Blog del Servicio de Prevención del Fraude

Asociación Nacional de Establecimientos Financieros de Crédito (ASNEF)





C/ Velázquez, 64-66, 2ª planta

28001 Madrid

Teléfono del Servicio: 917814551

Fax: 914314646



Correo electrónico: spfraude@asnef.com







martes, 11 de enero de 2011

PROGRAMA DE PREVENCIÓN Y DETECCIÓN DE DELITOS



ENTRADA EN VIGOR DE LA LEY ORGÁNICA 5/2010, DE 22 DE JUNIO, POR LA QUE SE MODIFICA LA LEY ORGÁNICA 10/1995, DE 23 DE NOVIEMBRE, DEL CÓDIGO PENAL


El 23 de diciembre de 2010 entró en vigor la Ley Orgánica 5/2010, que establece la responsabilidad penal de las personas jurídicas por la comisión, por sus representantes legales y administradores de hecho o de derecho, de determinados delitos especificados en la citada Ley, cuando éstos se cometan en su nombre o en su provecho. O cuando estos delitos sean cometidos por los empleados, si no se ejerció sobre ellos el debido control. (Ver el Artículo 31 bis que se incorpora al Código Penal)

En general, las sanciones que se aplicarán serán de multas, pero atendiendo a la gravedad de los hechos podrían venir acompañadas, entre otras, de la suspensión de actividades o el cierre. A todo esto hay que añadir el efecto reputacional negativo que sobre cualquier persona jurídica tiene una investigación penal, aún en el caso de que no termine sustanciándose en condena. (Ver Artículo 33.7 del Código Penal reformado).

Son varios los delitos que se especifican en la Ley Orgánica 5/2010, de los que pueden ser penalmente responsables las personas jurídicas:

  • Trata de seres humanos (Artículo 177 bis.7)
  • Relativos a la prostitución y la corrupción de menores (Artículo 189 bis)
  • Descubrimiento y revelación de secretos (Artículo 197.3)
  • Estafa (Artículo 251 bis)
  • Insolvencias punibles (Artículos 261 bis)
  • Daños informáticos (Artículo 264.4)
  • Relativos a la propiedad intelectual e industrial, al mercado y a los consumidores (Artículo 288)
  • Blanqueo de capitales (Artículo 302.2)
  • Delitos contra la Hacienda Pública y la seguridad Social (Artículo 310 bis)
  • Delitos contra los derechos de los ciudadanos extranjeros (Artículo 318 bis.4)
  • Delitos contra la ordenación del territorio (Artículo 319.4)
  • Delitos contra los recursos naturales y el medio ambiente (Artículo 327 y Artículo 328.6)
  • Exposición a radiaciones ionizantes (Artículo 343.3)
  • Delitos de riesgo provocados por explosivos y otros agentes (Artículo 348.3)
  • Delitos relativos a drogas tóxicas, estupefacientes o sustancias psicotrópicas (Artículo 369 bis)
  • Falsificación de tarjetas de crédito y débito y cheques de viaje (Artículo 399 bis.1.3º)
  • Cohecho (Artículo 427.2)
  • Tráfico de influencias (Artículo 430)
  • Corrupción de funcionario público extranjero (Artículo 445.2)
  • Financiación del terrorismo (Artículo 576 bis.3)


CONSECUENCIAS DE LA ENTRADA EN VIGOR DE LA LEY ORGÁNICA 5/2010, DE 22 DE JUNIO

  • Las entidades han de valorar sus riesgos penales, en relación con los delitos especificados en la Ley Orgánica 5/2010.
  • La valoración deberá ir acompañada de la correspondiente formación en materia penal de los administradores y trabajadores.
  • Resulta conveniente implantar en las empresas, a partir del 23 de diciembre de 2010, una estructura de cumplimiento centrada en la prevención y vigilancia de los riesgos penales que hayan sido detectados.

