60 | Master en negocios Finanzas
CAPITULO 4
prevención y detección de fraudes corporativos Diego Cano
Los fraudes pueden ser extremadamente costosos para las empresas. en el tristemente célebre caso enron, una estafa orquestada por altos ejecutivos acabó con la quiebra de la compañía, millonarias pérdidas para los accionistas y miles de empleados en la calle. ¿cómo evitar las defraudaciones? ¿cómo detectarlas antes de que sea tarde? en este capítulo, un recorrido por las mejores prácticas en prevención y detección de fraudes corporativos. capÍtulo 4 Prevención y detección de fraudes corporativos | 61
diego cano es Licenciado en Ciencia Política (Universidad del Salvador), MBA (Universidad de San Pablo, Brasil) y Candidato a Magíster en Análisis y Gerenciamiento de Información Estadística. Es Certified Fraud Examiner de ACFE. Es Profesor Titular de la materia Estructura Económica Argentina de la carrera de Ciencias Económicas en la Universidad del Salvador y docente de Sociología Económica y Economía Política en la Universidad de Buenos Aires. Es Managing Director y Head Office de FTI Consulting en Argentina. Ha presen-
tado diversos papers relacionados con sus actividades académicas en congresos internacionales, así como también realiza constantemente presentaciones a clientes acerca de su experiencia en litigios y consultoría en investigación de fraudes.
En las últimas décadas y al ritmo de las amenazas de crisis en la economía mundial, el problema del fraude en sus diversas formas ha ido ganando un lugar cada vez más importante entre hombres de negocios y hacedores de políticas públicas en todo el mundo. Los grandes escándalos, como Enron y WorldCom, han sido los picos de atención a nivel mundial y han originado diversos análisis acerca de lo que esta cuestión representa para el futuro de la economía. El caso Enron en particular, en parte por el volumen de dinero involucrado (varios miles de millones de dólares), y también por la variedad de maniobras fraudulentas implicadas, se ha convertido en caso testigo del fraude corporativo y ha acaparado la atención de instituciones y medios especializados (e incluso de los medios masivos de comunicación). Pero las grandes corporaciones no son toda la economía. Más allá de la atención despertada por el gigante de la energía existen muchos otros casos de fraude que, por no implicar montos de dinero tan grandes, no atraen la misma atención, pero que tomados en conjunto representan varios Enron, en millones de dólares perdidos. Según las estimaciones de la ACFE (Association of Certified Fraud Examiners), las empresas norteamericanas, perderían como consecuencia de acciones fraudulentas, un monto cercano al siete por ciento de sus ingresos anuales. Para el año 2008, la estimación es de unos 994 mil millones de dólares, casi tres veces el producto interno bruto argentino. El fraude aparece, entonces, como una amenaza en dos niveles. Para las empresas, individualmente es un ataque a sus ingresos (y, en casos extremos, puede significar la quiebra). Para la sociedad en su conjunto, la proliferación de fraudes pone en peligro el desarrollo económico, afectando a todas las empresas (aún a aquellas que no lo sufran directamente). Afortunadamente, hoy contamos con diversas prácticas y metodologías para prevenir la ocurrencia de fraudes o, en caso de que ocurran, detectarlos en una etapa temprana para minimizar los costos sobre la organización y la economía. A lo largo de este capítulo, presentaremos los diversos tipos de fraudes y una serie de mejores prácticas para evitar y detectar estas actividades delictivas. 1) introdUcción a Los fraUdes corPorativos 1.1) ¿Qué es un fraude? En esencia el fraude es una decepción, una falta contra la confianza depositada en una persona. En el campo de la investigación y esclarecimiento de fraudes existen distintas definiciones. Entre sus elementos fundamentales se encuentran: Una representación falsa de la realidad: La falsa representación del estado financiero de una empresa, por ejemplo, puede darse por la inclusión explícita de datos falsos, por ocultamiento de información o por no detallarla adecuadamente. La conciencia del engaño: Para que exista fraude (y no una simple equivocación) la persona debe saber, o al menos sospechar con fundamento, que la representación de la realidad que está exhibiendo es falsa. La intencionalidad: Al hacer esta falsa representación de la realidad, la persona responsable de ella espera que el o los que la reciban respondan de una manera determinada, ya sea tomando una decisión con respecto a la empresa o modificando sus planes de negocios en respuesta a la información contenida en ella. Esto ocurre, por ejemplo, cuando el gerente de una gran empresa manipula los estados financieros para presentar una posición económica más sólida de la que la compañía realmente tiene, esperando que los inversores reaccionen comprando acciones y éstas aumenten su cotización en el mercado. Pérdida o daño: Las decisiones tomadas por la víctima del fraude en respuesta a la información contenida o sugerida por la falsa representación deben llevar a una pérdida 62 | Master en negocios Gobierno corporativo
económica o daño en la imagen o estructura de la empresa que podría derivar en una pérdida económica. En efecto, si el inversionista compra acciones y obtiene ganancias, difícilmente le interese presentar cargos en contra de los responsables del falso informe financiero. 1.2) tipos de fraudes Las características detalladas en el apartado anterior abarcan una amplia variedad de hechos. Aquí se incluyen desde los más impresionantes fraudes financieros que involucran a altos ejecutivos o a miembros del Directorio hasta la defraudación de un empleado que fragua comprobantes de gastos médicos o de representación. Se hace evidente, entonces, la necesidad de una clasificación que permita establecer diferencias entre los hechos de fraude, para conocer mejor las formas que pueden presentarse y actuar de acuerdo a lo que cada caso requiera. Ahora bien, existen muchas formas de clasificar al fraude. Algunas surgen simplemente de identificar características distintivas en un hecho reconocido como fraude. Por ejemplo, a menudo oímos hablar de fraudes informáticos (cometidos usando una computadora), fraudes fiscales (cuando se trata de evasión de impuestos), fraudes financieros (la falsificación de reportes financieros) y fraudes inmobiliarios (cuando el engaño involucra la venta de propiedades inmuebles). Además de estas clasificaciones, que son simples identificaciones de tipos de fraude, existen otras más estructuradas que pretenden abarcar y describir a todos los fraudes que podemos encontrar en el mundo de los negocios. Algunas de ellas toman en cuenta la posición que ocupa el responsable con respecto a la empresa. Así, tendremos los fraudes cometidos por los empleados de cualquier nivel (fraudes internos) y los cometidos por clientes, proveedores e inversores (fraudes externos). También pueden identificarse fraudes mixtos, que involucran a personas en distintas posiciones1. Otras distinciones usuales son entre: fraude cometido contra la compañía o para beneficiarla; fraude gerencial o fraude cometido por empleados de menor jerarquía. La clasificación que utilizaremos en este capítulo es la de la ACFE, que se divide en tres grandes categorías: apropiación indebida de bienes: En este caso, alguien toma para su beneficio personal activos que pertenecen a una empresa, generalmente aquella en la que trabaja, haciendo un uso indebido de su posición, información y medios. Este tipo de malversación es más frecuente en pequeñas y medianas empresas. Por ejemplo, la apropiación de mercadería de la compañía para venderla por cuenta propia, la sustracción de dinero de la caja y la apropiación de dinero o cheques destinados a pagos de proveedores. corrupción: En este caso, una persona recibe alguna cosa de valor (no necesariamente un pago en efectivo) para hacer o dejar de hacer algo de manera que no estaría cumpliendo con sus responsabilidades, y perjudicando los intereses que debería defender. Típicamente este tipo de fraude involucra a funcionarios públicos que reciben regalos, beneficios económicos, dinero o participación en beneficios a cambio de facilitar la obtención de beneficios a una empresa aprovechando su posición. informes fraudulentos: Se trata, quizá, del tipo de fraude más complejo y con implicaciones más importantes para la economía de un país. Mediante la falsificación de los estados financieros de una empresa se pretende obtener un beneficio para ella: el aumento de la cotización de las acciones, una venta conveniente, la obtención de un crédito. En estos casos, suelen estar involucrados empleados del más alto nivel y los montos defraudados son de millones y cientos de millones de dólares.
