El control del fraude interno es un proceso más, dentro del Control Interno
de las empresas.
Este proceso tiende a la consecución
del “objetivo de disuasión” (evitar la oportunidad del fraude dentro de
las empresas), y se realiza mediante las siguientes fases:
- Creación de un entorno de control a partir de códigos éticos o similares
- Evaluación del riesgo de fraude interno.
- Diseño e implementación de actividades de control anti-fraude.
- Creación de herramientas para compartir información y comunicación.
- Creación e implementación de una estructura de supervisión y de monitoreo de actividades.
Entorno de control
Para conseguir un entorno de control hay que ir desarrollando dentro de las
empresas una cultura de tolerancia “cero” contra el fraude interno, en la participe todo el personal; se ha de trabajar, por
tanto, para que sean las personas las protagonistas de este control y no solo los
manuales y las reglas, y para ello resulta necesaria:
- La creación y/o el mantenimiento de una cultura de honestidad, de estándares éticos altos, y de comportamiento correcto
- Una disciplina creíble frente a las violaciones de los códigos éticos o similares
- Una actitud decidida ante al fraude y su prevención, por parte de las empresas
- El establecimiento de controles para prevenir, disuadir y detectar los fraudes
El entorno de control requiere de la confección e implantación en las empresas de códigos éticos, o en
su defecto, de unas políticas relacionadas con prácticas profesionales
aceptables, en las que se definan las incompatibilidades o pautas esperadas con
respecto al comportamiento moral.
Estos códigos éticos o políticas relacionadas con el fraude interno, definirán
la forma en que han de llevarse a cabo
las negociaciones con los empleados, proveedores, clientes e inversionistas,
con el fin de evitar que se comentan delitos económicos contra las empresas, o actos
que pudieran hacerlas penalmente responsables.
Tanto los códigos éticos, como las políticas que hagan sus veces, con sus
objetivos y valores, tienen que ser difundidos y practicados dentro de las
organizaciones, de manera que todo el personal conozca los límites en su
actuación profesional.
Los consejos de administración y las altas direcciones de las empresas han
de ser las fuentes legitimadoras de estas normas internas anti-fraude,
involucrándose decididamente con las mismas, tanto en la prevención como en su
represión, mediante un sistema sancionador adecuado; serán también los que
definan los órganos encargados de su cumplimiento, dotándolos de autoridad y
responsabilidad.
Evaluación del riesgo de fraude interno
Las evaluaciones de
riesgo de fraude son esenciales a la hora de identificar potenciales amenazas y
debilidades dentro de las organizaciones.
El trabajo de evaluación ha de estar programado por la estructura de
prevención del fraude, incardinada dentro de la superestructura “Compliance”.
La estructura de prevención del fraude, con el nombre concreto que en cada
empresa se le quiera dar, constituye un departamento especializado en esta
materia que ha de tener una operatividad transversal, colaborando con toda la organización
mediante la coordinación de las actividades de prevención y de control del
fraude que realizan los distintos departamentos. No olvidemos que la prevención
y el control del fraude interno y externo es una responsabilidad de toda la
empresa.
Esta estructura tendrá a su cargo también un “repositorio
centralizado” con toda la información generada en la empresa sobre fraude
interno y externo, así como con la información referida a los incumplimientos
detectados, que afecten a la responsabilidad penal de la empresa como
persona jurídica, y a sus directivos.
Será también la encargada de confeccionar, de cara al proceso de
evaluación, el “mapa general de riesgos de fraude”, para lo que “compliance”
habrá tenido que preparar, para su aprobación por los órganos de administración,
toda la normativa interna necesaria para
que la información sobre los fraudes (internos y externos), así como sobre los actos con posibles
responsabilidades penales, sean reportados al “repositorio centralizado”, que
estará dotado de todas las garantías legales y de seguridad.
Los analistas de la estructura de prevención del fraude, con la información
interna y externa acumulada, determinarán los departamentos que por su
operatividad, pudieran ser los más propensos a que se cometan los fraudes
identificados, y los que estudien los “modus operandi” o métodos que puedan ser
utilizados con más probabilidad por los defraudadores internos.
