Ene/Feb 2015  |  Núm. 11






Mark J. Nigrini, Doctor

En esta edición

Lecciones de un fraude por 8 millones de dólares

Lo que el delincuente estaba pensando y lo que se puede hacer para prevenir o descubrir delitos similares

En retrospectiva, parece obvio que nunca se debió haber permitido que la rapiña en los servicios financieros del gigante ING por parte de Nathan J. Mueller comenzara, ni mucho menos que durara tanto tiempo.

En primer lugar, fue un accidente el que dio a Mueller, un empleado de la división de reaseguros, la autoridad para robar cheques de la compañía por hasta 250,000 dólares.

Luego, los cheques que la compañía de tarjetas de crédito regresaba a ING podrían haber expuesto su robo durante el primer año. Pero el departamento de cuentas por cobrar sólo se limitaba a regresarle los cheques a él.

Finalmente, la evidencia de que estaba viviendo muy por encima de sus medios: los autos y relojes caros, su vida nocturna suntuosa y los frecuentes viajes a Minnesota o a Las Vegas, podrían haber despertado las sospechas de sus colegas de trabajo. Pero nadie denunció nada por años.

Mueller consiguió desviar cerca de 8,500 millones de dólares de ING durante cuatro años y tres meses. Fue descubierto y sentenciado a 97 meses en prisión; una sentencia que comenzó a pagar desde febrero de 2009 en la Prisión Federal de Duluth, en Minnesota.

¿Por qué nos debería importar Nathan J. Mueller? Su caso es notable porque involucró millones de dólares y mucho tiempo mientras su fraude pasó inadvertido; además de que éste fue posible por una deficiencia en los controles. Este artículo describe el fraude en palabras propias de Mueller, y revisa las lecciones aprendidas, con estrategias para la administración de las formas para prevenir y detectar fraudes similares.

La ruta hacia ING

Mueller nació en un pequeño poblado al sur de Minnesota. Un amigo de la secundaria recuerda que Mueller era popular en la escuela, que tenía un nivel decente en el atletismo y que era competente para hacer los trabajos escolares, además de que le gustaba hacer sonar fuerte su música de rap en el carro cada vez que podía hacerlo. El amigo también recuerda que su familia siempre tenía un presupuesto limitado y que a él no le gustaba vivir así.

Posteriormente, fue a un colegio universitario y obtuvo su título de contador en 1996. Le agradaban los trabajos internos de los sistemas de contabilidad, y en el 2000 llegó a formar parte de ING, cuando su empleador, la compañía de seguros ReliaStar, fue adquirida por más de 6,000 millones de dólares.

Mueller jugó un papel clave en la transición de su antiguo empleo para adaptarse al sistema de planeación de recursos de la nueva empresa. Un error por parte de su empleador abrió una oportunidad que Mueller aprovechó para robar fondos de la compañía. En la siguiente sección de este artículo, Mueller describe con sus palabras cómo fue la estafa que realizó.

A MENUDO NOS REGISTRÁBAMOS EN EL SISTEMA CON OTRO NOMBRE

Como parte del equipo de transición, me hice experto en todos los aspectos del sistema de planeación, incluyendo reportes financieros, registros diarios, y, sobre todo, los cheques y el procesamiento de transferencias. Por error, a una colega y a mí, se nos dio la autoridad para aprobar cheques por hasta 250,000 dólares. Descubrí este permiso por accidente, aproximadamente dos años después de la adquisición.

En nuestro departamento de contabilidad teníamos un contralor, su asistente, un gerente de contabilidad (yo), y tres personas más bajo mi cargo. Junto con mi colega y mi subordinado, yo era uno de los únicos que podían pedir cheques en esa división, pero sólo mi colega y yo podíamos aprobarlos. Nosotros conocíamos todas las contraseñas del sistema de todos los compañeros. Esto resultaba práctico porque podíamos realizar “cosas” cuando alguien estaba fuera de la oficina. A menudo ingresábamos en el sistema con el nombre de alguien más para realizar algún trabajo. Una mañana, me di cuenta de que podía entrar como otra persona en el sistema, pedir un cheque y después ingresar con mi identidad para aprobar mi propia petición. Seguí trabajando cada día del siguiente año tentado por aquella mina de oro que podía ser explotada.

