martes, 19 de septiembre de 2017

El control del fraude interno




Para controlar el fraude interno hay que conocer:
  • La diferente tipología de hechos económicos susceptibles de producirlo
  • Las motivaciones psicológicas o ambientales que permiten su existencia
  • Los efectos letales que produce dentro de las empresas
  • Las  herramientas para encontrarlo y combatirlo.
Pero sobre todo, resulta necesario el compromiso de las empresas en una política de prevención y control que abarque desde la alta dirección hasta el último de los empleados incorporado a las mismas.

Es por ello por lo que se aconseja la creación de una estructura de gobierno corporativo que tenga los siguientes objetivos:
  1. Establecer unos sólidos procedimientos de gestión del riesgo del fraude
  2. Enviar unos claros mensajes sobre esta materia a todos los miembros de la organización.
  3. Actuar de forma ejemplar, tanto en la prevención como en la reacción.
La misión de este gobierno corporativo, en relación con el fraude interno,  sería la de desarrollar una cultura empresarial de tolerancia cero.

Sólo cuando la alta dirección esté bien informada sobre los riesgos de fraude interno y sobre los perjuicios que éste ocasiona, podrá diseñar las políticas adecuadas de prevención y reacción, necesarias para implantar una cultura empresarial de tolerancia cero contra este fenómeno.

Esta cultura debería estar asentada en las siguientes medidas:
  • Invertir en prevención y detección del fraude, tanto interno como externo.
  • Reforzar las funciones de auditoría interna, de cumplimiento normativo y llevar a cabo una gestión efectiva y proactiva de los riesgos del negocio.
  • Revisar y mejorar los controles internos y programas anti-fraude en las áreas clave.
  • Alcanzar altos niveles de integridad empresarial mediante unas sólidas prácticas de gobierno corporativo, control interno y transparencia.
  • Impartir cursos de formación acerca del marco regulatorio, las normas internacionales anticorrupción aplicables y ética empresarial para el personal, favoreciendo el desarrollo de una cultura corporativa adecuada.
  • Implantar un canal de denuncias o línea ética.
  • Análisis y verificación de los riesgos asociados a los sistemas de información y seguridad informática.
  • Revisar y reformular los programas de retribución variable.
El control del fraude interno resulta imposible si no existe  en la empresa una estructura de gobierno corporativo que dicte las normas de prevención y se encargue de su cumplimiento.

La concepción del cumplimiento como responsabilidad corporativa, y no como simple parcheo para evitar sanciones, está en consonancia con algunas  de las obligaciones que están siendo impuestas a las empresas por los organismos internacionales a través de las legislaciones nacionales, como por ejemplo, la obligación de la formación de los empleados, tanto en la prevención del blanqueo, como en la prevención del fraude; en el primer supuesto porque así lo exige la Ley 10/2010, y en el segundo supuesto por exigencia del Código Penal, en lo relativo a la responsabilidad penal de las personas jurídicas.

Los directivos y los empleados han de estar formados en prevención del blanqueo de capitales y en prevención del fraude, porque han de ser los  elementos activos más importantes de esa prevención, por encima, si cabe, de la propia tecnología, tanto en la evaluación de los riesgos, como en el sistema de alerta que se establezca para las  operaciones identificadas de riesgo.

En la evaluación del riesgo de fraude, una parte de la evaluación de ese riesgo ha de hacerse en cada área operativa de la empresa mediante un proceso  en el que conviene que intervenga el personal de cada departamento, puesto que quien realmente conoce los riesgos de fraude son las personas que tienen bajo su responsabilidad profesional estas mismas operaciones. Pero para que el personal pueda intervenir de forma eficiente en estas evaluaciones de riesgo ha de estar mínimamente formado en estas materias. Es por ello por lo que las empresas están obligadas a la formación de los directivos y empleados en prevención del blanqueo y en el cumplimiento penal.

Las empresas se han sofisticado operativamente a lo largo de la historia, a través de su adaptación continua a diferentes  obligaciones de cumplimiento, especialmente en los países capitalistas en los que existe libertad de empresa  y, en los que por tanto, resulta necesario crear un campo de operaciones en el que no sea posible la competencia desleal. 

En la actualidad y con el desarrollo de la conciencia social, estas obligaciones de cumplimiento han pasado también a ser sociales y ecológicas.

Sin embargo, hasta ahora la prevención del fraude había sido una obligación teórica más que práctica, que se iba rellenando con alguna estructura personal y tecnológica cuando había dinero para hacerlo, porque en el fondo no existía ninguna obligación externa de cumplimiento para esta materia. Las únicas “sanciones” efectivas eran las pérdidas acumuladas por la actividad fraudulenta, que en muchas ocasiones ni eran identificables para la propia empresa, puesto que ésta no  poseía las herramientas necesarias para poder discriminar la información.

