En esta ocasión, analizamos la fase de Gestión del pago de las facturas recibidas por la compra y prestación de los servicios.
Llegamos al último artículo sobre el riesgo de fraude en el proceso de contratación y pagos de bienes y servicios. En esta ocasión vamos a analizar la fase de Gestión del pago de las facturas recibidas por la compra y prestación de los servicios.
En los artículos anteriores, hemos venido analizado la tipología de fraudes, principales indicadores para identificarlos y algunas mejores medidas de control interno recomendadas para cada una de las siguientes fases:
- Identificación de la necesidad del bien o servicio a contratar.
- Identificación y evaluación de los proveedores que puedan entregar el bien o prestar el servicio.
- Recepción de la oferta de los proveedores, evaluación de estas y selección del servicio/bien a contratar.
- Seguimiento de la entrega de los bienes y servicios conforme a lo acordado por parte del proveedor.
- Recepción, análisis y tratamiento de la documentación que soporte el registro contable de las transacciones anteriores.
Para realizar el análisis de la última fase de Gestión del pago es necesario señalar la importancia de la robustez y calidad del control interno, así como de los indicadores preventivos existentes en las fases anteriores que permitan identificar potenciales contrataciones irregulares y evitar que las facturas asociadas lleguen a estar en situación de tramitar su pago. Es decir, si en las fases anteriores no hemos sido capaces de detectar un fraude es difícil que en esta fase final de gestión de pago se pueda detectar y por tanto el defraudador habrá conseguido su objetivo final: la apropiación indebida de los recursos financieros de la empresa.
Sin embargo y a pesar de la dependencia en las fases anteriores existen también riesgos de fraude que se originan en esta fase, y es por tanto generalmente responsabilidad del CFO y del equipo financiero, asegurarse de la fortaleza del control interno en relación con la gestión de pagos.
El objetivo del defraudador sea interno o externo, es conseguir que el dinero de la organización llegue a sus cuentas bancarias. Ello se consigue, entre otras, de las siguientes maneras:
- Si tiene acceso a las cuentas bancarias de la Sociedad puede realizar transferencias directamente a sus cuentas bancarias y tratar de camuflarlas como pagos a proveedores, tasas, impuestos, gastos de empleados, etc.
- Si tiene acceso al maestro de proveedores o al fichero/tabla donde se almacena el número de cuenta del proveedor, puede cambiar la cuenta bancaria del proveedor para determinadas transacciones y por tanto que una serie de pagos acaben en la cuenta bancaria del defraudador en vez de en la cuenta bancaria del defraudado.
- Si tiene acceso a las remesas que se envían a los bancos puede manipular alguna de la información contenida en la misma en relación con los números de cuenta bancaria de los pagos incluidos en la remesa.
- Tradicionalmente estos accesos indebidos se solían producir desde dentro de la organización, si bien, cada vez es más frecuente que se produzcan desde fuera de la organización a través de esquemas de fraude realizados por cibercriminales. Entre otros, los fraudes cometidos más frecuentemente son los siguientes:
- Phishing: Explicado de manera sencilla el cibercriminal es capaz de suplantar al usuario original tras obtener de forma fraudulenta sus credenciales de acceso a través de links falsos o ficheros manipulados. Una vez obtenidas las credenciales, el cibercriminal puede operar dentro del sistema de la organización como si se tratara del usuario original y, por tanto, acceder si es el caso, a realizar ordenes de pago, cambios de cuentas, etc.
- Fraude del CEO: Esta tipología ha tenido mucha repercusión mediática y consiste en que el cibercriminal, simulando ser un alto cargo de la organización, comenta, vía e-mail o SMS/WhatsApp, con una persona con acceso a las cuentas bancarias la necesidad de realizar una transferencia motivada por una operación confidencial y muy urgente que no se debe compartir con nadie. La sofisticación de este tipo de planes varía. En ocasiones aprovechan el conocimiento que tienen de operaciones reales que están a punto de ocurrir y de las que la víctima tiene conocimiento, dándoles por tanto una dosis de credibilidad alta y aprovechando situaciones en las que confirmar la operación con la persona real que debe dar la orden no es posible (por ejemplo, por estar no localizable por viaje, reunión...). A esto hay que sumarle la más reciente aparición de la simulación de voz e imagen que ofrece la Inteligencia Artificial haciendo que la casuística sea muy variada y ocasiones muy creíble.
