Blog del Servicio de Prevención del Fraude

Asociación Nacional de Establecimientos Financieros de Crédito (ASNEF)





C/ Velázquez, 64-66, 2ª planta

28001 Madrid

Teléfono del Servicio: 917814551

Fax: 914314646



Correo electrónico: spfraude@asnef.com







lunes, 17 de octubre de 2011

Diseño e implementación de actividades de control antifraude




DISEÑO E IMPLEMENTACIÓN DE ACTIVIDADES DE CONTROL ANTIFRAUDE


En las fichas anteriores hemos ido concretando dos de los elementos de CONTROL DEL FRAUDE INTERNO, según el esquema del Informe COSO:
  1. Creación de un entorno de control del fraude interno: “Cultura de tolerancia cero” (Ficha 3)
  2.  Evaluación del riesgo de fraude interno (Fichas 4 y 5).

Dentro de la evaluación del fraude interno ya aparecieron las primeras pautas a seguir para  el diseño e implementación en la empresa, de actividades de control anti-fraude (tercer elemento COSO):
  • Creación de un Órgano de Gobierno que tenga la autoridad necesaria para preparar las NORMAS ANTI-FRAUDE y que obligue a todo el personal de la empresa a su cumplimiento. Por motivos de racionalización organizativa y de economicidad,  asimilé este órgano a la estructura que ya tenemos creada por obligación legal para la prevención del blanqueo de capitales: el OCIC (Órgano de Control Interno y Comunicación).
  • Creación del Servicio o Departamento de Prevención del Fraude, que se encargará de forma directa del monitoreo de las actividades de control y del funcionamiento del sistema interno de prevención del fraude.

El Servicio de Prevención del Fraude (SPFRAUDE), con el nombre concreto que en cada empresa se le quiera dar, constituye un departamento especializado en esta materia que tiene una operatividad transversal, puesto que colabora con toda la entidad coordinando  las actividades de prevención y de control del fraude que realizan los distintos departamentos. No olvidemos que la prevención y el control del fraude interno y externo es una responsabilidad de toda la empresa.

En este Servicio estará también  ubicado el  REPOSITORIO CENTRALIZADO del que también hemos hablado en fichas anteriores, al que deberá llegar  toda la información generada en la empresa sobre fraude interno y externo, así como  la información referida a los incumplimientos detectados, que pudieran afectar a la responsabilidad penal de la empresa como persona jurídica,  y a sus directivos.


Diseño e implementación de actividades de control antifraude

A partir de la creación de la estructura de prevención del fraude ya indicada (OCIC-SPFRAUDE), es cuando la empresa puede iniciar de una forma ordenada  el proceso de diseño e implementación de las actividades de control.

Veíamos en las Fichas 4 y 5, que para configurar este proceso teníamos que partir de la evaluación del riesgo de fraude interno inherente a las actividades de negocio, para así crear el MAPA GENERAL DE RIESGO DE FRAUDE INTERNO, que estará compuesto por los diferentes MAPAS DEPARTAMENTALES en los que se concretan las operaciones de riesgo. (Dejo fuera de esta Ficha los aspectos derivados del fraude externo que trataremos en otro momento.)

Para la confección de estos MAPAS particulares de riesgo se sugería la conveniencia de la  participación de los empleados de la empresa,  que son los que trabajan el día a día de la operatividad y por tanto, los que mejor nos pueden informar de las debilidades y fortalezas de los  sistemas,  y de la efectividad de  los procedimientos que se emplean dentro de la empresa.

Apuntábamos que la colaboración del personal podía obtenerse de varias maneras, vg.: a través de formularios, entrevistas, buzones de sugerencias, o mediante sesiones de trabajo con  grupos reducidos de empleados, controladas y dirigidas por el Responsable de Cumplimiento departamental, miembro del OCIC delegado. Estas reuniones estarían preparadas previamente por el Servicio de Prevención del Fraude, que en caso necesario estaría auxiliado por personal especializado en comunicación.

Otra forma de obtener la información  para la confección de los MAPAS DEPARTAMENTALES DE RIESGO, sería mediante la integración rotatoria y temporal de personal de los distintos departamentos en el Servicio de Prevención del Fraude, o mediante la integración temporal de especialistas de prevención del fraude en las distintas  actividades operativas de la empresa.

El conocimiento de los riesgos permitirá a cada departamento participar en el diseño de los  procedimientos y sistemas de control anti-fraude, que serían completados  con herramientas organizativas y tecnológicas externas que ayuden a controlar el correcto funcionamiento de los sistemas y procedimientos aplicados, así como para detectar la posible elusión de las obligaciones de control por parte de algún empleado o directivo.

En las fichas 2 y 6 estudiamos la responsabilidad que en la prevención y control del fraude interno tienen, respectivamente, el Departamento de Recursos Humanos y el Departamento de Auditoría, comprobando que en esta materia tienen un especial protagonismo a través de su participación en el OCIC, aunque sus funciones en la empresa son mucho más amplias.

En la ficha número 7, analizamos también una de las herramientas imprescindibles en cualquier diseño e implementación de actividades de control anti-fraude, como es la instauración en la empresa de líneas éticas o sistemas internos de denuncias.

Ahora sólo nos queda completar las pautas enumeradas con otras nuevas, para cerrar así el  conocimiento básico que pretendemos adquirir acerca del  tercer elemento del sistema COSO para el control interno.

El diseño e implementación de las actividades del control del fraude obliga a las empresas, a través de sus estructuras anti-fraude, a abordar cada riesgo de fraude mediante una concreta política de control, que contendrá tanto medidas preventivas como de detección; algunas de estas medidas serán de naturaleza automatizada, y estarán por tanto recogidas en las plataformas tecnológicas operativas o de control.

Durante este proceso,  los analistas de prevención del fraude deben asesorarse, a través  especialistas  tecnológicos y mediante el contacto con los centros universitarios,  sobre  las mejores herramientas existentes en el mercado para los problemas planteados,  y para que,  en el caso de que estas soluciones no existan, puedan ser diseñadas en base al funcionamiento operativo real de las empresas. La prevención del fraude es una materia que necesita una   investigación conjunta y permanente entre especialistas teóricos y prácticos.

Como veremos en otra de las fichas,  la cooperación entre empresas ofrece muchas posibilidades para el diseño de plataformas tecnológicas de uso compartido y funcionamiento independiente, a través de “cloud computing”, dotadas con  las máximas  garantías de seguridad.

Al estudiar los factores de riesgo de fraude interno, vimos que no sólo eran operacionales, es decir, derivados de la oportunidad que para cometer fraudes internos ofrecen determinadas operaciones difíciles de controlar o con controles debilitados (recordemos uno de los vértices del triángulo del fraude), sino también subjetivos y por tanto dependientes de las actitudes éticas de los empleados que manejan estas operaciones, y del incentivo y la presión ambiental que soportan. (Los otros dos vértices del triángulo).

Recordemos también, que los riesgos descubiertos no nos indican que exista fraude, sino que éste puede producirse si no definimos una buena política de control que ayude a la prevención, y si no nos dotamos de los recursos tecnológicos necesarios para que,  en caso de que se comenta algún fraude interno, nos alerten de su existencia y nos faciliten su investigación.

