Blog del Servicio de Prevención del Fraude

Asociación Nacional de Establecimientos Financieros de Crédito (ASNEF)





C/ Velázquez, 64-66, 2ª planta

28001 Madrid

Teléfono del Servicio: 917814551

Fax: 914314646



Correo electrónico: spfraude@asnef.com







miércoles, 5 de octubre de 2011

La evaluación del riesgo de fraude interno (Continuación)




LA EVALUACIÓN DEL RIESGO DE FRAUDE INTERNO (CONTINUACIÓN)


En la Ficha anterior vimos que la evaluación del riesgo de fraude interno era una parte del proceso de CONTROL DEL FRAUDE  INTERNO.

También vimos que para que fueran efectivas las evaluaciones del riesgo de fraude interno, éstas tenían que planificarse previamente, siendo conveniente que en esta  planificación interviniese un departamento especializado que centralizara la información, y que asimilé con el Servicio o Departamento de PREVENCIÓN DEL FRAUDE, aunque puede tener el nombre que en cada empresa se le quiera dar.

Sabemos que el CONTROL DEL FRAUDE INTERNO resulta imposible, sin que exista en la empresa una estructura de gobierno corporativo que dicte las normas de prevención y se encargue de su cumplimiento. Y como no soy partidario de que en la empresa, para cada materia de cumplimiento exista un gobierno corporativo particular, puesto que éste ha de ser único, asimilé nuestro gobierno corporativo al que nos ha sido impuesto por la legislación de prevención del blanqueo de capitales, llamándolo también  OCIC (Órgano de Control Interno y de Comunicación), aunque cada empresa podrá llamarlo como considere oportuno. De esta manera estaremos racionalizando nuestras estructuras organizativas y al mismo tiempo rentabilizando costes.

Tal como sucede con el blanqueo de capitales, en la materia de prevención del fraude el OCIC y  el DEPARTAMENTO DE PREVENCIÓN DEL FRAUDE tienen sus propias funciones operativas, pero que en algunos momentos derivan en responsabilidades comunes.

Uno de estos momentos tiene que ver, precisamente, con la evaluación del riesgo de fraude, porque una parte de la evaluación de ese riesgo ha de hacerse en cada área operativa de la empresa bajo la coordinación del representante de esa área en el OCIC,  mediante un proceso del que hablaré posteriormente, en el que conviene que intervenga el personal de cada departamento, puesto que quien realmente conoce los riesgos de fraude y los riesgos de blanqueo en las operaciones, son las personas que tienen bajo su responsabilidad profesional estas mismas operaciones. Pero para que el personal pueda intervenir de forma eficiente en estas evaluaciones de riesgo ha de estar mínimamente formado en estas materias. Es por ello por lo que las empresas están obligadas a la formación de los directivos y empleados en prevención del blanqueo y en cumplimiento penal.

La concepción del cumplimiento como responsabilidad corporativa, y no como simple parcheo para evitar sanciones, nos permite comprender muchas de las obligaciones que nos están siendo impuestas por los organismos internacionales a través de las legislaciones nacionales, como por ejemplo, la obligación de la formación de los empleados, tanto en la prevención del blanqueo, como en la prevención del fraude; en el primer supuesto porque así lo exige  la Ley 10/2010, y en el segundo supuesto por exigencia de la  Ley Orgánica 5/2010, en lo relativo a la responsabilidad penal de las personas jurídicas.

Los directivos y los empleados han de estar formados en prevención del blanqueo de capitales y en prevención del fraude, porque han de ser los  elementos activos más importantes de esa prevención, por encima, si cabe, de la propia tecnología, tanto en la evaluación de los riesgos, como en el sistema de alerta que se establezca para las  operaciones identificadas de riesgo.

Las empresas se han sofisticado operativamente a lo largo de la historia, a través de su adaptación continua a diferentes  obligaciones de cumplimiento, especialmente en los países capitalistas en los que existe libertad de empresa  y, en los que por tanto, resulta necesario crear un campo de operaciones en el que no sea posible la competencia desleal. En la actualidad y con el desarrollo de la conciencia social, estas obligaciones de cumplimiento han pasado también a ser sociales y ecológicas.

Sin embargo, hasta ahora la prevención del fraude había sido una obligación teórica más que práctica, que se iba rellenando con alguna estructura personal y tecnológica cuando había dinero para hacerlo, porque en el fondo no existía ninguna obligación externa de cumplimiento para esta materia. Las únicas “sanciones” efectivas eran las pérdidas acumuladas por la actividad fraudulenta, que en muchas ocasiones ni eran identificables para la propia empresa, puesto que ésta no  poseía las herramientas necesarias para poder discriminar la información.

La Ley Orgánica 5/2010, en la que se establece  la responsabilidad penal de las personas jurídicas, ha modificado el campo de operaciones de las empresas, porque ha establecido  nuevas obligaciones en materia de cumplimiento penal, que desde el punto de vista organizativo y tecnológico están íntimamente relacionadas  con las estructuras necesarias para la prevención del fraude, por lo que por simple economicidad empresarial, ha llegado el momento de rentabilizar los costes derivados de las nuevas obligaciones de cumplimiento penal en beneficio de la propia empresa, potenciando para ello la prevención del fraude.

Si analizamos esta última Ley, prácticamente todos los delitos concretos referidos a la responsabilidad penal de las personas jurídicas están relacionados también con el fraude interno, por lo que resulta lógico que en la empresa haya una sola Política de Prevención Penal y contra el Fraude, cuyas líneas maestras estarían concretadas en el  CÓDIGO ÉTICO entendido como herramienta imprescindible para la creación de un ENTORNO DE CONTROL.

En nuestro análisis, hemos considerado  fraude interno al listado de delitos económicos que aparecen en el Estudio PWC, a saber:
  • Manipulación contable
  • Obtención fraudulenta de financiación
  • Aplicaciones fraudulentas de crédito
  • Transacciones no autorizadas
  • Apropiación indebida de activos
  • Soborno y corrupción
  • Blanqueo de dinero
  • Robo de información y violación de IP
  • Abuso de información privilegiada
  •  Fraude fiscal
  • Abuso de mercado
  • Espionaje a favor de los competidores
  • Otros

Si ahora analizamos la Ley Orgánica 5/2010, de 22 de junio, por la que se modifica la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal, nos encontramos con que los “delitos económicos” por los que las personas jurídicas pueden ser penalmente responsables, son prácticamente los mismos que los que aparecen en nuestro listado de fraude interno, y que yo pongo en negrita.
  •  Trata de seres humanos (Artículo 177 bis.7 del Código Penal)
  • Relativos a la prostitución y la corrupción de menores (Artículo 189 bis)
  • Descubrimiento y revelación de secretos (Artículo 197.3)
  • Estafa (Artículo 251 bis)
  • Insolvencias punibles (Artículos 261 bis)
  • Daños informáticos (Artículo 264.4)
  • Relativos a la propiedad intelectual e industrial, al mercado y a los consumidores (Artículo 288)
  • Blanqueo de capitales (Artículo 302.2)
  • Delitos contra la Hacienda Pública y la seguridad Social (Artículo 310 bis)
  • Delitos contra los derechos de los ciudadanos extranjeros (Artículo 318 bis.4)
  • Delitos contra la ordenación del territorio (Artículo 319.4)
  • Delitos contra los recursos naturales y el medio ambiente (Artículo 327 y Artículo 328.6)
  • Exposición a radiaciones ionizantes (Artículo 343.3)
  • Delitos de riesgo provocados por explosivos y otros agentes (Artículo 348.3)
  •  Delitos relativos a drogas tóxicas, estupefacientes o sustancias psicotrópicas (Artículo 369 bis)
  • Falsificación de tarjetas de crédito y débito y cheques de viaje (Artículo 399 bis.1.3º)
  • Cohecho (Artículo 427.2)
  • Tráfico de influencias (Artículo 430)
  • Corrupción de funcionario público extranjero (Artículo 445.2)
  • Financiación del terrorismo (Artículo 576 bis.3)

Es por ello por lo que resulta aconsejable que dentro de la empresa exista una sola  Política de Prevención Penal y contra el Fraude, que tenga en cuenta ambas vertientes de responsabilidad dentro de la planificación del CONTROL DEL FRAUDE INTERNO.

Sobre estos hechos económicos concretos que aparecen en el Código Penal,  es sobre los que hay que efectuar las evaluaciones de riesgos de fraude interno, y para ello se han de averiguar los departamentos de la empresa en los que estos hechos pudieran cometerse más fácilmente, con el fin de que estén dotados de  sus específicos OBJETIVOS DE CUMPLIMIENTO PENAL Y CONTRA EL FRAUDE,  valorando también la necesidad de que los mismos tengan activadas  las alertas necesarias para:
  • Evitar que se produzcan desviaciones con respecto a los objetivos establecidos, y
  • Detectar, en un plazo mínimo, las posibles desviaciones que se hayan efectuado.

