Blog del Servicio de Prevención del Fraude

Asociación Nacional de Establecimientos Financieros de Crédito (ASNEF)





C/ Velázquez, 64-66, 2ª planta

28001 Madrid

Teléfono del Servicio: 917814551

Fax: 914314646



Correo electrónico: spfraude@asnef.com







viernes, 28 de octubre de 2011

La Comisión para la Prevención del Fraude y el fraude interno





LA COMISIÓN PARA LA PREVENCIÓN DEL FRAUDE Y EL FRAUDE INTERNO

En las fichas anteriores hemos partido de un esquema introductorio, para ir acercándonos a la prevención del fraude interno desde diversas perspectivas, como:
  •  Las motivaciones y los efectos
  •  La necesidad de creación de un entorno de control
  • La evaluación de su riesgo
  • La Auditoría como herramienta para su control
  •  Las líneas éticas o sistemas internos de denuncia, como  herramienta de control
  •  El diseño e implementación de actividades de control del fraude interno
  •  La necesidad de la información y la comunicación para la efectividad del control
  • El monitoreo de las actividades de riesgo y la supervisión de todo el sistema de control


Analizado el problema desde las ópticas señaladas, podría parecer que el control del fraude interno pertenece a las interioridades operativas de cada empresa y ciertamente es así, pero sabemos que en éste tipo de fraudes intervienen también causas externas que podrían ser  mejor estudiadas a través de la colaboración entre entidades.

También hemos visto que para la prevención del fraude interno son necesarias herramientas tecnológicas y podemos colegir que éstas no son baratas. Soy de la opinión, por tanto, de que en el actual contexto de dificultades económicas una gran parte de estas herramientas  podrían crearse de forma cooperativa, puesto que las nuevas tecnologías permiten  su uso independiente  sin necesidad de hacer modificaciones informáticas internas, y además, porque resulta posible dotarlas de un grado muy aceptable de seguridad.

Está claro que para la prevención del fraude interno y externo, ya no resulta rentable la creación de  plataformas tecnológicas hechas a medida, ni siquiera para las grandes corporaciones, puesto que esta prevención ha de ser dinámica, y el dinamismo  exige una permanente adaptación de las herramientas tecnológicas a la cambiante realidad del fraude, lo que termina siendo muy oneroso;  además,  existe el peligro de que las herramientas hechas a medida queden obsoletas en un breve espacio de tiempo.

Al igual que ha sucedido con la ofimática, en la tecnología de la prevención del fraude interno y externo resulta interesante una cierta homogeneización de procedimientos y herramientas, especialmente para la formación del personal.

Los especialistas en prevención del fraude van a ser cada vez más demandados, lo que traerá como consecuencia una mayor rotación de estos profesionales entre las empresas, por lo que resulta conveniente reducir los tiempos en el conocimiento de herramientas y procedimientos en base a la homogeneización de los sistemas. De esta manera estos especialistas podrán dedicarse más rápidamente a la producción de seguridad, que es lo que verdaderamente interesa a las empresas.

Otra tendencia constatable es que, una parte de la formación para especialistas, así como de la tecnología necesaria para la prevención del fraude, está saliendo de las empresas para converger en un mercado muy especializado, en el que confluyen las empresas usuarias, las universidades y las empresas tecnológicas capaces de crear las herramientas que se están demandando.

Igualmente, una gran parte de los procesos tecnológicos de cumplimiento, entre los que están los de prevención del fraude y cumplimiento penal, están siendo subcontratados por las entidades bajo  fórmulas de “outsourcing”, tanto a grandes consultoras como a empresas muy especializadas que  poseen la capacidad económica de montar herramientas tecnológicas de última generación,  y además,  son capaces de gestionar  equipos de analistas.

En definitiva, la crisis económica está enseñando a  las empresas a crecer reduciendo costes. Este objetivo resulta posible si las empresas se liberan de una gran parte de su estructura burocrática y se centran exclusivamente en su objeto social. Y hay que reconocer, que una parte de la estructura de cumplimiento puede llegar a convertirse en burocrática si no se procede a adelgazarla a tiempo.

Ante este panorama, y en la materia que nos afecta, resulta ahora más necesaria que nunca LA COMISIÓN PARA LA PREVENCIÓN DEL FRAUDE, capaz de coordinar a las empresas.

La Comisión permite aunar la experiencia colectiva en materia de prevención del fraude interno y externo. Este hecho resulta fundamental para la necesaria tecnificación de procedimientos y herramientas, porque posibilita que la iniciativa en el uso de la tecnología la tengan los propios usuarios,   obligando así a las empresas tecnológicas a crear soluciones en base a las necesidades reales de las propias empresas, y a valorar o mejorar las que se ofrezcan en el mercado.

La Comisión para la Prevención del Fraude es necesaria además, porque también en la  materia del fraude interno no deben existir compartimentos estancos, ni tiene sentido la competencia entre empresas. Resulta obligada la colaboración para que pueda crearse  un entorno de seguridad que sea apropiado para el desarrollo de nuestra industria. Ya surgirá posteriormente la competencia en el mercado, a través de factores organizativos, de costes de producción, y de calidad en los bienes y servicios producidos.

Si estamos convencidos que la normativa reguladora del cumplimiento debe ser  la misma para cada sector de actividad dentro de un mismo territorio económico, también hemos de estarlo para tratar de buscar entre todos un campo de operaciones seguro, evitando así las distorsiones que sobre la industria producen el fraude interno y externo y la delincuencia económica organizada, lo que puede conseguirse a través de la colaboración entre las empresas.

A este fin, la Comisión para la Prevención del Fraude constituye una buena herramienta, puesto que en la misma se integran voluntariamente los profesionales que tienen a su cargo la responsabilidad en esta materia, siendo, por tanto,  los que mejor conocen  los problemas de prevención que deben ser solucionados dentro de las empresas.

A través del Servicio de Prevención del Fraude, los Miembros de la Comisión tienen la capacidad de plantear problemas de interés colectivo, que el Servicio puede derivar a la  Comisión o a los Grupos de Trabajo especializados que existan dentro de ella,  para que así se busquen soluciones organizativas y tecnológicas.

También la Comisión y el Servicio de Prevención del Fraude pueden aglutinar el interés de las empresas tecnológicas, de los centros universitarios y de las Consultoras, para analizar e investigar problemas técnicos y jurídicos que afectan a nuestros sectores de actividad, y así conseguir  las mejores soluciones a los mismos, sin perjuicio de las relaciones puntuales que tengan con cada empresa.


El futuro que viene

Para la prevención eficaz del fraude interno y para el cumplimiento penal, habrá empresas que ya tengan hechos sus deberes, pero otras aún tienen mucho trabajo que realizar,  tanto organizativo como de tecnificación, por lo que espero que estas fichas les hayan servido de sensibilización.

No todas las empresas necesitan procedimientos complejos ni tecnologías complicadas, pero sí un mínimo de organización y tecnología en esta materia, así como la voluntad decidida de sus Consejos de Administración de prestarle el interés que merece.

Posiblemente las dificultades económicas no animen a las empresas a invertir en los temas de prevención, pero existen en el mercado soluciones imaginativas y accesibles, teniendo en cuenta los retornos económicos que procuran. Sólo hace falta tener viva la inquietud por estos temas.

Una parte importante de la prevención puede realizarse  a través de la colaboración, y nada mejor para ello que, tanto los temas de fraude interno como los de fraude externo, puedan ser sean planteados por las empresas a través de la COMISIÓN PARA LA PREVENCIÓN DEL FRAUDE.




Fabián Zambrano Viedma
Responsable del Servicio de Prevención del Fraude




martes, 25 de octubre de 2011

El monitoreo de actividades y la supervisión en la prevención del fraude interno





MONITOREO DE ACTIVIDADES Y SUPERVISIÓN

El monitoreo de actividades y la supervisión, constituyen el quinto elemento de control especificado en el informe COSO, siendo las cuatro restantes, ya analizadas: El entorno de control, la evaluación de los riesgos, las actividades de control y la información y comunicación.

Estas cinco piezas o elementos están interrelacionados y repercuten sobre la totalidad de la actividad de la empresa.  Todos los miembros de la organización, a su nivel, han de responsabilizarse en la implantación del sistema y en su funcionamiento.

