Si un negocio tiene un canal digital, es muy probable que haya sufrido fraude o fraude potencial en algún momento de sus operaciones. Y en la actualidad, cuando los estafadores digitales parecen estar un paso por delante de los mejores modelos de detección de fraude con herramientas como las identidades sintéticas, los negocios están buscando construir un enfoque integral para sus estrategias de gestión del fraude y el riesgo.
La gestión del riesgo de fraude es, en resumen, el proceso de evaluar los riesgos del mismo dentro de una organización y, posteriormente, desarrollar un programa antifraude que impida cualquier actividad fraudulenta antes de que suceda. Implica la identificación de riesgos potenciales e inherentes y el desarrollo de un programa que sirva para detectar y prevenir presuntos fraudes tanto internos como externos al negocio.
De media, se estima que las empresas en todo el mundo pierden un 5 % de sus ingresos brutos debido a actividades fraudulentas. Y además, descubrimos que la industria del fraude está creciendo a un ritmo acelerado.
Con unas limitaciones económicas más ajustadas que nunca, este porcentaje de pérdida por fraude no es una cifra pequeña. Si no se controla, las pérdidas pueden convertirse en parte de la cultura de una organización. Si no se adopta una estrategia de gestión del riesgo de fraude, este tiene el potencial de propagarse como un virus, destruyendo la salud de las empresas y ocasionando cada vez más pérdidas.
El fraude también puede derivar en responsabilidades legales para las empresas y su personal. En Estados Unidos, ya en 2015, el «Yates Memo» promovió y estableció un enfoque a nivel nacional que abordaba las irregularidades corporativas a las que todas las empresas se enfrentan hoy en día. Incluso aquellas personas que no están implicadas directamente pero son conscientes de estas irregularidades dentro de su organización pueden estar sujetas a sanciones penales graves. Un programa de gestión del riesgo de fraude sólido proporciona estructuras y protocolos que impiden un agravamiento que pueda causar consecuencias jurídicas y ayuda a los negocios a comunicar la gravedad de las repercusiones a todas las partes implicadas.
Hemos querido destacar cinco principios para una estrategia de gestión del riesgo de fraude eficaz:
- Evaluación
- Gobernanza
- Prevención
- Detección de los riesgos de fraude
- Supervisión y presentación de informes
Estos principios proporcionan la base para que las empresas evalúen el riesgo e implanten un programa detallado para evitar posibles fraudes.
1. Evaluación del riesgo de fraude
El primer paso para prevenir el fraude es entender los ámbitos donde su organización es vulnerable. Realizar una evaluación pormenorizada ayudará a analizar los riesgos a los que se enfrenta la empresa en función de su complejidad, magnitud, productos y exposición del mercado particulares. La evaluación del riesgo examina todos sus tipos, la probabilidad de que sucedan y el coste que implica cada uno.
Esta evaluación comienza con el personal. Se debe comprender de forma global el modo en que el personal interacciona con los recursos de la empresa en el día a día. Los beneficios y oportunidades que proporciona la organización a menudo pueden convertirse en la causa del fraude interno. El equipo de dirección debería plantearse la evaluación de sus tácticas de comunicación y la implementación del sistema. Por último, es importante tener en cuenta que el riesgo también se encuentra de forma externa, sobre todo si una organización maneja datos masivos o redes complejas.
A partir de aquí se usa un límite de tolerancia para crear una estructura rentable. El límite de tolerancia de riesgo es la cantidad máxima que la organización está dispuesta a perder. Este límite es útil porque hace que la evaluación del riesgo sea cuantificable y ofrece una base sobre la que construir su estrategia. De esta forma se puede prestar más atención a los riesgos por encima del límite y, por consiguiente, más perjudiciales para la organización.
2. Gobernanza del riesgo de fraude
Una vez un auditor interno u otros miembros pertinentes del equipo han evaluado el riesgo, su gestión debe convertirse en una parte integral de la cultura empresarial. Las partes involucradas deben estar abiertas a adoptar nuevos procedimientos y entender la gravedad del riesgo de fraude.
Una solución de estrategia de gestión del fraude sólida es probable que incluya:
- Una estrategia clara para el equipo de alta dirección y un gestor del riesgo de fraude para concienciar y hacer cumplir los requisitos.
- Delegación de responsabilidades con descripciones de funciones específicas.
- Procedimientos de notificación y denuncia bien redactados.
- Medidas de auditoría interna y control de calidad.
- Una descripción del proceso de investigación y de las medidas correctivas.
- Técnicas y herramientas para la sensibilización frente al fraude.
- Investigación y análisis de las tecnologías de mitigación y prevención del fraude en el mercado.
Adicionalmente, estas tecnologías deberán documentarse, compartirse y poner a disposición de todos los miembros del equipo.