Aunque en el Artículo 31 bis que se ha incorporado al Código Penal no se indica la forma en que han de proceder las personas jurídicas en esta materia, en su texto se ofrecen algunas claves de interés:

  1. La responsabilidad penal de las personas jurídicas deriva, respecto de los delitos cometidos por sus empleados, del hecho de no haber ejercido sobre los mismos el debido control, atendidas las concretas circunstancias de cada caso.
  2. Existen circunstancias atenuantes de la responsabilidad penal de las personas jurídicas, entre las que se reseña el establecimiento de medidas eficaces para prevenir y descubrir los delitos que pudieran cometerse, con los medios o bajo la cobertura de las personas jurídicas.

Estas claves que nos ofrece el Artículo 31 bis, aconsejan a cada empresa que confeccione y ponga en funcionamiento un PROGRAMA DE PREVENCIÓN Y DETECCIÓN DE DELITOS, que para simplificar llamaremos PROGRAMA PPDD, con los siguientes objetivos:

  1. Análisis de los riesgos penales existentes en la empresa.
  2. Elaboración de un código de conducta (CÓDIGO ÉTICO) para evitar los riesgos penales detectados.
  3. Establecer un sistema de control de los riesgos penales.
  4. Ofrecer a los directivos y empleados una formación penal suficiente, para evitar la comisión de aquellas operaciones detectadas como de riesgo.

Para el desarrollo del PROGRAMA PPDD, aconsejo utilizar la experiencia que ya tenemos acumulada para la prevención del blanqueo de capitales y de la financiación del terrorismo.

Al igual que sucede en la prevención del blanqueo de capitales, en el PROGRAMA PPDD deberá estar involucrada toda la empresa, y especialmente la alta dirección, porque para que funcione se han de establecer:

  • Una normativa o CÓDIGO ÉTICO (FASE DE PLANIFICACIÓN ESTRATÉGICA)
  • Un equipo de control que impulse el cumplimiento del CÓDIGO ÉTICO (FASE DE PLANIFICACIÓN TÁCTICA)
  • Dotar a la empresa con los recursos humanos y materiales necesarios para llevar a la práctica el CÓDIGO ÉTICO (FASE DE PLANIFICACIÓN LOGÍSTICA).

Para contar con una mínima estructura para la confección y aplicación del CÓDIGO ÉTICO, aconsejo que utilicemos una parte de la que ya tenemos montada para la prevención del blanqueo de capitales, y concretamente:


EL ÓRGANO DE CONTROL INTERNO (OCI)


El ÓRGANO DE CONTROL INTERNO (OCI), en el Modelo que hemos utilizado para la prevención del blanqueo de capitales, recordemos que estaba compuesto por los máximos responsables de las áreas de negocio y lo denominamos OCI titular. Así se asegura que en el PROGRAMA PPDD esté realmente involucrada la alta dirección.

Dependiendo del jefe de cada área de negocio, había un Responsable de “Compliance”. El conjunto de todos ellos formaban el OCI delegado.

A través de este Modelo teníamos creada una estructura piramidal en materia de “compliance”, que trabajaba por delegación de la alta dirección en la planificación y control de las obligaciones de cumplimiento AML de la empresa. Esta misma estructura es la que puede servir ahora para la planificación y control de las obligaciones PPDD.

El OCI delegado se encargaría de elaborar el PROGRAMA PPDD, bajo el control directo y con la autoridad que reciben de los Jefes de Área. Llevaría a cabo, por delegación, la PLANIFICACIÓN ESTRATÉGICA, la PLANIFICACIÓN TÁCTICA y la PLANIFICACIÓN LOGÍSTICA señaladas.

El OCI delegado en materia PPDD, no estaría presidido por el REPRESENTANTE ANTE EL SEPBLAC, como sucedía para la materia AML, sino por el RESPONSABLE DEL DEPARTAMENTO DE PREVENCIÓN DEL FRAUDE, con la denominación propia que tenga este departamento en cada una de las entidades.