Pero en el monitoreo de actividades y en la supervisión, la responsabilidad directa recae respectivamente, en el Servicio de Prevención del Fraude y Auditoría Interna.

En la Ficha número 6  vimos que la Auditoría interna no tiene como misión principal el control del fraude sino sólo la supervisión de la estructura anti-fraude, sin perjuicio de su participación indirecta a través del OCIC, en el diseño e implementación de las restantes piezas del sistema.

La Auditoría, por tanto, no tiene la responsabilidad de hacer el seguimiento diario de la operativa de control, sino de comprobar su correcto funcionamiento. Esta es la razón de la existencia del Servicio de Prevención del Fraude, que es además el departamento especializado que colabora con el OCIC en la planificación e instauración del sistema de control del fraude interno y externo.

El Órgano de Control Interno y de Comunicación (OCIC) y el Servicio de Prevención del Fraude (SPFRAUDE), en base al razonamiento de las fichas anteriores, constituyen la estructura de prevención del fraude interno y de cumplimiento penal dentro de la empresa.

El primero, como gobierno corporativo, se encarga de diseñar el borrador de las distintas normativas de control  en materia penal y de prevención del fraude, así como de las políticas de comunicación sobre esta materia. Será posteriormente el Consejo de Administración el que apruebe los documentos  preparados por el OCIC, quedando éste encargado de su implementación efectiva en la empresa.

El Servicio de Prevención del Fraude, como departamento especializado, acompañará y auxiliará al OCIC en todos los  trabajos previos de prevención del fraude interno que hemos analizado en las fichas anteriores: instauración de un entorno de control, evaluación de los riesgos, definición de las actividades de control y de la política de información y comunicación.

En el quinto elemento de control que estamos analizando ya no interviene el OCIC, quedando la monitorización de actividades bajo la responsabilidad del Servicio de Prevención del Fraude, y la supervisión bajo la responsabilidad de Auditoría Interna.


EL MONITOREO DE ACTIVIDADES


El Servicio de Prevención del Fraude tiene a su cargo el monitoreo diario de las actividades de control del fraude interno que fueron establecidas a través del OCIC, siendo también el receptor de toda la información que sobre fraude y cumplimiento penal se genera en la empresa, para lo que, previamente, se habrán habilitado los canales internos y externos de comunicación.

Llegados a este punto me gustaría señalar las similitudes existentes entre la estructura de prevención del fraude que estamos analizando y la estructura de prevención del blanqueo de capitales que nos ha sido impuesta por imperativo legal.

Ambas se fundamentan en los cinco pilares de control que establece el informe COSO, lo que puede confirmarse en el caso de la prevención del blanqueo, analizando bajo estos criterios la Ley y la Directiva, con la única diferencia de que con la estructura de prevención del fraude preservamos los intereses de la empresa y con la estructura de prevención del blanqueo preservamos intereses sociales.

Con todo, ambos intereses poseen muchos puntos comunes y que tienen que ver con lo que en la legislación de prevención del blanqueo se denominan las medidas de  diligencia debida, que no son responsabilidad directa de los departamentos de prevención del blanqueo sino de la toda la empresa, lo que sin duda beneficia también a la prevención del fraude.

Es por ello por lo que tiene justificación que aprovechemos las partes del sistema que pudieran ser comunes, como sería el OCIC, rentabilizando así su funcionamiento dentro de la empresa.

En las materias específicas de prevención del blanqueo y de prevención del fraude, este instrumento para el buen Gobierno Corporativo estaría auxiliado por:
  • El Responsable ante el SEPBLAC y su Departamento de Prevención del Blanqueo, y por
  • El Servicio de Prevención del Fraude.

Bajo mi criterio, y así lo he expresado en anteriores fichas, el OCIC debería ser el único gobierno corporativo de la empresa para todas las actividades de cumplimiento.


PASOS ORGANIZATIVOS QUE HACEN POSIBLE EL MONITOREO DE ACTIVIDADES

Paso primero

El OCIC tiene que involucrar a toda la empresa en la responsabilidad de la prevención y detección del fraude interno.

Para ello tendrá que diseñar previamente un adecuado entorno o ambiente de control del fraude interno dentro de la empresa, que  sirva para contrarrestar los incentivos o presiones internas y externas que existen para cometer fraudes, potenciando para ello las actitudes éticas de cumplimiento del personal, y anulando las oportunidades de fraude interno a causa del debilitamiento de los controles.  Este debilitamiento ya vimos que podría deberse a distintas causas,  como por ejemplo los efectos de la crisis económica, o el mal funcionamiento de los procedimientos y de los sistemas establecidos para la operatividad.

Este ambiente de control tendrá su anclaje documental en el  CÓDIGO ÉTICO de la empresa.

Paso segundo:

Sobre la base del CÓDIGO ÉTICO y de las NORMAS DE CUMPLIMIENTO, EL OCIC ha de iniciar un proceso de evaluación del riesgo, con el objetivo de confeccionar el MAPA DE RIESGO DE FRAUDE INTERNO Y CUMPLIMIENTO PENAL. Para ello tendrá el auxilio del Servicio de Prevención del Fraude y su equipo de analistas.

Paso tercero:

Una vez establecido el MAPA GENERAL DE RIESGO DE FRAUDE INTERNO Y CUMPLIMIENTO PENAL, que como vimos era el sumatorio de los MAPAS DEPARTAMENTALES DE RIESGO, se procedía al diseño e implementación en cada departamento de aquellas actividades de control anti-fraude que se considerasen adecuadas, y  que podrían ser tanto organizativas como tecnológicas.

La concreción documental de estas actividades de control se conoce como POLÍTICA DE CONTROL DEL FRAUDE INTERNO Y DE CUMPLIMIENTO PENAL.

Las herramientas de control procedimental o tecnológico, imbricadas o anexadas a las plataformas tecnológicas de producción y de gestión producirán las correspondientes alertas, que tendrán que ser analizadas por los responsables del departamento afectado, y conocidas por el Servicio de Prevención del Fraude. Algunas de estas alertas llegarán directamente al Servicio para evitar que desde un departamento concreto se puedan eludir los controles de forma intencionada.

Este proceso de conocimiento y control de alertas es el que denominamos MONITOREO DE ACTIVIDADES (Paso quinto), y que lógicamente deberá estar tecnificado, para lo que el Servicio de Prevención del Fraude deberá estar dotado, con la aprobación del OCIC, de los medios personales y tecnológicos necesarios.

Paso cuarto:

Simultáneamente a la implementación dentro de la empresa de las actividades de control referenciadas en el paso anterior, se ha de poner en funcionamiento el proceso de INFORMACIÓN Y COMUNICACIÓN que analizamos en su momento, con lo que se culminaría un buen sistema de Gobierno Corporativo.

Este proceso  dará lugar a la creación de canales y herramientas de información y comunicación, al margen de las herramientas operativas referenciadas en el paso anterior, que deberán ser controladas y alimentadas por aquellos departamentos que decida la Dirección, desde donde se derivará la información sobre fraude interno e incumplimiento penal al  Servicio de Prevención del Fraude.

Los CANALES DE COMUNICACIÓN  que establezca la empresa son los que permitirán conocer al personal interno y externo, tanto el Código Ético como las normativas de cumplimiento y la política de control del fraude interno y cumplimiento penal.

Y los CANALES DE INFORMACIÓN, son los que permitirán conocer a la Alta Dirección los incumplimientos de la política de control del fraude interno y cumplimiento penal, comunicados por el personal interno y externo, que ha tenido que ser previamente informado, a través de los CANALES DE COMUNICACIÓN, de los derechos y de las obligaciones existentes.

Paso quinto:

MONITOREO DE ACTIVIDADES Y CREACIÓN DE INTELIGENCIA A TRAVÉS DE PLATAFORMAS TECNOLÓGICAS QUE PERMITAN EL ANÁLISIS DE LA INFORMACIÓN.


El rol del Servicio de Prevención del Fraude

El Servicio de Prevención del Fraude será, por tanto, el departamento dinamizador de las actividades de prevención y detección del fraude interno y externo  dentro de la empresa, y el colaborador y auxilio del OCIC en esta materia. También será un colaborador necesario del Departamento de Auditoría Interna en su trabajo de supervisión de los sistemas de control y del esclarecimiento de los fraudes internos detectados.