1 Clasificación de Steve Albrecht. capÍtulo 4 Prevención y detección de fraudes corporativos | 63
inforMes fraUdULentos
fraUde apropiación de activos
corrupción
informes fraudulentos
Falsificación de cheques
Conflictos de interés
Subvaluación de pasivo
Pagos Fraudulentos
Extorsión
Sobrevaluación de activos
Robo de efectivo
Sobornos
Ganancias ficticias
Una vez que hemos identificado los distintos tipos de fraudes, podemos pensar en cuáles de estos hechos pueden llegar a afectarnos, y cómo evitar que esto suceda.
Fraude corporativo: las lecciones de enron A fines de 2001, Enron, considerada entonces una de las empresas más innovadoras y creativas de los Estados Unidos, quedó al descubierto tras conocerse un fraude financiero y contable, sistemático y planificado, que desencadenó la quiebra corporativa más grande de la historia del país hasta ese momento. La trama había sido ideada por un grupo de directores y gerentes, quienes actuaron ilegalmente creando redes de compañías offshore donde ocultaban las verdaderas pérdidas del negocio. Esto era posible a través de la manipulación de los estados contables, mediante los cuales se presentaban mejores resultados al público inversor y se elevaba el valor de mercado de las acciones de la firma. Es decir, Enron sobrevaloraba sus activos y ocultaba sus pérdidas, generando ganancias ficticias que empujaban al alza el valor de la acción y la capitalización de mercado. Paralelamente, miembros del Directorio y de la primera línea de gestión, beneficiándose de información interna, realizaban operaciones bursátiles con las acciones de la compañía (insider trading). Ahora bien, cualquier organización puede cometer errores al momento de contabilizar ganancias en un balance. Sin embargo, cuando las ganancias ficticias son provocadas intencionalmente representan una maniobra fraudulenta. Así, el escándalo de Enron se encuadró perfectamente en la categorización de ACFE (Asociación de Examinadores de Fraude Certificados de los Estados Unidos): una maniobra fraudulenta perpetrada a través de la creación de estados financieros falsos, con la pretensión de obtener beneficios en detrimento de los inversores. La estafa cumplió con todas las características que, en teoría, tiene un fraude de estados financieros. Por un lado, el CEO de la compañía, Kenneth Lay; el CFO, Andrew Fastow, y el Presidente, Jeffrey Skilling, conocían la maniobra y alentaban el esquema de fraude en el que también participaba la firma de asesoría contable Arthur Andersen, que se desempeñaba como contador externo y como consultor para el área de auditoría interna. Arthur Andersen, que tenía la responsabilidad de confeccionar estados contables verídicos, a la vez ejercía el rol del control
64 | Master en negocios Gobierno corporativo
interno de dichos estados, poniendo en evidencia un claro conflicto de interés y quedando involucrada como partícipe necesaria de la estafa. Kenneth Lay murió antes de conocer el veredicto que podía llevarlo a prisión por casi 40 años. Andrew Fastow fue condenado a 6 años de cárcel. Jeffrey Skilling aún cumple una sentencia de 24 años. Arthur Andersen, por su parte, debió renunciar a su licencia para la práctica contable. A pesar de haber obtenido el visto bueno de la Suprema Corte de los Estados Unidos para volver a operar, nunca más volvió a hacerlo. A nivel mundial, la magnitud de este fraude, sucedido por el de WorldCom, originó una serie de recomendaciones y nuevas regulaciones para prevenir futuros episodios. Entre las más relevantes se destacan: • Auditoría independiente, con la autonomía suficiente para requerir toda la información que sea necesaria. • Evaluación constante de los controles internos. • Implementación de códigos de procedimientos. • Implementación de un Código de Ética, para fijar la posición de la compañía no sólo en materia de fraude, sino también en su relación con clientes, proveedores, competidores y empleados. En definitiva, es responsabilidad del management de una compañía confeccionar estados financieros que reflejen su realidad. Asimismo, es responsabilidad del auditor externo certificar que dichos reportes representen los resultados reales. Tanto la cúpula de Enron como Arthur Andersen fallaron en estas responsabilidades. 2) evaLUación de riesgos de fraUde 2.1) adelantarse a los hechos ¿Todas las empresas se encuentran amenazadas por la sombra del fraude? ¿Cómo saber si se está cometiendo o puede llegar a cometerse un fraude en nuestra empresa? ¿Qué deberíamos hacer para evitarlo? En principio, ninguna empresa está exenta del riesgo de fraude. Si bien los fraudes que pudieran cometerse en una PyME seguramente no tengan repercusión en la opinión pública, pueden involucrar cifras que pongan en riesgo la subsistencia de la organización. Entonces, una práctica fundamental para cualquier empresa es la evaluación de riesgos de fraude. En un sentido amplio, podemos definir el riesgo como una amenaza sobre el cumplimiento de los objetivos de una organización. Y estos riesgos incluyen tanto a las amenazas materiales que afectan a la seguridad de las personas y las cosas, como los que tienen que ver con la información de la empresa y con la integridad de su patrimonio. 2.2) ¿Qué debe considerar una buena evaluación? Una evaluación de riesgos debe considerar todas las posibilidades de fraude según las características de la empresa y sus actividades. Por ejemplo, en el caso de una compañía de comercio minorista con importantes ingresos de dinero en efectivo será fundamental considerar todas las formas en que alguien podría apropiarse de ese dinero. Si la empresa realiza obras o brinda servicios que requieren la contratación continua de servicios de terceros o grandes compras de materiales y equipos, será crucial analizar la política de contrataciones y compras. Entonces, los riesgos de fraude a los que está sometida una empresa pueden clasificarse de la manera siguiente: 2.2.1) Riesgos operativos Durante las actividades normales de una empresa, constantemente se toman decisiones acerca de la utilización y destino de sus recursos, tanto del dinero en efectivo y capÍtulo 4 Prevención y detección de fraudes corporativos | 65
demás medios de pago, como de los bienes de capital y los materiales e insumos que se emplean en esas actividades. El primer e imprescindible análisis a llevar a cabo en una evaluación de riesgos consiste en identificar quiénes son las personas que están en condiciones de tomar decisiones que puedan afectar a los recursos de la empresa, ya sea que se trate de dinero en efectivo, cheques, valores de todo tipo; de maquinaria, equipos; o de productos elaborados, materias primas, y materiales. La evaluación de este aspecto debe establecer claramente cuáles son las responsabilidades de los empleados en general, de los gerentes, y cuál es el nivel de riesgo, para cada uno de los casos, de que una decisión indebida perjudique el patrimonio de la organización. Además de las preguntas generales acerca de los riesgos implícitos en las actividades de cualquier empresa, es necesario formular aquellas que surjan de las características particulares de esas actividades. No es lo mismo lo que debe considerar una empresa que comercializa productos elaborados por ella en grandes cantidades, que una que brinda servicios de transporte, u otra que construye grandes obras de infraestructura. 2.2.2) Riesgos en el sistema de información La mayoría de los fraudes requieren que el responsable oculte las pruebas de su acto, falseando o eliminando alguna información. La evaluación de los riesgos que afectan al sistema contable de la empresa (y a su sistema de información, en sentido amplio) forma parte fundamental de la evaluación de riesgos, dada la importancia de dicho sistema en garantizar la efectividad de las medidas tomadas para controlar los riesgos operativos. Cualquier política o código de procedimientos que regule la forma en que se llevan adelante las operaciones de la empresa debe cumplirse efectivamente para ser eficaz. Y, si no se cumple, debe ser posible detectar el hecho prontamente. El sistema de información debe reflejar todos esos procedimientos y dejar constancia de ellos. 2.2.3) Riesgos de fraudes cometidos por terceros Más allá de lo que la empresa puede controlar en sus procedimientos, existe la posibilidad de que personas ajenas a ella obtengan un beneficio indebido a su costa. Por lo tanto, es necesario incluir en la evaluación de riesgos a aquellas amenazas que podrían provenir de afuera. Por ejemplo, un fraude cometido con una tarjeta de crédito o un proveedor que cobra por algo que no ha entregado. En muchos casos, estos riesgos pueden controlarse siendo cuidadoso en la consideración de la identidad de los clientes o de los antecedentes de los proveedores o también estableciendo procedimientos seguros para los pagos y cobros. No obstante, es posible que estas precauciones sean inefectivas si esas personas cuentan con la complicidad de empleados de la empresa, que burlan los controles para permitir la ocurrencia del fraude. 2.3) aspectos de una buena evaluación En el apartado anterior, hemos presentado los tipos de riesgos a los que se encuentran sometidas las empresas. Veamos, a continuación, los principales aspectos de una buena evaluación para determinar el grado de vulnerabilidad de la organización. 2.3.1) Participación Como se ha observado anteriormente, la evaluación de riesgos debe ser lo más amplia posible. Por eso, es importante contar con distintas perspectivas acerca de las situaciones a considerar y con todo el conocimiento posible acerca de las actividades de la empresa. Es aconsejable consultar a los empleados de las distintas áreas acerca de cuáles consideran ellos como los puntos vulnerables en su sector. El objetivo es que la evaluación no sea puramente técnica y realizada de manera aislada sino que se consideren las distintas perspectivas y niveles de conocimiento de las actividades de la empresa y de su registro. 66 | Master en negocios Gobierno corporativo
2.3.2) Sistematización La recopilación de abundante información sobre los riesgos no es suficiente. También es necesario sistematizarla para realizar un análisis. En primer lugar, es conveniente categorizar los factores de vulnerabilidad según el área de la empresa en que se encuentren. En una evaluación de riesgos, deben buscarse todos los factores que puedan dar lugar a situaciones que amenacen el normal desarrollo de las actividades dentro de un área de acuerdo a sus especificidades. El conocimiento de los empleados de la propia área es de primera necesidad para esto, pero también hay que considerar la perspectiva de quienes no pertenecen a ella pero tienen, en su actividad, habitual relación con la misma. Otra parte imprescindible de la evaluación es la clasificación de esos hechos por su nivel de riesgo. Esto puede incluir una evaluación de ese nivel de riesgo en dos aspectos: 1) ¿Qué tan probable es que ese riesgo se convierta en un hecho? 2) ¿Cuál es la importancia del efecto que produciría sobre la empresa? Esta categorización debe guiar a los evaluadores para detectar aquellos peligros que merezcan una atención especial. 2.3.3) Minimización del riesgo Una vez establecidos los niveles de riesgo, la atención de la evaluación debe dirigirse a las posibilidades de minimizarlos. Frente a los potenciales fraudes identificados, ¿en qué casos se puede evitar que sucedan? ¿Cuáles pueden prevenirse? Desde luego, la prevención es el primer objetivo de una evaluación de riesgos. El resultado deseable es que todas las oportunidades de cometer un fraude sean eliminadas. Sin embargo, en ocasiones esto resulta imposible. En estos casos, la evaluación de riesgos deberá considerar que las medidas que se tomen, al menos sean capaces de disuadir a los potenciales defraudadores de su acción, mostrando que la empresa está atenta a los factores de riesgo y que existen controles. Finalmente cuando aún así no pueda evitarse el fraude, éste debe poder ser detectado lo más rápidamente posible. La detección inmediata es fundamental para detener un esquema de fraude antes de que cobre una importancia tal que ponga en riesgo la situación patrimonial de la empresa (o incluso su subsistencia). 3) MeJores PrÁcticas en Prevención y detección de fraUdes En el apartado anterior, hemos brindado algunas pautas para realizar una evaluación de riesgos de fraudes. Ahora bien, una vez que conocemos nuestras vulnerabilidades, ¿cuáles son las medidas que deberíamos tomar para reducirlas y prevenir la ocurrencia de fraudes? 3.1) el sistema de controles internos La principal forma de prevenir fraudes es la implementación de un sistema de controles internos que responda a las amenazas detectadas en la evaluación de riesgos. Dicha respuesta se compone de un conjunto de procedimientos, o de acciones montadas sobre los procedimientos habituales de la empresa que minimicen el riesgo de fraude: 1) previniendo un acto fraudulento, al hacer imposible que alguien con la motivación y medios suficientes encuentre la oportunidad de cometerlo; 2) disuadiendo al potencial defraudador de llevar a cabo el fraude, ante la perspectiva de que existe un control que puede ponerlo al descubierto; 3) detectando oportunamente un fraude e identificando al o a los responsables en caso de que se cometa. 3.1.1) Las red flags Los rastros de acciones indebidas reciben el nombre de red flags (banderas rojas) sugiriendo que se trata de señales de riesgo. Por ejemplo, si alguien está utilizando la chequera de la empresa para emitir cheques a nombre de falsos proveedores o por gastos fraguados, los registros deberían mostrar esta situación. La conciliación bancaria y las cuentas de proveedores deberían poner en evidencia que se está produciendo una situación irregular. Puede ocurrir que los procedimientos actuales de la empresa no estén en condiciones capÍtulo 4 Prevención y detección de fraudes corporativos | 67
de generar estas señales de riesgo. Y aquí es donde comienza el trabajo de elaboración de los controles internos. El objetivo último de esta tarea consiste en crear un entorno que genere señales para toda situación potencial de fraude. De esta forma, es posible obtener una seguridad razonable de que cualquier acción de este tipo hará aparecer una red flag de alerta. controLes internos y MiniMiZación de riesgos
riesgos de fraUde
Prevención
disuasión
produce
genera
Reducción de las oportunidades
Riesgo post prevención
Efecto disuasorio de los controles
Riesgo residual
monitoreo
detección
da lugar a Inicio de investigación 3.1.2) El modelo COSO Existen distintas perspectivas acerca de lo que significa un buen sistema de controles internos y de la forma de ponerlo en práctica. Entre éstas, se destaca el modelo COSO, que es el estándar creado por el Committee of Sponsoring Organizations de la Treadway Commission e impulsado por la SEC2 en los Estados Unidos. Este modelo define el control interno como un proceso que involucra al Directorio, a los gerentes, al personal de auditoría, al personal contable y otros; que busca asegurar razonablemente que se cumplan los objetivos perseguidos por la organización, tanto en la efectividad y eficiencia de las operaciones, como en la credibilidad de los registros contables y de los estados financieros, cumpliendo con lo establecido por las leyes y las regulaciones que correspondan según la naturaleza de la empresa. 2 Agencia de los Estados Unidos que tiene la responsabilidad principal de hacer cumplir las leyes federales de los valores y regular la industria de los valores. Para más información, ver el capítulo 2, Gobierno corporativo y regulaciones públicas, del presente tomo. 68 | Master en negocios Gobierno corporativo
