Para controlar el fraude interno hay que conocer:
- La
diferente tipología de hechos económicos susceptibles de producirlo
- Las
motivaciones psicológicas o ambientales que permiten su existencia
- Los
efectos letales que produce dentro de las empresas
- Las herramientas
para encontrarlo y combatirlo.
Pero sobre todo, resulta necesario el compromiso de
las empresas en una política de prevención y control que abarque desde la alta
dirección hasta el último de los empleados incorporado a las mismas.
Es por ello por lo que se aconseja la creación de una
estructura de gobierno corporativo que tenga los siguientes objetivos:
- Establecer
unos sólidos procedimientos de gestión del riesgo del fraude
- Enviar
unos claros mensajes sobre esta materia a todos los miembros de la
organización.
- Actuar de
forma ejemplar, tanto en la prevención como en la reacción.
La misión de este gobierno corporativo, en relación
con el fraude interno, sería la de desarrollar una cultura
empresarial de tolerancia cero.
Sólo cuando la alta dirección esté bien informada
sobre los riesgos de fraude interno y sobre los perjuicios que éste ocasiona,
podrá diseñar las políticas adecuadas de prevención y reacción, necesarias para
implantar una cultura empresarial de tolerancia cero contra este fenómeno.
Esta cultura debería estar asentada en las siguientes
medidas:
- Invertir
en prevención y detección del fraude, tanto interno como externo.
- Reforzar
las funciones de auditoría interna, de cumplimiento normativo y llevar a
cabo una gestión efectiva y proactiva de los riesgos del negocio.
- Revisar y
mejorar los controles internos y programas anti-fraude en las áreas clave.
- Alcanzar
altos niveles de integridad empresarial mediante unas sólidas prácticas de
gobierno corporativo, control interno y transparencia.
- Impartir
cursos de formación acerca del marco regulatorio, las normas
internacionales anticorrupción aplicables y ética empresarial para el
personal, favoreciendo el desarrollo de una cultura corporativa adecuada.
- Implantar
un canal de denuncias o línea ética.
- Análisis y
verificación de los riesgos asociados a los sistemas de información y
seguridad informática.
- Revisar y
reformular los programas de retribución variable.
El control del fraude interno resulta imposible si no
existe en la empresa una estructura de gobierno corporativo que
dicte las normas de prevención y se encargue de su cumplimiento.
La concepción del cumplimiento como responsabilidad
corporativa, y no como simple parcheo para evitar sanciones, está en consonancia
con algunas de las obligaciones que están siendo impuestas a las
empresas por los organismos internacionales a través de las legislaciones
nacionales, como por ejemplo, la obligación de la formación de los empleados,
tanto en la prevención del blanqueo, como en la prevención del fraude; en el
primer supuesto porque así lo exige la Ley 10/2010, y en el segundo
supuesto por exigencia del Código Penal, en lo relativo a
la responsabilidad penal de las personas jurídicas.
Los directivos y los empleados han de estar formados
en prevención del blanqueo de capitales y en prevención del fraude, porque han
de ser los elementos activos más importantes de esa prevención, por
encima, si cabe, de la propia tecnología, tanto en la evaluación de los riesgos,
como en el sistema de alerta que se establezca para las operaciones
identificadas de riesgo.
En la evaluación del riesgo de fraude, una parte de la
evaluación de ese riesgo ha de hacerse en cada área operativa de la empresa
mediante un proceso en el que conviene que intervenga el personal de
cada departamento, puesto que quien realmente conoce los riesgos de fraude son
las personas que tienen bajo su responsabilidad profesional estas mismas
operaciones. Pero para que el personal pueda intervenir de forma eficiente en
estas evaluaciones de riesgo ha de estar mínimamente formado en estas materias.
Es por ello por lo que las empresas están obligadas a la formación de los
directivos y empleados en prevención del blanqueo y en el cumplimiento penal.
Las empresas se han sofisticado operativamente a lo
largo de la historia, a través de su adaptación continua a
diferentes obligaciones de cumplimiento, especialmente en los países
capitalistas en los que existe libertad de empresa y, en los que por
tanto, resulta necesario crear un campo de operaciones en el que no sea posible
la competencia desleal.
En la actualidad y con el desarrollo de la conciencia
social, estas obligaciones de cumplimiento han pasado también a ser sociales y
ecológicas.
Sin embargo, hasta ahora la prevención del fraude
había sido una obligación teórica más que práctica, que se iba rellenando con
alguna estructura personal y tecnológica cuando había dinero para hacerlo,
porque en el fondo no existía ninguna obligación externa de cumplimiento para
esta materia. Las únicas “sanciones” efectivas eran las pérdidas acumuladas por
la actividad fraudulenta, que en muchas ocasiones ni eran identificables para
la propia empresa, puesto que ésta no poseía las herramientas
necesarias para poder discriminar la información.
