La primera reflexión tiene que
ver con el perfil del defraudador español, a partir de los resultados de la
encuesta y teniendo en cuenta el perjuicio económico sufrido por las empresas
participantes en la misma.
Según este perfil, el 75% de los
fraudes cometidos en las empresas españolas participantes en la muestra fueron
internos, mientras que los externos sólo
representaron el 25%. (Ver Pag. 13 del documento de PWC).
La encuesta mundial se refiere a
empresas de cualquier tipo, representando su muestra a organizaciones cotizadas
en un 32’9% y a organizaciones con más de 1.000 trabajadores en un 62%, por lo
que sus conclusiones sólo pueden aplicarse de forma aproximada a las empresas
financieras reguladas, que por exigencia normativa siempre han tenido mayores
medidas de control y que, además, gozan
de una especial sensibilidad ante el riesgo reputacional.
Dejando al margen de la reflexión
la estructura de la muestra a nivel global y europeo y, el porcentaje en estos globales de la
participación española, que constituyen datos de interés para la valoración de la
propia encuesta, me quedo con la información inquietante que ofrecen las empresas españolas participantes en la misma
de que los mayores perjuicios económicos
de las defraudaciones y delitos económicos en España durante el tiempo
analizado procedieron del fraude interno, especialmente cuando vino rodeado
de las siguientes características:
- La existencia de un entorno favorable dentro de las empresas para cometer actos irregulares.
- Cuando los autores tuvieron como perfil cualitativo los siguientes rasgos preponderantes: hombres entre 41 y 50 años, con estudios superiores que llevaban más de 10 años trabajando en las compañías, y ocupando cargos directivos en las mismas.
Si analizamos los informes
anuales de las principales compañías financieras españolas, la importancia del
fraude interno no se corresponde con los datos de la encuesta, aunque hay que
reconocer, como se señala en la interpretación española de la misma (Pág. 14), que
los datos nos muestran la necesidad de incrementar las medidas de control
establecidas dentro de las organizaciones, no solo para favorecer la detección
del fraude interno, sino para poder identificar a sus autores, que normalmente
son empleados que conocen perfectamente el funcionamiento de las empresas y sus
debilidades organizativas.
No coincido con la interpretación
para España de los datos de la encuesta Global de PWC, de que la prevención del fraude externo ha de quedar
para a una fase posterior de la prevención,
teniendo en cuenta el peso del fraude interno (pág. 14, primer párrafo), especialmente tratándose de entidades financieras
que ya están realizado un importante esfuerzo tecnológico para la prevención del
fraude externo, no sólo de forma individualizada, sino también mediante
iniciativas colaborativas basadas en la compartición de información utilizando
sistemas comunes de intercambio. Bajo mi criterio, ambas fases de prevención (interna
y externa) han de desarrollarse de forma simultánea dentro del sector
financiero.
Podría ser un buen ejercicio de
divulgación en entradas posteriores, dar a conocer el funcionamiento del sistema
de cumplimiento normativo de las grandes empresas españolas, puesto que muchas
de sus medidas de cumplimiento están tomadas de estándares internacionales. En estos estándares resulta evidente que no puede
instaurarse una buena prevención del fraude interno dentro de las empresas, sin
un buen sistema de cumplimiento normativo.
Una segunda reflexión sobre los datos de la encuesta, se refiere al
listado de delitos que sufrieron las empresas en los 24 meses analizados,
anteriores a 2014: apropiación indebida,
soborno y corrupción, manipulación contable, cibercrimen, delito fiscal, fraude
de recursos humanos, fraude de compras, vulneración de la propiedad industrial,
abuso de información privilegiada, prácticas anticompetitivas, blanqueo de
capitales, fraude hipotecario, y
espionaje entre otros. (En el gráfico 3
de la pág. 9 aparecen los porcentajes para cada uno de ellos en el
global de la encuesta, en Europa y en España).
Cada uno de los tipos
“delictivos” de la encuesta está denominado en clave económica y no penal, y aun
así, alguna de las denominaciones exigiría aclaración para su correcta
interpretación, como por ejemplo el fraude
de recursos humanos, que podría
haberse definido para una mayor comprensión como “fraude laboral” puesto que
abarcaría, entre otros, las trampas para ahorrarse cotizaciones a la Seguridad
Social y el fraude por desempleo.
Coincido con la interpretación
española de la encuesta, que una parte importante de la tipología delictiva indicada
cae dentro de la responsabilidad penal de las personas jurídicas, que entró en
vigor en España el 23 de diciembre 2010 mediante la reforma de Código Penal,
por lo que su control interno exigiría una especial vigilancia por parte de los
consejos de administración, por lo que resulta necesario que se generalicen
dentro de las empresas españolas los modelos
de prevención de delitos. Los modelos son ya una exigencia ineludible de
cumplimiento normativo, que se verá reforzada y explicitada de manera similar a
como sucede con la prevención del blanqueo de capitales, cuando se apruebe el
actual Proyecto de Ley de Reforma del Código Penal.
Teniendo en cuenta el perfil del
defraudador español en relación con el fraude interno, (hombres entre 41 y 50
años, con estudios superiores que llevaban más de 10 años trabajando en las
compañías, y ocupando cargos directivos en las mismas), y el actual nivel de
exigencia de las empresas para el cumplimiento de los objetivos, resulta
imprescindible que las empresas cuiden especialmente esta parcela de
cumplimiento normativo por exigencia legal, de igual forma a como lo están
haciendo las que son sujetos obligados en materia de prevención del blanqueo de
capitales y de la financiación del terrorismo.
