Blog del Servicio de Prevención del Fraude

Asociación Nacional de Establecimientos Financieros de Crédito (ASNEF)





C/ Velázquez, 64-66, 2ª planta

28001 Madrid

Teléfono del Servicio: 917814551

Fax: 914314646



Correo electrónico: spfraude@asnef.com







martes, 25 de octubre de 2011

El monitoreo de actividades y la supervisión en la prevención del fraude interno





MONITOREO DE ACTIVIDADES Y SUPERVISIÓN

El monitoreo de actividades y la supervisión, constituyen el quinto elemento de control especificado en el informe COSO, siendo las cuatro restantes, ya analizadas: El entorno de control, la evaluación de los riesgos, las actividades de control y la información y comunicación.

Estas cinco piezas o elementos están interrelacionados y repercuten sobre la totalidad de la actividad de la empresa.  Todos los miembros de la organización, a su nivel, han de responsabilizarse en la implantación del sistema y en su funcionamiento.

Pero en el monitoreo de actividades y en la supervisión, la responsabilidad directa recae respectivamente, en el Servicio de Prevención del Fraude y Auditoría Interna.

En la Ficha número 6  vimos que la Auditoría interna no tiene como misión principal el control del fraude sino sólo la supervisión de la estructura anti-fraude, sin perjuicio de su participación indirecta a través del OCIC, en el diseño e implementación de las restantes piezas del sistema.

La Auditoría, por tanto, no tiene la responsabilidad de hacer el seguimiento diario de la operativa de control, sino de comprobar su correcto funcionamiento. Esta es la razón de la existencia del Servicio de Prevención del Fraude, que es además el departamento especializado que colabora con el OCIC en la planificación e instauración del sistema de control del fraude interno y externo.

El Órgano de Control Interno y de Comunicación (OCIC) y el Servicio de Prevención del Fraude (SPFRAUDE), en base al razonamiento de las fichas anteriores, constituyen la estructura de prevención del fraude interno y de cumplimiento penal dentro de la empresa.

El primero, como gobierno corporativo, se encarga de diseñar el borrador de las distintas normativas de control  en materia penal y de prevención del fraude, así como de las políticas de comunicación sobre esta materia. Será posteriormente el Consejo de Administración el que apruebe los documentos  preparados por el OCIC, quedando éste encargado de su implementación efectiva en la empresa.

El Servicio de Prevención del Fraude, como departamento especializado, acompañará y auxiliará al OCIC en todos los  trabajos previos de prevención del fraude interno que hemos analizado en las fichas anteriores: instauración de un entorno de control, evaluación de los riesgos, definición de las actividades de control y de la política de información y comunicación.

En el quinto elemento de control que estamos analizando ya no interviene el OCIC, quedando la monitorización de actividades bajo la responsabilidad del Servicio de Prevención del Fraude, y la supervisión bajo la responsabilidad de Auditoría Interna.


EL MONITOREO DE ACTIVIDADES


El Servicio de Prevención del Fraude tiene a su cargo el monitoreo diario de las actividades de control del fraude interno que fueron establecidas a través del OCIC, siendo también el receptor de toda la información que sobre fraude y cumplimiento penal se genera en la empresa, para lo que, previamente, se habrán habilitado los canales internos y externos de comunicación.

Llegados a este punto me gustaría señalar las similitudes existentes entre la estructura de prevención del fraude que estamos analizando y la estructura de prevención del blanqueo de capitales que nos ha sido impuesta por imperativo legal.

Ambas se fundamentan en los cinco pilares de control que establece el informe COSO, lo que puede confirmarse en el caso de la prevención del blanqueo, analizando bajo estos criterios la Ley y la Directiva, con la única diferencia de que con la estructura de prevención del fraude preservamos los intereses de la empresa y con la estructura de prevención del blanqueo preservamos intereses sociales.

Con todo, ambos intereses poseen muchos puntos comunes y que tienen que ver con lo que en la legislación de prevención del blanqueo se denominan las medidas de  diligencia debida, que no son responsabilidad directa de los departamentos de prevención del blanqueo sino de la toda la empresa, lo que sin duda beneficia también a la prevención del fraude.