Igualmente será el receptor de la información procedente de las alertas generadas por los controles anti-fraude de la empresa, así como el receptor último de toda la información que sobre fraude e incumplimiento penal llegue a través de los canales de información abiertos, como por ejemplo las líneas éticas de denuncia, para lo que deberán adoptarse todas las medidas para el cumplimiento de la legislación sobre protección de datos de carácter personal.

Bajo la responsabilidad del Servicio de Prevención del Fraude estará el REPOSITORIO DE PREVENCIÓN DEL FRAUDE, que acumulará toda la información que tenga la empresa sobre fraude interno y externo, con lo que se evitará la compartimentación departamental de esta información sensible, para lo que el OCIC establecerá la normativa necesaria.

A cargo del Servicio de Prevención del Fraude estará también la MESA DE ANÁLISIS de la información generada por el Sistema, que estará compuesta por los analistas ayudados de  la tecnología necesaria para el análisis de la información, lo que permitirá generar inteligencia y alertas, mejorar procedimientos, producir informes y estadísticas, y buscar pruebas e indicios para la investigación de los fraudes y de los incumplimientos penales.

Será también el departamento que tenga al día la POLÍTICA DE PREVENCIÓN DEL FRAUDE INTERNO Y CUMPLIMIENTO PENAL,  que estará a disposición de toda la organización a través de los canales de comunicación,  y especialmente de los órganos de supervisión: Auditoría Interna y Auditoría Externa.


LA SUPERVISIÓN


El Área  de Auditoría Interna, que como sabemos tiene  la función de supervisión general de la empresa, no debe encargarse del control diario del fraude interno puesto que en este caso sería juez y parte, por lo que ha de limitarse a comprobar que el sistema de control establecido funciona correctamente, y a evaluar las actividades y herramientas de control diseñadas, informando a la Alta Dirección de las deficiencias detectadas y del tratamiento que debe darse a las mismas. Tendrá también a su cargo la investigación del fraude interno detectado, con la colaboración directa del Servicio de Prevención del Fraude y del resto de departamentos afectados.

Así pues, en el control del Fraude Interno la Auditoría Interna está encargada de la supervisión del Sistema, proporcionando al Consejo de Administración y a la Alta Dirección un análisis independiente y objetivo sobre la situación real de los controles establecidos, aportando las recomendaciones y acciones que a juicio de la Auditoría resulten necesarias.

La Auditoría Interna, para cumplir con este objetivo, ha de obligarse a realizar una serie de revisiones y comprobaciones que afectan a los procedimientos y herramientas de control, para medir así su eficacia y eficiencia, la fiabilidad de la información obtenida, la seguridad, y la sujeción del funcionamiento del sistema a las políticas de cumplimiento establecidas, para lo que podrá ayudarse del asesoramiento tecnológico necesario, interno y externo.

La Auditoría Interna, aunque tiene un funcionamiento independiente, está sujeta a un PLAN DE AUDITORÍA  controlado por el  Gobierno Corporativo. La supervisión concreta del sistema de control del fraude interno forma parte de este PLAN GENERAL.

En la parte del PLAN DE AUDITORÍA relativo a la supervisión del sistema de control del fraude interno, se identificarán cada una de las revisiones parciales que han de establecerse, teniendo como guía la POLÍTICA DE PREVENCIÓN DEL FRAUDE INTERNO establecida dentro de la entidad, para lo que Auditoría Interna recibirá previamente del Servicio de Prevención del Fraude la documentación existente y el asesoramiento necesario.

Este trabajo se completará con la información que Auditoría Interna pudiera obtener de otras fuentes, procediendo a elaborar la PROPUESTA DE AUDITORÍA relativa a la supervisión del sistema de control del fraude interno, que será sometida a aprobación por los órganos rectores de la empresa. Una vez aprobado, se comunicará el PLAN DE AUDITORÍA a las direcciones ejecutivas afectadas, como veremos posteriormente.


Programa de Trabajo

Los pasos previos que he ido explicando forman parte de un método de trabajo, con el que Auditoría Interna adquiere los conocimientos necesarios para poder supervisar con total independencia el sistema establecido de control del fraude, para lo que, como he indicado anteriormente, deberá elaborar un programa de trabajo en el que quedarán especificados:
  • Los objetivos a alcanzar
  •  Los riesgos de fraude identificados,  y las acciones diseñadas por el OCIC para su prevención y detección.
  • Detalle de las pruebas a realizar para comprobar la efectividad y eficiencia de los controles establecidos.
  • Detalle de las pruebas a realizar para comprobar la efectividad y eficiencia del trabajo y de la tecnología utilizada para la monitorización de actividades, y para el control de la información por el Servicio de Prevención del Fraude.
  •  La valoración del enfoque concreto y efectividad esperada de las pruebas que se van a realizar
  • La identificación del personal de Auditoría Interna que se va a encargar de cada parte del programa.


Para la elaboración de este programa, Auditoría interna habrá tenido reuniones preparatorias con el OCIC, con el Servicio de Prevención del Fraude y con los responsables de los departamentos identificados en el MAPA GENERAL DE RIESGOS.

Posteriormente se informará de este programa de trabajo a cada uno de los departamentos afectados, explicándoles los objetivos que se pretenden alcanzar, el plazo estimado de duración de los trabajos de auditoría y  la metodología que se va a aplicar, así como los puntos que se concretarán en el informe que posteriormente se haga.

La auditoría interna debe ser percibida y aceptada por toda la organización como un proceso necesario para la mejora de la calidad de la actividad productiva y organizativa, y por esta razón su operativa debe ser transparente. No es por tanto un instrumento represivo sino preventivo.

En el momento establecido en el PLAN, Auditoría Interna ejecutará la supervisión según el calendario previsto y, procederá al análisis y contraste de los resultados.

Seguidamente procederá a la preparación del BORRADOR DEL INFORME  que contrastará con los departamentos afectados; en nuestro caso, con los departamentos que tengan  riesgo de fraude interno, con el Servicio de Prevención del Fraude y, en su caso, con el OCIC.

Tras esta fase del trabajo de contraste, el departamento de Auditoría procederá a la confección de INFORME DEFINITIVO, que hará llegar al Consejo de Administración junto con sus recomendaciones y proposición de acciones.

Una vez valorado el INFORME DE AUDITORÍA por el Consejo de Administración,  Auditoría Interna hará el seguimiento de las mejoras que deben ser implementadas en el sistema de control del fraude interno.

Este mismo proceso de supervisión será el que tenga que hacer Auditoría Interna con las restantes áreas operativas y de cumplimiento de la empresa.

Creo que con esto  queda claro que la prevención del fraude es sólo una parte del trabajo de supervisión general encomendado a la Auditoría Interna, por lo que se comprende que el funcionamiento ordinario de control del fraude interno y externo debe estar encomendado a un departamento especializado como puede ser el Servicio de Prevención del Fraude.

El Servicio de Prevención del Fraude, al tener  competencias transversales en la organización,  debe ser considerado también como un departamento de CUMPLIMIENTO dentro del Gobierno Corporativo, y diferenciado de la actividad concreta de prevención del fraude, que es una obligación de toda la empresa y que está distribuida entre diferentes áreas y departamentos, como por ejemplo, análisis de riesgos, recuperaciones, seguridad física, seguridad informática, etc.



Fabián Zambrano Viedma
Responsable del Servicio de Prevención del Fraude




miércoles, 19 de octubre de 2011

La información y la comunicación, en la prevención del fraude interno




LA INFORMACIÓN Y LA COMUNICACIÓN

En la ficha número 3, hablábamos del primer elemento COSO: la creación de un entorno de control; es decir, establecer dentro de la empresa una cultura que no tolere el fraude, entendido éste en un sentido amplio de intolerancia frente a cualquier delito económico.

Para ello debía establecerse un CÓDIGO ÉTICO fundamentado en la filosofía de gestión del Consejo de Administración y de la Alta Dirección,  que servirá para desarrollar  una batería de acciones diversas, que nosotros concretábamos en la ficha comentada, en dos listados de medidas que suelen utilizar en sus publicaciones sobre cumplimiento las consultoras: PWC y Deloitte.