Entendemos, por tanto, como una buena política de control, las acciones que hemos de tomar para disuadir y mitigar cada uno de los riesgos específicos de fraude interno detectados, tanto los objetivos que se derivan de las operaciones de riesgo, como los subjetivos, derivados de la posible elusión de los controles por parte de algún empleado y directivo que deban cumplirlos.

En el diseño e implementación de estas actividades de control (política de control), deben participar indirectamente los propios responsables de los procesos de riesgo y sus empleados,  tal como expliqué  en fichas anteriores, y directamente la estructura de prevención del fraude (OCIC-SPFRAUDE).

AUDITORÍA INTERNA se encargará de la evaluación de la efectividad de esa política, y del  perfeccionamiento de la misma a través de la supervisión.

Las actividades de control no sólo abarcan aspectos procedimentales, sino también la adecuación e incorporación al sistema de control,  de aquellas herramientas tecnológicas que se estimen necesarias, y que serán integradas, o en las plataformas de producción de cada departamento, o en el sistema de centralización de alertas del Servicio de Prevención del Fraude.

Como podemos observar, nos enfrentamos a un dificultoso trabajo de campo para tratar de construir en cada departamento y con la participación de las personas que trabajan en el mismo, su particular política de control del fraude interno. La construcción del sistema de control estará liderada por un equipo especializado, que no es otro que la estructura de prevención del fraude: OCIC-SPFRAUDE, que será quien se encargue de documentar cada MAPA DEPARTAMENTAL DE PREVENCIÓN DEL FRAUDE, que como vimos integra el MAPA DEPARTAMENTAL DE RIESGOS y las soluciones procedimentales y tecnológicas necesarias para la prevención.

Quiero detenerme en el concepto de DOCUMENTACIÓN, porque es muy importante que en el proceso de diseño e implementación de la política de control, se tenga previsto que ésta ha de quedar perfectamente registrada por escrito o mediante alguna aplicación informática, puesto que ha de hacerse posteriormente su seguimiento operativo a través de la supervisión, para que así pueda ser convenientemente auditada.

La DOCUMENTACIÓN resulta también necesaria para fundamentar los procesos de comunicación e información que analizaremos en una ficha posterior.

No he visto que exista un criterio “académico” para llevar a la práctica este tercer principio COSO, ni siquiera un solo criterio práctico, puesto que cada empresa de un mismo sector de actividad puede tener diferentes objetivos y estrategias que afectarán al diseño y a la implantación de las acciones anti-fraude. Igualmente cada empresa posee su propia escala de prioridades al analizar los factores de riesgo, porque depende de las decisiones que toman sus directivos y de las ideas que estos tienen sobre el control interno, a lo que hay que añadir otros elementos distorsionadores, como son el entorno y las circunstancias que rodean a cada empresa, o su  propia complejidad organizativa.

Con todo, tal como veremos en otra ficha, existen elementos comunes de interés que aconsejan la cooperación entre empresas en la búsqueda de plataformas tecnológicas comunes con funcionamiento “outsourcing” para reducir  así  gastos directos, que pueden ser adaptadas de forma independiente a los criterios de cada empresa.

Estas plataformas tecnológicas que no afectan a la actividad principal de la empresa, sin embargo permiten operar en las materias de prevención del fraude interno y externo con herramientas potentes y permanentemente actualizadas,  respaldadas por los principales operadores tecnológicos del mercado en el ámbito nacional e internacional.



Fabián Zambrano Viedma
Responsable del Servicio de Prevención del Fraude




Publicado por en
Etiquetas:

viernes, 14 de octubre de 2011

Líneas éticas: Sistemas internos de denuncias y la prevención del fraude interno




LÍNEAS ÉTICAS: SISTEMAS INTERNOS DE DENUNCIAS O “WHISTLEBLOWING”


En el estudio Global de PWC correspondiente a 2009 sobre delitos económicos, se indica que las LÍNEAS ÉTICAS DE DENUNCIA han contribuido a la detección de un 7% de los fraudes internos sobre la muestra analizada. Esta herramienta la han utilizado en España un 36% de las empresas encuestadas.

Los analistas de PWC ofrecen estos argumentos para justificar esta baja efectividad:
  1. En bastantes de las empresas encuestadas estos procedimientos no existen. Entre las empresas españolas encuestadas, un 64% no utilizan las líneas éticas o sistema formalizado de denuncias.
  2.  La inexistencia de los Buzones de Denuncias se puede deber a que:

a.       No tienen el necesario  respaldo dentro de las organizaciones.
b.      No se han publicitado convenientemente.
c.       A que los usuarios de las líneas éticas consideran que es un procedimiento inútil,  porque la alta dirección no lo tiene en consideración.

Para el trabajo operativo resulta evidente la utilidad de esta herramienta, porque sirve para prevenir y detectar el fraude corporativo y para promover los principios y valores éticos de las organizaciones.

Pero para que sea efectiva debe constituirse como un canal de comunicación confidencial y seguro, por el que los miembros de una organización puedan reportar a la alta dirección actos fraudulentos, situaciones anómalas y  conductas inadecuadas.

La forma del canal de comunicación puede ser muy variada, como por ejemplo:
  •  línea telefónica asistida por personal especializado
  •  línea telefónica automatizada que graba la denuncia
  •  aplicación que funcione a través de la Intranet de la empresa
  • aplicación que funcione  a través de Internet
  •  etc.

Cualquiera de  la forma elegida puede estar controlada por la empresa o por un tercero de confianza. En algunas empresas estos canales están abiertos también para clientes y proveedores.

Para evitar que los usuarios consideren esta herramienta inútil y por tanto pierda la efectividad que debería tener,
  • los denunciantes han de percibir que el sistema establecido por la empresa goza de integridad y confidencialidad
  •  tiene un acceso adecuado
  • y sobre todo, que existe realmente la voluntad de hacer el seguimiento de las denuncias reportadas.

La LÍNEA ÉTICA debe ser percibida dentro de la empresa como un canal que permite la comunicación directa entre los empleados y la alta Dirección, y que por tanto sirve para generar un clima de transparencia y un ambiente de control.

Este tipo de herramientas reducen la sensación de impunidad que a veces se percibe en algunas empresas,  derivada de la imposibilidad de poner en evidencia conductas no éticas de alguno de sus miembros.

Los Buzones de Denuncia sólo se justifican si previamente se ha creado dentro de la empresa una cultura antifraude de tolerancia cero, en la que se reconoce el valor del comportamiento ético, y se responde en forma decidida y apropiada cuando surgen los actos ilícitos. No son apropiados cuando en la empresa no existe la necesaria transparencia.

Junto con los beneficios señalados, en el informe del año 2008 de la Association of Certified Fraud Examiners se afirma que las empresas que poseen Líneas de Denuncia adelantan en un 60% el tiempo medio de conocimiento de fraude. Esto quiere decir que si una empresa sin línea de denuncia tarda en detectar y corregir una acción ilícita 24 meses, otra una con línea de denuncia lo hace en 15 meses.