En junio de 2003, mi esposa quedó embarazada y mi salario anual de 80,000 dólares no era suficiente para pagar ni todas las cuentas, ni las deudas por préstamos para las colegiaturas. Pensé que si tan solo pagaba mis deudas, entonces podría hacer que mis ingresos fueran suficientes para pagar los costos de los gastos necesarios. Probé si resultaba mi estafa pagando la cantidad que debía en ese momento en mis tarjetas de crédito, las cuales tenían la denominación “universal”. Un lunes, justo antes de que me fuera tarde de la oficina, ingresé con la identidad de mi colega y pedí un cheque para “Universal” por 1,100 dólares. El cheque parecía normal porque hacíamos muchos negocios con una compañía de seguros cuya denominación incluía la palabra “Universal”. Después de haber preparado el cheque, lo envié por correo con mi saldo a la compañía de mi tarjeta de crédito, y el monto fue aplicado a favor de mi cuenta sin ningún problema. Por algún tiempo me sentí culpable y me preocupé. Si me hubieran atrapado, habría perdido mi empleo por sólo 1,100 dólares. Dos semanas después, lo volví a intentar, pero el cheque fue por 1,800 dólares. Durante el verano, transferí todos mis saldos a la tarjeta de Universal y seguí pidiendo cheques para este mismo nombre. Una vez que los 88,000 dólares de mi tarjeta de crédito habían sido pagados, me sentí libre y sin deudas, pero quedaba la hipoteca de nuestra casa.

Antes de que hubiera despejado todos los cargos con la tarjeta Universal, me di cuenta de que, al parecer, uno de mis cheques por 4,500 dólares faltaba. No se vio reflejado en mi cuenta de crédito y tampoco figuraba en la cuenta de banco de la compañía. Estaba preocupado porque algo había hecho que el banco no procesara el cheque o quizá mi fraude había sido descubierto en control interno. Durante algunas semanas, estuve revisando con inquietud mis correos cada mañana para ver si se me pedía alguna explicación. Además, cada vez que sonaba el teléfono temía que se tratara de un llamado para ir a alguna junta. Posteriormente, una mañana calurosa de inicios de agosto, recibí en mi correo uno de esos sobres de papel reciclado color café, proveniente del departamento de cuentas por cobrar de Atlanta. ¡Ahí estaba mi cheque! Había olvidado poner mi número personal de la tarjeta de crédito sobre el cheque, y para procesar el pago no se sabía a qué cuenta depositarlo. Luego, habían enviado el cheque al domicilio de la oficina principal. Tampoco las personas en esta área sabían qué hacer con él, así que me lo devolvieron, pues yo era el peticionario del cheque. Eso me quitó todo el interés de seguir con mi fraude en el año de 2003.

DESPUÉS DE QUE SE ME PASÓ EL SUSTO

A mediados de un invierno tremendo, los efectos del susto habían desaparecido y comencé a pensar en lo fácil que podría ser conseguir ese “bono” de 88,000 dólares. No pude resistirme. Quería hacerlo de nuevo, aun cuando ya no necesitaba el dinero como antes. Recordé lo del susto por el cheque faltante, y por ello lo que quería ahora era que la treta no tuviera que pasar por el correo para hacer llegar los cheques a la compañía de mi tarjeta de crédito. Registré así a una compañía con el nombre de “Consultoría de Negocios Ace”. Con nuestro secretario de estado, obtuve un número de identificación federal y abrí una cuenta en un banco importante con muchas filiales en Minnesota. Escogí Ace porque nuestra compañía hacía muchos negocios con otra compañía que también contenía la palabra “Ace” en su denominación. En una tarde de jueves, antes de acabar mis actividades laborales, ingresé en el sistema como uno de mis subordinados y pedí un cheque por 27,000 dólares. Después me salí del sistema para ingresar con mi identidad y lo aprobé. Recogí el cheque el viernes de esa semana y lo deposité en la cuenta bancaria de ACE el sábado por la mañana. Como de costumbre, el cajero no dio importancia a la transacción y me dio el recibo de depósito que mostraba que esa cantidad estaba disponible. Todavía recuerdo que me dijo que tuviera un bello día. Usando este método, robé un millón en el 2004, dos en el 2005, cuatro en el 2006, y uno en el 2007.