El cuarto elemento de control especificado en el  informe COSO, es el que nos permitirá en la práctica establecer de forma efectiva el entorno de control previamente diseñado a partir del CÓDIGO ÉTICO, mediante la creación en la empresa de herramientas para compartir información y comunicación, que es el objeto de esta ficha.

Cada empleado y directivo debe conocer lo que la empresa espera de él en relación con sus prácticas profesionales, para lo que ha de saber diferenciar las aceptables de las no aceptables. A este respecto deberá conocer la forma ética en que ha de llevar a cabo su operatoria diaria y las negociaciones con proveedores, clientes, empleados, auditores, competidores, y administraciones públicas.  Esta  información ha de tenerla de forma accesible y  actualizada.

A este respecto se ha de establecer una política clara de COMUNICACIÓN que permita asegurar el conocimiento de los programas y políticas anti-fraude dentro de la empresa, y también crear las herramientas necesarias para que todo el personal pueda participar en el mantenimiento del entorno de control,  junto con los procesos formativos que tienen que ser diseñados para cumplir con este objetivo de la comunicación.

En la ficha número 2 veíamos como el fraude interno afectaba negativamente a la moral del personal y bajaba su rendimiento, al mismo tiempo que incrementaba el incentivo o presión externa para cometer fraudes. Precisamente la política de comunicación tiene como objetivo evitar la existencia de estas estructuras empresariales éticamente descontroladas y por tanto impunes, porque los directivos y empleados honrados que trabajan en ellas no tienen la capacidad de elevar sus alertas a la Alta Dirección, ni tienen definidos con claridad los comportamientos poco éticos que tienen que soportar a su alrededor.

Una de las herramientas que facilitan el proceso de comunicación entre los empleados y la alta dirección fue analizada en la ficha número siete dedicada a las LÍNEAS ÉTICAS DE DENUNCIA, entendidas como canales de comunicación confidencial y segura, a través de los cuales los miembros de una organización pueden reportar a la alta dirección actos fraudulentos, situaciones anómalas y conductas inadecuadas.

La POLÍTICA DE COMUNICACIÓN de una empresa, por tanto, debe buscar que la comunicación fluya fácilmente en todas las direcciones, con el fin de facilitar a directivos y empleados el cumplimiento de sus responsabilidades.


La información y la comunicación en la estructura anti-fraude

LA COMUNICACIÓN:

Una vez establecido el marco general que justifica una política de COMUNICACIÓN dentro de la empresa, vamos a centrarnos en esta ficha en la aplicación práctica de esta política en relación con el fraude interno que estamos analizando.

El segundo componente COSO de control en materia de fraude interno es la evaluación de los riesgos, para lo que resulta imprescindible descubrirlos previamente y crear con ellos un MAPA GENERAL DE RIESGOS DE FRAUDE INTERNO, en un proceso de acumulación de información que resulta complejo y dificultoso, puesto que tenemos que fundamentarlo en un trabajo de investigación dentro de cada departamento, del que surgirá un MAPA DEPARTAMENTAL DE RIESGOS. El sumatorio de todos ellos nos permitirá definir posteriormente el MAPA GENERAL.

Junto con los riesgos objetivos derivados del mal funcionamiento operativo y de las debilidades detectadas en la organización, sistemas y procedimientos, hay que localizar también los riesgos subjetivos derivados de las presiones que pudieran sufrir  los empleados por circunstancias externas, como podría ser la crisis económica, o internas como por ejemplo, el incumplimiento de objetivos deficientemente definidos por la alta dirección, o personales de cada empleado.

Para la confección del MAPA GENERAL DE RIESGOS DE FRAUDE, la estructura de prevención del fraude (OCIC-SPFRAUDE) ha de utilizar fuentes diversas, y colaborar no sólo con los departamentos relacionados con la actividad vertical de producción, sino también con los departamentos transversales de cumplimiento, entendidos éstos en un sentido amplio: Auditoría, Recursos Humanos, Legal, Prevención AML, Prevención del Riesgos Laborales,  etc.

El OCIC, para ser eficaz ha de trabajar mediante diferentes comités: prevención del fraude, blanqueo de capitales, cumplimiento normativo, riesgos laborales, etc., cada uno de los cuales estará asistido por el departamento especializado en la materia, vg.: Servicio de Prevención del Fraude, Servicio de Prevención del Blanqueo de Capitales, Auditoría Interna, Departamento Legal, etc.

En nuestra materia, será el Comité de prevención del fraude del OCIC,  el que asistido por el Servicio de Prevención del Fraude deba proceder a la confección del MAPA GENERAL DE RIESGOS DE FRAUDE. Posteriormente será también el que evalúe y priorice  cada uno de los riesgos encontrados, los documente, y el que se encargue de confeccionar las políticas anti-fraude para ese departamento concreto. En estas políticas se definirán los riesgos, y se implementarán las soluciones organizativas o tecnológicas más apropiadas para su control. Estas políticas deberán quedar explicitadas por escrito y a disposición de los encargados de su cumplimiento y de los encargados de su control y supervisión; es decir, empleados y directivos del departamento, el Servicio de Prevención del Fraude y las Auditorías Interna y Externa.

Este trabajo de búsqueda de las debilidades en la estructura organizativa, operativa y procedimental, constituye un auténtico test de calidad para la mejora del funcionamiento de cada uno de los departamentos analizados, puesto que al mismo tiempo que se identifican los riesgos se estará comprobando la implantación real del Código Ético y de la normativa de cumplimiento penal, la valoración de la presión existente para el cumplimiento de los objetivos, que como sabemos es un factor de riesgo, las necesidades de personal, que es otro factor de riesgo importante, la descripción de cada puesto de trabajo, el conocimiento y las habilidades necesarias para llevarlo a cabo, las operatorias y los procedimientos, etc., quedando gran parte de esta información registrada por escrito. Como consecuencia, el beneficio de este trabajo de investigación quedará en el departamento analizado, puesto que en este análisis estarán participando los responsables del mismo.

El segundo paso que la estructura OCIC-SPFRAUDE tiene que dar, será la evaluación de los riesgos y su priorización, para lo que habrá de hacerse una estimación de la importancia de cada riesgo, la probabilidad o frecuencia de su materialización, y las soluciones organizativas y tecnológicas necesarias para evitarlo o en su caso para esclarecerlo. El resultado de este trabajo se explicitará en un MAPA DEPARTAMENTAL DE PREVENCIÓN DEL FRAUDE, que será público para los órganos directivos y para el departamento concreto que deba cumplir la política anti-fraude expresada en el mismo.

El MAPA GENERAL DE RIESGOS DE FRAUDE deberá complementarse, por tanto,  con un MAPA GENERAL DE PREVENCIÓN DEL FRAUDE que contendrá todas las políticas departamentales de prevención, y que estará a disposición de toda la estructura directiva, y en la parte que le afecte, de todo el personal destinado en cada uno de  los departamentos.

Llegamos por tanto a la materia específica objeto de esta ficha: LA POLÍTICA DE COMUNICACIÓN relativa al fraude interno.

Esta política no es independiente de la POLÍTICA GENERAL DE COMUNICACIÓN, que recopila y publicita aquella información que deben recibir los accionistas, los directivos, los empleados, los clientes, los proveedores y los organismos de control, en tiempo y en forma, para el cumplimiento de los objetivos de la empresa y de las  responsabilidades profesionales de los que trabajan en ella. La POLÍTICA DE COMUNICACIÓN relativa al fraude interno deberá estar integrada en aquella.

Las herramientas para recopilar y publicitar la POLÍTICA GENERAL DE COMUNICACIÓN son muy variadas gracias a las nuevas tecnologías, como por ejemplo sitios Web corporativos o públicos que permitan suministrar información a través de la Intranet  o de Internet, sobre el Código Ético, normativas de cumplimiento, o programas y controles anti-fraude, lo que puede hacerse de forma discriminada para que así sólo llegue la totalidad o parte de la información a su legítimo destinatario.