Cuando la LÍNEA ÉTICA está bien implementada a través de una plataforma tecnológica adecuada, el tiempo de conocimiento y  corrección del fraude se reduce drásticamente, puesto que todo el proceso de investigación puede comenzar en  las 24 horas siguientes a la denuncia.

A partir de ese momento se ponen en funcionamiento los mecanismos tendentes a comprobar la veracidad de la información, y su resolución sólo depende de la complejidad del asunto y de los recursos invertidos en la verificación.

El Departamento de RR.HH es otro de los posibles beneficiados de esta herramienta,  porque bien utilizada  funciona como termómetro del clima laboral.

Implantar dentro de la empresa una LÍNEA ÉTICA requiere una buena planificación, que vamos a simplificar en algunos pasos:
  1. Definición de una Política de Prevención Penal y contra el Fraude, partiendo de las nuevas obligaciones de cumplimiento derivadas de la responsabilidad penal de las personas jurídicas (Art. 33 bis del Código Penal).
  2. Esta política ha de tener como objetivo establecer dentro de la empresa una cultura de tolerancia cero contra el fraude interno en el concepto amplio que estamos estudiando.
  3. Dentro de esta cultura de tolerancia cero, la Administración ha de anunciar los objetivos de un programa de línea ética y la razón para implementarlo.
  4. Cada empleado debería recibir una carta o comunicado anunciando el programa, junto con la información sobre su funcionamiento técnico y operativo.
  5. Este programa debe darse a conocer a los empleados en reuniones, y aparecer en los tablones de avisos de todas las áreas de trabajo.
  6. Este programa debe referenciarse en los contratos de trabajo de los nuevos empleados y en su período de formación.    

Resulta necesario que en la formación que se de a los empleados se expliquen adecuadamente los tipos de asuntos que pueden reportarse a la alta dirección a través de esta herramienta, y el proceso que se generará tras la recepción, al mismo tiempo que se forma a los empleados y directivos en la Política de Prevención Penal y contra el Fraude. De esta manera la empresa estará desarrollando entre los miembros de la organización la sensibilidad necesaria para conocer en profundidad lo que significa el fraude interno en el sentido amplio que estamos estudiando, y aprenderán a utilizar esta herramienta de forma oportuna y racional.


Las LÍNEAS ÉTICAS DE DENUNCIA (BUZONES DE DENUNCIAS), comenzaron a generalizarse en las empresas de todo el mundo a partir de la entrada en vigor en EE.UU. de la Ley Sarbanes-Oxley, en la que se prevé el establecimiento de determinados sistemas internos de alarma, gráficamente denominados como “whistleblowing procedures”, a fin de detectar posibles irregularidades financieras y contables en las empresas. Estos buzones son obligatorios, según esa Ley, para todas las empresas que cotizan en algún mercado de valores norteamericano.

Fuera de EE.UU. la exigencia de esta Ley puso en guardia a las distintas autoridades nacionales de protección de datos, puesto que estas líneas éticas o buzones de denuncias eran receptoras de datos de carácter personal muy sensibles, y  que, por tanto, exigían una especial protección.

En la Unión Europea se quiso dar una respuesta uniforme a la exigencia de esta Ley, puesto que afectaba a numerosas empresas europeas que ya cotizaban o deseaban cotizar en los Mercados de Valores de los Estados Unidos y, a este fin se reunieron en el año 2006 los máximos representantes de las Autoridades de Protección de Datos de la Unión, pertenecientes al grupo consultivo denominado “GRUPO DEL ARTÍCULO 29”, quienes emitieron una OPINIÓN sobre los requisitos legales que habilitarían el tratamiento de ficheros con denuncias anónimas en las empresas.

La OPINION de este Grupo establece que pueden existir dos fundamentos legales para que la aplicación de los sistemas de denuncias confidenciales se realice de acuerdo a la Directiva europea de protección de datos:
  1.  la existencia una ley o
  2.  un interés legítimo.

La Opinión del Grupo del Artículo 29 estableció también que estos sistemas debían limitarse a las actividades relacionadas con los sectores financieros y de contabilidad, sin extenderse a otros ámbitos. Y que el tratamiento de ficheros con denuncias anónimas debía respetar los principios de las leyes de protección de datos, como son los de calidad de los datos y de información, así como los derechos de acceso, rectificación y cancelación.

La AEPD, en relación con la OPINIÓN del Grupo, interpretó en su Nota Informativa publicada ese mismo año, que este tratamiento de datos podría justificarse por ser necesario para el desarrollo de la relación contractual entre los trabajadores y su empresa. (Interés legítimo).

Como podemos observar, la parte más delicada de las LÍNEAS ÉTICAS, es la relacionada con la protección de los datos de carácter personal que se mueven a través de las mismas, por lo concluiré este trabajo con la posición pública de la AEPD sobre el tema, lo que sin duda ayudará a dar seguridad jurídica a aquellas empresas que quieran impulsar algún sistema interno de denuncia.

Para ello utilizaré la “Guía de la protección de datos en las relaciones laborales” publicada por la Agencia en el año 2009.

La Agencia define los SISTEMAS INTERNOS DE DENUNCIAS O “WHISTLEBLOWING”, como buzones internos a través de los cuales los empleados de la compañía, generalmente mediante un procedimiento online, ponen de manifiesto la existencia de conductas contrarias a la Ley o a las normas internas de conducta de la empresa, llevadas a cabo por empleados o auditores de las empresas.

Y admite que el establecimiento de estos sistemas podría ser conforme a las normas de protección de datos, siempre que se adecúen a los principios establecidos en esta normativa.

Para ello establece los siguientes criterios:
  • Tanto los denunciantes como los potenciales denunciados deberán haber sido informados previamente de la existencia de estos sistemas, del tratamiento de los datos que conlleva la formulación de una denuncia y de las consecuencias que para el denunciado puede comportar este hecho.
  • Esta información previa se podrá implementar en el contrato de trabajo o cuando se contrate un servicio externalizado, como una auditoria, y quepa la denuncia respecto de los contratados.
  • Otra forma admitida de información previa puede hacerse a través de circulares informativas al personal y a su representación informando de la existencia y finalidad de un tratamiento de datos relacionado con estos buzones o sistemas de denuncias.
  • Si los datos contenidos en los sistemas de denuncias fueran a ser transmitidos a una tercera compañía que investigue el hecho denunciado, se producirá una cesión de datos de la que el interesado, tanto el denunciante como el denunciado, deberá ser debidamente informado. Esta misma información deberá referirse, en su caso, a la posible transferencia internacional de datos a otras empresas del Grupo.
  • En todo caso, la existencia de estos buzones debería respetar el principio de proporcionalidad, de forma que las denuncias se refieran únicamente a supuestos en que los hechos o actuaciones tengan una efectiva implicación en la relación entre la empresa y el denunciado, concretando así qué acciones deberán ser objeto de denuncia y especificando las normas legales o contenidas en códigos internos de conducta a las que las denuncias podrán referirse.
  • Para garantizar la exactitud de la información deberían establecerse mecanismos que garanticen únicamente la aceptación de las denuncias en que el denunciante aparezca claramente identificado, no siendo adecuado establecer sistemas de denuncias anónimas. En todo caso, la confidencialidad de la información del denunciante debería quedar a salvo, no facilitándose, como regla general, su identificación al denunciado.
  • Precisamente como consecuencia de lo anterior, será necesario que se extremen en relación con estos tratamientos las medidas que garanticen la adecuada seguridad y confidencialidad de la información, pudiendo establecerse medidas reforzadas de seguridad y extremando las cautelas que garanticen el cumplimiento del deber de secreto.
    • Limitando  el acceso al contenido de las denuncias a los usuarios que lleven a cabo la investigación y relacionarlos en el documento de seguridad
    • Estableciendo un sistema de registro de accesos, aún cuando no corresponda aplicar las medidas de nivel alto del RLOPD
    • Estableciendo la firma de compromisos reforzados de confidencialidad con los usuarios autorizados, con especiales medidas disuasorias para el caso de vulnerarse el deber de secreto.
  • La conservación del dato debería limitarse al tiempo necesario para la investigación de los hechos y sólo en caso de que de aquélla se desprenda la adopción de determinadas medidas contra el denunciado sería posible conservar los datos por un plazo superior, debiendo eliminarse en caso contrario.
  • Deberán garantizarse los derechos de acceso, rectificación, cancelación y oposición por parte del denunciado, sin que ello implique facilitar a aquél el dato del denunciante. En todo caso, el denunciado debería poder conocer en el menor tiempo posible el hecho denunciado a fin de poder defender debidamente sus intereses.
  • Los ficheros creados en el marco de estos sistemas deberán ser notificados al Registro General de Protección de Datos. Del mismo modo, deberán notificarse y/o autorizarse las transferencias internacionales de los datos que vayan a llevarse a cabo.



