Blog del Servicio de Prevención del Fraude

Asociación Nacional de Establecimientos Financieros de Crédito (ASNEF)





C/ Velázquez, 64-66, 2ª planta

28001 Madrid

Teléfono del Servicio: 917814551

Fax: 914314646



Correo electrónico: spfraude@asnef.com







lunes, 17 de octubre de 2011

Diseño e implementación de actividades de control antifraude




DISEÑO E IMPLEMENTACIÓN DE ACTIVIDADES DE CONTROL ANTIFRAUDE


En las fichas anteriores hemos ido concretando dos de los elementos de CONTROL DEL FRAUDE INTERNO, según el esquema del Informe COSO:
  1. Creación de un entorno de control del fraude interno: “Cultura de tolerancia cero” (Ficha 3)
  2.  Evaluación del riesgo de fraude interno (Fichas 4 y 5).

Dentro de la evaluación del fraude interno ya aparecieron las primeras pautas a seguir para  el diseño e implementación en la empresa, de actividades de control anti-fraude (tercer elemento COSO):
  • Creación de un Órgano de Gobierno que tenga la autoridad necesaria para preparar las NORMAS ANTI-FRAUDE y que obligue a todo el personal de la empresa a su cumplimiento. Por motivos de racionalización organizativa y de economicidad,  asimilé este órgano a la estructura que ya tenemos creada por obligación legal para la prevención del blanqueo de capitales: el OCIC (Órgano de Control Interno y Comunicación).
  • Creación del Servicio o Departamento de Prevención del Fraude, que se encargará de forma directa del monitoreo de las actividades de control y del funcionamiento del sistema interno de prevención del fraude.

El Servicio de Prevención del Fraude (SPFRAUDE), con el nombre concreto que en cada empresa se le quiera dar, constituye un departamento especializado en esta materia que tiene una operatividad transversal, puesto que colabora con toda la entidad coordinando  las actividades de prevención y de control del fraude que realizan los distintos departamentos. No olvidemos que la prevención y el control del fraude interno y externo es una responsabilidad de toda la empresa.

En este Servicio estará también  ubicado el  REPOSITORIO CENTRALIZADO del que también hemos hablado en fichas anteriores, al que deberá llegar  toda la información generada en la empresa sobre fraude interno y externo, así como  la información referida a los incumplimientos detectados, que pudieran afectar a la responsabilidad penal de la empresa como persona jurídica,  y a sus directivos.


Diseño e implementación de actividades de control antifraude

A partir de la creación de la estructura de prevención del fraude ya indicada (OCIC-SPFRAUDE), es cuando la empresa puede iniciar de una forma ordenada  el proceso de diseño e implementación de las actividades de control.

Veíamos en las Fichas 4 y 5, que para configurar este proceso teníamos que partir de la evaluación del riesgo de fraude interno inherente a las actividades de negocio, para así crear el MAPA GENERAL DE RIESGO DE FRAUDE INTERNO, que estará compuesto por los diferentes MAPAS DEPARTAMENTALES en los que se concretan las operaciones de riesgo. (Dejo fuera de esta Ficha los aspectos derivados del fraude externo que trataremos en otro momento.)

Para la confección de estos MAPAS particulares de riesgo se sugería la conveniencia de la  participación de los empleados de la empresa,  que son los que trabajan el día a día de la operatividad y por tanto, los que mejor nos pueden informar de las debilidades y fortalezas de los  sistemas,  y de la efectividad de  los procedimientos que se emplean dentro de la empresa.

Apuntábamos que la colaboración del personal podía obtenerse de varias maneras, vg.: a través de formularios, entrevistas, buzones de sugerencias, o mediante sesiones de trabajo con  grupos reducidos de empleados, controladas y dirigidas por el Responsable de Cumplimiento departamental, miembro del OCIC delegado. Estas reuniones estarían preparadas previamente por el Servicio de Prevención del Fraude, que en caso necesario estaría auxiliado por personal especializado en comunicación.

Otra forma de obtener la información  para la confección de los MAPAS DEPARTAMENTALES DE RIESGO, sería mediante la integración rotatoria y temporal de personal de los distintos departamentos en el Servicio de Prevención del Fraude, o mediante la integración temporal de especialistas de prevención del fraude en las distintas  actividades operativas de la empresa.

El conocimiento de los riesgos permitirá a cada departamento participar en el diseño de los  procedimientos y sistemas de control anti-fraude, que serían completados  con herramientas organizativas y tecnológicas externas que ayuden a controlar el correcto funcionamiento de los sistemas y procedimientos aplicados, así como para detectar la posible elusión de las obligaciones de control por parte de algún empleado o directivo.

En las fichas 2 y 6 estudiamos la responsabilidad que en la prevención y control del fraude interno tienen, respectivamente, el Departamento de Recursos Humanos y el Departamento de Auditoría, comprobando que en esta materia tienen un especial protagonismo a través de su participación en el OCIC, aunque sus funciones en la empresa son mucho más amplias.

En la ficha número 7, analizamos también una de las herramientas imprescindibles en cualquier diseño e implementación de actividades de control anti-fraude, como es la instauración en la empresa de líneas éticas o sistemas internos de denuncias.

Ahora sólo nos queda completar las pautas enumeradas con otras nuevas, para cerrar así el  conocimiento básico que pretendemos adquirir acerca del  tercer elemento del sistema COSO para el control interno.

