Blog del Servicio de Prevención del Fraude

Asociación Nacional de Establecimientos Financieros de Crédito (ASNEF)





C/ Velázquez, 64-66, 2ª planta

28001 Madrid

Teléfono del Servicio: 917814551

Fax: 914314646



Correo electrónico: spfraude@asnef.com







miércoles, 19 de octubre de 2011

La información y la comunicación, en la prevención del fraude interno




LA INFORMACIÓN Y LA COMUNICACIÓN

En la ficha número 3, hablábamos del primer elemento COSO: la creación de un entorno de control; es decir, establecer dentro de la empresa una cultura que no tolere el fraude, entendido éste en un sentido amplio de intolerancia frente a cualquier delito económico.

Para ello debía establecerse un CÓDIGO ÉTICO fundamentado en la filosofía de gestión del Consejo de Administración y de la Alta Dirección,  que servirá para desarrollar  una batería de acciones diversas, que nosotros concretábamos en la ficha comentada, en dos listados de medidas que suelen utilizar en sus publicaciones sobre cumplimiento las consultoras: PWC y Deloitte.

El cuarto elemento de control especificado en el  informe COSO, es el que nos permitirá en la práctica establecer de forma efectiva el entorno de control previamente diseñado a partir del CÓDIGO ÉTICO, mediante la creación en la empresa de herramientas para compartir información y comunicación, que es el objeto de esta ficha.

Cada empleado y directivo debe conocer lo que la empresa espera de él en relación con sus prácticas profesionales, para lo que ha de saber diferenciar las aceptables de las no aceptables. A este respecto deberá conocer la forma ética en que ha de llevar a cabo su operatoria diaria y las negociaciones con proveedores, clientes, empleados, auditores, competidores, y administraciones públicas.  Esta  información ha de tenerla de forma accesible y  actualizada.

A este respecto se ha de establecer una política clara de COMUNICACIÓN que permita asegurar el conocimiento de los programas y políticas anti-fraude dentro de la empresa, y también crear las herramientas necesarias para que todo el personal pueda participar en el mantenimiento del entorno de control,  junto con los procesos formativos que tienen que ser diseñados para cumplir con este objetivo de la comunicación.

En la ficha número 2 veíamos como el fraude interno afectaba negativamente a la moral del personal y bajaba su rendimiento, al mismo tiempo que incrementaba el incentivo o presión externa para cometer fraudes. Precisamente la política de comunicación tiene como objetivo evitar la existencia de estas estructuras empresariales éticamente descontroladas y por tanto impunes, porque los directivos y empleados honrados que trabajan en ellas no tienen la capacidad de elevar sus alertas a la Alta Dirección, ni tienen definidos con claridad los comportamientos poco éticos que tienen que soportar a su alrededor.

Una de las herramientas que facilitan el proceso de comunicación entre los empleados y la alta dirección fue analizada en la ficha número siete dedicada a las LÍNEAS ÉTICAS DE DENUNCIA, entendidas como canales de comunicación confidencial y segura, a través de los cuales los miembros de una organización pueden reportar a la alta dirección actos fraudulentos, situaciones anómalas y conductas inadecuadas.

La POLÍTICA DE COMUNICACIÓN de una empresa, por tanto, debe buscar que la comunicación fluya fácilmente en todas las direcciones, con el fin de facilitar a directivos y empleados el cumplimiento de sus responsabilidades.


La información y la comunicación en la estructura anti-fraude

LA COMUNICACIÓN:

Una vez establecido el marco general que justifica una política de COMUNICACIÓN dentro de la empresa, vamos a centrarnos en esta ficha en la aplicación práctica de esta política en relación con el fraude interno que estamos analizando.

El segundo componente COSO de control en materia de fraude interno es la evaluación de los riesgos, para lo que resulta imprescindible descubrirlos previamente y crear con ellos un MAPA GENERAL DE RIESGOS DE FRAUDE INTERNO, en un proceso de acumulación de información que resulta complejo y dificultoso, puesto que tenemos que fundamentarlo en un trabajo de investigación dentro de cada departamento, del que surgirá un MAPA DEPARTAMENTAL DE RIESGOS. El sumatorio de todos ellos nos permitirá definir posteriormente el MAPA GENERAL.

Junto con los riesgos objetivos derivados del mal funcionamiento operativo y de las debilidades detectadas en la organización, sistemas y procedimientos, hay que localizar también los riesgos subjetivos derivados de las presiones que pudieran sufrir  los empleados por circunstancias externas, como podría ser la crisis económica, o internas como por ejemplo, el incumplimiento de objetivos deficientemente definidos por la alta dirección, o personales de cada empleado.

Para la confección del MAPA GENERAL DE RIESGOS DE FRAUDE, la estructura de prevención del fraude (OCIC-SPFRAUDE) ha de utilizar fuentes diversas, y colaborar no sólo con los departamentos relacionados con la actividad vertical de producción, sino también con los departamentos transversales de cumplimiento, entendidos éstos en un sentido amplio: Auditoría, Recursos Humanos, Legal, Prevención AML, Prevención del Riesgos Laborales,  etc.

El OCIC, para ser eficaz ha de trabajar mediante diferentes comités: prevención del fraude, blanqueo de capitales, cumplimiento normativo, riesgos laborales, etc., cada uno de los cuales estará asistido por el departamento especializado en la materia, vg.: Servicio de Prevención del Fraude, Servicio de Prevención del Blanqueo de Capitales, Auditoría Interna, Departamento Legal, etc.