Fabián Zambrano Viedma
Responsable del Servicio de Prevención del Fraude




Publicado por en
Etiquetas:

jueves, 13 de octubre de 2011

La Auditoría y el fraude interno




LA AUDITORÍA Y EL FRAUDE INTERNO


La función de auditoría interna es una herramienta muy eficaz para la detección e investigación del fraude. En el estudio global de PWC de 2009, según datos aportados por los encuestados, se indica que  dio lugar a la afloración del 17% de los fraudes internos.

Con todo, los últimos estudios de PWC muestran una tendencia descendente de la Auditoría en la detección del fraude interno, en relación con otros controles anti-fraude que ya se utilizan en las empresas, como por ejemplo el control y la gestión de riesgos, si bien sigue siendo aún una pieza fundamental para su descubrimiento. De hecho, la gestión del riesgo en 2009 sólo detectó un 14% del fraude, pero en 2007 lo hacía un 4% y en 2005, un 3%, lo que demuestra su potencial futuro en relación con la Auditoría interna, que en 2007 detectaba un 19%, pero que en 2005 lo hacía en un 26%.

Históricamente, hasta que no comenzaron a desarrollarse las nuevas herramientas de detección del fraude interno, la Auditoría Interna venía supliendo esta función dentro de las empresas; de hecho, en una primera etapa de su desarrollo allá por el año 1940, su tarea fundamental consistió en la detección de fraudes y errores. En una segunda etapa, la Auditoría Interna se centró en la verificación de la información financiera-contable (Auditoría Contable o Verificativa), para asumir en una tercera etapa, además de las dos funciones anteriores, la comprobación del grado de cumplimiento de NORMAS, PLANES, PROCEDIMIENTOS y POLÍTICAS (Auditoría Operativa o de Gestión).

En la actualidad,  la Auditoría interna es uno de los pilares que tiene la Dirección para asegurar el cumplimiento efectivo de las responsabilidades establecidas dentro de la empresa y para suministrar a los altos directivos la necesaria información veraz y objetiva para la toma de decisiones.

A este fin, la Auditoría interna proporciona informes en los que analiza y evalúa las actividades que audita, dando sugerencias, recomendaciones y datos estratégicos de las mismas.

Desde este prisma operativo, la detección y prevención del fraude  no es una responsabilidad directa de la Auditoría interna, sino que ésta actúa en esta faceta como una herramienta coadyuvadora de la prevención dentro de la política anti-fraude, que como hemos visto es responsabilidad de la alta dirección y que tiene que ser diseñada por el OCIC.

Para lo que sí resulta determinante la Auditoría interna es para la investigación de los fraudes que ya se han producido, y para buscar las pruebas necesarias para su esclarecimiento.

Para ello está revestida de la autoridad necesaria, lo que le permite actuar con total independencia sobre cualquier área o departamento, conforme a un plan Anual de Auditoría que previamente habrá sido aprobado por la alta dirección.

Este plan le autoriza para acceder libremente a los registros, archivos, documentos y fuentes de información de la empresa, lo que unido a los profundos conocimientos del fraude interno de sus profesionales en base a su experiencia acumulada, hace que la Auditoría interna sea el instrumento imprescindible para la confección del expediente de investigación, en el que los restantes departamentos de prevención deben actuar como colaboradores.

Dentro de las funciones de control, la Auditoría interna recibe todas las NORMAS de obligado cumplimiento relativas al funcionamiento de la empresa, entre las que están las de prevención del fraude, analizando su conveniencia y operatividad y ayudando de esta manera a su  implantación efectiva, por lo que su colaboración resulta imprescindible para la eficacia práctica de las mismas. Bajo su responsabilidad está comprobar la exigencia del cumplimiento de las NORMAS e INSTRUCCIONES establecidas, y de ofrecer sus  recomendaciones a los responsables de su implantación, en nuestro caso el  OCIC.

La Auditoría interna funciona como una línea crítica de defensa contra la amenaza del fraude interno, por su labor de supervisión del esfuerzo anti-fraude de toda la empresa, especialmente en relación con el monitoreo y la evaluación de los riesgos, y la verificación del sistema de respuestas que la empresa tiene que dar a los Reguladores y/o a las autoridades penales.

El Director de Auditoría, a mi juicio debería ser un Miembro destacado del OCIC para conocer así en profundidad  el esfuerzo anti-fraude corporativo. Pero esta posición no es generalizable para todas las empresas, puesto que en algunas la función de auditoría está totalmente aislada del proceso normativo para así preservar su independencia.

Yo soy de la opinión que el OCIC no puede prescindir de la experiencia de  Auditoría Interna en la planificación de la prevención del fraude, ni Auditoría Interna puede obviar un conocimiento profundo de la normativa y de la estructura operativa de prevención montada en la empresa, aunque su participación en el OCIC sea sólo a título consultivo para así preservar esta independencia. Siempre estará la Auditoría Externa para validar el análisis de Auditoría Interna desde una perspectiva totalmente ajena a la empresa.

El Director de Auditoría Interna, como siempre ha sucedido,  tiene la obligación de formar a todo su Equipo en el conocimiento de los fraudes internos más comunes, y de definir  los protocolos a seguir cuando se sospecha o se detecta un fraude, a saber:
  •  estrategias a seguir
  •  composición del equipo de investigación
  • autoridad interna a la que hay que reportar
  • material documental a revisar
  • otros aspectos de interés.

No olvidemos que será la Auditoría interna la que lidere la investigación de los incidentes reportados.

El Departamento de Auditoría interna constituye la principal área de control de cumplimiento de la empresa.

