Blog del Servicio de Prevención del Fraude

Asociación Nacional de Establecimientos Financieros de Crédito (ASNEF)





C/ Velázquez, 64-66, 2ª planta

28001 Madrid

Teléfono del Servicio: 917814551

Fax: 914314646



Correo electrónico: spfraude@asnef.com







lunes, 24 de febrero de 2014

A la espera del Estudio Global PWC sobre Delitos Económicos 2014



Estamos a la espera de la publicación del Estudio Global PWC sobre delitos económicos correspondiente a la última encuesta mundial de PricewaterhouseCooper, y junto a este estudio,  el informe resumen ejecutivo para España.

Mientras llega esta información  voy a tratar de comparar algunos de los datos de interés obtenidos del Informe de 2009 sobre delitos económicos y fraude empresarial,  resumen ejecutivo de PWC para España, y los que aparecen en el resumen ejecutivo de la  encuesta mundial sobre fraude y delito económico de 2011. A este último documento se puede acceder desde la Web de PWC España, o a través  de nuestro portal  www.de-fensa.es, dentro del módulo: Transparencia.

En el año 2009, la preocupación sobre el fraude interno no estaba aún generalizada entre los empresarios españoles, aunque esta preocupación  se había incrementado en relación con la encuesta del año 2007.

Fue en la encuesta de 2011 donde ya se constató una creciente preocupación de los empresarios españoles por el fraude interno, traduciéndose  en la práctica en  un incremento de las medidas destinadas a la detección del mismo.

En el 2011, el fraude interno en España había crecido en relación con el año 2009 en un 18,1 %., representando un 47,1 % del fraude total, mientras que en 2009 tan sólo era  de un  29%. Veremos  lo que nos dice al respecto la encuesta de 2014.

Los propios comentaristas de PWC  España  nos avisaban de que el resultado porcentual obtenido en la encuesta de 2011 se había inferido de las respuestas de las empresas españolas que  conformaron  la muestra, que se supone poseían un grado de concienciación superior a la media de las empresas españolas y, por tanto, las que ya habían hecho  un mayor esfuerzo en prevención.

Según este razonamiento, el porcentaje real del fraude interno en relación con el fraude total en ese año 2011, sería superior al porcentaje aportado por la muestra.

Este incremento se debió a que  un gran número de empresas españolas, entre 2009 y 2011  se vieron obligadas a ajustar sus partidas presupuestarias, lo que terminó afectando a las áreas de “compliance” y de control interno,  que, como sabemos,  son claves para la prevención de los delitos económicos y tecnológicos.

Recordemos la tipología de fraude interno que se utilizó en la encuesta de 2009:
  • Manipulación contable
  • Obtención fraudulenta de financiación
  • Aplicaciones fraudulentas de crédito
  • Transacciones no autorizadas
  • Apropiación indebida de activos
  • Soborno y corrupción
  • Blanqueo de dinero
  • Robo de información y violación de IP
  • Abuso de información privilegiada
  • Fraude fiscal
  • Abuso de mercado
  • Espionaje a favor de los competidores
  • Otros.

En la encuesta de 2011, dos de las tipologías de fraude interno referenciadas arriba, la apropiación indebida y la manipulación contable,  incrementaron su porcentaje en relación con el resto de tipologías de 2009. Este porcentaje disminuyó en otros delitos, como los de corrupción y soborno, lo que resulta lógico en situaciones de crisis económica.

Las tipologías más importantes de fraude interno, según la encuesta del año 2011 fueron las siguientes:
  • Apropiaciones indebidas de activos (35%)
  • Manipulaciones contables (29%)
  • Sobornos y corrupciones (11%)
  • Fraude fiscal (9%)
  • Información privilegiada (insider trading) (6%)
  • Cibercrimen (4%)
  • Blanqueo de Capitales (3%)
  • Violación de IP (1%)
  • Otros (2%)



En el año 2011, el fraude interno en España se incrementó en relación con la media europea en un 36.8%, mientras el externo decreció en un 28.2%.

El desfase porcentual de fraude interno y externo de las empresas españolas con respecto a la media europea, según PWC se debió a la crisis económica y la consiguiente reducción presupuestaria en las áreas de “compliance” y control interno como he indicado antes, puesto que un gran número de  empresas se centraron en esos dos año en el fraude externo, relegando el fraude interno a un segundo lugar dentro de los programas de prevención.

Otra de las razones para este incremento tuvo que ver también con el  entorno económico deteriorado como consecuencia de la larga y pronunciada crisis económica que atravesaba España en ese momento,  que hizo aumentar las oportunidades  y las motivaciones para la comisión de fraudes internos.

En los años 2010 y 2011 hubo, por tanto, una relajación general en  los controles internos de las empresas españolas con respecto al  fraude interno, por las reducciones presupuestarias indicadas,  y por el incremento de las oportunidades y motivaciones que se dieron para  la comisión de este tipo de fraudes.




