jueves, 2 de mayo de 2019


INDICADORES DE FRAUDE INTERNO (CAPÍTULO I): INTRODUCCIÓN

Estándar


Según el Diccionario de la Real Academia de la Lengua Española en su Vigésimo Segunda Edición la palabra fraude tiene las siguientes definiciones:
  1. m. Acción contraria a la verdad y a la rectitud, que perjudica a la persona contra quien se comete.
  2. m. Acto tendente a eludir una disposición legal en perjuicio del Estado o de terceros.
  3. m.. Delito que comete el encargado de vigilar la ejecución de contratos públicos, o de algunos privados, confabulándose con la representación de los intereses opuestos.
Sin entrar en términos gramaticales se puede definir el Fraude como un engaño hacia un tercero, abuso de confianza, dolo, simulación, etc. El término “fraude” se refiere al acto intencional de la administración, personal o de terceros, que deviene en una representación equivocada de los estados financieros, pudiendo implicar:
  • Manipulación, falsificación o alteración de registros o documentos.
  • Malversación de activos.
  • Supresión u omisión de los efectos de ciertas transacciones en los registros o documentos.
  • Registro de transacciones sin sustancia o respaldo.
  • Mala aplicación de políticas contables.
Se puede considerar que hay dos tipos de fraude:
  • El primero de ellos se realiza con la intención financiera clara de malversación de activos de la empresa.
  • El segundo tipo de fraude, es la presentación de información financiera fraudulenta como acto intencionado encaminado a alterar las cuentas anuales.
Ambos tipos de fraude, en función de los autores del mismo, pueden a su vez clasificarse en:
  • Internos son aquellos organizados por una o varias personas dentro de una institución, con el fin de obtener un beneficio propio.
  • Externos son aquellos que se efectúan por una o varias personas para obtener un beneficio, utilizando fuentes externas como son: bancos, clientes, proveedores,
Prevención – Detección
Aunque se pueden considerar muchos puntos de vista, incluso el filosófico, conviene entender las razones por la que se cometen los fraudes, y algunas de las mismas pueden ser:
  • Falta de controles adecuados.
  • Poco y mal capacitado personal.
  • Baja / alta rotación de puestos.
  • Documentación confusa.
  • Salarios bajos.
  • Existencia de activos de fácil conversión: bonos, pagares, etc.
  • Legislación deficiente.
  • Actividades incompatibles entre sí.
Las razones anteriores pueden clasificarse en tres grandes grupos que constituyen la denominada pirámide del fraude y que son:
  • Se tiene la
  • Se presenta la
  • Existe un Motivo
En la lucha contra el Fraude únicamente se puede luchar contra el segundo factor, Oportunidad, ya que las otras dos son intrínsecas a la naturaleza de la persona.
Fraudes ha habido siempre y, siempre los habrá incrementándose su volumen en épocas de crisis, pues aun suponiendo que las dos primeras variables, Capacidad y Oportunidad no varían, no ocurre lo mismo con la tercera, el Motivo, ya que por una parte existen mayores necesidades financieras, al reducirse el acceso a los préstamos, y por otro las reducciones de personal pueden producir un efecto justificatorio de la acción que se comete.
Por lo anterior, las Entidades en épocas de crisis deben aumentar sus defensas en los dos ámbitos en los que pueden actuar, la Prevención y la Detección del fraude.
El problema radica en plasmar esto en la práctica, ya que en teoría la forma mas sencilla de Prevención consiste en:
  • Mejorar el control administrativo.
  • Implementar prácticas y políticas de control.
  • Analizar los riesgos que motiven a un fraude.
  • Tener a los mejores profesionales existentes, bien remunerados y
