Cómo abordar una investigación antifraude: más cabeza que corazón

Hay varios mandamientos iniciales, tanto relativos a los recursos propios como a los aspectos normativos y procedimentales, para asegurar el éxito de una investigación. Si no se han interiorizado, todo el edificio puede desmoronarse y por eso puede ser aconsejable no emprender la investigación. No olvidemos que, en muchas ocasiones, la investigación puede dar lugar a una causa judicial:

1. Ser estrictos en el cumplimiento de las normas. Al investigar una irregularidad podemos cometer una aún mayor que el hecho que se está esclareciendo, con la responsabilidad penal que puede suponer para la persona jurídica. Las investigaciones tienen que realizarse con total respeto a los derechos fundamentales de los investigados: intimidad, secreto de las comunicaciones, etc. y según la normativa interna y la jurisdicción en que nos movemos.

2. Ser eficaces. Disponer de los recursos materiales y humanos que habiliten la investigación. Por ejemplo, el acceso a las fuentes. Si no contamos dentro de la organización con las personas adecuadas, podemos acudir a terceros especializados en la realización de investigaciones.

3. Actuar únicamente si existen indicios suficientes. Interiorizar el concepto de Predication relativo al análisis objetivo de los indicios preliminares de irregularidad que llevan a un alcance de investigación proporcional y razonable. Se trata de evitar actuaciones desproporcionadas a las evidencias existentes y posibles arbitrariedades.

4. Llevar a cabo la investigación de lo general a lo específico. En círculos, desde fuera hacia dentro. Por ejemplo, organizar las entrevistas priorizando a los colaboradores, las partes más neutrales e ir avanzando hacia las partes que han tenido más relación y, por último, a la persona sospechosa.

5. Contar con el marco normativo interno adecuado y no fragmentado. Analizar si contamos con un código de conducta y un adecuado desarrollo de políticas, por ejemplo, para el uso de dispositivos, que esté notificada a los empleados y sea suficientemente exhaustiva para incluir todos los medios corporativos que el empresario pone a disposición del empleado: ordenador, móviles y dispositivos híbridos (el concepto Bring Your Own Devices). También que abarque el modo de retener la información y si hay mecanismos que eviten su destrucción en caso de que se abra la investigación.

6. Protocolos y procedimientos de actuación. Todo el marco metodológico en torno a las investigaciones internas: desde los canales de denuncias a los procedimientos de actuación, los nombramientos de responsables o el aseguramiento de la confidencialidad y la cadena de custodia.

7. Una configuración óptima de los recursos informáticos. La organización debe saber si existe un registro de accesos a carpetas compartidas y se capturan todos los correos recibidos y enviados. La gran pregunta es si la empresa está preparada tecnológicamente para emprender la investigación, evitar la fuga de información confidencial y tener asegurado el acceso a la nube, a servidores y a ordenadores corporativos.

El momento de la decisión: la importancia de los primeros pasos

Una investigación se pone en marcha a raíz de una sospecha, una denuncia, quizá una mera conjetura. Sospechar no significa prejuzgar. El Rubicón se atraviesa cuando, tras unas pesquisas preliminares, se decide continuar o no con la investigación. Ese momento previo es parte esencial del proceso y condicionará su recorrido. De ahí que toda decisión deba quedar documentada, tanto si el caso sigue adelante como si se archiva.

Para evaluar la consistencia y verosimilitud de la denuncia se recomienda seguir estos 6 pasos:

1 Clasificación y análisis preliminar de la denuncia. Valorar los indicios de verosimilitud por la calidad del denunciante, la confidencialidad o la forma en que llegó la información. Las investigaciones preliminares no deben ser intrusivas.

2 Asignación de roles y responsabilidades. Hablamos del gobierno del proceso. Tener claro quién va a pilotar las investigaciones y las personas que van a tomar las decisiones oportunas. Lo aconsejable es organizar equipos multidisciplinares (informáticos, contables, etc.) pero con un rol de liderazgo claro que centralice la información.

3 Registro documental. Comprobar el sistema de gestión de notificaciones. Las denuncias tienen que ser trazables y estar documentadas porque en algún momento la empresa deberá acreditar, también judicialmente, todas las actuaciones que ha llevado a cabo.

4 Proceso de investigación. Tener preparado el entramado normativo y procedimental atendiendo especialmente a garantizar la proporcionalidad de las actuaciones, la custodia de los dispositivos y la correcta documentación de todos los procesos, incluidas las entrevistas.

5 Respuesta temprana y eficaz. La premisa principal de toda investigación es preservar la información desde el minuto uno y evitar que se puedan destruir pruebas relevantes porque se actúe con precipitación.

6 Conclusiones y recomendaciones de mejora. No olvidemos tener claro cuándo y cómo vamos a cerrar el proceso y cómo se va a comunicar al denunciado, al denunciante y a las partes interesadas. Y cuál será el aprendizaje para evitar que se repitan en el fututo las conductas irregulares.

Lo que importa son los hechos, no las opiniones

La investigación antifraude habla de hechos. Se debe abordar científicamente, sin sesgos personales y sabiendo diferenciar entre el hecho y el derecho. La interpretación jurídica de los hechos llegará luego. La labor forense es esclarecer los hechos, no interpretarlos ni juzgarlos ni castigarlos.

