Blog del Servicio de Prevención del Fraude

Asociación Nacional de Establecimientos Financieros de Crédito (ASNEF)





C/ Velázquez, 64-66, 2ª planta

28001 Madrid

Teléfono del Servicio: 917814551

Fax: 914314646



Correo electrónico: spfraude@asnef.com







martes, 27 de septiembre de 2011

Creación del entorno de control del fraude interno




CREACIÓN DEL ENTORNO DE CONTROL

La gestión del riesgo, el control interno y la disuasión del fraude, son los tres pilares sobre los que descansa la seguridad de una empresa.

La disuasión del fraude  debe ser abordada con una metodología similar a la que utiliza la empresa para su  CONTROL INTERNO, puesto que la política anti-fraude constituye una de las partes de ese control.

En la actualidad, una de las metodologías que utilizan las empresas para el control interno se basa en el  “Marco de Control”  formulado por el Informe COSO (Committee of Sponsoring Organizations -COSO- de la Treadway Commission),  versiones 1992 y 2004. La última versión amplía el informe original (1992), enfocándolo mucho más en la gestión del riesgo. Estos documentos, en su versión original, pueden ser adquiridos a través de la Web de la organización COSO: www.coso.org.   

Siguiendo esta metodología, el control del fraude interno sería un proceso más dentro del CONTROL INTERNO, y por tanto en esta materia también ha de estar involucrado todo el  personal de la empresa, (Consejo de Administración, Dirección y resto del personal).

El proceso debe facilitar  la consecución del objetivo de disuasión del fraude interno, por lo que el objetivo tendrá que ser definido dentro del proceso.

Hemos de ser conscientes que todo este proceso sólo nos va a ofrecer un grado de seguridad razonable, puesto que la seguridad total no existe. Lo importante es que procedamos a la disuasión del fraude interno evitando que éste pueda producirse: Evitando su oportunidad. Entramos por tanto en el análisis del tercer vértice del TRIÁNGULO DEL FRAUDE que quedó pendiente en la Ficha anterior.

Puesto que el control del fraude interno es un proceso en el que ha de participar todo el personal de la empresa, hemos de conseguir que sean las personas las protagonistas y no los manuales y las reglas, para lo que hay que establecer previamente lo que en COSO se denomina: UN ENTORNO DE CONTROL, y que en la primera Ficha denominábamos: UNA CULTURA EMPRESARIAL DE TOLERANCIA CERO CONTRA EL FRAUDE INTERNO.

Deloitte, en sus programas y controles antifraude, especifica lo que ha de entenderse como “entorno o ambiente de control”:
  1.  Crear y mantener una cultura de honestidad, de estándares éticos altos, y de comportamiento.
  2. Ofrecer disciplina para las violaciones del código de conducta ética.
  3.  Establecer un tono apropiado en la actitud de la entidad frente al fraude y la prevención del fraude.
  4. Promover controles para prevenir, disuadir y detectar el fraude.


Vemos por tanto, que una de las medidas que se nos proponen para crear un entorno de control, consiste en  la confección e implantación en la empresa de un CÓDIGO ÉTICO, o en su defecto,  de unas políticas relacionadas con prácticas profesionales aceptables, en las que se definan las incompatibilidades o pautas esperadas con respecto al comportamiento ético y moral.

Este CÓDIGO ÉTICO o las políticas relacionadas con el fraude interno, debe/n definir la forma en que han de llevarse a cabo las negociaciones con los empleados, proveedores, clientes e inversionistas, con el fin de evitar que se comentan delitos económicos contra la empresa, o que pudieran hacerla penalmente responsable. El CÓDIGO ÉTICO sirve también  para moderar la presión sobre los empleados evitando así que tengan que alcanzar  objetivos de rendimiento poco realistas, lo que, como vimos en la Ficha número dos, constituye el origen de muchos de los fraude internos que se producen.

Tanto el Código Ético, como las Políticas que hagan sus veces, han de tener como fuente legitimadora la positiva filosofía de gestión de la empresa asumida por el Consejo de Administración y la Alta Dirección. Es por ello por lo que, tanto la responsabilidad de la prevención del blanqueo de capitales como la responsabilidad penal de las personas jurídicas, recae internacionalmente sobre los altos directivos de las empresas, lo que en España se ha hecho evidente en la Ley 10/2010 de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo, y en la Ley Orgánica 5/2010, de 22 de junio, en la que se incluye el Artículo 31 bis del Código Penal, que establece por primera vez en la legislación española la responsabilidad penal de las personas jurídicas.

Curiosamente, en el año 2010 y con respecto a España, se han producido dos circunstancias excepcionales en plena crisis económica, que seguramente modificarán los resultados del próximo Informe PWC sobre delitos económicos y fraude empresarial en España, en cuanto a la preocupación de las empresas sobre el fraude interno, considerando al blanqueo de capitales como uno de los delitos integrantes del mismo.  La Ley de prevención del blanqueo de capitales y de la financiación del terrorismo,  y la Ley Orgánica en la que se ha creado la responsabilidad penal de las personas jurídicas, han obligado a que el control interno del fraude, en un sentido amplio, pase a ser una de las prioridades de la Alta Dirección en las  empresas, en un proceso imparable que ya ha comenzado a hacerse realidad en las grandes corporaciones, y  que se irá generalizando en cascada para todos los sectores de actividad.

