22 julio, 2022 /Artículos /admin/
El fraude, los riesgos de incumplimiento y los ciberataques han sido una constante en el último año, representando amenazas cada vez mayores para las empresas en América Latina. Estos riesgos se encuentran crecientemente entrelazados, ya que, en muchas ocasiones, una amenaza a la ciberseguridad puede evidenciar fraude y colusión por parte de empleados e, incluso, dar lugar al incumplimiento de leyes.
La interrelación entre estos tres elementos es lo que en KPMG denominamos “el ciclo de la triple amenaza”. En este sentido, de acuerdo con el estudio ‘Una triple amenaza en las Américas. 2022 KPMG Fraud Outlook’, 83% de las organizaciones aseguran haber sufrido al menos un ciberataque significativo en el último año; 71% ha experimentado eventos de fraude, y más de la mitad ha enfrentado sanciones derivadas de riesgos de cumplimiento no mitigados.
Así, la pérdida combinada promedio por fraude, incumplimiento y multas por aspectos regulatorios es de, aproximadamente, 1% de las ganancias en el último año. Más específicamente, 58% de los encuestados reconocen que la empresa sufrió una pérdida económica directa a causa de un ciberataque, mientras que 20% vio dañada la reputación de la compañía y 32% tuvo que lidiar con una investigación en materia de cumplimiento. Si consideramos los casos no descubiertos de fraude e incumplimiento, es razonable pensar que el problema subyacente es aún mayor.
Estos incidentes pueden representar una amenaza a la permanencia, especialmente para las compañías más pequeñas; sin embargo, las grandes corporaciones no están exentas de los riesgos y de la pérdida sustancial de capital, pues una reputación gravemente dañada o el robo y la exposición de información operativa clave son preocupaciones constantes para la mayoría de ellas.
Adicionalmente, 30% de las empresas en América Latina consideran que cumplen con las obligaciones legales, pero no sobresalen en el cumplimiento de estándares nacionales o internacionales. De hecho, con respecto a regulaciones como anticorrupción y lavado de dinero, más de una cuarta parte de las entidades no están seguras de cumplir plenamente con regulaciones locales y describen sus programas de cumplimiento como “básicos”.
Sin duda, hay un enorme trabajo por hacer en las empresas. Al respecto, los menores niveles de excelencia en los programas de cumplimiento pueden ayudar a explicar los mayores niveles de fraude, cibercrimen e incumplimiento regulatorio en la región.
Por otro lado, la pandemia ha contribuido a incrementar los riesgos a los que se exponen las organizaciones en estos tres importantes ámbitos, debido a que muchos controles fueron relajados para enfrentar los retos de la operación e incrementar la capacidad de respuesta ante la crisis.
Los cambios en los modelos de negocio, las reorganizaciones derivadas de la crisis económica, el ambiente de trabajo remoto y las crecientes expectativas en materia regulatoria están llevando a las corporaciones a un punto crítico en cuanto a controles internos y cumplimiento se refiere. A saber:
-38% de las empresas en América Latina consideran que el cumplimiento de las medidas de seguridad asociadas a los sistemas de la compañía se vio afectado durante la pandemia por el aumento de colaboradores trabajando desde casa
-34% menciona que la efectividad de la gestión de riesgos en general se vio afectada
-24% indica que la probabilidad de que un informante denuncie un fraude potencial ha disminuido
-19% señala haber visto afectada su habilidad para medir el cumplimiento de controles financieros y aspectos regulatorios como corrupción y lavado de dinero
¿Cómo evitar las consecuencias de una triple amenaza?
Como parte de un plan de acción para reforzar los programas de cumplimiento actuales y responder a este peligroso ciclo, consideramos que es importante tomar en cuenta las siguientes acciones:
1. Promover una cultura de integridad
La Alta Dirección y el Consejo de Administración deben promover una cultura de ética y cumplimiento con leyes y estándares internos, acompañada de una estrategia de comunicación adecuada, así como de políticas y procedimientos para prevenir, detectar y responder ante eventos de fraude, incumplimiento y amenazas a la ciberseguridad, al tiempo que se monitorea la consecución de los estándares establecidos.
2. Analizar los riesgos
Se requiere contar con un proceso integral de evaluación de riesgos empresariales que contemple fraude, mala conducta, incumplimiento y amenazas a la ciberseguridad. Esto demanda un esfuerzo colectivo que incluye a la Alta Dirección, las áreas operativas y las funciones de Cumplimiento y Auditoría Interna para identificar y evaluar los riesgos, determinar sus posibles impactos y establecer los controles necesarios para mitigarlos.
3. Mejorar la función de Cumplimiento
Los departamentos de cumplimiento continuarán desempeñando un papel fundamental en la gestión de riesgos y el fortalecimiento de una cultura corporativa de ética e integridad, para lo cual requerirán mejorar la identificación y análisis de riesgos desde una perspectiva más integral, adoptar la tecnología en algunas de sus actividades y suplementar su conocimiento y experiencia en áreas de responsabilidad tradicionales con el conocimiento de especialistas en materias específicas. Lo anterior les permitirá continuar agregando valor a la compañía.
4. Reforzar las tareas de detección
Las entidades en las que la fuerza laboral reconoce tener la responsabilidad de levantar la mano y denunciar las conductas indebidas y contrarias a los valores y políticas son las que detectan el fraude y otras amenazas oportunamente.
En conclusión, la función de Cumplimiento en las empresas dejó de ser una cuestión de mantenerse del lado correcto de la ley para convertirse en una prioridad de negocio. El éxito o fracaso en la gestión integral de los riesgos de incumplimiento, fraude y amenazas a la ciberseguridad, entre otros, determinará la permanencia de la compañía en el mercado y se traducirá en el nivel de confianza que reguladores y otros grupos de interés tienen en esta.
Hoy más que nunca, las organizaciones requieren mostrar a los reguladores, a los diferentes grupos de interés y a la sociedad en general los beneficios económicos, sociales y ambientales que la entidad brinda a la comunidad.