Está encargado de proporcionar a la alta dirección un análisis objetivo e independiente del control interno implantado, que abarca:
  • la fiabilidad e integridad de la información financiera
  • el cumplimiento normativo interno y externo
  •  la eficacia y la eficiencia en el desarrollo de las operaciones
  •  la seguridad de la información y,
  • la integridad del patrimonio.

Además, supervisa a las restantes áreas de cumplimiento especializadas.

Teniendo en cuenta todas las responsabilidades que ha de asumir de forma directa Auditoría Interna, no se puede pretender también que lleve la responsabilidad directa en la gestión y en el control preventivo del fraude,  que como hemos analizado en las fichas anteriores exige un departamento dedicado expresamente para esta función.

El OCIC es el Órgano normativo y de aplicación de las normas anti-fraude dentro de la empresa. El Servicio de Prevención del Fraude es el departamento ejecutivo del OCIC en la aplicación y control de la prevención, a través de su estructura operativa y tecnológica.

Auditoría Interna tiene la responsabilidad directa en la supervisión del cumplimiento de la normativa interna y externa sobre prevención del fraude, y sobre la idoneidad, efectividad y eficiencia del sistema de prevención del fraude establecido en la empresa.

Será también quien coordine y dirija las investigaciones sobre los incidentes de fraude interno y externo que exijan un análisis del  control operativo, informático, personal y  comercial, para lo que contará con la colaboración del Servicio de Prevención del Fraude y de las Direcciones Generales que estén afectadas, con el fin de obtener y valorar las evidencias documentales, la amplitud y causas del fraude cometido, identificar a los responsables, y conocer la técnica fraudulenta utilizada.

El resultado de esta investigación se plasmará en un informe de auditoría con los datos que permitan el esclarecimiento de los hechos y la identificación de los autores, que se acompañará de copia de los documentos justificativos de estos datos.

A este informe le acompañará otro  en el que se determine los controles que han fallado y en el que se aconseje a la dirección sobre la creación de controles nuevos o el reforzamiento de los existentes.

Cuando los hechos fraudulentos tuvieran que ser denunciados a las Autoridades, será la Asesoría Jurídica Interna o Externa la que tendrá que formalizar el correspondiente escrito de denuncia valiéndose para ello de la información aportada por la Auditoría interna, pero no aportando físicamente estos informes, sino las evidencias y pruebas documentales encontradas, pero revestidas con el necesario lenguaje jurídico.


Fabián Zambrano Viedma
Responsable del Servicio de Prevención del Fraude




Publicado por en
Etiquetas:

miércoles, 5 de octubre de 2011

La evaluación del riesgo de fraude interno (Continuación)




LA EVALUACIÓN DEL RIESGO DE FRAUDE INTERNO (CONTINUACIÓN)


En la Ficha anterior vimos que la evaluación del riesgo de fraude interno era una parte del proceso de CONTROL DEL FRAUDE  INTERNO.

También vimos que para que fueran efectivas las evaluaciones del riesgo de fraude interno, éstas tenían que planificarse previamente, siendo conveniente que en esta  planificación interviniese un departamento especializado que centralizara la información, y que asimilé con el Servicio o Departamento de PREVENCIÓN DEL FRAUDE, aunque puede tener el nombre que en cada empresa se le quiera dar.

Sabemos que el CONTROL DEL FRAUDE INTERNO resulta imposible, sin que exista en la empresa una estructura de gobierno corporativo que dicte las normas de prevención y se encargue de su cumplimiento. Y como no soy partidario de que en la empresa, para cada materia de cumplimiento exista un gobierno corporativo particular, puesto que éste ha de ser único, asimilé nuestro gobierno corporativo al que nos ha sido impuesto por la legislación de prevención del blanqueo de capitales, llamándolo también  OCIC (Órgano de Control Interno y de Comunicación), aunque cada empresa podrá llamarlo como considere oportuno. De esta manera estaremos racionalizando nuestras estructuras organizativas y al mismo tiempo rentabilizando costes.

Tal como sucede con el blanqueo de capitales, en la materia de prevención del fraude el OCIC y  el DEPARTAMENTO DE PREVENCIÓN DEL FRAUDE tienen sus propias funciones operativas, pero que en algunos momentos derivan en responsabilidades comunes.

Uno de estos momentos tiene que ver, precisamente, con la evaluación del riesgo de fraude, porque una parte de la evaluación de ese riesgo ha de hacerse en cada área operativa de la empresa bajo la coordinación del representante de esa área en el OCIC,  mediante un proceso del que hablaré posteriormente, en el que conviene que intervenga el personal de cada departamento, puesto que quien realmente conoce los riesgos de fraude y los riesgos de blanqueo en las operaciones, son las personas que tienen bajo su responsabilidad profesional estas mismas operaciones. Pero para que el personal pueda intervenir de forma eficiente en estas evaluaciones de riesgo ha de estar mínimamente formado en estas materias. Es por ello por lo que las empresas están obligadas a la formación de los directivos y empleados en prevención del blanqueo y en cumplimiento penal.

La concepción del cumplimiento como responsabilidad corporativa, y no como simple parcheo para evitar sanciones, nos permite comprender muchas de las obligaciones que nos están siendo impuestas por los organismos internacionales a través de las legislaciones nacionales, como por ejemplo, la obligación de la formación de los empleados, tanto en la prevención del blanqueo, como en la prevención del fraude; en el primer supuesto porque así lo exige  la Ley 10/2010, y en el segundo supuesto por exigencia de la  Ley Orgánica 5/2010, en lo relativo a la responsabilidad penal de las personas jurídicas.

Los directivos y los empleados han de estar formados en prevención del blanqueo de capitales y en prevención del fraude, porque han de ser los  elementos activos más importantes de esa prevención, por encima, si cabe, de la propia tecnología, tanto en la evaluación de los riesgos, como en el sistema de alerta que se establezca para las  operaciones identificadas de riesgo.

Las empresas se han sofisticado operativamente a lo largo de la historia, a través de su adaptación continua a diferentes  obligaciones de cumplimiento, especialmente en los países capitalistas en los que existe libertad de empresa  y, en los que por tanto, resulta necesario crear un campo de operaciones en el que no sea posible la competencia desleal. En la actualidad y con el desarrollo de la conciencia social, estas obligaciones de cumplimiento han pasado también a ser sociales y ecológicas.

Sin embargo, hasta ahora la prevención del fraude había sido una obligación teórica más que práctica, que se iba rellenando con alguna estructura personal y tecnológica cuando había dinero para hacerlo, porque en el fondo no existía ninguna obligación externa de cumplimiento para esta materia. Las únicas “sanciones” efectivas eran las pérdidas acumuladas por la actividad fraudulenta, que en muchas ocasiones ni eran identificables para la propia empresa, puesto que ésta no  poseía las herramientas necesarias para poder discriminar la información.

La Ley Orgánica 5/2010, en la que se establece  la responsabilidad penal de las personas jurídicas, ha modificado el campo de operaciones de las empresas, porque ha establecido  nuevas obligaciones en materia de cumplimiento penal, que desde el punto de vista organizativo y tecnológico están íntimamente relacionadas  con las estructuras necesarias para la prevención del fraude, por lo que por simple economicidad empresarial, ha llegado el momento de rentabilizar los costes derivados de las nuevas obligaciones de cumplimiento penal en beneficio de la propia empresa, potenciando para ello la prevención del fraude.