Este trabajo al estar dirigido por la superestructura de “compliance”, enriquecerá a través de su participación directa o indirecta, a las restantes estructuras de
cumplimiento dentro de la empresa mediante el análisis de la inteligencia obtenida (Auditoría, Recursos Humanos,
Legal, Prevención BC/FT, Prevención del Riesgos Laborales, etc). La retroalimentación del sistema o
“feedback” resultará evidente en el tema “compliance”.
De este trabajo conjunto, aunque centralizado en la estructura de
prevención del fraude, surgirá la planificación de las evaluaciones del
riesgo de fraude, necesarias para conseguir el perfeccionamiento real de los
controles anti-fraude implantados o que se implantarán en el futuro.
Las evaluaciones del riesgo de fraude permitirán a los analistas crear el
mapa general de riesgo de fraude y los mapas particulares de cada una de las
distintas partes de la organización, lo que facilitará la confección de
formularios de control u otras técnicas más novedosas, que sirvan para mejorar
el funcionamiento operativo anti-fraude del personal y de las plataformas
tecnológicas que lo controlan. Estos mapas permitirán descubrir las debilidades
en los controles y las amenazas potenciales, permitiendo mejorar así los
correspondientes sistemas de alerta.
Para la confección de los mapas particulares de riesgo se sugiere la participación de los empleados de la empresa, que son los que
trabajan el día a día de la operatividad y los que, por tanto, mejor pueden
informar de las debilidades y fortalezas de los sistemas, y de la
efectividad de los procedimientos que se emplean dentro de la empresa.
Esta colaboración podía obtenerse de varias maneras, a través de
formularios, entrevistas, buzones de sugerencias, o mediante sesiones de
trabajo con grupos reducidos de empleados, controladas y dirigidas por el
responsable de cumplimiento departamental. Estas reuniones estarían preparadas
previamente por la estructura de prevención del fraude, que en caso necesario
estaría auxiliada por personal de comunicación de la empresa.
Otra forma de obtener la información para la confección de los mapas departamentales de riesgo, sería
mediante la integración rotatoria y temporal de personal de los distintos
departamentos en la estructura de prevención del fraude, o mediante la integración
temporal de especialistas de prevención del fraude en las distintas
actividades operativas de la empresa.
El conocimiento de los riesgos permitirá a cada departamento participar en
el diseño de los procedimientos y sistemas de control anti-fraude, que
serían completados con herramientas organizativas y tecnológicas externas
que ayuden a controlar el correcto funcionamiento de los sistemas y
procedimientos aplicados, así como para detectar la posible elusión de las
obligaciones de control por parte de algún empleado o directivo.
Diseño e implementación de actividades de control
antifraude
El diseño e implementación de las actividades del control del fraude obliga
a las empresas, a través de sus estructuras anti-fraude, a abordar cada riesgo
de fraude mediante una concreta política de control, que contendrá tanto
medidas preventivas como de detección; algunas de estas medidas serán de
naturaleza automatizada, y estarán por tanto recogidas en las plataformas
tecnológicas operativas o de control.
Durante este proceso, los analistas de prevención del fraude deberán
asesorarse, a través especialistas tecnológicos y mediante el
contacto con los centros universitarios, sobre las mejores
herramientas existentes en el mercado para los problemas planteados, y
para que, en el caso de que estas soluciones no existan, puedan ser
diseñadas en base al funcionamiento operativo real de las empresas. La
prevención del fraude es una materia que necesita una investigación
conjunta y permanente entre especialistas teóricos y prácticos.
La cooperación entre empresas del mismo sector ofrece muchas posibilidades
para el diseño de plataformas tecnológicas de uso compartido y funcionamiento
independiente, a través de “cloud computing”, dotadas con las máximas
garantías de seguridad.
Los factores de riesgo de fraude interno, no sólo son operacionales, es decir,
derivados de la oportunidad que para cometer fraudes internos ofrecen
determinadas operaciones difíciles de controlar, o que tienen controles
debilitados, sino también subjetivos y por tanto dependientes de las actitudes
éticas de los empleados que manejan estas operaciones, y del incentivo y la
presión ambiental que soportan.
Los riesgos descubiertos no indicarán que existe fraude, sino que éste
puede producirse si no se define una buena política de control que ayude a su
prevención, y no se dota a la empresa de
los recursos tecnológicos necesarios para que, en caso de que se comenta
algún fraude interno, alerten de su existencia y faciliten su investigación.