Si hemos estado atentos a los medios de comunicación de los últimos meses, habremos observado  que en los informe anuales de las principales corporaciones españolas se le está dando mucha importancia a la responsabilidad corporativa, centrada en la lucha contra la corrupción, el respeto por los Derechos Humanos, la mejora de las condiciones laborales y el fomento del conocimiento del Código Ético entre los empleados. En todo ello subyace un trabajo muy serio de CONTROL INTERNO dentro de estas grandes corporaciones, y en lo que a nuestra materia interesa, de control del fraude interno en un sentido amplio, en el que se está incluyendo un PROGRAMA DE PREVENCIÓN Y DETECCIÓN DE DELITOS, como consecuencia de la entrada en vigor de la Ley Orgánica 5/2010, por la que se obliga a la Alta Dirección de las entidades a valorar sus riesgos penales, en relación con los delitos especificados en La Ley Orgánica, y a que esta valoración esté acompañada de la correspondiente formación en materia penal de los administradores y de los trabajadores. Estas obligaciones, en su faceta práctica, se concretan en la conveniencia de implantar en las empresas una estructura de cumplimiento centrada en la prevención y vigilancia de los riesgos penales, y que tendrá los siguientes objetivos:
  •  Análisis de los riesgos penales existentes en la empresa.
  •  Elaboración de un Código de Conducta (CÓDIGO ÉTICO), para evitar los riesgos penales detectados.
  •  Establecer un sistema de control de los riesgos penales.
  • Ofrecer a los directivos y empleados una formación penal suficiente, para evitar la comisión de aquellas operaciones detectadas como de riesgo.

Básicamente, el PROGRAMA DE PREVENCIÓN Y DETECCIÓN DE DELITOS surge dentro del proceso general de CONTROL INTERNO, que como hemos visto en las fichas anteriores  trata, desde el punto de vista organizativo y en relación con el fraude interno,
  1. De la mejora de las motivaciones positivas que eviten el fraude interno, potenciando la ética del trabajo, el liderazgo, el trabajo en equipo y la moral de los empleados.
  2. De la creación de mecanismos que sirvan para identificar los riesgos de fraude interno y para la evaluación frecuente del mismo.
  3. Del establecimiento de políticas, procedimientos y atribuciones para la prevención y control del fraude interno.
  4. De la creación de una estructura de información y comunicación horizontal y vertical que permita el conocimiento real del fraude interno a todos los niveles de responsabilidad.
  5. Del establecimiento de un sistema de Supervisión que contenga las plataformas tecnológicas necesarias para el archivo de la información relacionada con esta materia y la creación de inteligencia con la misma, el monitoreo de los procesos, y la coordinación operativa  de los diferentes departamentos que intervienen en su control: vg.: Auditoría Interna, Prevención del Fraude, Recursos Humanos, etc.

En la primera Ficha indicábamos que el control del fraude interno, según PWC Forensic, debería estar asentado en una “cultura” empresarial capaz de tomar las siguientes medidas:
  • Invertir en prevención y detección del fraude, tanto interno como externo.
  • Reforzar las funciones de auditoría interna, de cumplimiento normativo y llevar a cabo una gestión efectiva y proactiva de los riesgos del negocio.
  •  Revisar y mejorar los controles internos y programas anti-fraude en las áreas clave.
  • Alcanzar altos niveles de integridad empresarial mediante unas sólidas prácticas de gobierno corporativo, control interno y transparencia.
  • Impartir cursos de formación acerca del marco regulatorio, las normas internacionales anticorrupción aplicables y ética empresarial para el personal, favoreciendo el desarrollo de una cultura corporativa adecuada.
  • Implantar un canal de denuncias o línea ética.
  • Análisis y verificación de los riesgos asociados a los sistemas de información y seguridad informática.
  • Revisar y reformular los programas de retribución variable.


Todas estas medidas sólo pueden tomarse de forma eficaz en un ENTORNO o AMBIENTE DE CONTROL, (primer principio COSO), que como hemos visto en la práctica se sustenta  en un CÓDIGO ÉTICO o en políticas equivalentes que han de ser conocidas dentro de la organización, en las que se incluya la integridad, los valores éticos, y la competencia de la administración y de los empleados en su cumplimiento.

En el CÓDIGO ÉTICO se han de establecer los objetivos de la empresa y la forma eficiente en que deben ser alcanzados por las personas que la componen, desde cualquier nivel de dirección y ejecución.

Estos objetivos y valores deben ser difundidos y practicados dentro de la organización, de manera que todo el personal conozca sus límites en la actuación profesional. La autoridad y la responsabilidad deben estar definidas y ser consistentes con los objetivos de la organización, de tal forma que las decisiones sean tomadas en cada momento por el personal adecuado.

Para la consecución de estos objetivos no sólo basta con la creación del ENTORNO DE CONTROL DEL FRAUDE INTERNO, si no se ponen también en funcionamiento los restantes elementos de CONTROL especificados en el Informe COSO (2,3,4, y5):
  1. Creación de un entorno de control del fraude interno: “Cultura de tolerancia cero”.
  2. Evaluación del riesgo de fraude interno.
  3. Diseño e implementación de actividades de control anti-fraude.
  4. Creación de herramientas para compartir información y comunicación.
  5. Creación  e implementación de una estructura de supervisión y de monitoreo de actividades.



Fabián Zambrano Viedma
Responsable del Servicio de Prevención del Fraude