La Ley Orgánica 1/2015 de 30 de marzo, completa la responsabilidad penal de las personas jurídicas, por lo que el Código Penal ha modificado el campo de operaciones de las empresas, al establecer nuevas obligaciones en materia de cumplimiento penal, que desde el punto de vista organizativo y tecnológico están íntimamente relacionadas  con las estructuras necesarias para la prevención del fraude, por lo que por simple economicidad empresarial, ha llegado el momento de rentabilizar los costes derivados de las nuevas obligaciones de cumplimiento penal en beneficio de la propia empresa, potenciando para ello también la prevención del fraude.

Si analizamos el Código Penal tras la última modificación por la Ley Orgánica 1/2015, prácticamente todos los delitos concretos referidos a la responsabilidad penal de las personas jurídicas están relacionados también con el fraude interno, por lo que resulta lógico que en la empresa haya una sola Política de Prevención Penal y contra el Fraude, cuyas líneas maestras estarían concretadas en un Código Ético entendido como herramienta imprescindible para la creación de un entorno de control.

Se considera  fraude interno el siguiente listado de delitos económicos:
  • Manipulación contable
  • Obtención fraudulenta de financiación
  • Aplicaciones fraudulentas de crédito
  • Transacciones no autorizadas
  • Apropiación indebida de activos
  • Soborno y corrupción
  • Blanqueo de dinero
  • Robo de información y violación de IP
  • Abuso de información privilegiada
  • Fraude fiscal
  • Abuso de mercado
  • Espionaje a favor de los competidores
  • Otros
Según el Código Penal, los “delitos económicos” por los que las personas jurídicas pueden ser penalmente responsables, son prácticamente los mismos que los que aparecen en nuestro listado de fraude interno, y que yo pongo en negrita.
  • Trata de seres humanos (Artículo 177 bis.7 del Código Penal)
  • Relativos a la prostitución y la corrupción de menores (Artículo 189 bis)
  • Descubrimiento y revelación de secretos (Artículo 197.3)
  • Estafa (Artículo 251 bis)
  • Insolvencias punibles (Artículos 261 bis)
  • Daños informáticos (Artículo 264.4)
  • Relativos a la propiedad intelectual e industrial, al mercado y a los consumidores (Artículo 288)
  • Blanqueo de capitales (Artículo 302.2)
  • Delitos contra la Hacienda Pública y la seguridad Social (Artículo 310 bis)
  • Delitos contra los derechos de los ciudadanos extranjeros (Artículo 318 bis.4)
  • Delitos contra la ordenación del territorio (Artículo 319.4)
  • Delitos contra los recursos naturales y el medio ambiente (Artículo 327 y Artículo 328.6)
  • Exposición a radiaciones ionizantes (Artículo 343.3)
  • Delitos de riesgo provocados por explosivos y otros agentes (Artículo 348.3)
  • Delitos relativos a drogas tóxicas, estupefacientes o sustancias psicotrópicas (Artículo 369 bis)
  • Falsificación de tarjetas de crédito y débito y cheques de viaje (Artículo 399 bis.1.3º)
  • Cohecho (Artículo 427.2)
  • Tráfico de influencias (Artículo 430)
  • Corrupción de funcionario público extranjero (Artículo 445.2)
  • Financiación del terrorismo (Artículo 576 bis.3)

Es por ello por lo que resulta aconsejable que dentro de la empresa exista una sola  Política para la prevención penal y para la prevención del fraude, que tenga en cuenta ambas vertientes de responsabilidad dentro de la planificación del control del fraude interno.

Sobre estos hechos económicos concretos que aparecen en el Código Penal habrán de efectuarse las evaluaciones de riesgos de fraude interno, y para ello se tendrán que identificar los departamentos de la empresa en los que estos hechos pudieran cometerse más fácilmente, con el fin de que estén dotados de  sus específicos objetivos de cumplimiento penal y contra el fraude,  valorando también la necesidad de que los mismos tengan activadas  las alertas necesarias para:
  • Evitar que se produzcan desviaciones con respecto a los objetivos establecidos, y
  • Detectar, en un plazo mínimo, las posibles desviaciones que se hayan efectuado.
Pero para ello ha de establecerse  algún método de trabajo que haga posible la planificación y la ejecución de las evaluaciones del riesgo de fraude.

Para la planificación de la primera evaluación del riesgo de fraude,  el departamento encargado de esta obligación tendrá que definir  su primer “Mapa General de Riesgos de Fraude”, a partir de la centralización de la información sobre fraude de toda la empresa. Un mapa general de riesgos de fraude  no es más que el sumatorio de los mapas de riesgos departamentales.

El mapa general de riesgos de fraude necesita para su confección de la centralización de la información sobre fraude, por lo que previamente se habrá preparado la normativa interna necesaria para que toda la información sobre fraude interno y responsabilidad penal sea reportada hacia un “Repositorio centralizado”, que estará dotado de todas las garantías legales y de seguridad.

