FORENSIC SERVICES
Encuesta de Fraude en Colombia 2013 KPMG en Colombia kpmg.com.co
kpmg.com.co
FORENSIC SERVICES
Encuesta de Fraude en Colombia 2013
Encuesta de Fraude en Colombia 2013 Esta publicación se elaboró con el esfuerzo y dedicación de un selecto grupo de profesionales de KPMG en Colombia. Gracias a ellos podemos brindar un contenido de alto valor. Comité Editorial: Gustavo Avendaño Luque Ignacio Cortés Castán Jaime Bueno Miranda Arturo del Castillo Dirección de Contenido: Arturo del Castillo Diseño y Diagramación: David L. Acosta Matiz y Ándrés L. Rojas Huérfano Derechos Reservados Ninguna parte de esta publicación puede reproducirse sin la aprobación previa del Editor. Cualquier reproducción, divulgación o comercialización sin autorización del autor, será sancionada civil y penalmente como lo indica la Ley. La información aquí contenida es de naturaleza general y no tiene el propósito de abordar las circunstancias específicas de individuo alguno o entidad en particular. Aunque procuramos proveer información correcta y oportuna, no puede haber garantía que dicha información sea correcta en la fecha que se reciba o que continuará siendo correcta en el futuro. No deben tomarse medidas con base en dicha información sin el debido asesoramiento profesional después de un estudio detallado de la situación en particular. Esta publicación no está disponible para la venta; se distribuye como cortesía de KPMG en Colombia a sus clientes y otros amigos. Los derechos de autor sobre la presente obra son titularidad de KPMG Advisory Services Ltda. y se hallan protegidos en los términos señalados por la Ley 23 de 1982. ©2013 KPMG Advisory Services Ltda., sociedad colombiana de responsabilidad limitada y firma miembro de la red de firmas miembro independientes de KPMG afiliadas a KPMG International Cooperative (“KPMG International”), una entidad suiza. Derechos reservados. Tanto KPMG como el logotipo de KPMG y “cutting through complexity” son marcas comerciales registradas de KPMG International. Impreso en Colombia. KPMG en Colombia
6
Encuesta de Fraude en Colombia 2013
Encuesta de Fraude en Colombia 2013
Contenido Introducción
8
Resumen Ejecutivo
10
Metodología
12
Análisis de Resultados: 2011 vs. 2013
14
Tipología de Crímenes Económicos
17
Malversación de Activos
23
Fraude Financiero
26
Corrupción Cibercrimen Conclusiones
29 33 37
KPMG Advisory Services Ltda. - Forensic Services
7
8
Encuesta de Fraude en Colombia 2013
Encuesta de Fraude en Colombia 2013
Introducción Los principales indicadores son alentadores. Colombia está pasando por un buen momento económico. Con un crecimiento sostenido del 4.8%, una inflación controlada que no llega al 3% y con un equilibrio fiscal caracterizado por un déficit de menos del 1% del PIB, las expectativas de fortalecimiento de la capacidad productiva del país son altas. La adecuada conducción de la política económica y la llegada de inversión extranjera directa a sectores como minería, infraestructura, petróleo y telecomunicaciones, han puesto a Colombia en el lugar 14 en crecimiento económico a nivel mundial. Estas son buenas noticias. No hay duda al respecto. Sin embargo, todos estos logros se han visto ensombrecidos por los varios escándalos de corrupción y fraude que han ocupado buena parte de la opinión pública en los últimos dos años. Desde el sector salud hasta el bancario y financiero, prácticamente todos los sectores han presentado problemas de orden ético y de integridad. Esta situación no es un asunto menor. De seguir así, Colombia corre el riesgo de perder el impulso emprendedor que ahora la caracteriza por los desafíos que representan los crímenes económicos. Una economía que experimenta un periodo de expansión, como ahora lo está teniendo Colombia, es más susceptible a los crímenes económicos, es decir, a los delitos de carácter patrimonial, como el fraude y la corrupción, que afectan a las compañías y a las instituciones de gobierno. La relación entre crecimiento económico y alta incidencia de crímenes económicos se explica por la falta de previsión y controles efectivos que permitan mitigar las amenazas que conllevan las innovaciones tecnológicas, la inclusión de nuevos productos o, incluso, las propias características de consumo que implica el crecimiento sostenido.
En este sentido, los crímenes económicos representan una seria amenaza para el mundo de los negocios en Colombia. En el último año, los quebrantos causados a las compañías que operan en el país han representado un alto costo para la sociedad colombiana. Este costo se ha manifestado no sólo en términos de daño económico, sino también en la desaparición de empresas y, en consecuencia, afectación en el bienestar de miles de familias que han sido perjudicadas por la desaparición de sus empleos. En este contexto resulta particularmente importante monitorear cómo las empresas están siendo afectadas por las diferentes modalidades de crimen económico. Bajo el principio que “sólo se puede mejorar, lo que se puede medir”, el objetivo de KPMG, con este ejercicio de medición, ha sido el de obtener un conocimiento cabal de este tipo de delitos, para que las compañías puedan ser más efectivas en sus esfuerzos de prevención, detección y respuesta ante estas amenazas. Así, presentamos la Encuesta de Fraude en Colombia 2013. Como hace dos años, el objetivo de este estudio ha sido analizar el impacto de los crímenes económicos en las compañías que operan en Colombia. En esta edición se exploran las cuatro modalidades que aquejan más significativamente a las compañías que operan en Colombia: la malversación de activos, el fraude financiero, la corrupción y el cibercrimen. Con este estudio esperamos que nuestros clientes y lectores en general reciban información relevante que oriente mejor sus estrategias de negocio. En KPMG estamos convencidos que la mejor decisión es la que se toma con base en información oportuna y confiable. De ahí nuestra contribución con este estudio. Esperamos les sea de utilidad.
Atentamente,
Ignacio Cortés Forensic Services
Arturo del Castillo Forensic Services
KPMG Advisory Services Ltda. - Forensic Services
9
7
Casi de cada
10
empresas que operan en Colombia han padecido cuando menos un fraude en los últimos doce meses.
En el 2013 el costo estimado por crímenes económicos fue de
$3,600
millones de dólares, es decir, el 1% del PIB nacional.
El
70%
de los crímenes económicos han sido realizados por empleados de las propias compañías.
El 46% de los crímenes económicos experimentados en el último año fueron de malversación de activos, pero el 51% del daño económico lo causó el fraude financiero. 10
Encuesta de Fraude en Colombia 2013
Los cuatro tipos de crimen económico que más afectan a las compañías en Colombia son: malversación de activos, fraude financiero, corrupción y cibercrimen.
Encuesta de Fraude en Colombia 2013
Resumen Ejecutivo
55%
de los delitos de malversación de activos son cometidos por empleados ubicados en posiciones operativas.
El fraude financiero ha causado un daño económico cercano a los
1,800 millones de dólares americanos.
39% de los ataques de cibercrimen se detectaron accidentalmente.
La corrupción ha implicado un daño económico cercano a los
800 millones de dólares americanos.
KPMG Advisory Services Ltda. - Forensic Services
11
Metodología La Encuesta de Fraude en Colombia 2013 tiene como objetivo conocer la incidencia y el impacto que tiene los crímenes económicos, en sus modalidades de malversación de activos, fraude financiero, corrupción y cibercrimen, entre las empresas que operan en Colombia. En este reporte se discuten los resultados de dicha encuesta, así como algunas de las mejores prácticas de control interno y fortalecimiento de integridad corporativa para mitigar los riesgos asociados a estos delitos. Este estudio se realizó a partir de una encuesta aplicada a 197 directivos de empresas que operan en Colombia, que han registrado ingresos anuales desde 50 millones de dólares americanos y hasta más de 500 millones de dólares. Las empresas que participaron en este estudio representan diversos sectores e industrias, tal y como se muestra en la gráfica No. 1.
Cabe señalar que las empresas representadas en el estudio son tanto compañías privadas (65%) como públicas o con participación mayoritaria por parte del gobierno (35%). Además, se trata tanto de compañías de capital colombiano (71%) como subsidiarias extranjeras con operaciones dentro de territorio colombiano (29%). En cuanto a la vocación comercial, cabe señalar que de las compañías entrevistadas el 43% tiene una orientación parcial o completamente exportadora y 57% restante se trata de compañías focalizadas en el mercado nacional. De esta manera se logró obtener un diagnóstico integral sobre la realidad empresarial que se tiene en Colombia.
