miércoles, 4 de octubre de 2017

Las actividades necesarias para el control del fraude interno





El control del fraude interno es un proceso más, dentro del Control Interno de las empresas.

Este proceso tiende a la consecución del “objetivo de disuasión” (evitar la oportunidad del fraude dentro de las empresas), y se realiza mediante las siguientes fases:
  1. Creación de un entorno de control a partir de códigos éticos o similares
  2. Evaluación del riesgo de fraude interno.
  3. Diseño e implementación de actividades de control anti-fraude.
  4. Creación de herramientas para compartir información y comunicación.
  5. Creación  e implementación de una estructura de supervisión y de monitoreo de actividades.
Entorno de control

Para conseguir un entorno de control hay que ir desarrollando dentro de las empresas una cultura de tolerancia “cero” contra el fraude interno, en la participe  todo el personal; se ha de trabajar, por tanto, para que sean las personas las protagonistas de este control y no solo los manuales y las reglas, y para ello resulta necesaria:

  •  La creación y/o el mantenimiento de una cultura de honestidad, de estándares éticos altos, y de comportamiento correcto
  •  Una disciplina creíble frente a las violaciones de los códigos éticos o similares
  • Una actitud decidida ante al fraude y su prevención, por parte de las empresas
  •  El establecimiento de controles para prevenir, disuadir y detectar los fraudes


El entorno de control requiere de la confección e implantación en las empresas de códigos éticos, o en su defecto,  de unas políticas relacionadas con prácticas profesionales aceptables, en las que se definan las incompatibilidades o pautas esperadas con respecto al comportamiento moral.

Estos códigos éticos o políticas relacionadas con el fraude interno, definirán  la forma en que han de llevarse a cabo las negociaciones con los empleados, proveedores, clientes e inversionistas, con el fin de evitar que se comentan delitos económicos contra las empresas, o actos que pudieran hacerlas penalmente responsables.

Tanto los códigos éticos, como las políticas que hagan sus veces, con sus objetivos y valores, tienen que ser difundidos y practicados dentro de las organizaciones, de manera que todo el personal conozca los límites en su actuación profesional.

Los consejos de administración y las altas direcciones de las empresas han de ser las fuentes legitimadoras de estas normas internas anti-fraude, involucrándose decididamente con las mismas, tanto en la prevención como en su represión, mediante un sistema sancionador adecuado; serán también los que definan los órganos encargados de su cumplimiento, dotándolos de autoridad y responsabilidad.

Evaluación del riesgo de fraude interno

Las evaluaciones de riesgo de fraude son esenciales a la hora de identificar potenciales amenazas y debilidades dentro de las organizaciones.

El trabajo de evaluación ha de estar programado por la estructura de prevención del fraude, incardinada dentro de la superestructura “Compliance”.

La estructura de prevención del fraude, con el nombre concreto que en cada empresa se le quiera dar, constituye un departamento especializado en esta materia que ha de tener una operatividad transversal, colaborando con toda la organización mediante la coordinación de las actividades de prevención y de control del fraude que realizan los distintos departamentos. No olvidemos que la prevención y el control del fraude interno y externo es una responsabilidad de toda la empresa.

Esta estructura tendrá a su cargo también un  “repositorio centralizado” con toda la información generada en la empresa sobre fraude interno y externo, así como con la información referida a los incumplimientos detectados, que afecten a la responsabilidad penal de la empresa como persona jurídica,  y a sus directivos.

Será también la encargada de confeccionar, de cara al proceso de evaluación, el “mapa general de riesgos de fraude”, para lo que “compliance” habrá tenido que preparar, para su aprobación por los órganos de administración, toda la normativa interna necesaria para que la información sobre los fraudes (internos y externos), así como sobre los actos con posibles responsabilidades penales, sean reportados al “repositorio centralizado”, que estará dotado de todas las garantías legales y de seguridad.

Los analistas de la estructura de prevención del fraude, con la información interna y externa acumulada, determinarán los departamentos que por su operatividad,  pudieran ser los más propensos a que se cometan los fraudes identificados, y los que estudien los “modus operandi” o métodos que puedan ser utilizados con más probabilidad por los defraudadores internos.