Es por ello por lo que tiene justificación que aprovechemos las partes del sistema que pudieran ser comunes, como sería el OCIC, rentabilizando así su funcionamiento dentro de la empresa.

En las materias específicas de prevención del blanqueo y de prevención del fraude, este instrumento para el buen Gobierno Corporativo estaría auxiliado por:
  • El Responsable ante el SEPBLAC y su Departamento de Prevención del Blanqueo, y por
  • El Servicio de Prevención del Fraude.

Bajo mi criterio, y así lo he expresado en anteriores fichas, el OCIC debería ser el único gobierno corporativo de la empresa para todas las actividades de cumplimiento.


PASOS ORGANIZATIVOS QUE HACEN POSIBLE EL MONITOREO DE ACTIVIDADES

Paso primero

El OCIC tiene que involucrar a toda la empresa en la responsabilidad de la prevención y detección del fraude interno.

Para ello tendrá que diseñar previamente un adecuado entorno o ambiente de control del fraude interno dentro de la empresa, que  sirva para contrarrestar los incentivos o presiones internas y externas que existen para cometer fraudes, potenciando para ello las actitudes éticas de cumplimiento del personal, y anulando las oportunidades de fraude interno a causa del debilitamiento de los controles.  Este debilitamiento ya vimos que podría deberse a distintas causas,  como por ejemplo los efectos de la crisis económica, o el mal funcionamiento de los procedimientos y de los sistemas establecidos para la operatividad.

Este ambiente de control tendrá su anclaje documental en el  CÓDIGO ÉTICO de la empresa.

Paso segundo:

Sobre la base del CÓDIGO ÉTICO y de las NORMAS DE CUMPLIMIENTO, EL OCIC ha de iniciar un proceso de evaluación del riesgo, con el objetivo de confeccionar el MAPA DE RIESGO DE FRAUDE INTERNO Y CUMPLIMIENTO PENAL. Para ello tendrá el auxilio del Servicio de Prevención del Fraude y su equipo de analistas.

Paso tercero:

Una vez establecido el MAPA GENERAL DE RIESGO DE FRAUDE INTERNO Y CUMPLIMIENTO PENAL, que como vimos era el sumatorio de los MAPAS DEPARTAMENTALES DE RIESGO, se procedía al diseño e implementación en cada departamento de aquellas actividades de control anti-fraude que se considerasen adecuadas, y  que podrían ser tanto organizativas como tecnológicas.

La concreción documental de estas actividades de control se conoce como POLÍTICA DE CONTROL DEL FRAUDE INTERNO Y DE CUMPLIMIENTO PENAL.

Las herramientas de control procedimental o tecnológico, imbricadas o anexadas a las plataformas tecnológicas de producción y de gestión producirán las correspondientes alertas, que tendrán que ser analizadas por los responsables del departamento afectado, y conocidas por el Servicio de Prevención del Fraude. Algunas de estas alertas llegarán directamente al Servicio para evitar que desde un departamento concreto se puedan eludir los controles de forma intencionada.

Este proceso de conocimiento y control de alertas es el que denominamos MONITOREO DE ACTIVIDADES (Paso quinto), y que lógicamente deberá estar tecnificado, para lo que el Servicio de Prevención del Fraude deberá estar dotado, con la aprobación del OCIC, de los medios personales y tecnológicos necesarios.

Paso cuarto:

Simultáneamente a la implementación dentro de la empresa de las actividades de control referenciadas en el paso anterior, se ha de poner en funcionamiento el proceso de INFORMACIÓN Y COMUNICACIÓN que analizamos en su momento, con lo que se culminaría un buen sistema de Gobierno Corporativo.

Este proceso  dará lugar a la creación de canales y herramientas de información y comunicación, al margen de las herramientas operativas referenciadas en el paso anterior, que deberán ser controladas y alimentadas por aquellos departamentos que decida la Dirección, desde donde se derivará la información sobre fraude interno e incumplimiento penal al  Servicio de Prevención del Fraude.

Los CANALES DE COMUNICACIÓN  que establezca la empresa son los que permitirán conocer al personal interno y externo, tanto el Código Ético como las normativas de cumplimiento y la política de control del fraude interno y cumplimiento penal.