PLANIFICACIÓN ESTRATÉGICA:

  • Nombramiento del Responsable del Departamento de Prevención del Fraude, como RESPONSABLE DE CUMPLIMIENTO PENAL, que pasaría a ser Miembro de pleno derecho del OCI TITULAR, y sería el responsable del OCI delegado para las materias de cumplimiento penal. En el OCI TITULAR, por tanto, estarían representados de pleno derecho el Representante ante el SEPBLAC y el Responsable de Prevención del Fraude, entre otros responsables de cumplimiento.
  • El OCI delegado se encargaría de efectuar en la empresa, el análisis de los riesgos penales existentes, y confeccionaría el borrador del CÓDIGO ÉTICO, en el que se harán constar las conductas no toleradas por la entidad y sus consecuencias.
  • También el OCI delegado elaboraría un PROGRAMA DE FORMACIÓN DE CUMPLIMIENTO PENAL para todos los empleados de la empresa.

PLANIFICACIÓN TÁCTICA


El CÓDIGO ÉTICO, al igual que el MANUAL DE PROCEDIMIENTOS AML, es fundamentalmente un documento de uso interno para la alta dirección, para el OCI y para los Departamentos de “COMPLIANCE” implicados, que servirá de guía para imbricar y fundir los conceptos contenidos en el CÓDIGO dentro del MANUAL GENERAL DE PROCEDIMIENTOS DE LA EMPRESA, cuyo control está a cargo de Auditoria Interna.

Realmente el CÓDIGO ÉTICO es un documento de principios, que sólo tendrá efectos prácticos en la medida en que se consiga que pase a formar parte del MANUAL GENERAL DE PROCEDIMIENTOS DE LA EMPRESA, que puede residir en una plataforma tecnológica de uso departamental. Junto con la existencia del CÓDIGO ÉTICO, se han de adecuar los sistemas de control necesarios para su aplicación.

Ante los Tribunales, más que el CÓDIGO ÉTICO como documento de prueba, lo que se valorará realmente es la demostración de que el CÓDIGO está funcionando de forma real dentro de la empresa.

Para ello, el OCI sustituto, bajo la coordinación del RESPONSABLE DE CUMPLIMIENTO PENAL ha de trabajar para la obtención de los siguientes objetivos tácticos:

  1. Adaptación de todos los procedimientos internos de la empresa a los criterios establecidos en el CÓDIGO ÉTICO.
  2. Comprobación de la efectividad del CÓDIGO ÉTICO, para lo que se encargará de su revisión y puesta al día, mediante la incorporación al mismo, cuando fuere preciso, de nuevas políticas y controles que permitan una mayor efectividad en la prevención y detección de conductas no toleradas en materia PPDD, especialmente cuando:
    1. a) Se inician nuevas actividades por la empresa
    2. b) Aparecen nuevos riesgos en el mercado
    3. c) Se producen cambios en la regulación
  3. Identificación de las áreas y departamentos más sensibles al posible incumplimiento del CÓDIGO ÉTICO, abriendo las vías de información necesarias para un efectivo control.
  4. Colaboración con Auditoria Interna en sus labores ordinarias de control, y con el DEPARTAMENTO DE PREVENCIÓN DEL FRAUDE en los trabajos de investigación, que se inicien a partir de las alertas obtenidas de las plataformas tecnológicas de prevención del fraude, de las denuncias, o de los informes de Auditoria Interna.
  5. Reporte al OCI titular de la información de su interés en materia de cumplimiento PPDD.
  6. Aprobación de los planes de formación PPDD.

EL OCI delegado, con la ayuda del DEPARTAMENTO DE PREVENCIÓN DEL FRAUDE, se encargará de aplicar de forma efectiva, dentro de las distintas áreas de negocio, el PROGRAMA PPDD y de controlar su efectividad dentro de las respectivas áreas.

Como podemos observar en el Modelo presentado, a través del OCI delegado se establece una interconexión operativa entre los departamentos de cumplimiento y las áreas de negocio que están sujetas a las distintas obligaciones, lo que ayudará a que no se produzcan roces innecesarios dentro de la empresa y a que los departamentos de cumplimiento cumplan su función, con el necesario conocimiento de la actividad real de la empresa.