Otro dato interesante de la encuesta fue el siguiente: En España los fraude internos los realizaron fundamentalmente personas integradas en la alta dirección o en mandos intermedios, mientras que en el resto de Europa, el mayor porcentaje de los fraudes internos (30%), lo cometieron los empleados más jóvenes o recién incorporados. Esto supuso  en el caso español, que los fraudes internos incrementaran su impacto económico de forma considerable, lo que siempre sucede cuando los  defraudadores ocupan lugares altos en los organigramas empresariales por su mayor capacidad de acción.


Recordemos lo que significa un aumento de las oportunidades  y de las motivaciones para la comisión de fraudes internos.



OPORTUNIDAD

En nuestro estudio anterior sobre fraude interno, me hice eco de la hipótesis que ya se manejaba en la encuesta de 2009, de que el fraude interno tenía tres causas justificativas que podían esquematizarse en los vértices de un TRIÁNGULO (El triángulo de las causas del fraude interno)

Ya hemos visto al analizar los datos de la encuesta de 2011 que en la crisis económica de esos años  hubo una reducción  presupuestaria que afectó en gran parte a las áreas  cumplimiento y de control interno.

Se sabe por la práctica que cuando se relajan estos controles, se incrementan de forma inmediata  los incentivos  para cometer fraudes internos porque aumentan las oportunidades por efecto de esa misma relajación.

Pero junto a las oportunidades para cometer fraudes internos por la disminución de los controles,  la propia crisis hizo que quedaran afectados  los otros dos vértices del triángulo del fraude:
  • El incentivo/presión
  • La actitud/racionalización


Es por ello por lo que se crearon las circunstancias propicias para que  en esos años se incrementara el fraude interno con respecto al fraude total dentro de las empresas españolas.

Analicemos brevemente el por qué una crisis económica puede afectar a estos tres vértices del triángulo del fraude:

INCENTIVO/PRESIÓN

En las crisis económicas suelen aumentar  los incentivos ambientales favorables al fraude interno, porque los empleados perciben una mayor inseguridad en sus puestos de trabajo. Esta inseguridad termina afectando a la fidelidad de los empleados hacia sus empresas. Es esta baja generalizada de fidelidad la que actúa como un incentivo ambiental que favorece la perpetración de los fraudes internos.

Junto a esta causa subjetiva, en las etapas de crisis económica también aparecen  otras causas objetivas que incentivan  la comisión de fraudes internos, como son entre otras,  las reducciones en los sueldos, el decremento de la productividad, y la pérdida de los “bonus”.

Estas causas objetivas suelen originar desequilibrios  financieros personales en aquellos empleados que, durante el período de bonanza económica,  asumieron riesgos que se justificaron en aquel momento en  la seguridad aparente de los empleos y en el constante crecimiento de los salarios.

Junto a estas causas generales,  en los momentos de crisis suele aparecer otra causa específica que en la encuesta de 2011 justificó el incremento  de las manipulaciones contables. Esa causa fue la presión que ejercieron muchas empresas para alcanzar determinados objetivos. En la encuesta de 2011 los  fraudes y falsedades contables (manipulaciones contables)  supusieron  el 29% de los delitos económicos, cuando en  2009 sólo ocuparon  el 11% de los mismos.

ACTITUD/RACIONALIZACIÓN

Sabemos que la mayoría de los trabajadores de una empresa se caracterizan por su honradez, puesto que existe una base ética positiva en las personas que condiciona su comportamiento. Esa base ética  es la que mueve el comportamiento personal hacia el respeto de la legalidad.

Pero la base ética posee un apoyo evidente  en la racionalización que toda persona hace, consciente o inconscientemente,   de las consecuencias derivadas de la comisión de los fraudes internos.

La actitud natural de honradez y la racionalización de las consecuencias que pueden derivarse del no respeto de la legalidad, quedan debilitadas en algunas personas por las casusas señaladas en el triángulo del fraude. Estas personas terminan cometiendo fraudes internos si encuentran muchas más oportunidades por la relajación de los controles.

RESULTADO

En los momentos de crisis económica como los vividos entre 2009 y 2011, fue un error que muchas empresas no priorizaran  los aspectos que tienen que ver con el cumplimiento y con el control interno.

Resulta evidente por los datos de la encuesta de 2011, que en el período analizado hubo un cambio de prioridades dentro de las empresas motivado por la crisis económica, que propició el desvió de los recursos escasos a otras actividades,  como las recuperaciones de deuda, la búsqueda de financiación, o el equilibrio del binomio producción/ventas, quedando relegadas,  entre otras, las áreas de “compliance” y control interno.

Esta política restrictiva terminó afectando a las inversiones necesarias para el incremento de la seguridad en sus diferentes vertientes: control interno, seguridad informática, análisis de riesgos, o seguridad general contra el fraude interno y externo, lo que se tradujo en un aumento de las oportunidades para cometer fraudes internos.

La disminución de los controles por el menor presupuesto dedicado a los mismos, según la encuesta de 2011 hizo aumentar  las oportunidades  para la comisión de fraudes internos.