Si analizamos esta última Ley, prácticamente todos los delitos concretos referidos a la responsabilidad penal de las personas jurídicas están relacionados también con el fraude interno, por lo que resulta lógico que en la empresa haya una sola Política de Prevención Penal y contra el Fraude, cuyas líneas maestras estarían concretadas en el  CÓDIGO ÉTICO entendido como herramienta imprescindible para la creación de un ENTORNO DE CONTROL.

En nuestro análisis, hemos considerado  fraude interno al listado de delitos económicos que aparecen en el Estudio PWC, a saber:
  • Manipulación contable
  • Obtención fraudulenta de financiación
  • Aplicaciones fraudulentas de crédito
  • Transacciones no autorizadas
  • Apropiación indebida de activos
  • Soborno y corrupción
  • Blanqueo de dinero
  • Robo de información y violación de IP
  • Abuso de información privilegiada
  •  Fraude fiscal
  • Abuso de mercado
  • Espionaje a favor de los competidores
  • Otros

Si ahora analizamos la Ley Orgánica 5/2010, de 22 de junio, por la que se modifica la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal, nos encontramos con que los “delitos económicos” por los que las personas jurídicas pueden ser penalmente responsables, son prácticamente los mismos que los que aparecen en nuestro listado de fraude interno, y que yo pongo en negrita.
  •  Trata de seres humanos (Artículo 177 bis.7 del Código Penal)
  • Relativos a la prostitución y la corrupción de menores (Artículo 189 bis)
  • Descubrimiento y revelación de secretos (Artículo 197.3)
  • Estafa (Artículo 251 bis)
  • Insolvencias punibles (Artículos 261 bis)
  • Daños informáticos (Artículo 264.4)
  • Relativos a la propiedad intelectual e industrial, al mercado y a los consumidores (Artículo 288)
  • Blanqueo de capitales (Artículo 302.2)
  • Delitos contra la Hacienda Pública y la seguridad Social (Artículo 310 bis)
  • Delitos contra los derechos de los ciudadanos extranjeros (Artículo 318 bis.4)
  • Delitos contra la ordenación del territorio (Artículo 319.4)
  • Delitos contra los recursos naturales y el medio ambiente (Artículo 327 y Artículo 328.6)
  • Exposición a radiaciones ionizantes (Artículo 343.3)
  • Delitos de riesgo provocados por explosivos y otros agentes (Artículo 348.3)
  •  Delitos relativos a drogas tóxicas, estupefacientes o sustancias psicotrópicas (Artículo 369 bis)
  • Falsificación de tarjetas de crédito y débito y cheques de viaje (Artículo 399 bis.1.3º)
  • Cohecho (Artículo 427.2)
  • Tráfico de influencias (Artículo 430)
  • Corrupción de funcionario público extranjero (Artículo 445.2)
  • Financiación del terrorismo (Artículo 576 bis.3)

Es por ello por lo que resulta aconsejable que dentro de la empresa exista una sola  Política de Prevención Penal y contra el Fraude, que tenga en cuenta ambas vertientes de responsabilidad dentro de la planificación del CONTROL DEL FRAUDE INTERNO.

Sobre estos hechos económicos concretos que aparecen en el Código Penal,  es sobre los que hay que efectuar las evaluaciones de riesgos de fraude interno, y para ello se han de averiguar los departamentos de la empresa en los que estos hechos pudieran cometerse más fácilmente, con el fin de que estén dotados de  sus específicos OBJETIVOS DE CUMPLIMIENTO PENAL Y CONTRA EL FRAUDE,  valorando también la necesidad de que los mismos tengan activadas  las alertas necesarias para:
  • Evitar que se produzcan desviaciones con respecto a los objetivos establecidos, y
  • Detectar, en un plazo mínimo, las posibles desviaciones que se hayan efectuado.

Pero para ello se ha de establecer  algún método de trabajo que haga posible la planificación y la ejecución de las evaluaciones del riesgo de fraude.


EJEMPLO DE UN “MÉTODO DE TRABAJO” PARA LA PLANIFICACIÓN Y EJECUCIÓN DE LAS EVALUACIONES DEL RIESGO DE FRAUDE

Para la planificación de la primera evaluación del riesgo de fraude,  el departamento encargado de esta obligación tendrá que definir  su primer MAPA GENERAL DE RIESGOS DE FRAUDE, a partir de la centralización de la información sobre fraude de toda la empresa. Un MAPA GENERAL DE RIESGOS DE FRAUDE  no es más que el sumatorio de los MAPAS DE RIESGO DEPARTAMENTALES.

Como he indicado, éste primer MAPA GENERAL DE RIESGOS DE FRAUDE necesita para su confección de la centralización de la información que señalábamos en una Ficha anterior, por lo que, previamente y a través del OCIC, se habrá preparado la NORMATIVA INTERNA necesaria para que toda la información sobre fraude interno y responsabilidad penal sea reportada hacia un REPOSITORIO CENTRALIZADO, que estará dotado de todas las garantías legales y de seguridad.

Este REPOSITORIO CENTRALIZADO  permitirá crear a los analistas de prevención del fraude, mediante la tecnología adecuada, no sólo el primer mapa general de riesgos de fraude, sino  el primer MAPA GENERAL DE PREVENCIÓN DEL FRAUDE INTERNO que contenga las soluciones preventivas a estos riesgos y  los MAPAS PARTICULARES DE PREVENCIÓN,  necesarios   para aquellas partes de la organización que los necesiten,  en base a su específico SISTEMA DE OPERACIONES DE RIESGO.

Pero no nos adelantemos y vayamos por partes.  Una vez establecido el primer MAPA GENERAL DE RIESGOS DE  FRAUDE INTERNO, así como los MAPAS DEPARTAMENTALES, obtenidos a partir de la información previamente centralizada, el equipo de investigación tendrá que hacer:
  1. Una estimación de la importancia de cada riesgo identificado.
  2. Una evaluación de la probabilidad de que el riesgo se materialice dentro del departamento a estudiar.
  3. Una definición de las medidas que deben ser adoptadas para la prevención y para la reacción, si el riesgo llegara a materializarse.

Se utilizarán también para la confección de los MAPAS otras herramientas que permitan identificar áreas de riesgo y de sectores, así como las listas sobre indicadores de fraude publicadas por instituciones públicas y privadas.

Estos MAPAS servirán al Departamento de Prevención del Fraude para planificar la primera EVALUACIÓN DEL RIESGO DE FRAUDE, en la que participará el personal que trabaja en cada uno de los departamentos de riesgo a analizar, para lo que se utilizarán  técnicas participativas que permitan la colaboración de los empleados, bajo la coordinación del Representante de área en el OCIC, que siempre contará  con la ayuda del Departamento de Prevención del Fraude y aquellos otros departamentos especializados a los que afecten las distintas materias de evaluación del riesgo, como veremos después.

Hago hincapié en el rol de los OCIC delegados, puesto que son los responsables de cumplimiento de cada área, y por este motivo los que deben conocer más profundamente  la operatoria de cada uno de los departamentos que componen su área de trabajo.