Este trabajo al estar dirigido por la superestructura de “compliance”, enriquecerá a través de su participación directa o indirecta, a las restantes estructuras de cumplimiento dentro de la empresa mediante el análisis de la inteligencia obtenida (Auditoría, Recursos Humanos, Legal, Prevención BC/FT, Prevención del Riesgos Laborales,  etc). La retroalimentación del sistema o  “feedback” resultará evidente en el tema “compliance”.

De este trabajo conjunto, aunque centralizado en la estructura de prevención del fraude, surgirá la planificación de  las evaluaciones del riesgo de fraude, necesarias para conseguir el perfeccionamiento real de los controles anti-fraude implantados o que se implantarán en el futuro.

Las evaluaciones del riesgo de fraude permitirán a los analistas crear el mapa general de riesgo de fraude y los mapas particulares de cada una de las distintas partes de la organización, lo que facilitará la confección de formularios de control u otras técnicas más novedosas, que sirvan para mejorar el funcionamiento operativo anti-fraude del personal y de las plataformas tecnológicas que lo controlan. Estos mapas permitirán descubrir las debilidades en los controles y las amenazas potenciales, permitiendo mejorar así los correspondientes sistemas de alerta.

Para la confección de los mapas particulares de riesgo se sugiere la participación de los empleados de la empresa,  que son los que trabajan el día a día de la operatividad y los que, por tanto, mejor pueden informar de las debilidades y fortalezas de los sistemas,  y de la efectividad de  los procedimientos que se emplean dentro de la empresa.

Esta colaboración podía obtenerse de varias maneras, a través de formularios, entrevistas, buzones de sugerencias, o mediante sesiones de trabajo con  grupos reducidos de empleados, controladas y dirigidas por el responsable de cumplimiento departamental. Estas reuniones estarían preparadas previamente por la estructura de prevención del fraude, que en caso necesario estaría auxiliada por personal de comunicación de la empresa.

Otra forma de obtener la información  para la confección de los  mapas departamentales de riesgo, sería mediante la integración rotatoria y temporal de personal de los distintos departamentos en la estructura de prevención del fraude, o mediante la integración temporal de especialistas de prevención del fraude en las distintas  actividades operativas de la empresa.

El conocimiento de los riesgos permitirá a cada departamento participar en el diseño de los  procedimientos y sistemas de control anti-fraude, que serían completados  con herramientas organizativas y tecnológicas externas que ayuden a controlar el correcto funcionamiento de los sistemas y procedimientos aplicados, así como para detectar la posible elusión de las obligaciones de control por parte de algún empleado o directivo.

Diseño e implementación de actividades de control antifraude

El diseño e implementación de las actividades del control del fraude obliga a las empresas, a través de sus estructuras anti-fraude, a abordar cada riesgo de fraude mediante una concreta política de control, que contendrá tanto medidas preventivas como de detección; algunas de estas medidas serán de naturaleza automatizada, y estarán por tanto recogidas en las plataformas tecnológicas operativas o de control.

Durante este proceso,  los analistas de prevención del fraude deberán asesorarse, a través especialistas  tecnológicos y mediante el contacto con los centros universitarios,  sobre  las mejores herramientas existentes en el mercado para los problemas planteados,  y para que,  en el caso de que estas soluciones no existan, puedan ser diseñadas en base al funcionamiento operativo real de las empresas. La prevención del fraude es una materia que necesita una   investigación conjunta y permanente entre especialistas teóricos y prácticos.

La cooperación entre empresas del mismo sector ofrece muchas posibilidades para el diseño de plataformas tecnológicas de uso compartido y funcionamiento independiente, a través de “cloud computing”, dotadas con  las máximas  garantías de seguridad.

Los factores de riesgo de fraude interno, no sólo son operacionales, es decir, derivados de la oportunidad que para cometer fraudes internos ofrecen determinadas operaciones difíciles de controlar, o que tienen controles debilitados, sino también subjetivos y por tanto dependientes de las actitudes éticas de los empleados que manejan estas operaciones, y del incentivo y la presión ambiental que soportan. 

Los riesgos descubiertos no indicarán que existe fraude, sino que éste puede producirse si no se define una buena política de control que ayude a su prevención, y  no se dota a la empresa de los recursos tecnológicos necesarios para que,  en caso de que se comenta algún fraude interno, alerten de su existencia y faciliten su investigación.