Y los CANALES DE INFORMACIÓN, son los que permitirán conocer a la Alta Dirección los incumplimientos de la política de control del fraude interno y cumplimiento penal, comunicados por el personal interno y externo, que ha tenido que ser previamente informado, a través de los CANALES DE COMUNICACIÓN, de los derechos y de las obligaciones existentes.

Paso quinto:

MONITOREO DE ACTIVIDADES Y CREACIÓN DE INTELIGENCIA A TRAVÉS DE PLATAFORMAS TECNOLÓGICAS QUE PERMITAN EL ANÁLISIS DE LA INFORMACIÓN.


El rol del Servicio de Prevención del Fraude

El Servicio de Prevención del Fraude será, por tanto, el departamento dinamizador de las actividades de prevención y detección del fraude interno y externo  dentro de la empresa, y el colaborador y auxilio del OCIC en esta materia. También será un colaborador necesario del Departamento de Auditoría Interna en su trabajo de supervisión de los sistemas de control y del esclarecimiento de los fraudes internos detectados.

Igualmente será el receptor de la información procedente de las alertas generadas por los controles anti-fraude de la empresa, así como el receptor último de toda la información que sobre fraude e incumplimiento penal llegue a través de los canales de información abiertos, como por ejemplo las líneas éticas de denuncia, para lo que deberán adoptarse todas las medidas para el cumplimiento de la legislación sobre protección de datos de carácter personal.

Bajo la responsabilidad del Servicio de Prevención del Fraude estará el REPOSITORIO DE PREVENCIÓN DEL FRAUDE, que acumulará toda la información que tenga la empresa sobre fraude interno y externo, con lo que se evitará la compartimentación departamental de esta información sensible, para lo que el OCIC establecerá la normativa necesaria.

A cargo del Servicio de Prevención del Fraude estará también la MESA DE ANÁLISIS de la información generada por el Sistema, que estará compuesta por los analistas ayudados de  la tecnología necesaria para el análisis de la información, lo que permitirá generar inteligencia y alertas, mejorar procedimientos, producir informes y estadísticas, y buscar pruebas e indicios para la investigación de los fraudes y de los incumplimientos penales.

Será también el departamento que tenga al día la POLÍTICA DE PREVENCIÓN DEL FRAUDE INTERNO Y CUMPLIMIENTO PENAL,  que estará a disposición de toda la organización a través de los canales de comunicación,  y especialmente de los órganos de supervisión: Auditoría Interna y Auditoría Externa.


LA SUPERVISIÓN


El Área  de Auditoría Interna, que como sabemos tiene  la función de supervisión general de la empresa, no debe encargarse del control diario del fraude interno puesto que en este caso sería juez y parte, por lo que ha de limitarse a comprobar que el sistema de control establecido funciona correctamente, y a evaluar las actividades y herramientas de control diseñadas, informando a la Alta Dirección de las deficiencias detectadas y del tratamiento que debe darse a las mismas. Tendrá también a su cargo la investigación del fraude interno detectado, con la colaboración directa del Servicio de Prevención del Fraude y del resto de departamentos afectados.

Así pues, en el control del Fraude Interno la Auditoría Interna está encargada de la supervisión del Sistema, proporcionando al Consejo de Administración y a la Alta Dirección un análisis independiente y objetivo sobre la situación real de los controles establecidos, aportando las recomendaciones y acciones que a juicio de la Auditoría resulten necesarias.

La Auditoría Interna, para cumplir con este objetivo, ha de obligarse a realizar una serie de revisiones y comprobaciones que afectan a los procedimientos y herramientas de control, para medir así su eficacia y eficiencia, la fiabilidad de la información obtenida, la seguridad, y la sujeción del funcionamiento del sistema a las políticas de cumplimiento establecidas, para lo que podrá ayudarse del asesoramiento tecnológico necesario, interno y externo.

La Auditoría Interna, aunque tiene un funcionamiento independiente, está sujeta a un PLAN DE AUDITORÍA  controlado por el  Gobierno Corporativo. La supervisión concreta del sistema de control del fraude interno forma parte de este PLAN GENERAL.