A pesar de ello siempre se producen excepciones, casos tales como los de Madoff y Stanford (a los que se les puede considerar dueños de Empresa y se trataría de un fraude orientado hacia terceros, en este caso clientes) o las operaciones realizada por el operador Jerôme Kervielque le costaron a la Societé Generale 4.900 millones de euros
Según la Association of Certified Fraud Examiners de Estados Unidos, el personal que comete los fraudes sigue la proporción de la pirámide funcional de la empresa, ya que:
  • El 10% del fraude es cometido por ejecutivos de alto nivel
  • El 30% del fraude es cometido por gerentes
  • El 60% del fraude es cometido por el resto de los empleados
Sin embargo el volumen de pérdidas asumidas por estas labores constituye una pirámide inversa puesto que:
  • Las perdidas achacables al fraude de los ejecutivos equivalen al 75% del total
  • Las de los gerentes son el 20%
  • Las de los empleados constituyen un 5%
Como se comprueba estos datos se corresponden con los ejemplos anteriores, en los que se trataba de dos dueños de Empresas y de un alto ejecutivo, siendo últimamente los fraudes más famosos.
Para la labor de Detección hay que tener en cuenta varios factores que pueden proporcionar indicios de que se está realizando un fraude, siendo los más útiles:
  • Existencia de patrones de comportamiento irregular.
  • Alertas disparadas ante determinadas acciones.
También pueden usarse otros métodos más tradicionales, como por ejemplo las “Denuncias anónimas”, pero se ha comprobado que son menos efectivos.
El problema de la Detección es que se actúa “a posteriori”, cuando el fraude ya se ha cometido al menos en parte, mientras que con la Prevención la actuación se produce antes de que el fraude tenga lugar con lo que no se produce ninguna pérdida.
Hay que tener en cuenta que las pérdidas, tanto tangibles como intangibles (en especial las reputacionales), son mayores cuanto mayor es el tiempo en el que el fraude se extiende, por lo que es de suma importancia la existencia de alertas tempranas.
Labor de Auditoría
La ley Sabanes-Oxley, incluye en la Sección 103, dedicada a normas y reglas, que los informes de los auditores deben incluir:
  • El alcance de las pruebas del auditor de la estructura de control interno.
  • Los hallazgos con respecto a dichas pruebas.
  • Una evaluación sobre la estructura de control comprobando:
  • Que existen registros que reflejan todas las transacciones
  • Que de la labor realizada se desprende la razonable seguridad de que las transacciones se registran debidamente y están autorizadas correctamente.
  • La descripción de las posibles debilidades encontradas en los controles internos.
La entrada en vigor de los acuerdos de Basilea ha cambiado la forma de actuar de los Departamentos de Auditoría Interna, ya que en los mismos se expone:
  • En su Principio 5º indica que el “Control debe ser una parte integrante de la actividad diaria de la Entidad”, explicando en el punto 24 que “las actividades de control se desarrollan en dos pasos: (1) el establecimiento de políticas y procedimientos y (2) la revisión de que las mismas se cumplen”.
  • Por otra parte en el Principio 10º también se indica que la monitorización de los indicadores de riesgo debe ser una actividad diaria de la Entidad, así como su periódica evaluación por parte de Auditoría Interna.
  • En relación con la labor de Auditoría en el Principio 11º se expone que debe realizarse una efectiva auditoría del sistema de control interno, para lo que se tiene que monitorizar los controles internos existentes.
Una encuesta realizada en 2009 por Enest & Young en relación con la efectividad de los Departamentos que en la Entidad luchan contra el fraude apoya las tesis que subyacen a los “Principios de Basilea” ya que, según la misma, el orden en el que se producen los éxitos en la lucha contra el fraude la encabezan los controles existentes en el mismo Departamento en que éstos se originan:

aaa.png

En la gráfica se muestra que el mayor porcentaje de éxito en la lucha contra el fraude, tanto en la Prevención como en la Detección, lo obtienen los Departamentos de Control Interno, tanto los del propio Departamento como los efectuados por otro diferente, mientras que los fraudes descubiertos “por accidente” o por denuncias anónimas son menos habituales.
Igualmente se muestra que la labor de Auditoría Interna es más efectiva que la de la Auditoría Externa.
Los resultados anteriores son coherentes con las políticas de las Empresas de situar al personal experto en su actividad en el Departamento correspondiente, ya que son ellos los que mejor conocen como desarrollar su labor.
Igualmente coincide con el incremento en el desarrollo de los manuales de procedimientos por los que se rige la operatoria habitual.
Por otra parte la existencia de varias estructuras de control, tiene como ventaja de que la misma actividad se observa con puntos de vista distinto, con lo que se consigue finalmente un mayor enfoque, pero a su vez tiene el inconveniente de que puede producirse una dejación en las funciones pensando que los posibles errores serán corregidos por el otro Departamento.
Por dicha razón es esencial la labor de Auditoría Interna actuando como elemento de revisión de los Departamentos que realizan los controles, tanto primarios como secundarios.
Labor de Auditoría Informática
Actualmente no se concibe ninguna labor empresarial sin la Informática, que se ha convertido en la herramienta más usada. Paralelamente a ello, han proliferado los fraudes informáticos, como se les denomina porque para su realización es necesario tener conocimientos de informática.
De entre ellos los que más han acaparado la atención del público han sido los relacionados con los Medios de Pago tanto en su versión tradicional, utilizando tarjetas físicas, como en la más actual del fraude por Internet y últimamente los “ataques” que sufren las Empresas por los que ya se conocen como “ciberdelincuentes”.
La proliferación de este tipo de ataques ha obligado a la creación de “policías de Internet” para intentar frenarlos. Así en España la Guardia Civil ha creado un subgrupo especializado uno de cuyos éxitos ha sido el desmantelamiento de la red “Mariposa” que controlaba 13 millones de PC’s zombis.
Hay que tener en cuenta que ni las grandes empresas de Internet, donde están los mayores expertos, están exentas de estos ataques, y como muestra existe el caso de Google y su ataque que ha sido capaz de enturbiar las relaciones diplomáticas entre Estados Unidos y China.
Clásicos ejemplos de este tipo de fraude interno, apoyado en los sistemas informáticos aunque no de un carácter “técnico”, son:
  • El método del salami que consiste en el desvío fraudulento de una pequeña cantidad de cada integrante de un conjunto que tiene muchos elementos (por ejemplo en el redondeo de céntimos).
  • Los pagos de facturas a proveedores ficticios dados de alta en el proceso de facturación.
  • La falsificación de registros para que figure la conformidad de pagos que no se han realizado, sobre todo en el caso de los impuestos a las diversas administraciones.
Debido a que la detección de este tipo de fraudes es muy complicada, por la gran cantidad de datos que se tienen que analizar, entra en juego la labor de Auditoría Informática para comprobar la existencia de controles que impiden la realización del fraude, o en su caso avisan de que se están produciendo situaciones anómalas que conviene investigar en profundidad.
La labor de Auditoría en la lucha contra el fraude interno es doble:
  • Por una parte debe revisar la utilidad de los controles existentes en los distintos Departamentos para prevenir el fraude.
  • Por otra debe tener sus propios métodos de control para detectarlo.
Para ello debe contar con dos tipos de herramientas:
  • Las que permitan manejar grandes volúmenes de información para obtener pautas o tendencias.
  • Las alarmas que se disparan automáticamente cuando se produce una situación no habitual.
No hay que olvidar que es mucho más útil la Prevención que la Detección del fraude, por lo que una clasificación de la importancia de la labor de Auditoría, en función de los resultados obtenidos es:
  • Revisión de los controles internos.
  • Propuesta de mejora de los mismos.
  • Definición e instalación de alarmas en programas críticos.
  • Análisis de datos para discernir pautas de conducta.
Los dos primeros apartados pueden considerarse como una versión actualizada de “Mapas de Riesgo” en los que se incluyen acciones mitigadoras, mientras que el tercero sería la revisión de las clásicas “pistas de auditoría” que deben existir en las aplicaciones, siendo la más novedosa la última para lo que se usan técnicas estadísticas y de “minería de datos”.
Por otro lado, las dos primeras trabajan en el ámbito de la Prevención, la última en el de la Detección y la tercera es híbrida ya que por una parte todo el personal conoce de su existencia, y tiene un componente preventivo, y por otra la activación de una alarma no implica que se esté realizando una actividad ilícita.
OBJETIVOS Y ALCANCE
Desde el punto de vista del Control, una simplificación de las estructuras de control de una Entidad sería:
  • En primer lugar se encuentran las diferentes Áreas de Negocio que son el soporte de la actividad.
  • Estas áreas necesitan para poder llevar a cabo su actividad el apoyo de los Servicios Informáticos.
  • Seguidamente están los diferentes Departamentos que realizan las labores de Control Interno como:
  • Los Departamentos de Explotación y Seguridad Informática dentro del Área Informática.
  • El Departamento de Control de Gestión dentro del Área de Contabilidad
  • Los Departamentos de Seguridad Física, Recursos Humanos y Control de Calidad que también realizan actividades en la lucha contra el fraude
  • El Departamento de Riesgo Operacional que debe recibir informes del resto de Entidad acerca de los incidentes surgidos en la operatoria y controles existentes sobre la misma.
  • El Departamento de Auditoría, que en este caso se ha personalizado como Auditoría Informática, que analiza la información que procesan el resto de Departamentos de Control
  • Finalmente, cubriendo toda la actividad de la Entidad se encuentra el Departamento de Control Normativo encargado de vigilar el cumplimiento de los requisitos legales.
PUBLICADO POR ALBERTSALVADORLAFUENTELicenciado en CC Económicas y Empresariales y Auditor Interno Certificado por el IIA (The Institute of Internal Auditors), especialista en Fraude Interno, Forensic y Prevención de Blanqueo de Capitales. Cuenta con veinte años de experiencia en empresas líderes del sector bancario implantando el modelo de Corporate Assurance y mejores prácticas bancarias propuestas por el IAI (Instituto de Auditores Interno). Director de proyectos en el ámbito del fraude interno, forensic y prevención de blanqueo de capitales, implantación de modelos de auditorías normativas (CNMV, Ley de transparencia, SEPBLAC, políticas antisoborno etc) y comerciales. Ponente, profesor y colaborador en diversas publicaciones relacionados con la Auditoría, Fraude Interno, Gestión de riesgos y Compliance. Es secretario general y miembro de la Junta Directiva de la World Compliance Association Autor de dos blogs sobre la detección y prevención del fraude interno, la profesión de auditoría interna y el compliance en general: – Fraude Interno: http://www.fraudeinterno.wordpress.com – Compliance: http://www.prevenciondedelitos.wordpress.com Autor de los libros: – Fraude Interno; prevención, detección y tratamiento. (Amazon) – Actualidad Compliance 2018 (Thomson Reuters – Aranzadi) Ver todas las entradas de albertsalvadorlafuente

No hay comentarios.:

Publicar un comentario