Obtener un cheque era fácil porque podía ingresar como otro colega o subordinado para pedirlo y luego ingresaba con mis datos para aprobarlo. Los cheques se imprimían en la noche, y era deber del subordinado recogerlos físicamente cada día en el edificio contiguo de la compañía. Solo tenía que asegurarme de que el subordinado tuviera el siguiente día libre, porque cuando no estaba yo, era la persona que podía recogerlos. En mi escritorio retiraba el cheque de Ace de su respectivo fajo, y todos los demás eran enviados por correo a su destino. Normalmente, solo debía esperar a que el subordinado tuviera un día libre y así pedía yo un cheque para ACE el día anterior. Si necesitaba dinero de manera urgente, yo mismo le daba el día libre para que yo pudiera recoger los cheques.

Para cada crédito (con el banco) debía haber un débito, y mis débitos tenía que esconderlos en alguna parte. Mis pagos eran usualmente por reclamaciones de seguros, gastos por comisiones, diversos reembolsos, o por algún gasto administrativo. En el 2003 y el 2004, escondí todas mis deudas en las cuentas del libro mayor, que tenía mucha actividad de conciliación, asegurándome de qué débito ayudaba a conciliar la cuenta con ceros o sin saldos. Una de mis responsabilidades contables era la de registrar los ingresos de nuestras inversiones canadienses en dólares americanos para nuestros registros de contabilidad. Se suponía que yo debía utilizar la tasa de cambio de dólares canadienses a americanos para registrar los ingresos de los intereses. Del 2005 al 2007, calculaba la tasa real de intercambio, para luego debilitar a propósito el dólar canadiense por unos cuántos puntos base y declarar así con menor valor los dólares americanos de dichos ingresos. Yo era la única persona que realizó dicha tarea durante siete años, debido a que el sistema de contabilidad tenía miles de registros diarios y miles de millones de dólares en transacciones, por lo tanto, mis cheques de Ace permanecieron ocultos.

VAYAMOS POR UN ALMUERZO EN ALGÚN MOMENTO

Por cada cheque de ACE había un depósito a mi cuenta bancaria, y yo necesitaba alguna explicación para gastar mi dinero sin que mi esposa o mis amigos sospecharan. Al principio, les dije que estaba haciendo un trabajo contable por mi cuenta. En aquella época mi estilo de vida no era muy diferente y esta explicación bastó. Para cuando ya tenía carros europeos de lujo y hacía costosos viajes a Las Vegas; llevaba extravagantes relojes o me divertía en suntuosos clubes nocturnos, le decía a la gente que tenía mucho éxito en las apuestas y que mis ingresos adicionales provenían de grandes premios ganados en los casinos. Para hacer esto creíble, primero hacía una transferencia a algún casino en Las Vegas, después volaba hasta ahí (en primera clase con la aerolínea Northwest). Y me traía hasta 100,000 dólares en efectivo a casa en fines de semana, con un fajo de formatos de deducción de impuestos sobre premios ganados en apuestas. Esta explicación de éxito en las apuestas ya no estaba funcionando después de dos años (justo antes de llegar a los 3 millones de dólares en “premios”) así que, en junio del 2006, supe que tenía que elegir entre conservar a mi esposa o seguir por la vía del fraude. O bien le confesaba lo que estaba haciendo o me alejaba de ella para no involucrarla en las consecuencias que pronto generarían mis actos. Sabía que me iban a atrapar, así que escogí el divorcio.

A mediados del 2007, mi fraude se había enfriado, y ya sólo había tomado 1 millón de dólares para ese año. La revisión que hizo una compañía interna había mostrado que tres de nosotros en el área contable tenía autoridad para aprobar cheques y que todos recibíamos formatos internos que debíamos llenar. Una mañana, mi colega y yo hablamos sobre ello con mi jefe y llegamos al acuerdo de que, como todos estábamos encargados de las funciones de contabilidad, no debíamos tener autoridad para aprobar cheques. De hecho, revocamos nuestra autoridad para poder realizar las aprobaciones.