En este proceso, el modelo COSO distingue cinco aspectos fundamentales: entorno de control: Incluye aspectos como la integridad, los valores éticos y el estilo operativo de la gerencia, la competencia del personal, la forma en que se establecen las responsabilidades dentro de la empresa y la forma en que ejerce su autoridad el Directorio. evaluación de riesgos: En la sección anterior ya nos hemos referido a este importante aspecto del control interno. actividades de control: Aquí se incluyen todos los procedimientos y prácticas concretas que permitan una seguridad razonable de que se minimizarán los riesgos potenciales. información y comunicación: El sistema de información de la empresa debe proveer a los encargados de las auditorías y a los responsables de monitorear el sistema de controles de toda la información pertinente con la calidad necesaria para cumplir sus objetivos. Además, es necesario que las comunicaciones internas sean eficientes, incluyendo la difusión, entre todos los involucrados en los procedimientos, de los objetivos del control interno, las buenas prácticas sugeridas, y los requerimientos derivados de las leyes y regulaciones aplicables que podrían verse afectados por un fraude. Monitoreo: Los mejores procedimientos y actividades de control, articulados de acuerdo con el mejor análisis de riesgo, no garantizan el cumplimiento de los objetivos si no existe un adecuado proceso de monitoreo que asegure que dichos procedimientos están siendo aplicados debidamente. 3.2) Buen gobierno corporativo A partir de los escándalos de Enron y WorldCom, la SEC y otras instituciones se han preocupado por elaborar estándares respecto a esta materia. ¿Cuáles son las recomendaciones en materia de gobierno corporativo que ayudan a combatir el fraude? independencia de la auditoría: Los encargados de realizar la auditoría en la empresa deben tener autonomía suficiente para requerir toda la información que consideren necesaria. Su tarea no debe verse entorpecida por limitaciones que puedan provenir de los encargados de los distintos sectores o de la gerencia. Además deben sentirse libres de presiones con respecto a la evaluación que hacen de la aplicación de los procedimientos establecidos y del funcionamiento de los controles internos. evaluación de controles internos: El ciclo del sistema de controles internos no se cierra cuando ha comenzado a funcionar. Es necesario que auditores, gerentes y directores evalúen periódicamente su funcionamiento para detectar fallas, incumplimientos, excepciones o situaciones no previstas, de manera que puedan encontrarse las soluciones a tiempo. establecimiento de códigos de procedimientos: En la actualidad, se ha extendido la práctica de establecer códigos de procedimiento para las distintas áreas de la empresa (por ejemplo, para las compras y contrataciones, para el Departamento Contable) que fijen la forma correcta de llevar a cabo esas actividades, de autorizar los procedimientos (como los pagos a proveedores o las compras directas) y de realizar y respaldar los registros. código de ética: Muchas empresas elaboran un código que fija la posición ética de la empresa no sólo en materia de fraude, sino también en su relación con clientes, proveedores y competidores, y las expectativas con respecto al comportamiento de sus empleados. Para que el código de ética de la empresa sea una herramienta en la lucha contra el fraude debe ser conocido por todos los interesados. La compañía, a través de capÍtulo 4 Prevención y detección de fraudes corporativos | 69
sus autoridades y gerentes, debe transmitir la convicción de que representa un estándar para la conducta de todos sus miembros. El espíritu de las recomendaciones acerca del buen gobierno corporativo, más allá de las buenas prácticas en materia operativa y de registro de la información, se encuentra en la construcción de una cultura ética para la empresa. La convicción detrás de esto es que la efectividad del sistema de controles y de la política de minimización de riesgos se sustenta en que los directivos de la empresa se comprometan y asuman el liderazgo en la construcción de una cultura de integridad y transparencia. Además del liderazgo de los niveles altos, una comunicación eficaz es imprescindible para transmitir la cultura ética que se pretende instaurar en todos los empleados. La capacitación en cuestiones de ética en los negocios es fundamental para apuntalar la política de comunicación. Como contrapartida imprescindible de la sanción de un código que consagre la cultura ética de la empresa, debe existir un conjunto de medidas disciplinarias, que sirvan para disuadir a los potenciales defraudadores.3 3.3) Breve listado de buenas prácticas Para cerrar este apartado, enumeraremos algunos principios que ya son clásicos de las buenas prácticas en la lucha contra el fraude: separación de tareas: Siempre se debe evitar que una misma persona tenga bajo su control la totalidad de una operación. Por ejemplo, no es recomendable que una misma persona sea la encargada de cobrar las deudas de los clientes, de llevar el registro de control de esas cuentas y de depositar lo cobrado. En toda operación, en la medida de lo posible, deberían separarse las tareas de autorización, ejecución, registro y cuidado de la documentación. rotación de funciones: No es recomendable que una misma persona permanezca mucho tiempo realizando la misma tarea. Por supuesto que rotar a los empleados puede no ser fácil en una pequeña empresa. Sin embargo, dentro de lo posible, debería tratarse de que exista una rotación mínima, al menos para evitar que una sola persona conozca cómo se realiza determinada operación. controles cruzados: Adicionalmente a las prácticas anteriores, es recomendable que los empleados que trabajan dentro de una misma área se controlen recíprocamente. Nuevamente, esto puede no ser sencillo en una empresa que trabaja al límite de sus recursos humanos. Sin embargo, los controles entre pares pueden mejorar la eficacia de los procedimientos y hasta resultar beneficiosos para la productividad. controles periódicos y sorpresivos: Además de los controles habituales, estipulados en los procedimientos de auditoría, es aconsejable realizar controles sorpresivos y al azar, de manera que los empleados no sepan en qué momento se realizarán ni qué sector será el auditado. En contraposición con una investigación en profundidad, que podría ser demasiado costosa en tiempo y recursos, esta forma de control se revela como efectiva y con un costo menor. Hot line: Se encuentra entre las herramientas de mayor difusión en los últimos tiempos entre las empresas preocupadas por reforzar su política de ética y lucha contra el fraude. Se trata de una línea anónima que llega directamente a los directivos, destinada a recoger denuncias de fraude. Para que esto sea efectivo, debe garantizarse que aquellos que tengan conocimiento o sospechas acerca de actos indebidos, puedan comunicarlo a los interesados sin temer represalias. Estos empleados son los que, en investigación del fraude, se denominan whistleblowers (informantes). El aporte crítico de estas personas en el descubrimiento de grandes esquemas de defraudación ha hecho que el uso de líneas directas y gratuitas (0800) para denuncias anónimas de fraude se impusiera, en los Estados Unidos, como un estándar obligatorio. 3 Para más información, ver el capítulo 2, Gobierno corporativo y regulaciones públicas, del presente tomo. 70 | Master en negocios Gobierno corporativo
Código de cumplimiento: Establecer claramente un conjunto de procedimientos destinado a cumplir con normas y regulaciones externas: leyes impositivas, códigos de transparencia y lucha contra la corrupción, reglamentaciones en materia de lealtad comercial y otras formas de regulación que pudieran alcanzar a la empresa. formación permanente: La lucha contra el fraude debe formar parte integral de la capacitación de los empleados. 4) ¿cóMo actUar frente a Una sosPecHa o indicios de fraUde? En los apartados anteriores, hemos presentado una serie de mejores prácticas destinadas a la prevención de fraudes. No obstante, por más recaudos que se tomen, en ocasiones, algunos empleados logran burlar los controles. Y, cuando esto ocurre, la capacidad de la organización de detectar tempranamente el fraude es clave para evitar que sus efectos nefastos se extiendan. Precisamente, el sistema de controles internos, si no ha logrado evitar la malversación, debe permitir descubrirla con eficacia y oportunidad. Entonces, una vez que el sistema de controles internos nos indica que existe la posibilidad de que se esté cometiendo un fraude, ¿cómo debemos actuar? ¿Se separa al sospechoso de sus funciones? ¿Se le aplica un castigo? ¿Se comienza una investigación? Estas preguntas tendrán distintas respuestas según los casos. La evaluación de las características de cada uno deberá estar a cargo de expertos en un conjunto de disciplinas englobadas en la investigación de fraudes. 4.1) diferencias entre auditoría e investigación del fraude La tarea del auditor, ya sea que trabaje dentro de la empresa o en una firma de auditoría externa, está relacionada con la evaluación y seguimiento de los controles. Su tarea es considerar si existen indicios de que algún procedimiento operativo o de registro ha sido llevado a cabo de manera indebida. De alguna manera, su trabajo puede compararse con el de un vigilante, que está atento a las señales de que algo malo está ocurriendo y listo para actuar en cuanto lo descubra, en su caso, informando a quien corresponda y adjuntando la información encontrada. Con toda la importancia que la auditoría tiene en la minimización de los riesgos de fraude, se trata de una actividad completamente diferente de la investigación. El trabajo de un investigador es cualitativamente distinto del de un auditor. Retomando la metáfora anterior, podríamos decir que el trabajo del investigador es más parecido al de un detective. Su forma de enfrentar la situación está basada en lo que se llama un escepticismo profesional, y debe estar dispuesto a analizar, no sólo la información contenida en el sistema contable de la empresa, sino toda la que pueda conseguir de distintas fuentes: entrevistas con empleados, con los propios gerentes, con clientes, con proveedores, datos generados por instituciones públicas y privadas y todo tipo de bases de datos privadas que estén dentro del marco legal del país en cuestión. Ante la constatación de una violación a los procedimientos o de una acción sospechosa por parte de un empleado surge la necesidad de ir más allá para determinar la extensión y monto del posible fraude. Es necesario entonces realizar una investigación en profundidad, y para ello resulta imprescindible contar con la colaboración de expertos en ese campo. A pesar de la distinción hecha entre el trabajo del auditor y el del investigador, ambos deben articularse y complementarse. El monitoreo de los controles internos que realiza la auditoría puede ser una fuente de información crítica para una investigación posterior si surgen sospechas de que se está cometiendo un fraude. Si esa información no es cuidada y preservada de posibles ataques desde el primer momento, puede ponerse en riesgo la investigación y hasta comprometerse la posibilidad de presentar el caso en juicio.4 4 Lo que puede ser suficiente para que los directivos de la empresa tengan la sospecha bien fundada de que alguien ha cometido un fraude no siempre se puede presentar en un juicio como prueba válida. capÍtulo 4 Prevención y detección de fraudes corporativos | 71
4.2) ¿cuándo llegar a un juicio? En la Argentina, las estadísticas muestran que no es habitual que los hechos de fraude lleguen a la instancia de juicio. Las dificultades que se encuentran en el sistema de justicia hacen que, en muchas ocasiones, la empresa no esté en condiciones de asumir (o no quiera hacerlo) el costo de llevar adelante un juicio que podría demandar mucho tiempo y recursos. Por otra parte, es más difícil aún esperar que la instancia de juicio garantice la recuperación de los activos perdidos. Por lo tanto, en la mayoría de los casos, la situación se cierra a poco de haber empezado la investigación con el despido del empleado desleal y algunos cambios en los procedimientos de la empresa. Esto representa un problema para la economía argentina, en la medida en que la sensación de impunidad a que puede llevar esta situación alienta a los potenciales defraudadores. Si bien no existen cálculos oficiales, los fraudes cuestan a las empresas millones de dólares cada año, y esas pérdidas estarían ocultas para los interesados mediante manipulación de los registros y otros procedimientos, de manera que los propietarios y directivos de la empresa no son concientes de esta sangría hasta el momento en que su peso se hace notable (y, muchas veces, es ya demasiado tarde). Una vez más, para evitar que algo así suceda, es fundamental contar oportunamente con el conocimiento de expertos: auditores, expertos en informática forense, en investigación de fraudes, y/o contadores forenses. En primer lugar, para tomar todas las medidas de prevención posibles, y asegurar el cumplimiento con normas y regulaciones, evitando problemas legales, pero también para estar preparados en el caso de que sea necesario abrir una investigación y llegar a la instancia del juicio. Lo más recomendable, más allá de todas las medidas de prevención mencionadas hasta ahora, es recurrir a expertos en investigación de fraudes ante una sospecha de que puede estar cometiéndose uno en la empresa. Un buen equipo de investigación interdisciplinario será capaz de recolectar y organizar la información necesaria para obtener las pruebas objetivas del delito y establecer la forma en que se ha cometido. El equipo también identificará las debilidades en los controles que han hecho posible la malversación y, por supuesto, las responsabilidades, de manera que la empresa pueda tomar decisiones con respecto al sistema de controles internos (para evitar que la situación vuelva a suceder) y en cuanto a las posibles acciones legales contra los responsables. 5) La investigación deL fraUde 5.1) Los tipos de investigación Pueden identificarse dos tipos básicos de investigación, según la forma en que se inician: reactivas, cuando la investigación se abre como consecuencia del descubrimiento de indicios de que se ha cometido un fraude; y proactivas, cuando la iniciativa de la investigación no responde a una sospecha fundada de fraude, sino que intenta corroborar que todo está funcionando bien en la empresa, haciendo un trabajo de mayor profundidad y alcance que una auditoría. Aunque cada uno de estos tipos de investigación tiene sus características distintivas y sus procedimientos específicos, éstos últimos pueden combinarse para obtener un mejor resultado. Por ejemplo, si bien la revisión de los registros de la compañía mediante la aplicación de metodología propia de la contabilidad forense es un recurso típico de una investigación reactiva, y las entrevistas una herramienta propia de las proactivas, en ciertas circunstancias puede ser muy útil recurrir a ellos en investigaciones del tipo opuesto. En todos los casos, para evitar que la información se vea afectada y no sea válida para su presentación en juicio, es fundamental que, desde un primer momento, se cuente con el asesoramiento de expertos en investigación. Ellos se encargarán de realizar una evaluación del caso y estimar las posibilidades de una investigación: que pueden ir desde la constatación del hecho de fraude e identificación de los responsables, hasta la recuperación de los activos perdidos y las acciones civiles y penales correspondientes contra los responsables. Si bien los investigadores serán los encargados de construir un cuerpo de pruebas ob72 | Master en negocios Gobierno corporativo