LAS CONSECUENCIAS DE LOS FRAUDES INTERNOS

Otro apartado interesante de la comparación entre las encuestas de 2009 y 2011 tiene que ver con  las consecuencias de los fraudes internos.

El impacto económico de los fraudes internos, según la encuesta de 2011,  se incrementó cuantitativa y cualitativamente en relación con la  de 2009.

En el 2011 se redujeron los fraudes internos con impacto menor a 70.000 euros en un 24% (en 2009 constituyeron un 27%  y en 2011, sólo un 3%), y por el contrario,  se incrementaron los fraudes internos con un impacto económico mayor:
  • Los fraudes internos que estaban en la horquilla entre 70.000 euros y 3,5 millones de euros se incrementaron en un 10% en relación con  2009.
  • Los fraudes internos que estaban en la horquilla entre 3,5 millones de euros y 68 millones de euros, se incrementaron por cuatro con respecto a 2009, llegando a representar el 20% de los delitos económicos que sufrieron las empresas españolas.


Pero junto a las consecuencias económicas, hubo otras  de mayor gravedad  porque incidieron sobre:
  • La imagen y reputación de las empresas afectadas
  • La motivación de los trabajadores
  • Las relaciones con los reguladores

Imagen y reputación:

Sabemos que el fraude interno tiene repercusiones negativas en la reputación/marca de las organizaciones empresariales, y termina influyendo sobre el precio de sus acciones o participaciones. Al mismo tiempo perjudica las relaciones comerciales, y en algunos casos, este impacto negativo condiciona la supervivencia de las propias empresas.

Motivación de los trabajadores:

El fraude interno produce la desmotivación de los trabajadores y por tanto, la caída de la productividad, así como el aumento de los incentivos ambientales que hacen que algunos empleados cometan  fraudes.

En los comentarios a la encuesta de PWC de 2009, se señalaba que en España el descubrimiento de los fraudes internos tenía un efecto reputacional negativo mayor que en otros países, debido a que se daba un trato confidencial a este tipo de delitos, y como consecuencia, cuando alguna de estas conductas trascendía públicamente ocasionaba un gran impacto mediático, especialmente cuando los hechos fraudulentos afectaban a la alta dirección.

Se indicaba en aquella encuesta que era necesario cambiar la cultura oscurantista sobre el fraude interno,  virándola hacia un  tratamiento normalizado y transparente de los hechos fraudulentos descubiertos. En la encuesta de 2011  se pudo constatar en las empresas españolas una evolución positiva en este aspecto, que esperamos  siga confirmandose en la encuesta de 2014.

En la encuesta del 2009, la reacción de las empresas frente al fraude interno consistía en el despido en un 43% de los casos. En la de 2011, el despido directo se redujo al 26%.

Relaciones con los reguladores

El fraude interno que afecta a materias reguladas ocasiona un impacto negativo en las relaciones entre las empresas y los organismos reguladores, lo que termina perjudicando la reputación de las primeras por la publicidad negativa que reciben, y también afectando a su tesorería por las sanciones económicas que deben cumplir.

LAS MEDIDAS DE DETECCIÓN DEL FRAUDE INTERNO

Otro aspecto interesante de comparación entre las dos encuestas (2009 y 2011) es el relacionado  con las medidas de  detección del fraude interno.

Ya vimos en el análisis de la encuesta de 2009, que el fraude interno suele aflorar mediante las herramientas organizativas y tecnológicas especialmente diseñadas para este objetivo, aunque también se pone de manifiesto por puro accidente o porque ocurren circunstancias nos previstas por los estafadores.

En el estudio de PWC de 2009 se ofrecía un esquema con herramientas organizativas y tecnológicas  y de circunstancias de interés:
  • Evaluaciones de riesgo de fraude
  • Auditoría interna
  • Auditoría externa
  • Controles anti-fraude
    • Gestión de Riesgos y monitorización de operaciones sospechosas
    • Cultura anti-fraude
  • Procedimientos de denuncia
  • Controles sobre el personal: vg.: Cambio o rotación
  • Por accidente

Según aquel estudio, las dos herramientas más eficaces contra el fraude interno, de entre las referenciadas anteriormente, fueron:
  • EVALUACIÓN FRECUENTE DEL RIESGO DE FRAUDE
  • CONTROLES ANTIFRAUDE.


El estudio puso de manifiesto que las organizaciones que no conocen el riesgo del fraude inherente a sus actividades de negocio, no pueden desarrollar controles antifraude  para poder combatirlo. Por ello, las evaluaciones frecuentes de riesgo de fraude resultan esenciales para identificar las amenazas potenciales y las debilidades en los controles.

Un sistema de evaluación frecuente del riesgo obliga a las empresas a  buscar el fraude, y les da la agilidad necesaria para encontrarlo,  aun cuando sabemos que este riesgo no es estático, sino que va cambiando en el tiempo por el influjo de las circunstancias.