Mi colega y mi exesposa se volvieron amigas mientras ella y yo seguíamos trabajando juntos. Una tarde de agosto, en el restaurante Panera Bread, estaban hablando (¡vaya sorpresa!) de mi sobrepeso, depresión, alcoholismo y aislamiento social. Además, mi exesposa le contó a mi colega que no creía que mi suerte de apostador justificara mi nuevo estilo de vida. Así, mi colega comenzó a sospechar y decidió hacer una revisión de los cheques del 2007 que había pedido y aprobado. Los resultados incluyeron los 10 cheques de ACE que sumaban un millón de dólares. A las 2 de la tarde, mi jefe me pidió los comprobantes que correspondían a dichos cheques. Comenté que como el subordinado había tomado el día libre cada vez, debíamos llegar al fondo de la cuestión para la mañana del lunes siguiente. Ese día la junta fue todo un éxito, y salí literalmente huyendo de la oficina. El martes a las 10:30 de la noche, dos investigadores de fraude de la compañía tocaron a mi puerta. Fue una conversación incómoda en la cual se mencionó varias veces la palabra “Ace” la cual sólo finalizó cuando les comuniqué que quería hablar con mi abogado.

MÁS VALE PREVENIR…

Las organizaciones necesitan una estrategia efectiva para evitar que los empleados cometan fraude. Estos programas deben incluir actividades para prevenirlo, detectarlo de manera proactiva, realizar investigaciones (a los sospechosos) y perseguir acciones delictivas. Las investigaciones de fraude y la obtención de recursos civiles tienen un alto costo y, generalmente, se cree que las acciones preventivas son la manera más económica de impedir pérdidas por fraude. Estas acciones comprenden la conservación de una cultura organizacional de honestidad y de altos estándares éticos, además de la evaluación de los riesgos de fraude y la reducción de las oportunidades para cometerlos. Esta sección discute las acciones preventivas que se pueden implantar para evitar un fraude como el de Mueller.

La política de contratación de una organización (cuando la ley lo permite) debe incluir una revisión de la carrera laboral del empleado, sus antecedentes y educación. Estos procedimientos deben aplicarse en cada proceso de contratación, incluyendo a los grupos de empleados que serán recontratados como resultado de una adquisición por parte de una corporación.

Mueller pasó a ser empleado de una compañía multinacional como resultado de este proceso, por lo que no tuvo que pasar por las revisiones que su nueva empresa aplicaba a sus empleados. Después de una contratación, la alta gerencia debe saber que los empleados entrantes de la otra compañía tendrán un menor grado de fidelidad para con su nuevo empleador. Así, la entidad que realiza la adquisición debe ponderar cuidadosamente sus opciones cuando se encuentre en el momento de evaluar los riesgos de fraude y dar la adecuada consideración para los procedimientos de recontratación que acabamos de mencionar. Esta gerencia también debe considerar igualmente la forma en que habrá de evaluar a los nuevos empleados, quienes entrarán en proceso modificado de recontratación, que sea acaso menos exigente. En el caso de Mueller, una revisión de su estatus crediticio habría mostrado sus presiones económicas y su necesidad de tener mayores ingresos, aunque no habría sido condición suficiente para negarle la oferta del puesto.

LA IMPORTANCIA DE LOS CONTROLES DE PLANEACIÓN DE LOS RECURSOS

El caso Mueller es un buen recordatorio sobre la importancia de los controles relacionados con los sistemas de planeación de recursos. Los controles de autentificación identifican a la persona que está teniendo acceso al sistema de contabilidad y aseguran que sólo puedan entrar los usuarios legítimos. Éstos incluyen contraseñas, tarjetas de chip e índices biométricos. En el caso Mueller, los controles fallaron porque él podía hacerse pasar por sus colegas o subordinados. Se pudo haber evitado el fraude si la compañía hubiera utilizado una autentificación multifactorial, acaso pidiendo tanto una contraseña como una tarjeta de chip a través de un lector.

Los controles de autorización restringen el acceso de usuarios autentificados para cierta clase de información y capacidades. Durante dos años, Mueller ni siquiera se enteró de que tenía permiso para aprobar cheques. Además, su límite de 250,000 dólares era excesivo. Su capacidad para pedir y aprobar cheques de sumas importantes facilitó, en parte, la realización del fraude.

