La efectividad de los procedimientos a la hora de mitigar un fraude
Como una forma de gestionar el riesgo de fraude, las empresas dedican esfuerzos a la definición de políticas y procedimientos claros, que permitan gestionar las tareas más sensibles de las organizaciones, en apego a instrucciones claras y estrictamente obligatorias. Cuando de manera eventual se deba hacer excepciones a estas reglas, estos procesos excepcionales deben monitorearse de manera cuidadosa por instancias internas de control, para estar seguros que dichas ocasiones no sean aprovechadas por los defraudadores al acecho. Si estas alteraciones a los procedimientos se vuelven repetitivas, entonces lo que procede es ajustar o modificar los procesos, creando nuevas formas de control.
Lo que nunca debe permitirse, bajo ninguna circunstancia, es que una alta instancia administrativa pueda “saltarse” todos los protocolos para obtener pagos o giros, aduciendo razones de urgencia o conveniencia. En estos casos, los empleados subordinados se sentirán obligados a acatar las órdenes de sus superiores, por temor a incurrir en la ira de sus jefes o entorpecer el desarrollo del objeto social de la empresa, aun si dicha orden es verdadera y proviene realmente del jefe. Veamos un caso:
Pedro es el encargado de la Tesorería de la sucursal más importante de una gran empresa. Su actividad está regulada en manuales estrictos, claros, comprendidos y aceptados por todos los empleados de la compañía.
Nunca debe permitirse que una alta instancia administrativa pueda
Todos los asistentes a dichas reuniones manifiestan comprender los riesgos y se comprometen a participar en la gestión de riesgos.
No obstante, un día, Pedro recibió un correo urgente, enviado por el gerente de operaciones de la empresa, en el cual le solicitaba con carácter extraordinario tramitar un pago a favor de un proveedor del exterior, por la compra de una importante cantidad de materias primas. Enfatizaba el gerente que se debía hacer el pago de inmediato, ya que haciéndolo así obtendrían el 35% de descuento en el precio normal, oportunidad que no se podía perder. El correo venía adornado con frases alusivas a la excelente gestión de Pedro en la empresa, su lealtad a ella y su compromiso con el logro de los objetivos misionales de la organización. También advertía el correo que el señor gerente iba a estar en un seminario de dos días, por lo que le resultaba imposible atender al teléfono y solo se podrían comunicar por email.
La orden era perentoria. Pedro no podía darse el lujo de dejar pasar esta oportunidad de agradar a su jefe, pero de todas maneras lo llamó para pedirle más detalles del pago a realizar. La secretaria le confirmó que, en efecto, el doctor estaría ausente todo el día. Siendo así, Pedro le respondió el email solicitándole los datos para el pago. De inmediato su jefe le envió un correo con una factura proforma, la cual contenía las instrucciones de pago a un banco en una isla del Caribe. Para evitar el trámite de matricular al proveedor en el Sistema de la empresa, Pedro le solicitó al banco hacer el giro directamente, lo cual la entidad financiera cumplió con profesionalismo y prontitud.
Esa noche, de regreso a casa, Pedro le escribió al jefe un correo desde su celular, en el cual le confirmaba la transferencia exitosa de fondos. Para su sorpresa, en lugar de una felicitación recibió la peor noticia de su vida: el jefe le informaba que no había pedido ninguna transferencia a un proveedor, por ningún concepto; y le recordaba el procedimiento de pagos establecido por la empresa para realizar giros al exterior. Este fue el comienzo de la pesadilla para Pedro.
Cuando existan excepciones en políticas y
¿Qué sucedió?
1. Alguien disponía de información acerca de la operación de la empresa; así como de la agenda del gerente de operaciones. Estos datos, si bien parecen bastante confidenciales, en realidad no lo son, ya que muchas personas pueden conocerlos o hackear de manera sencilla la agenda del gerente;
2. Alguien conocía las direcciones de correo de los empleados de la empresa y procedió a crear una cuenta con casi los mismos caracteres de la del gerente. Por ejemplo, la cuenta del gerente era y procedió a crear una juan.perez@mjempresa.com.co. A primera vista, las dos parecen idénticas. Como Pedro respondía sobre los mismos correos que recibía, el destinatario siempre era el defraudador;
3. Alguien supo cómo manipular psicológicamente el temor y el ego de Pedro, al punto de hacerlo entregar voluntariamente la gruesa suma de dinero, violando todos los procedimientos que él conocía y aplicaba a diario.
¿Qué debió haber sucedido?
4. Pedro se debió haber apegado al procedimiento, negándose a saltarse las normas. Ello parece difícil, pero debe tenerse en cuenta que en ningún manual de operaciones de las empresas se establece que los procedimientos para realizar pagos se obviarán cuando un alto directivo así lo solicite;
5. Pedro debió haber verificado el email, o respondido desde su propio directorio de correos. Adicionalmente, si se hubiera tomado el tiempo para revisar los email, habría podido notar que, si bien tenían la misma fecha de elaboración, la hora de los correos recibidos estaba adelantada en 120 minutos a la hora local, lo que constituye un serio indicador de falsedad. En realidad, estas comprobaciones solo se hacen DESPUÉS de ocurrido el fraude;
6. Jamás deben hacerse pagos teniendo como respaldo facturas proforma. Ello es la forma más fácil y común de fraude;
7. Siempre debe matricularse al beneficiarlo de pagos en el sistema de la empresa, así sea para un solo desembolso.
Este ejemplo ilustra la importancia de rodear de las mayores seguridades la actividad de giro de dineros desde la Tesorería de las empresas. Los directivos no pueden estar investidos de poder para obviar los procedimientos; y los empleados deben tener la opción de rechazar este tipo de excepciones, provengan de donde provengan. Los procedimientos extraordinarios o por fuera de la norma deben ser solicitados y ejecutados bajo la supervisión de las áreas de Control Interno, en apego a estrictas normas de registro y control.
No hacerlo así produce estas lamentables consecuencias.
Alejandro H. Morales T. Colaborador de Auditool.org
ASR Ajustadores de Seguros Ltda
buen post
Califica: