¿Quién comete el fraude?
Para quien no esté familiarizado con estadísticas
sobre esta cuestión, probablemente resultará
sorprendente saber que cuatro de cada cinco casos de fraude
importantes son perpetrados por empleados de la empresa. De estos
casos, sólo uno de cada cinco involucra una asociación
entre un empleado y alguien ajeno a la compañía.
¿Cuánto pierden las empresas por esta
vía?
Aproximadamente tres de cada cuatro encuestados admitieron haber
experimentado, al menos, un caso de fraude en los últimos
cinco años. Más de una cuarta parte de las
compañías consultadas perdieron más de US$
1.000.000 por actos de este tipo.
Se les pidió a las empresas datos sobre los fraudes más
importantes descubiertos en los últimos doce meses. El monto
total registrado superó los US$ 780 millones de
dólares. Solamente US$ 70 millones pudieron ser recuperados
(incluyendo cobertura de seguros).
¿Cómo se lo detecta?
Casi tres de cada cinco casos son descubiertos por casualidad, no
a través de procedimientos específicos destinados a
detectarlos. Entre los medios más comunes se destacan las
denuncias (hechas por personas ajenas o no a la organización),
cambios en la gerencia o simplemente por azar.
¿Podría pasar otra vez?
Dos tercios de los encuestados creen que el fraude puede ocurrir
en sus compañías. Más de tres cuartos de ellos
opinan que el caso más importante que experimentaron pudo
haber sido evitado a través de la prevención.
Más de la mitad opina que un caso similar podría pasar
otra vez.
A pesar de este alto nivel de conciencia con respecto a la
importancia de la prevención, dos tercios de las
organizaciones encuestadas carecen de políticas formales
diseñadas para evitar el fraude, y más de la mitad
tampoco ha establecido procedimientos para informar sobre situaciones
de esta naturaleza.
¿Cuáles son las áreas de riesgo?
La mayoría cree que las áreas de mayor riesgo son
los sistemas de computación (94%) y el departamento de compras
(91%). También fueron mencionados, entre otros factores, la
mayor complejidad de los negocios, el uso de intercambio
electrónico de datos (EDI) y de Internet para transferir
activos e información.
Las respuestas indicaron que en cuatro de cada cinco casos los
directores de las empresas no tienen un buen conocimiento del
área de sistemas de información. Y sólo un
tercio indica que los directores saben cómo opera su
departamento de tesorería.
¿Se planifican adecuadamente los controles internos?
Las respuestas fueron desafortunadamente concluyentes. Más
de dos tercios de los encuestados manifestó haber
experimentado un crecimiento en su negocio durante los últimos
cinco años. Pero sólo 3% se aseguró de que los
controles internos estuviesen bien planeados antes de emprender la
expansión.
¿La responsabilidad sobre el control corresponde a los
directores?
Existe un dilema al respecto, en el sentido de si es mejor o no
que los directores deleguen el control de la prevención del
fraude a los gerentes con mejor conocimiento sobre aspectos
particulares del negocio. Los resultados de la encuesta indican que
es mejor que los directores ejerzan total responsabilidad al
respecto. Las empresas que optaron por esta estrategia sufrieron
muchos menos fraudes.
¿Evitaría hacer negocios en alguna parte del mundo
por temor al fraude?
Ante la pregunta, sólo 20% de los encuestados
expresó que evitaría hacer negocios en algún
área geográfica específica.
Las zonas señaladas como de mayor riesgo por los participantes
fueron: Sudamérica (73%), Europa Oriental (79%) y norte y
oeste de Africa (81%).
¿Existe alguna forma de reducir el riesgo y, en
consecuencia, mejorar la rentabilidad?
Hoy en día están tomando cada vez mayor importancia
las áreas de auditoría operativa y control de
gestión, para acompañar a las organizaciones frente a
los avances tecnológicos de alta complejidad y en sus procesos
por alcanzar la rentabilidad y la eficiencia, así como para
combatir el fraude.
En general, la metodología se basa fundamentalmente en
técnicas especiales de auditoría, en evaluar y dirigir
la concentración hacia aquellos aspectos operativos y
organizacionales que implican riesgos para la unidad empresaria que
está siendo auditada, situación a veces desconocida por
la propia organización.
La auditoría operativa tiende a convertirse en una herramienta
decisiva para las organizaciones en cuanto a sus objetivos
estratégicos, para luchar con éxito contra los riesgos
de su gestión y, de esta manera, poder captar y capitalizar
las oportunidades que les permitan no sólo hacerlas
económicamente viables, sino también adelantarse
exitosamente a las exigencias del mercado.
(*) Fuentes: Alberto C. J. Menzani,
Guillermo Lirussi y Garbiel Zurdo, del Estudio Henry Martin, Lisdero
& Asociados, miembro de Ernst & Young.
La trampa informática
La permanente evolución tecnológica, sumada a la
falta de conciencia informática, ha llevado a las
organizaciones a exponerse a actos fraudulentos a través de
sus computadoras. Es sorprendente observar el grado de
participación de personal interno en este tipo de hechos, no
menor que la cantidad de agentes externos —hackers— que
intervienen en forma non sancta en archivos, bases de datos y
programas.
Los enormes volúmenes de operaciones procesados por las
compañías requieren un esquema de control eficiente
que, al mismo tiempo, no afecte la funcionalidad de los sistemas y
aplicaciones. Los factores ambientales han aportado lo suyo: la
notable modernización de las comunicaciones ha facilitado la
interconexión con otros computadores, con otras
compañías, con otras ciudades, con otros países,
acompañando el concepto de globalización.
Frecuentemente se escucha hablar a los responsables de las gerencias
de sistemas sobre lo complejo y costoso que resulta adoptar medidas
para evitar que se produzcan operaciones no autorizadas. Obviamente,
este tipo de restricción contribuye a reducir la probabilidad
de que se cometan fraudes, pero desde el punto de vista operativo se
traduce en pérdida de performance e incremento de costos de
operación, mantenimiento y atención al usuario y, en
muchos casos, este último factor es determinante a la hora de
decidir entre riesgo y beneficio.
Cuando se habla de fraude informático, muchos imaginan a un
supergenio de la computación al comando de una PC en un
sombrío rincón, pero la realidad demuestra que es mucho
más fácil cometer un ilícito utilizando otro
tipo de técnicas, como por ejemplo: compartir las palabras
clave para acceder a las aplicaciones o retirarse a almorzar y dejar
la pantalla conectada. Quien quiera utilizar los permisos de acceso
que el hambriento usuario posee ni siquiera tendrá que
esforzarse en descubrir su clave.
¿En cuántas oficinas del microcentro porteño
diría usted que ningún usuario conoce la password de
otro? ¿Cómo evitaría usted que sus empleados o
subordinados utilicen como clave el nombre de su equipo de
fútbol o el de su hijo recién nacido?
Evidentemente, mantener las contraseñas en secreto no le
asegura evitar un fraude ni impide que usted se convierta en
cómplice involuntario, pero constituye un elemento dentro de
la intrincada estructura de control necesaria para prevenir actos
fraudulentos.
Si bien los programas de control de acceso y los sistemas operativos
disponibles en el mercado proponen diversidad de herramientas para
prevenir y detectar operaciones no autorizadas, en un alto porcentaje
no se las utiliza o se las utiliza parcialmente.
Es necesario establecer diferencias entre los distintos tipos de
organizaciones: compañías, entes oficiales, empresas
familiares, cada una con una historia informática distinta y
una cultura de control diferente, en las que generalmente prima el
concepto de confianza por sobre el de control.