#103
Una obligación principal que tienen los agentes económicos es la responsabilidad de establecer y mantener un sistema y unos procedimientos de control que sean adecuados y robustos.
El control interno se entiende como un conjunto de procesos que son efectuados por diferentes niveles de responsabilidad del personal de una empresa y que está diseñado para proporcionar la convicción razonable del cumplimiento de unos objetivos concretos.
Los controles internos implementados en una empresa deben girar alrededor de cinco componentes interrelacionados:
Pero no solo se mantienen procedimientos de control –por ejemplo– sobre los sistemas contables y de producción, sino que también se diseñan procedimientos de control para proteger los activos contra el fraude y las prácticas deshonestas y maliciosas, ya tengan un origen interno o externo, y que tienen un impacto negativo medible en la cuenta de resultados de las empresas.
En un ambiente de obtención de un margen bruto elevado en las empresas, como sucedía en los años previos al inicio de la crisis en 2008, la preocupación por la protección de los activos contra el fraude era relativamente pequeña, porque su impacto en las cuentas de resultados no era significativo en relación con la cifra de ventas y el valor del margen bruto. Sin embargo, la crisis ha hecho que los agentes económicos cambien su estrategia competitiva, y en donde antes se luchaba por la diferenciación y la obtención de esos márgenes elevados ahora ha cambiado por una estrategia en costes, es decir márgenes brutos más reducidos que obligan a aumentar la cuota de mercado y, con ella, las ventas para tratar de mantener una pizca de rentabilidad.
Este cambio de estrategia competitiva ha provocado que aquello donde antes era irrelevante ahora se convierta en una preocupación de primera magnitud y se apliquen procedimientos de control con el objetivo de proteger los activos de las empresas, porque resulta más eficiente invertir en control que soportar significativas pérdidas que abaten el margen hasta traspasar el límite del umbral de rentabilidad hacia el signo negativo.
Pero es que, además, a las entidades públicas contratantes, sobre todo en los procedimientos de adjudicación que no sean abiertos y restringidos –cuando en ellos sea posible promover la suficiente concurrencia, circunstancia que no siempre está garantizada–, les interesa conocer y tener la seguridad que los licitadores tienen establecidos controles para prevenir, detectar y corregir situaciones de fraude que, en caso contrario, podrían hacer que tuvieran la tentación de imputar a los contratos que tuvieran adjudicados unos costes irrazonables, al trasladar de golpe unas pérdidas debidas a la ausencia del control interno sobre el fraude.
Recientemente se ha celebrado el VIII Encuentro de Seguridad Integral (SEG2), organizado por las revistas Red Seguridad (Fundación Borredá) y Seguritecnia, siendo conducido el “leitmotive” de la jornada a través de la “gestión del fraude” en las empresas ([listado de ponencias]).
Allí se trataron cuestiones tan importantes como la detección y prevención del fraude, tanto en el ámbito interno de las empresas (el producido por los propios empleados) como desde el exterior (principalmente el originado en las actuaciones de los clientes); el enfoque que se debe tener para esa prevención y detección, que debe dirigirse sobre el conocimiento de algunos comportamientos sospechosos –que no significa ser paranóico–; y, además de algunos otros, la organización en las empresas contra el fraude, es decir la constitución, dentro de la estructura del control interno, de una unidad encargada del análisis, gestión y prevención de riesgos de prácticas deshonestas.
La definición que de fraude y estafa hizo Carlos Blanco Torres (jefe de la Unidad de Inteligencia en EULEN) es muy precisa:
En consecuencia, el fraude causa un daño económico o patrimonial en las empresas que tiene un impacto directo en su cuenta de resultados, imputándose a ella el menoscabo ya sea –por ejemplo– porque dichas pérdidas se registran directamente como un gasto excepcional o como correcciones valorativas de existencias que no son reversibles.
Pero es que, además, el fraude también adopta las características del ataque informático a través de la web –como explicó Enrique Martín García–, produciéndose daños en equipos de refrigeración, generadores eléctricos o la manipulación de sistemas informáticos de gestión de la producción que adulteran lotes de productos, de tal manera que incrementan los costes operacionales de mantenimiento y de control de la calidad o, directamente, provocan el incumplimiento de normativas legales que provocan las consiguientes multas y sanciones por incumplimiento contractual.
En ningún caso, en el ámbito de la contratación pública, estas pérdidas registradas directamente, y debidas a la ausencia de un control interno efectivo del contratista, son aceptables de imputación como costes del contrato, porque las empresas licitadoras deberían tener la responsabilidad de mantener políticas y procedimientos eficaces para realizar sistemáticamente esta prevención y evitar dichos perjuicios.
Sin embargo, sí que es admisible, como coste indirecto procedente de una agrupación de costes de los servicios centralizados que se prestan a todas las unidades de la empresa, los gastos derivados de las políticas y procedimientos de seguridad que se hayan implantado. Aunque pudieran negociarse algún tipo de límite a la admisibilidad de estos costes y establecer en el Pliego de Clausulas Administrativas Particulares los que serían considerados irrazonables.