Los controles de procesamiento aseguran que los datos sean procesados de forma correcta y que, por ende, no lo sean los errores. El fraude de Mueller también fue posible, en parte, por el hecho de que podía esconderlo al asentar sus débitos en el libro mayor de cuentas de su preferencia (registrando diariamente y de manera efectiva su propio fraude).

Una debilidad en los controles relacionada con las salvaguardas físicas fue el hecho de que los empleados que pedían y autorizaban tenían acceso a los cheques impresos después de que éstos eran emitidos. Los empleados que piden o aprueban pagos no deben tener acceso a los cheques impresos. Este control es importante en los centros de procesamiento de las reclamaciones que, por ejemplo, procesan reclamaciones de seguros de salud o devoluciones de impuestos.

Es difícil evitar las complejidades y el volumen de las transacciones que se dan en una compañía multinacional de servicios financieros. Las buenas prácticas de negocios, asociadas a los riesgos de fraude, proporcionan razones convenientes para evitar aquellas situaciones en que una o dos personas pueden entender la totalidad del sistema y que, además, son responsables de las conciliaciones y las firmas autorizadas. Como Mueller podía controlar las cuentas del libro mayor que eran debitadas, pudo ocultar su estafa. Este caso muestra así la importancia de la separación de la responsabilidad operativa para llevar los registros.

Los elementos del “triángulo de fraude” incluyen la presión, la oportunidad y la racionalización o justificación. Las altas deudas personales y un nuevo hijo completaron la presión de la primera fase del fraude. Como medida preventiva, las organizaciones deben contar con programas de apoyo al empleado para que pueda superar adicciones, problemas emocionales o mentales y dificultades en el ámbito familiar y económico.

…QUE LAMENTAR

El uso de la analítica forense habría alertado respecto del proveedor Ace. Consiste en la obtención y revisión de los datos electrónicos por medio de cálculos y técnicas estadísticas para reconstruir, detectar, o bien fundamentar una acusación por malversación o algún otro tipo de fraude financiero. Los principales pasos en el proceso incluyen: recabar y filtrar datos, realizar pruebas analíticas, evaluar, investigar y formular reportes.

La prueba de los más altos subgrupos está basada en el hecho de que la gente magnifica sus fraudes un paso más allá de lo que podría ser considerado normal. Incluso no saben cuándo detenerse. Un proveedor fraudulento muestra un crecimiento anual exponencial. Un empleado que usa la tarjeta de compras de la compañía para sus gastos personales frecuentemente muestra un crecimiento geométrico en el total de sus compras. Un empleado con una estafa de tiempos extras muestra un alto crecimiento en sus horas totales, incluso hasta llegar a niveles imposibles. Si se hubiera realizado una prueba electrónica para revisar a los proveedores con el mayor crecimiento anual en moneda corriente, se habría mostrado que el crecimiento de Ace había sido anómalo y, por tanto, sospechoso.

El estilo de vida Mueller incluía caros vehículos, viajes, relojes y una vida nocturna de entretenimiento. Sus compañeros de trabajo veían y escuchaban que llevaba una vida de ricos. Una capacitación para concientizar sobre el fraude recuerda a los empleados (de todos los niveles) en la organización, que el fraude es real y que podría estarse dando ya en alguna área. Una señal típica de alerta es el que algún colega en el trabajo esté viviendo muy por encima de su poder adquisitivo. “Desde tiempo atrás, mis colegas sabían sobre mis viajes a las Vegas, mis apuestas, y mi carro. ─declaró Mueller─ Conforme pasaba el tiempo, podían ver que tenía más cosas, y debieron haberse preguntado sobre la proveniencia de mi dinero.” Si se hubieran elevado las sospechas como resultado de una capacitación, este fraude se hubiera detenido desde el 2004.

Bastó tan solo una simple investigación sobre los cheques a nombre de Ace. Mueller fue finalmente sorprendido a causa de las sospechas por un fraude, aunque se debió más a la coincidencia. Habitualmente, los fraudes se descubren por denuncias y, para beneficiarse de este método, las organizaciones deben facilitar a los empleados un canal anónimo para denunciar los fraudes, como por ejemplo una línea telefónica ética.