Pero para ello se ha de establecer  algún método de trabajo que haga posible la planificación y la ejecución de las evaluaciones del riesgo de fraude.


EJEMPLO DE UN “MÉTODO DE TRABAJO” PARA LA PLANIFICACIÓN Y EJECUCIÓN DE LAS EVALUACIONES DEL RIESGO DE FRAUDE

Para la planificación de la primera evaluación del riesgo de fraude,  el departamento encargado de esta obligación tendrá que definir  su primer MAPA GENERAL DE RIESGOS DE FRAUDE, a partir de la centralización de la información sobre fraude de toda la empresa. Un MAPA GENERAL DE RIESGOS DE FRAUDE  no es más que el sumatorio de los MAPAS DE RIESGO DEPARTAMENTALES.

Como he indicado, éste primer MAPA GENERAL DE RIESGOS DE FRAUDE necesita para su confección de la centralización de la información que señalábamos en una Ficha anterior, por lo que, previamente y a través del OCIC, se habrá preparado la NORMATIVA INTERNA necesaria para que toda la información sobre fraude interno y responsabilidad penal sea reportada hacia un REPOSITORIO CENTRALIZADO, que estará dotado de todas las garantías legales y de seguridad.

Este REPOSITORIO CENTRALIZADO  permitirá crear a los analistas de prevención del fraude, mediante la tecnología adecuada, no sólo el primer mapa general de riesgos de fraude, sino  el primer MAPA GENERAL DE PREVENCIÓN DEL FRAUDE INTERNO que contenga las soluciones preventivas a estos riesgos y  los MAPAS PARTICULARES DE PREVENCIÓN,  necesarios   para aquellas partes de la organización que los necesiten,  en base a su específico SISTEMA DE OPERACIONES DE RIESGO.

Pero no nos adelantemos y vayamos por partes.  Una vez establecido el primer MAPA GENERAL DE RIESGOS DE  FRAUDE INTERNO, así como los MAPAS DEPARTAMENTALES, obtenidos a partir de la información previamente centralizada, el equipo de investigación tendrá que hacer:
  1. Una estimación de la importancia de cada riesgo identificado.
  2. Una evaluación de la probabilidad de que el riesgo se materialice dentro del departamento a estudiar.
  3. Una definición de las medidas que deben ser adoptadas para la prevención y para la reacción, si el riesgo llegara a materializarse.

Se utilizarán también para la confección de los MAPAS otras herramientas que permitan identificar áreas de riesgo y de sectores, así como las listas sobre indicadores de fraude publicadas por instituciones públicas y privadas.

Estos MAPAS servirán al Departamento de Prevención del Fraude para planificar la primera EVALUACIÓN DEL RIESGO DE FRAUDE, en la que participará el personal que trabaja en cada uno de los departamentos de riesgo a analizar, para lo que se utilizarán  técnicas participativas que permitan la colaboración de los empleados, bajo la coordinación del Representante de área en el OCIC, que siempre contará  con la ayuda del Departamento de Prevención del Fraude y aquellos otros departamentos especializados a los que afecten las distintas materias de evaluación del riesgo, como veremos después.

Hago hincapié en el rol de los OCIC delegados, puesto que son los responsables de cumplimiento de cada área, y por este motivo los que deben conocer más profundamente  la operatoria de cada uno de los departamentos que componen su área de trabajo.

Esta primera EVALUACIÓN DEL RIESGO DE FRAUDE permitirá adaptar los MAPAS DE RIESGO previamente definidos, a la realidad concreta de cada departamento, obteniéndose así  la información necesaria para la preparación de los planes, programas y acciones,  que posteriormente el OCIC ha de presentar  a la Alta Dirección, y que servirán  para afrontar los riesgos identificados y ponderados de fraude interno, entendido éste en su sentido amplio y  que por tanto, abarca la responsabilidad penal de la empresa, en la que están incluidos el blanqueo de capitales y la financiación del terrorismo, al margen de las obligaciones administrativas que la empresa tenga como sujeto obligado.

Así pues, junto a los riesgos del fraude operacional,  durante el proceso de evaluación han de ser identificados y ponderados también los riesgos derivados de la responsabilidad penal.

Este proceso se irá repitiendo en el tiempo de forma sistemática, lo que permitirá perfilar poco a poco todos los riesgos de fraude, así como buscar  las herramientas tecnológicas necesarias para su control, conociendo previamente en profundidad los problemas que deben ser resueltos con la tecnología.


UN EJEMPLO DE TÉCNICA DE PARTICIPACIÓN

Quisiera finalizar esta Ficha con un ejemplo de TÉCNICA DE PARTICIPACIÓN, que en nuestro caso podría llevar  a la práctica el Responsable operativo del OCIC  con la ayuda del  Departamento de Prevención del Fraude, y de aquellos otros Departamentos con responsabilidad en la materia que se pretenda analizar.

Para este ejemplo he encontrado un método interesante, puesto en práctica por Jim Wesberry, Director del Proyecto ATLATL en la Ciudad de México, que consistía en establecer pequeños talleres en los que hacía participar a los empleados, que son los que realmente mejor conocen la operativa de cada departamento  y los que por tanto,  pueden valorar con más fundamento la efectividad real de los mecanismos de control establecidos, o que se pretendan establecer por la empresa para prevenir los riesgos a analizar.

Estos equipos eran  reducidos, de entre 10 y 18 personas  que participaban en la evaluación de los  riesgos a estudiar  durante una jornada. Las sesiones estaban  previamente planificadas junto con su material de trabajo.

En estos talleres se identificaban los objetivos que se pretendían alcanzar, así como los problemas conocidos en relación con los riesgos concretos que se querían analizar, descubriéndose así las fortalezas y las debilidades de los controles existentes.

En el modelo analizado,  para conseguir una discusión abierta y franca entre los intervinientes, se utilizaba una herramienta informática que permitía la votación anónima y que recogía las respuestas acerca de los temas debatidos, proyectándolas  sobre una pantalla para que los asistentes pudieran ver los resultados, que eran presentados mediante distintos gráficos. De esta manera cada participante ofrecía sus respuestas sinceras a las preguntas delicadas, sin exponerse personalmente dentro de la organización.

Este sistema de trabajo exige, como he indicado antes, un trabajo previo y riguroso de confección del material necesario para los debates.

El Modelo podría utilizarse no sólo para la evaluación de los riesgos de fraude interno, sino para otras materias de interés, como por ejemplo, sobre entorno/ambiente de trabajo, sobre información y comunicación, sobre ética y moral de los empleados, etc. Cada una de las materias estaría preparada por el departamento de control correspondiente.  

En estos talleres han de participar empleados de distintos niveles, para obtener así diferentes perspectivas acerca de la organización, lo que permitirá comparar posteriormente los resultados de diferentes departamentos, identificando así las mejores prácticas a implementar dentro de la empresa.

Estos sistemas de evaluación son más eficientes que los tradicionales cuestionarios utilizados para valorar el funcionamiento operacional o para identificar las debilidades en el control interno.


Fabián Zambrano Viedma
Responsable del Servicio de Prevención del Fraude



Publicado por en
Etiquetas:

lunes, 3 de octubre de 2011

La evaluación del riesgo de fraude interno




LA EVALUACIÓN DEL  RIESGO DE FRAUDE INTERNO


En la ficha introductoria del fraude interno, vimos que las herramientas que están demostrando más eficacia para controlar este tipo de fraude, según el estudio de PWC eran:
  •  LA EVALUACIÓN FRECUENTE DEL RIESGO DE FRAUDE
  • LOS CONTROLES ANTI-FRAUDE

Según los datos estadísticos del informe de PWC correspondiente a 2009, que nos están sirviendo de guía en este trabajo, un 31,10% de los empresarios españoles desconocían la frecuencia con la que sus compañías habían realizado, en ese año, EVALUACIONES DE LOS RIESGOS DE FRAUDE. Un 18% de los encuestados españoles confirmaron que en sus empresas había habido un incremento de este tipo de análisis, mientras que un 50,9% de los mismos declararon que en sus empresas no se había hecho ningún incremento.

Como nos indica el estudio, las evaluaciones son esenciales a la hora de identificar potenciales amenazas y debilidades dentro de una organización.

Comparando los datos españoles con la encuesta global de PWC, el desconocimiento sobre la frecuencia de las evaluaciones era sólo del 12% entre los empresarios de todo el mundo y un 28% en inacción,   lo que sugiere que en España, con un 31,10 % de desconocimiento y un 50,9% de inacción,  realmente existe un alejamiento de la alta dirección de la problemática del fraude interno.

