LA EVALUACIÓN DEL RIESGO DE FRAUDE INTERNO (CONTINUACIÓN)
En la Ficha anterior vimos que la evaluación del riesgo de fraude interno era una parte del proceso de CONTROL DEL FRAUDE INTERNO.
También vimos que para que fueran efectivas las evaluaciones del riesgo de fraude interno, éstas tenían que planificarse previamente, siendo conveniente que en esta planificación interviniese un departamento especializado que centralizara la información, y que asimilé con el Servicio o Departamento de PREVENCIÓN DEL FRAUDE, aunque puede tener el nombre que en cada empresa se le quiera dar.
Sabemos que el CONTROL DEL FRAUDE INTERNO resulta imposible, sin que exista en la empresa una estructura de gobierno corporativo que dicte las normas de prevención y se encargue de su cumplimiento. Y como no soy partidario de que en la empresa, para cada materia de cumplimiento exista un gobierno corporativo particular, puesto que éste ha de ser único, asimilé nuestro gobierno corporativo al que nos ha sido impuesto por la legislación de prevención del blanqueo de capitales, llamándolo también OCIC (Órgano de Control Interno y de Comunicación), aunque cada empresa podrá llamarlo como considere oportuno. De esta manera estaremos racionalizando nuestras estructuras organizativas y al mismo tiempo rentabilizando costes.
Tal como sucede con el blanqueo de capitales, en la materia de prevención del fraude el OCIC y el DEPARTAMENTO DE PREVENCIÓN DEL FRAUDE tienen sus propias funciones operativas, pero que en algunos momentos derivan en responsabilidades comunes.
Uno de estos momentos tiene que ver, precisamente, con la evaluación del riesgo de fraude, porque una parte de la evaluación de ese riesgo ha de hacerse en cada área operativa de la empresa bajo la coordinación del representante de esa área en el OCIC, mediante un proceso del que hablaré posteriormente, en el que conviene que intervenga el personal de cada departamento, puesto que quien realmente conoce los riesgos de fraude y los riesgos de blanqueo en las operaciones, son las personas que tienen bajo su responsabilidad profesional estas mismas operaciones. Pero para que el personal pueda intervenir de forma eficiente en estas evaluaciones de riesgo ha de estar mínimamente formado en estas materias. Es por ello por lo que las empresas están obligadas a la formación de los directivos y empleados en prevención del blanqueo y en cumplimiento penal.
La concepción del cumplimiento como responsabilidad corporativa, y no como simple parcheo para evitar sanciones, nos permite comprender muchas de las obligaciones que nos están siendo impuestas por los organismos internacionales a través de las legislaciones nacionales, como por ejemplo, la obligación de la formación de los empleados, tanto en la prevención del blanqueo, como en la prevención del fraude; en el primer supuesto porque así lo exige la Ley 10/2010, y en el segundo supuesto por exigencia de la Ley Orgánica 5/2010, en lo relativo a la responsabilidad penal de las personas jurídicas.
Los directivos y los empleados han de estar formados en prevención del blanqueo de capitales y en prevención del fraude, porque han de ser los elementos activos más importantes de esa prevención, por encima, si cabe, de la propia tecnología, tanto en la evaluación de los riesgos, como en el sistema de alerta que se establezca para las operaciones identificadas de riesgo.
Las empresas se han sofisticado operativamente a lo largo de la historia, a través de su adaptación continua a diferentes obligaciones de cumplimiento, especialmente en los países capitalistas en los que existe libertad de empresa y, en los que por tanto, resulta necesario crear un campo de operaciones en el que no sea posible la competencia desleal. En la actualidad y con el desarrollo de la conciencia social, estas obligaciones de cumplimiento han pasado también a ser sociales y ecológicas.