En relación con la prevención del fraude, hago mención también a otras herramientas como pueden ser los manuales para empleados y las publicaciones formativas, los boletines de noticias, las sesiones de entrenamiento  o los mensajes o presentaciones procedentes de los responsables de los distintos departamentos o de la estructura de prevención OCIC-SPFRAUDE.


LA INFORMACIÓN:

La comunicación anti-fraude  origina necesariamente información interna, por lo que la empresa está obligada a crear canales que permitan la participación del personal  en el control del entorno o ambiente. Ya vimos que uno de los canales más efectivos era la línea ética de denuncia, pero junto a ella pueden establecerse otros mecanismos que también faciliten la comunicación de  información relevante a los niveles superiores de la empresa, ya sea  por conducto jerárquico o transversal.

Junto a estas herramientas de comunicación que generan  información interna, y que pueden completarse con canales de comunicación externa para accionistas, clientes y proveedores,  la estructura OCIC-SPFRAUDE debe establecer un sistema automatizado por el que le lleguen las alertas producidas por las soluciones tecnológicas anti-fraude que estén acopladas a las plataformas operativas de producción dentro de cada departamento, así como la información sobre fraude que sea de interés y que proceda  de directivos,  empleados, o personal externo.

La información sobre fraude interno obtenida por las diferentes fuentes analizadas, llegará a un REPOSITORIO GENERAL DE PREVENCIÓN DEL FRAUDE controlado por el Servicio de Prevención del Fraude, que estará conectado a una plataforma tecnológica de análisis de la información. Esta plataforma tecnológica puede estar ubicada dentro de la empresa o contratada externamente como servicio “outsourcing”, y permitirá crear la inteligencia necesaria para las labores de prevención y represión del fraude interno, en un proceso similar pero independiente, al que se sigue para la prevención y represión del fraude externo.


CONCLUSIÓN:

No podrá existir una verdadera INFORMACIÓN y COMUNICACIÓN dentro de la empresa, si los empleados y los directivos no perciben claramente que el Consejo de Administración y la Alta Dirección están realmente implicados en el diseño y en el cumplimiento del CÓDIGO ÉTICO, y de que valoran e investigan la información generada en la empresa para asegurar el necesario entorno de control.


Fabián Zambrano Viedma
Responsable del Servicio de Prevención del Fraude



lunes, 17 de octubre de 2011

Diseño e implementación de actividades de control antifraude




DISEÑO E IMPLEMENTACIÓN DE ACTIVIDADES DE CONTROL ANTIFRAUDE


En las fichas anteriores hemos ido concretando dos de los elementos de CONTROL DEL FRAUDE INTERNO, según el esquema del Informe COSO:
  1. Creación de un entorno de control del fraude interno: “Cultura de tolerancia cero” (Ficha 3)
  2.  Evaluación del riesgo de fraude interno (Fichas 4 y 5).

Dentro de la evaluación del fraude interno ya aparecieron las primeras pautas a seguir para  el diseño e implementación en la empresa, de actividades de control anti-fraude (tercer elemento COSO):
  • Creación de un Órgano de Gobierno que tenga la autoridad necesaria para preparar las NORMAS ANTI-FRAUDE y que obligue a todo el personal de la empresa a su cumplimiento. Por motivos de racionalización organizativa y de economicidad,  asimilé este órgano a la estructura que ya tenemos creada por obligación legal para la prevención del blanqueo de capitales: el OCIC (Órgano de Control Interno y Comunicación).
  • Creación del Servicio o Departamento de Prevención del Fraude, que se encargará de forma directa del monitoreo de las actividades de control y del funcionamiento del sistema interno de prevención del fraude.

El Servicio de Prevención del Fraude (SPFRAUDE), con el nombre concreto que en cada empresa se le quiera dar, constituye un departamento especializado en esta materia que tiene una operatividad transversal, puesto que colabora con toda la entidad coordinando  las actividades de prevención y de control del fraude que realizan los distintos departamentos. No olvidemos que la prevención y el control del fraude interno y externo es una responsabilidad de toda la empresa.

En este Servicio estará también  ubicado el  REPOSITORIO CENTRALIZADO del que también hemos hablado en fichas anteriores, al que deberá llegar  toda la información generada en la empresa sobre fraude interno y externo, así como  la información referida a los incumplimientos detectados, que pudieran afectar a la responsabilidad penal de la empresa como persona jurídica,  y a sus directivos.


Diseño e implementación de actividades de control antifraude

A partir de la creación de la estructura de prevención del fraude ya indicada (OCIC-SPFRAUDE), es cuando la empresa puede iniciar de una forma ordenada  el proceso de diseño e implementación de las actividades de control.

Veíamos en las Fichas 4 y 5, que para configurar este proceso teníamos que partir de la evaluación del riesgo de fraude interno inherente a las actividades de negocio, para así crear el MAPA GENERAL DE RIESGO DE FRAUDE INTERNO, que estará compuesto por los diferentes MAPAS DEPARTAMENTALES en los que se concretan las operaciones de riesgo. (Dejo fuera de esta Ficha los aspectos derivados del fraude externo que trataremos en otro momento.)

Para la confección de estos MAPAS particulares de riesgo se sugería la conveniencia de la  participación de los empleados de la empresa,  que son los que trabajan el día a día de la operatividad y por tanto, los que mejor nos pueden informar de las debilidades y fortalezas de los  sistemas,  y de la efectividad de  los procedimientos que se emplean dentro de la empresa.

Apuntábamos que la colaboración del personal podía obtenerse de varias maneras, vg.: a través de formularios, entrevistas, buzones de sugerencias, o mediante sesiones de trabajo con  grupos reducidos de empleados, controladas y dirigidas por el Responsable de Cumplimiento departamental, miembro del OCIC delegado. Estas reuniones estarían preparadas previamente por el Servicio de Prevención del Fraude, que en caso necesario estaría auxiliado por personal especializado en comunicación.

Otra forma de obtener la información  para la confección de los MAPAS DEPARTAMENTALES DE RIESGO, sería mediante la integración rotatoria y temporal de personal de los distintos departamentos en el Servicio de Prevención del Fraude, o mediante la integración temporal de especialistas de prevención del fraude en las distintas  actividades operativas de la empresa.

El conocimiento de los riesgos permitirá a cada departamento participar en el diseño de los  procedimientos y sistemas de control anti-fraude, que serían completados  con herramientas organizativas y tecnológicas externas que ayuden a controlar el correcto funcionamiento de los sistemas y procedimientos aplicados, así como para detectar la posible elusión de las obligaciones de control por parte de algún empleado o directivo.

En las fichas 2 y 6 estudiamos la responsabilidad que en la prevención y control del fraude interno tienen, respectivamente, el Departamento de Recursos Humanos y el Departamento de Auditoría, comprobando que en esta materia tienen un especial protagonismo a través de su participación en el OCIC, aunque sus funciones en la empresa son mucho más amplias.

En la ficha número 7, analizamos también una de las herramientas imprescindibles en cualquier diseño e implementación de actividades de control anti-fraude, como es la instauración en la empresa de líneas éticas o sistemas internos de denuncias.

Ahora sólo nos queda completar las pautas enumeradas con otras nuevas, para cerrar así el  conocimiento básico que pretendemos adquirir acerca del  tercer elemento del sistema COSO para el control interno.

El diseño e implementación de las actividades del control del fraude obliga a las empresas, a través de sus estructuras anti-fraude, a abordar cada riesgo de fraude mediante una concreta política de control, que contendrá tanto medidas preventivas como de detección; algunas de estas medidas serán de naturaleza automatizada, y estarán por tanto recogidas en las plataformas tecnológicas operativas o de control.

Durante este proceso,  los analistas de prevención del fraude deben asesorarse, a través  especialistas  tecnológicos y mediante el contacto con los centros universitarios,  sobre  las mejores herramientas existentes en el mercado para los problemas planteados,  y para que,  en el caso de que estas soluciones no existan, puedan ser diseñadas en base al funcionamiento operativo real de las empresas. La prevención del fraude es una materia que necesita una   investigación conjunta y permanente entre especialistas teóricos y prácticos.

Como veremos en otra de las fichas,  la cooperación entre empresas ofrece muchas posibilidades para el diseño de plataformas tecnológicas de uso compartido y funcionamiento independiente, a través de “cloud computing”, dotadas con  las máximas  garantías de seguridad.