La evaluación sistemática y la interposición de controles requieren una planificación del trabajo en fases:
  • Identificación de  los potenciales riesgos de fraude inherentes  a la actividad de negocio.
  • Evaluación de la probabilidad e importancia de que se produzcan los riesgos de fraude que han sido identificados.
  • Determinación de las personas y departamentos que por su operatividad son más propensos a cometer cada uno de los fraudes identificados, y descubrir  los “modus operandi” o métodos que pueden ser utilizados por los defraudadores con más probabilidad.
  • Búsqueda y establecimiento de controles preventivos. (Gestión de Riesgos- Controles anti-fraude)
  • Evaluación de los controles y procesos para asegurar que han sido diseñados de forma efectiva para que aborden los riesgos de fraude identificados.
  • Identificación y evaluación de los riesgos de fraude residuales derivados de la inexistencia de controles o de controles poco efectivos.
  • Respuesta ante los riesgos de fraude residuales.


Señalo la similitud de esta planificación voluntaria para la prevención del fraude interno, con la que resulta necesaria y diría que obligatoria, para prevenir la posible responsabilidad penal de las personas jurídicas de la que después hablaré, lo que sugiere una sola estructura organizativa y de planificación, tanto para la prevención del fraude interno, como para la prevención de la responsabilidad penal de las personas jurídicas.

Según la encuesta de 2011, estas fueron las medidas y circunstancias que resultaron más eficaces para descubrir los fraudes internos:
  • Denuncia interna (18%)
  • Denuncia externa (8%)
  • Por accidente (5%)
  • Aplicación de la Ley (5%)
  • Investigación de los medios (5%)
  • Otros métodos (3%)
  • Auditoría interna (18%)
  • Gestión activa del riesgo del fraude (8%)
  • Análisis de operaciones sospechosas (18%)
  • Seguridad corporativa (2%)
  • Rotación del personal (13%)




Como puede observarse en el gráfico, las denuncias internas, las auditorías internas, el análisis de operaciones sospechosas y la rotación de personal fueron las medidas que permitieron detectar un mayor número de fraudes internos en las empresas españolas, según la encuesta de 2011.

Conviene hacer algún comentario sobre dos de ellas:

La Auditoría Interna

Aunque las Auditorías internas siguen siendo uno de los métodos más eficaces para detectar los fraudes internos, como se vio  confirmado en la encuesta de 2011 al incrementarse los  resultados de detección respecto a 2009 en un 13% (2009 un 5%, 2011 un 18%), el propio estudio de PWC avisó de que poco a poco las Auditorías irían detectando un porcentaje cada vez menor de fraude interno en relación con otras herramientas de control, como por ejemplo la evaluación frecuente del riesgo y su gestión, que en el 2011 ya supuso un 8%. Esto nos indica la importancia que van adquiriendo las plataformas tecnológicas de detección.

El procedimiento formal de denuncia

El procedimiento formal de denuncia que se ofrece a los empleados por distintos medios (buzones, internet, o mediante la externalización en un tercero de confianza) sigue constituyendo una buena herramienta para hacer aflorar el fraude interno.  Pero para que sea efectiva este herramienta  ha de estar  suficientemente extendida entre las empresas; debe ser publicitada;  y las personas que vayan a utilizarla han de considerarla efectiva, lo que sólo ocurre cuando la alta dirección está comprometida con el procedimiento formal de denuncia que se establezca.

***

En la encuesta de PWC de 2011, se trataron dos temas que eran de la máxima actualidad en aquel momento y cuyo interés no ha dejado de crecer en estos tres años, por lo que tendrán su protagonismo también en la encuesta de 2014:
  • La reforma de Código Penal que entró en vigor el 23 de diciembre de 2010, en la que se estableció la responsabilidad penal de las personas jurídicas y que supuso un nuevo entorno regulatorio que las empresas debían contemplar. Esta responsabilidad   será aún más prioritaria para las empresas cuando se modifique la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal que se está tramitando actualmente en el Congreso de los Diputados.
  • Los riesgos derivados del delito informático, que no han dejado de crecer en estos años por las importantes repercusiones que el cibercrimen tiene y tendrá en la actividad de las empresas.


LA RESPONSABILIDAD PENAL DE LAS PERSONAS JURÍDICAS Y LA PREVENCIÓN DEL FRAUDE INTERNO

Conceptualmente deberemos diferenciar el Fraude Interno, en el que la empresa resulta perjudicada, de aquellos otros delitos económicos que comenten los directivos  y empleados en beneficio de la empresa, y que son los que darían lugar a la responsabilidad penal de la misma.

Con todo, la prevención de la responsabilidad penal de las personas jurídicas está íntimamente relacionada con la estructura de control sobre el fraude interno que debe establecerse dentro de las empresas, por lo que tiene sentido su análisis conjunto.

La reforma del Código Penal, que entró en vigor el 23 de diciembre del año 2010, con anterioridad por tanto a la encuesta de PWC de 2011, impuso nuevas e importantes responsabilidades en el ámbito empresarial, al hacer responsables a las empresas y a sus dirigentes, de los perjuicios ocasionados por delitos cometidos por los representantes y trabajadores, como consecuencia de la actuación penal de los mismos o por insuficiencia de los controles internos para prevenir la comisión de estos delitos.

