22/11/2024

EL FRAUDE EMPRESARIAL: UN MAL MUY COMÚN

Guido Rosales 21/08/2020

El fraude empresarial a todo nivel es un mal muy común en nuestro medio. Lamentablemente ocurre en todo nivel, desde la dirección, hasta el ultimo funcionario.

El fraude fluye hasta que aniquila la organización

EL FRAUDE NO SE DETIENE, CRECE CON LA AMBICIÓN DE LOS DEFRAUDADORES

El presente articulo esparte de los módulos de Seguridad en las certificaciones CISO, ISSA y FCA.

Ha sido escrita por el Ing. Guido Rosales, director de estos programas de certificación.

INTRODUCCIÓN

Las empresas son un con junto de recursos concentrados bajo un objetivo común.

Esa es la definición en teoría, lastimosamente las personas llegan con diferentes metas y objetivos. Algunas entienden el bien común a nivel empresa, pero otras buscan una oportunidad individual y un beneficio en el corto plazo. En este afán no verán impedimento alguno en sumar adeptos, cómplices o tontos útiles a su causa.

El presente articulo toca un poco de esta situación difícil que es blindar una organización contra el fraude. Se debe pensar que el SISTEMA debe ser desarrollado en un momento donde TODOS tienen esa intención y debe servir de coraza aun ante quienes lo diseñaron. Es decir, NADIE debería tener la capacidad de APAGAR el sistema ANTIFRAUDE, ni siquiera sus creadores

El control interno es un instrumento para gestionar este sistema basado en la premisa de segregación de funciones, está considerando que las posibilidades de fraude pueden venir desde la persona, pero considera que el individuo de alguna manera es absorbido por el grupo en un contexto empresarial. Entonces todos los controles basados en una instancia superior de control pueden ser vulnerados.

Las variables Presión, conocimiento, oportunidad y justificación no se deliberan en la cabeza de una persona sino en todo el grupo. Hablamos entonces no de fraude individual, sino de estructuras de FRAUDE EMPRESARIAL O CORPORATIVO

Definición de FRAUDE

fraude. Del lat. fraus, fraudis.

  1. m. Acción contraria a la verdad y a la rectitud, que PERJUDICA a la persona contra quien se comete.
  2. m. Acto tendente a eludir una disposición legal en PERJUICIO del Estado o de terceros.
  3. m. Der. Delito que comete el encargado de vigilar la ejecución de contratos públicos, o de algunos privados, confabulándose con la representación de los intereses opuestos.

TEORÍA DEL FRAUDE Y SU PREVENCIÓN

Dentro las teorías que estudian el FRAUDE como una conducta humana individual o grupal, siempre han destacado las siguientes:

  1. El triangulo del fraude del criminologo DONALD CRESSEY
  2. El Iter criminis o camino que sigue el delito desde su concepción hasta su ejecución.
 
 

En ese sentido queremos identificar al FRAUDE como una consecuencia de muchos aspectos tanto internos al individuo como característicos del grupo social, es decir vamos a analizar el fraude como acción no de una persona sino del colectivo humano empresarial.

EL GRUPO HUMANO EN LA EMPRESA

Las organizaciones mas allá de sus activos, muebles y herramientas, están compuestas por personas que si bien pueden ser conocidos de algún lugar o momento de tiempo, en general llegan de diferentes caminos encontrándose todos en el lugar de trabajo. Pero estos encuentros no son insignificantes, sino mas bien muy fuertes y cohesionados por el tiempo y vivencias que tiene ese colectivo humano. Al final las personas pasan la mayor parte de su vida laboral con ese grupo. 8 horas activas del día están con las mismas personas.

Las estructuras empresariales pueden suponer estructuras parecidas al momento de pensar en una organización para delinquir, pero no necesariamente.

EL FRAUDE POR DOQUIER

Uno de los mas grandes males se da cuando el fraude ha permeado TODA la organización. En todos los niveles se comenten acciones aisladas o integradas para cometer actos ilícitos.

En cada nivel el resultado varia en cuantía y modus operandi, pero acciones fraudulentas menores o mayores se conocen entre si, pero como se dice “entre bomberos no se pisan la manguera”

Todo negocio tiene su MIEL

EJEMPLOS REALES

Cada uno de los siguientes puede ser considerado un tipo de fraude que ha estado y con certeza sigue ocurriendo en nuestro medio.

Lastimosamente la idiosincrasia latina hace que muchos busquen la manera de ser compensados según sus propias expectativas. Muchas veces nada licitas.

  • Negocios con el reemplazo de activos buenos de la empresa por activos dañados de terceros.
  • Funcionarios que aprovechan la infraestructura empresarial para desarrollar sus propios negocios. Programadores que llevan parte de sus desarrollos a empresas particulares o realizan desarrollo para terceros desde y en horarios laborales.
  • Gerentes de TI que extrañamente y de forma permanente renuevan su tecnología con los mismos proveedores. Generalmente las políticas de renovación tienen entre 30 a 50% de descuento, pero los presupuestos se mantienen sin modificación alguna.
  • Personal retirado crea empresas para participar como proveedores. Extrañamente sin la experiencia necesaria se adjudican todos los contratos.
  • Cursos de capacitación que nunca existieron, pero generaron el gasto, el viaje, el hotel, los viáticos y todo lo relacionado.
  • Equipamiento reacondicionado entregado como nuevo. Una cosa es comprar versiones nuevas, pero no las ultimas por temas de precio. Pero otra es comprar de un revendedor que al igual que la ropa usada recolecta equipos de todo lado, los reacondiciona, a veces le coloca en la caja el sello “reacondicionado”, pero como las cajas no llegan hasta el usuario final, nadie se da cuenta.
  • Manipulación de bases de activos dar de bajo o simplemente eliminarlos del inventario y hacerse del mismo. Ojo que no hablamos de un pc o una resma de papel, sino muebles, inmuebles y vehículos generalmente.
  • Funcionarios de empresas de servicios de comunicaciones con crédito ilimitado. Hasta revenden y transfieren crédito.
  • Certificaciones internacionales a pedido: con nombre y apellido.
  • Experiencia laboral inflada. Se contaría desde Colegio o desde universidad. O experiencia general pero no especifica
  • Apropiación de Identidad digital en CV profesional y/o empresarial. No se valida.
  • Calificación de propuestas con personal internacional que puede hasta no tener idea que esta participando.