Para esa reconstrucción fáctica es imprescindible seleccionar bien las técnicas de investigación. Cada vez cobra más importancia la técnica de Data & Analytics para analizar grandes grupos de datos. Nos permiten detectar anomalías y observar tendencias a partir del Big Data porque el fraude suele tener que ver con patrones. Repasemos algunas técnicas de investigación:

Análisis informático forense. Hoy en día es la parte más relevante y hay que estar preparado previamente. Como hemos dicho, disponer de la normativa interna que permita almacenar la información de buzones de correo, móviles, etc. Nos permitirá detectar, por ejemplo, correos que el defraudador escribió hace años y que hoy pueden ser relevantes para esclarecer los hechos.

Entrevistas. Una herramienta que permite profundizar en el conocimiento de la situación, recabar evidencias y confirmar los hechos. El factor humano es fundamental en todas las circunstancias y el cara a cara siempre aportará un plus por la relevancia de la información no verbal.

La revisión documental. Se trata de identificar, cuantificar y acreditar el impacto de las irregularidades con la información que aportan los sistemas de gestión y soporte, desde extractos a facturas, albaranes, pedidos o contratos. El objetivo es medir el perjuicio económico: encontrar ese número que represente el daño causado.

Corporate intelligence. Hablamos de analizar las conexiones entre personas físicas y jurídicas utilizando fuentes de información corporativa pero también personal, buceando en las redes sociales, en la prensa y en internet. Fuentes que nos ayudan a encontrar las relaciones de los empleados con terceras partes y conflictos de interés desconocidos.

Salvaguardar la integridad de las pruebas y de las personas

Los empleados tienen la obligación de colaborar con la investigación, pero también la empresa debe garantizarles sus derechos. Muchas veces los tribunales no admiten las investigaciones internas como prueba por falta de garantías o por el sesgo de parcialidad que pueden observar en la empresa. ¿Qué debemos hacer?

• No monitorizar a los empleados salvo que existan normas internas, acordes al marco legal, que lo permitan y que estén notificadas. Atentos nuevamente al Predication (proporcionalidad), porque puede ser desproporcionado en algunos casos, no en todos, por ejemplo, grabar la pantalla de un empleado.
• Preservar la información electrónica para salvaguardar la cadena de custodia (copia de seguridad, códigos HASH, etc.).
• Llevar a cabo el análisis informático forense mediante búsquedas ciegas, utilizando palabras clave, de modo que se evite lesionar los derechos de los empleados. A través de palabras que son relevantes, ayudados con términos booleanos combinando distintos criterios de búsqueda.
• Investigar el fraude nos lleva a situaciones de estrés, con entrevistados que se resisten, acuden al enfado o los insultos. La principal recomendación es mantener la calma y evitar dar la sensación de que se retiene al empleado: por ejemplo, los investigadores no deben sentarse cerrando el acceso a la puerta.

El difícil momento de poner punto final a la investigación

¿Cuándo se puede dar por terminada una investigación? Al inicio del proceso debe fijarse una fecha tentativa, pero cada investigación es un mundo. No hay dos investigaciones iguales y a veces terminan tomando derivadas que llevan a un punto inesperado.

El informe de investigación es el resultado. Después será el momento de las explicaciones, la toma de decisiones y hasta el recorrido judicial, pero el informe es el elemento esencial sobre el que se construye todo lo posterior:

• Es la principal referencia para adoptar decisiones y acciones de remediación. Esto último se olvida: cómo va a ayudar a resolver el problema que se ha detectado. No solo a atajar el fraude, si se da el caso, sino a prevenir que vuelva a ocurrir y encontrar las motivaciones que hay detrás de la actitud perjudicial del empleado.
• Debe ser objetivo, claro y preciso. Fruto de una investigación independiente en donde no se presupone una culpabilidad y cuyos autores dejan los prejuicios en casa.

• Ha de centrarse en lo relevante. Un informe de 300 páginas es un mal informe. Debemos ser concisos y explicarnos de manera eficaz. Si hay que añadir más información, siempre están los anexos.
• Los resultados deben ser soportados con evidencias. Pueden ser testimoniales (entrevistas), reales (un correo electrónico o un contrato) o demostrativas (p.ej. diagramas elaborados por el investigador). Lo ideal es disponer de pruebas directas (las que siempre queremos encontrar porque son irrefutables), pero al final terminan siendo mayoritarias las circunstanciales.

• Resulta imprescindible para acreditar las actuaciones realizadas. Todas las actuaciones de investigación tienen que quedar reflejadas en el informe, de tal forma que estén claros los pasos que se han ido tomando y el porqué de las decisiones.
• Debemos evitar el lenguaje especulativo. Las hipótesis son un elemento para avanzar en la investigación, pero no deben aparecer en las conclusiones. El informe es un relato de hechos.
• Las opiniones sobran. No debemos opinar sobre la culpabilidad o inocencia ni sobre la veracidad o integridad de los testimonios. Tampoco sobre la legalidad o ilegalidad: eso lo decidirán otros.
• Tomemos en consideración todos los elementos relevantes, con independencia de a quién pueden beneficiar o perjudicar.