Al estudiar los factores de riesgo de fraude interno, vimos que no sólo eran operacionales, es decir, derivados de la oportunidad que para cometer fraudes internos ofrecen determinadas operaciones difíciles de controlar o con controles debilitados (recordemos uno de los vértices del triángulo del fraude), sino también subjetivos y por tanto dependientes de las actitudes éticas de los empleados que manejan estas operaciones, y del incentivo y la presión ambiental que soportan. (Los otros dos vértices del triángulo).

Recordemos también, que los riesgos descubiertos no nos indican que exista fraude, sino que éste puede producirse si no definimos una buena política de control que ayude a la prevención, y si no nos dotamos de los recursos tecnológicos necesarios para que,  en caso de que se comenta algún fraude interno, nos alerten de su existencia y nos faciliten su investigación.

Entendemos, por tanto, como una buena política de control, las acciones que hemos de tomar para disuadir y mitigar cada uno de los riesgos específicos de fraude interno detectados, tanto los objetivos que se derivan de las operaciones de riesgo, como los subjetivos, derivados de la posible elusión de los controles por parte de algún empleado y directivo que deban cumplirlos.

En el diseño e implementación de estas actividades de control (política de control), deben participar indirectamente los propios responsables de los procesos de riesgo y sus empleados,  tal como expliqué  en fichas anteriores, y directamente la estructura de prevención del fraude (OCIC-SPFRAUDE).

AUDITORÍA INTERNA se encargará de la evaluación de la efectividad de esa política, y del  perfeccionamiento de la misma a través de la supervisión.

Las actividades de control no sólo abarcan aspectos procedimentales, sino también la adecuación e incorporación al sistema de control,  de aquellas herramientas tecnológicas que se estimen necesarias, y que serán integradas, o en las plataformas de producción de cada departamento, o en el sistema de centralización de alertas del Servicio de Prevención del Fraude.

Como podemos observar, nos enfrentamos a un dificultoso trabajo de campo para tratar de construir en cada departamento y con la participación de las personas que trabajan en el mismo, su particular política de control del fraude interno. La construcción del sistema de control estará liderada por un equipo especializado, que no es otro que la estructura de prevención del fraude: OCIC-SPFRAUDE, que será quien se encargue de documentar cada MAPA DEPARTAMENTAL DE PREVENCIÓN DEL FRAUDE, que como vimos integra el MAPA DEPARTAMENTAL DE RIESGOS y las soluciones procedimentales y tecnológicas necesarias para la prevención.

Quiero detenerme en el concepto de DOCUMENTACIÓN, porque es muy importante que en el proceso de diseño e implementación de la política de control, se tenga previsto que ésta ha de quedar perfectamente registrada por escrito o mediante alguna aplicación informática, puesto que ha de hacerse posteriormente su seguimiento operativo a través de la supervisión, para que así pueda ser convenientemente auditada.

La DOCUMENTACIÓN resulta también necesaria para fundamentar los procesos de comunicación e información que analizaremos en una ficha posterior.

No he visto que exista un criterio “académico” para llevar a la práctica este tercer principio COSO, ni siquiera un solo criterio práctico, puesto que cada empresa de un mismo sector de actividad puede tener diferentes objetivos y estrategias que afectarán al diseño y a la implantación de las acciones anti-fraude. Igualmente cada empresa posee su propia escala de prioridades al analizar los factores de riesgo, porque depende de las decisiones que toman sus directivos y de las ideas que estos tienen sobre el control interno, a lo que hay que añadir otros elementos distorsionadores, como son el entorno y las circunstancias que rodean a cada empresa, o su  propia complejidad organizativa.

Con todo, tal como veremos en otra ficha, existen elementos comunes de interés que aconsejan la cooperación entre empresas en la búsqueda de plataformas tecnológicas comunes con funcionamiento “outsourcing” para reducir  así  gastos directos, que pueden ser adaptadas de forma independiente a los criterios de cada empresa.

Estas plataformas tecnológicas que no afectan a la actividad principal de la empresa, sin embargo permiten operar en las materias de prevención del fraude interno y externo con herramientas potentes y permanentemente actualizadas,  respaldadas por los principales operadores tecnológicos del mercado en el ámbito nacional e internacional.



Fabián Zambrano Viedma
Responsable del Servicio de Prevención del Fraude




viernes, 14 de octubre de 2011

Líneas éticas: Sistemas internos de denuncias y la prevención del fraude interno




LÍNEAS ÉTICAS: SISTEMAS INTERNOS DE DENUNCIAS O “WHISTLEBLOWING”


En el estudio Global de PWC correspondiente a 2009 sobre delitos económicos, se indica que las LÍNEAS ÉTICAS DE DENUNCIA han contribuido a la detección de un 7% de los fraudes internos sobre la muestra analizada. Esta herramienta la han utilizado en España un 36% de las empresas encuestadas.

Los analistas de PWC ofrecen estos argumentos para justificar esta baja efectividad:
  1. En bastantes de las empresas encuestadas estos procedimientos no existen. Entre las empresas españolas encuestadas, un 64% no utilizan las líneas éticas o sistema formalizado de denuncias.
  2.  La inexistencia de los Buzones de Denuncias se puede deber a que:

a.       No tienen el necesario  respaldo dentro de las organizaciones.
b.      No se han publicitado convenientemente.
c.       A que los usuarios de las líneas éticas consideran que es un procedimiento inútil,  porque la alta dirección no lo tiene en consideración.

Para el trabajo operativo resulta evidente la utilidad de esta herramienta, porque sirve para prevenir y detectar el fraude corporativo y para promover los principios y valores éticos de las organizaciones.

Pero para que sea efectiva debe constituirse como un canal de comunicación confidencial y seguro, por el que los miembros de una organización puedan reportar a la alta dirección actos fraudulentos, situaciones anómalas y  conductas inadecuadas.

La forma del canal de comunicación puede ser muy variada, como por ejemplo:
  •  línea telefónica asistida por personal especializado
  •  línea telefónica automatizada que graba la denuncia
  •  aplicación que funcione a través de la Intranet de la empresa
  • aplicación que funcione  a través de Internet
  •  etc.

Cualquiera de  la forma elegida puede estar controlada por la empresa o por un tercero de confianza. En algunas empresas estos canales están abiertos también para clientes y proveedores.

Para evitar que los usuarios consideren esta herramienta inútil y por tanto pierda la efectividad que debería tener,
  • los denunciantes han de percibir que el sistema establecido por la empresa goza de integridad y confidencialidad
  •  tiene un acceso adecuado
  • y sobre todo, que existe realmente la voluntad de hacer el seguimiento de las denuncias reportadas.

La LÍNEA ÉTICA debe ser percibida dentro de la empresa como un canal que permite la comunicación directa entre los empleados y la alta Dirección, y que por tanto sirve para generar un clima de transparencia y un ambiente de control.

Este tipo de herramientas reducen la sensación de impunidad que a veces se percibe en algunas empresas,  derivada de la imposibilidad de poner en evidencia conductas no éticas de alguno de sus miembros.

Los Buzones de Denuncia sólo se justifican si previamente se ha creado dentro de la empresa una cultura antifraude de tolerancia cero, en la que se reconoce el valor del comportamiento ético, y se responde en forma decidida y apropiada cuando surgen los actos ilícitos. No son apropiados cuando en la empresa no existe la necesaria transparencia.

Junto con los beneficios señalados, en el informe del año 2008 de la Association of Certified Fraud Examiners se afirma que las empresas que poseen Líneas de Denuncia adelantan en un 60% el tiempo medio de conocimiento de fraude. Esto quiere decir que si una empresa sin línea de denuncia tarda en detectar y corregir una acción ilícita 24 meses, otra una con línea de denuncia lo hace en 15 meses.

Cuando la LÍNEA ÉTICA está bien implementada a través de una plataforma tecnológica adecuada, el tiempo de conocimiento y  corrección del fraude se reduce drásticamente, puesto que todo el proceso de investigación puede comenzar en  las 24 horas siguientes a la denuncia.

A partir de ese momento se ponen en funcionamiento los mecanismos tendentes a comprobar la veracidad de la información, y su resolución sólo depende de la complejidad del asunto y de los recursos invertidos en la verificación.