Este alejamiento de la alta dirección española del conocimiento del fraude, repercute inevitablemente sobre la efectividad de los controles anti-fraude dentro de las empresas, puesto que si no se conoce el riesgo de fraude inherente a las actividades de negocio, ¿cómo se van a adoptar medidas para combatirlo?

Existe una correlación, que se pone de manifiesto en el estudio de PWC, entre la localización del fraude interno y la frecuencia de las evaluaciones de riesgo efectuadas por las empresas. Aquellas entidades que efectuaron evaluaciones cada mes, descubrieron más fraudes que las que lo hicieron trimestralmente, y las evaluaciones trimestrales descubrieron más fraudes que las semestrales y así sucesivamente. Esto sucede porque el fraude, tal como indica el estudio, no es una amenaza estática sino que va cambiando en el tiempo y por tanto, no pueden utilizarse los mismos patrones tipológicos durante períodos amplios, sino que tienen que ser  modificados en base a la experiencia que ofrece el propio control.

En la ficha introductoria vimos que el control del fraude está diversificado entre diferentes herramientas departamentales, por lo que la información que estas generan debe confluir hacia un REPOSITORIO común, lo que en la práctica no siempre sucede  si la alta dirección no está involucrada en el sistema de control, puesto que hay una tendencia natural a que cada departamento se guarde su propia información y sea reacio a compartir los datos.

La solución a este problema, ya vimos que estaba en el OCIC o gobierno corporativo, que ha de actuar como la cabeza política de la prevención, y que ha de tener  al Servicio de Prevención del Fraude como el instrumento operativo de ese gobierno corporativo. El Director del Servicio tendrá que ser, por tanto,  un Miembro de pleno derecho del OCIC.

Será el OCIC el que determine en su momento las NORMAS ANTI-FRAUDE de la empresa, que serán de obligado cumplimiento. Bajo este esquema organizativo resulta fácil conseguir que la información sobre fraude interno y externo vaya confluyendo de forma natural hacia un REPOSITORIO CENTRALIZADO, desde  el que se pueda crear inteligencia.

A partir de esa información centralizada, se determinarán los procesos necesarios para la EVALUACIÓN FRECUENTE DEL RIESGO DE FRAUDE, que serán sistematizados por los analistas del Servicio de Prevención del Fraude con el apoyo de los departamentos de gestión, producción, comercialización y control, puesto todos ellos tendrán representación en el OCIC.

Ya vimos en la prevención del blanqueo de capitales, que el OCIC es una estructura transversal de cumplimiento en la que están representadas una gran parte de las direcciones generales con estructura vertical (producción, comercialización,  etc.). También comprobamos entonces que, en la práctica, era conveniente diferenciar dentro del OCIC  el mando político, que recaía en los directores generales (OCIC Titular), de su estructura operativa (OCIC Delegado), que estaba compuesta por los responsables de cumplimiento de cada departamento;  cada uno de estos profesionales sería  la persona  de confianza en esta materia de su director general.

Justificábamos que esto fuera así porque los directores generales, junto con el resto de la junta de gobierno, han de dedicarse fundamentalmente a las actividades productivas que son el objeto del negocio, pero para ello deben tener cubiertas sus responsabilidades de cumplimiento mediante algún sistema de control efectivo, lo que puede conseguirse a través de esta doble visualización del OCIC: política y operativa.

Funcionamiento operativo del OCIC dentro de los departamentos:

La experiencia nos demuestra que el cumplimiento de las NORMAS resulta más efectivo  si  este cumplimiento es asumido por los trabajadores y directivos como algo consustancial a su propia actividad, y esto sólo sucederá si logramos que la NORMA surja desde dentro hacia fuera. Es decir, que aunque la NORMA venga impuesta desde el exterior, sepa respetar el funcionamiento interno del departamento en el que va a ser aplicada, y esto sólo ocurrirá cuando sea capaz de convertirse en parte del funcionamiento productivo de ese departamento.

La interiorización de la NORMA es un proceso complejo que exige la comprensión de su necesidad y el respeto desde  esa misma NORMA de la estructura organizativa que  pretende modificar.

El primero que debe comprender su necesidad es el propio director general afectado, que es el que ha de imponer la NORMA dentro de su departamento, y es por ello por lo que debe ser Miembro del OCIC titular, y tener una completa visión transversal de la actividad de cumplimiento.

Pero el director general, para poder atender fundamentalmente a su trabajo de producción, debe tener en su equipo directivo una persona de confianza, que será el Responsable de Cumplimiento de su Unidad. El conjunto de todos estos Responsables de Cumplimiento departamentales constituirá el OCIC delegado,  que será la estructura operativa encargada de preparar el borrador de las NORMAS y de su asimilación, una vez dictadas, por cada departamento.

Junto al OCIC, y para cada materia de cumplimiento, existirá un departamento especializado, que será también impulsor de las diferentes políticas que deben ponerse en funcionamiento por el OCIC, vg.:, Departamento de Prevención del Blanqueo, Departamento de Prevención del Fraude, Departamento Legal para la protección de datos de carácter personal, Departamento de Higiene y Seguridad en el Trabajo, etc.

En la materia  de prevención del fraude, los miembros del OCIC delegado responsables de cumplimiento serán los profesionales mejor situados para identificar, dentro de sus respectivos departamentos, los potenciales riesgos de fraude inherentes a las actividades de negocio que se desarrolla en los mismos, porque conviven de forma permanente con su estructura humana y tecnológica. Serán también ellos los que evalúen mejor que nadie la probabilidad de que se produzcan los riesgos de fraude que hayan sido previamente identificados. Todo ello exige una profunda formación de estas personas  en prevención del fraude.

Metodología para preparar las evaluaciones del riesgo de fraude

Creada la estructura central de prevención del fraude dentro de la empresa: OCIC y Servicio de Prevención del Fraude, y centralizada la información en un REPOSITORIO COMÚN, comenzará a llegar en cascada al Servicio de Prevención del Fraude una primera información, que resultará muy valiosa para la planificación de las EVALUACIONES DEL RIESGO DE FRAUDE.

Serán los analistas del Servicio de Prevención del Fraude, los que, en una segunda fase de valoración de la información, determinen los departamentos que por su operatividad  pueden ser los más propensos a que se cometan los fraudes identificados, y los que estudien los “modus operandi” o métodos que puedan ser utilizados con más probabilidad por los defraudadores internos.

La coordinación operativa entre los Responsables departamentales de Cumplimiento y los analistas del Servicio de Prevención del Fraude,  permitirá un enriquecimiento mutuo de ambos colectivos, porque la inteligencia obtenida a través del análisis de la información servirá para mejorar el conocimiento del fraude por ambas partes, que así podrán perfeccionar su trabajo interno anti-fraude. La retroalimentación del sistema o  “feedback” resulta evidente.

De este trabajo conjunto surgirá la planificación de  las EVALUACIONES DEL RIEGO DE FRAUDE, con las que intentaremos conseguir el perfeccionamiento real de los controles anti-fraude.

Como puede observarse, estamos utilizando el método científico para analizar el fraude interno, a partir de determinadas hipótesis obtenidas de la primera información acumulada,  y seguidamente probando éstas hipótesis con la realidad, a través de las EVALUACIONES DEL RIESGO DE FRAUDE. Con ello iremos mejorando los controles dentro de la organización y por tanto, obteniendo  una información cada vez más precisa, con la que repetir el proceso.

Las EVALUACIONES DEL RIEGO DE FRAUDE  nos permitirán crear el MAPA GENERAL DE RIESGO DE FRAUDE y los mapas particulares de cada una de las distintas partes de la organización, lo que facilitará la confección de formularios de control u otras técnicas más novedosas, que sirvan para mejorar el funcionamiento operativo anti-fraude del personal y de las  plataformas tecnológicas que lo controlan. Estos MAPAS  nos descubrirán las debilidades en los controles y las amenazas potenciales,  permitiéndonos  mejorar así los correspondientes sistemas de alerta.

A veces, las empresas se gastan el dinero en sofisticadas y onerosas plataformas tecnológicas de prevención del fraude, sin tener previamente creadas las estructuras organizativas que permitan su correcto funcionamiento, como por ejemplo, el Modelo que estoy preconizando.

Es verdad que con la compleja actividad financiera, estas plataformas resultan imprescindibles para poder monitorizar las operaciones sospechosas que serán posteriormente objeto de análisis, pero no nos olvidemos que por encima de la tecnología están los Equipos humanos capaces de seleccionar para cada departamento las herramientas más adecuadas, y obtener de las mismas los mejores resultados operativos. Y eso se consigue mediante:
  • la creación de estructuras operativas coordinadas, y
  •  la centralización de la información interna del fraude.