Sin embargo, hasta ahora la prevención del fraude había sido una obligación teórica más que práctica, que se iba rellenando con alguna estructura personal y tecnológica cuando había dinero para hacerlo, porque en el fondo no existía ninguna obligación externa de cumplimiento para esta materia. Las únicas “sanciones” efectivas eran las pérdidas acumuladas por la actividad fraudulenta, que en muchas ocasiones ni eran identificables para la propia empresa, puesto que ésta no poseía las herramientas necesarias para poder discriminar la información.
La Ley Orgánica 5/2010, en la que se establece la responsabilidad penal de las personas jurídicas, ha modificado el campo de operaciones de las empresas, porque ha establecido nuevas obligaciones en materia de cumplimiento penal, que desde el punto de vista organizativo y tecnológico están íntimamente relacionadas con las estructuras necesarias para la prevención del fraude, por lo que por simple economicidad empresarial, ha llegado el momento de rentabilizar los costes derivados de las nuevas obligaciones de cumplimiento penal en beneficio de la propia empresa, potenciando para ello la prevención del fraude.
Si analizamos esta última Ley, prácticamente todos los delitos concretos referidos a la responsabilidad penal de las personas jurídicas están relacionados también con el fraude interno, por lo que resulta lógico que en la empresa haya una sola Política de Prevención Penal y contra el Fraude, cuyas líneas maestras estarían concretadas en el CÓDIGO ÉTICO entendido como herramienta imprescindible para la creación de un ENTORNO DE CONTROL.
En nuestro análisis, hemos considerado fraude interno al listado de delitos económicos que aparecen en el Estudio PWC, a saber:
- Manipulación contable
- Obtención fraudulenta de financiación
- Aplicaciones fraudulentas de crédito
- Transacciones no autorizadas
- Apropiación indebida de activos
- Soborno y corrupción
- Blanqueo de dinero
- Robo de información y violación de IP
- Abuso de información privilegiada
- Fraude fiscal
- Abuso de mercado
- Espionaje a favor de los competidores
- Otros
Si ahora analizamos la Ley Orgánica 5/2010, de 22 de junio, por la que se modifica la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal, nos encontramos con que los “delitos económicos” por los que las personas jurídicas pueden ser penalmente responsables, son prácticamente los mismos que los que aparecen en nuestro listado de fraude interno, y que yo pongo en negrita.
- Trata de seres humanos (Artículo 177 bis.7 del Código Penal)
- Relativos a la prostitución y la corrupción de menores (Artículo 189 bis)
- Descubrimiento y revelación de secretos (Artículo 197.3)
- Estafa (Artículo 251 bis)
- Insolvencias punibles (Artículos 261 bis)
- Daños informáticos (Artículo 264.4)
- Relativos a la propiedad intelectual e industrial, al mercado y a los consumidores (Artículo 288)
- Blanqueo de capitales (Artículo 302.2)
- Delitos contra la Hacienda Pública y la seguridad Social (Artículo 310 bis)
- Delitos contra los derechos de los ciudadanos extranjeros (Artículo 318 bis.4)
- Delitos contra la ordenación del territorio (Artículo 319.4)
- Delitos contra los recursos naturales y el medio ambiente (Artículo 327 y Artículo 328.6)
- Exposición a radiaciones ionizantes (Artículo 343.3)
- Delitos de riesgo provocados por explosivos y otros agentes (Artículo 348.3)
- Delitos relativos a drogas tóxicas, estupefacientes o sustancias psicotrópicas (Artículo 369 bis)
- Falsificación de tarjetas de crédito y débito y cheques de viaje (Artículo 399 bis.1.3º)
- Cohecho (Artículo 427.2)
- Tráfico de influencias (Artículo 430)
- Corrupción de funcionario público extranjero (Artículo 445.2)
- Financiación del terrorismo (Artículo 576 bis.3)
Es por ello por lo que resulta aconsejable que dentro de la empresa exista una sola Política de Prevención Penal y contra el Fraude, que tenga en cuenta ambas vertientes de responsabilidad dentro de la planificación del CONTROL DEL FRAUDE INTERNO.