El Departamento de RR.HH es otro de los posibles beneficiados de esta herramienta,  porque bien utilizada  funciona como termómetro del clima laboral.

Implantar dentro de la empresa una LÍNEA ÉTICA requiere una buena planificación, que vamos a simplificar en algunos pasos:
  1. Definición de una Política de Prevención Penal y contra el Fraude, partiendo de las nuevas obligaciones de cumplimiento derivadas de la responsabilidad penal de las personas jurídicas (Art. 33 bis del Código Penal).
  2. Esta política ha de tener como objetivo establecer dentro de la empresa una cultura de tolerancia cero contra el fraude interno en el concepto amplio que estamos estudiando.
  3. Dentro de esta cultura de tolerancia cero, la Administración ha de anunciar los objetivos de un programa de línea ética y la razón para implementarlo.
  4. Cada empleado debería recibir una carta o comunicado anunciando el programa, junto con la información sobre su funcionamiento técnico y operativo.
  5. Este programa debe darse a conocer a los empleados en reuniones, y aparecer en los tablones de avisos de todas las áreas de trabajo.
  6. Este programa debe referenciarse en los contratos de trabajo de los nuevos empleados y en su período de formación.    

Resulta necesario que en la formación que se de a los empleados se expliquen adecuadamente los tipos de asuntos que pueden reportarse a la alta dirección a través de esta herramienta, y el proceso que se generará tras la recepción, al mismo tiempo que se forma a los empleados y directivos en la Política de Prevención Penal y contra el Fraude. De esta manera la empresa estará desarrollando entre los miembros de la organización la sensibilidad necesaria para conocer en profundidad lo que significa el fraude interno en el sentido amplio que estamos estudiando, y aprenderán a utilizar esta herramienta de forma oportuna y racional.


Las LÍNEAS ÉTICAS DE DENUNCIA (BUZONES DE DENUNCIAS), comenzaron a generalizarse en las empresas de todo el mundo a partir de la entrada en vigor en EE.UU. de la Ley Sarbanes-Oxley, en la que se prevé el establecimiento de determinados sistemas internos de alarma, gráficamente denominados como “whistleblowing procedures”, a fin de detectar posibles irregularidades financieras y contables en las empresas. Estos buzones son obligatorios, según esa Ley, para todas las empresas que cotizan en algún mercado de valores norteamericano.

Fuera de EE.UU. la exigencia de esta Ley puso en guardia a las distintas autoridades nacionales de protección de datos, puesto que estas líneas éticas o buzones de denuncias eran receptoras de datos de carácter personal muy sensibles, y  que, por tanto, exigían una especial protección.

En la Unión Europea se quiso dar una respuesta uniforme a la exigencia de esta Ley, puesto que afectaba a numerosas empresas europeas que ya cotizaban o deseaban cotizar en los Mercados de Valores de los Estados Unidos y, a este fin se reunieron en el año 2006 los máximos representantes de las Autoridades de Protección de Datos de la Unión, pertenecientes al grupo consultivo denominado “GRUPO DEL ARTÍCULO 29”, quienes emitieron una OPINIÓN sobre los requisitos legales que habilitarían el tratamiento de ficheros con denuncias anónimas en las empresas.

La OPINION de este Grupo establece que pueden existir dos fundamentos legales para que la aplicación de los sistemas de denuncias confidenciales se realice de acuerdo a la Directiva europea de protección de datos:
  1.  la existencia una ley o
  2.  un interés legítimo.

La Opinión del Grupo del Artículo 29 estableció también que estos sistemas debían limitarse a las actividades relacionadas con los sectores financieros y de contabilidad, sin extenderse a otros ámbitos. Y que el tratamiento de ficheros con denuncias anónimas debía respetar los principios de las leyes de protección de datos, como son los de calidad de los datos y de información, así como los derechos de acceso, rectificación y cancelación.

La AEPD, en relación con la OPINIÓN del Grupo, interpretó en su Nota Informativa publicada ese mismo año, que este tratamiento de datos podría justificarse por ser necesario para el desarrollo de la relación contractual entre los trabajadores y su empresa. (Interés legítimo).

Como podemos observar, la parte más delicada de las LÍNEAS ÉTICAS, es la relacionada con la protección de los datos de carácter personal que se mueven a través de las mismas, por lo concluiré este trabajo con la posición pública de la AEPD sobre el tema, lo que sin duda ayudará a dar seguridad jurídica a aquellas empresas que quieran impulsar algún sistema interno de denuncia.

Para ello utilizaré la “Guía de la protección de datos en las relaciones laborales” publicada por la Agencia en el año 2009.

La Agencia define los SISTEMAS INTERNOS DE DENUNCIAS O “WHISTLEBLOWING”, como buzones internos a través de los cuales los empleados de la compañía, generalmente mediante un procedimiento online, ponen de manifiesto la existencia de conductas contrarias a la Ley o a las normas internas de conducta de la empresa, llevadas a cabo por empleados o auditores de las empresas.

Y admite que el establecimiento de estos sistemas podría ser conforme a las normas de protección de datos, siempre que se adecúen a los principios establecidos en esta normativa.

Para ello establece los siguientes criterios:
  • Tanto los denunciantes como los potenciales denunciados deberán haber sido informados previamente de la existencia de estos sistemas, del tratamiento de los datos que conlleva la formulación de una denuncia y de las consecuencias que para el denunciado puede comportar este hecho.
  • Esta información previa se podrá implementar en el contrato de trabajo o cuando se contrate un servicio externalizado, como una auditoria, y quepa la denuncia respecto de los contratados.
  • Otra forma admitida de información previa puede hacerse a través de circulares informativas al personal y a su representación informando de la existencia y finalidad de un tratamiento de datos relacionado con estos buzones o sistemas de denuncias.
  • Si los datos contenidos en los sistemas de denuncias fueran a ser transmitidos a una tercera compañía que investigue el hecho denunciado, se producirá una cesión de datos de la que el interesado, tanto el denunciante como el denunciado, deberá ser debidamente informado. Esta misma información deberá referirse, en su caso, a la posible transferencia internacional de datos a otras empresas del Grupo.
  • En todo caso, la existencia de estos buzones debería respetar el principio de proporcionalidad, de forma que las denuncias se refieran únicamente a supuestos en que los hechos o actuaciones tengan una efectiva implicación en la relación entre la empresa y el denunciado, concretando así qué acciones deberán ser objeto de denuncia y especificando las normas legales o contenidas en códigos internos de conducta a las que las denuncias podrán referirse.
  • Para garantizar la exactitud de la información deberían establecerse mecanismos que garanticen únicamente la aceptación de las denuncias en que el denunciante aparezca claramente identificado, no siendo adecuado establecer sistemas de denuncias anónimas. En todo caso, la confidencialidad de la información del denunciante debería quedar a salvo, no facilitándose, como regla general, su identificación al denunciado.
  • Precisamente como consecuencia de lo anterior, será necesario que se extremen en relación con estos tratamientos las medidas que garanticen la adecuada seguridad y confidencialidad de la información, pudiendo establecerse medidas reforzadas de seguridad y extremando las cautelas que garanticen el cumplimiento del deber de secreto.
    • Limitando  el acceso al contenido de las denuncias a los usuarios que lleven a cabo la investigación y relacionarlos en el documento de seguridad
    • Estableciendo un sistema de registro de accesos, aún cuando no corresponda aplicar las medidas de nivel alto del RLOPD
    • Estableciendo la firma de compromisos reforzados de confidencialidad con los usuarios autorizados, con especiales medidas disuasorias para el caso de vulnerarse el deber de secreto.
  • La conservación del dato debería limitarse al tiempo necesario para la investigación de los hechos y sólo en caso de que de aquélla se desprenda la adopción de determinadas medidas contra el denunciado sería posible conservar los datos por un plazo superior, debiendo eliminarse en caso contrario.
  • Deberán garantizarse los derechos de acceso, rectificación, cancelación y oposición por parte del denunciado, sin que ello implique facilitar a aquél el dato del denunciante. En todo caso, el denunciado debería poder conocer en el menor tiempo posible el hecho denunciado a fin de poder defender debidamente sus intereses.
  • Los ficheros creados en el marco de estos sistemas deberán ser notificados al Registro General de Protección de Datos. Del mismo modo, deberán notificarse y/o autorizarse las transferencias internacionales de los datos que vayan a llevarse a cabo.