En la siguiente ficha seguiremos analizando la evaluación del riesgo de fraude interno.


Fabián Zambrano Viedma
Responsable del Servicio de Prevención del Fraude



Publicado por en
Etiquetas:

martes, 27 de septiembre de 2011

Creación del entorno de control del fraude interno




CREACIÓN DEL ENTORNO DE CONTROL

La gestión del riesgo, el control interno y la disuasión del fraude, son los tres pilares sobre los que descansa la seguridad de una empresa.

La disuasión del fraude  debe ser abordada con una metodología similar a la que utiliza la empresa para su  CONTROL INTERNO, puesto que la política anti-fraude constituye una de las partes de ese control.

En la actualidad, una de las metodologías que utilizan las empresas para el control interno se basa en el  “Marco de Control”  formulado por el Informe COSO (Committee of Sponsoring Organizations -COSO- de la Treadway Commission),  versiones 1992 y 2004. La última versión amplía el informe original (1992), enfocándolo mucho más en la gestión del riesgo. Estos documentos, en su versión original, pueden ser adquiridos a través de la Web de la organización COSO: www.coso.org.   

Siguiendo esta metodología, el control del fraude interno sería un proceso más dentro del CONTROL INTERNO, y por tanto en esta materia también ha de estar involucrado todo el  personal de la empresa, (Consejo de Administración, Dirección y resto del personal).

El proceso debe facilitar  la consecución del objetivo de disuasión del fraude interno, por lo que el objetivo tendrá que ser definido dentro del proceso.

Hemos de ser conscientes que todo este proceso sólo nos va a ofrecer un grado de seguridad razonable, puesto que la seguridad total no existe. Lo importante es que procedamos a la disuasión del fraude interno evitando que éste pueda producirse: Evitando su oportunidad. Entramos por tanto en el análisis del tercer vértice del TRIÁNGULO DEL FRAUDE que quedó pendiente en la Ficha anterior.

Puesto que el control del fraude interno es un proceso en el que ha de participar todo el personal de la empresa, hemos de conseguir que sean las personas las protagonistas y no los manuales y las reglas, para lo que hay que establecer previamente lo que en COSO se denomina: UN ENTORNO DE CONTROL, y que en la primera Ficha denominábamos: UNA CULTURA EMPRESARIAL DE TOLERANCIA CERO CONTRA EL FRAUDE INTERNO.

Deloitte, en sus programas y controles antifraude, especifica lo que ha de entenderse como “entorno o ambiente de control”:
  1.  Crear y mantener una cultura de honestidad, de estándares éticos altos, y de comportamiento.
  2. Ofrecer disciplina para las violaciones del código de conducta ética.
  3.  Establecer un tono apropiado en la actitud de la entidad frente al fraude y la prevención del fraude.
  4. Promover controles para prevenir, disuadir y detectar el fraude.


Vemos por tanto, que una de las medidas que se nos proponen para crear un entorno de control, consiste en  la confección e implantación en la empresa de un CÓDIGO ÉTICO, o en su defecto,  de unas políticas relacionadas con prácticas profesionales aceptables, en las que se definan las incompatibilidades o pautas esperadas con respecto al comportamiento ético y moral.

Este CÓDIGO ÉTICO o las políticas relacionadas con el fraude interno, debe/n definir la forma en que han de llevarse a cabo las negociaciones con los empleados, proveedores, clientes e inversionistas, con el fin de evitar que se comentan delitos económicos contra la empresa, o que pudieran hacerla penalmente responsable. El CÓDIGO ÉTICO sirve también  para moderar la presión sobre los empleados evitando así que tengan que alcanzar  objetivos de rendimiento poco realistas, lo que, como vimos en la Ficha número dos, constituye el origen de muchos de los fraude internos que se producen.

Tanto el Código Ético, como las Políticas que hagan sus veces, han de tener como fuente legitimadora la positiva filosofía de gestión de la empresa asumida por el Consejo de Administración y la Alta Dirección. Es por ello por lo que, tanto la responsabilidad de la prevención del blanqueo de capitales como la responsabilidad penal de las personas jurídicas, recae internacionalmente sobre los altos directivos de las empresas, lo que en España se ha hecho evidente en la Ley 10/2010 de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo, y en la Ley Orgánica 5/2010, de 22 de junio, en la que se incluye el Artículo 31 bis del Código Penal, que establece por primera vez en la legislación española la responsabilidad penal de las personas jurídicas.

Curiosamente, en el año 2010 y con respecto a España, se han producido dos circunstancias excepcionales en plena crisis económica, que seguramente modificarán los resultados del próximo Informe PWC sobre delitos económicos y fraude empresarial en España, en cuanto a la preocupación de las empresas sobre el fraude interno, considerando al blanqueo de capitales como uno de los delitos integrantes del mismo.  La Ley de prevención del blanqueo de capitales y de la financiación del terrorismo,  y la Ley Orgánica en la que se ha creado la responsabilidad penal de las personas jurídicas, han obligado a que el control interno del fraude, en un sentido amplio, pase a ser una de las prioridades de la Alta Dirección en las  empresas, en un proceso imparable que ya ha comenzado a hacerse realidad en las grandes corporaciones, y  que se irá generalizando en cascada para todos los sectores de actividad.

Si hemos estado atentos a los medios de comunicación de los últimos meses, habremos observado  que en los informe anuales de las principales corporaciones españolas se le está dando mucha importancia a la responsabilidad corporativa, centrada en la lucha contra la corrupción, el respeto por los Derechos Humanos, la mejora de las condiciones laborales y el fomento del conocimiento del Código Ético entre los empleados. En todo ello subyace un trabajo muy serio de CONTROL INTERNO dentro de estas grandes corporaciones, y en lo que a nuestra materia interesa, de control del fraude interno en un sentido amplio, en el que se está incluyendo un PROGRAMA DE PREVENCIÓN Y DETECCIÓN DE DELITOS, como consecuencia de la entrada en vigor de la Ley Orgánica 5/2010, por la que se obliga a la Alta Dirección de las entidades a valorar sus riesgos penales, en relación con los delitos especificados en La Ley Orgánica, y a que esta valoración esté acompañada de la correspondiente formación en materia penal de los administradores y de los trabajadores. Estas obligaciones, en su faceta práctica, se concretan en la conveniencia de implantar en las empresas una estructura de cumplimiento centrada en la prevención y vigilancia de los riesgos penales, y que tendrá los siguientes objetivos:
  •  Análisis de los riesgos penales existentes en la empresa.
  •  Elaboración de un Código de Conducta (CÓDIGO ÉTICO), para evitar los riesgos penales detectados.
  •  Establecer un sistema de control de los riesgos penales.
  • Ofrecer a los directivos y empleados una formación penal suficiente, para evitar la comisión de aquellas operaciones detectadas como de riesgo.

Básicamente, el PROGRAMA DE PREVENCIÓN Y DETECCIÓN DE DELITOS surge dentro del proceso general de CONTROL INTERNO, que como hemos visto en las fichas anteriores  trata, desde el punto de vista organizativo y en relación con el fraude interno,
  1. De la mejora de las motivaciones positivas que eviten el fraude interno, potenciando la ética del trabajo, el liderazgo, el trabajo en equipo y la moral de los empleados.
  2. De la creación de mecanismos que sirvan para identificar los riesgos de fraude interno y para la evaluación frecuente del mismo.
  3. Del establecimiento de políticas, procedimientos y atribuciones para la prevención y control del fraude interno.
  4. De la creación de una estructura de información y comunicación horizontal y vertical que permita el conocimiento real del fraude interno a todos los niveles de responsabilidad.
  5. Del establecimiento de un sistema de Supervisión que contenga las plataformas tecnológicas necesarias para el archivo de la información relacionada con esta materia y la creación de inteligencia con la misma, el monitoreo de los procesos, y la coordinación operativa  de los diferentes departamentos que intervienen en su control: vg.: Auditoría Interna, Prevención del Fraude, Recursos Humanos, etc.

En la primera Ficha indicábamos que el control del fraude interno, según PWC Forensic, debería estar asentado en una “cultura” empresarial capaz de tomar las siguientes medidas:
  • Invertir en prevención y detección del fraude, tanto interno como externo.
  • Reforzar las funciones de auditoría interna, de cumplimiento normativo y llevar a cabo una gestión efectiva y proactiva de los riesgos del negocio.
  •  Revisar y mejorar los controles internos y programas anti-fraude en las áreas clave.
  • Alcanzar altos niveles de integridad empresarial mediante unas sólidas prácticas de gobierno corporativo, control interno y transparencia.
  • Impartir cursos de formación acerca del marco regulatorio, las normas internacionales anticorrupción aplicables y ética empresarial para el personal, favoreciendo el desarrollo de una cultura corporativa adecuada.
  • Implantar un canal de denuncias o línea ética.
  • Análisis y verificación de los riesgos asociados a los sistemas de información y seguridad informática.
  • Revisar y reformular los programas de retribución variable.