Sobre estos hechos económicos concretos que aparecen en el Código Penal, es sobre los que hay que efectuar las evaluaciones de riesgos de fraude interno, y para ello se han de averiguar los departamentos de la empresa en los que estos hechos pudieran cometerse más fácilmente, con el fin de que estén dotados de sus específicos OBJETIVOS DE CUMPLIMIENTO PENAL Y CONTRA EL FRAUDE, valorando también la necesidad de que los mismos tengan activadas las alertas necesarias para:
- Evitar que se produzcan desviaciones con respecto a los objetivos establecidos, y
- Detectar, en un plazo mínimo, las posibles desviaciones que se hayan efectuado.
Pero para ello se ha de establecer algún método de trabajo que haga posible la planificación y la ejecución de las evaluaciones del riesgo de fraude.
EJEMPLO DE UN “MÉTODO DE TRABAJO” PARA LA PLANIFICACIÓN Y EJECUCIÓN DE LAS EVALUACIONES DEL RIESGO DE FRAUDE
Para la planificación de la primera evaluación del riesgo de fraude, el departamento encargado de esta obligación tendrá que definir su primer MAPA GENERAL DE RIESGOS DE FRAUDE, a partir de la centralización de la información sobre fraude de toda la empresa. Un MAPA GENERAL DE RIESGOS DE FRAUDE no es más que el sumatorio de los MAPAS DE RIESGO DEPARTAMENTALES.
Como he indicado, éste primer MAPA GENERAL DE RIESGOS DE FRAUDE necesita para su confección de la centralización de la información que señalábamos en una Ficha anterior, por lo que, previamente y a través del OCIC, se habrá preparado la NORMATIVA INTERNA necesaria para que toda la información sobre fraude interno y responsabilidad penal sea reportada hacia un REPOSITORIO CENTRALIZADO, que estará dotado de todas las garantías legales y de seguridad.
Este REPOSITORIO CENTRALIZADO permitirá crear a los analistas de prevención del fraude, mediante la tecnología adecuada, no sólo el primer mapa general de riesgos de fraude, sino el primer MAPA GENERAL DE PREVENCIÓN DEL FRAUDE INTERNO que contenga las soluciones preventivas a estos riesgos y los MAPAS PARTICULARES DE PREVENCIÓN, necesarios para aquellas partes de la organización que los necesiten, en base a su específico SISTEMA DE OPERACIONES DE RIESGO.
Pero no nos adelantemos y vayamos por partes. Una vez establecido el primer MAPA GENERAL DE RIESGOS DE FRAUDE INTERNO, así como los MAPAS DEPARTAMENTALES, obtenidos a partir de la información previamente centralizada, el equipo de investigación tendrá que hacer:
- Una estimación de la importancia de cada riesgo identificado.
- Una evaluación de la probabilidad de que el riesgo se materialice dentro del departamento a estudiar.
- Una definición de las medidas que deben ser adoptadas para la prevención y para la reacción, si el riesgo llegara a materializarse.
Se utilizarán también para la confección de los MAPAS otras herramientas que permitan identificar áreas de riesgo y de sectores, así como las listas sobre indicadores de fraude publicadas por instituciones públicas y privadas.
Estos MAPAS servirán al Departamento de Prevención del Fraude para planificar la primera EVALUACIÓN DEL RIESGO DE FRAUDE, en la que participará el personal que trabaja en cada uno de los departamentos de riesgo a analizar, para lo que se utilizarán técnicas participativas que permitan la colaboración de los empleados, bajo la coordinación del Representante de área en el OCIC, que siempre contará con la ayuda del Departamento de Prevención del Fraude y aquellos otros departamentos especializados a los que afecten las distintas materias de evaluación del riesgo, como veremos después.
Hago hincapié en el rol de los OCIC delegados, puesto que son los responsables de cumplimiento de cada área, y por este motivo los que deben conocer más profundamente la operatoria de cada uno de los departamentos que componen su área de trabajo.