Las acciones que se han de tomar para disuadir y mitigar cada uno de los riesgos específicos de fraude interno detectados, tanto los objetivos que se derivan de las operaciones de riesgo, como los subjetivos, derivados de la posible elusión de los controles por parte de algún empleado y directivo que deban cumplirlos, deberán definirse en la política de control.

Auditoría Interna se encargará de la evaluación de la efectividad de esa política, y del perfeccionamiento de la misma a través de la supervisión.

Las actividades de control no sólo abarcan aspectos procedimentales, sino también la adecuación e incorporación al sistema de control,  de aquellas herramientas tecnológicas que se estimen necesarias, y que serán integradas, o en las plataformas de producción de cada departamento, o en el sistema de centralización de alertas de la estructura de prevención del fraude.

Como puede observarse, la empresa se enfrenta a un dificultoso trabajo de campo para tratar de construir en cada departamento y con la participación de las personas que trabajan en el mismo, su particular política de control del fraude interno. La construcción del sistema de control estará liderada por un equipo especializado, que no es otro que la estructura de prevención del fraude,  que será la que se encargue de documentar los mapas departamentales de riesgos, y el mapa general de riesgos de fraude, así como las soluciones procedimentales y tecnológicas necesarias para la prevención.

Documentación y Comunicación

Para la implementación de la política de control se requiere también de  documentación y de  comunicación, para lo que las empresas habrán de crear los cauces y las herramientas necesarias.

Es importante que en el proceso de diseño e implementación de la política de control, se tenga previsto que ésta quede perfectamente registrada por escrito o mediante alguna aplicación informática, puesto que ha de hacerse posteriormente su seguimiento operativo a través de la supervisión, y sobre todo, para que pueda ser comunicada a los que deban cumplirla.

La comunicación permite asegurar el conocimiento por el personal de los programas y políticas anti-fraude dentro de la empresa, y se hace principalmente a través de herramientas tecnológicas de comunicación interna,  junto con los procesos formativos que tienen que ser diseñados para cumplir también con este objetivo.

La comunicación de la política antifraude ha de estar integrada dentro de la política general de comunicación de la empresa,  que recopila y publicita aquella información que deben recibir los accionistas, los directivos, los empleados, los clientes, los proveedores y los organismos de control en tiempo y en forma, para el cumplimiento de los objetivos de la empresa y de las  responsabilidades profesionales de los que trabajan en ella.

Las herramientas para recopilar y publicitar la política general de comunicación son muy variadas gracias a las nuevas tecnologías, como por ejemplo sitios Web corporativos o públicos, que permitan suministrar información a través de la Intranet  o de Internet, sobre el Código Ético, las normativas de cumplimiento, o los programas y controles anti-fraude; todo esto puede hacerse de forma discriminada para que sólo llegue la información a su legítimo destinatario.

En relación con la prevención del fraude, hay también otras herramientas como pueden ser los manuales para empleados y las publicaciones formativas, los boletines de noticias, las sesiones de entrenamiento  o los mensajes o presentaciones procedentes de los responsables de los distintos departamentos o de la estructura de prevención del fraude.

La supervisión y el monitoreo de actividades

La Auditoría Interna se encargará de la evaluación de la efectividad de esa política, y del  perfeccionamiento de la misma a través de la supervisión.

Las actividades de control no sólo abarcan aspectos procedimentales, sino también la adecuación e incorporación al sistema de control,  de aquellas herramientas tecnológicas que se estimen necesarias, y que serán integradas en las plataformas de producción de cada departamento, o en el sistema centralizado de alertas a cargo de la estructura de prevención del fraude.

Las empresas se han de dotar de los recursos tecnológicos necesarios para que,  en caso de que se comenta algún fraude interno, alerten de su existencia y faciliten su investigación.

Estas plataformas tecnológicas que no afectan a la actividad principal de la empresa, sin embargo permiten operar en las materias de prevención del fraude interno y externo con herramientas potentes y permanentemente actualizadas,  respaldadas por los principales operadores tecnológicos del mercado en el ámbito nacional e internacional.


No hay comentarios:

Publicar un comentario