultados e identifican las siguientes mejores acciones basándose en el análisis de los datos existentes.

Los auditores internos generalmente seleccionan datos para rastrear la documentación fuente de respaldo, como facturas, contratos y pagos, y para realizar procedimientos adicionales, como:

• revisar y confirmar los detalles de los datos seleccionados;
• analizar los hallazgos y determinar el cumplimiento o incumplimiento de la política;
• identificar los controles internos que requieren mejoras o, si no existen controles, recomendar la creación de uno.

A continuación, se detallan algunos ejemplos que se podrían emplear para los análisis de la cuenta de cartera de créditos:

• Análisis descriptivos

El análisis descriptivo es una etapa preliminar del tratamiento de datos que consiste en sintetizar los datos históricos para obtener información útil o incluso prepararlos para un análisis posterior.

Un medio para realizar un análisis descriptivo es la creación de un tablero de visualización de datos de cartera (dashboard) donde se pueda apreciar el comportamiento e incluso tendencias de los últimos años, estos se pueden construir en Excel o incluso mediante aplicaciones de modelado de datos o la creación de querys. Una de las herramientas más accesibles utilizadas en el mundo empresarial es Power BI, que permite una visualización de datos e incluso puede brindar un storytelling sobre cómo fue el comportamiento de la empresa en la captación de créditos, cuánto recuperó y qué parte de esa colocación se llevó a cuentas incobrables.

• Análisis de diagnóstico

El análisis diagnóstico es el siguiente paso importante para realizar después de un análisis descriptivo, se responde a la pregunta ¿por qué sucedió esto en el negocio?

Asúmase que la institución financiera tiene la posibilidad de desglosar y ver en detalle las ventas al crédito realizadas, y a su vez ver sus ingresos por categorías de productos. El hacer un análisis de diagnóstico permitirá inferir y descubrir por qué no fue posible la consecución de metas de crecimiento de cartera, es decir, la razón por la cual no se pudo cumplir su objetivo de ganancia.

Adicionalmente, se pueden segmentar los clientes, y a través de otros filtros aplicados se puede hacer una medición del riesgo de cuentas irrecuperables, para determinar quiénes son aquellos clientes que, por edad, localización, tipos de trabajos o nivel de ingresos están cayendo en la categoría de morosos o incobrables.

• Análisis predictivo

En este caso se describirá el Machine Learning como una herramienta para el análisis predictivo. De acuerdo con IBM (2020), el Machine learning se centra en el uso de datos y algoritmos para imitar la forma en la que aprenden los seres humanos, con una mejora gradual de su precisión, esto mediante algoritmos.

Un algoritmo de Machine Learning evalúa probabilísticamente una a una las transacciones con base en su experiencia y entrenamiento, con casos reales y considera cada una de las particularidades de las transacciones antes de clasificarla como legítima o no.

Gráfico n.^o 4. Machine Learning.

Fuente: IBM (2020)

El análisis predictivo emplea datos históricos para predecir eventos futuros. Normalmente, los datos históricos se utilizan para crear un modelo matemático que capture las tendencias importantes. Este modelo predictivo se usa entonces con los datos actuales para predecir lo que pasará a continuación.

Esta herramienta se implementa en las instituciones financieras donde las técnicas de aprendizaje automático y herramientas cuantitativas se utilizan para predecir el riesgo crediticio. Adicionalmente, los auditores internos pueden implementarlo para analizar el comportamiento de la cartera y verificar cualquier desviación que podría ser alerta de riesgo de fraude, por ejemplo, la creación de clientes ficticios debido a un alta inusual en el crecimiento de la cartera.

• Análisis prescriptivos

El análisis descriptivo refiere el rendimiento de una empresa hasta la fecha.  Por ejemplo, observar el rendimiento de las ventas de crédito se considera un tipo de análisis descriptivo; Sin embargo, toma esos datos y los utiliza para proyectar el rendimiento futuro. Los datos históricos se pueden analizar utilizando algoritmos de aprendizaje automático para intentar predecir tendencias futuras.

El análisis prescriptivo trata más de predecir resultados en función de diferentes tipos de variables. En lugar de predecir un resultado, el uso de técnicas prescriptivas significa que un analista puede modificar diferentes variables para ver cómo se produce el resultado de un escenario.

En la industria financiera, el análisis prescriptivo ayuda a destacar las preferencias del cliente para maximizar la probabilidad de una venta. El análisis prescriptivo aprende del historial de transacciones anteriores, de las interacciones con los clientes y de las preferencias seleccionadas para prescribir interacciones óptimas.

• Quinto Paso: Comunica Resultados

 De acuerdo con el Marco Internacional para la Práctica Profesional del Auditor Interno (Instituto de Auditores Internos, 2017) antes de emitir la comunicación final, el auditor interno debe analizar las conclusiones y recomendaciones con la gerencia correspondiente en una reunión de cierre.

La discusión proporciona a la gerencia la oportunidad de aclarar y expresar puntos de vista. El propósito principal de una reunión final es garantizar la precisión de la información utilizada por el auditor interno. Para estos efectos, la visualización de datos o las ilustraciones gráficas son buenas maneras de enfatizar la información, es por eso que el uso de ayuda visual para apoyar una discusión de los puntos principales da como resultado la mayor retención de información.

¿Qué tipo de fraude o transacciones inusuales se detectan mediante el análisis de datos?

Según la Asociación de Examinadores de Fraude Certificados (ACFE, 2022) las organizaciones que utilizan el análisis proactivo de datos pueden reducir sus pérdidas por fraude en un promedio del 54 % y detectar estafas en la mitad del tiempo.

