¿Sabe usted quiénes cometen robo, malversación o manipulación de información financiera en su empresa? ¿Conoce quiénes efectúan fraudes relacionados con compras o ventas ficticias en su compañía? ¿Podría identificar quién ha realizado suplantación de facultades o desplazamiento de productos no registrados en inventarios dentro de su organización? La respuesta es “el enemigo en casa”.

A diferencia de lo que pueda pensar, los ejecutores del fraude o malversadores están representados por cada empleado, proveedor e incluso clientes que forman parte de los procesos de negocio de una compañía.

Pero, ¿cómo podemos monitorear la capacidad de acción de los empleados en una empresa? ¿Cómo podríamos controlar las oportunidades de cometer actos ilícitos en el interior de la organización? Revisemos algunas alternativas.

El gobierno, riesgo y cumplimiento en una organización permite mantener un ambiente efectivo de control basado en cuatro principales componentes:

• Perfil de riesgo: identificación y descubrimiento de riesgos, evaluación, cuantificación y priorización para la toma de decisiones.

• Gobernabilidad, organización e infraestructura: alineación entre la estrategia de negocio, la estructura de la empresa y los procesos, así como las herramientas que permiten la operación de la organización.

• Aseguramiento empresarial: implementación y seguimiento de controles, monitoreando eficiencia y eficacia de cumplimiento.

• Cultura y ética: incentivar a la empresa en la ejecución de acciones con apego a políticas, lineamientos y regulaciones de la organización

Para mantener el gobierno de riesgo y cumplimiento es insuficiente gestionar el riesgo financiero, operativo, legal y tecnológico en el negocio; tampoco es garantía mantener el cumplimiento corporativo, fiscal y regulatorio, ni trabajar con revisiones de auditoría interna y externa, ni implementar un gobierno de tecnologías de información. Muestra de ello son los índices del fraude y riesgos materializados reportados por las empresas que se incrementan anualmente.

Es cierto que las empresas no tienen el poder para controlar ciertas variables que participan en la ejecución de eventos de fraude; por ejemplo, la presión que existe en el defraudador como razones económicas por deudas o los niveles de cuota de ventas establecidos que requieren para establecer el pago de una comisión; tampoco es posible influenciar en el raciocinio de un estafador que pone en disputa sus valores. Sin embargo, una compañía sí puede administrar la capacidad de acción de cada empleado a través del monitoreo de las facultades que le otorga, y también puede evitar que exista la oportunidad que se tiene para cometer fraude sin ser detectado. Esto se puede mitigar a través de un sistema de control eficiente.

Generalmente las responsabilidades de prevención de fraudes son supervisadas por áreas como control interno, normatividad, auditoría, gestión de riesgo, cumplimiento ético, seguridad de la información y quienes a través de sus procesos y procedimientos dan vida al Gobierno, Riesgo y Cumplimiento (GRC) corporativo.

Con la implementación de herramientas tecnológicas de GRC es posible proteger a la empresa de quebrantos, evitando la generación de pérdidas y mantener e incrementar un nivel de cumplimiento aceptable. Identificar y detectar riesgos de forma oportuna evita que conductas de fraude se puedan presentar en la organización.

Socio y Director de Asesoría en Tecnologías de la Información de KPMG en México.
asesoria@kpmg.com.mx