Blog del Servicio de Prevención del Fraude

Asociación Nacional de Establecimientos Financieros de Crédito (ASNEF)





C/ Velázquez, 64-66, 2ª planta

28001 Madrid

Teléfono del Servicio: 917814551

Fax: 914314646



Correo electrónico: spfraude@asnef.com







lunes, 3 de octubre de 2011

La evaluación del riesgo de fraude interno




LA EVALUACIÓN DEL  RIESGO DE FRAUDE INTERNO


En la ficha introductoria del fraude interno, vimos que las herramientas que están demostrando más eficacia para controlar este tipo de fraude, según el estudio de PWC eran:
  •  LA EVALUACIÓN FRECUENTE DEL RIESGO DE FRAUDE
  • LOS CONTROLES ANTI-FRAUDE

Según los datos estadísticos del informe de PWC correspondiente a 2009, que nos están sirviendo de guía en este trabajo, un 31,10% de los empresarios españoles desconocían la frecuencia con la que sus compañías habían realizado, en ese año, EVALUACIONES DE LOS RIESGOS DE FRAUDE. Un 18% de los encuestados españoles confirmaron que en sus empresas había habido un incremento de este tipo de análisis, mientras que un 50,9% de los mismos declararon que en sus empresas no se había hecho ningún incremento.

Como nos indica el estudio, las evaluaciones son esenciales a la hora de identificar potenciales amenazas y debilidades dentro de una organización.

Comparando los datos españoles con la encuesta global de PWC, el desconocimiento sobre la frecuencia de las evaluaciones era sólo del 12% entre los empresarios de todo el mundo y un 28% en inacción,   lo que sugiere que en España, con un 31,10 % de desconocimiento y un 50,9% de inacción,  realmente existe un alejamiento de la alta dirección de la problemática del fraude interno.

Este alejamiento de la alta dirección española del conocimiento del fraude, repercute inevitablemente sobre la efectividad de los controles anti-fraude dentro de las empresas, puesto que si no se conoce el riesgo de fraude inherente a las actividades de negocio, ¿cómo se van a adoptar medidas para combatirlo?

Existe una correlación, que se pone de manifiesto en el estudio de PWC, entre la localización del fraude interno y la frecuencia de las evaluaciones de riesgo efectuadas por las empresas. Aquellas entidades que efectuaron evaluaciones cada mes, descubrieron más fraudes que las que lo hicieron trimestralmente, y las evaluaciones trimestrales descubrieron más fraudes que las semestrales y así sucesivamente. Esto sucede porque el fraude, tal como indica el estudio, no es una amenaza estática sino que va cambiando en el tiempo y por tanto, no pueden utilizarse los mismos patrones tipológicos durante períodos amplios, sino que tienen que ser  modificados en base a la experiencia que ofrece el propio control.

En la ficha introductoria vimos que el control del fraude está diversificado entre diferentes herramientas departamentales, por lo que la información que estas generan debe confluir hacia un REPOSITORIO común, lo que en la práctica no siempre sucede  si la alta dirección no está involucrada en el sistema de control, puesto que hay una tendencia natural a que cada departamento se guarde su propia información y sea reacio a compartir los datos.

La solución a este problema, ya vimos que estaba en el OCIC o gobierno corporativo, que ha de actuar como la cabeza política de la prevención, y que ha de tener  al Servicio de Prevención del Fraude como el instrumento operativo de ese gobierno corporativo. El Director del Servicio tendrá que ser, por tanto,  un Miembro de pleno derecho del OCIC.

Será el OCIC el que determine en su momento las NORMAS ANTI-FRAUDE de la empresa, que serán de obligado cumplimiento. Bajo este esquema organizativo resulta fácil conseguir que la información sobre fraude interno y externo vaya confluyendo de forma natural hacia un REPOSITORIO CENTRALIZADO, desde  el que se pueda crear inteligencia.

A partir de esa información centralizada, se determinarán los procesos necesarios para la EVALUACIÓN FRECUENTE DEL RIESGO DE FRAUDE, que serán sistematizados por los analistas del Servicio de Prevención del Fraude con el apoyo de los departamentos de gestión, producción, comercialización y control, puesto todos ellos tendrán representación en el OCIC.

Ya vimos en la prevención del blanqueo de capitales, que el OCIC es una estructura transversal de cumplimiento en la que están representadas una gran parte de las direcciones generales con estructura vertical (producción, comercialización,  etc.). También comprobamos entonces que, en la práctica, era conveniente diferenciar dentro del OCIC  el mando político, que recaía en los directores generales (OCIC Titular), de su estructura operativa (OCIC Delegado), que estaba compuesta por los responsables de cumplimiento de cada departamento;  cada uno de estos profesionales sería  la persona  de confianza en esta materia de su director general.

Justificábamos que esto fuera así porque los directores generales, junto con el resto de la junta de gobierno, han de dedicarse fundamentalmente a las actividades productivas que son el objeto del negocio, pero para ello deben tener cubiertas sus responsabilidades de cumplimiento mediante algún sistema de control efectivo, lo que puede conseguirse a través de esta doble visualización del OCIC: política y operativa.