Por su parte, Caseware IDEA (2020), expresa en un informe técnico:

Si detectar fraude es como encontrar una aguja en un pajar, un análisis basado en muestras es como analizar una paca de paja en un campo con docenas de ellas o quizá, es como tomar una paca de cada pajar y sacar conclusiones sobre dónde está o si existe la aguja buscada.

De lo anterior se puede deducir que los procedimientos y herramientas de análisis de datos permiten la evaluación de poblaciones de forma eficiente y proactiva, que conduce a la reducción del riesgo de auditoría, en contraste con los procedimientos tradicionales de revisión de muestras.

Mediante los ejemplos de análisis de datos a cuentas de cartera de crédito que se presentaron en el paso 4, se pudieron haber detectado las siguientes situaciones hipotéticas de fraudes:

• Inflación de ingresos, los cuales son el resultado de ventas ficticias.
• Inadecuado análisis de la administración en el otorgamiento de crédito a clientes que no poseen capacidad de pago.
• Anomalías entre canales de ventas de crédito o productos, comparando datos de diferentes fuentes de información para encontrar discrepancias.
• Predicción de actividades sospechosas antes de que produzcan algún daño en los activos de la organización (mediante el análisis predictivo).

El valor agregado radica en que el auditor otorgue a la administración insumos mediante sus revisiones para que las áreas operativas puedan diseñar e implementar controles internos efectivos que prevengan el fraude.

La analítica de datos es una de las competencias que se establecen en el modelo de Auditoría 4.0 (Deloitte, 2017), el cual brinda un enfoque orientado hacia la transformación digital donde las analíticas y las nuevas tecnologías les permiten a los departamentos de auditoría desarrollar expectativas perspicaces, proactivas y centradas en el futuro.

Las organizaciones que incorporan técnicas de análisis de datos a las actividades de auditoría requieren de inversión en tiempo y recursos. Adicional a la compra de licencias y software de análisis de datos, se debe capacitar al personal de auditoría en el uso de las tecnologías, muchas veces incorporando la necesidad de conocimientos en técnicas de programación. Sin embargo, una vez implementado el análisis de datos, los beneficios en cuanto a la agilidad, eficiencia y calidad en los trabajos son notables.

En cuanto a tu experiencia, ¿consideras que el auditor interno debería convertirse en un analista de datos?, ¿qué valor diferenciador consideras que agregas el análisis de datos en la prevención y detección del fraude.

IV. CONCLUSIONES

El entorno cambiante de la tecnología y la evolución de las organizaciones en sus modelos de negocio provocan que el fraude ocupacional sea cada vez más alto y complejo de identificar, dado el volumen de información y transacciones en las empresas. Asimismo, los casos de fraude ocupacional emergentes conllevan hacia un replanteamiento de la forma en que los procedimientos de auditoría tradicionales abordan el riesgo de fraude.

Por su parte, América Latina presenta a lo largo de su historia casos de fraude que merman el crecimiento económico de las empresas y atentan contra la confiabilidad de los negocios.

Para tratar estos desafíos, los auditores internos tienen el reto de evolucionar al ritmo en que lo hace la industria e integrar el análisis de datos en el ciclo completo de sus trabajos. Más allá de ello, los auditores deben lograr un cambio de mentalidad para poder identificar los riesgos ocultos en la data.

Los datos son la base de información sobre la que se construye toda auditoría interna. El análisis de datos proporciona a los profesionales de auditoría una mejora en la eficiencia y la eficacia de los servicios de aseguramiento y aumenta el valor de la auditoría interna para la organización.

V. BIBLIOGRAFÍA

• Association of Certified Fraud Examiners – ACFE (2022). Occupational Fraud 2022: A Report to the nations. Estados Unidos: Editorial ACFE.
• Caseware IDEA (2023). El enemigo del fraude financiero es el análisis de datos. ¿Por qué solo analizamos muestras de los datos? Canadá: IDEA Publicaciones.
• Deloitte (2017). Perspectivas Auditoría 4.0. Londres, Inglaterra: Deloitte Publicaciones.
• Hussain, M. (2013). Corporate Fraud, The Human Factor. Estados Unidos: Bloomsbury Publishing.
• International Business Machines – IBM (2022). Analysis, Tools and Solutions. Estados Unidos: IBM Publicaciones.
• International Auditing and Assurance Standards Board – IAASB (2016). Exploring the Growing Use of Technology in the Audit, with a Focus on Data Analytics. Estados Unidos: IAASB Ediciones.
• Instituto Estadounidense de Contadores públicos Certificados – AICPA (2013). Normas Internacionales de Auditoría, NIA 240. Estados Unidos: AICPA Publicaciones.
• KPMG International Limited (2022). Una Triple Amenaza en las Américas, KPMG Fraud Outlook. Argentina: Editorial KPMG International Limited.
• Organismo Internacional de Estandarización – ISO (2018). ISO 31000. Ginebra, Suiza: ISO Publicaciones.
• The Institute of Internal Auditors (2022). Perspectivas y Percepciones Globales, Análisis de Datos. Estados Unidos: Editorial The Institute of Internal Auditors.
• The Institute of Internal Auditors (2016). GTAG 16, Data Analysis Tecnologies. Estados Unidos: Editorial The Institute of Internal Auditors.
• The Institute of Internal Auditors (2017). Marco Internacional para la Práctica Profesional del Auditor Interno. Estados Unidos: Editorial The Institute of Internal Auditors.