Fraudes internos en las empresas: Julio Fernández-Sanguino Fernández Inspector de Servicios del Banco de España 2 Aproximación gráfica Uno de los objetivos del sistema de control interno de una empresa es minimizar el riesgo de fraude, especialmente del fraude interno que es el cometido por los propios empleados de la empresa, ya que la eficacia de los controles va disminuyendo según se asciende en la empresa desde el área operativa a la estratégica. Nuestro colaborador nos expone una visión general del fraude interno en la empresa FICHA RESUMEN Autor: Julio Fernández-Sanguino Fernández Título: Fraudes internos en las empresas: aproximación gráfica Fuente: Partida Doble, núm. 149, páginas 70 a 76, noviembre 2003 Localización: PD 03.11.06 Resumen: En este trabajo se pretende representar gráficamente las distintas variables relacionadas con los fraudes internos, como son las distintas áreas en las empresas donde se pueden producir, el posible comportamiento de empleados y directivos, los riesgos de las operaciones y el alcance de los controles, tanto internos como externos. Finalmente, a modo de conclusión y teniendo en cuentas las variables indicadas, se expone una visión de las áreas resultantes con las diversas posibilidades de fraudes en las empresas. Descriptores ICALI: Fraudes. Auditoría interna. 1. INTRODUCCIÓN (1) LLos fraudes internos en las empresas se pueden definir como actos indebidos o desleales realizados por personas relacionadas con las organizaciones con la finalidad de obtener un beneficio a costa de la empresa, generalmente. Para facilitar el análisis de esta cuestión, se deben distinguir las actuaciones fraudulentas de los empleados en sus empresas, que se asocian con los fraudes internos tradicionales, de las cometidas por los dirigentes de las mismas. Esta separación es fundamental tanto a la hora de clasificar las diferentes modalidades defraudatorias como en la evaluación de los importes defraudados, siendo también la problemática diferente en relación con la prevención y descubrimiento de los fraudes internos. La apropiación y el desvío de fondos suele ser el fraude más común en todos los niveles de las empresas. Según se asciende en las organizaciones hasta el más alto nivel, aparecen otras actuaciones indebidas relacionadas con comisiones y sobornos, estafas, fraudes contables, etc. En este trabajo se pretende representar gráficamente las distintas variables relacionadas con los fraudes internos, como son las distintas áreas en las empresas donde se pueden producir, el posible comportamiento de empleados y directivos, los riesgos de las operaciones y el alcance de los controles, tanto internos como externos. Finalmente, a 70 Nº 149 Noviembre de 2003
modo de conclusión y teniendo en cuentas las variables indicadas, se expone una visión de las áreas resultantes con las diversas posibilidades de fraudes en las empresas. Los gráficos desarrollados en el presente estudio son consecuencia de planteamientos lineales y genéricos, ofreciendo, en consecuencia, una visión idealista de la problemática de los fraudes internos en las empresas; ahora bien, son un primer paso para que cada organización pueda establecer sus propias áreas de riesgo en función de sus estudios, tanto a nivel individual como sectorial, teniendo en cuenta que, cuanto más precisos sean los datos, mayor podrá ser el nivel de representación. 2. AREAS EN LAS EMPRESAS Básicamente, en una organización empresarial se pueden distinguir tres niveles. Un primer tramo, donde se desarrollan los procesos básicos del trabajo, un intermedio, en el que se producen las decisiones programadas que rigen la operativa diaria, y otro superior, donde FIGURA 1 tienen lugar los procesos relacionados con la Dirección, como fijar objetivos, seleccionar estrategias, planificar, etc. (3) Teniendo en cuenta estos tres niveles, la empresa se puede representar por una pirámide, como se detalla en la figura 1, con tres áreas bien definidas (estratégica, táctica y operativa) donde tienen lugar los diversos centros de responsabilidad de la organización (inversión, ingresos, costes, etc.) (4). En el nivel superior se situaría la alta dirección, que representa el papel de la dirección general o la función del empresario. El segundo nivel se correspondería con la dirección intermedia, que representa el papel de los mandos intermedios o de los ejecutivos o directivos de la línea jerárquica de la empresa. Por último, en el nivel más bajo estaría la base operativa, que recoge los centros operativos de la empresa y el conjunto de personas (técnicos y trabajadores) que están directamente relacionados con la actividad empresarial (5). Estos tres niveles en que se ha dividido la empresa constituyen ámbitos determinados y específicos, relaciona- Estrategia Táctica Operativa L a apropiación y el desvío de fondos suele ser el fraude más común en todos los niveles de las empresas (1) El presente estudio está basado en la tesis doctoral del autor El fraude interno en la empresa: especial referencia a las entidades de crédito, UNED Madrid, junio 2000. También recoge conclusiones de otros trabajos del autor: El control interno en la empresa. Partida Doble, núm. 100, mayo 1999, págs. 64/71. La ética y los controles en las empresas. IX Conferencia anual de Ética, Economía y Dirección, 7 y 8 de junio de 2001 - Universidad de Deusto, Bilbao. Papeles de Ética, Economía y Dirección, núm. 6, 2001, págs. 95 a 108. Fraudes e irregularidades en la actividad financiera. X Conferencia anual de Ética, Economía y Dirección, 13 y 14 de junio de 2002 - Universidad Pontificia de Comillas. Papeles de Ética, Economía y Dirección, núm. 7, 2002, págs. 99 a 108. Las auditorias ante los fraudes en las empresas. Auditoría Interna, núm. 65, enero 2003, págs. 28 a 32. (2) Las opiniones vertidas en el presente artículo tienen carácter estrictamente personal del autor. (3) Suárez Suárez, A. Curso de Economía de la Empresa. Ed. Pirámide, 1996, pág. 72. (4) Garrido Buj, S. Manual de Gestión de empresas. Ed. Universitas, 1999, pág. 320. (5) Bueno Campos, E. Organización de empresas. Estructura, procesos y modelos. Ed. Pirámide, 1996, pág. 133. www.partidadoble.es Nº 149 Noviembre de 2003 71
S e deben distinguir los fraudes internos de los empleados, de los cometidos por los dirigentes (6) El entonces Consejo Superior Bancario, en las II jornadas de seguridad bancaria celebradas en diciembre de 1980, expuso estas estadísticas, recogidas en Estados Unidos. Comer, Michael J. El fraude en la empresa. Manual para su detección y prevención. Ed. Deusto, 1988, pág. 21. FIGURA 2 Honrados dos con la estrategia, la gestión corriente o táctica y las operaciones elementales, correspondiéndoles, por lo tanto, responsables, operativas y horizontes temporales diferentes. En relación con los fraudes internos, la problemática es distinta en cada una de las tres áreas indicadas, teniendo en cuenta las variables de autores, modalidades defraudatorias y posibles importes defraudados. En consecuencia, a la hora de su representación se deben distinguir los fraudes internos de los empleados, que se ubicarían en la parte baja de la pirámide, de los cometidos por los dirigentes, que ascenderían hasta el más alto nivel de la misma. En la zona intermedia se situarían los correspondientes a los directivos o mandos intermedios de la empresa. 3. POSIBLE COMPORTAMIEN- TO DE LOS MIEMBROS DE UNA ORGANIZACIÓN Deshonetos En relación con las posibles actuaciones fraudulentas de empleados, directivos y gestores en sus empresas, en primer lugar se debe tener en cuenta el posible comportamiento de un colectivo. La previsible actuación de un conjunto de personas podría ser el siguiente (6) : Una serie de personas, comprendida entre el 20 y el 25% del total, se puede considerar como honesta y no se apropiaría de ningún tipo de activo, incluso si no existieran controles. Se puede decir que los que integran este colectivo son completamente honrados en todo momento. Otro porcentaje similar, entre el 20 y el 25%, comprendería un colectivo que se puede considerar básicamente deshonesto y trataría de apropiarse de activos indebidamente, aún sabiendo que existe una gran