Esta reforma del Código Penal coincidió prácticamente en el tiempo con la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo, que imponía también a las empresas-sujetos obligados diversas medidas de diligencia debida, así como   obligaciones de información y de control interno.

El cumplimiento de ambas legislaciones, así como las estructuras de control interno que conllevan, por razones de simple economicidad tuvieron que  ser integradas dentro de las áreas de  control interno y de  “compliance” de la mayoría de las empresas afectadas, por lo que las entradas en vigor de ambas leyes a partir del año 2010  impulsaron, dentro de las empresas españolas, las áreas operativas que tienen a su cargo estas responsabilidades.

Refiriéndonos expresamente a la responsabilidad penal de las personas jurídicas, la encuesta de PWC de 2011 nos ofrece los siguientes datos de interés:



En el año 2011, el 30,6 % de las organizaciones habían adoptado medidas que respondían a la modificación del entorno jurídico-penal en esta materia, aunque existía también un 49,4 % que no las habían implantado por falta de concienciación sobre el nuevo problema, y un 20% que estaba pensando en implantarlas.  Había por tanto en ese año, un 50,6% de empresas españolas,  que estaban ya concienciadas en relación con la responsabilidad penal de las personas jurídicas.

Hemos de suponer que en los años posteriores se habrá incrementado el porcentaje de concienciación de las empresas españolas en relación con la responsabilidad penal de las personas jurídicas, y  por tanto, será un número mayor de empresas las que  estarán adoptando al efecto medidas de control.

Seguramente lo estén haciendo ya de una forma racional, es decir, incluyendo esta normativa penal dentro de las políticas generales de control y cumplimiento internos, lo que la conecta con el control del fraude interno que estamos analizando, que también forma parte de las mismas.

Analicemos desde un punto de vista operativo,  lo que implica la adaptación de la normativa de responsabilidad penal de las personas jurídicas dentro de las estructuras empresariales, y valoremos el por qué de la racionalidad de hacerlo de una forma coordenada con las políticas, procedimientos y sistemas de control interno de las empresas.

Para este análisis y valoración utilizaremos el trabajo que lleva por título  “La responsabilidad penal de las personas jurídicas  tras la LO 5/2010”, publicado en el número 63 de la Revista Xuridica Galega, que tiene como autor al Catedrático de Derecho Penal en el Instituto de Derecho penal europeo e internacional de la Universidad de Castilla la Mancha, D. Adán Nieto Martín.

La reforma del Código Penal que entró en vigor el 23 de diciembre de 2010, introdujo en el ordenamiento penal español un concepto totalmente novedoso,  porque hasta ese momento el derecho penal español sólo se aplicaba a personas naturales o físicas, pero nunca a jurídicas, que únicamente estaban presentes en el Código penal en el ámbito de la responsabilidad civil.

Resulta muy instructivo analizar la evolución de la responsabilidad de las personas jurídicas en el ordenamiento español, explicada muy bien en el  trabajo del Catedrático Nieto, donde  también se ponen de manifiesto  los defectos técnicos  del Art. 31 bis) del Código Penal, actualmente vigente. Estos defectos técnicos ya han sido reconocidos expresamente en el borrador del Proyecto de Ley Orgánica por la que se modificará la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal.

Este artículo ha originado numerosas dudas interpretativas:
  1. En relación con el Art. 31 bis.1 (actualmente vigente), algunos juristas  están aplicando el régimen de responsabilidad vicarial que analizaremos seguidamente, lo que ya fue denunciado en su día por el Catedrático Adán Nieto y otros juristas, a los que ahora da la razón el Proyecto de Ley Orgánica que se está tramitando, que impondrá como única vía interpretativa la de la responsabilidad o culpabilidad propia de las personas jurídicas.
  2. Otro concepto aún vigente en el actual Art. 31 bis, pero que contiene una gran imprecisión es el de “debido control”, sobre cuyo quebrantamiento se fundamenta la actual responsabilidad de las personas jurídicas. El nuevo Proyecto de Ley Orgánica lo va a desarrollar de una forma mucha más precisa de acuerdo con la necesaria seguridad jurídica.


La seguridad en la interpretación que se conseguirá con la aprobación del Proyecto de Ley Orgánica, tendrá  unos efectos operativos de gran calado dentro de las normativas y controles  internos de las empresas.

Para comprender estos efectos, aunque sea mediante la forma de un simple planteamiento,  vamos a acercarnos al borrador del  nuevo Art. 31 bis, al que acompañarán  otros tres nuevos artículos (Art. 31 ter, Art. 31 quáter, y Art. 31 quinquies), para perfeccionar su interpretación.  

Los comentarios operativos que voy a utilizar para explicar este nuevo artículo, serán fundamentalmente los que hizo en su trabajo el Catedrático D. Adán Nieto Martín, porque a mi juicio siguen teniendo plena vigencia.