- Suplantación de la identidad proveedor: En esta tipología, los ciberdelincuentes intentan aparentar ser el proveedor y conseguir modificar el número de cuenta bancaria donde la organización tiene que realizar el pago y de esta manera ilícita obtener los fondos.
o Puede haber esquemas poco sofisticados, como por ejemplo el envío de un e-mail con una dirección muy similar a la del teórico proveedor con alguna pequeña modificación difícil de detectar, en el que se solicita un cambio de cuenta bancaria o de pago.
o Proyectos en los que el defraudador ha sido capaz de obtener datos específicos sobre facturas pendientes de pago, en ocasiones con ayuda interna de alguien de la propia organización, con lo cual la información que se envía en el correo de petición de cambio de cuenta es más completa y por tanto más creíble.
o Los más sofisticados son aquellos que han conseguido comprometer el e-mail de alguna persona dentro del proveedor y son capaces de falsificar facturas en las que aparezca el número de cuenta donde quieren que se haga el pago.
Alguna de las medidas más importantes que el departamento financiero puede utilizar para detectar o mitigar las casuísticas anteriores son las siguientes:
- Lo primero es definir de manera formal y protocolizada las personas que van a tener acceso a la realización de transferencias, remesas o cualquier otro tipo de pago, y revisar periódicamente dichas credenciales.
- Establecer matrices de autorizaciones de pago en función de niveles de riesgo cuantitativo y cualitativo, estableciendo firma conjunta para determinadas situaciones, diferentes niveles jerárquicos de autorización, etc.
- Reforzar los procedimientos relacionados con quien y bajo que requisitos puede realizar cambios en los libros maestros de proveedores.
- Establecer requisitos muy estrictos en lo relacionado con el cambio del número de cuenta bancaria de un proveedor que establezca al menos la petición de un certificado bancario de titularidad y también una llamada a la persona de contacto habitual del proveedor para confirmar el cambio de número de cuenta.
- Reducir lo máximo posible la realización de pagos manuales o pagos por procedimientos de urgencia.
- Realización de conciliaciones bancarias de manera rutinaria.
- Formar y concienciar al personal responsable de la gestión de pagos sobre los riesgos de fraude asociados a la ciberdelincuencia.
- Realizar de forma periódica análisis de datos de pagos a proveedores para tratar de identificar duplicidad de desembolsos, cambios no autorizados en números de cuentas, contrapartidas de gastos que van directamente a tesorería sin pasar por cuentas de proveedor (salvo intereses financieros u otros gastos que sea razonable esa contrapartida).
- Concienciar a los responsables del proceso de contratación de la importancia de cumplir con los controles establecidos en cada una de las fases.
Como resumen, queremos incidir en el objetivo que nos marcamos al inicio de esta serie sobre la tipología de riesgos de fraude en el proceso de contratación. Este es el de ayudar al CFO y a los departamentos financieros a conocer la tipología de fraudes que se pueden cometer en el proceso de contratación y pagos de bienes y servicios. Así mismo, también dar una serie de recomendaciones sobre las mejores prácticas de control interno que ayudan a reducir estos fraudes, además de una serie de indicadores, alertas o banderas rojas que puedan ayudar a identificar los esquemas de fraude.
En este sentido es importante remarcar la importancia de resaltar el riesgo de fraude no con el objetivo de preocupar sino con la misión de ocuparnos de él. De esta manera, en las organizaciones tendremos procesos antifraude robustos que ayuden a la consecución de sus objetivos y sean una ventaja competitiva para sí mismas.