Esta primera EVALUACIÓN DEL RIESGO DE FRAUDE permitirá adaptar los MAPAS DE RIESGO previamente definidos, a la realidad concreta de cada departamento, obteniéndose así  la información necesaria para la preparación de los planes, programas y acciones,  que posteriormente el OCIC ha de presentar  a la Alta Dirección, y que servirán  para afrontar los riesgos identificados y ponderados de fraude interno, entendido éste en su sentido amplio y  que por tanto, abarca la responsabilidad penal de la empresa, en la que están incluidos el blanqueo de capitales y la financiación del terrorismo, al margen de las obligaciones administrativas que la empresa tenga como sujeto obligado.

Así pues, junto a los riesgos del fraude operacional,  durante el proceso de evaluación han de ser identificados y ponderados también los riesgos derivados de la responsabilidad penal.

Este proceso se irá repitiendo en el tiempo de forma sistemática, lo que permitirá perfilar poco a poco todos los riesgos de fraude, así como buscar  las herramientas tecnológicas necesarias para su control, conociendo previamente en profundidad los problemas que deben ser resueltos con la tecnología.


UN EJEMPLO DE TÉCNICA DE PARTICIPACIÓN

Quisiera finalizar esta Ficha con un ejemplo de TÉCNICA DE PARTICIPACIÓN, que en nuestro caso podría llevar  a la práctica el Responsable operativo del OCIC  con la ayuda del  Departamento de Prevención del Fraude, y de aquellos otros Departamentos con responsabilidad en la materia que se pretenda analizar.

Para este ejemplo he encontrado un método interesante, puesto en práctica por Jim Wesberry, Director del Proyecto ATLATL en la Ciudad de México, que consistía en establecer pequeños talleres en los que hacía participar a los empleados, que son los que realmente mejor conocen la operativa de cada departamento  y los que por tanto,  pueden valorar con más fundamento la efectividad real de los mecanismos de control establecidos, o que se pretendan establecer por la empresa para prevenir los riesgos a analizar.

Estos equipos eran  reducidos, de entre 10 y 18 personas  que participaban en la evaluación de los  riesgos a estudiar  durante una jornada. Las sesiones estaban  previamente planificadas junto con su material de trabajo.

En estos talleres se identificaban los objetivos que se pretendían alcanzar, así como los problemas conocidos en relación con los riesgos concretos que se querían analizar, descubriéndose así las fortalezas y las debilidades de los controles existentes.

En el modelo analizado,  para conseguir una discusión abierta y franca entre los intervinientes, se utilizaba una herramienta informática que permitía la votación anónima y que recogía las respuestas acerca de los temas debatidos, proyectándolas  sobre una pantalla para que los asistentes pudieran ver los resultados, que eran presentados mediante distintos gráficos. De esta manera cada participante ofrecía sus respuestas sinceras a las preguntas delicadas, sin exponerse personalmente dentro de la organización.

Este sistema de trabajo exige, como he indicado antes, un trabajo previo y riguroso de confección del material necesario para los debates.

El Modelo podría utilizarse no sólo para la evaluación de los riesgos de fraude interno, sino para otras materias de interés, como por ejemplo, sobre entorno/ambiente de trabajo, sobre información y comunicación, sobre ética y moral de los empleados, etc. Cada una de las materias estaría preparada por el departamento de control correspondiente.  

En estos talleres han de participar empleados de distintos niveles, para obtener así diferentes perspectivas acerca de la organización, lo que permitirá comparar posteriormente los resultados de diferentes departamentos, identificando así las mejores prácticas a implementar dentro de la empresa.

Estos sistemas de evaluación son más eficientes que los tradicionales cuestionarios utilizados para valorar el funcionamiento operacional o para identificar las debilidades en el control interno.


Fabián Zambrano Viedma
Responsable del Servicio de Prevención del Fraude



Publicado por en
Etiquetas:

lunes, 3 de octubre de 2011

La evaluación del riesgo de fraude interno




LA EVALUACIÓN DEL  RIESGO DE FRAUDE INTERNO


En la ficha introductoria del fraude interno, vimos que las herramientas que están demostrando más eficacia para controlar este tipo de fraude, según el estudio de PWC eran:
  •  LA EVALUACIÓN FRECUENTE DEL RIESGO DE FRAUDE
  • LOS CONTROLES ANTI-FRAUDE

Según los datos estadísticos del informe de PWC correspondiente a 2009, que nos están sirviendo de guía en este trabajo, un 31,10% de los empresarios españoles desconocían la frecuencia con la que sus compañías habían realizado, en ese año, EVALUACIONES DE LOS RIESGOS DE FRAUDE. Un 18% de los encuestados españoles confirmaron que en sus empresas había habido un incremento de este tipo de análisis, mientras que un 50,9% de los mismos declararon que en sus empresas no se había hecho ningún incremento.

Como nos indica el estudio, las evaluaciones son esenciales a la hora de identificar potenciales amenazas y debilidades dentro de una organización.

Comparando los datos españoles con la encuesta global de PWC, el desconocimiento sobre la frecuencia de las evaluaciones era sólo del 12% entre los empresarios de todo el mundo y un 28% en inacción,   lo que sugiere que en España, con un 31,10 % de desconocimiento y un 50,9% de inacción,  realmente existe un alejamiento de la alta dirección de la problemática del fraude interno.

Este alejamiento de la alta dirección española del conocimiento del fraude, repercute inevitablemente sobre la efectividad de los controles anti-fraude dentro de las empresas, puesto que si no se conoce el riesgo de fraude inherente a las actividades de negocio, ¿cómo se van a adoptar medidas para combatirlo?

Existe una correlación, que se pone de manifiesto en el estudio de PWC, entre la localización del fraude interno y la frecuencia de las evaluaciones de riesgo efectuadas por las empresas. Aquellas entidades que efectuaron evaluaciones cada mes, descubrieron más fraudes que las que lo hicieron trimestralmente, y las evaluaciones trimestrales descubrieron más fraudes que las semestrales y así sucesivamente. Esto sucede porque el fraude, tal como indica el estudio, no es una amenaza estática sino que va cambiando en el tiempo y por tanto, no pueden utilizarse los mismos patrones tipológicos durante períodos amplios, sino que tienen que ser  modificados en base a la experiencia que ofrece el propio control.

En la ficha introductoria vimos que el control del fraude está diversificado entre diferentes herramientas departamentales, por lo que la información que estas generan debe confluir hacia un REPOSITORIO común, lo que en la práctica no siempre sucede  si la alta dirección no está involucrada en el sistema de control, puesto que hay una tendencia natural a que cada departamento se guarde su propia información y sea reacio a compartir los datos.

La solución a este problema, ya vimos que estaba en el OCIC o gobierno corporativo, que ha de actuar como la cabeza política de la prevención, y que ha de tener  al Servicio de Prevención del Fraude como el instrumento operativo de ese gobierno corporativo. El Director del Servicio tendrá que ser, por tanto,  un Miembro de pleno derecho del OCIC.

