Pasar al contenido principal

Controles multipropósito para luchar contra fraude, corrupción y LA/FT

Enviado por Infolaft el

Artículo por: Infolaft

Como parte de sus programas de cumplimiento, actividades de control interno y demás regulaciones las organizaciones se ven obligadas a diseñar e implementar una gran cantidad de controles para administrar todo tipo de riesgos. En el presente artículo infolaft se concentrará en los tipos de controles empleados para los riesgos de LA/FT, fraude y corrupción, los cuales se denominarán como controles multipropósito.

 

Los tipos de controles

Al interior de una entidad los controles se pueden materializar en políticas, procedimientos, dispositivos, actividades de entrenamiento y capacitación que pueden ser clasificados en grandes grupos para administrar los riesgos de LA/FT, fraude y corrupción.

Pickett, en su libro titulado Fraud Risk Awareness Training, presenta una interesante clasificación de los controles ‘básicos’, cuya utilización será expuesta por infolaft en los siguientes párrafos.

 

Autorización

Picket define la autorización como “(…) el simple acto de asegurar que todo lo que ocurre en la organización se supone debe ocurrir”. Es decir, que las actividades que se realizan dentro de la organización están en concordancia con los principios establecidos por la organización o han sido aprobadas por la gerencia.

El mismo autor indica que el nivel de autorización es proporcional al riesgo y/o a la cuantía que está en juego al momento de realizar una transacción y en caso de que ambos sean muy altos es necesario involucrar a la alta gerencia dentro de los controles que requieran autorización.

Para mayor claridad, en la siguiente tabla infolaft suministra varios ejemplos de controles de autorización:

LA/FT

Fraude

Corrupción

Para el caso de las personas expuestas públicamente, el Gafi en su recomendación 12 indica que las entidades deben obtener “la aprobación de la alta gerencia para establecer (o continuar, en el caso de los clientes existentes) dichas relaciones comerciales”.

Tomando como base el documento de los PEP publicado por la Iniciativa para la Recuperación de Bienes Robados, el control de aprobación para los PEP se puede describir de la siguiente forma:

  • Contar con la aprobación de los directivos de mayor jerarquía de la entidad y del oficial de cumplimiento del grupo (si existe) para decidir si se aprueba o continúa la relación comercial con un PEP considerado de alto riesgo.

En su guía para la administración del fraude, el Instituto de Contadores Gerenciales menciona los siguientes tipos de controles de autorización:

 

  • Contar con niveles de autorización dependiendo del monto de los  contratos.

 

  • No permitir el fraccionamiento del monto de un contrato a menos que se cuente con las aprobaciones necesarias.  

El documento de la Ocde titulado ‘Luchando contra el soborno en la contratación pública en Asia y en el Pacifico’ lista ejemplos de controles de autorización empleados en un proceso de abastecimiento electrónico por un país asiático.

 

Dichos controles se encuentran estipulados en el estándar ISO/IEC 27001 ‘Seguridad de la Información’ en su versión de 2013, el cual en su numeral A.9.4.2 expone algunos controles:

 

  • Los sistemas informáticos deben contar con controles para prevenir su acceso a través de fuerza bruta.

 

  • Registrar una alerta cuando se realizan intentos o cuando se logra exitosamente violar el control de acceso.

 

Excepciones

Picket indica que las excepciones tienen dos tipos de funciones: servir como control de tipo preventivo o detectivo. En el primer caso porque previene que los empleados realicen transacciones sospechosas y en el segundo caso es útil para detectar los casos  o hechos sospechosos que logran sobrepasar los controles establecidos en la organización.

Operativamente los controles de excepción realizan reportes rutinarios de forma permanente con el objeto de encontrar excepciones en las reglas de negocio de la entidad como, por ejemplo, detectar si la entidad está realizando transacciones con alguna contraparte bloqueada o si la entidad encontró que a un cliente PEP le fue asignado un producto sin las aprobaciones necesarias mucho tiempo después de haber sido identificado bajo esa condición. Según Picket, este tipo de transacciones logran evadir los controles simplemente al camuflarse como normales.