12
Encuesta de Fraude en Colombia 2013
Encuesta de Fraude en Colombia 2013
Este estudio se realizó a partir de una encuesta aplicada a 197 directivos de empresas que operan en Colombia. A las empresas involucradas en este estudio se les pidió contestar un cuestionario desarrollado sobre una plataforma de internet. Para asegurar un nivel aceptable de confianza en el análisis de la encuesta, se decidió enviar únicamente una encuesta por compañía. De tal forma que las encuestas analizadas representan a 197 empresas distintas. Las preguntas utilizadas en el cuestionario, completamente contextualizado para la realidad económica y empresarial de Colombia, permitieron indagar sobre la experiencia con crímenes económicos sufridos por las empresas encuestadas. La encuesta se levantó entre los meses de enero a marzo de 2013. La encuesta fue contestada por miembros del Consejo de Administración (10%), Directores Generales (20%), Directores de Administración y Finanzas (27%), Contralor o Auditor Interno (31%) y otros miembros del personal directivo (12%).
Las empresas representadas en el estudio son tanto compañías privadas (65%) como públicas (35%). Para la elaboración de este estudio se utilizaron las siguientes definiciones de trabajo: •
Crímenes Económicos.- son aquellas actividades ilícitas y de carácter patrimonial que se realizan en perjuicio de una compañía, afectando o dañando sus activos, capital social o cualquier otro derecho o bien (material o inmaterial) del que sea propietario.
•
Malversación de Activos.- se refiere al robo o uso indebido de recursos de la compañía, como dinero o cualquier otro bien (por ejemplo materias primas, maquinaria o productos terminados), para obtener un beneficio no autorizado o irregular.
•
Fraude Financiero.- se refiere a la alteración, modificación o manipulación de información contable
o financiera de una compañía con el propósito de reflejar una situación económica o financiera equivocada o engañosa. •
Corrupción.- se refiere a pagos ilegales realizados a servidores públicos o funcionarios de compañías privadas para obtener o retener algún contrato o cualquier otro beneficio personal o para un tercero; entendiendo por pago ilegal tanto sobornos en dinero como en cualquier otra forma, como regalos, viajes, favores, etcétera.
•
Cibercrimen.- se refiere a aquellas actividades ilícitas de carácter informático que se llevan a cabo para robar, alterar, manipular, enajenar o destruir información o activos (como dinero, valores o bienes desmaterializados) de las compañías afectadas, utilizando para dicho fin algún medio informático o dispositivos electrónicos.
Con base en estas definiciones, a las compañías involucradas en el estudio se les preguntó sobre sus experiencias con crímenes económicos ocurridos en los últimos doce meses. En aquellos casos en que las empresas informaron haber experimentado más de un crimen económico, se les pidió que contestaran la encuesta con base en el caso que consideraran de mayor gravedad para la empresa. Los resultados de la encuesta se analizaron de manera comparada con la información obtenida en el ejercicio de medición del 2011. Aún cuando los datos más significativos se pudieron analizar de esta manera, algunos resultados que ahora se reportan no tuvieron un parámetro de comparación anterior. Esto se debe porque la Encuesta de Fraude en Colombia 2013 incorporó reactivos que no se consideraron en 2011. Una última aclaración: con el propósito de hacer más comprensible la redacción de este estudio en ocasiones se utiliza de manera indistinta los términos de crímenes económicos y fraude. Al utilizar el término de fraude de esta manera se hace en un sentido genérico. Cuando se aluda a un tipo específico de fraude se utilizan los términos de malversación de activos, fraude financiero, corrupción o cibercrimen, según sea el caso.
KPMG Advisory Services Ltda. - Forensic Services
13
Análisis de Resultados: 2011 vs. 2013 Los crímenes económicos suelen comenzar de la misma manera: como eventos aislados, casi imperceptibles, en algún lugar de la organización. Los aparentes errores pueden ser, en realidad, un acto deliberado para reconocer la efectividad de ciertos controles. Así, al no producirse reacción alguna por parte de la compañía posiblemente esos “errores” se repitan y, pasado el tiempo, terminen siendo casos de fraude. Desde este punto de vista, la incidencia de los crímenes económicos está directamente asociada con la capacidad que tengan las compañías para prevenir, detectar y responder ante actividades ilícitas, sean estos deliberados o auténticos actos fortuitos. De ahí la importancia que tiene para las compañías contar con mecanismos institucionalizados de administración de riesgos de fraude. En Colombia esta es una noción básica de control que empieza a tener resonancia entre la comunidad empresarial. En 2013 el número de compañías que cuentan con mecanismos de administración de riesgos de fraude se incrementó 5% con respecto al número de compañías identificadas en 2011. En la gráfica No. 2 se puede observar, de manera comparada, la proporción de empresas que cuentan con medidas preventivas y las que reconocen no tenerlas.
Este incremento en el número de compañías que cuentan con mecanismos de administración de riesgos de fraude, explica en parte la disminución que se registra en la incidencia de crímenes económicos que se tienen en Colombia. En la gráfica No. 3 se puede observar que el nivel de incidencia de fraudes que se registra, en 2013, entre las compañías que operan en el país es del 65%. Este dato significa que 6.5 de cada 10 empresas que operan en Colombia han padecido cuando menos un fraude en los últimos doce meses.
14
Encuesta de Fraude en Colombia 2013
Encuesta de Fraude en Colombia 2013
los últimos doce meses. Como se observa en la gráfica No. 4, en 2011 el daño económico anual estimado por crímenes económicos en compañías que operan en Colombia fue de $950 millones de dólares. En el 2013 la cifra estimada es de $3,600 millones de dólares, es decir, que los crímenes económicos han supuesto, en el último año, una afectación económica cercana al 1% del PIB nacional.
Es importante destacar dos aspectos de este resultado: en primer lugar, que existe una correlación directa entre el número de empresas que asumieron el reto de implementar mecanismos de prevención y detección de riesgos de fraude y la disminución relativa, en 2013, de este tipo de ilícitos. Segundo, que este es un fenómeno dinámico, es decir, que las compañías que tienen implantados mecanismos de administración de riesgos de fraude deben asegurarse que estos programas sean revisados periódicamente para ajustarse a los riesgos que se van enfrentando.
6.5 de cada 10 empresas que operan en Colombia han padecido cuando menos un fraude en los últimos doce meses. El crimen económico no siempre ocurre en el mismo lugar y de la misma forma. Quien está planificando un fraude suele hacer un cálculo racional de qué tan probable es que sea detectado en la comisión de su delito. En este cálculo racional suele ponderar la capacidad real que tiene la compañía de reaccionar ante la irregularidad que se intenta cometer. Empresas que han establecido mecanismos de prevención de fraudes pueden esperar que el futuro atacante centre su atención en procesos que no están en el foco de atención de los programas antifraude, o bien, que aproveche los espacios de ambigüedad que invariablemente existen en toda organización. Compañías o industrias que atraviesan etapas de expansión, de cambios significativos de tecnología o innovaciones, suelen estar mucho más expuestas a este tipo de riesgos precisamente por la novedad de los procesos que experimentan, que inevitablemente carecen, por su singularidad, de controles efectivos. Ahora, si bien es cierto que el nivel de incidencia de fraudes en general disminuyó en 2013, lo que sí se puede observar son cambios significativos en el daño económico promedio de los incidentes de crímenes económicos reportados en
Esta cifra debe invitar a una reflexión profunda en el país sobre el costo que está teniendo la falta de ética e integridad en las compañías que operan en Colombia. En efecto, para detallar aún más la situación que enfrentan las compañías que operan en Colombia, en relación a los ilícitos de crímenes económicos, es importante ahondar en el tipo de fraudes que se enfrentan.
Los crímenes económicos han supuesto, en el último año, una afectación económica cercana al 1% del PIB nacional. En términos de quién comete el ilícito se pueden distinguir dos tipos de crimen económico: el fraude interno y el fraude externo. El fraude interno es aquel que comete un empleado de la propia organización, sea de manera solitaria o en colusión con alguna otra persona. Por el contrario, el fraude externo es el que realiza una persona ajena a la organización, como puede ser un proveedor o un cliente. Con base en esta clasificación, se puede observar que, en 2013, la tendencia de mayor número de fraudes internos sigue prevaleciendo en Colombia y que, incluso, hay un incremento en este tipo de fraude, porque pasó del 68%, en 2011, al 70%, en 2013, tal y como lo sugiere la gráfica No. 5:
KPMG Advisory Services Ltda. - Forensic Services
15
Este nivel tan alto de incidencia de crímenes económicos internos se explica por la falta de mecanismos de control interno adecuados. Suele cometerse el error de pensar que las principales amenazas de las empresas están en el entorno de las organizaciones, por lo que se suele poner mayor atención a los riesgos que se perciben fuera de las compañías, dejando de ver que el enemigo, la mayor parte del tiempo, está adentro.