probabilidad de ser descubiertos. Estas personas estarían dispuestas al fraude en cuanto las circunstancias lo permitiesen. El resto de las personas, entre el 50 y el 60%, serían tan honradas como lo permitan los controles y su motivación personal, apropiándose de activos si la probabilidad de ser descubiertos fuera mínima. Esta distribución puede quedar representada en la figura 2 correspondiente a una empresa como se indica en el cuadro adjunto, donde se puede observar de forma agrupada las distintas áreas de riesgo en base al posible comportamiento de empleados, directivos y gestores. En funciones de los controles Con independencia de la pertinencia de los datos indicados, el gráfico anterior permite, aunque sea de forma agrupada, representar las zonas de riesgo en una empresa en relación con la posible actuación de los miembros de la organización, desde la alta dirección hasta el área operativa. 72 Nº 149 Noviembre de 2003
Fraudes internos en las empresas: Aproximación gráfica 4. RIESGOS EN LAS OPERACIONES El concepto de riesgo, como sinónimo de peligro o amenaza de que puedan producirse pérdidas, daños o contratiempos siempre está presente en cualquier actividad empresarial, afectando en mayor o en menor medida a todas las organizaciones. Sin embargo, la asunción de riesgos no siempre se debe considerar como un mal necesario o una consecuencia indeseada de la operativa de la empresa, ya que en algunos sectores, como en el financiero, el riesgo constituye la autentica naturaleza del negocio (7). El riesgo depende de muchos factores, tanto internos como externos, destacando que las organizaciones tienen la posibilidad de sufrir pérdidas con motivo de falta de liquidez, conflictos de carácter laboral, aspectos legales, movimientos adversos de los mercados, variaciones en los tipos de cambio, etc. Por otro lado, al igual que no todas las actividades tienen idénticos riesgos, dentro de una misma empresa se desarrollan, generalmente, operaciones con diferentes niveles de riesgo que proyectan una incidencia paralela en relación con los fraudes internos, en el sentido de que, cuanto más sea el nivel de riesgo de una operación, mayor será la posibilidad de actuaciones fraudulentas aprovechando la misma. Por este motivo, la empresa representada por la figura 3 se ha dividido en tres áreas, para poder recoger en cada una de ellas de forma agrupada las operaciones que en la misma se desarrollan teniendo en cuenta los niveles de riesgo bajo, medio y alto de las citadas operaciones. Se debe precisar que esta división es teórica y de carácter general, ya que los diferentes niveles de riesgos se deben corresponder con la verdadera naturaleza de las operaciones que en las distintas empresas se realizan, ocupando la parte que realmente les corresponde en el gráfico, aunque para facilitar el estudio de este problema se han agrupado en las tres áreas indicadas. D entro de una misma empresa se desarrollan, generalmente, operaciones con diferentes niveles de riesgo que proyectan una incidencia paralela en relación con los fraudes internos FIGURA 3 Bajo Alto Medio (7) Lamamié de Clairac, J.M. y Gil Almansa, F. Basilea II: efectos sobre la práctica supervisora. Banco de España, Estabilidad Financiera, núm. 1, sept. 2001, pág. 163. Nº 149 Noviembre de 2003 www.partidadoble.es 73
H ay que destacar los "controles internos de carácter general" instalados en las empresas como la primera medida para luchar contra los fraudes FIGURA 5 Controles externos 5. ALCANCE DE LOS CONTROLES Para combatir los fraudes internos y otros actos indebidos o desleales, hay que tener en cuenta que el primer "control" debe corresponder a la gerencia, como responsable de establecer las medidas necesarias para proteger a la empresa mediante el establecimiento de unos "controles" eficaces en función de las características de la sociedad y de los fines previstos. En consecuencia, hay que destacar a los "controles internos de carácter general" instalados en las empresas como la primera medida para luchar contra los fraudes. Lógicamente, su eficacia puede incrementarse