La Ley Orgánica 1/2015 de 30 de marzo, completa la responsabilidad penal de las personas jurídicas, por lo que el Código Penal ha
modificado el campo de operaciones de las empresas, al establecer nuevas obligaciones en materia de cumplimiento penal,
que desde el punto de vista organizativo y tecnológico están íntimamente
relacionadas con las estructuras necesarias para la prevención del
fraude, por lo que por simple economicidad empresarial, ha llegado el momento
de rentabilizar los costes derivados de las nuevas obligaciones de cumplimiento
penal en beneficio de la propia empresa, potenciando para ello también la
prevención del fraude.
Si analizamos el Código Penal tras la última modificación por la Ley Orgánica 1/2015, prácticamente todos los
delitos concretos referidos a la responsabilidad penal de las personas
jurídicas están relacionados también con el fraude interno, por lo que resulta
lógico que en la empresa haya una sola Política de Prevención Penal y contra el
Fraude, cuyas líneas maestras estarían concretadas en un Código Ético entendido
como herramienta imprescindible para la creación de un entorno de
control.
Se considera fraude interno el siguiente
listado de delitos económicos:
- Manipulación
contable
- Obtención
fraudulenta de financiación
- Aplicaciones
fraudulentas de crédito
- Transacciones
no autorizadas
- Apropiación
indebida de activos
- Soborno y
corrupción
- Blanqueo
de dinero
- Robo de
información y violación de IP
- Abuso de
información privilegiada
- Fraude
fiscal
- Abuso de
mercado
- Espionaje
a favor de los competidores
- Otros
Según el Código Penal, los “delitos económicos” por los que las
personas jurídicas pueden ser penalmente responsables, son prácticamente los
mismos que los que aparecen en nuestro listado de fraude interno, y que yo
pongo en negrita.
- Trata de
seres humanos (Artículo 177 bis.7 del Código Penal)
- Relativos
a la prostitución y la corrupción de menores (Artículo 189 bis)
- Descubrimiento
y revelación de secretos (Artículo 197.3)
- Estafa
(Artículo 251 bis)
- Insolvencias
punibles (Artículos 261 bis)
- Daños
informáticos (Artículo 264.4)
- Relativos
a la propiedad intelectual e industrial, al mercado y a los consumidores
(Artículo 288)
- Blanqueo
de capitales (Artículo 302.2)
- Delitos
contra la Hacienda Pública y la seguridad Social (Artículo 310 bis)
- Delitos
contra los derechos de los ciudadanos extranjeros (Artículo 318 bis.4)
- Delitos
contra la ordenación del territorio (Artículo 319.4)
- Delitos
contra los recursos naturales y el medio ambiente (Artículo 327 y Artículo
328.6)
- Exposición
a radiaciones ionizantes (Artículo 343.3)
- Delitos de
riesgo provocados por explosivos y otros agentes (Artículo 348.3)
- Delitos
relativos a drogas tóxicas, estupefacientes o sustancias psicotrópicas
(Artículo 369 bis)
- Falsificación
de tarjetas de crédito y débito y cheques de viaje (Artículo 399 bis.1.3º)
- Cohecho
(Artículo 427.2)
- Tráfico de
influencias (Artículo 430)
- Corrupción
de funcionario público extranjero (Artículo 445.2)
- Financiación
del terrorismo (Artículo 576 bis.3)
Es por ello por lo que resulta aconsejable que dentro
de la empresa exista una sola Política para la prevención penal
y para la prevención del fraude, que tenga en cuenta ambas vertientes de
responsabilidad dentro de la planificación del control del fraude interno.
Sobre estos hechos económicos concretos que aparecen
en el Código Penal habrán de efectuarse las evaluaciones de riesgos de fraude
interno, y para ello se tendrán que identificar los departamentos de la empresa
en los que estos hechos pudieran cometerse más fácilmente, con el fin de que estén
dotados de sus específicos objetivos de cumplimiento penal y
contra el fraude, valorando también la necesidad de que los
mismos tengan activadas las alertas necesarias para:
- Evitar que
se produzcan desviaciones con respecto a los objetivos establecidos, y
- Detectar,
en un plazo mínimo, las posibles desviaciones que se hayan efectuado.
Pero para ello ha de establecerse algún
método de trabajo que haga posible la planificación y la ejecución de las
evaluaciones del riesgo de fraude.
Para la planificación de la primera evaluación del
riesgo de fraude, el departamento encargado de esta obligación
tendrá que definir su primer “Mapa General de Riesgos de Fraude”,
a partir de la centralización de la información sobre fraude de toda la
empresa. Un mapa general de riesgos de fraude no es más que el
sumatorio de los mapas de riesgos departamentales.
El mapa general de riesgos de fraude necesita para su
confección de la centralización de la información sobre fraude, por lo que
previamente se habrá preparado la normativa interna necesaria para que toda la
información sobre fraude interno y responsabilidad penal sea reportada hacia
un “Repositorio centralizado”, que estará dotado de todas las garantías
legales y de seguridad.