Este repositorio centralizado  permitirá a los analistas de prevención del fraude, crear mediante la tecnología adecuada no sólo el primer mapa general de riesgos de fraude, sino  el primer mapa general de prevención del fraude interno que contenga las soluciones preventivas a estos riesgos y,  los mapas particulares de prevención  necesarios   para aquellas partes de la organización que los necesiten,  en base a su específico sistema de operaciones de riesgo.

Una vez establecido el primer mapa general de riesgos de fraude interno, así como los mapas departamentales obtenidos a partir de la información previamente centralizada, el equipo de investigación tendrá que hacer:
  • Una estimación de la importancia de cada riesgo identificado.
  • Una evaluación de la probabilidad de que el riesgo se materialice dentro del departamento a estudiar.
  • Una definición de las medidas que deben ser adoptadas para la prevención y para la reacción, si el riesgo llegara a materializarse.
Se utilizarán también para la confección de los mapas otras herramientas que permitan identificar áreas de riesgo y de sectores, así como las listas sobre indicadores de fraude publicadas por instituciones públicas y privadas.

Estos mapas servirán al Departamento de Prevención del Fraude para planificar la primera evaluación del riesgo de fraude, en la que participará el personal que trabaja en cada uno de los departamentos de riesgo a analizar, para lo que se utilizarán  técnicas participativas que permitan la colaboración de los empleados.

Esta primera evaluación del riesgo de fraude  permitirá adaptar los mapas de riesgo previamente definidos a la realidad concreta de cada departamento, obteniéndose así  la información necesaria para la preparación de los planes, programas y acciones que se han de presentar  a la alta dirección, y que servirán  para afrontar los riesgos identificados y ponderados de fraude interno, entendido éste en su sentido amplio y  que por tanto, abarca la responsabilidad penal de la empresa, en la que estarán incluidos también el blanqueo de capitales y la financiación del terrorismo, al margen de las obligaciones administrativas que la empresa tenga como sujeto obligado y que ya están reguladas por su legislación específica.

Así pues, junto a los riesgos del fraude operacional,  durante el proceso de evaluación han de ser identificados y ponderados también los riesgos derivados de la responsabilidad penal.

Este proceso se irá repitiendo en el tiempo de forma sistemática, lo que permitirá perfilar poco a poco todos los riesgos de fraude, así como buscar  las herramientas tecnológicas necesarias para su control, conociendo previamente en profundidad los problemas que deben ser resueltos con la tecnología.

Las técnicas de participación

Un  método interesante sobre técnicas de participación, es el que puso  en práctica  Jim Wesberry, Director del Proyecto ATLATL en la Ciudad de México, que consistía en establecer pequeños talleres en los que hacía participar a los empleados, que son los que realmente mejor conocen la operativa de cada departamento  y los que por tanto,  pueden valorar con más fundamento la efectividad real de los mecanismos de control establecidos, o que se pretendan establecer por la empresa para prevenir los riesgos a analizar.

Estos equipos eran  reducidos, de entre 10 y 18 personas  que participaban en la evaluación de los  riesgos a estudiar  durante una jornada. Las sesiones estaban  previamente planificadas junto con su material de trabajo.

En estos talleres se identificaban los objetivos que se pretendían alcanzar, así como los problemas conocidos en relación con los riesgos concretos que se querían analizar, descubriéndose así las fortalezas y las debilidades de los controles existentes.

En el modelo,  para conseguir una discusión abierta y franca entre los intervinientes se utilizaba una herramienta informática que permitía la votación anónima y que recogía las respuestas acerca de los temas debatidos, proyectándolas  sobre una pantalla para que los asistentes pudieran ver los resultados, que eran presentados mediante distintos gráficos. De esta manera cada participante ofrecía sus respuestas sinceras a las preguntas delicadas, sin exponerse personalmente dentro de la organización.

Pero para este sistema de trabajo se exige un trabajo previo y riguroso de confección del material necesario para los debates.

Este modelo podría utilizarse no sólo para la evaluación de los riesgos de fraude interno, sino para otras materias de interés, como por ejemplo, sobre entorno/ambiente de trabajo, sobre información y comunicación, sobre ética y moral de los empleados, etc. Cada una de las materias estaría preparada por el departamento de control correspondiente. 

En estos talleres han de participar empleados de distintos niveles, para obtener así diferentes perspectivas acerca de la organización, lo que permitiría comparar posteriormente los resultados de diferentes departamentos, identificando así las mejores prácticas a implementar dentro de la empresa.

Estos sistemas de evaluación son más eficientes que los tradicionales cuestionarios utilizados para valorar el funcionamiento operacional o para identificar las debilidades en el control interno.



Publicado por en
Etiquetas:

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)