Todas estas medidas sólo pueden tomarse de forma eficaz en un ENTORNO o AMBIENTE DE CONTROL, (primer principio COSO), que como hemos visto en la práctica se sustenta  en un CÓDIGO ÉTICO o en políticas equivalentes que han de ser conocidas dentro de la organización, en las que se incluya la integridad, los valores éticos, y la competencia de la administración y de los empleados en su cumplimiento.

En el CÓDIGO ÉTICO se han de establecer los objetivos de la empresa y la forma eficiente en que deben ser alcanzados por las personas que la componen, desde cualquier nivel de dirección y ejecución.

Estos objetivos y valores deben ser difundidos y practicados dentro de la organización, de manera que todo el personal conozca sus límites en la actuación profesional. La autoridad y la responsabilidad deben estar definidas y ser consistentes con los objetivos de la organización, de tal forma que las decisiones sean tomadas en cada momento por el personal adecuado.

Para la consecución de estos objetivos no sólo basta con la creación del ENTORNO DE CONTROL DEL FRAUDE INTERNO, si no se ponen también en funcionamiento los restantes elementos de CONTROL especificados en el Informe COSO (2,3,4, y5):
  1. Creación de un entorno de control del fraude interno: “Cultura de tolerancia cero”.
  2. Evaluación del riesgo de fraude interno.
  3. Diseño e implementación de actividades de control anti-fraude.
  4. Creación de herramientas para compartir información y comunicación.
  5. Creación  e implementación de una estructura de supervisión y de monitoreo de actividades.



Fabián Zambrano Viedma
Responsable del Servicio de Prevención del Fraude



Publicado por en
Etiquetas:

viernes, 23 de septiembre de 2011

Las motivaciones y los efectos del fraude interno




LAS MOTIVACIONES Y LOS EFECTOS
LOS DEPARTAMENTOS DE RR.HH. Y EL FRAUDE INTERNO

Los fraudes internos, en sentido estricto, suelen tener como motivaciones más destacadas, el  deseo de enriquecimiento, o la venganza. Se producen cuando sus perpetradores encuentran la oportunidad dentro de la empresa, por el debilitamiento de su entorno de control.

En el Estudio de PWC (Informe sobre delitos económicos y fraude empresarial en España (2009),  que estoy utilizando como guía estadística para la confección de estas Fichas, se ponen de manifiesto dos causas que explican el debilitamiento actual del entorno de control de muchas empresas y,  por tanto el incremento del fraude:

  •   La crisis económica como elemento objetivo general.
  •  La presión de la crisis sobre los empleados, como elemento subjetivo en cada empresa.

LA CRISIS ECONÓMICA

La crisis económica que estamos padeciendo ha incrementado el número de los delitos económicos internos en el año 2009 con respecto al año 2008. Según la encuesta,  en el ámbito global ha habido un incremento del 43% y en Europa un 39,6%.  ¿Cuál será el incremento para los años 2010 y 2011, una vez se publique el nuevo estudio global de PWC sobre delitos económicos, sabiendo que en estos dos años la crisis económica ha sido todavía más intensa?

LA PRESIÓN SOBRE LOS EMPLEADOS

Durante la crisis  se están manteniendo y en muchos casos aumentado, sobre los directivos y empleados, las presiones de las empresas para la consecución de objetivos y el mantenimiento de los resultados económicos. Según los datos estadísticos recopilados, esta presión está propiciando también el incremento del número de fraudes internos, especialmente las manipulaciones contables, la obtención fraudulenta de financiación,  o el soborno y la corrupción.

En el estudio de PWC se ofrece la percepción o valoración de los encuestados,  acerca de  tres elementos explicativos del fraude interno, que en la Ficha 1 se presentaron como vértices del TRIÁNGULO DEL FRAUDE:

  • Para un 14% de los encuestados, los fraudes internos se producen por fallos en la actitud ética de las personas (Vértice del triángulo denominada  Actitud/Racionalización)
  • Para un 18%,  porque se produce  la oportunidad para cometer los fraudes. (Vértice del triángulo: Oportunidad)
  • Para un 68%, los fraudes internos tienen como origen la presión personal y ambiental (Vértice del triángulo: Incentivo o Presión). Este vértice se ha hecho especialmente evidente  en la situación de crisis actual.

En relación con éste último vértice (Incentivo/Presión), en el Informe se explicitan los cuatro incentivos principales que suelen manejar las empresas en tiempos de bonanza, pero que si no se matizan por la Dirección en los tiempos de crisis, suelen ocasionar presiones indeseables sobre directivos y empleados, predisponiendo a algunos de ellos para la comisión de fraudes internos:
  1. Rendimiento financiero de la alta dirección
  2. Mantenimiento de los resultados económicos
  3. Alcance de objetivos
  4. Retribución variable
Los analistas de PWC han encontrado tres razones para explicar el por qué los incentivos anteriormente expuestos, han servido para debilitar los sistemas de control interno y el aumento de los fraudes internos en los momentos de crisis:
  1. La crisis ha propiciado una disminución de los recursos humanos disponibles, que se han focalizado hacia las áreas que los ejecutivos consideraban  más relevantes para la supervivencia empresarial. Entre esas áreas de interés no ha estado  la lucha contra los delitos económicos.
  2. También ha habido una disminución general de los recursos económicos, que ha obligado a la reducción  de aquellos  gastos que no estaban directamente ligados a la generación de negocio en las empresas, lo que ha terminado afectando a la inversión para el fortalecimiento de los controles internos y los sistemas informáticos.
  3. La crisis está impidiendo a bastantes empresas alcanzar sus objetivos, lo que está teniendo reflejo en la parte variable de las retribuciones. Este cambio negativo en las expectativas económicas del personal, se está traduciendo en un incremento de las motivaciones justificativas del fraude interno.
Ante esta situación de debilitamiento de los controles internos y aumento de las motivaciones para defraudar, los Departamentos de RR.HH tienen un importante rol que jugar dentro de la Política de Prevención Penal y contra el Fraude, puesto que son los que tienen a su cargo la administración del Personal.


 AFECTACIÓN NEGATIVA DEL FRAUDE INTERNO SOBRE LA MORAL DEL PERSONAL.

Una de las consecuencias del fraude interno es el efecto negativo que produce sobre la moral de los trabajadores, lo que se traduce en una bajada de su rendimiento. El control de fraude interno tiene que ver con la POLÍTICA DE CUMPLIMIENTO de las empresas, por lo nadie duda de que el Departamento de RR.HH han de participar  en la definición y seguimiento de la misma, formando parte destacada del OCIC  o gobierno corporativo, en donde ésta se planifica.

LOS FRAUDES INTERNOS LOS COMETEN LAS PERSONAS QUE TRABAJAN EN LAS EMPRESAS

El Departamento de RR.HH. ha de aportar al OCIC su experiencia en la administración de los recursos humanos de la empresa, puesto que los fraudes internos los cometen directivos y empleados de la misma.

Estas son por orden de importancia, las principales motivaciones personales que, según los encuestados por PWC, impulsan al personal de una empresa a cometer fraudes internos:
  • Para mantener su actual estilo de vida
  • Por imitación de conductas irregulares
  • Por injusticias salariales
  • Por la gestión inadecuada de las denuncias internas de fraude
  • Por la no consideración personal para la promoción
  • Por otras causas

Esta casuística de motivaciones personales diversas, es captada mucho más fácilmente por el Departamento de RR.HH que por cualquier otro de la empresa, puesto que es el receptor natural de la información sobre la moral del personal. Esta información es vital para la toma de decisiones por la Alta dirección, puesto que conocer la motivación de los empleados resulta determinante para mejorar la productividad de la empresa.

Ciñéndonos al tema concreto del Fraude interno, el Departamento de RR.HH tiene la obligación de captar cualquier bajón en la motivación del personal, sobre todo la causada por estar trabajando en un entorno fraudulento, que se caracteriza por
  • Inexistencia de un Código Ético
  • Inexistencia del necesario control del fraude
  • Inexistencia de  ejemplaridad en su represión

Este trabajo de alerta ha de ser especialmente intenso en los momentos de crisis económica  como los actuales, en los que suele disminuir la fidelización de los empleados hacia su empresa, incrementándose, por tanto, la predisposición al fraude interno.