Esta primera EVALUACIÓN DEL RIESGO DE FRAUDE permitirá adaptar los MAPAS DE RIESGO previamente definidos, a la realidad concreta de cada departamento, obteniéndose así la información necesaria para la preparación de los planes, programas y acciones, que posteriormente el OCIC ha de presentar a la Alta Dirección, y que servirán para afrontar los riesgos identificados y ponderados de fraude interno, entendido éste en su sentido amplio y que por tanto, abarca la responsabilidad penal de la empresa, en la que están incluidos el blanqueo de capitales y la financiación del terrorismo, al margen de las obligaciones administrativas que la empresa tenga como sujeto obligado.
Así pues, junto a los riesgos del fraude operacional, durante el proceso de evaluación han de ser identificados y ponderados también los riesgos derivados de la responsabilidad penal.
Este proceso se irá repitiendo en el tiempo de forma sistemática, lo que permitirá perfilar poco a poco todos los riesgos de fraude, así como buscar las herramientas tecnológicas necesarias para su control, conociendo previamente en profundidad los problemas que deben ser resueltos con la tecnología.
UN EJEMPLO DE TÉCNICA DE PARTICIPACIÓN
Quisiera finalizar esta Ficha con un ejemplo de TÉCNICA DE PARTICIPACIÓN, que en nuestro caso podría llevar a la práctica el Responsable operativo del OCIC con la ayuda del Departamento de Prevención del Fraude, y de aquellos otros Departamentos con responsabilidad en la materia que se pretenda analizar.
Para este ejemplo he encontrado un método interesante, puesto en práctica por Jim Wesberry, Director del Proyecto ATLATL en la Ciudad de México, que consistía en establecer pequeños talleres en los que hacía participar a los empleados, que son los que realmente mejor conocen la operativa de cada departamento y los que por tanto, pueden valorar con más fundamento la efectividad real de los mecanismos de control establecidos, o que se pretendan establecer por la empresa para prevenir los riesgos a analizar.
Estos equipos eran reducidos, de entre 10 y 18 personas que participaban en la evaluación de los riesgos a estudiar durante una jornada. Las sesiones estaban previamente planificadas junto con su material de trabajo.
En estos talleres se identificaban los objetivos que se pretendían alcanzar, así como los problemas conocidos en relación con los riesgos concretos que se querían analizar, descubriéndose así las fortalezas y las debilidades de los controles existentes.
En el modelo analizado, para conseguir una discusión abierta y franca entre los intervinientes, se utilizaba una herramienta informática que permitía la votación anónima y que recogía las respuestas acerca de los temas debatidos, proyectándolas sobre una pantalla para que los asistentes pudieran ver los resultados, que eran presentados mediante distintos gráficos. De esta manera cada participante ofrecía sus respuestas sinceras a las preguntas delicadas, sin exponerse personalmente dentro de la organización.
Este sistema de trabajo exige, como he indicado antes, un trabajo previo y riguroso de confección del material necesario para los debates.
El Modelo podría utilizarse no sólo para la evaluación de los riesgos de fraude interno, sino para otras materias de interés, como por ejemplo, sobre entorno/ambiente de trabajo, sobre información y comunicación, sobre ética y moral de los empleados, etc. Cada una de las materias estaría preparada por el departamento de control correspondiente.
En estos talleres han de participar empleados de distintos niveles, para obtener así diferentes perspectivas acerca de la organización, lo que permitirá comparar posteriormente los resultados de diferentes departamentos, identificando así las mejores prácticas a implementar dentro de la empresa.
Estos sistemas de evaluación son más eficientes que los tradicionales cuestionarios utilizados para valorar el funcionamiento operacional o para identificar las debilidades en el control interno.
Fabián Zambrano Viedma
Responsable del Servicio de Prevención del Fraude