Artículo 31 bis, en el borrador de Proyecto de Ley Orgánica:

“1. En los supuestos previstos en este Código, las personas jurídicas serán penalmente responsables:
  • (a) De los delitos cometidos en nombre o por cuenta de las mismas, y en su beneficio directo o indirecto, por sus representantes legales o por aquellos que actuando individualmente o como integrantes de un órgano de la persona jurídica, están autorizados para tomar decisiones en nombre de la persona jurídica u ostentan facultades de organización y control dentro de la misma.
  • (b) De los delitos cometidos, en el ejercicio de actividades sociales y por cuenta y en beneficio directo o indirecto de las mismas, por quienes, estando sometidos a la autoridad de las personas físicas mencionadas en el párrafo anterior, han podido realizar los hechos por haberse incumplido por aquellos los deberes de supervisión, vigilancia y control de su actividad atendidas las concretas circunstancias del caso.

2. Si el delito fuere cometido por las personas indicadas en la letra a) del apartado anterior, la persona jurídica quedará exenta de responsabilidad si se cumplen las siguientes condiciones:
  1. el órgano de administración ha adoptado y ejecutado con eficacia, antes de la comisión del delito, modelos de organización y gestión que incluyen  las medidas de vigilancia y control idóneas para prevenir delitos de la misma naturaleza;
  2. la supervisión del funcionamiento y del cumplimiento del modelo de prevención implantado ha sido confiado a un órgano de la persona jurídica con poderes autónomos de iniciativa y de control;
  3. los autores individuales han cometido el delito eludiendo fraudulentamente los modelos de organización y de prevención, y;
  4. no se ha producido una omisión o un ejercicio insuficiente de sus funciones de supervisión, vigilancia y control por parte del órgano al que se refiere la letra b).

En los casos en los que las anteriores circunstancias solamente puedan ser objeto de acreditación parcial, esta circunstancia será valorada a los efectos de atenuación de la pena.

3. En las personas jurídicas de pequeñas dimensiones, las funciones de supervisión a que se refiere la condición 2ª del apartado 2 podrán ser asumidas directamente por el órgano de administración. A estos efectos, son personas jurídicas de pequeñas dimensiones aquellas que, según la legislación aplicable, estén autorizadas a presentar cuenta de pérdidas y ganancias abreviada.

4. Si el delito fuera cometido por las personas indicadas en la letra b) del apartado 1, la persona jurídica quedará exenta de responsabilidad si, antes de la comisión del delito, ha adoptado y ejecutado eficazmente un modelo de organización y gestión que resulte adecuado para prevenir delitos de la naturaleza del que fue cometido.

En este caso resultará igualmente aplicable lo dispuesto en el párrafo segundo del número 2 de este artículo.

5. Los modelos de organización y gestión a que se refiere la condición 1ª del apartado 2 y del apartado anterior, deberán cumplir los siguientes requisitos:
  1. Identificarán las actividades en cuyo ámbito puedan ser cometidos los delitos que deben ser prevenidos.
  2. Establecerán los protocolos o procedimientos que concreten el proceso de formación de la voluntad de la persona jurídica, de adopción de decisiones y de ejecución de las mismas con relación a aquellos.
  3. Dispondrán de modelos de gestión de los recursos financieros adecuados para impedir la comisión de los delitos que deben ser prevenidos.
  4. Impondrán la obligación de informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención.
  5. Establecerán un sistema disciplinario que sancione adecuadamente el incumplimiento de las medidas que establezca el modelo.


El modelo contendrá las medidas que, de acuerdo con la naturaleza y el tamaño de la organización, así como el tipo de actividades que se llevan a cabo, garanticen el desarrollo de su actividad conforme a la Ley y permitan la detección rápida y prevención de situaciones de riesgo, y requerirá, en todo caso:
  • (a) de una verificación periódica del mismo y de su eventual modificación cuando se pongan de manifiesto infracciones relevantes de sus disposiciones, o cuando se produzcan cambios en la organización, en la estructura de control o en la actividad desarrollada que los hagan necesario; y
  • (b) de un sistema disciplinario que sancione adecuadamente las infracciones de las medidas de control y organización establecidas en el modelo de prevención.”


Como puede observarse, el futuro Art. 31 bis, acabará con la interpretación que se le estaba dando al actual Art. 31 bis.1 y aún al 31 bis.2, basada en el régimen de responsabilidad vicarial, según la cual, la responsabilidad de la persona jurídica derivaría, al igual que sucede en el derecho privado, de la acción, del dolo o de la culpabilidad de la persona física que actúa en representación de la misma. Recordemos que el actual Art. 31 bis.1 establece que la persona jurídica resulta penalmente responsable cuando el delito sea cometido por (1) administradores y representantes legales, de hecho o de derecho, (2) en provecho de la persona jurídica, y (3) en nombre o por cuenta de la misma.

El futuro Art. 31 bis, dejará meridianamente claro, que la responsabilidad penal de las personas jurídicas proviene de su propia responsabilidad o culpabilidad y no de la acción punible de sus administradores y representantes, y por el sólo hecho de no adoptar las medidas organizativas necesarias para prevenir y detectar la comisión de hechos delictivos por parte de sus directivos y empleados.