con "controles internos específicos" para operaciones o áreas concretas, como, por ejemplo, la informática. Zona desprotegida Unos controles internos eficaces deben proteger a la empresa en todos los ámbitos: el preventivo, para tratar de evitar la realización de fraudes y errores; el instantáneo, para detectar y corregir las incidencias que se produzcan, y el posterior, como consecuencia de análisis de estados y hechos ya producidos. Entre sus muchas facetas, controles internos resaltan como elemento disuasorio, aunque esta característica puede depender más del posible conocimiento de su existencia por parte de los empleados que por la calidad de los controles implantados. La eficacia de los controles va disminuyendo según se asciende en la empresa desde el área operativa a la estratégica. Cuando un fraude se gesta en la alta dirección de una empresa es muy difícil evitarlo, ya que los controles internos no funcionan con la misma eficacia con la que combaten los fraudes de carácter general cometidos por empleados. Las personas con poder bastante pueden influir en sus organizaciones para obtener un provecho personal, pudiendo, además, ordenar la justificación de sus acciones indebidas a cargo de la sociedad o su encubrimiento para que pasen desapercibidas. La delincuencia económica o de "cuello blanco" es, por su propia naturaleza, de difícil investigación ya que, con independencia de las posibles influencias de los directivos o administradores para camuflar sus operaciones indebidas o ilícitas, se utilizan medios que no están al alcance de cualquier empleado, como testaferros, entidades instrumentales o interpuestas, paraísos fiscales, sofisticadas técnicas de ingeniería financiera, etc. Por otro lado, los controles externos, como la auditoría de cuentas con carácter general para las empresas y las medidas de supervisión para determinados sectores, tienen una eficacia limitada en relación con los fraudes internos en las organizaciones, ya que actúan a posteriori y a un nivel muy superior donde se desarrollan los fraudes de los empleados. Controles internos Es de destacar que el trabajo del auditor de cuentas no está específicamente destinado a detectar irregularida- 74 Nº 149 Noviembre de 2003
Fraudes internos en las empresas: Aproximación gráfica des en las empresas auditadas. La auditoría externa, a pesar de las expectativas puestas por el público en general, presenta una posición ante el fraude interno realizado por empleados poco eficaz en líneas generales, ya que cumple una finalidad legal y se circunscribe al ámbito contable. No obstante, puede ofrecer garantías suficientes en relación con los fraudes contables y con determinadas actuaciones indebidas realizadas por la propia empresa o por sus directivos, sobre todo cuando sean muy relevantes. Los fraudes internos tradicionales, como la apropiación indebida de fondos y bienes de la empresa o la falsificación de documentos, son una realidad en el mundo empresarial actual y su descubrimiento difícil, ya que, según encuestas, una gran parte de los mismos o no se detecta o se descubre por casualidad más que por la aplicación de sistemas de control, lo que induce a pensar que puede existir una gran cantidad de fraudes sin aflorar. tinguen los controles internos, que tienen su máxima eficacia en la parte operativa de la empresa y que va disminuyendo según se asciende al área estratégica, y los externos, que es más limitada y se sitúa en el nivel intermediosuperior de la organización. 