Funcionamiento operativo del OCIC dentro de los departamentos:

La experiencia nos demuestra que el cumplimiento de las NORMAS resulta más efectivo  si  este cumplimiento es asumido por los trabajadores y directivos como algo consustancial a su propia actividad, y esto sólo sucederá si logramos que la NORMA surja desde dentro hacia fuera. Es decir, que aunque la NORMA venga impuesta desde el exterior, sepa respetar el funcionamiento interno del departamento en el que va a ser aplicada, y esto sólo ocurrirá cuando sea capaz de convertirse en parte del funcionamiento productivo de ese departamento.

La interiorización de la NORMA es un proceso complejo que exige la comprensión de su necesidad y el respeto desde  esa misma NORMA de la estructura organizativa que  pretende modificar.

El primero que debe comprender su necesidad es el propio director general afectado, que es el que ha de imponer la NORMA dentro de su departamento, y es por ello por lo que debe ser Miembro del OCIC titular, y tener una completa visión transversal de la actividad de cumplimiento.

Pero el director general, para poder atender fundamentalmente a su trabajo de producción, debe tener en su equipo directivo una persona de confianza, que será el Responsable de Cumplimiento de su Unidad. El conjunto de todos estos Responsables de Cumplimiento departamentales constituirá el OCIC delegado,  que será la estructura operativa encargada de preparar el borrador de las NORMAS y de su asimilación, una vez dictadas, por cada departamento.

Junto al OCIC, y para cada materia de cumplimiento, existirá un departamento especializado, que será también impulsor de las diferentes políticas que deben ponerse en funcionamiento por el OCIC, vg.:, Departamento de Prevención del Blanqueo, Departamento de Prevención del Fraude, Departamento Legal para la protección de datos de carácter personal, Departamento de Higiene y Seguridad en el Trabajo, etc.

En la materia  de prevención del fraude, los miembros del OCIC delegado responsables de cumplimiento serán los profesionales mejor situados para identificar, dentro de sus respectivos departamentos, los potenciales riesgos de fraude inherentes a las actividades de negocio que se desarrolla en los mismos, porque conviven de forma permanente con su estructura humana y tecnológica. Serán también ellos los que evalúen mejor que nadie la probabilidad de que se produzcan los riesgos de fraude que hayan sido previamente identificados. Todo ello exige una profunda formación de estas personas  en prevención del fraude.

Metodología para preparar las evaluaciones del riesgo de fraude

Creada la estructura central de prevención del fraude dentro de la empresa: OCIC y Servicio de Prevención del Fraude, y centralizada la información en un REPOSITORIO COMÚN, comenzará a llegar en cascada al Servicio de Prevención del Fraude una primera información, que resultará muy valiosa para la planificación de las EVALUACIONES DEL RIESGO DE FRAUDE.

Serán los analistas del Servicio de Prevención del Fraude, los que, en una segunda fase de valoración de la información, determinen los departamentos que por su operatividad  pueden ser los más propensos a que se cometan los fraudes identificados, y los que estudien los “modus operandi” o métodos que puedan ser utilizados con más probabilidad por los defraudadores internos.

La coordinación operativa entre los Responsables departamentales de Cumplimiento y los analistas del Servicio de Prevención del Fraude,  permitirá un enriquecimiento mutuo de ambos colectivos, porque la inteligencia obtenida a través del análisis de la información servirá para mejorar el conocimiento del fraude por ambas partes, que así podrán perfeccionar su trabajo interno anti-fraude. La retroalimentación del sistema o  “feedback” resulta evidente.

De este trabajo conjunto surgirá la planificación de  las EVALUACIONES DEL RIEGO DE FRAUDE, con las que intentaremos conseguir el perfeccionamiento real de los controles anti-fraude.

Como puede observarse, estamos utilizando el método científico para analizar el fraude interno, a partir de determinadas hipótesis obtenidas de la primera información acumulada,  y seguidamente probando éstas hipótesis con la realidad, a través de las EVALUACIONES DEL RIESGO DE FRAUDE. Con ello iremos mejorando los controles dentro de la organización y por tanto, obteniendo  una información cada vez más precisa, con la que repetir el proceso.

Las EVALUACIONES DEL RIEGO DE FRAUDE  nos permitirán crear el MAPA GENERAL DE RIESGO DE FRAUDE y los mapas particulares de cada una de las distintas partes de la organización, lo que facilitará la confección de formularios de control u otras técnicas más novedosas, que sirvan para mejorar el funcionamiento operativo anti-fraude del personal y de las  plataformas tecnológicas que lo controlan. Estos MAPAS  nos descubrirán las debilidades en los controles y las amenazas potenciales,  permitiéndonos  mejorar así los correspondientes sistemas de alerta.

A veces, las empresas se gastan el dinero en sofisticadas y onerosas plataformas tecnológicas de prevención del fraude, sin tener previamente creadas las estructuras organizativas que permitan su correcto funcionamiento, como por ejemplo, el Modelo que estoy preconizando.

Es verdad que con la compleja actividad financiera, estas plataformas resultan imprescindibles para poder monitorizar las operaciones sospechosas que serán posteriormente objeto de análisis, pero no nos olvidemos que por encima de la tecnología están los Equipos humanos capaces de seleccionar para cada departamento las herramientas más adecuadas, y obtener de las mismas los mejores resultados operativos. Y eso se consigue mediante:
  • la creación de estructuras operativas coordinadas, y
  •  la centralización de la información interna del fraude.


En la siguiente ficha seguiremos analizando la evaluación del riesgo de fraude interno.


Fabián Zambrano Viedma
Responsable del Servicio de Prevención del Fraude