Mitigación de Amenazas Internas
A medida que el mundo se va adaptando a la nueva normalidad y la banca se ha ido adaptando al home office, hay nuevos riesgos de fraude que nacieron consigo y la delincuencia adquirió una dimensión totalmente nueva, gracias al rápido avance de la tecnología digital, donde los ciberataques se siguen multiplicando y mutan de acuerdo con sus objetivos, haciéndose cada vez más sofisticados. Además, la suplantación de identidad a través de canales digitales se ha vuelto cada vez más apetecible para la delincuencia y han incrementado demás tipologías de fraude que ya conocemos.
Sin embargo, sumado a esto también se debe considerar el incremento de fraude interno, originado por la incertidumbre y preocupación de los colaboradores de perder su empleo, al ver disminuida su cartera de clientes y percibir menos comisiones. Al vivir la afectación económica familiar e incluso, el ver truncado sus desafíos profesionales. Y en esta casuística, las modalidades también se siguen perfeccionando.
Ahora, lo que nos toca entender a las áreas de Prevención de Fraude es que la irrupción del coronavirus solo ha acelerado y consolidado nuevas tendencias y eso nos exige dar mayor celeridad a nuestra forma de trabajo, a repensar nuestros procesos y actuar de manera rápida en la implantación de controles. Siendo conscientes que esta nueva forma de trabajo no es transitoria, sino que ha venido a permanecer. Por ejemplo, antes mirábamos la gente que no salía de vacaciones, ahora miramos al que teletrabaja. Antes vulneraban las transacciones, ahora las omiten y se llevan el efectivo.
Incluso, hasta la forma de hacer investigaciones cambió, incrementó el uso de documentación digital y el paperless. Investigamos más canales digitales que presenciales, revisamos procesos más automatizados que manuales, nos enfrentamos a la limitación de poder identificar a los delincuentes debido al uso de mascarillas, incluso nos enfrentamos a una nueva forma de entrevista remota a colaboradores involucrados en fraude interno. Por ello, es importante que reaccionemos antes que el volumen de fraude siga incrementando y sea demasiado tarde.
- Enumera, revisa y prioriza qué procesos actuales ayudan en la continuidad del negocio, para que los revises integralmente, valores y establezcas controles que ayuden a mitigar el fraude.
- Reduce - en lo posible- procesos manuales o hazlos escalables. Asegura que no existan procesos modificables, sin políticas o sin normativa. Actualiza las matrices de riesgo, adecuándola de acuerdo con lo nuevo, acorde a la coyuntura; considerando por ejemplo el impacto del uso de tapaboca que usará la delincuencia para no identificarlos correctamente y el impacto en incremento de colusión interna que puede traer consigo. Identifiquemos nuestras áreas vulnerables y; si nacen nuevas funciones o procesos también revisemos. Solo identificando todas las amenazas podemos ver cómo corregimos, cómo controlamos y en qué caso aplica el monitoreo detectivo. Pero, luego mide la efectividad de tus controles en 3 a 6 meses; para validar si ayudaron a disminuir las incidencias.
- No olvides hacer zoom en las alertas de colaboradores, revisa la capacidad para enfrentar nuevas amenazas y no ser reactivo. Si tu empresa no tiene presupuesto para adquirir sistemas avanzados de monitoreo de fraude interno, haz visto la posibilidad de usar robots para analizar “red flag” u otra manera de analizar más rápida la información. Tienes mapeado el uso de robots para el monitoreo de controles. Ten presente que, el análisis de datos es clave.
- Recordemos que, en épocas de Teletrabajo, debemos considerar cómo nuestros colaboradores se están conectando a la red del trabajo, usan VPN o acceso Remoto. Qué accesos tienen, ¿son los correctos? ¿Cómo está la estructura y seguridad de la nube? ¿Qué tan avanzado está el manejo de cifrado de la información? ¿Se está monitoreando posible fuga de información? No olvides que, si la oficina está en casa, la inseguridad aumenta; por ende, el monitoreo debe robustecerse.
- ¿Tenemos inventariados qué LOG tenemos y cuáles no? ¿Tenemos un alcance del nivel de detalle que guardan? ¿Guardan el origen de conexión? ¿te aseguraste si guarda distintas acciones? ¿son suficientes? ¿Las conexiones contienen información consistente con horas correctas y coordinadas? ¿conoces el periodo de resguardo de la data, es consistente con el tiempo de detección? ¿sabes dónde se guarda? ¿es seguro? ¿Tienes acceso directo al mismo?
- ¿Cómo vamos con el entrenamiento de Prevención de fraude y el reforzamiento de la cultura ética en tu organización? ¿Es nuestro código de ética un mero check list o los empleados sienten en su ADN la ética como parte de ellos? Sabemos si las capacitaciones o entrenamiento en la prevención del fraude lograron el objetivo de reducir fraude interno. Recuerda que, no basta saber cuántas capacitaciones o personas capacitaste, sino saber si realmente lo interiorizaron y entendieron el mensaje. Aprovecha estas capacitaciones para crear conciencia y generar un ambiente en el que se motive a los colaboradores para que denuncien; dándoles la seguridad que las denuncias son confidenciales y anónimas
- Y por último, pregúntate ¿Tu empresa tiene una cultura de Riesgo? ¿Tienes un programa antifraude integral? ¿Tienes definido protocolos de respuesta ante eventos de fraude? ¿Qué aspectos consideran tus áreas de Recursos Humanos en la contratación; más aún ahora con entrevistas remotas? ¿Qué tecnologías de probidad conoces para entrevistas a colaboradores involucrados en casos de fraude, teniendo en cuenta que ya no son presenciales?
Sabemos que todas las empresas estamos expuestas al fraude interno, pero a fin de reducirlo, enfoquémonos en mitigar riesgos, en efectivizar controles y en ser preventivos. Siempre revisa si tu estrategia actual es o no efectiva, sea porque no era la adecuada o porque han cambiado los escenarios.
Erika Del Rocío Carlos Bautista
Experta en la Prevención, Detección, Análisis e Investigación de Fraudes. Con más de 20 de años de experiencia en el sector financiero. Comunicadora Social con maestría en Auditoría Integral y Gestión del Riesgo Interno, certificada en COSO y Diplomado en Gestión Integral del Riesgo. Actualmente lidera el área de Prevención y Control en Caja Arequipa.