6. POSIBILIDAD DE FRAUDES INTERNOS EN LAS EMPRESAS Si se tienen en cuenta todas las variables indicadas anteriormente y se refunden las figuras desarrolladas en los cuadros anteriores, el resultado conjunto se puede observar en la figura 6. La línea "ee" demarcaría las zonas de posible actuación de los empleados. A la derecha estaría el área con posibilidades de fraudes y a la izquierda la zona de actuación donde los empleados y directivos son honestos, no debiéndose producir, en consecuencia, fraudes internos. L a eficacia de los controles va disminuyendo según se asciende en la empresa desde el área operativa a la estratégica Lo ideal sería que todas las áreas de una empresa estuvieran protegidas ante los fraudes internos; no obstante, la realidad de las actuaciones fraudulentas en las empresas, unas descubiertas, otras intuidas, nos conduce a la existencia de zonas no cubiertas u otras donde los controles implantados no pueden impedir la realización de los fraudes. En este contexto se tiene que tener en cuenta que los controles tienen un coste, por lo que, en ocasiones, se escatiman. La línea "rr" indica el posible riesgo de las operaciones, representando a su derecha las operaciones de alto riesgo que realiza la empresa. Este tipo de FIGURA 6 c r e Alta En la figura 5 se intenta representar el alcance de los controles en relación con los fraudes internos teniendo en cuenta lo anteriormente expuesto. La empresa está dividida en dos áreas, una correspondiente a la zona desprotegida, que tiene su máxima amplitud en la parte correspondiente a la gestión, y otra que queda dentro de la influencia de los controles. En esta última, se dis- Muy baja e Baja r Muy alta Media c Nº 149 Noviembre de 2003 www.partidadoble.es 75
L as operaciones con mayor riesgo que se desarrollan en la parte operativa de la empresa deben estar especialmente protegidas riesgo iría disminuyendo a medida que nos desplazamos a la izquierda de la mencionada línea. La línea "cc" recoge el alcance de los controles, representándose en la parte derecha la zona desprotegida de la empresa y hacia la izquierda el área de la empresa protegida por los controles, tanto internos como externos. Teniendo en cuenta la intersección de las líneas mencionadas, el resultante es una serie de áreas con el siguiente contenido: 1. Aquella zona de la empresa desprotegida por los controles aparece en la figura con una ALTA posibilidad de fraudes, que, lógicamente, se incrementa a MUY AL- TA cuando las operaciones son de alto riesgo. Esta última área, aunque afecta a todos los niveles de la empresa, tiene su mayor incidencia en la zona intermedia que es donde tienen lugar las operaciones especializadas realizadas por mandos intermedios o empleados altamente cualificados. Corresponden a operaciones de alta rentabilidad o novedosas, donde los controles se obvian o todavía no están muy definidos, como por ejemplo ocurrió con la operativa correspondiente a los derivados, que tan cuantiosas pérdidas causó en los años noventa. La zona definida con alta posibilidades de fraudes tiene su máxima amplitud en la parte superior, correspondiendo a los fraudes de los gestores en sus empresas. 2. Las operaciones de riesgo elevado, aunque estén dentro de la zona de protección de los controles, por su propia naturaleza siempre son susceptibles de acciones fraudulentas, por lo que en el gráfico aparecen con una posibilidad de fraudes MEDIA. Las operaciones con mayor riesgo que se desarrollan en la parte operativa de la empresa deben estar especialmente protegidas, haciendo, este sentido, una referencia especial a los controles internos específicos. 3. Aquella zona donde se desarrollan las operaciones de riesgo medio y bajo, adecuadamente protegidas por los controles, le corresponde una posibilidad de fraudes BAJA. Esta área, que se sitúa desde la zona táctica a la operativa, tiene en esta última parte su mayor amplitud, comprendiendo la mayor parte de la operativa de la organización con las operaciones más usuales. 4. Por último, la posibilidad de fraudes debería ser MUY BAJA en base a la certeza de la honestidad de los empleados, como se recoge en el área correspondiente. No obstante, esta certeza nunca puede ser total, pues aunque el enriquecimiento indebido sea el principal causante de los fraudes internos en las empresas, existen otras motivaciones que inducen a actuaciones no deseadas. Para evitar esto último hay tener en cuenta otras cuestiones independientes de los controles internos, como una política de personal adecuada, que evite empleados descontentos o desmotivados, el nepotismo, la corrupción en cualquier nivel de la empresa, etc. 76 Nº 149 Noviembre de 2003