Mi tercera reflexión
sobre la interpretación española de la encuesta global PWC, se refiere a
la visión que da sobre el delito informático en España.
Coincido con la interpretación
española de que resultan muy poco comprensibles las desviaciones existentes en la percepción del riesgo de las empresas españolas en relación con los delitos informáticos,
teniendo en cuenta los datos globales y europeos, (Gráfico 15, pág. 27), lo que
podría indicar una disminución del interés por el control de la seguridad
informática de los altos ejecutivos de las empresas, y de que en bastantes organizaciones la seguridad
informática está funcionando como compartimientos estanco bajo el control
absoluto de los responsables informáticos.
Resulta necesario potenciar aún
más los equipos de auditoría con especialistas informáticos, capaces de
controlar la seguridad de los sistemas tecnológicos de forma independiente, y
de valorar los riesgos informáticos de las empresas, así como la efectividad
real de los equipos y de los protocolos de seguridad diseñados.
Como una gran parte de la gestión
empresarial se realiza a través de la informática, los delitos informáticos
deberían ser una de las mayores preocupaciones de riesgo de las empresas,
especialmente los delitos informáticos externos que no siempre causan
perjuicios económicos fáciles de detectar contablemente, sino perjuicios
reputacionales y de competitividad, por la fuga de información sensible o por
el espionaje industrial que generan.
Estoy de acuerdo, por tanto, con
la explicación española de la encuesta sobre la baja importancia que las
organizaciones españolas dan al ciberdelito, porque piensan que su mayor riesgo
es interno, cuando, de acuerdo con los resultados de la encuesta, la mayor
amenaza proviene del exterior.
El desfase en el interés de los
altos ejecutivos españoles por el riesgo de los delitos informáticos, debería
superarse a través de los sistemas de cumplimiento normativo de las empresas,
que están íntimamente relacionados con los sistemas de control de riesgos,
integrando funcionalmente los departamentos de seguridad informática con los
departamentos de prevención del fraude, lo que produciría sinergias de interés
para las dos partes, porque los informáticos tendrían una mejor información
sobre los fraudes que se producen dentro de las empresas, y los especialistas
antifraude, una mejor comprensión de los mecanismos del fraude informático, lo
que serviría para generar información más comprensible para los altos
ejecutivos, al mismo tiempo que rompería los compartimentos estanco que actualmente
existen en muchas empresas, en relación con los servicios informáticos.
Otra reflexión interesante de la
encuesta tiene que ver con las medidas de detección del fraude durante el
período de estudio y según las organizaciones consultadas. (Pág. 19 ).
Esta parte de la encuesta está
dedicada a analizar los métodos con los que las empresas españolas, según la
encuesta, detectaron de forma práctica
los delitos económicos.
Estos métodos quedan sintetizados
en el gráfico 10 de la página 19.
Si analizamos el gráfico, los
analistas de PWC distribuyen los métodos en tres grupos:
- Control corporativo
- Cultura corporativa
- Fuera de la influencia de la dirección
Bajo mi criterio la distribución
de los métodos en estos grupos no sería la más adecuada, puesto que una parte de los métodos indicados pertenecen
al sistema de cumplimiento normativo y
otra parte al sistema de análisis de riesgos.
El sistema de cumplimiento
normativo ha de estar compensado con el sistema de análisis de riesgos,
actuando ambos de forma independiente, por lo que dentro del apartado del
gráfico “Control corporativo” no pueden incluirse métodos que pertenecen al análisis
de riesgos.
El análisis de operativas
sospechosas, la gestión activa del
riesgo de fraude, y el análisis de datos, que en la encuesta se incluyen dentro
del control corporativo, forman parte del sistema de análisis de riesgos, y
todo lo que tiene que ver con la cultura corporativa (denuncia interna
informal, denuncia externa informal, canal de denuncias), la seguridad corporativa
y la rotación corporativa, forman parte del sistema de cumplimiento normativo, al que ha de unirse como elemento
independiente pero muy cercano al sistema de cumplimiento normativo, la
auditoría interna.
Pero lo interesante de la
encuesta, dejando al margen la
distribución organizativa de los métodos de detección, está en los porcentajes
de éxito que cada uno de los métodos tuvo para las empresas españolas
representadas en la muestra.
Según la interpretación PWC de la
encuesta global, los tres métodos que permitieron
la detección del mayor número de delitos económicos en España fueron los siguientes:
- Canal de denuncias + denuncias internas y externas informales (22’6%). Porcentaje similar al global (23’3%) y europeo (21’2%)
- Análisis de datos (19’4%)
- Análisis de transacciones sospechosas (12’9%). Porcentaje inferior al global (16’3%) y al europeo (21%).
Los datos de esta encuesta en
relación con las anteriores, nos indican que se van incrementando los
porcentajes de éxito de los métodos de detección de los delitos económicos que
tienen que ver con:
- El área de cumplimiento normativo + auditoría
- El área de gestión de riesgos
En la interpretación española de
la encuesta se señala la importancia que está adquiriendo la tecnología en la
prevención de los delitos económicos, mediante la utilización de plataformas
“big data” que permiten efectuar análisis predictivos de datos cada vez más
sofisticados y que derivan en modelos
matemáticos que facilitan la identificación de nuevas tipologías de fraude o el
descubrimiento de patrones de comportamiento anómalos.
Estos nuevos sistemas de análisis
de riesgos, facilitan a las empresas un
mejor control proactivo de los delitos económicos mediante la generación de
alertas, que hacen que las investigaciones puedan seleccionarse y hacerse de una forma mucho más profunda y
efectiva, con lo que se obtiene la información añadida necesaria para mejorar los
sistemas de cumplimiento normativo.