Las acciones que se han de tomar para disuadir y mitigar cada uno de los
riesgos específicos de fraude interno detectados, tanto los objetivos que se
derivan de las operaciones de riesgo, como los subjetivos, derivados de la
posible elusión de los controles por parte de algún empleado y directivo que
deban cumplirlos, deberán definirse en la política de control.
Auditoría Interna se encargará de la evaluación de la efectividad de esa política,
y del perfeccionamiento de la misma a través de la supervisión.
Las actividades de control no sólo abarcan aspectos procedimentales, sino
también la adecuación e incorporación al sistema de control, de aquellas
herramientas tecnológicas que se estimen necesarias, y que serán integradas, o
en las plataformas de producción de cada departamento, o en el sistema de
centralización de alertas de la estructura de prevención del fraude.
Como puede observarse, la empresa se enfrenta a un dificultoso trabajo de
campo para tratar de construir en cada departamento y con la participación de
las personas que trabajan en el mismo, su particular política de control del
fraude interno. La construcción del sistema de control estará liderada por un
equipo especializado, que no es otro que la estructura de prevención del fraude,
que será la que se encargue de documentar
los mapas departamentales de riesgos, y el mapa general de riesgos de fraude,
así como las soluciones procedimentales y tecnológicas necesarias para la
prevención.
Documentación y Comunicación
Para la implementación de la política de control se requiere también de documentación
y de comunicación, para lo que las empresas habrán de crear los cauces y las herramientas necesarias.
Es importante que en el proceso de diseño e implementación de la política
de control, se tenga previsto que ésta quede perfectamente registrada por
escrito o mediante alguna aplicación informática, puesto que ha de hacerse
posteriormente su seguimiento operativo a través de la supervisión, y sobre
todo, para que pueda ser comunicada a los que deban cumplirla.
La comunicación permite asegurar el conocimiento por el personal de los
programas y políticas anti-fraude dentro de la empresa, y se hace
principalmente a través de herramientas tecnológicas de comunicación interna,
junto con los procesos formativos que tienen que ser diseñados
para cumplir también con este objetivo.
La comunicación de la política antifraude ha de estar integrada dentro de
la política general de comunicación de la empresa, que recopila y publicita aquella información
que deben recibir los accionistas, los directivos, los empleados, los clientes,
los proveedores y los organismos de control en tiempo y en forma, para el
cumplimiento de los objetivos de la empresa y de las responsabilidades
profesionales de los que trabajan en ella.
Las herramientas para recopilar y publicitar la política general de comunicación
son muy variadas gracias a las nuevas tecnologías, como por ejemplo sitios Web
corporativos o públicos, que permitan suministrar información a través de la
Intranet o de Internet, sobre el Código Ético, las normativas de
cumplimiento, o los programas y controles anti-fraude; todo esto puede hacerse de
forma discriminada para que sólo llegue la
información a su legítimo destinatario.
En relación con la prevención del fraude, hay también otras herramientas
como pueden ser los manuales para empleados y las publicaciones formativas, los
boletines de noticias, las sesiones de entrenamiento o los mensajes o
presentaciones procedentes de los responsables de los distintos departamentos o
de la estructura de prevención del fraude.
La supervisión y el monitoreo de actividades
La Auditoría Interna se encargará de la evaluación de la efectividad de esa
política, y del perfeccionamiento de la misma a través de la supervisión.
Las actividades de control no sólo abarcan aspectos procedimentales, sino
también la adecuación e incorporación al sistema de control, de aquellas
herramientas tecnológicas que se estimen necesarias, y que serán integradas en
las plataformas de producción de cada departamento, o en el sistema centralizado
de alertas a cargo de la estructura de prevención del fraude.
Las empresas se han de dotar de los recursos tecnológicos necesarios para
que, en caso de que se comenta algún fraude interno, alerten de su
existencia y faciliten su investigación.
Estas plataformas tecnológicas que no afectan a la actividad principal de
la empresa, sin embargo permiten operar en las materias de prevención del
fraude interno y externo con herramientas potentes y permanentemente
actualizadas, respaldadas por los principales operadores tecnológicos del
mercado en el ámbito nacional e internacional.
No hay comentarios:
Publicar un comentario