Como muy bien indicaba  el Catedrático Nieto en su trabajo, la solución al problema de interpretación penal del vigente Art. 31 bis, tenía que llegar como así va a ser, mediante la adopción en la vía penal de los mismos criterios que se utilizan en el derecho administrativo, “que en materia tan importante como la protección de la seguridad del trabajador, el medio ambiente, el mercado de valores, la seguridad alimentaria, el blanqueo de capitales, etc., determina a través de lo que se ha dado en llamar autorregulación regulada a las empresas, a que adopten medidas que tienen un fin similar a las medidas de organización que requiere la responsabilidad de las personas jurídicas. Por otro lado, en la práctica empresarial desde hace algún tiempo y por influencia del derecho norteamericano son conocidos los compliance programs o, en terminología italiana, los modelos de organización que atienden a estos fines. Es más, cualquier empresa bien organizada tiene una numerosa normativa interna (protocolos, normas de conducta, códigos…), cuya confección responde a una metodología muy similar a la que hay que utilizar para crear medidas de control tendentes a impedir hechos delictivos por parte de los subordinados”.

La redacción del futuro Art. 31 bis, consagrará  definitivamente la responsabilidad o culpabilidad propia de las personas jurídicas, marginando el modelo vicarial utilizado por algunos juristas en la actualidad, y para ello, explicitará de una forma más precisa el contenido del “debido control”, cuyo quebrantamiento permite fundamentar la responsabilidad penal de las personas jurídicas.

Con la nueva redacción, se explicitará de una forma concreta y detallada, en qué consiste el “debido control”, a saber, “el conjunto de medidas organizativas destinadas a impedir que los empleados de la empresa realicen hechos delictivos, o a detectar su comisión una vez cometidos, atendiendo a las concretas circunstancias de la empresa. Se trata de examinar a la organización en su conjunto y no de manera aislada el comportamiento de uno o varios miembros de la misma.”

Según el modelo interpretativo de responsabilidad propia, que será  establecido de forma definitiva por la nueva redacción del Art. 31 bis, “el delito cometido por una persona natural y el cometido por la persona jurídica son dos realidades independientes. El delito cometido por la persona natural constituye una condición objetiva de punibilidad, a partir de la cual debe investigarse el verdadero fundamento de la responsabilidad del ente, el defecto de organización. En realidad, sería posible establecer un delito por parte de la persona jurídica absolutamente consistente en una falta de organización, con independencia de si se ha plasmado o no en la comisión de un concreto delito.”

Esta tesis que defendió en su día el Catedrático D. Adán Nieto y otros juristas, se ha visto confirmada en el proyecto de Ley Orgánica, con la futura introducción de un nuevo artículo, el 286 seis, con la siguiente redacción:

“1.  Será castigado con pena de prisión de tres meses a un año o multa de doce a veinticuatro meses, e inhabilitación especial para el ejercicio de la industria o comercio por tiempo de seis meses a dos años en todo caso, el representante legal o administrador de hecho o de derecho de cualquier persona jurídica o empresa, organización o entidad que carezca de personalidad jurídica, que omita la adopción de las medidas de vigilancia o control que resultan exigibles para evitar la infracción de deberes o conductas peligrosas tipificadas como delito, cuando se dé inicio a la ejecución de una de esas conductas ilícitas que habría sido evitada, o al menos, seriamente dificultada, si se hubiera empleado la diligencia debida.”…

Resulta evidente, que si ya en la encuesta de PWC de 2011, el nuevo entorno regulatorio derivado de la reforma del Código Penal que implantó la responsabilidad penal de las personas jurídicas, tuvo consecuencias operativas para más de la mitad de las empresas españolas, al igual que sucedió con la entrada en vigor de la Ley 10/2010 de prevención del blanqueo de capitales y de financiación del terrorismo, la próxima modificación de la Ley Penal y la entrada en vigor del nuevo Reglamento de la Ley 10/2010, van a suponer también cambios importantes en las políticas internas y normativas de cumplimiento, así como en las estructuras de control interno de las empresas, donde este entorno regulatorio tiene que  ser integrado.

EL DELITO INFORMÁTICO

Según la encuesta de PWC, se entiende por delito informático o “cibercrimen”, todo ataque que se haga usando como medio el ordenador y/o Internet, como por ejemplo, distribución de virus, descargas ilegales de información, “phishing”, “pharming”, robo de información personal. Esta práctica excluye las pautas de fraude donde el ordenador es utilizado como utensilio secundario e incluye las prácticas donde el ordenador o Internet o el uso de medios informáticos son el principal medio para cometer el fraude.

Como vimos al analizar la tipología del fraude interno, el delito informático sólo representó dentro del conjunto de delitos económicos que sufrían las empresas, y según la encuesta global de PWC de 2011, un 4%. Habría que delimitar a los efectos que nos interesan del fraude interno, qué porcentaje de este 4% podría deberse a empleados de la propia empresa.