Fabián Zambrano Viedma
Responsable del Servicio de Prevención del Fraude




jueves, 13 de octubre de 2011

La Auditoría y el fraude interno




LA AUDITORÍA Y EL FRAUDE INTERNO


La función de auditoría interna es una herramienta muy eficaz para la detección e investigación del fraude. En el estudio global de PWC de 2009, según datos aportados por los encuestados, se indica que  dio lugar a la afloración del 17% de los fraudes internos.

Con todo, los últimos estudios de PWC muestran una tendencia descendente de la Auditoría en la detección del fraude interno, en relación con otros controles anti-fraude que ya se utilizan en las empresas, como por ejemplo el control y la gestión de riesgos, si bien sigue siendo aún una pieza fundamental para su descubrimiento. De hecho, la gestión del riesgo en 2009 sólo detectó un 14% del fraude, pero en 2007 lo hacía un 4% y en 2005, un 3%, lo que demuestra su potencial futuro en relación con la Auditoría interna, que en 2007 detectaba un 19%, pero que en 2005 lo hacía en un 26%.

Históricamente, hasta que no comenzaron a desarrollarse las nuevas herramientas de detección del fraude interno, la Auditoría Interna venía supliendo esta función dentro de las empresas; de hecho, en una primera etapa de su desarrollo allá por el año 1940, su tarea fundamental consistió en la detección de fraudes y errores. En una segunda etapa, la Auditoría Interna se centró en la verificación de la información financiera-contable (Auditoría Contable o Verificativa), para asumir en una tercera etapa, además de las dos funciones anteriores, la comprobación del grado de cumplimiento de NORMAS, PLANES, PROCEDIMIENTOS y POLÍTICAS (Auditoría Operativa o de Gestión).

En la actualidad,  la Auditoría interna es uno de los pilares que tiene la Dirección para asegurar el cumplimiento efectivo de las responsabilidades establecidas dentro de la empresa y para suministrar a los altos directivos la necesaria información veraz y objetiva para la toma de decisiones.

A este fin, la Auditoría interna proporciona informes en los que analiza y evalúa las actividades que audita, dando sugerencias, recomendaciones y datos estratégicos de las mismas.

Desde este prisma operativo, la detección y prevención del fraude  no es una responsabilidad directa de la Auditoría interna, sino que ésta actúa en esta faceta como una herramienta coadyuvadora de la prevención dentro de la política anti-fraude, que como hemos visto es responsabilidad de la alta dirección y que tiene que ser diseñada por el OCIC.

Para lo que sí resulta determinante la Auditoría interna es para la investigación de los fraudes que ya se han producido, y para buscar las pruebas necesarias para su esclarecimiento.

Para ello está revestida de la autoridad necesaria, lo que le permite actuar con total independencia sobre cualquier área o departamento, conforme a un plan Anual de Auditoría que previamente habrá sido aprobado por la alta dirección.

Este plan le autoriza para acceder libremente a los registros, archivos, documentos y fuentes de información de la empresa, lo que unido a los profundos conocimientos del fraude interno de sus profesionales en base a su experiencia acumulada, hace que la Auditoría interna sea el instrumento imprescindible para la confección del expediente de investigación, en el que los restantes departamentos de prevención deben actuar como colaboradores.

Dentro de las funciones de control, la Auditoría interna recibe todas las NORMAS de obligado cumplimiento relativas al funcionamiento de la empresa, entre las que están las de prevención del fraude, analizando su conveniencia y operatividad y ayudando de esta manera a su  implantación efectiva, por lo que su colaboración resulta imprescindible para la eficacia práctica de las mismas. Bajo su responsabilidad está comprobar la exigencia del cumplimiento de las NORMAS e INSTRUCCIONES establecidas, y de ofrecer sus  recomendaciones a los responsables de su implantación, en nuestro caso el  OCIC.

La Auditoría interna funciona como una línea crítica de defensa contra la amenaza del fraude interno, por su labor de supervisión del esfuerzo anti-fraude de toda la empresa, especialmente en relación con el monitoreo y la evaluación de los riesgos, y la verificación del sistema de respuestas que la empresa tiene que dar a los Reguladores y/o a las autoridades penales.

El Director de Auditoría, a mi juicio debería ser un Miembro destacado del OCIC para conocer así en profundidad  el esfuerzo anti-fraude corporativo. Pero esta posición no es generalizable para todas las empresas, puesto que en algunas la función de auditoría está totalmente aislada del proceso normativo para así preservar su independencia.

Yo soy de la opinión que el OCIC no puede prescindir de la experiencia de  Auditoría Interna en la planificación de la prevención del fraude, ni Auditoría Interna puede obviar un conocimiento profundo de la normativa y de la estructura operativa de prevención montada en la empresa, aunque su participación en el OCIC sea sólo a título consultivo para así preservar esta independencia. Siempre estará la Auditoría Externa para validar el análisis de Auditoría Interna desde una perspectiva totalmente ajena a la empresa.

El Director de Auditoría Interna, como siempre ha sucedido,  tiene la obligación de formar a todo su Equipo en el conocimiento de los fraudes internos más comunes, y de definir  los protocolos a seguir cuando se sospecha o se detecta un fraude, a saber:
  •  estrategias a seguir
  •  composición del equipo de investigación
  • autoridad interna a la que hay que reportar
  • material documental a revisar
  • otros aspectos de interés.

No olvidemos que será la Auditoría interna la que lidere la investigación de los incidentes reportados.

El Departamento de Auditoría interna constituye la principal área de control de cumplimiento de la empresa.

Está encargado de proporcionar a la alta dirección un análisis objetivo e independiente del control interno implantado, que abarca:
  • la fiabilidad e integridad de la información financiera
  • el cumplimiento normativo interno y externo
  •  la eficacia y la eficiencia en el desarrollo de las operaciones
  •  la seguridad de la información y,
  • la integridad del patrimonio.

Además, supervisa a las restantes áreas de cumplimiento especializadas.

Teniendo en cuenta todas las responsabilidades que ha de asumir de forma directa Auditoría Interna, no se puede pretender también que lleve la responsabilidad directa en la gestión y en el control preventivo del fraude,  que como hemos analizado en las fichas anteriores exige un departamento dedicado expresamente para esta función.

El OCIC es el Órgano normativo y de aplicación de las normas anti-fraude dentro de la empresa. El Servicio de Prevención del Fraude es el departamento ejecutivo del OCIC en la aplicación y control de la prevención, a través de su estructura operativa y tecnológica.

Auditoría Interna tiene la responsabilidad directa en la supervisión del cumplimiento de la normativa interna y externa sobre prevención del fraude, y sobre la idoneidad, efectividad y eficiencia del sistema de prevención del fraude establecido en la empresa.

Será también quien coordine y dirija las investigaciones sobre los incidentes de fraude interno y externo que exijan un análisis del  control operativo, informático, personal y  comercial, para lo que contará con la colaboración del Servicio de Prevención del Fraude y de las Direcciones Generales que estén afectadas, con el fin de obtener y valorar las evidencias documentales, la amplitud y causas del fraude cometido, identificar a los responsables, y conocer la técnica fraudulenta utilizada.

El resultado de esta investigación se plasmará en un informe de auditoría con los datos que permitan el esclarecimiento de los hechos y la identificación de los autores, que se acompañará de copia de los documentos justificativos de estos datos.

A este informe le acompañará otro  en el que se determine los controles que han fallado y en el que se aconseje a la dirección sobre la creación de controles nuevos o el reforzamiento de los existentes.

Cuando los hechos fraudulentos tuvieran que ser denunciados a las Autoridades, será la Asesoría Jurídica Interna o Externa la que tendrá que formalizar el correspondiente escrito de denuncia valiéndose para ello de la información aportada por la Auditoría interna, pero no aportando físicamente estos informes, sino las evidencias y pruebas documentales encontradas, pero revestidas con el necesario lenguaje jurídico.


Fabián Zambrano Viedma
Responsable del Servicio de Prevención del Fraude