PLANIFICACIÓN LOGÍSTICA


Para el cumplimiento del CÓDIGO ÉTICO, se han de implantar si no se tienen ya, o mejorar en su caso, las plataformas tecnológicas de prevención y detección del fraude interno y externo, que han de ser preparadas también para controlar los riesgos PPDD que estamos estudiando.

Estas plataformas han de estar ubicadas en los DEPARTAMENTOS DE PREVENCIÓN DEL FRAUDE, para que los especialistas puedan detectar aquellas irregularidades que deban ser investigadas.

En los DEPARTAMENTOS DE PREVENCIÓN DEL FRAUDE, confluirán los informes de investigación de fraude o de PPDD, procedentes de los departamentos de análisis de riesgos, recuperaciones, auditoria interna, prevención del blanqueo en aquellas materias de diligencia debida ajenas al examen especial, etc. Igualmente tendrán a su cargo los buzones de denuncias sobre fraude y sobre operaciones presuntamente delictivas o sospechosas de delito.

Igualmente el DEPARTAMENTO DE PREVENCIÓN DEL FRAUDE ha de ser dotado de herramientas tecnológicas de investigación, y del personal adecuado para poder utilizarlas. No olvidemos que, en el caso de materializarse alguno de los riesgos delictivos, el Departamento de Prevención del Fraude debe tener establecido un protocolo de investigación que permita depurar responsabilidades de forma rápida para poder hacer efectivas las circunstancias atenuantes para la empresa enumeradas en el Artículo 31, bis, a saber:

  • Confesar la infracción a las Autoridades. (Ejercer la correspondiente denuncia contra los administradores o empleados responsables del delito)
  • Colaborar en la investigación del hecho aportando pruebas, nuevas y decisivas para esclarecer las responsabilidades penales dimanantes del mismo.
  • Proceder, con anterioridad al juicio oral, a reparar o disminuir el daño causado por el delito.

Igualmente, se ha de dotar al Departamento de Auditoria, de sistemas tecnológicos que faciliten el seguimiento de las políticas y controles implantados, mediante la segregación de funciones y detección de operaciones no toleradas, como por ejemplo la existencia de asientos contables falsos o inexactos, la manipulación de cuentas de clientes y/o de proveedores, el uso de software sin licencia, o el acceso no autorizado a información confidencial.

También conviene establecer dentro de la empresa un CANAL DE DENUNCIAS, con todas las garantías de confidencialidad, que pueda ser utilizado por los empleados, clientes, proveedores y cualquier ciudadano que quieran informar sobre posibles delitos cometidos o que se pudieran estar cometiendo dentro de la empresa.



EL PROGRAMA DE PREVENCIÓN Y DETECCIÓN DE DELITOS (PPDD)


El PROGRAMA PPDD, es, por tanto, el conjunto de medidas dirigidas a la prevención, detección y reacción, frente a los riesgos de comisión de los delitos incorporados al Código Penal por la Ley Orgánica 5/2010.

Esta nueva obligación legal, constituye una buena ocasión para potenciar dentro de la empresa la prevención del fraude interno y del fraude externo, con lo que estaremos rentabilizando desde el inicio los costes derivados del cumplimiento de esta nueva obligación legal.

Para ahorrar costes y no crear estructuras burocráticas nuevas para el cumplimiento penal, la mejor opción sería utilizar las que ya tenemos en funcionamiento, como son el ÓRGANO DE CONTROL INTERNO (OCI) y el DEPARTAMENTO DE PREVENCIÓN DEL FRAUDE.

En el Modelo que propicio, sólo estoy incluyendo el blanqueo de capitales y el cumplimiento penal. No contemplo, por tanto, otras áreas de cumplimiento que también existen dentro de las empresas, derivadas por ejemplo, de las leyes laborales, o de la legislación de protección de datos, que tienen sus centros de planificación en otros departamentos especializados, como Recursos Humanos o Asesoría Jurídica, aunque considero que también en estas materias de “compliance” se debería buscar la integración operativa de las normas en el MANUAL GENERAL DE PROCEDIMIENTOS DE LA EMPRESA, con la implicación del OCI delegado en la elaboración de las mismas, que en sus materias específicas estaría dirigido por el Responsable de Recursos Humanos (Riesgos laborales), o por el Responsable de Asesoría Jurídica (Riesgos de protección de datos de carácter personal), entre otros ejemplos.

De esta manera, una parte importante del núcleo de cumplimiento, siempre estaría ubicado en la estructura operativa y comercial de la empresa, con lo que las normas serán mucho mejor aceptadas por los obligados a su cumplimiento.



LOS DEPARTAMENTOS DE PREVENCIÓN DEL FRAUDE


La nueva Ley Orgánica penal constituye una buena razón para que las entidades potencien internamente a los DEPARTAMENTOS DE PREVENCIÓN DEL FRAUDE, como estructuras independientes a la gestión de riesgos, seguridad informática, seguridad física, recuperaciones, o auditoria interna, que, como sabemos, ya tienen muy definidas sus propias funciones operativas y de gestión dentro de las empresas.

Los DEPARTAMENTOS DE PREVENCIÓN DEL FRAUDE deben ser considerados estructuras de “COMPLIANCE” y no de gestión, de igual manera que lo son los DEPARTAMENTOS DE PREVENCIÓN DEL BLANQUEO, RECURSOS HUMANOS o ASESORÍA JURÍDICA.

Son departamentos especializados en la prevención y en la reacción contra el fraude, en los que aconsejo se vayan integrando de forma temporal y rotatoria, o de forma permanente en algunos casos, diferentes especialistas procedentes de la gestión operativa y de “compliance”: análisis de riesgos, seguridad informática, seguridad física, recuperaciones, prevención del blanqueo, asesoría jurídica, departamentos comerciales, etc.

No son, por tanto, estructuras burocráticas, sino verdaderas escuelas de formación en técnicas de investigación y prevención del fraude, que obligan a sus integrantes a colaborar entre si, y a integrar y compartir sus propias especializaciones técnicas con el fin de defender a las empresas contra la actividad delictiva.

Conviene que la mayoría de los que trabajen en los DEPARTAMENTOS DE PREVENCIÓN DEL FRAUDE lo hagan de forma rotatoria para así no alejarse de sus respectivas especializaciones, a las que, a su vuelta, llevarán el bagaje de conocimientos recibidos en las labores de prevención e investigación del fraude, así como los contactos humanos y profesionales establecidos con el personal del resto de departamentos especializados con los que hubieren trabajado en esa etapa.

Una gran parte de la tecnología a aplicar para la prevención del fraude puede ser de uso compartido, por lo que van adquirir en el futuro una gran importancia las iniciativas tecnológicas que vayan surgiendo de las Asociaciones profesionales, que permitirán compartir costes fijos y al mismo tiempo disfrutar de herramientas de última generación, sin contar con las herramientas derivadas del análisis procedente del intercambio de información sobre fraude, imprescindibles para que las entidades puedan luchar con eficacia contra la delincuencia organizada.

Después de haber acercado a los DEPARTAMENTOS DE PREVENCIÓN DEL FRAUDE la materia de prevención del blanqueo de capitales, y demostrado que existen interconexiones operativas importantes entre estos departamentos y otros de gestión, con los de PREVENCIÓN DEL BLANQUEO DE CAPITALES, mi objetivo es convencer a las entidades de la utilidad de revolucionar de una vez por todas la PREVENCIÓN DEL FRAUDE, desde una óptica científica y en beneficio de nuestras empresas, con la indicación de que para ello no necesitarán hacer grandes inversiones de forma individualizada, sino compartir el esfuerzo tecnológico que se está haciendo a través de la cooperación, tal como está sucediendo con la prevención del blanqueo de capitales.


Fabián Zambrano Viedma
Responsable del Servicio de Prevención del Fraude