En la parte del PLAN DE AUDITORÍA relativo a la supervisión del sistema de control del fraude interno, se identificarán cada una de las revisiones parciales que han de establecerse, teniendo como guía la POLÍTICA DE PREVENCIÓN DEL FRAUDE INTERNO establecida dentro de la entidad, para lo que Auditoría Interna recibirá previamente del Servicio de Prevención del Fraude la documentación existente y el asesoramiento necesario.

Este trabajo se completará con la información que Auditoría Interna pudiera obtener de otras fuentes, procediendo a elaborar la PROPUESTA DE AUDITORÍA relativa a la supervisión del sistema de control del fraude interno, que será sometida a aprobación por los órganos rectores de la empresa. Una vez aprobado, se comunicará el PLAN DE AUDITORÍA a las direcciones ejecutivas afectadas, como veremos posteriormente.


Programa de Trabajo

Los pasos previos que he ido explicando forman parte de un método de trabajo, con el que Auditoría Interna adquiere los conocimientos necesarios para poder supervisar con total independencia el sistema establecido de control del fraude, para lo que, como he indicado anteriormente, deberá elaborar un programa de trabajo en el que quedarán especificados:
  • Los objetivos a alcanzar
  •  Los riesgos de fraude identificados,  y las acciones diseñadas por el OCIC para su prevención y detección.
  • Detalle de las pruebas a realizar para comprobar la efectividad y eficiencia de los controles establecidos.
  • Detalle de las pruebas a realizar para comprobar la efectividad y eficiencia del trabajo y de la tecnología utilizada para la monitorización de actividades, y para el control de la información por el Servicio de Prevención del Fraude.
  •  La valoración del enfoque concreto y efectividad esperada de las pruebas que se van a realizar
  • La identificación del personal de Auditoría Interna que se va a encargar de cada parte del programa.


Para la elaboración de este programa, Auditoría interna habrá tenido reuniones preparatorias con el OCIC, con el Servicio de Prevención del Fraude y con los responsables de los departamentos identificados en el MAPA GENERAL DE RIESGOS.

Posteriormente se informará de este programa de trabajo a cada uno de los departamentos afectados, explicándoles los objetivos que se pretenden alcanzar, el plazo estimado de duración de los trabajos de auditoría y  la metodología que se va a aplicar, así como los puntos que se concretarán en el informe que posteriormente se haga.

La auditoría interna debe ser percibida y aceptada por toda la organización como un proceso necesario para la mejora de la calidad de la actividad productiva y organizativa, y por esta razón su operativa debe ser transparente. No es por tanto un instrumento represivo sino preventivo.

En el momento establecido en el PLAN, Auditoría Interna ejecutará la supervisión según el calendario previsto y, procederá al análisis y contraste de los resultados.

Seguidamente procederá a la preparación del BORRADOR DEL INFORME  que contrastará con los departamentos afectados; en nuestro caso, con los departamentos que tengan  riesgo de fraude interno, con el Servicio de Prevención del Fraude y, en su caso, con el OCIC.

Tras esta fase del trabajo de contraste, el departamento de Auditoría procederá a la confección de INFORME DEFINITIVO, que hará llegar al Consejo de Administración junto con sus recomendaciones y proposición de acciones.

Una vez valorado el INFORME DE AUDITORÍA por el Consejo de Administración,  Auditoría Interna hará el seguimiento de las mejoras que deben ser implementadas en el sistema de control del fraude interno.

Este mismo proceso de supervisión será el que tenga que hacer Auditoría Interna con las restantes áreas operativas y de cumplimiento de la empresa.

Creo que con esto  queda claro que la prevención del fraude es sólo una parte del trabajo de supervisión general encomendado a la Auditoría Interna, por lo que se comprende que el funcionamiento ordinario de control del fraude interno y externo debe estar encomendado a un departamento especializado como puede ser el Servicio de Prevención del Fraude.

El Servicio de Prevención del Fraude, al tener  competencias transversales en la organización,  debe ser considerado también como un departamento de CUMPLIMIENTO dentro del Gobierno Corporativo, y diferenciado de la actividad concreta de prevención del fraude, que es una obligación de toda la empresa y que está distribuida entre diferentes áreas y departamentos, como por ejemplo, análisis de riesgos, recuperaciones, seguridad física, seguridad informática, etc.



Fabián Zambrano Viedma
Responsable del Servicio de Prevención del Fraude