El estudio de PWC da las siguientes causas para la bajada de la fidelización del personal:
  • Recortes en los salarios
  • Riesgos de desempleo
  • Presión de los incentivos

En relación con la Política de Prevención Penal y contra el Fraude, los Departamentos de RR.HH han de realizar los siguientes trabajos de prevención:
  • Alertar al Servicio de Prevención del Fraude, cuando los objetivos financieros sean difíciles de conseguir dentro de las empresas y esta situación comience a afectar a la moral de los directivos y trabajadores, con el fin de que la Alta dirección esté informada de estas circunstancias, y se potencien los controles sobre aquellas operaciones y departamentos que pudieran verse afectados.
  • Alertar al Servicio de Prevención del Fraude, cuando se produce algún ajuste de personal en un departamento, porque este hecho se traduce en una mayor presión sobre los trabajadores que quedan en el mismo, derivado del  miedo a la inseguridad de su propio trabajo.
  • Ha de trabajar sobre ciertos factores relacionados con el personal y que propician el Fraude interno. Algunos de estos factores se explicitan  en la encuesta de PWC, pero otros hay que buscarlos entre los especialistas en la investigación del Fraude interno.

PROFUNDIZANDO EN EL TRIÁNGULO DEL FRAUDE

Vamos a analizar algunos de estos factores, valiéndonos para ello del TRIÁNGULO DEL FRAUDE, explicitado en el Informe de PWC:






(a)    ALGUNOS FACTORES AMBIENTALES QUE PROPICIAN EL FRAUDE INTERNO (Vértice Incentivo/Presión)

Uno de los vértices del TRIÁNGULO DEL FRAUDE, es el referido a las PRESIONES AMBIENTALES, que ya sabemos se endurecen en los momentos de crisis económica, como la que estamos viviendo en la actualidad.

El Estudio Global sobre delitos económicos de PWC nos ofrece un listado de factores ambientales que propician el fraude interno y, que derivan de las presiones que sobre los directivos y empleados ejercen los incentivos no cumplidos enumerados anteriormente.
  • Incumplimiento de los incentivos financieros
  • Miedo a quedarse sin trabajo
  • Consecución del “Bonus” a cualquier precio
  • Presión de los Altos directivos para el cumplimiento de objetivos
  • Reacción ante “Bonus” no pagados
  • Enmascaramiento de los resultados económicos para que los bancos no cancelen las líneas de crédito
  • Creencia de que los competidores pagan sobornos para conseguir contratos
  • Otros


Cualquiera de estos factores ambientales u otros parecidos  causan malestar entre el personal; malestar  que suele llegar al  conocimiento del Departamento de RR.HH.,   que tiene la obligación de analizarlo para tratar de solucionar el problema, y que así no repercuta en la moral de los directivos y empleados.

En el Estudio Global de PWC queda claro que una gran parte de estos factores ambientales tienen su origen en la presión que ejerce la empresa para el cumplimiento de los incentivos enumerados anteriormente (rendimiento financiero de la alta dirección, mantenimiento de los resultados económicos, alcance de objetivos y retribución variable), y de la imposibilidad de su cumplimiento por los directivos y empleados en los momentos de crisis.

La necesidad de alcanzar a toda costa determinados resultados empresariales, hace que algunos empleados terminen cometiendo ilícitos penales,  de los que pueden derivarse responsabilidades para las empresas y para la Alta dirección. Ejemplos de estos ilícitos son las manipulaciones contables, la obtención de financiación fraudulenta, las aplicaciones fraudulentas de crédito, las transacciones no autorizadas, los sobornos y la corrupción, el blanqueo de dinero, el espionaje y robo de información, el abuso de información privilegiada, el fraude fiscal, o el abuso de mercado, entre otros.

La Alta dirección ha de contar, por tanto, con esta información estratégica, que ha de llegarle  fundamentalmente desde los Departamentos de RR.HH, para así ajustar los incentivos sobre bases realistas,  en las que se tenga en cuenta la  situación económica, los riesgos penales y los riesgos de fraude interno, derivados de una excesiva presión, que suele repercutirse en cascada sobre los directivos y los trabajadores.


(b)   ALGUNOS FACTORES PERSONALES QUE PROPICIAN EL FRAUDE INTERNO (Vértice Actitud/Racionalización)

El segundo de los  vértices del TRIANGULO DEL FRAUDE es el referido a la ACTITUD/RACIONALIZACIÓN (base ética) de cada persona.

Este es un ángulo sobre el que el Informe de PWC no ofrece datos, por lo que resulta necesario acudir a los investigadores del fraude interno, especialmente a los Auditores, sobre los que recae normalmente el esclarecimiento de ilícitos descubiertos,  en colaboración con otros departamentos especializados, como el Servicio de Prevención del Fraude y el Departamento de Seguridad Informática.

Para facilitar la comprensión de este ángulo del problema,  vamos a subdividir los factores que propician el fraude interno en dos grupos:
  1. Factores que tienen que ver con el ámbito personal-familiar
  2. Factores que tienen que ver con el ámbito personal-profesional

Entre los primeros estarían los siguientes:
  • Vida desordenada que ocasiona un gasto personal excesivo: amantes, vicios caros, chantajes, etc.
  • Nivel de vida inadecuado en relación con los ingresos que se perciben.
  • Aspiraciones de ascenso en la escala social, que exigen gastos extraordinarios para mantener las apariencias.
  • Pérdidas en los negocios que algunos directivos y empleados llevan al margen  de su actividad profesional principal.
  • Elevado endeudamiento, por desfase entre retribuciones esperadas y las realmente recibidas.
  • Ludopatía o drogadicción de los propios directivos o empleados, o de algún familiar cercano de éstos.
  • Problemas económicos derivados de una larga enfermedad familiar.
Entre los segundos estarían los siguientes:
  • Frustración en el trabajo por la realización de tareas no acordes a la cualificación profesional.
  • Resentimiento hacia la empresa o hacia los directivos por el trato recibido.
  • Remuneración no acorde con la cualificación profesional.
  • Aceptación del ambiente de corrupción existente entre directivos y empleados.


Los factores personales/familiares/profesionales enumerados, que no pretenden ser exhaustivos, normalmente se manifiestan públicamente en la empresa con anterioridad a la comisión de los ilícitos fraudulentos. Esta información suele llegar al departamento de RR.HH por numerosas vías, y el departamento ha de estudiarla y atenderla, puesto que si no lo hace terminará influyendo en la relación laboral existente entre la empresa y los empleados implicados, dando origen a incumplimientos laborales, pérdidas de eficacia, indisciplinas, tensiones, quejas, errores, desmotivaciones, absentismos, faltas de respeto a los directivos, descuidos en la higiene, etc.

En aquellos casos en los que exista peligro para el funcionamiento o reputación de la empresa, y respetando al máximo la intimidad del directivo o empleado implicado, el Departamento de RR.HH deberá analizar las áreas de riesgo que pudieran verse afectadas para que se fortalezcan sus controles de alerta. Además se optará, de acuerdo con la Dirección,  porque el directivo o empleado siga en su puesto de trabajo, o sea trasladado  provisional o definitivamente a otras áreas de menor riesgo.

En esta Ficha no voy a analizar el tercer vértice del TRIÁNGULO DEL FRAUDE, porque el mismo no afecta directamente al área de recursos humanos, por lo que lo trataré en un documento independiente.

CONCLUSIÓN

Lo visto hasta ahora nos demuestra que existe una  implicación directa del Departamento de RR.HH en la estructura de cumplimiento de la empresa y por tanto en la prevención del fraude Interno.

Esta implicación exige  su participación en el  OCIC o gobierno corporativo de cumplimiento, que en relación con la prevención del fraude interno y externo, será el encargado de planificar la Política de Prevención Penal y contra el Fraude.

El núcleo central de esta planificación estará integrado, además de por el Departamento de RR.HH., por el Departamento de Auditoría, el Servicio de Prevención del Fraude, el Departamento de Seguridad Informática, el Departamento de Análisis de Riesgos, el Departamento de Recuperaciones,  y cualquier otro que tenga implicaciones directas en esta materia.


Fabián Zambrano Viedma
Responsable del Servicio de Prevención del Fraude




Publicado por en
Etiquetas:

miércoles, 21 de septiembre de 2011

Introducción al Fraude Interno



INTRODUCCIÓN AL FRAUDE INTERNO


El fraude interno es una realidad que no puede obviarse en las organizaciones, especialmente en un momento de crisis económica como el actual.

Estudiaremos el fraude interno  desde una visión teórico/práctica, y para ello vamos a utilizar los datos y el análisis del último “Informe sobre delitos económicos y fraude empresarial en España” (Informe PWC) y el Estudio Global sobre delitos económicos” (Estudio PWC), realizados por PricewaterhouseCooper (PWC) y publicados en su Web, documentos a los que  también se puede acceder a través de portal  www.de-fensa.es, dentro del módulo: Transparencia.