En nuestra materia, será el Comité de prevención del fraude del OCIC,  el que asistido por el Servicio de Prevención del Fraude deba proceder a la confección del MAPA GENERAL DE RIESGOS DE FRAUDE. Posteriormente será también el que evalúe y priorice  cada uno de los riesgos encontrados, los documente, y el que se encargue de confeccionar las políticas anti-fraude para ese departamento concreto. En estas políticas se definirán los riesgos, y se implementarán las soluciones organizativas o tecnológicas más apropiadas para su control. Estas políticas deberán quedar explicitadas por escrito y a disposición de los encargados de su cumplimiento y de los encargados de su control y supervisión; es decir, empleados y directivos del departamento, el Servicio de Prevención del Fraude y las Auditorías Interna y Externa.

Este trabajo de búsqueda de las debilidades en la estructura organizativa, operativa y procedimental, constituye un auténtico test de calidad para la mejora del funcionamiento de cada uno de los departamentos analizados, puesto que al mismo tiempo que se identifican los riesgos se estará comprobando la implantación real del Código Ético y de la normativa de cumplimiento penal, la valoración de la presión existente para el cumplimiento de los objetivos, que como sabemos es un factor de riesgo, las necesidades de personal, que es otro factor de riesgo importante, la descripción de cada puesto de trabajo, el conocimiento y las habilidades necesarias para llevarlo a cabo, las operatorias y los procedimientos, etc., quedando gran parte de esta información registrada por escrito. Como consecuencia, el beneficio de este trabajo de investigación quedará en el departamento analizado, puesto que en este análisis estarán participando los responsables del mismo.

El segundo paso que la estructura OCIC-SPFRAUDE tiene que dar, será la evaluación de los riesgos y su priorización, para lo que habrá de hacerse una estimación de la importancia de cada riesgo, la probabilidad o frecuencia de su materialización, y las soluciones organizativas y tecnológicas necesarias para evitarlo o en su caso para esclarecerlo. El resultado de este trabajo se explicitará en un MAPA DEPARTAMENTAL DE PREVENCIÓN DEL FRAUDE, que será público para los órganos directivos y para el departamento concreto que deba cumplir la política anti-fraude expresada en el mismo.

El MAPA GENERAL DE RIESGOS DE FRAUDE deberá complementarse, por tanto,  con un MAPA GENERAL DE PREVENCIÓN DEL FRAUDE que contendrá todas las políticas departamentales de prevención, y que estará a disposición de toda la estructura directiva, y en la parte que le afecte, de todo el personal destinado en cada uno de  los departamentos.

Llegamos por tanto a la materia específica objeto de esta ficha: LA POLÍTICA DE COMUNICACIÓN relativa al fraude interno.

Esta política no es independiente de la POLÍTICA GENERAL DE COMUNICACIÓN, que recopila y publicita aquella información que deben recibir los accionistas, los directivos, los empleados, los clientes, los proveedores y los organismos de control, en tiempo y en forma, para el cumplimiento de los objetivos de la empresa y de las  responsabilidades profesionales de los que trabajan en ella. La POLÍTICA DE COMUNICACIÓN relativa al fraude interno deberá estar integrada en aquella.

Las herramientas para recopilar y publicitar la POLÍTICA GENERAL DE COMUNICACIÓN son muy variadas gracias a las nuevas tecnologías, como por ejemplo sitios Web corporativos o públicos que permitan suministrar información a través de la Intranet  o de Internet, sobre el Código Ético, normativas de cumplimiento, o programas y controles anti-fraude, lo que puede hacerse de forma discriminada para que así sólo llegue la totalidad o parte de la información a su legítimo destinatario.

En relación con la prevención del fraude, hago mención también a otras herramientas como pueden ser los manuales para empleados y las publicaciones formativas, los boletines de noticias, las sesiones de entrenamiento  o los mensajes o presentaciones procedentes de los responsables de los distintos departamentos o de la estructura de prevención OCIC-SPFRAUDE.


LA INFORMACIÓN:

La comunicación anti-fraude  origina necesariamente información interna, por lo que la empresa está obligada a crear canales que permitan la participación del personal  en el control del entorno o ambiente. Ya vimos que uno de los canales más efectivos era la línea ética de denuncia, pero junto a ella pueden establecerse otros mecanismos que también faciliten la comunicación de  información relevante a los niveles superiores de la empresa, ya sea  por conducto jerárquico o transversal.

Junto a estas herramientas de comunicación que generan  información interna, y que pueden completarse con canales de comunicación externa para accionistas, clientes y proveedores,  la estructura OCIC-SPFRAUDE debe establecer un sistema automatizado por el que le lleguen las alertas producidas por las soluciones tecnológicas anti-fraude que estén acopladas a las plataformas operativas de producción dentro de cada departamento, así como la información sobre fraude que sea de interés y que proceda  de directivos,  empleados, o personal externo.

La información sobre fraude interno obtenida por las diferentes fuentes analizadas, llegará a un REPOSITORIO GENERAL DE PREVENCIÓN DEL FRAUDE controlado por el Servicio de Prevención del Fraude, que estará conectado a una plataforma tecnológica de análisis de la información. Esta plataforma tecnológica puede estar ubicada dentro de la empresa o contratada externamente como servicio “outsourcing”, y permitirá crear la inteligencia necesaria para las labores de prevención y represión del fraude interno, en un proceso similar pero independiente, al que se sigue para la prevención y represión del fraude externo.


CONCLUSIÓN:

No podrá existir una verdadera INFORMACIÓN y COMUNICACIÓN dentro de la empresa, si los empleados y los directivos no perciben claramente que el Consejo de Administración y la Alta Dirección están realmente implicados en el diseño y en el cumplimiento del CÓDIGO ÉTICO, y de que valoran e investigan la información generada en la empresa para asegurar el necesario entorno de control.


Fabián Zambrano Viedma
Responsable del Servicio de Prevención del Fraude