El crimen económico comienza en el momento mismo en que el defraudador descubre que la vigilancia sobre él no es efectiva. El crimen económico comienza en el momento mismo en que el defraudador descubre que la vigilancia sobre él no es efectiva. De ahí que sea aún más perjudicial contar con aparentes controles, pero que estos no sean realmente ejecutados, que simplemente no contar con ellos. La razón es sencilla: la existencia de supuestos controles, pero que no sean efectivos, genera simulación y conductas cínicas ante el ilícito. Las compañías nunca deben olvidar que el crimen económico se disfraza casi siempre de ambigüedad y se aprovecha de ésta.
16
Encuesta de Fraude en Colombia 2013
Encuesta de Fraude en Colombia 2013
Tipología de Crímenes Económicos Una noción básica y general de fraude es la que define este tipo de ilícito como “un acto deliberado de abuso de confianza, que aprovechándose de engaños, se realiza para obtener un beneficio sin consentimiento de la empresa afectada”. Entendido de esta manera es de esperarse que una variedad muy amplia de comportamientos ilícitos puedan tipificarse como fraude. Por ende, resulta conveniente diferenciar entre tipos de crimen económico, pues sólo así se podrá entender cabalmente sus modalidades más específicas.
La malversación de activos sigue siendo el crimen económico más común, con un 46%. En términos generales, los crímenes económicos se pueden clasificar en cuatro categorías: malversación de activos, fraude financiero, corrupción y cibercrimen. La distinción no es banal. Cada una de estas categorías de ilícito se manifiesta de manera muy distinta, son perpetrados por personas con diferentes perfiles y, sobre todo, tienen causas y efectos disímbolos. Por consiguiente, las compañías deben considerar los diferentes tipos de irregularidades a las que pueden estar expuestas y, en consecuencia, instrumentar planes de remediación, detección y respuesta acotados a su propio contexto y realidad organizacional.
En términos de daño económico, el principal ilícito lo representa el fraude financiero que causa el 51% del daño. En el siguiente diagrama se esquematizan cada una de estas categorías de crimen económico y se indican algunas de las modalidades o tipos específicos de ilícitos que pueden comprenderse bajo cada una de estas tipologías.
KPMG Advisory Services Ltda. - Forensic Services
17
Tipos de
Malversación de activos
Corrupción
Pública
Captura del estado
Privada
Corrupción administrativa
Conflicto de interés
Sobornos
Cohecho (sobornos)
Manipulación de licitaciones
Colusión
Favoritismo
Tráfico de influencias
Efectivo
Peculado
Robo de dinero por recibos
Robo de dinero en efectivo
Prevaricato
Hurto
Ventas ficticias
Alteración de cuentas por cobrar
Ventas sin registrar
Pérdida total Alteración de recibos Recibos sin conciliar
18
Encuesta de Fraude en Colombia 2013
Hurto en efectivo
Devoluciones y otros
Desembolsos fraudulentos
Esquema de facturación
Esquemas de pagos
Esquema de gastos
Manipulación
Empresa de papel
Empleados fantasma
Gastos erróneos
Proveedor falso
Vendedores no autorizados
Salarios falsificados
Gastos exagerados
Endoso falsificado
Compras personales
Esquema de comisiones
Gastos ficticios
Alteración del beneficiario
Varios desembolsos
Proveedor Autorizado
Encuesta de Fraude en Colombia 2013
Fraude
Fraude financiero
Cibercrimen
Métricas financieras
Flujo de caja
Reconocimiento de ingresos
Mostrar indicadores erróneos que exageren el rendimiento
Reemplazar entradas de efectivo financiero a la sección operativa
Reconocimiento de ingresos anticipados
Distorcionar indicadores del balance para evitar mostrar el deterioro
Desplazar salidas de caja de operación al rubro de inversiones Inflar el flujo de caja operativo, usando adquisiciones o cesiones Impulsar el flujo de caja operativo usando operaciones insostenibles
Inventario y otros activos
Mal uso
Registro de desembolsos Transacciones falsas Falsos reembolsos
Hurto Readquisición/ transferencia de activos
Ventas falsas y envíos Comprando y recibiendo
Registrar ingresos falsos Impulsar el ingreso utilizando actividades insostenibles Desplazar los gastos corrientes a un período posterior Utilizar otras técnicas para ocultar gastos o pérdidas Desplazar los ingresos corrientes a un período posterior Desplazar gastos futuros a un período anterior
Piratería Reproducción/ utilización no autorizada de propiedad intelectual
Distribución no autorizada de propiedad intelectual
Acceso no autorizado
Vandalismo
Acceso abusivo a un sistema de información
Negación de servicio
Robo de identidad
Destrucción de información
Interceptación de información
Suplantación de sitio web Utilización de software malicioso
KPMG Advisory Services Ltda. - Forensic Services
19
En la Encuesta de Fraude en Colombia 2013, se exploraron los efectos de cada uno de estos tipos de crimen económico en las compañías que operan en el país. El propósito consistió no sólo en conocer el nivel de incidencia de cada uno de estos tipos de ilícitos, sino también conocer la magnitud del daño económico que están generando en las compañías que afectan y, adicionalmente, qué tanto daño social o externalidad negativa están causando. Es preciso hacer la siguiente explicación: para medir el nivel de incidencia se le pidió a las compañías encuestadas que revelaran las particularidades del caso de crimen económico considerado más grave que hayan tenido en el último año. Adicionalmente, para efectos de medir el daño económico, se solicitó que, en lo posible, indicaran el costo económico que dicho ilícito les causó. Para el caso de la externalidad, se pidió a las compañías informantes que mencionaran si el ilícito tuvo como consecuencia algún tipo de daño para la comunidad o industria en la que se trabaja. Por ejemplo, se pidió revelar si, como consecuencia del ilícito experimentado, se
suspendió alguna inversión, se cancelaron planes de expansión del negocio, o incluso, la unidad de negocio afectada tuvo que desaparecer. Con estos reactivos se construyó un indicador para ponderar el daño social, o mejor dicho, la externalidad negativa causada a la sociedad por cada uno de los crímenes económicos analizados. ¿Por qué era necesario medir la externalidad negativa de los crímenes económicos? Porque todo ilícito, por irrelevante que parezca, tiene efectos secundarios en el tejido social de la compañía que afecta y, en consecuencia, vulnera también las reglas sociales que hacen posible que una industria o un sector determinado pueda prosperar. Dejando como consecuencia una estela de desempleo y falta de oportunidades para seguir innovando. El resultado de este análisis se muestra en gráfica No. 6. De acuerdo con los resultados obtenidos, se observa que en términos de incidencia, es decir, en frecuencia o número de ilícitos experimentados en el último año, la malversación de activos sigue siendo el crimen económico más común, con un 46%. En segundo lugar está la corrupción con un 31% y como tercer y cuarto lugar el cibercrimen (13%) y fraude financiero (10%), respectivamente.
C.35%
10% 13%
12% 15% 22%
31% 46%
20
M.A.6%
Encuesta de Fraude en Colombia 2013
51%
Encuesta de Fraude en Colombia 2013
Elementos de un programa de administración de riesgos de fraude Un programa integral de administración de riesgos de fraude en una empresa significa la aplicación de recursos económicos, humanos y de conocimientos con el fin de mitigar los riesgos de fraude que se enfrentan. Mitigar el riesgo de ser víctima de un fraude requiere de un sistema de actividades y controles que, en su conjunto, reduzcan al mínimo posible la probabilidad de ocurrencia de fraude y conductas impropias, y que al mismo tiempo maximicen la posibilidad de detectarlas, antes de que signifiquen un quebranto económico significativo. Una estrategia de administración de riesgos de fraude que sea efectiva y orientada a la empresa abarcará actividades, mecanismos y controles que tengan tres objetivos: Prevención: Reducir el riesgo de ocurrencia de fraude y conductas impropias. Detección: Descubrir fraudes y conductas impropias cuando ocurren. Respuesta: Tomar medidas correctivas y reparar los daños provocados por el fraude o conductas impropias.
Prevención
un programa integral que permita combinar mecanismos de cambio cultural con controles internos en los procesos de negocio. Un adecuado sistema de administración de riesgos debe partir de una estructura sólida de gobierno corporativo. Todos en la organización desempeñan un papel importante en el proceso de supervisión y monitoreo, tanto la Junta Directiva, el Comité de Auditoría, la Gerencia, como los Auditores Internos. Una vez que existe la estructura deseable, los elementos de un programa integral de administración de riesgo de fraude se dividen comúnmente en tres, como se puede apreciar en la siguiente figura: Prevención
Respuesta
Todas las compañías son susceptibles de padecer algún tipo de fraude, ya que cuando hay colusión e intención es difícil frenarlo. Sin embargo, se ha visto que este riesgo se mitiga sustancialmente cuando las empresas cuentan con
Sin embargo, si bien es cierto que la malversación de activos es el crimen económico más frecuente no significa que sea el que más daño económico está causando a las organizaciones afectadas. En términos de daño económico, es decir, del costo que supuso para la compañía atacada, el principal ilícito lo representa el fraude financiero (51%); seguido de la corrupción (22%), el cibercrimen (15%) y, hasta el cuarto lugar, la malversación de activos (12%). Estos datos se complementan con la externalidad
Respuesta
Supervisión de la Junta Directiva / Comité de Auditoría Funciones del Equipo Directivo Auditoría Interna, Cumplimiento y Funciones de Monitoreo Evaluación de riesgos de fraude y conductas irregulares. Código de conducta y normas relacionadas. “Due dilligence” de empleados y terceras partes. Comunicación y entrenamiento. Controles de riesgo de fraudes específicos por procesos.
Detección
Detección
Mecanismos de denuncia anónima. Auditoría y supervisión. Análisis forense proactivo de datos de la compañía.
Protocolos de investigación interna. Protocolos de aplicación y de rendición de cuentas. Protocolos de revelación de información. Protocolo de acciones correctivas.
Estas estrategias cuando son integradas en un sistema de administración de riesgo ayudan a reducir las amenazas que enfrenta cotidianamente una empresa. En Colombia estas medidas suelen verse más como un costo que como una inversión. La cultura de las empresas en general sigue siendo más reactiva que preventiva. En ese sentido, la identificación y la mitigación de los riesgos de fraude y conductas impropias son las principales áreas de oportunidad que tienen las empresas colombianas para mejorar su competitividad en el futuro inmediato.
causada, es decir, con la afectación a la sociedad en su conjunto. Nuevamente se observa que el fraude financiero (40%) y la corrupción (35%) son los ilícitos que más daño generan en el sector o en la comunidad donde operan las organizaciones afectadas. Esto nos indica que el daño económico y la externalidad derivada del fraude financiero son significativamente mayores que los relacionados con la malversación de
KPMG Advisory Services Ltda. - Forensic Services
21
activos. El notable daño generado por el fraude financiero podría deberse a las presiones que sufren los directivos de las empresas para alcanzar los objetivos financieros propuestos. Cuando la sobrevivencia operativa de las compañías o la permanencia del individuo en el puesto están en juego, la línea que separa el comportamiento aceptable del inaceptable puede volverse borrosa para algunos individuos, de ahí la importancia de no relajar los controles internos y, más aún, fortalecer los mecanismos tendientes a mejorar el gobierno corporativo de las compañías, el ambiente laboral y el énfasis en la conducta ética. No olvidemos que la corrupción también puede originarse en las decisiones o en las prácticas toleradas desde la alta dirección.
La implementación de mecanismos de prevención de crímenes económicos permite reducir el riesgo hasta en un 70%. Cabe aclarar, que estos datos nos revelan además una situación apremiante de control y supervisión sobre los mandos directivos de las empresas. En general, cuando se discute el asunto del control interno se suele hacer énfasis en los controles orientados hacia la operación de las compañías, descuidando los mandos directivos. No obstante, a decir de los datos aquí presentados, son los que en su momento pueden causar un mayor daño en el patrimonio de las compañías y de la sociedad.
El fraude financiero y la corrupción son los ilícitos que más daño generan en el sector donde operan las organizaciones afectadas. En materia de crímenes económicos es importante entender que son patologías que se manifiestan y obedecen a causas muy distintas. Ningún ilícito será igual a otro, aún cuando guarden importantes similitudes y aunque ocurran en la misma organización. Es imperativo tomar en cuenta esta condición del crimen económico porque las compañías deben conocer cabalmente a qué tipo de riesgos de fraude están expuestos y, por ende, que medidas mitigantes adoptar. La valoración errada de las situaciones
22
Encuesta de Fraude en Colombia 2013
de riesgo que enfrentan puede llevar a la implantación de programas de control interno descontextualizados y, por tanto, poco efectivos.
La corrupción puede originarse en las decisiones o en las prácticas toleradas desde la alta dirección. En nuestra experiencia, el riesgo de fraude puede ser mitigado en un grado razonable cuando las compañías realizan un adecuado diagnóstico de sus áreas de riesgo y diseñan controles internos específicos para cada riesgo detectado. En este sentido, a diferencia de las tendencias que ponen énfasis en la detección basada en fuertes procedimientos de control que incitan la burocratización y las prácticas de simulación, la experiencia nos ha demostrado la efectividad de las medidas orientadas hacia la consolidación de un programa integral de administración de riesgos de fraude. De hecho, la implementación de mecanismos de prevención de crímenes económicos permite reducir el riesgo hasta en un 70%, lo que resulta en una disminución de los costos relacionados con la comisión de ilícitos en forma significativa.
Encuesta de Fraude en Colombia 2013
Malversación de Activos Malversación de Activos
Incidencia
Daño
Externalidad
46%
12%
6%
La malversación de activos entendida como el robo o uso indebido de recursos de la compañía, como dinero o cualquier otro bien (por ejemplo materias primas, maquinaria o productos terminados), para obtener un beneficio no autorizado o irregular, puede presentarse en cualquier tipo compañía y en cualquier momento. El alto índice de incidencia de este tipo de delito (46%) hace que prácticamente la mitad de los crímenes económicos cometidos contra empresas que operan en Colombia caigan en esta categoría. Este tipo de ilícito, como lo muestra la gráfica No. 7, se explica principalmente por la falta de control interno y supervisión (23%) y ausencia de políticas claras y bien definidas (18%). Visto desde este punto de vista, la malversación de activos parece estar fuertemente asociada a las oportunidades que puedan percibir el perpetrador del ilícito de poca o nula supervisión sobre sus acciones; además de la ambigüedad que pueda existir en la delimitación de funciones y responsabilidades.
KPMG Advisory Services Ltda. - Forensic Services
23
Con este tipo de ilícito, el perpetrador suele buscar un beneficio directo, es decir, obtener una ganancia casi inmediata del objeto robado o sustraído ilegalmente. Como se puede observar en el diagrama de tipos de crímenes económicos, la malversación de activos se asocia estrechamente con la apropiación indebida de efectivo o engaño en los reembolsos de gastos, sólo por mencionar algunas modalidades. Este tipo de situaciones puede estar presente especialmente, pero no únicamente, con aquellas actividades de las compañías donde los individuos tienen la posibilidad de acceder directamente a mercancías, cheques, efectivo o, incluso, con la capacidad de adulterar pagos para realizar esquemas de doble facturación. Sin duda, en todas estas situaciones la ausencia de controles internos de supervisión y vigilancia desempeña un papel importante para que este tipo de irregularidades sucedan.
El perpetrador de este ilícito suele buscar un beneficio directo, es decir, obtener una ganancia casi inmediata del objeto robado o sustraído ilegalmente. En consecuencia, los efectos más importantes que pueden tener este tipo de ilícitos, como se muestra en la gráfica No. 8, están asociados a la afectación de flujo de caja (47%) e incremento en los costos de operación (23%). Otro elemento que se ve seriamente afectado por este tipo de ilícito es el clima laboral (16%). No hay duda que el fraude es una situación que enturbia la armonía de la gente y, sobre todo, vulnera la confianza que puede haber entre compañeros de trabajo. La malversación de activos puede tener ese efecto negativo, toda vez que el robo –forma más llana para designar la malversación de activos—tiene connotaciones sociales, e incluso religiosas, más fuertes y de difícil justificación.
La menara como se detecta este tipo de ilícitos también nos dice mucho de cómo funcionan las organizaciones. De acuerdo con la gráfica No. 9, se puede observar que el 51% de este tipo de ilícitos se descubrieron por medio de una denuncia. Dicho de otra forma, más de la mitad de los fraudes relacionados con malversación de activos se descubrieron porque alguien informó a la compañía de esta irregularidad. Este dato es muy importante porque indica, por un lado, que los controles internos de las empresas no están siendo efectivos y, por otro, que la principal línea de defensa en contra de la malversación de activos es la propia gente, que está dispuesta a delatar aquellas actividades que considera contrarias a la ética de las empresas.
Otro punto que debe llamar nuestra atención, en relación a la malversación de activos, es el tiempo en que demora una compañía en detectar este tipo de crimen económico. Como se observa en la gráfica No. 10, el 62% de las compañías que se vieron afectadas por este tipo de ilícito tardaron más de un mes en detectarlo; incluso un 10% lo detectó más de un año después de haberse realizado el ataque.
Con base en estos datos es necesario insistir: las empresas que mejor están preparadas para prevenir y detectar fraudes son aquellas que establecen controles efectivos para mitigar riesgos y que, además, fortalecen su infraestructura ética. Al decir esto nos referimos a la
24
Encuesta de Fraude en Colombia 2013
Encuesta de Fraude en Colombia 2013
imperiosa necesidad de que las empresas establezcan y apliquen rigurosamente Códigos de Ética, que den entrenamiento a la gente sobre valores en los negocios y, por supuesto, que pongan a disposición de todos los involucrados —esto es, empleados, accionistas, proveedores, clientes, socios estratégicos, etcétera— algún mecanismo de denuncia anónima.
aparece con un índice relativamente más bajo, el grado de afectación que puede generar es desastroso.
El 51% de este tipo de ilícitos se descubrieron por medio de una denuncia. El 62% de las compañías que se vieron afectadas por este tipo de ilícito tardaron más de un mes en detectarlo.
¿Quién comete este tipo de ilícitos? Todo indica que el perpetrador típico de este tipo de ilícitos es un empleado ubicado en una posición operativa. En la gráfica No. 11 se observa que el 88% de este tipo de fraudes está concentrado entre empleados de mando medio y operativo. No obstante, el daño económico provocado por la alta dirección, relacionada con prácticas de malversación de activos, representa el 43%. Nuevamente: aún cuando el número de ilícitos cometidos por la alta dirección
responsables de atender todas las denuncias recibidas por medio de la línea de denuncia.
Elementos a considerar para el funcionamiento de una Línea Ética En la experiencia de KPMG, para que una línea de denuncia anónima pueda ser realmente efectiva, no basta con habilitar un número telefónico o un correo electrónico para recibir las denuncias. Es necesario implementar un programa integral que cubra cuando menos los siguientes aspectos: •
•
Comunicación y difusión de la disponibilidad de una línea de denuncia.- Es necesario que el lanzamiento de una línea de denuncia esté acompañada de un programa que sensibilice y comunique el propósito y los mecanismos implantados para realizar denuncias. Esta comunicación además deberá ser reforzada periódicamente, de tal forma que la gente siempre tenga presente esta opción de interlocución con la empresa. Protocolos de seguimiento e investigación.- Es necesario que la empresa cuente con un protocolo claro sobre los procedimientos a seguir y los
•
Garantía de no represalias.- Es imperativo que la empresa adopte las medidas necesarias para que las denuncias recibidas mediante este mecanismo no resulten en represalias en contra de las personas que han utilizado la línea de denuncia. De lo contrario, se puede generar un ambiente adverso dentro de la compañía, generando actitudes de simulación y cinismo.
•
Comunicación directa con los más altos niveles de gobierno de la empresa - Es necesario que las denuncias realizadas se reporten de manera directa a los más altos órganos de gobierno de la empresa, como puede ser el Comité de Auditoría o la Junta de Gobierno, de tal forma que pueda establecerse un contacto directo con los tomadores de decisiones y evitar así que ciertas denuncias sean bloqueadas por altos directivos, que pueden estar involucrados en los hechos denunciados o que están tratando de encubrir a las personas reportadas.
KPMG Advisory Services Ltda. - Forensic Services
25
Fraude Financiero Fraude Financiero
Incidencia
Daño
Externalidad
10%
51%
40%
El fraude financiero es sin duda el crimen económico más sofisticado. Este ilícito se refiere a la alteración, modificación o manipulación de información contable o financiera de una compañía con el propósito de reflejar una situación económica o financiera equivocada o engañosa. El nivel de incidencia de este tipo de ilícito es relativamente bajo, con solo un 10%. Sin embargo, como ya se mencionó, el daño económico que puede causar a las compañías afectadas es del 51%. Dicho de otra forma, más de la mitad del daño económico experimentado por las compañías víctimas de fraudes, en el último año, fue propiciado por este tipo de ilícito. En términos llanos esto implica un costo cercano a los 1,800 millones de dólares americanos.
El Fraude Financiero ha causado un costo de 1800 millones de dólares americanos. Pero también es importante considerar que este tipo de crimen económico le ha generado un daño a la sociedad colombiana. La externalidad negativa propiciada por este tipo de ilícito es del 40%. Este número significa, en otras palabras, pérdida de oportunidades de crecimiento de las compañías, inversiones que se han estancado o perdido y, en última instancia, desaparición de unidades de negocio y, por tanto, empleos.
El daño económico que puede causar el fraude financiero a las compañías afectadas es del 51%. El fraude financiero, al igual que el resto de los crímenes económicos, tiene múltiples causas. Ahora bien, como lo muestra la gráfica No. 12, existe una fuerte asociación entre este tipo de ilícito y las prácticas de supeditaje gerencial (en inglés management override), esto es, la intervención de algún directivo de la compañía para tomar o imponer una decisión contraria a las políticas de control interno de la empresa. De acuerdo con los resultados obtenidos, el 26% de los fraudes
26
Encuesta de Fraude en Colombia 2013
Encuesta de Fraude en Colombia 2013
Prácticas típicas de Fraude Financiero en Colombia •
Registrar como un gasto futuro un pasivo presente, de tal forma que las cuentas de resultados muestren mayores rendimientos y también menores pasivos y de esta manera alterar los ratios de las razones financieras presentadas a los accionistas de la empresa.
En la experiencia de KPMG el fraude financiero se relaciona con múltiples formas de manipular y falsear la información financiera o contable. Algunas de las prácticas fraudulentas más comunes en este sentido son las siguientes: •
Registro de ingresos ficticios para sobredimensionar el comportamiento real de la compañía y de esta manera tener, por ejemplo, una mejor posición a la hora de negociar una posible venta de la compañía.
•
Registrar la depreciación de un activo en un plazo de tiempo mayor a la de su vida útil estimada, de tal forma que el valor de los activos mostrados en libros no corresponda con la realidad.
•
Registrar como venta un desplazamiento de mercancía de un almacén a otro o no registrar devoluciones de inventario, de tal forma que se mantengan un nivel de ventas alto y con ello obtener bonos asociados a “productividad” de los altos ejecutivos.
•
Registrar de manera imprecisa o incluso no registrar una contingencia derivada, por ejemplo, de un litigio legal que se estima se va a perder y, no obstante, no reconocerla para no afectar los deberes de hacer y no hacer (“covenants”) con los bancos acreedores.
• •
Reconocer como ingresos presentes perspectivas de ingresos futuros (por ejemplo aquellos derivados de contratos a largo plazo o beneficios obtenidos de instrumentos financieros), para reflejar una liquidez a corto plazo que asegure un préstamo bancario más generoso.
Registrar como arrendamiento puro cierta maquinaria en lugar de arrendamiento financiero, para reducir así la deuda en estados financieros y reflejar una mejor posición financiera.
financieros se originaron por algún asunto relacionado con el supeditaje gerencial y un 22% por exceso de confianza y falta de supervisión.
consecuencias desastrosas para las empresas afectadas.
El 26% de los fraudes financieros se originaron por algún asunto relacionado con supeditaje gerencial. Así lo demuestra la gráfica No. 13 en la que se observa que este tipo de ilícito ha causado la desaparición o afectación a la viabilidad del negocio (31%), afectación al valor de la compañía (29%) y daños a la imagen de compañía (21%).
En ocasiones algunos directivos pueden llegar a pensar que pueden actuar al margen de los propios controles internos de su compañía. Este es un error fatal. Las organizaciones funcionan y logran sus objetivos gracias a las reglas que delimitan el marco de actuación de cada persona. Violentar esas reglas lesiona el principio básico de responsabilidad. Es importante entender que el fraude financiero, por su propia naturaleza, pasa necesariamente por los más altos cargos de dirección y responsabilidad de las compañías. De ahí que la conducta deshonesta y criminal en ese nivel de la organización puede –y de hecho está teniendo—
KPMG Advisory Services Ltda. - Forensic Services
27
Cuando la deshonestidad prevalece en una compañía pueden hacerse muchas trampas y engaños para desviar la atención de los mecanismos de control. Pero tarde o temprano el fraude financiero se convierte insostenible. La gran paradoja del fraude financiero es que implica tal cantidad de engaños y simulaciones, que es una cuestión de tiempo para que la incongruencia contable o financiera aflore. En este sentido, es interesante observar los datos que muestra la gráfica No. 14.