En el Estudio PWC se analizan los datos obtenidos mediante una encuesta realizada durante el año 2009 a más de 3.000 empresas pertenecientes a 54 países, en la que se pudo constatar que el fraude interno, en sus numerosas modalidades (apropiación de activos, soborno y corrupción, manipulación contable, blanqueo de dinero, robo de información, fraude fiscal, abuso de mercado, etc.), ha sufrido un empeoramiento en todo el mundo a causa de la crisis económica, constituyendo en la actualidad una amenaza que afecta a todas las compañías, por lo que su prevención resulta necesario abordarla de una forma mucho más decidida.

Según la Encuesta PWC, entre los empresarios españoles la preocupación sobre el fraude interno no está generalizada, aunque los datos recabados indican un incremento del mismo en relación con el año anterior. Esta discordancia induce a pensar en la existencia de una bolsa mayor de fraude que la que refleja la encuesta, que si resulta aún desconocida para las empresas es porque no se han puesto a funcionar los controles adecuados,  y porque persiste en España la cultura del ocultamiento de estas modalidades de fraude.

Para profundizar en esta materia, vamos a  analizarla desde diversas ópticas:

Primera: EL CONCEPTO; lo que hemos de entender como fraude interno.
Segunda: LAS MOTIVACIONES que hacen posible su existencia.
Tercera: LOS EFECTOS que produce dentro de las empresas: tanto los medibles, como los  no medibles.
Cuarta: LA DETECCIÓN; las herramientas organizacionales y tecnológicas para encontrarlo.
Quinta: EL CONTROL para su prevención y represión.


EL CONCEPTO

Para nuestro análisis, vamos a considerar como fraude interno el “listado de delitos económicos” que aparece en el Estudio PWC a nivel global:

  •   Manipulación contable
  •   Obtención fraudulenta de financiación
  • Aplicaciones fraudulentas de crédito
  • Transacciones no autorizadas
  •  Apropiación indebida de activos
  •  Soborno y corrupción
  • Blanqueo de dinero
  •  Robo de información y violación de IP
  •  Abuso de información privilegiada
  • Fraude fiscal
  •  Abuso de mercado
  •  Espionaje a favor de los competidores
  • Otros; cajón de sastre en el que introduciremos  otros delitos del Código Penal que no aparecen en el listado.

En este listado se relacionan gran parte de los delitos de los que pueden ser responsables las personas jurídicas,  según el Artículo 31 bis de nuestro Código Penal, pero conceptualmente deberemos diferenciar el Fraude Interno, en el que la empresa resulta perjudicada, de aquellos otros delitos similares que comenten los directivos  y empleados en beneficio de la empresa, y que son los que darían lugar a la responsabilidad penal de la misma, aunque como veremos posteriormente, el cumplimiento penal está íntimamente relacionado con la estructura de control sobre el fraude interno que debe existir dentro de las empresas.

LAS MOTIVACIONES

Para entender el fraude interno resulta conveniente  el estudio de las motivaciones que facilitan su comisión. Tanto en el Informe PWC, como en el Estudio PWC, estas motivaciones  se sintetizan en un esquema denominado TRIÁNGULO DEL FRAUDE, y cuyo conocimiento debe servirnos para prever sus riesgos.

Vértice a): Incentivo/Presión
Vértice b): Actitud/Racionalización
Vértice c): Oportunidad





Incentivo/Presión

La crisis económica ha facilitado la disminución de los controles internos, y como resultado se han incrementando los incentivos  y las oportunidades para cometer fraudes.

Igualmente  con la crisis se ha multiplicado la presión ambiental favorable al fraude. Esta situación ha sido percibida de forma inmediata por los perpetradores de fraude interno en sus distintas variedades.

Esta misma presión ambiental se ha producido con el fraude externo, cuyo control ha dejado de ser prioritario dentro de las empresas, aún cuando resulta patente la caída de la represión social sobre determinadas conductas fraudulentas. Resulta falso el razonamiento basado en  la “comprensión” de la morosidad sobrevenida a raíz de las dificultades económicas, puesto que no deja de ser la justificación perfecta para que los defraudadores incrementen su actividad delictiva, probando en estos momentos de crisis métodos fraudulentos cada vez más eficaces, que serán letales cuando cambie el ciclo  económico y se abra de nuevo el crédito. Será entonces cuando muchas empresas se encuentren desarboladas en su actividad de prevención contra el fraude.

Actitud/Racionalización

Hay una base ética en cada persona que condiciona su comportamiento. Pero también es cierto que ante determinadas oportunidades y presiones, las respuestas de las personas suelen ser diferentes.

Oportunidad

En relación con el fraude interno, la prevención pasa por limitar las oportunidades para cometer fraudes y en mejorar las situaciones que son propicias para su comisión.

En el ámbito interno, la crisis ha motivado que las empresas disminuyan los recursos humanos y materiales dedicados al control interno, para utilizarlos en otras actividades directamente relacionadas con la pervivencia de las empresas, como son las recuperaciones, la financiación, o el equilibrio producción/ventas.

Esta política restrictiva está afectando a las inversiones que han de  hacerse para incrementar la seguridad en sus diferentes vertientes: control interno, seguridad informática, análisis de riesgos, o seguridad general contra el fraude interno y externo.

El triángulo del fraude y la crisis económica

Resulta muy interesante el análisis que sobre el triángulo del fraude  hacen los autores del Estudio PWC, así como los especialistas españoles pertenecientes a PWC Forensic en el Informe PWC sobre España. En ambos trabajos se  pone de manifiesto la interrelación existente entre el Fraude Interno y la crisis económica.

Con la crisis se ha incrementado  la inseguridad en los puestos de trabajo, lo que ha hecho caer la fidelidad de los empleados hacia sus empresas. Esta baja generalizada de fidelidad está actuando como presión ambiental favorable en los perpetradores de fraude interno.

Con la crisis  se están reduciendo las percepciones económicas de los empleados, por el decremento de incentivos, la pérdida de bonus, etc., lo que está originando en algunos de ellos desequilibrios  financieros por la previa asunción de deudas, que se justificaron en su momento en la seguridad aparente del empleo y en el constante crecimiento de los salarios. Estas situaciones financieras personales están llevando a algunas personas a convertirse en perpetradoras de fraude interno, o en colaboradoras para la comisión de fraude externo.

La presión empresarial para alcanzar determinados resultados, está propiciando también la comisión de fraudes y falsedades contables en estos momentos de crisis,  por quienes no tienen otra forma de ocultar a la dirección su propia  impotencia para cumplir objetivos.

Si a estas motivaciones derivadas de la crisis, unimos la constatación de  la disminución de los controles internos, y el incremento de la permisividad social, nos encontraremos con una situación de riesgo evidente que conviene analizar y controlar.

LOS EFECTOS

La Encuesta PWC nos revela que durante 2009 se incrementó el fraude interno en España, en un porcentaje superior  al resto de países (europeos y no europeos). Esta situación  se verá superada, sin ninguna duda, en la próxima encuesta referida a 2010, puesto que la crisis ha seguido golpeando duramente nuestra actividad económica. Los sectores en donde se ha incrementando la media de fraude son, dentro del sector privado, el sector asegurador, los servicios financieros y las telecomunicaciones.

Los perjuicios económicos del fraude interno en las empresas españolas, sumando todos los tipos de fraudes, tienen una media de 730.644 euros según la encuesta, cantidad algo superior a la media a nivel global que está estimada en 613.971 euros.

Pero las consecuencias negativas del fraude interno, al margen de los perjuicios económicos directos, tienen que ver  más con los perjuicios económicos indirectos, algunos de difícil valoración, que inciden sobre la imagen y reputación de las empresas, sobre la motivación de los trabajadores, sobre las relaciones con los reguladores y sobre los costes que ocasionan los  asesores externos que son posteriormente necesarios para mitigar sus consecuencias, como abogados, peritos o economistas.

Veamos dos ejemplos de estos efectos económicos indirectos:

El fraude interno tiene repercusiones negativas en la reputación/marca de las organizaciones empresariales, lo que termina influyendo sobre el precio de sus acciones o participaciones y perjudicando sus relaciones comerciales. En algunos casos, este impacto negativo condiciona la supervivencia de las propias empresas.

En el caso español y según el Informe PWC,  durante 2009 la repercusión reputacional negativa ha sido mayor que en otros países, debido a que tenemos una cultura que ofrece un trato confidencial a este tipo de delitos, y como consecuencia, cuando alguna de estas conductas trasciende públicamente produce un gran impacto mediático, especialmente cuando los hechos fraudulentos afectan a la alta dirección.

Resulta necesario cambiar esa cultura oscurantista y efectuar un  tratamiento normalizado y transparente de estos hechos fraudulentos.

Otra de las consecuencias más graves del fraude interno es la desmotivación de los trabajadores y por tanto, la caída de la productividad, así como el aumento de los incentivos ambientales para que otros empleados cometan también fraudes.