jetivas para lograr los objetivos que se definan en conjunto con los responsables de la empresa, la evaluación debe incluir la participación de los abogados de la organización para considerar acertadamente las posibilidades legales. 5.2) Las etapas de una investigación 5.2.1) Planificación Antes de dar los primeros pasos para obtener las pruebas del fraude, es necesario llevar a cabo una minuciosa planificación. Cualquier acción apresurada (y, más aún, una investigación sin coordinación) probablemente llevará a una pérdida de tiempo y dinero. La planificación deberá incluir las medidas precautorias para asegurar la integridad de la información. Poner sobre aviso prematuramente a los sospechosos puede hacer que éstos encuentren la forma de ocultar las huellas de su acción y evitar ser descubiertos. En la etapa de planificación, también deben considerarse las herramientas y procedimientos más adecuados para la obtención de las pruebas que requiera el caso. Entre ellas, pueden encontrarse técnicas de contabilidad e informática forense, entrevistas a los empleados y personas relacionadas con el hecho, consulta de fuentes de datos externas (públicas y privadas) y hasta la inclusión de un investigador encubierto dentro de la empresa para vigilar los procedimientos, cuando se sospeche que el fraude es continuo. En todos los casos, es necesario considerar no sólo las potencialidades de cada método o herramienta, sino también las consecuencias adversas que pudieran resultar de su utilización. Si se va a utilizar información digital proveniente de la PC de un sospechoso, por ejemplo, hay que asegurarse de que se realice el trabajo de acuerdo con los procedimientos de la informática forense, para que los datos sean válidos como prueba. Si se pretende instalar mecanismos de vigilancia como cámaras o registros de llamadas telefónicas, hay que hacerlo de manera que no resulte en una violación de derechos, lo que arruinaría el valor probatorio del registro y podría traer consecuencias legales para la compañía. Un aspecto fundamental a considerar durante la planificación es la posibilidad de contar con testigos dispuestos a declarar. Esto no es algo fácil de manejar y, en cada caso, requerirá cuidados diferentes. Los testigos potenciales pueden ser empleados de la propia empresa, clientes o proveedores, y según la relación que la empresa tenga con ellos se deberá proceder de distinta manera para lograr ese testimonio. Adicionalmente, en esta fase deberán definirse las medidas en cuanto a los procedimientos habituales de la empresa (emisión de cheques, pagos a proveedores, pago de gastos de representación) que sean necesarias para evitar que el fraude siga cometiéndose. Aquí es necesario considerar lo dicho antes: las medidas tomadas no deben poner sobre aviso a los responsables del fraude. 5.2.2) Primera recolección de datos En un primer momento, y cuidando de no poner al descubierto la investigación, se podrán consultar los registros de auditoría y los informes de controles internos, junto con los registros contables que pudieran contener información acerca de aquello que se está buscando. Es imprescindible ir recogiendo esta información de manera ordenada y sistemática, lo que implica también un análisis inmediato de lo que se encuentra. Más allá de la planificación que se haya hecho antes de empezar a recolectar información, puede suceder que, ya en las primeras etapas, se encuentren datos que modifiquen alguno de los supuestos iniciales. Quizá un registro encontrado al analizar los controles internos nos sugiera que el fraude puede involucrar a otras personas que no habíamos considerado en un primer momento, o que el alcance económico sea mayor de lo que esperábamos. En definitiva, el objetivo principal de esta etapa es establecer con mayor claridad el volumen potencial del fraude, las personas posiblemente involucradas, las áreas de la empresa que pueden verse afectadas y la mejor forma de conducir la investigación para construir el cuerpo de pruebas necesario. capÍtulo 4 Prevención y detección de fraudes corporativos | 73
5.2.3) Primera evaluación de datos Con la información obtenida en la etapa anterior, se procederá a redefinir los objetivos de la investigación en colaboración con los responsables de la empresa. Lo más importante aquí es establecer si se está en condiciones de llevar el caso a juicio y si la organización está dispuesta a hacerlo, teniendo en cuenta las probabilidades de obtener un fallo favorable y las de recuperar los activos apropiados. En muchos casos, aunque no se llegue efectivamente a juicio, la construcción de un caso fuerte puede ser suficiente para que el responsable confiese a tiempo y para recuperar una parte de lo defraudado. El resultado de esta primera evaluación puede ser la redefinición de los objetivos. Por ejemplo, si pensábamos mantener la investigación en secreto podemos decidir, con base en la información recogida, que es necesario tomar medidas urgentes que harían imposible continuar de esta manera. En un caso así, deberán considerarse las medidas necesarias en cuanto a la protección del patrimonio, la seguridad de las personas y la seguridad legal. Además de su efecto sobre los objetivos, esta primera evaluación debe permitir una definición más precisa aún de las acciones a seguir. La información analizada puede sugerir que la investigación debe realizarse más rápidamente de lo que esperábamos. Y, en ese caso, tendremos que redefinir las acciones, considerando las posibilidades de llevar acciones paralelas: realizar rondas de entrevistas a testigos simultáneamente con el análisis forense de los registros de la empresa, mientras se llevan adelante las medidas legales que se consideren necesarias. En algún caso, la decisión a tomar en esta etapa puede ser la de no continuar con la investigación, ante la imposibilidad de recuperar lo perdido o de llevar a juicio al responsable, o cuando el costo de seguir adelante para llegar a un fallo favorable no pueda ser asumido por la empresa. 5.2.4) Segunda recolección de datos Si en la etapa anterior se ha acordado seguir adelante con la investigación, ahora llega el momento de tomar las medidas necesarias para poner a resguardo la información y los bienes de la empresa. Esta fase suele incluir entrevistas a los sospechosos y empleados cercanos. Entonces, resulta casi imposible continuar investigando sin poner en alerta a los responsables del fraude. Para evitar acciones que atenten contra los objetivos de la investigación es necesario asegurarse de que quien esté cometiendo el fraude no pueda seguir actuando. A pesar de esta recomendación, corresponderá una evaluación de cada caso por parte de los investigadores. En efecto, si la información ya obtenida en la primera etapa de recolección (por ejemplo, copias de disco y registros de auditoría) ha sido debidamente salvada mediante procedimientos de informática forense y legal, la acción desesperada del responsable intentando borrar las huellas del fraude puede convertirse en una prueba adicional de su responsabilidad. La planificación de las entrevistas es fundamental: ¿A quiénes deberíamos entrevistar? ¿Cuál es el orden más adecuado? ¿En qué momento? ¿Con qué información deberíamos contar para que las entrevistas sean más productivas? Es crítico que la entrevista con un sospechoso no se convierta en un interrogatorio. Las técnicas de una buena entrevista incluyen habilidades de comunicación que permiten al investigador obtener la información que necesita por medios adecuados. En esta etapa, suele incluirse a los expertos que el caso requiera (contadores forenses, expertos en seguridad, etc.). También es momento para mantener un contacto estrecho con los abogados, pues las novedades surgidas en esta fase pueden ser muy importantes y cambiar, a veces radicalmente, la situación legal. Cada paso debe ser seguro desde el punto de vista legal y avanzar hacia el logro de los objetivos. 5.2.5) Construcción del caso Con toda la información obtenida y debidamente organizada se procede a armar el expediente del caso con la colaboración de los expertos necesarios (contador forense, 74 | Master en negocios Gobierno corporativo