No obstante, el auditor de contratos debe establecer procedimientos de auditoría que le hagan tener una convicción razonable sobre el eficaz funcionamiento del control interno de seguridad que protege los activos de la empresa, para elevar su grado de confianza y así poder calificar el riesgo de auditoría como bajo, circunstancia que le permita minimizar las pruebas sustantivas sobre los registros contables y las transacciones de costes.
Una obligación principal que tienen los agentes económicos es la responsabilidad de establecer y mantener un sistema y unos procedimientos de control que sean adecuados y robustos.
El control interno se entiende como un conjunto de procesos que son efectuados por diferentes niveles de responsabilidad del personal de una empresa y que está diseñado para proporcionar la convicción razonable del cumplimiento de unos objetivos concretos.
Los controles internos implementados en una empresa deben girar alrededor de cinco componentes interrelacionados:
- Conciencia de control. Establece la actitud de una organización y que influye en la actitud de su personal hacia el control, ya que los empleados deben ser conscientes y estar convencidos de la necesidad del control y ellos mismos deben aplicarse en realizar un autocontrol.
- La evaluación del riesgo. La identificación de la magnitud y el análisis de los riesgos que acechan a la empresa y que pueden influir y afectar el logro de sus objetivos, formando una base consistente para determinar cómo esos riesgos pueden manejarse y no verse desbordados por los acontecimientos negativos.
- Control de las actividades. Las políticas y procedimientos que ayudan a asegurar que las directrices de la gerencia se llevan a cabo.
- Información y comunicación. La identificación, captura e intercambio formalizado de información, mediante formularios y periodicidad en su obtención, que les permiten a los empleados poder llevar a cabo sus responsabilidades y tareas adecuadamente.
- Seguimiento. Es el proceso que evalúa la calidad de actuación del control interno en el tiempo.
Pero no solo se mantienen procedimientos de control –por ejemplo– sobre los sistemas contables y de producción, sino que también se diseñan procedimientos de control para proteger los activos contra el fraude y las prácticas deshonestas y maliciosas, ya tengan un origen interno o externo, y que tienen un impacto negativo medible en la cuenta de resultados de las empresas.
En un ambiente de obtención de un margen bruto elevado en las empresas, como sucedía en los años previos al inicio de la crisis en 2008, la preocupación por la protección de los activos contra el fraude era relativamente pequeña, porque su impacto en las cuentas de resultados no era significativo en relación con la cifra de ventas y el valor del margen bruto. Sin embargo, la crisis ha hecho que los agentes económicos cambien su estrategia competitiva, y en donde antes se luchaba por la diferenciación y la obtención de esos márgenes elevados ahora ha cambiado por una estrategia en costes, es decir márgenes brutos más reducidos que obligan a aumentar la cuota de mercado y, con ella, las ventas para tratar de mantener una pizca de rentabilidad.
Este cambio de estrategia competitiva ha provocado que aquello donde antes era irrelevante ahora se convierta en una preocupación de primera magnitud y se apliquen procedimientos de control con el objetivo de proteger los activos de las empresas, porque resulta más eficiente invertir en control que soportar significativas pérdidas que abaten el margen hasta traspasar el límite del umbral de rentabilidad hacia el signo negativo.
Pero es que, además, a las entidades públicas contratantes, sobre todo en los procedimientos de adjudicación que no sean abiertos y restringidos –cuando en ellos sea posible promover la suficiente concurrencia, circunstancia que no siempre está garantizada–, les interesa conocer y tener la seguridad que los licitadores tienen establecidos controles para prevenir, detectar y corregir situaciones de fraude que, en caso contrario, podrían hacer que tuvieran la tentación de imputar a los contratos que tuvieran adjudicados unos costes irrazonables, al trasladar de golpe unas pérdidas debidas a la ausencia del control interno sobre el fraude.
Recientemente se ha celebrado el VIII Encuentro de Seguridad Integral (SEG2), organizado por las revistas Red Seguridad (Fundación Borredá) y Seguritecnia, siendo conducido el “leitmotive” de la jornada a través de la “gestión del fraude” en las empresas ([listado de ponencias]).
Allí se trataron cuestiones tan importantes como la detección y prevención del fraude, tanto en el ámbito interno de las empresas (el producido por los propios empleados) como desde el exterior (principalmente el originado en las actuaciones de los clientes); el enfoque que se debe tener para esa prevención y detección, que debe dirigirse sobre el conocimiento de algunos comportamientos sospechosos –que no significa ser paranóico–; y, además de algunos otros, la organización en las empresas contra el fraude, es decir la constitución, dentro de la estructura del control interno, de una unidad encargada del análisis, gestión y prevención de riesgos de prácticas deshonestas.
La definición que de fraude y estafa hizo Carlos Blanco Torres (jefe de la Unidad de Inteligencia en EULEN) es muy precisa:
“Actividad ilegal con contenido económico o patrimonial en cuya comisión, de un modo u otro, participa un elemento intencional de engaño o falsificación.