En la siguiente tabla infolaft suministra varios ejemplos de controles de excepción:

LA/FT

Fraude

Corrupción

En cuanto al LA/FT se pueden aplicar controles de excepciones para el caso de listas con el fin de identificar si se han realizado transacciones con alguna contraparte en una lista de cautela. Un ejemplo de este tipo de control puede ser:

 

  • Cruzar mensualmente los nombres de los terceros a quienes se les realizaron pagos a través de tesorería con la lista de Proveedores Bloqueados por el Banco Mundial.

 

En teoría, el anterior control debe arrojar resultados negativos, pero es posible que hubiese ocurrido una falla en el control de vinculación de proveedores de la empresa.

Unos ejemplos de este tipo de control,  extraídos del documento ‘Control del Fraude en las entidades australianas’ son los siguientes:

 

  • Llevar a cabo un análisis periódico de los pagos o reclamaciones realizadas para determinar si existe más de un mismo pago a un tercero.

 

  • Verificar si dentro del pago de la nómina existen empleados retirados o ficticios.

Los controles propuestos para fraude aplican también para corrupción. A continuación se citan ejemplos extraídos del documento ‘Control del fraude en las entidades australianas’:

 

  • Hacer cruces de información de contacto entre las contrapartes de la entidad para detectar la existencia de relaciones insospechadas, como por ejemplo que un empleado y proveedor tengan el mismo número de cuenta bancaria.

 

  • Verificar si para los contratos de monto muy superior se presentó el número mínimo de proponentes.

 

  • Analizar semestralmente las órdenes de compra aprobadas para detectar si existe un favoritismo injustificado por algún proveedor o contratista.

 

Procedimientos

Picket define este tipo de controles como aquellos que “(…) cubren casi todo lo que ocurre en una organización que se requiere que suceda de una manera específica”. Es decir, que los procedimientos que se emplean dentro de las organizaciones sirvan para reducir la incertidumbre en los resultados. Además, indica que los procedimientos existen para garantizar una salida consistente de las transacciones, proyectos o aprobaciones, entre otros.

Dentro de los controles de procedimientos se encuentran la revisión de antecedentes del personal, la cual puede ser aplicada a las demás personas de la organización, tales como clientes, proveedores o socios. Otro control de procedimiento puede ser el control del presupuesto y la contabilidad de los activos de la organización.

En la siguiente tabla infolaft suministra varios ejemplos de controles de procedimientos en los que se unen los controles de fraude y corrupción por su similitud.

 

LA/FT

Fraude

Corrupción

El numeral 4.2.2. de la Parte I, Título IV, Capítulo IV de la Circular Básica Jurídica indica que “las entidades deben establecer los procedimientos aplicables para la adecuada implementación y funcionamiento de los elementos y las etapas del Sarlaft”.

 

El numeral subsecuente (4.2.2.2.1) del Sarlaft, que trata sobre el efectivo, eficiente y oportuno conocimiento de los clientes, es un claro ejemplo de un control de procedimiento, pues en materia LA/FT, al menos en el Sarlaft, todo parte del conocimiento del cliente.

 

Básicamente el control de procedimiento de conocimiento del cliente busca que se esté cumpliendo con lo estipulado por la normatividad y de una manera consistente. 

El estándar Australiano AS 8001—2008: Control del fraude y corrupción indica en su numeral 5.2 que “las entidades deben tener políticas y procedimientos adecuados para tratar sospechas de fraude y corrupción (…)”. Esto debe incluir:

 

  • Medidas apropiadas para la completa investigación de los casos de fraude y corrupción basado en los principios de independencia, objetividad y legalidad.

 

  • Sistemas para reportes internos de todos los incidentes detectados.

 

  • Protocolos para reportar las situaciones de fraude y corrupción a las autoridades.