Será el OCIC el que determine en su momento las NORMAS ANTI-FRAUDE de la empresa, que serán de obligado cumplimiento. Bajo este esquema organizativo resulta fácil conseguir que la información sobre fraude interno y externo vaya confluyendo de forma natural hacia un REPOSITORIO CENTRALIZADO, desde  el que se pueda crear inteligencia.

A partir de esa información centralizada, se determinarán los procesos necesarios para la EVALUACIÓN FRECUENTE DEL RIESGO DE FRAUDE, que serán sistematizados por los analistas del Servicio de Prevención del Fraude con el apoyo de los departamentos de gestión, producción, comercialización y control, puesto todos ellos tendrán representación en el OCIC.

Ya vimos en la prevención del blanqueo de capitales, que el OCIC es una estructura transversal de cumplimiento en la que están representadas una gran parte de las direcciones generales con estructura vertical (producción, comercialización,  etc.). También comprobamos entonces que, en la práctica, era conveniente diferenciar dentro del OCIC  el mando político, que recaía en los directores generales (OCIC Titular), de su estructura operativa (OCIC Delegado), que estaba compuesta por los responsables de cumplimiento de cada departamento;  cada uno de estos profesionales sería  la persona  de confianza en esta materia de su director general.

Justificábamos que esto fuera así porque los directores generales, junto con el resto de la junta de gobierno, han de dedicarse fundamentalmente a las actividades productivas que son el objeto del negocio, pero para ello deben tener cubiertas sus responsabilidades de cumplimiento mediante algún sistema de control efectivo, lo que puede conseguirse a través de esta doble visualización del OCIC: política y operativa.

Funcionamiento operativo del OCIC dentro de los departamentos:

La experiencia nos demuestra que el cumplimiento de las NORMAS resulta más efectivo  si  este cumplimiento es asumido por los trabajadores y directivos como algo consustancial a su propia actividad, y esto sólo sucederá si logramos que la NORMA surja desde dentro hacia fuera. Es decir, que aunque la NORMA venga impuesta desde el exterior, sepa respetar el funcionamiento interno del departamento en el que va a ser aplicada, y esto sólo ocurrirá cuando sea capaz de convertirse en parte del funcionamiento productivo de ese departamento.

La interiorización de la NORMA es un proceso complejo que exige la comprensión de su necesidad y el respeto desde  esa misma NORMA de la estructura organizativa que  pretende modificar.

El primero que debe comprender su necesidad es el propio director general afectado, que es el que ha de imponer la NORMA dentro de su departamento, y es por ello por lo que debe ser Miembro del OCIC titular, y tener una completa visión transversal de la actividad de cumplimiento.

Pero el director general, para poder atender fundamentalmente a su trabajo de producción, debe tener en su equipo directivo una persona de confianza, que será el Responsable de Cumplimiento de su Unidad. El conjunto de todos estos Responsables de Cumplimiento departamentales constituirá el OCIC delegado,  que será la estructura operativa encargada de preparar el borrador de las NORMAS y de su asimilación, una vez dictadas, por cada departamento.

Junto al OCIC, y para cada materia de cumplimiento, existirá un departamento especializado, que será también impulsor de las diferentes políticas que deben ponerse en funcionamiento por el OCIC, vg.:, Departamento de Prevención del Blanqueo, Departamento de Prevención del Fraude, Departamento Legal para la protección de datos de carácter personal, Departamento de Higiene y Seguridad en el Trabajo, etc.

En la materia  de prevención del fraude, los miembros del OCIC delegado responsables de cumplimiento serán los profesionales mejor situados para identificar, dentro de sus respectivos departamentos, los potenciales riesgos de fraude inherentes a las actividades de negocio que se desarrolla en los mismos, porque conviven de forma permanente con su estructura humana y tecnológica. Serán también ellos los que evalúen mejor que nadie la probabilidad de que se produzcan los riesgos de fraude que hayan sido previamente identificados. Todo ello exige una profunda formación de estas personas  en prevención del fraude.

Metodología para preparar las evaluaciones del riesgo de fraude

Creada la estructura central de prevención del fraude dentro de la empresa: OCIC y Servicio de Prevención del Fraude, y centralizada la información en un REPOSITORIO COMÚN, comenzará a llegar en cascada al Servicio de Prevención del Fraude una primera información, que resultará muy valiosa para la planificación de las EVALUACIONES DEL RIESGO DE FRAUDE.

Serán los analistas del Servicio de Prevención del Fraude, los que, en una segunda fase de valoración de la información, determinen los departamentos que por su operatividad  pueden ser los más propensos a que se cometan los fraudes identificados, y los que estudien los “modus operandi” o métodos que puedan ser utilizados con más probabilidad por los defraudadores internos.

La coordinación operativa entre los Responsables departamentales de Cumplimiento y los analistas del Servicio de Prevención del Fraude,  permitirá un enriquecimiento mutuo de ambos colectivos, porque la inteligencia obtenida a través del análisis de la información servirá para mejorar el conocimiento del fraude por ambas partes, que así podrán perfeccionar su trabajo interno anti-fraude. La retroalimentación del sistema o  “feedback” resulta evidente.

De este trabajo conjunto surgirá la planificación de  las EVALUACIONES DEL RIEGO DE FRAUDE, con las que intentaremos conseguir el perfeccionamiento real de los controles anti-fraude.

Como puede observarse, estamos utilizando el método científico para analizar el fraude interno, a partir de determinadas hipótesis obtenidas de la primera información acumulada,  y seguidamente probando éstas hipótesis con la realidad, a través de las EVALUACIONES DEL RIESGO DE FRAUDE. Con ello iremos mejorando los controles dentro de la organización y por tanto, obteniendo  una información cada vez más precisa, con la que repetir el proceso.

Las EVALUACIONES DEL RIEGO DE FRAUDE  nos permitirán crear el MAPA GENERAL DE RIESGO DE FRAUDE y los mapas particulares de cada una de las distintas partes de la organización, lo que facilitará la confección de formularios de control u otras técnicas más novedosas, que sirvan para mejorar el funcionamiento operativo anti-fraude del personal y de las  plataformas tecnológicas que lo controlan. Estos MAPAS  nos descubrirán las debilidades en los controles y las amenazas potenciales,  permitiéndonos  mejorar así los correspondientes sistemas de alerta.

A veces, las empresas se gastan el dinero en sofisticadas y onerosas plataformas tecnológicas de prevención del fraude, sin tener previamente creadas las estructuras organizativas que permitan su correcto funcionamiento, como por ejemplo, el Modelo que estoy preconizando.

Es verdad que con la compleja actividad financiera, estas plataformas resultan imprescindibles para poder monitorizar las operaciones sospechosas que serán posteriormente objeto de análisis, pero no nos olvidemos que por encima de la tecnología están los Equipos humanos capaces de seleccionar para cada departamento las herramientas más adecuadas, y obtener de las mismas los mejores resultados operativos. Y eso se consigue mediante:
  • la creación de estructuras operativas coordinadas, y
  •  la centralización de la información interna del fraude.


En la siguiente ficha seguiremos analizando la evaluación del riesgo de fraude interno.


Fabián Zambrano Viedma
Responsable del Servicio de Prevención del Fraude



Publicado por en
Etiquetas:
Suscribirse a: Entradas (Atom)