En consecuencia, el fraude causa un daño económico o patrimonial en las empresas que tiene un impacto directo en su cuenta de resultados, imputándose a ella el menoscabo ya sea –por ejemplo– porque dichas pérdidas se registran directamente como un gasto excepcional o como correcciones valorativas de existencias que no son reversibles.
Pero es que, además, el fraude también adopta las características del ataque informático a través de la web –como explicó Enrique Martín García–, produciéndose daños en equipos de refrigeración, generadores eléctricos o la manipulación de sistemas informáticos de gestión de la producción que adulteran lotes de productos, de tal manera que incrementan los costes operacionales de mantenimiento y de control de la calidad o, directamente, provocan el incumplimiento de normativas legales que provocan las consiguientes multas y sanciones por incumplimiento contractual.
En ningún caso, en el ámbito de la contratación pública, estas pérdidas registradas directamente, y debidas a la ausencia de un control interno efectivo del contratista, son aceptables de imputación como costes del contrato, porque las empresas licitadoras deberían tener la responsabilidad de mantener políticas y procedimientos eficaces para realizar sistemáticamente esta prevención y evitar dichos perjuicios.
Sin embargo, sí que es admisible, como coste indirecto procedente de una agrupación de costes de los servicios centralizados que se prestan a todas las unidades de la empresa, los gastos derivados de las políticas y procedimientos de seguridad que se hayan implantado. Aunque pudieran negociarse algún tipo de límite a la admisibilidad de estos costes y establecer en el Pliego de Clausulas Administrativas Particulares los que serían considerados irrazonables.
No obstante, el auditor de contratos debe establecer procedimientos de auditoría que le hagan tener una convicción razonable sobre el eficaz funcionamiento del control interno de seguridad que protege los activos de la empresa, para elevar su grado de confianza y así poder calificar el riesgo de auditoría como bajo, circunstancia que le permita minimizar las pruebas sustantivas sobre los registros contables y las transacciones de costes.
Listado de ponencias
"Seguridad y Fraude- …. Un paso al frente"; por Guillermo Llorente, Subdirector General de Seguridad y Medio Ambiente de MAPFRE
“Análisis de información al servicio de la detección y prevención del fraude”; por Francisco Faraco, Responsable de servicios de prevención y detección de fraude de DELOITTE
"Gestión Integral del Fraude: Experiencias desde la Unidad Integral del Fraude de riesgos no financieros de Abanca"; por Roberto Baratta Martínez, Vicepresidente Ejecutivo Grupo. Dirección Prevención pérdida, Continuidad de Negocio y Seguridad de ABANCA
"Fraude VS Estafa, un enfoque desde la Inteligencia"; por Carlos Blanco Torres, Jefe de la Unidad de Inteligencia de EULEN SEGURIDAD
"Más allá del SIEM en la lucha contra el fraude con Big Data"; por Jose Carlos Baquero, Jefe de la División de Software y Tecnologías GMV
"La Inteligencia empresarial en apoyo a la gestión del fraude"; por Enrique Polanco, Socio GLOBAL TECHNOLOGY
"Gestión de Fraude en Operadores Críticos"; por Enrique Martin Garcia, ICS Business Development S21 SEC
"Seguridad Integral en el modelo de Protección de Infraestructuras Críticas"; por CENTRO NACIONAL DE PROTECCIÓN DE INFRAESTRUCTURAS CRÍTICAS
"Evolución de la Seguridad Integral en el operador crítico"; por José Márquez, Regional Security Manager EMEA, GAS NATURAL FENOSA
"Seguridad y Fraude- …. Un paso al frente"; por Guillermo Llorente, Subdirector General de Seguridad y Medio Ambiente de MAPFRE
“Análisis de información al servicio de la detección y prevención del fraude”; por Francisco Faraco, Responsable de servicios de prevención y detección de fraude de DELOITTE
"Gestión Integral del Fraude: Experiencias desde la Unidad Integral del Fraude de riesgos no financieros de Abanca"; por Roberto Baratta Martínez, Vicepresidente Ejecutivo Grupo. Dirección Prevención pérdida, Continuidad de Negocio y Seguridad de ABANCA
"Fraude VS Estafa, un enfoque desde la Inteligencia"; por Carlos Blanco Torres, Jefe de la Unidad de Inteligencia de EULEN SEGURIDAD
"Más allá del SIEM en la lucha contra el fraude con Big Data"; por Jose Carlos Baquero, Jefe de la División de Software y Tecnologías GMV
"La Inteligencia empresarial en apoyo a la gestión del fraude"; por Enrique Polanco, Socio GLOBAL TECHNOLOGY
"Gestión de Fraude en Operadores Críticos"; por Enrique Martin Garcia, ICS Business Development S21 SEC
"Seguridad Integral en el modelo de Protección de Infraestructuras Críticas"; por CENTRO NACIONAL DE PROTECCIÓN DE INFRAESTRUCTURAS CRÍTICAS
"Evolución de la Seguridad Integral en el operador crítico"; por José Márquez, Regional Security Manager EMEA, GAS NATURAL FENOSA
No hay comentarios:
Publicar un comentario
Gracias por su colaboración