peritos financieros, etc.).5 Ya sea que el caso vaya a ser llevado a juicio, que se busque un acuerdo satisfactorio para la compañía, o que se tomen simplemente medidas organizativas y se despida a los responsables, el informe de la investigación será el respaldo de la acción que se decida. Es fundamental, por lo tanto, que sea claro y sistemático. Este reporte debería establecer cuáles han sido los daños sufridos por la empresa (con la mayor precisión posible), proveer pruebas objetivas acerca de las responsabilidades de los implicados y, adicionalmente, sugerir cursos de acción, tanto en materia legal como en lo que se refiere a las modificaciones necesarias en las políticas, códigos y mecanismos de control interno. 5.2.6) Presentación del caso y testimonio El trabajo de los especialistas no termina cuando han sido recolectadas las pruebas, sino que se extiende hasta el momento del juicio mediante el asesoramiento y el testimonio en calidad de expertos. Previsiblemente, la defensa del acusado presentará cuestionamientos a las pruebas presentadas o a la forma en que fueron obtenidas. No obstante, si el trabajo de investigación ha sido realizado cuidadosamente, habrá una respuesta para cada uno de ellos. En este punto, el conocimiento experto resulta fundamental para evitar dilaciones del juicio o la puesta en duda del material probatorio.6 5.2.7) Evaluación y crítica Aun cuando el resultado obtenido sea el esperado (y con más razón si no lo ha sido) es una buena práctica realizar una evaluación de la investigación que incluya una crítica a todo lo actuado: la forma en que se obtuvo la información, cómo se procedió para garantizar su integridad y validez en juicio, el resultado obtenido en cuanto a la recuperación de los activos, y el efecto producido entre los empleados y en los procedimientos de la empresa. Siempre es posible encontrar formas nuevas de lograr más acabadamente los objetivos y ser más eficientes en la tarea de investigar. En definitiva, en la enorme mayoría de los casos, el éxito de una investigación se juega en las primeras etapas. En consecuencia, la primera recomendación consiste en no tomar medidas sin consultar a expertos. El costo de una decisión apresurada puede ser la imposibilidad de presentar el caso en juicio y, por lo tanto, la pérdida de la posibilidad de un resarcimiento para la empresa (ver figura 3). 6) sisteMas de inforMación e inforMÁtica forense 6.1) Los sistemas de información: sus beneficios y riesgos Un sistema de información tiene la función de generar, de una manera eficiente, productos capaces de comunicar efectivamente a las personas que deban tomar decisiones acerca de las actividades de una empresa, aquello que necesitan saber para evaluar entre las distintas opciones.7 La base de este sistema es el sistema contable, que registra todas las operaciones realizadas por la empresa de manera que puedan identificarse individualmente. Este sistema permite contar con la información necesaria para establecer la situación financiera de la compañía: sus deudas, sus acreencias, su capital en bienes y mercaderías, en un momento determinado. La incorporación de sistemas computarizados permite trabajar rápidamente con volúmenes de datos que resultarían inmanejables a través de procedimientos manuales. Esto representa un avance hacia la objetividad y precisión que pretende todo sistema de 5 Como hemos señalado, es recomendable que estos expertos hayan prestado su asesoramiento en las etapas anteriores para garantizar que se ha obtenido toda la información necesaria de la manera correcta para presentar el caso. 6 Si bien la legislación argentina no requiere la figura del perito de parte, los grandes estudios y empresas trabajan con expertos para brindar a sus clientes una garantía del análisis de las pruebas y un cierto control de su evaluación. 7 Para más información, ver el tomo 8, Tecnología y Operaciones. capÍtulo 4 Prevención y detección de fraudes corporativos | 75
Las etaPas de La investigación de fraUde
Fallo Presentación del caso y testimonio Construcción del caso Segunda recolección de datos Primera evaluación de datos
Primera recolección de datos Planificación información. La objetividad se logra al reducir la intervención de voluntades humanas en el procesamiento de la información. Trabajar con un sistema computarizado implica, entre otras cosas, que muchos procesos ya no son realizados directamente por los empleados, sino que son procesados automáticamente. Así, la tarea de los empleados se reduce al manejo de los datos: su ingreso en las condiciones especificadas, las modificaciones necesarias y las instrucciones para que un proceso se lleve a cabo. Como consecuencia de este cambio tecnológico, se introducen necesidades específicas con respecto al personal. Generalmente, es suficiente con que una pequeña parte de los empleados tenga conocimientos profundos del manejo de la tecnología. Para el resto, es suficiente con un know how básico sobre la forma en que se introduce la información en el sistema y la manera en que se piden las operaciones básicas para trabajar con los datos. Ahora bien, esta diferencia de capacidad para manejar la tecnología puede dar lugar a oportunidades para que un empleado con un conocimiento específico actúe de manera inapropiada. Por esta razón, los auditores deben comprender los sistemas tecnológicos, si no a un nivel profundo, al menos en lo que se refiere a la forma en que se realizan los procesos, la manera en que se manejan los datos dentro del sistema y las medidas básicas de control que permitan asegurar la veracidad y la integridad de la información. 6.2) informática forense 6.2.1) ¿Qué es la informática forense? Desde mediados de los años 80, la informática forense se ha ido convirtiendo en una disciplina fundamental en la investigación del fraude. De hecho, ha llegado a ser imprescindible, pues la mayoría de las empresas, no sólo lleva sus registros contables a través de programas de computadora, sino que la mayor parte de la información que maneja se encuentra en formato digital (y muchas veces no llega a papel). La informática forense es la disciplina encargada de analizar todo tipo de dispositivos electrónicos e informáticos con el fin de obtener la información contenida en ellos para compararla y analizarla, incluyendo aquella que pudiera haber sido suprimida u escondida, de manera que sirva como evidencia legal. La información digital es muy frágil y puede ser manipulada y atacada en forma relativa76 | Master en negocios Gobierno corporativo
mente fácil por alguien con los conocimientos necesarios. Así, el trabajo de los expertos consiste en prever esos ataques y garantizar procedimientos que aseguren la integridad de la información y que permitan un análisis minucioso de la misma en busca de rastros de actividad indebida. Los datos que analiza un experto en informática forense son de muchos tipos (imágenes, planillas, registros de ingresos, llamadas de un teléfono móvil, etc.), y encontrarse en la memoria de toda clase de dispositivos electrónicos: discos rígidos, discos de backup, laptops, pendrives, o en el ciberespacio, como correos electrónicos de cuentas gratuitas como Hotmail o Yahoo. Las empresas pueden contratar los servicios de un experto en informática forense con objetivos preventivos, para optimizar su sistema de controles internos. Sin embargo, cuando existen señales de que esos controles han sido vulnerados y de que podría estar cometiéndose un fraude, la informática forense puede ser decisiva para descubrir al responsable y obtener pruebas objetivas del delito. Por ejemplo, esta disciplina puede establecer el uso no autorizado de computadoras, la realización con ellas de acciones indebidas y la eliminación de archivos y registros incriminatorios (como el historial de chats, correos y navegación). 