¿Quién comete este tipo de ilícito? Como ya se mencionó este tipo de crimen económico pasa necesariamente por la alta dirección. En efecto, el engaño contable y financiero es quizá el clásico ejemplo de crimen de cuello blanco: es perpetrado por altos funcionarios o bajo presión de ellos y el beneficiado, en detrimento de los intereses de la compañía, suele ser la cúpula de la organización. En la mayoría de las veces destruyendo la confianza y patrimonio de inversionistas, accionistas y empleados por igual.
El 90% de los fraudes financieros se detectan un año después de haberse realizado el ataque.
De acuerdo con estos datos, se observa que este tipo de crimen económico suele ser detectado, en primer lugar, por los propios mecanismos de gobierno corporativo, por ejemplo, contraloría o auditoría interna (32%), seguido de la auditoría externa o revisoría fiscal (26%) e, interesante, un 18% es detectado mediante denuncias. Este último dato nos revela que, nuevamente, los sistemas de denuncia anónima pueden actuar como un efectivo mecanismo de control –incluso para acotar a altos directivos. El perpetrador de fraude financiero suele buscar un beneficio indirecto, es decir, obtiene su ganancia pasado un tiempo, una vez que sus engaños contables o financieros surten efecto. Típicamente este tipo de fraude puede asociarse, por ejemplo, al engaño de indicadores para alcanzar las metas establecidas y así acceder a los “bonos” u otra forma de compensación variable. En ese orden de ideas, es comprensible observar que este tipo de ilícito suele detectarse a largo plazo. En la gráfica No. 15 se puede observar que el 90% de los fraudes financieros se detectan un año después de haberse realizado el ataque.
28
Encuesta de Fraude en Colombia 2013
La gráfica No. 16 muestra claramente que el 61% de estos delitos los comete la alta dirección, causando el 68% del daño económico. El nivel gerencial contribuye con un tercio de estos delitos; dejando prácticamente sin participación en este tipo de crimen económico a los puestos operativos.
Encuesta de Fraude en Colombia 2013
Corrupción
Corrupción
Incidencia
Daño
Externalidad
31%
22%
35%
La corrupción es un serio problema para las empresas que operan en Colombia. Este crimen económico se refiere a pagos ilegales realizados a servidores públicos o funcionarios de compañías privadas para obtener o retener algún contrato o cualquier otro beneficio personal o para un tercero; entendiendo por pago ilegal tanto sobornos en dinero como en cualquier otra forma, como regalos, viajes, favores, etcétera. En este sentido, la corrupción afecta seriamente los negocios porque no sólo distorsiona las condiciones de mercado, sino también reduce la confianza en las autoridades e incrementa los costos de operación de las empresas.
La corrupción supuso un daño cercano a los 800 millones de dólares americanos. Uno de los problemas con la corrupción es que la frontera que separa a la víctima del victimario es borrosa y fugaz. La corrupción es un fenómeno de dos vías: hay corrupción porque existe un funcionario (público o privado) que solicita o exige un pago ilegal, pero también porque hay, del otro lado, una compañía dispuesta a pagarlo y tolerarlo. De acuerdo con los resultados obtenidos, el 31% de los crímenes económicos que afectaron, en el último año, a las compañías que operan en Colombia se relacionaron con alguna práctica corrupta. En términos de costo económico, la corrupción supuso un daño cercano a los 800 millones de dólares americanos.
Colombia se ha sumado a la cruzada internacional en contra de la corrupción con la Ley 1474 de 2011 Estatuto Anticorrupción. El costo que tiene la corrupción a nivel mundial, ha hecho que alrededor del mundo, cada vez más empresas y gobiernos reconozcan que la corrupción eleva los riesgos en todo tipo de transacciones.
KPMG Advisory Services Ltda. - Forensic Services
29
En consecuencia, varios países han establecido leyes que de manera explícita prohíben a sus compañías y subsidiarias el pago de sobornos. Colombia se ha sumado a esa cruzada internacional en contra de la corrupción con la Ley 1474 de 2011 Estatuto Anticorrupción. Cabe destacar que esta Ley tipifica, entre otras cosas, el delito de corrupción privada. Con este delito se persigue y castiga el pago de dádivas a sociedades privadas con el objetivo de obtener un beneficio (por ejemplo un contrato) o favorecimiento irregular.
La corrupción (pública y privada) se relaciona sobre todo con prácticas institucionalizadas (26%). Desde este punto de vista, es importante que las compañías que operan en Colombia entiendan que la corrupción privada también debe estar en su marco de control interno y que, más aún, debería adoptar medidas específicas para asegurarse que los empleados y altos funcionarios de sus compañías que seleccionan proveedores o tratan directamente con clientes asuman convenientemente los controles anticorrupción. Hay que decirlo claro: en Colombia combatir la corrupción privada no es una cuestión de mejores prácticas, es una obligación legal. Las causas de la corrupción son heterogéneas. No existe una única variable que explique completamente por qué una compañía en un momento dado accede al pago de sobornos. En este sentido es interesante observar que, de acuerdo con la gráfica No. 17, las principales causas de la corrupción (pública y privada) se relacionan con prácticas institucionalizadas (26%), trámites confusos y poco transparentes (22%), presiones (15%) y, nuevamente, supeditaje gerencial (11%).
de hacer que las cosas sucedan; que se trata de usos y costumbres que es necesario tolerar y utilizar en provecho de la propia compañía. Esta es una visión estrecha y equivocada de mirar el asunto. El acto corrupto puede resolver, en lo inmediato, el trámite o asunto que se tiene; pero a largo plazo la corrupción se revierte y afecta, al final del día, el propio funcionamiento de la organización. En la gráfica No. 18 se muestran los efectos que las propias compañías reconocen tener por efecto de la corrupción, sea pública o privada. El 34% experimenta incrementos en los costos de operación, 23% observa que los precios de mercado se distorsionan y el 19% mira que se afectan sus relaciones de negocio.
En el caso de la corrupción el beneficio que se obtiene depende en gran medida de quién y para qué se comente el acto corrupto. Se podría decir que, en general, la corrupción privada está fuertemente asociada al pago de dádivas (a través de dinero, regalos, entretenimiento, entre otros medios) que le reportan un beneficio directo e individual a la persona involucrado en el acuerdo ilegal. Típicamente este tipo de situaciones se observa en los ciclos de compras y contratación, donde las personas encargadas de seleccionar y contratar proveedores pueden llegar a acuerdos no autorizados e ilegales, por medio de pago de dádivas, para favorecer a un proveedor en particular. Por su parte, la corrupción pública está más asociada al pago de sobornos a funcionarios públicos por parte de la compañía involucrada. En estos casos el beneficio es más para la compañía en su conjunto, pues a través del soborno se intenta obtener, por ejemplo, permisos, licencias, exención de impuestos o multas y, claro está, obtención o retención de contratos otorgados por una entidad de gobierno. En estas situaciones estamos ante los casos en que una compañía intenta comprar decisiones o modificar procesos administrativos de las entidades de gobierno, a modo de que le beneficien. Los llamados “carruseles de la contratación” u otra forma de engaño y uso indebido de los recursos públicos para beneficiar a privados están claramente inscritos en este tipo de crimen económico.
La reflexión a la que nos deben invitar estos datos es que, al parecer, persiste la percepción entre las empresas que operan en Colombia que la corrupción es una forma
30
Encuesta de Fraude en Colombia 2013
La corrupción (sea pública o privada) suele ser detectada porque alguien la denuncia. Así lo muestra la gráfica No. 18, en la que se observa que el 41% de este tipo de crimen económico se detectó por denuncia, seguida por el control
Encuesta de Fraude en Colombia 2013
Importancia del Análisis Proactivo de Datos en el Ciclo de Compras En la experiencia de KPMG el ciclo de compras y contratación es uno de los procesos administrativos más expuestos a prácticas de corrupción privada. Una auditoría típica suele mirar únicamente el apego a la política de compras. No obstante, la corrupción privada suele suceder de manera disfrazada, por lo general por canales de comunicación ajenos al proceso. La siguiente transcripción es ficticia, pero inspirada en un caso real, que KPMG investigó y en el que se realizó una búsqueda, con herramientas de tecnología forense, de conversaciones realizadas por medio de chats: - [Empleado de compras]: Amigo, ¿dónde estas? Hay que ofrecerle a mi jefe tres máquinas más. - [Proveedor coludido]: Va. ¿Qué hago? ¿Igual que las otras veces? - [Empleado de compras]: No. Dile al chino que te las mande pero con el sobrecosto que acordamos para mi primo, así nos toca más $$$ a todos. - [Proveedor coludido]: Ok!!! - [Empleado de compras]: Mándale un mail a mi jefe y le dices que esas le ofreces buen precio. El man no se va a dar cuenta. Nunca revisa interno (22%) y accidentalmente (17%). Vale la pena hacer la siguiente reflexión: la denuncia como mecanismo de control anticorrupción no sólo es un elemento que estén utilizando los propios empleados para reportar anomalías en sus propias compañías (quizá más asociada a la corrupción privada). También las denuncias realizadas por los medios de comunicación para llamar la atención sobre posibles desvíos públicos son una forma de control importante de la corrupción pública. En ese sentido es necesario subrayar el papel tan importante que desempeña este mecanismo de control y vigilancia.