El diseño e implementación de las actividades del control del fraude obliga a las empresas, a través de sus estructuras anti-fraude, a abordar cada riesgo de fraude mediante una concreta política de control, que contendrá tanto medidas preventivas como de detección; algunas de estas medidas serán de naturaleza automatizada, y estarán por tanto recogidas en las plataformas tecnológicas operativas o de control.

Durante este proceso,  los analistas de prevención del fraude deben asesorarse, a través  especialistas  tecnológicos y mediante el contacto con los centros universitarios,  sobre  las mejores herramientas existentes en el mercado para los problemas planteados,  y para que,  en el caso de que estas soluciones no existan, puedan ser diseñadas en base al funcionamiento operativo real de las empresas. La prevención del fraude es una materia que necesita una   investigación conjunta y permanente entre especialistas teóricos y prácticos.

Como veremos en otra de las fichas,  la cooperación entre empresas ofrece muchas posibilidades para el diseño de plataformas tecnológicas de uso compartido y funcionamiento independiente, a través de “cloud computing”, dotadas con  las máximas  garantías de seguridad.

Al estudiar los factores de riesgo de fraude interno, vimos que no sólo eran operacionales, es decir, derivados de la oportunidad que para cometer fraudes internos ofrecen determinadas operaciones difíciles de controlar o con controles debilitados (recordemos uno de los vértices del triángulo del fraude), sino también subjetivos y por tanto dependientes de las actitudes éticas de los empleados que manejan estas operaciones, y del incentivo y la presión ambiental que soportan. (Los otros dos vértices del triángulo).

Recordemos también, que los riesgos descubiertos no nos indican que exista fraude, sino que éste puede producirse si no definimos una buena política de control que ayude a la prevención, y si no nos dotamos de los recursos tecnológicos necesarios para que,  en caso de que se comenta algún fraude interno, nos alerten de su existencia y nos faciliten su investigación.

Entendemos, por tanto, como una buena política de control, las acciones que hemos de tomar para disuadir y mitigar cada uno de los riesgos específicos de fraude interno detectados, tanto los objetivos que se derivan de las operaciones de riesgo, como los subjetivos, derivados de la posible elusión de los controles por parte de algún empleado y directivo que deban cumplirlos.

En el diseño e implementación de estas actividades de control (política de control), deben participar indirectamente los propios responsables de los procesos de riesgo y sus empleados,  tal como expliqué  en fichas anteriores, y directamente la estructura de prevención del fraude (OCIC-SPFRAUDE).

AUDITORÍA INTERNA se encargará de la evaluación de la efectividad de esa política, y del  perfeccionamiento de la misma a través de la supervisión.

Las actividades de control no sólo abarcan aspectos procedimentales, sino también la adecuación e incorporación al sistema de control,  de aquellas herramientas tecnológicas que se estimen necesarias, y que serán integradas, o en las plataformas de producción de cada departamento, o en el sistema de centralización de alertas del Servicio de Prevención del Fraude.

Como podemos observar, nos enfrentamos a un dificultoso trabajo de campo para tratar de construir en cada departamento y con la participación de las personas que trabajan en el mismo, su particular política de control del fraude interno. La construcción del sistema de control estará liderada por un equipo especializado, que no es otro que la estructura de prevención del fraude: OCIC-SPFRAUDE, que será quien se encargue de documentar cada MAPA DEPARTAMENTAL DE PREVENCIÓN DEL FRAUDE, que como vimos integra el MAPA DEPARTAMENTAL DE RIESGOS y las soluciones procedimentales y tecnológicas necesarias para la prevención.

Quiero detenerme en el concepto de DOCUMENTACIÓN, porque es muy importante que en el proceso de diseño e implementación de la política de control, se tenga previsto que ésta ha de quedar perfectamente registrada por escrito o mediante alguna aplicación informática, puesto que ha de hacerse posteriormente su seguimiento operativo a través de la supervisión, para que así pueda ser convenientemente auditada.

La DOCUMENTACIÓN resulta también necesaria para fundamentar los procesos de comunicación e información que analizaremos en una ficha posterior.

No he visto que exista un criterio “académico” para llevar a la práctica este tercer principio COSO, ni siquiera un solo criterio práctico, puesto que cada empresa de un mismo sector de actividad puede tener diferentes objetivos y estrategias que afectarán al diseño y a la implantación de las acciones anti-fraude. Igualmente cada empresa posee su propia escala de prioridades al analizar los factores de riesgo, porque depende de las decisiones que toman sus directivos y de las ideas que estos tienen sobre el control interno, a lo que hay que añadir otros elementos distorsionadores, como son el entorno y las circunstancias que rodean a cada empresa, o su  propia complejidad organizativa.

Con todo, tal como veremos en otra ficha, existen elementos comunes de interés que aconsejan la cooperación entre empresas en la búsqueda de plataformas tecnológicas comunes con funcionamiento “outsourcing” para reducir  así  gastos directos, que pueden ser adaptadas de forma independiente a los criterios de cada empresa.

Estas plataformas tecnológicas que no afectan a la actividad principal de la empresa, sin embargo permiten operar en las materias de prevención del fraude interno y externo con herramientas potentes y permanentemente actualizadas,  respaldadas por los principales operadores tecnológicos del mercado en el ámbito nacional e internacional.



Fabián Zambrano Viedma
Responsable del Servicio de Prevención del Fraude