6.2.2) El software de informática forense La evolución del conocimiento experto en la materia ha ido de la mano del desarrollo de diversos programas que permiten procesar enormes cantidades de datos, haciendo más eficiente la tarea de análisis. Programas como EnCase, FTK, Mandiant Memorize y Ringtail permiten captar la información contenida por un dispositivo electrónico, por ejemplo, haciendo una copia del disco de una PC sin alterar la integridad de los datos. La característica read only (sólo permiten leer y trabajar con los datos pero no modificarlos) garantiza la integridad de la información durante la etapa de análisis, y es la base de la validez en juicio de los datos obtenidos. Una vez capturada la información del disco, esta clase de software permitirá ejecutar diversos análisis estadísticos, cruces de información y procedimientos de control. De esta manera, se pueden obtener datos acerca del acceso a los distintos programas de la computadora, las acciones realizadas en cada momento e incluso las conexiones que se hayan realizado con la máquina. robo de información: En la actualidad, muchos empleados llevan a la oficina pendrives o teléfonos celulares con bluetooth, dispositivos que pueden ser utilizados para robar información. No obstante, copiar información en un pendrive deja una huella. Con el programa adecuado, es posible identificar la fecha en que se conectó el dispositivo, la información que se llevó y hasta su número de serie. eliminación o manipulación de datos: Cuando borramos un archivo de una PC, éste no desaparece totalmente. En realidad, sólo deja su lugar disponible para que sea ocupado por nueva información. Pero el dato sigue allí. Los programas especializados realizan una copia íntegra del disco, incluyendo aquello que la computadora considera como espacio libre a utilizar. Así, el análisis de ese espacio permitirá descubrir archivos borrados y detectar aquellos que han sido eliminados escribiendo datos repetidas veces sobre ellos. auditoría: El software especializado permite obtener información de un dispositivo a un nivel muy minucioso. Así, es posible reconstruir la historia de los datos contenidos en el disco de una PC: ingresos, modificaciones y eliminaciones con fechas precisas. Incluso, es posible recuperar información eliminada y oculta para su análisis. Todo esto es muy útil para analizar el cumplimiento de las normas y procedimientos de la organización o aquellos que se deriven de regulaciones externas. En efecto, el historial de la información permite identificar operaciones que no hayan sido registradas en el momento o de la manera adecuada, ingresos de datos que han sido hechos en fechas que no corresponden y que resultan incongruentes con el resto capÍtulo 4 Prevención y detección de fraudes corporativos | 77
de los registros, y todo aquello que pueda resultar un signo de que un fraude se ha cometido o ha sido cubierto de esta manera. En definitiva, la informática forense es una disciplina sumamente útil para la investigación del fraude, la auditoría y el sistema de controles internos de una empresa. Los responsables de estas tareas dentro de la compañía deberían tener algunos conocimientos mínimos de la materia para que se puedan tomar medidas que garanticen que la información necesaria para llevar a cabo la auditoría y el monitoreo de los controles internos. La consulta con expertos es imprescindible para poder adaptar las herramientas a las necesidades de la organización y, eventualmente, para realizar una investigación con estos procedimientos que, de manera rápida y efectiva, nos brinde una evaluación de la seguridad de la información.
arQueologÍa de un Fraude: la inForMÁtica Forense Un día, entre los miembros de una organización, nace la sospecha de que un Country Manager podría estar comercializando artículos de la empresa por canales irregulares. Para constatar (o no) la presunción, se plantea la necesidad de iniciar un proceso de investigación. A través de una planificación inicial, se toman diversas medidas precautorias para garantizar que el área y el individuo investigados no se enteren del proceso. De esta forma, se asegura la integridad de la información que se obtendrá y se resguarda el clima de trabajo interno. La clave está en la información. Así, se forma un equipo de especialistas con la responsabilidad de realizar la primera recolección de datos, consultando en los registros de auditoría, los informes de controles internos y los registros contables. En paralelo, se realiza una adquisición completa de la información contenida en las computadoras y en otros dispositivos tecnológicos del directivo y de sus colaboradores cercanos. Con toda esta información, se avanza en la primera evaluación de datos. Así, los especialistas forenses en contabilidad, auditoría e informática descubren un correo electrónico enviado por la esposa de la persona investigada a una cuenta personal. El mensaje es simple: la esposa solicita al Country Manager que imprima una factura de venta de productos de la firma porque la impresora hogareña se quedó sin tinta. Este hallazgo es contrastado con otros datos obtenidos de la evidencia contable y de auditoría y se convierte en una prueba fundamental para iniciar una causa judicial contra el sospechoso. Entonces, las autoridades de la firma deciden avanzar hacia un interrogatorio al Country Manager. El directivo, abrumado por el peso de la evidencia, reconoce el fraude y presenta la renuncia. El análisis de este caso nos permite entender los alcances y potencialidades de la informática forense, una especialidad enfocada a rastrear, detectar, preservar y presentar las huellas del fraude. Actualmente, más del 70 por ciento de la información de las organizaciones se encuentra en formato digital y nunca llega al papel. En este sentido, es prácticamente imposible que no queden almacenadas huellas de un delito en algún sistema computarizado. La idoneidad de los profesionales en la materia garantiza, además del hallazgo, el éxito en la presentación de un caso, si se avanza en un potencial litigio. En este caso, la estafa del Country Manager no llegó a instancias judiciales, principalmente por la contundencia de la prueba. Del mismo modo, la imposibilidad del ejecutivo de ocultar cualquier material incriminatorio se debió al manejo apropiado del proceso que inicialmente no lo puso en alerta de la investigación.
78 | Master en negocios Gobierno corporativo
7) concLUsión A lo largo de este capítulo, hemos presentado los conceptos fundamentales sobre los fraudes corporativos, desde la evaluación de riesgos hasta la investigación. La lucha contra el fraude se juega, en gran medida, en la prevención. Para ello, es fundamental la elaboración de un sistema de controles internos y el establecimiento de códigos de procedimientos y de ética. La auditoría debe ser valorada en toda su importancia para general el entorno de control capaz de disuadir a un potencial defraudador de actuar en contra de la empresa. Sin embargo, como hemos observado, los esfuerzos preventivos no siempre dan resultados. En ocasiones, habrá personas que se arriesguen a cometer un fraude, con la esperanza de no ser descubiertas. El monitoreo permanente es una herramienta imprescindible para detectar oportunamente acciones de este tipo, y el asesoramiento de expertos en investigación, la primera medida a tomar en caso de que exista la sospecha de acciones indebidas. La experiencia también señala que, en la mayoría de los casos, las medidas preventivas sólo se ponen en marcha frente a la inminencia de un problema o luego de que un fraude ha sido cometido. Los recientes hechos fraudulentos de gran dimensión (como, por ejemplo, el conocido caso Enron), han cambiado radicalmente el concepto. En primer lugar, debido a las medidas que el gobierno de los Estados Unidos ha tomado al respecto, estableciendo mayores responsabilidades directas. Por otro lado, hoy existe la percepción general de que una situación de fraude mal resuelta (o no tratada a tiempo) puede derivar en perjuicios aún mayores de los pensados. Por ello, actualmente existe una idea más clara y abierta que permite escuchar e impulsar medidas preventivas de fraudes, que mermen la posibilidad de un perjuicio significativo para las empresas.
BiBLiografía comer, M (2003). Investigating corporate fraud. Gower Publishing Company, Inglaterra. crumbley, d.; Hetger, L. & smith g. (2007). Forensic and investigative accounting. CCH, Estados Unidos. golden t.; skalak, s. & clayton M. (2006). A guide to forensic accounting investigation. John Wiley and Sons, Estados Unidos. Prakash, s. (2003). Setting global standards. Guidelines for creating codes of conduct in multinational corporations. John Wiley and Sons, Estados Unidos. silverstone, H. & sheetz, M. (2004). Forensic Accounting and fraud investigation for nonexperts. John Wiley and Sons Inc. Estados Unidos. singleton, t. et al (2006). Fraud auditing and forensic accounting. John Wiley and Sons Inc. Estados Unidos. Wells, J. t. (2007). Fraud Casebook, lessons from the bad side of business. ACFE. Estados Unidos.
capÍtulo 4 Prevención y detección de fraudes corporativos | 79
Más información