 

  • Políticas para la recuperación de los fondos y propiedad.  

 

Con base en lo anterior, los controles de procedimiento podrían ser, por un lado, las líneas éticas trazadas con el ánimo de reportar todo tipo de hechos o situaciones que sean sospechosas de fraude o corrupción y, por el otro, el contar con un procedimiento de seguimiento y/o investigación de los casos de fraude y corrupción reportados y detectados.

 

Verificación

Los controles de verificación consisten en “(...) revisar que la representación de algo es realmente lo que aparenta ser”. Picket indica que una actividad de verificación se puede entender como una revisión doble que impide que algo o alguien evada los controles.

La verificación tiene mucha relación con la prevención del LA/FT, pues con este procedimiento se puede establecer con cierto grado de certeza la identidad de una persona y también si la documentación de soporte es válida

En la siguiente tabla infolaft suministra varios ejemplos de controles de verificación.

LA/FT

Fraude

Corrupción

Para el caso de las personas expuestas públicamente, el Gafi indica, en su recomendación 10, que las entidades deben realizar varias medidas de debida diligencia, entre ellas:

 

  • Identificar al cliente y verificar la identidad del cliente utilizando documentos, datos o información confiable de fuentes independientes.

 

  • Identificar al beneficiario final y tomar medidas razonables para verificar la identidad del beneficiario final, de manera tal que la institución financiera esté convencida de que conoce quién es el beneficiario final.

El documento australiano ‘Control del fraude en las entidades australianas’ suministra algunos ejemplos de controles relacionados con la verificación de los nuevos empleados:

 

  • Verificación de la identidad de los empleados, incluyendo la presentación de dos tipos de documentos diferentes.

 

  • Verificación de sus estudios a través de una fuente independiente, como por ejemplo llamando a los institutos educativos.  

El documento de la Ocde titulado ‘Soborno en contratación pública, métodos, actores y contramedidas’ suministra algunos controles relacionados con la verificación:

 

  • En EE.UU. se tiene como práctica que un funcionario, antes de dar un concepto favorable a un contrato, verifique dicho contrato, la capacidad financiera del proponente, su desempeño previo, su situación de liquidez y verifique que el proveedor no se encuentre en una lista de entidades bloqueadas. 

 

Supervisión

La supervisión puede ser relacionada en primera instancia con la revisión del desempeño de las personas y según Picket este tipo de control puede ser empleado para “asegurarse [de] que las personas están alineadas con los estándares de conducta y de acuerdo a la forma en que se establecen los procedimientos’’. Es decir, que si las entidades tienen un código de ética y/o de conducta, este tipo de control es el adecuado para asegurarse en cierta medida de que los empleados se adhieran a este.

Otro aspecto importante de la supervisión es que puede ejercer control sobre las áreas de mayor riesgo de la organización, tales como aquellas que manejan efectivo, las de contabilidad y las de gastos de viaje, entre otros.

En la siguiente tabla infolaft suministra varios ejemplos de controles de supervisión:

LA/FT

Fraude

Corrupción

 

Para el caso del riesgo de LA/FT la supervisión viene dada por el oficial de cumplimiento, el auditor interno y el revisor fiscal, cuyas funciones están establecidas en la normatividad LA/FT. En el artículo ‘los tres amigos’, publicado en la presente edición, infolaft trata más a fondo estos aspectos.

 

El documento de Negocios Responsables y Seguros indica que la etapa de monitoreo le debe permitir a la empresa:

 

  • Hacer seguimiento general al sistema
  • Desarrollar un proceso de seguimiento al sistema para abordar las deficiencias
  • Asegurar que los controles sean comprensivos de todos los riesgos.

 

 

 

En las organizaciones existen áreas y actividades que son más susceptibles al riesgo de fraude como, por ejemplo, las que tienen relación con el uso de efectivo, contabilidad y reembolso de gastos de viaje en el exterior, entre otras.  

 

Para el caso del efectivo existen una gran cantidad de controles como, por ejemplo, los arqueos aleatorios, la instalación de cámaras de seguridad en las cajas, incentivar a los clientes para que reclamen sus facturas, etc.  

 

En el caso de la contabilidad es muy común que en las empresas que tienen un inventario físico se lleven a cabo conteos sorpresa del inventario y después compararlo con lo reportado en el sistema.   

 

Para el caso de los reembolsos de gastos la gerencia puede crear reportes periódicos en determinadas cuentas como transportes, gastos de alimentación o estadía para determinar si han existido incrementos injustificados, pedir siempre los soportes originales de los gastos, comparar los gastos de determinadas partidas con los de viajes anteriores, y similares.

 

En el documento ‘Programa anticorrupción de ética y cumplimiento para las empresas: Guía Práctica’, la Unodc menciona que se deben realizar exámenes y evaluaciones periódicas al plan anticorrupción de la entidad para verificar que los controles anticorrupción sean efectivos, eficientes y sostenibles. Para ello se sugiere: 

 

  • Supervisar la estrategia de capacitación en la empresa

 

  • Supervisar los controles internos del plan anticorrupción de la entidad.

 

  • Supervisar las políticas y procedimientos relacionados con los resultados de la evaluación de riesgos.

 

A su vez, el documento menciona otro tipo de controles, tales como una mayor supervisión, aprobación de dos personas de la gestión para la contratación de agentes externos y aumento del control en el caso de proveedores o inversiones importantes.

 

Segregación de funciones

De acuerdo con Picket, el objetivo de este control es asegurarse “que ninguna persona tenga una cantidad excesiva de control sobre las transacciones, recursos o decisiones para asegurar que no puedan incurrir en un fraude sin necesidad de conspirar con otros”. Básicamente, la segregación de funciones busca que una persona por sí sola no esté en capacidad de incurrir en un fraude al no tener límites adecuados en el desarrollo de sus funciones en términos de privilegios y accesos.

La segregación de funciones busca “separar la aprobación o inicio de la transacción de la custodia de los beneficios, el pago de un ítem y su contabilización”, según Picket.

En la siguiente tabla infolaft suministra varios ejemplos de controles de segregación de funciones, en donde se unen los controles de fraude y corrupción por su similitud.

LA/FT

Fraude

Corrupción

En el artículo titulado ‘Grandes ligas’, publicado en la edición 13 de infolaft, se mencionó que existe una segregación de funciones entre el oficial de cumplimiento y el área comercial pues “los comerciales no toman decisiones en cuanto a la debida diligencia requerida o la decisión final de reportar o no un cliente (…)”.

 

De lo anterior se desprende el siguiente control:

 

  • El CRM solo debe permitir que las personas del área de vinculación y el personal del área de cumplimiento tengan acceso a la modificación, aprobación y actualización de los datos del cliente.

 

El Instituto de Contadores Gerenciales en su guía para la administración del fraude menciona que, idealmente, en un proceso de compras las personas que solicitan, aprueban, negocian, reciben, contabilizan o pagan deben tener roles separados.

 

El mismo documento indica que otro control para prevenir el fraude al momento de entregar certificaciones o aprobaciones de trabajos realizados es que exista una clara separación entre la persona que ordena el trabajo, quien lo certifica y quien hace la autorización.

 

 

 

Artículos relacionados:

¿Cómo combatir el fraude interno?

Controles curiosos para prevenir el LA/FT en el mundo

Controles LA/FT: un enfoque internacional

Controles desde el punto de vista legal

 

 

 

Recomendados

Lavado de activos: ¿cómo evitarlo en su empresa?

El lavado de activos es un delito que busca dar apariencia de legalidad a...

Listas restrictivas: ¿qué son y cómo funcionan?

Las listas restrictivas son bases de datos y sanciones contra empresas y...

¿Qué es extinción de dominio y cómo se evita en empresas?

La extinción de dominio es un proceso por medio del cual se afectan los bienes...