Esta es una cuestión que no es baladí, si tenemos en cuenta la creciente importancia de Internet en el mundo empresarial, y la informatización prácticamente total de todas las empresas, donde el riesgo de delito informático  puede ser externo e interno.

El gran problema del delito informático es la propia inseguridad del software con el que operan las empresas y las diversas vulnerabilidades que contiene, como reconocía Jorge López Hernández-Ardieta, Responsable CRG (CyberSecurity Research Group) de Indra, en un reciente evento organizado por la Revista SIC.

Si a esto añadimos el incremento de la dependencia en interconexión de los sistemas actuales de información,  y a la creciente complejidad de la tecnología, así como al hecho de que  los directivos y empleados, dentro y fuera de las empresas, utilizan diversos dispositivos que no siempre cumplen las condiciones mínimas de seguridad, como laptops, samartphones, tabletas, pendrives, entornos virtualizados móviles y aplicaciones que contienen sistema operativo, gestor de correo, suite ofimática, agenda de contactos, reproductores multimedia, entorno de desarrollo, etc ( los BYOA – Bring Your Own App), podemos inferir que el riesgo de los delitos informáticos dentro de las empresas será cada vez mayor, y en ese riesgo se mezclarán no sólo los ataques interno y externos, sino también las deficiencias de los sistemas de control y las imprudencias de los empleados en el uso del software y en el acceso a la información.

Es en este campo de riesgo, donde se hace precisa una mayor intervención de la “compliance” y del control interno.

Percepción del riesgo de cibercrimen en las empresas españolas obtenido en la encuesta de 2011



La percepción del riesgo de delito informático por las empresas españolas, según la encuesta de PWC de 2011 y en relación con la encuesta de 2009, se incrementó sólo en un 20%, cuando a nivel europeo este incremento fue del 39% y a nivel global del 39,4%.

Posiblemente habrá que achacar este resultado a la situación de crisis que en 2011 ya vivían las empresas españolas, que no permitió incrementar el esfuerzo de control en esta materia, manteniéndose en un 80% de las empresas españolas consultadas, los sistemas y estructuras que ya existían en 2009.

Pero yo añadiría una nueva causa a esta dejación, al margen del problema económico, y es la lejanía y el desconocimiento que suele tener la alta dirección y bastantes altos ejecutivos de los problemas informáticos, lo que está permitiendo que en muchas empresas los departamentos informáticos estén actuando como compartimentos estanco, necesitados, eso sí,  por toda la organización, pero sin el necesario control interno independiente, que también en este campo, sólo puede estar ubicado en el ámbito general de las empresas.

Igualmente se ha de integrar de una forma mucho más eficiente una buena normativa de seguridad informática en el sistema de “compliance” de las empresas, por lo que en ambas áreas, “compliance” y control interno, deberán  integrarse profesionales  que tengan una gran formación informática y técnica, pero sin que tengan relación directa con las áreas tecnológicas.

Son estas áreas las que, en colaboración con los departamentos de seguridad informática, deberán evaluar los riesgos de los  fraude cibernéticos, así como los impactos reputacionales  que pueden representar para las empresas, especialmente cuando se producen robos de información estratégica, robos de algoritmos criptográficos, espionajes comerciales, o robos de documentación de la alta dirección.

Serán también las encargadas de elaborar la normativa de cumplimiento que debe ser implantada por la alta dirección en las organizaciones, y buscar las soluciones  para  controlar el fraude informático, especialmente el interno, así como tener informada a la alta dirección de los riesgos tecnológicos e informáticos.

La conclusión sobre la percepción que tienen las empresas españolas sobre el delito informático, aparece muy bien reflejada en el Resumen ejecutivo de PWC España a la encuesta mundial sobre fraude y delito económico 2011, que por su interés reproduzco seguidamente:

“ Esta percepción, para el caso de España, se fundamenta principalmente en dos factores importantes: (i) en una infravaloración de la repercusión que pudiera derivarse de este tipo de delitos y, por otro lado, (ii) en la asunción de los mismos debido al coste que supondría implantar medidas de control preventivo y correctivo. Los índices de percepción del riesgo en nuestro país chocan con el coste que estamos pagando por este tipo de delitos, lo cual arroja una conclusión importante: el fraude cibernético existe en España, tiene una repercusión significativa en las organizaciones y, sin embargo, aún no disponemos de la madurez suficiente para implantar los controles necesarios como modelo natural en los procesos de TI corporativos.

Por tanto, de los datos se obtiene una conclusión inmediata: en España, la madurez de los niveles de control preventivos y de monitorización, aún no son los adecuados para la lucha contra el fraude cibernético y, por ello, estamos pagando un alto coste. En este sentido, es necesario destacar que el coste marginal de la ausencia de medidas preventivas en este tipo de delitos es mayor que en el resto de delitos económicos, como consecuencia de que el principal efecto del cibercrimen es la reputación de la organización.”


Fabián Zambrano Viedma

Responsable del Servicio de Prevención del Fraude