El hecho de que la corrupción ocurra de manera oculta, bajo el amparo de la ambigüedad organizacional o de
los papeles y me lo deja a mi. Mejor manda cotización de cinco. Más $$$$ para todos. Yo la apruebo de una. - [Proveedor coludido]: Ok. De una. Deposita en cuenta de mi hermana. No la que sale en factura. Esa ya no existe. Casos como el anterior escapan de la lupa del auditor. De ahí que sea importante considerar herramientas de análisis proactivo de datos para robustecer el control y la vigilancia sobre las compras y contrataciones. El análisis proactivo de datos consiste en utilizar de manera inteligente las propias bases de datos de las compañías. Por ejemplo, haciendo cruces de datos entre las bases del archivo maestro de proveedores, maestro de empleados y la base de pago a proveedores. Este tipo de análisis permite detectar alertas que den pista de posibles irregularidades. Algunos de los hallazgos que se pueden obtener son: • • • • • • •
Facturas de proveedores no registrados en el maestro de proveedores. Proveedor y empleado con datos coincidentes (teléfono, dirección, otros). Diferentes proveedores con misma cuenta bancaria. Facturación atípica. Facturas múltiples con la misma descripción de artículo, precios, descuentos, etc. Proveedores con números de facturas duplicados. Presencia de facturas antes de la orden de compra.
la carencia de controles efectivos, hace que este tipo de crimen económico también sea de difícil detección oportuna. De acuerdo con la gráfica No. 20, el 55% de los crímenes económicos relacionados con actos de corrupción se detectan más de un año después de haberse realizado el ilícito.
¿Quién comete este tipo de ilícito? Al ser la corrupción una patología que puede ocurrir en cualquier rincón de la organización, en realidad el perfil del perpetrador es difuso. No obstante, lo que llama nuestra atención es que, de acuerdo con los datos que se muestran en la gráfica
KPMG Advisory Services Ltda. - Forensic Services
31
No. 21, el principal actor de este tipo de ilícitos se ubica en los mandos medios de las compañías (48%) y provoca el 67% del daño económico asociado a este tipo de crimen económico. Estos datos nos da una idea de cómo operan las compañías en Colombia, porque efectivamente los puestos gerenciales o intermedios son normalmente los que toman las decisiones de qué proveedor contratar –y por tanto pueden estar ligados a la corrupción privada—y además suelen ser quienes gestionan y tienen un estrecho relacionamiento con funcionarios públicos –lo que los puede ubicar en el meollo de la corrupción pública.
En Colombia el combate a la corrupción privada no es una cuestión de mejores prácticas, es una obligación legal.
32
Encuesta de Fraude en Colombia 2013
Encuesta de Fraude en Colombia 2013
Cibercrimen
Cibercrimen
Incidencia
Daño
Externalidad
13%
15%
19%
El cibercrimen es un tipo de crimen económico que ha ido ganando importancia en los últimos años. Así, ha pasado de ser una “novedad” en el mundo de la informática, a toda una actividad criminal, causante del 13% de los ilícitos que se han cometido en el último año contra de empresas que operan en Colombia y generando un daño económico cercano a los 550 millones de dólares.
El cibercrimen está generando un daño económico cercano a los 550 millones de dólares en el último año en Colombia. El cibercrimen se refiere a aquellas actividades ilícitas que se llevan a cabo para robar, alterar, manipular, enajenar o destruir información o activos (como dinero, valores o bienes desmaterializados) de las compañías afectadas, utilizando para dicho fin algún medio informático o componentes electrónicos.
El 23% de los ataques cibernéticos pueden atribuirse a la deslealtad de empleados. Este tipo de crimen económico sin duda representa uno de los principales retos para compañías y gobierno por igual. Nadie está exento de sufrir este tipo de ataques. Menos aún las compañías que son un blanco particularmente apetecible para las bandas criminales dedicadas al espionaje corporativo, la piratería, extorsión y, claro está, el desfalco. La imagen del asaltabancos, enmascarado y tomando por sorpresa una sucursal bancaria, ha dejado lugar al criminal conocedor de sistemas informáticos que desde un lugar remoto intenta vulnerar los sistemas de seguridad de las plataformas tecnológicas de bancos, aseguradoras y, en general, cualquier otra organización que tenga algún tipo de activo o información objeto de robo. Las causas que propician este tipo de ilícitos son diversas. La gráfica No. 22 muestra que el 23% de
KPMG Advisory Services Ltda. - Forensic Services
33
los ataques cibernéticos pueden atribuirse a la deslealtad de empleados, el 20% se debe a fallas en la seguridad de la tecnología utilizada en las compañías afectadas y un 17% al robo de dispositivo móvil.
cargo de dicha tecnología no la ejecutan correctamente, su vulnerabilidad es mayúscula. Ninguna tecnología, por sí misma, puede sustituir el factor humano y la debida diligencia de implantar y operar correctamente los mecanismos de seguridad tecnológica de las empresas.
El factor sorpresa es sin duda el principal aliado del perpetrador de ataques informáticos. Los resultados que muestra la gráfica No. 24 son un botón de muestra de la inefectiva actividad de seguridad que impera en las compañías que operan en Colombia. El 39% de los cibercrimenes se detectaron accidentalmente, es decir, fueron identificados fortuitamente o al azar. El 30% fue bloqueado por los mecanismos de control interno y el 17% por alguna denuncia. En tanto que el perpetrador del cibercrimen puede ser una persona ajena a la compañía –porque los ataques pueden suceder de manera remota—el daño que causan puede ser incalculable. Peor aún: una compañía que ha sido objeto de un ataque pudiera no saberlo sino hasta mucho tiempo después, ya que es demasiado tarde para reaccionar. Dicho esto, no sorprende el tipo de consecuencias que las compañías indican como principales, resultado de los ciberataques a los que fueron objeto. La gráfica No. 23 muestra que el 27% tuvo daños económicos, el 21% sufrió la pérdida de información sensible y el 15% fue objeto de extorsión y chantaje.
De aquí se desprende también el lento proceso de detección que tiene este tipo de ataques. En la gráfica No. 25 se observa que el 53% de los cibercrimenes se detectaron después de un mes de haberse realizado el ataque. Este tiempo de inefectividad puede ser mortal para la organización afectada. Todos los crímenes económicos provocan consecuencias y costos. En este sentido, el nivel de gravedad del crimen experimentado está íntimamente ligado con el tiempo que se demore en reaccionar y responder al ataque sufrido.
El factor sorpresa es sin duda el principal aliado del perpetrador de ataques informáticos. Sus crímenes además suelen contar con el apoyo –involuntario—de la falta de efectividad de los sistemas de seguridad implantados. Las organizaciones suelen poner demasiado énfasis en la tecnología especializada en brindar seguridad. Sin embargo, suelen olvidar que si esa tecnología no es aplicada convenientemente o si las personas que están a
34
Encuesta de Fraude en Colombia 2013
El 39% de los cibercrímenes se detectaron accidentalmente.
Encuesta de Fraude en Colombia 2013
Las Amenazas Persistentes Avanzadas Las Amenazas Persistentes Avanzadas son, en general, grupos organizados con la capacidad tecnológica y económica para irrumpir de forma sigilosa y para mantener su presencia indefinidamente en los sistemas de información internos de las entidades, con objetivos claramente definidos. Para establecer su presencia en su objetivo de ataque, una Amenaza Persistente Avanzada hace uso de técnicas como la Ingeniería Social, Phishing, propagación mediante medios removibles, debilidades técnicas no atendidas y en general, cualquier debilidad en las dimensiones de Gente, Procesos y Tecnología. Después del acceso inicial, los atacantes utilizarán tecnologías y metodologías que impedirán su detección a través de sistemas antivirus y métodos reactivos tradicionales de protección y respuesta. Una Amenaza Persistente Avanzada puede definirse también a partir de sus componentes esenciales: Amenaza: El atacante tiene la intención y la capacidad de obtener acceso a información confidencial almacenada electrónicamente.