Este fraude se hubiera descubierto en 2003 si la gente de cuentas por cobrar hubiera revisado con más detalle ese cheque de 4,500 dólares que se les devolvió. Una institución financiera devolvió un cheque a la compañía diciendo que no sabía para quién era el pago. Y debió haberles parecido extraño que una compañía de tarjetas de crédito estaba recibiendo su pago por medio de un sólo cheque para una cuenta individual. Una táctica de detección habría sido la de que una gerencia a cargo de riesgos, y con conocimiento en asuntos financieros, revisara todas las operaciones no usuales con entidades externas (errores, devoluciones, y pagos excedidos) para que así se pudieran llevar a cabo acciones de reparación, incluyendo la posibilidad de realizar cambios en los sistemas.

En esta estafa se utilizaron cheques que salían a favor de Ace. Aunque Mueller no estableció el proveedor como uno nuevo, las compañías deben controlar cuidadosamente quién tiene permiso para agregar a nuevos proveedores al sistema de pagos. Además, los proveedores que no registran actividad deben ser omitidos del sistema para evitar que los empleados que quieren comenzar un fraude modifiquen un registro existente en vez de crear un nuevo proveedor.

PALABRAS FINALES

Mueller ha devuelto alrededor de 860,000 dólares del dinero que robó, según sus declaraciones. Casi todo ese dinero está en forma de activos, es decir, casas, carros, joyería, y cuentas financieras. Lo dio directamente a ING o le fue confiscado por su exesposa o amigos, según sus palabras. Actualmente paga 75 dólares al mes desde la prisión, a través de un programa de reembolso.

Con tiempo para una buena conducta y para cumplir con el programa residentes por abuso de drogas (en este caso alcohol), Mueller está programado para abandonar la prisión en septiembre. Habrá cumplido un año tres meses más tras las rejas que lo que estuvo en ING robando dinero: una estafa que, en retrospectiva, nunca debió haber comenzado y mucho menos haber durado tanto.


RESUMEN EJECUTIVO

Un error corporativo hizo posible el fraude de Nathan J. Mueller. Dos años después, él descubrió que podía pedir y aprobar cheques por un monto de hasta 250,000 dólares. A una colega suya también se le habían otorgado los mismos privilegios, mientras un subordinado contaba con la autorización para pedir cheques.

Él, su colega y un subordinado tenían acceso a las contraseñas de todos sus compañeros. Esto le permitió solicitar cheques, utilizando la identidad de alguien más, para luego aprobarlos con su propia cuenta.

Mueller y un subordinado estaban autorizados para recoger físicamente los cheques. Esto permitió que él recogiera los recibos de los pagos a cuenta de un falso proveedor que él mismo creó.

Escondió sus débitos en las cuentas del libro mayor que él mismo controlaba. Una mejor distribución de las responsabilidades podría haber evitado este fraude.

El fraude llegó a la suma de casi 8,500 millones de dólares en cuatro años. El dinero fue utilizado para comprar carros y relojes de lujo, además de llevar una suntuosa vida nocturna de entretenimientos, así como de pagar numerosos viajes de Minnesota a Las Vegas. Vivir más allá de las propias posibilidades constituye un típico indicio de fraude.

Mueller le dijo a su esposa que su dinero extra provenía de su éxito en las apuestas. Después de algún tiempo, ella comenzó a poner en duda estas explicaciones y se divorciaron.

El fraude fue descubierto cuando la exesposa de Mueller expresó a su colega sus dudas sobre los ingresos. La colega en cuestión detectó transacciones cuestionables en los registros de la compañía que llamaron la atención de la gerencia. Después de esto, se descubrió la estafa.

Finalmente, Mueller fue sentenciado a 97 meses en una prisión federal después de que se declaró culpable del fraude. Se le liberará en septiembre, después de cinco años y medio en prisión.

 

Texto original: Mark J. Nigrini, “Lessons from an 8 million fraud”, Fraud Magazine [en línea].

 



Diplomado

Reporte a las Naciones 2014

Programa de educación continua

©2015 ACFE-Capítulo México, A.C., Derechos Reservados.
Aviso de Privacidad
Asociación de Examinadores de Fraude Certificados Capítulo México
Tel. 5207-7557, 5536-0104 | seminario@acfe-mexico.com.mx