LA DETECCIÓN

El fraude interno aflora con las herramientas organizativas y tecnológicas creadas especialmente para este objetivo, aunque también se pone de manifiesto por puro accidente o porque se dan circunstancias nos previstas por los estafadores.

He aquí un esquema con herramientas y circunstancias de interés, extraídas del Estudio PWC.

  • Evaluaciones de riesgo de fraude
  • Auditoría interna
  •  Auditoría externa
  • Controles anti-fraude
    • Gestión de Riesgos y monitorización de operaciones sospechosas
    •  Cultura anti-fraude
  •  Procedimientos de denuncia
  • Controles sobre el personal: vg.: Cambio o rotación
  • Por accidente

Según el Estudio PWC, las dos herramientas más eficaces contra el fraude interno, de entre las referenciadas anteriormente, son:

  • EVALUACIÓN FRECUENTE DEL RIESGO DE FRAUDE
  • CONTROLES ANTIFRAUDE.

El estudio ha puesto de manifiesto que las organizaciones que no conocen el riesgo del fraude inherente a sus actividades de negocio, no pueden desarrollar controles antifraude  para combatirlo. Por ello, las evaluaciones frecuentes de riesgo de fraude resultan esenciales para identificar las amenazas potenciales y las debilidades en los controles.

Un sistema de evaluación frecuente del riesgo obliga a las empresas a  buscar el fraude, y les da la agilidad necesaria para encontrarlo,  aún cuando sabemos que este riesgo no es estático, sino que va cambiando en el tiempo por el influjo de las circunstancias.

La evaluación sistemática y la interposición de controles requieren una planificación del trabajo en fases:

  •  Identificación de  los potenciales riesgos de fraude inherentes  a la actividad de negocio.
  • Evaluación de la probabilidad e importancia de que se produzcan los riesgos de fraude que han sido identificados.
  • Determinación de las personas y departamentos que por su operatividad son más propensos a cometer cada uno de los fraudes identificados, y descubrir  los “modus operandi” o métodos que pueden ser utilizados por los defraudadores con más probabilidad.
  • Búsqueda y establecimiento de controles preventivos. (Gestión de Riesgos- Controles anti-fraude)
  • Evaluación de los controles y procesos para asegurar que han sido diseñados de forma efectiva para que aborden los riesgos de fraude identificados.
  •  Identificación y evaluación de los riesgos de fraude residuales derivados de la inexistencia de controles o de controles poco efectivos.
  • Respuesta ante los riesgos de fraude residuales.


Señalo la similitud de esta planificación voluntaria para la prevención del fraude interno, con la que resulta necesaria y diría que obligatoria, para prevenir la posible responsabilidad penal de las personas jurídicas, lo que sugiere una sola estructura organizativa y de planificación, tanto para la prevención del fraude interno, como para la prevención de la responsabilidad penal de las personas jurídicas.

Otras herramientas de interés.

La Auditoría Interna

La Auditoría interna es otra herramienta eficaz para hacer aflorar el fraude interno. El Estudio PWC ha puesto de manifiesto que en las empresas en las que se redujeron los medios en los departamentos de Auditoría a causa de la crisis, hubo un incremento del fraude interno.

Con todo, según el mismo Estudio, existe una tendencia estadística que avisa de que las Auditorías irán detectando un porcentaje cada vez menor de fraude interno, en relación con otras herramientas de control, como por ejemplo la evaluación frecuente del riesgo y su gestión.

El procedimiento formal de denuncia

El procedimiento formal de denuncia que se ofrece a los empleados por distintos medios (buzones, internet, etc.) sigue constituyendo una buena herramienta para hacer aflorar el fraude interno.  Pero para que sea efectiva ha de estar  suficientemente extendida entre las empresas; debe ser publicitada;  y las personas que vayan a utilizarla la han de considerar efectiva, lo que sólo ocurre cuando la alta dirección está comprometida con esta herramienta.

EL CONTROL

Para controlar el fraude interno hay que conocer,

  1. la diferente tipología de hechos económicos susceptibles de producirlo,
  2.  las motivaciones psicológicas o ambientales que permiten su existencia,
  3. los efectos letales que produce dentro de las empresas,
  4. las  herramientas para encontrarlo y combatirlo.

Pero sobre todo, resulta necesario el compromiso de las empresas en una política de prevención y control que abarque desde la alta dirección hasta el último de los empleados incorporado a las mismas.

PWC Forensic aconseja la creación de una estructura de gobierno corporativo que tenga los siguientes objetivos:

  1. Establecer unos sólidos procedimientos de gestión del riesgo del fraude
  2. Enviar unos claros mensajes sobre esta materia a todos los miembros de la organización.
  3.  Actuar de forma ejemplar, tanto en la prevención como en la reacción.

En la prevención del blanqueo de capitales ya vimos que por imposición legal, esta estructura de gobierno corporativo era el OCIC (Órgano de Control Interno y Comunicación).

Bajo mi criterio, y para no duplicar las estructuras transversales de control, el OCIC, con el nombre que internamente quiera dársele, debería constituirse en el núcleo central del cumplimiento corporativo de cualquier organización. Y como indiqué para el blanqueo de capitales, en el OCIC deberían estar representadas las  direcciones generales a su más alto nivel, puesto que es la única forma de que las distintas políticas de cumplimiento sean asumidas realmente por la alta dirección.

El OCIC sería una estructura transversal de control, dependiente del Secretario General de la Organización, que estaría coordinada con las diferentes estructuras especializadas de cumplimiento (Prevención AML, Cumplimiento LOPD, Prevención del Riesgos Laborales, Prevención del Fraude), etc.

En la materia que nos ocupa en este momento, el Servicio de Prevención del Fraude sería el departamento que tendría a su cargo las  herramientas tecnológicas de prevención y control del fraude interno y externo, para:

  1.  La evaluación y gestión de los riesgos de fraude,
  2. Y para la monitorización de operaciones sospechosas, al igual que sucede en su materia con el Departamento de Prevención del Blanqueo.

Pero sigo insistiendo en la idea  base expresada anteriormente y que nos ofrece el Estudio PWC, de que por encima de la estructura operativa de prevención, radicada en la práctica en el Servicio de Prevención del Fraude, ha de existir siempre  una estructura política,  que podría ser el OCIC.

La misión de este gobierno corporativo, en relación con el fraude interno,  sería la de desarrollar una cultura empresarial de tolerancia cero.

Para ello, primero ha de conocer la realidad del fraude, lo que podría conseguir  centralizando en el Servicio de Prevención del Fraude toda la información que sobre fraude  se produce en la organización, que iría llegando a través de las diferentes fuentes existentes: Servicio de Prevención del Fraude, Auditoría Interna, Líneas éticas de denuncia, Control operativo de las Direcciones Generales (vg.: políticas de rotación del personal), descubrimientos accidentales, Auditorías externas), etc.

Sólo cuando la alta dirección esté bien informada sobre los riesgos de fraude interno y sobre los perjuicios que éste ocasiona, podrá diseñar a través del OCIC las políticas adecuadas de prevención y reacción, necesarias para implantar una cultura empresarial de tolerancia cero contra este fenómeno.

Esta cultura, según PWC Forensic, debería estar asentada en las siguientes medidas:
  • Invertir en prevención y detección del fraude, tanto interno como externo.
  • Reforzar las funciones de auditoría interna, de cumplimiento normativo y llevar a cabo una gestión efectiva y proactiva de los riesgos del negocio.
  • Revisar y mejorar los controles internos y programas anti-fraude en las áreas clave.
  • Alcanzar altos niveles de integridad empresarial mediante unas sólidas prácticas de gobierno corporativo, control interno y transparencia.
  • Impartir cursos de formación acerca del marco regulatorio, las normas internacionales anticorrupción aplicables y ética empresarial para el personal, favoreciendo el desarrollo de una cultura corporativa adecuada.
  • Implantar un canal de denuncias o línea ética.
  • Análisis y verificación de los riesgos asociados a los sistemas de información y seguridad informática.
  • Revisar y reformular los programas de retribución variable.


LAS SIGUIENTES FICHAS SOBRE FRAUDE INTERNO

Las siguientes fichas serán el desarrollo de ésta primera introductoria, en las que iré analizando las diferentes ópticas definidas: concepto, motivaciones, efectos, detección y control.

Comenzaremos por las motivaciones, dejando para el final la ampliación del concepto, puesto que ésta óptica requiere un estudio específico de los diferentes hechos delictivos que constituyen el fraude interno, y  para ello conviene tener primero  una visión más completa de las restantes.


Fabián Zambrano Viedma
Responsable del Servicio de Prevención del Fraude





Publicado por en
Etiquetas:
Suscribirse a: Entradas (Atom)