Reconocimiento, Lanzamiento e Infección: El atacante efectúa un reconocimiento de su objetivo, identifica sus vulnerabilidades, lanza el ataque e infecta los sistemas de información seleccionados. Control, actualización, enumeración, persistencia: El atacante controla los sistemas de información infectados, actualiza o adiciona sus programas de control, se extiende a otras máquinas y enumera y recolecta datos seleccionados. Extracción y compromiso: El atacante extrae la información de los sistemas de información de la red objetivo y la entrega a quien financia el ataque, la vende, demanda un rescate para evitar su publicación e incluso comparte o comercia la información necesaria para que otros tengan acceso a la red. En Colombia, KPMG ha conocido ataques sofisticados realizados a organizaciones, que bien pudieran catalogarse como Amenazas Persistentes Avanzadas. Si bien las organizaciones del sector financiero son quienes más pudieran ser objeto de este tipo de ataque, ningún sector de la economía está excluido. Es así que ataques de este estilo han sido utilizados, entre otros, para: •
Persistente: La naturaleza persistente de la amenaza hace que sea difícil prevenir el acceso a la red de computadores y que una vez el atacante ha obtenido acceso exitosamente, sea difícil removerlo. Avanzada: El atacante tiene la habilidad de evadir la detección, así como la capacidad para obtener y mantener el acceso a redes bien protegidas y a información confidencial contenida en ellas. Este atacante generalmente se adapta fácilmente y cuenta con buenos recursos tecnológicos y económicos El proceso de una Amenaza Persistente Avanzada comprende, generalmente, tres grandes fases:
•
• • •
• • •
Tener acceso a información médica de personas específicas. Conocer anticipadamente decisiones empresariales (fusiones, adquisiciones, emisiones de acciones, inversiones, etc.) Monitorear empleados clave. Infiltrar sistemas de gestión documental. Acceder y controlar sistemas de infraestructura crítica (plantas de tratamiento de agua, hidroeléctricas, oleoductos, etc.). Conocer información sensible de estudiantes y profesores. Conocer campañas de mercadeo. Obtención de bases de datos de clientes.
¿Quién comete este tipo de ilícito? Para el caso del cibercrimen es importante observar que el 61% de estos ataques son realizados por empleados de la propia compañía, de manera aislada o en colusión con alguna otra persona. En segundo lugar, con un 17% están las bandas criminales. Al respecto es importante llamar la atención sobre una novedosa modalidad de atacantes cibernéticos: se trata de organizaciones con la preparación, recursos y tiempo suficiente para estudiar y conocer bien las debilidades de sus potenciales blancos. Muchas veces este tipo de atacante puede infiltrar la organización por medio de un “topo”, es decir, una persona que de información clave de puntos vulnerables de la seguridad informática, e incluso, sembrando algún dispositivo que permita el ataque remoto. En estos casos, las compañías claramente están frente a un ataque de proporciones mayúsculas, con graves consecuencias.
KPMG Advisory Services Ltda. - Forensic Services
35
Así las cosas, será necesario que las empresas que operan en Colombia enfrenten el reto de mejorar su capacidad de control interno y prevención de cibercrímenes. La presente situación puede ser una oportunidad para hacer una auténtica revolución en la forma de ejecutar la seguridad informática. El cambio que es necesario realizar es, ante todo, de carácter cultural y pasar de la estrategia reactiva a la preventiva. Las compañías deben entender que el cibercrimen es de hecho un riesgo latente. Por tanto, las compañías deberán tomar este diagnóstico con cuidado y evaluar en dónde están paradas realmente en términos de prevención y detección de cibercrímenes. Si hoy tuvieran un ataque de este tipo, ¿podrían detectarlo a tiempo? ¿Sabrían qué hacer y cómo remediarlo?
El 17% de los ataques de cibercrimen son cometidos por bandas criminales.
36
Encuesta de Fraude en Colombia 2013
Encuesta de Fraude en Colombia 2013
Conclusiones
Las compañías que operan en Colombia enfrentan el reto de consolidar sus negocios y potenciar su prestigio. La confianza que proyecten a clientes, inversionistas y socios estratégicos será fundamental para lograr estos objetivos. En este contexto, su principal enemigo es el riesgo de ser víctimas de crímenes económicos, que minen su patrimonio e imagen corporativa. El nivel de incidencia de fraudes reportados en este estudio, especialmente de quebrantos atribuibles a la Alta Dirección, es una clara señal de que algo muy malo está sucediendo en las compañías y que es necesario reforzar su capacidad de control y Gobierno Corporativo. No hacerlo sólo agudizará el problema y pondrá en serios riesgos la viabilidad misma de las empresas. El crimen económico no es una amenaza estática; las empresas necesitan evaluar sus riesgos de fraude de manera recurrente. Paradógicamente, el buen ambiente de negocios que se vive hoy en Colombia ha potenciado los riesgos de crímenes económicos que enfrentan las compañías y ha puesto en evidencia las principales debilidades de control de las empresas. Una estrategia de administración de riesgos de fraude que sea efectiva y orientada a la empresa abarcará actividades, mecanismos y controles que tengan tres objetivos:
•
Prevención: Reducir el riesgo de ocurrencia de fraude y conductas impropias. Detección: Descubrir fraudes y conductas impropias cuando ocurren. Respuesta: Tomar medidas correctivas y reparar.
Diagnóstico
Prevención Diseño
Evaluación
• •
Respuesta
Im p
Detección
le m e n ta ció n
KPMG Advisory Services Ltda. - Forensic Services
37
El énfasis de la gestión efectiva y responsable de las empresas se debe poner en la disuasión de los delitos o conductas impropias. La investigación del fraude, del abuso y del error no debe ser el interés primordial de la Alta Dirección de las empresas, pues se trata de una posición más bien reactiva que proactiva. Su interés principal debe estar encaminado a fortalecer una administración eficaz, basada en un sistema de control de riesgos y fortalecimiento de la infraestructura ética corporativa, que impidan el abuso de confianza y disminuya la probabilidad del error y el engaño. Uno de los objetivos esenciales de los órganos de gobierno de las empresas, especialmente en tiempos de expansión y crecimiento, debería ser el establecimiento de un sistema de control interno y administración de riesgo que ayude a mitigar la incidencia de fraudes y todo tipo de conductas impropias, que puedan dañar el valor y la integridad de la empresa. Todas las compañías son susceptibles de padecer algún tipo de crimen económico. Sin embargo, se ha visto que la posibilidad de padecer un fraude se reduce sustancialmente cuando las empresas entienden los riesgos de su propia operación y adoptan un programa integral que les ayude a prevenir y detectar a tiempo las posibles irregularidades. Sólo así se estará realmente tomando medidas concretas para mejorar la confianza en las empresas y se estará trabajando para la protección de su patrimonio.
38
Encuesta de Fraude en Colombia 2013
Contáctenos Ignacio Cortés Tel: + 57 (1) 618 8027
[email protected] Arturo del Castillo Tel: + 57 (1) 618 8163
[email protected]
Nuestras oficinas Bogotá D.C. Calle 90 No. 19C - 74 Tel: + 57 (1) 618 8000 Fax: + 57 (1) 623 3316
[email protected] Medellín Carrera 43A No. 16A Sur - 38, Piso 3 Tel: + 57 (4) 355 6060 Fax: + 57 (4) 313 2554 Cali Calle 4 Norte No. 1N - 10, Piso 2 (Torre Mercurio) Tel: + 57 (2) 668 1480 Fax: + 57 (2) 668 4447 Barranquilla Carrera 53 No. 82 - 86, Oficina 803 Tel: + 57 (5) 378 4232
kpmg.com.co
Encuesta de Fraude en Colombia 2013 ©2013 KPMG Advisory Services Ltda., sociedad colombiana de responsabilidad limitada y firma miembro de la red de firmas miembro independientes de KPMG afiliadas a KPMG International Cooperative (“KPMG International”), una entidad suiza. Derechos reservados. Tanto KPMG como el logotipo de KPMG son marcas comerciales registradas de KPMG International Cooperative (“KPMG International”), una entidad suiza. La información aquí contenida es de naturaleza general y no tiene el propósito de abordar las circunstancias específicas de ningún individuo o entidad en particular. Aunque procuramos proveer información correcta y oportuna, no puede haber garantía de que dicha información sea correcta en la fecha que se reciba o que continuará siendo correcta en el futuro. Nadie debe tomar medidas basado en dicha información sin el debido asesoramiento profesional después de un estudio detallado de la situación en particular.