Este repositorio centralizado permitirá a
los analistas de prevención del fraude, crear mediante la tecnología adecuada
no sólo el primer mapa general de riesgos de fraude, sino el primer
mapa general de prevención del fraude interno que contenga las soluciones preventivas
a estos riesgos y, los mapas particulares de
prevención necesarios para aquellas partes de la
organización que los necesiten, en base a su específico sistema de
operaciones de riesgo.
Una vez establecido el primer mapa general de riesgos
de fraude interno, así como los mapas departamentales obtenidos a partir de la
información previamente centralizada, el equipo de investigación tendrá que
hacer:
- Una
estimación de la importancia de cada riesgo identificado.
- Una
evaluación de la probabilidad de que el riesgo se materialice dentro del
departamento a estudiar.
- Una
definición de las medidas que deben ser adoptadas para la prevención y
para la reacción, si el riesgo llegara a materializarse.
Se utilizarán también para la confección de los mapas
otras herramientas que permitan identificar áreas de riesgo y de sectores, así
como las listas sobre indicadores de fraude publicadas por instituciones
públicas y privadas.
Estos mapas servirán al Departamento de Prevención del
Fraude para planificar la primera evaluación del riesgo de fraude,
en la que participará el personal que trabaja en cada uno de los departamentos
de riesgo a analizar, para lo que se utilizarán técnicas
participativas que permitan la colaboración de los empleados.
Esta primera evaluación del riesgo de
fraude permitirá adaptar los mapas de riesgo previamente definidos
a la realidad concreta de cada departamento, obteniéndose así la
información necesaria para la preparación de los planes, programas y acciones
que se han de presentar a la alta dirección, y que
servirán para afrontar los riesgos identificados y ponderados de
fraude interno, entendido éste en su sentido amplio y que por tanto,
abarca la responsabilidad penal de la empresa, en la que estarán incluidos
también el blanqueo de capitales y la financiación del terrorismo, al margen de
las obligaciones administrativas que la empresa tenga como sujeto obligado y
que ya están reguladas por su legislación específica.
Así pues, junto a los riesgos del fraude
operacional, durante el proceso de evaluación han de ser
identificados y ponderados también los riesgos derivados de la responsabilidad
penal.
Este proceso se irá repitiendo en el tiempo de forma
sistemática, lo que permitirá perfilar poco a poco todos los riesgos de fraude,
así como buscar las herramientas tecnológicas necesarias para su
control, conociendo previamente en profundidad los problemas que deben ser
resueltos con la tecnología.
Las técnicas de participación
Un método interesante sobre técnicas de
participación, es el que puso en práctica Jim Wesberry,
Director del Proyecto ATLATL en la Ciudad de México, que consistía en
establecer pequeños talleres en los que hacía participar a los empleados, que
son los que realmente mejor conocen la operativa de cada
departamento y los que por tanto, pueden valorar con más
fundamento la efectividad real de los mecanismos de control establecidos, o que
se pretendan establecer por la empresa para prevenir los riesgos a analizar.
Estos equipos eran reducidos, de entre 10 y
18 personas que participaban en la evaluación de
los riesgos a estudiar durante una jornada. Las sesiones
estaban previamente planificadas junto con su material de trabajo.
En estos talleres se identificaban los objetivos que
se pretendían alcanzar, así como los problemas conocidos en relación con los
riesgos concretos que se querían analizar, descubriéndose así las fortalezas y
las debilidades de los controles existentes.
En el modelo, para conseguir una discusión
abierta y franca entre los intervinientes se utilizaba una herramienta
informática que permitía la votación anónima y que recogía las respuestas
acerca de los temas debatidos, proyectándolas sobre una pantalla
para que los asistentes pudieran ver los resultados, que eran presentados mediante
distintos gráficos. De esta manera cada participante ofrecía sus respuestas
sinceras a las preguntas delicadas, sin exponerse personalmente dentro de la
organización.
Pero para este sistema de trabajo se exige un trabajo
previo y riguroso de confección del material necesario para los debates.
Este modelo podría utilizarse no sólo para la
evaluación de los riesgos de fraude interno, sino para otras materias de
interés, como por ejemplo, sobre entorno/ambiente de trabajo, sobre información
y comunicación, sobre ética y moral de los empleados, etc. Cada una de las
materias estaría preparada por el departamento de control
correspondiente.
En estos talleres han de participar empleados de
distintos niveles, para obtener así diferentes perspectivas acerca de la
organización, lo que permitiría comparar posteriormente los resultados de
diferentes departamentos, identificando así las mejores prácticas a implementar
dentro de la empresa.
Estos sistemas de evaluación son más eficientes que
los tradicionales cuestionarios utilizados para valorar el funcionamiento
operacional o para identificar las debilidades en el control interno.
No hay comentarios:
Publicar un comentario