Una cultura de prevención del fraude: Una responsabilidad en común

Parece que cada día hay un nuevo titular de fraude.  Como resultado, las empresas están aprendiendo que la prevención del fraude tiene que ser una responsabilidad de todos los empleados de la organización.  Para prevenir el fraude, una organización debe centrarse en la educación a través de la formación, los controles estandarizados y las políticas de TI, además de una solución tecnológica sólida.

La amenaza del fraude ha crecido drásticamente en los últimos años.  De hecho, según el Estudio de Fraude y Control de AFP de 2021, en general, el 74% de las empresas han experimentado un fraude o un intento de fraude.  Su organización debe estar preparada y las actividades de Tesorería deben apoyar la identificación y prevención del fraude.   Recientemente, tuve una conversación con un tesorero que dijo: «si (el fraude) no está en tu mente en la Tesorería, ya has perdido».  Continuó hablando de lo mucho más difícil que es gestionar el fraude cuando se tiene un equipo de Tesorería descentralizado.

La mejor prevención del fraude consiste en contar con un ecosistema, una cultura y una tecnología sólidos, el tejido de una organización.  La prevención del fraude debe ser una prioridad para todos los miembros de la empresa.  La formación específica debe incluirse en la orientación inicial, así como en la formación continua y en las campañas anuales de concienciación.  Las personas deben ser capaces de identificar posibles campañas de phishing y Business Email Compromise (BEC) para asegurarse de que no se convierten en víctimas.  Sólo hace falta que una persona tome una decisión equivocada para permitir el acceso al sistema de una empresa.  También es importante tener en cuenta las diferencias culturales de las oficinas en otras partes del mundo.  Los estafadores se aprovechan de las normas culturales.  En algunos países asiáticos, es natural tener preferencia por las personas con más antigüedad.    Por ejemplo, recibir un mensaje del director financiero para realizar un pago no se cuestionaría normalmente.  Asegúrese de que todos los individuos tienen una forma de compartir, escalar y/o detener una transacción cuando pueda haber problemas potenciales.

Los procedimientos estandarizados son esenciales.  En el caso de los BEC, los defraudadores asumen que utilizar el nombre y el correo electrónico de los miembros de alto nivel del equipo directivo, como el director general o el director financiero, hará que los empleados de menor jerarquía de la organización hagan lo que se les ordena sin cuestionarlo.  Para combatir esto, es imprescindible que los procedimientos establecidos exijan un cumplimiento estricto, y que la alta dirección proporcione un entorno en el que los miembros menos veteranos del equipo se sientan cómodos preguntando si un pago es legítimo.    Si existen varios sistemas de planificación de recursos empresariales (ERP), asegúrese de que existen procesos de aprobación coherentes en todos los sistemas.  En el caso de las oficinas regionales más pequeñas, establezca procedimientos y aprobaciones que garanticen la separación de funciones y la visibilidad de las actividades en las oficinas remotas.  A algunos defraudadores les gusta atacar a las oficinas regionales con la esperanza de eludir algunos de los procesos más estrictos que se aplican en la sede central.

También es esencial que las TI se centren en la prevención del fraude y en políticas que apoyen estos esfuerzos.  El departamento de TI debe asegurarse de que los empleados están protegidos por una contraseña y de que ésta no sea fácil de adivinar.  Deben mantener cortafuegos potentes y estar al día en tecnología para identificar posibles actividades de hackers.  Además, es útil hacer pruebas aleatorias a los empleados con correos electrónicos de phishing para ayudarles a reconocer los correos fraudulentos.

Por último, las soluciones tecnológicas para identificar el fraude son un componente fundamental de su prevención.  Las soluciones deben incluir la detección de fraudes basada en reglas que identifiquen múltiples escenarios, por ejemplo, situaciones en las que el número de cuenta bancaria de un proveedor haya cambiado.  Estas transacciones deben marcarse y enviarse para su validación.  Una persona debería llamar a la empresa utilizando un número de teléfono que figure en el sistema de registro.  O bien, la transacción debe enviarse para la verificación de la cuenta, lo que permite confirmar que la cuenta bancaria es propiedad de la organización a la que se va a pagar, y no de una entidad fraudulenta. La verificación de cuentas es una nueva herramienta que se está añadiendo a los motores de reglas.  Le permite aumentar su confianza en que la cuenta es propiedad de la entidad con la que tiene una relación sin tener el proceso que consume tiempo de tener que llegar a la entidad directamente para verificar.  La verificación es rápida y no ralentiza los pagos legítimos. Su solución tecnológica contra el fraude también debe identificar otras situaciones de fraude que usted y una comunidad de sus compañeros hayan experimentado o considerado.

El aprendizaje automático para identificar anomalías en los pagos, basado en el historial de transacciones, también es fundamental.  Permite identificar patrones en las inmensas cantidades de datos transaccionales que su organización ha acumulado y luego cotejarlos en tiempo real con sus transacciones específicas para identificar posibles fraudes.   Esta capa de protección añadida busca comportamientos que pueden no ser identificados por el ojo humano: el momento de la recepción de la factura o el cambio en la frecuencia de las solicitudes de pago.  El sistema se adapta continuamente en función de la información que está rastreando y ofrece sugerencias cuando identifica un comportamiento potencialmente fraudulento.

Los estafadores siguen atacando ya que sólo necesitan encontrar ese eslabón débil en un día con una sola persona de su organización.  Depende de usted asegurarse de que las personas de su empresa estén preparadas para el ataque.  Asegúrese de contar con un programa de formación que ayude a sus empleados a identificar posibles intentos de fraude.  Defina, supervise y aplique políticas que apoyen la segregación de funciones y procesos coherentes en toda la organización.  Confirme que su departamento de TI está al tanto de la tecnología que identifica y previene a los piratas informáticos y apoya las mejores prácticas al establecer políticas en toda la organización.   Por último, pero no por ello menos importante, asegúrese de que está utilizando la mejor tecnología de su clase para identificar los pagos potencialmente fraudulentos y evitar que salgan por su puerta. Algunos proveedores de soluciones de tesorería utilizan la terminología de herramientas de detección de fraudes para referirse a la existencia de herramientas de detección de sanciones o de flujo de trabajo, mientras que otros le notifican la existencia de un elemento fraudulento después de que la transacción se haya enviado al banco.  Una solución tecnológica de primera clase combina herramientas de flujo de trabajo y aprobaciones, además de un sólido motor de reglas y aprendizaje automático para identificar transacciones potencialmente fraudulentas en tiempo real.  Esto le da la oportunidad de detener cualquier transacción antes de que salga de su organización.

La prevención del fraude es algo con lo que todos los miembros de su organización deben comprometerse para evitar que los estafadores tengan éxito.

Para obtener más información, visite el Centro de Prevención del Fraude de Kyriba, o visite los siguientes enlaces:

• The CFO’s Safe: Las mejores prácticas de la Tesorería para reducir el riesgo de fraude
• Podcast sobre liquidez activa ~ Fraude en los pagos: La experiencia de un tesorero
• Vídeo: Liquidez activa en 60 segundos: Mejores prácticas de prevención del fraude