La mejor estrategia para una gobernanza eficaz es nombrar a un responsable o equipo para todo el programa de gestión del riesgo de fraude, por quien pasarán todas las comunicaciones. Esta entidad competente también será responsable de la formación, la supervisión y la realización de ajustes según sea necesario.
3. Prevención del riesgo de fraude
Una de las estrategias para la prevención de riesgo de fraude más eficaces es implementar herramientas de detección de fraude y detenerlo en la fase inicial de integración. Esta estrategia de prevención también se puede utilizar en el caso de clientes que interactúan con su negocio y se registran con una cuenta, o un nuevo empleado o proveedor que se incorpora para trabajar en su nombre. Verificar a una persona implica que «sea quien dice ser» haciendo revisiones exhaustivas de antecedentes con una tecnología de autenticación multifactorial que ofrezca una mayor garantía, y así se podrá evitar el fraude antes de que penetre en una organización y ocasione pérdidas.
El principal objetivo de la gestión del riesgo de fraude es evitarlo antes de que ocurra. Para ello, las evaluaciones del riesgo deben hacerse con frecuencia, especialmente por el hecho de que los entornos de riesgo cambian constantemente. Tiene que haber controles internos claros.
Con el tiempo, las organizaciones podrán ajustar su programa para mejorar la prevención. Se puede evitar completamente un riesgo decidiendo no participar nunca más en una actividad; puede transferirse, por ejemplo, contratando un seguro.
Entre evaluación y evaluación es fundamental que una organización, del primero al último, entienda el objetivo completo de la estrategia. Si el equipo directivo se muestra diligente en cuanto a la aplicación y la creación de nuevas políticas, es más probable que la plantilla las cumpla. La visibilidad de los mecanismos de detección por sí misma puede inspirar a las partes involucradas para que actúen de tal modo que prevengan el fraude antes de que ocurra.
4. Detección de los riesgos de fraude
Los controles y los informes que se usan para prevenir el fraude también pueden ayudar a detectarlo.
Los controles son herramientas que advierten al personal sobre posibles fraudes. Pueden instalarse en diversas capas de la organización, desde configuraciones de redes hasta software de comunicación interna. El personal debe estar informado de cómo funcionan exactamente estos controles y cuándo evaluarlos.
Los informes son uno de los pilares fundamentales de la detección de fraude. Cuando se usan correctamente, pueden detectar variaciones y señalar un comportamiento fraudulento. En estos informes se debe incluir toda la información relevante, incluida la fecha y la hora, y deberán guardarse de manera competente.
Si el personal detecta fraude, debe contar con una forma simplificada de advertirlo. Una consideración especial que se debe tener hoy en día es la incorporación de un procedimiento de fraude que avise del mismo debidamente, al tiempo que se protege la información importante y potencialmente sensible de los usuarios.
5. Supervisión y presentación de informes
La gestión del riesgo de fraude es un proceso en constante evolución. Estos cuatro primeros principios deberán ser objeto de supervisión e informes frecuentes. La única forma de que una solución de gestión del fraude funcione es que se evalúe según los logros, los puntos ciegos y las áreas de mejora con regularidad.
Cuantifique los resultados de la estrategia actual y comunique los resultados de forma transparente a todas las partes implicadas pertinentes. Haga saber a los equipos cuándo se harán las evaluaciones y qué se supervisará exactamente. Asimismo, se deberán revisar con frecuencia los derechos jurídicos para garantizar el cumplimiento con la ley vigente.
La transparencia es la mejor política para la gestión del riesgo de fraude
El denominador común de los cinco principios para una gestión del riesgo eficaz es la transparencia.
La evaluación del riesgo es el primer paso para desarrollar una estrategia clara. Así se analizan a fondo las vulnerabilidades internas y externas mientras se proporciona una visión general de la cultura del fraude corporativo en su conjunto. Designar a una entidad para que dirija el programa para detectar los riesgos de fraude garantiza una comunicación clara en todos los niveles de la empresa.
La prevención del fraude se promueve a través de un esfuerzo conjunto y una cultura corporativa, mientras que la eficacia de la detección del fraude dependerá de la transparencia de sus controles, informes y estrategia de denuncias.
Y, por último, una supervisión y generación de informes constantes garantizan que el sistema de gestión del fraude es fructífero y claro y está actualizado en todo momento.
Si estos cinco principios se integran debidamente, la estrategia de gestión de prevención del fraude protegerá a su organización frente a estafadores, pérdidas financieras e irregularidades corporativas.
- Nota de prensa ACFE Report Estimates Organizations Worldwide Lose 5 Percent of Revenues to Fraud. https://www.acfe.com/press-release.aspx?id=4294973129. Acceso el 14 de octubre de 2020.
- Acta. Individual Accountability for Corporate Wrongdoing. United States Department of Justice, Office of the Deputy Attorney General. https://www.justice.gov/archives/dag/file/769036/download. Acceso el 14 de octubre de 2020.