LA PIRAMIDE DEL FRAUDE

Tomando como base el Triangulo del fraude, queremos conjugar mas variables

Por un lado están:

Oportunidad, presión, conocimiento y presión, pero debemos entender que esto no se esta dando únicamente en la cabeza o subconsciente de una persona sino de todo el grupo. Puede ser que haya nacido con una persona, pero rápidamente se adueño del grupo humano

 

Y por otro lado esta el ITER criminis que ha llevado desde su fase interna hasta su fase externa venciendo controles y madurado en el tiempo.

  • Por que y para que?
  • Poder, riqueza
  • Motivos políticos, religiosos, sociales. Modus Vivendi
  • Como obtener DINERO?
  • Para financiar el Por que!
  • A quien? A Que?
  • Como, Cuando hacerlo?
  • Fraude Interno, Eterno, mixto
  • Ataques externos, robo, soborno, ingeniería social
  • Voluntario, involuntario, complicidad
  • Como lavar el DINERO obtenido? (LGI – DC)

Bajo esta lógica debemos pensar que controles tradicionales como maker/checker, segregación de funciones y similares llegan a ser inútiles. Es el grupo humano que ha sido comprometido en la comisión de actos fraudulentos.

La respuesta y lógica de control interno y externo debe partir bajo ese enfoque “e grupo puede estar comprometido”, tanto para la fase de análisis como para la fase de implementancion de sistemas antifraude.

El gran problema surge cuando las acciones fraudulentas han permeado toda la sociedad y las mismas instancias de control pueden ser contaminados para no detectar el FRAUDE.

SISTEMA EMPRESARIAL DE PREVENCIÓN DEL FRAUDE

FASE 1: DIAGNOSTICO DEL SISTEMA ANTIFRAUDE

Destinado a mostrar técnicas para establecer el nivel de preparación e implementación que tiene el negocio respecto a un sistema antifraude. Se propone el análisis de diferentes aspectos como son el marco normativo, organizacional, códigos y sistemas de información tanto de soporte al negocio como instrumentos de control y alerta temprana. Algo muy importante en el relevamiento es el análisis conductual del factor humano. La patronizacion de conductas y establecimiento de tipos de personas, permite identificar puntos de alerta temprana. Además de las características tradicionales del fraude se analiza el factor EDAD para comprender las tendencias del fraude en el nuevo contexto del ciber espacio. Se analiza la madures forense determinando el nivel y capacidad de respuesta al fraude. Uno de los principales entregables de esta fase en el MAPA DEL FRAUDE donde a partir de un mapa de procesos se determina aquellos que tienen más debilidades de control PDC

FASE 2: MODELAMIENTO DEL POTENCIAL FRAUDE

En esta fase se propone el modelamiento de fraudes de escritorio y el hacking operativo donde se simula la preparación, colecta de información, el posible itercriminis hasta la ejecución controlada del fraude para demostrar la probabilidad de ocurrencia. Se toma como insumo el Mapa del Fraude determinado en la fase 1 y se elige algún proceso.

Se simulan y describen fraudes con alto componente tecnológico y sistemas de información. Se hace especial énfasis en Ciber Fraudes donde la evidencia digital es relevante. En este camino se analiza la posibilidad de generar y además borrar las huellas y evidencias que dejaría un fraude real. Se establecen potenciales Modus Operandi.

El principal entregable de esta fase en la EVIDENCIA DEL FRAUDE, definida como el conjunto de registros que demuestran el intento o la comisión del hecho.

FASE 3: RESPUESTA AL FRAUDE

Pese a todos los esfuerzos por prevenir y anticipar situaciones de fraude se debe establecer los procedimientos, recursos, capacitación y entrenamiento para simular la ocurrencia misma de un fraude. En este FASE se propone establecer un plan de gestión de crisis, métodos de detección, sobre todo contención y respuesta oportuna al fraude. Así mismo la fase de mitigación del impacto comprende disparar actividades legales, reputacionales, regulatorias, internas, externas hacia todos los stakeholders relacionados. Algo muy importante durante la respuesta al fraude será la fijación y colecta de evidencias con métodos forenses que permitan eventualmente seguir procesos civiles y penales. Finalmente, en esta parte se instrumenta el desarrollo y fortalecimiento de una Cultura organizacional de honestidad y valores éticos.

FASE 4: CULTURA ORGANIZACIONAL

Muy al margen de toda inversión en recursos tangibles y procedimientos operativos, se debería pensar en fortalecer la cultura organizacional que nace con el ejemplo de la Alta dirección. Cuando se respira un ambiente seguro, las personas tienen a responder mejor.

Imagine solo a los conciudadanos viajando en un avión, solo los mismos que en la calle o en algún otro espacio tienden a incumplir las recomendaciones de seguridad

Lamentablemente el ser humano utiliza muchas veces su ingenio para encontrar la brecha y su propio beneficio

Autor / Redactor / Director

Guido Rosales

Apasionado por la Seguridad!!

See author's posts

Más historias

PORTADA

WEBINAR: CONSULTORIAS DE SEGURIDAD Y AUDITORIAS

Guido Rosales 16/08/2024
hack banking

WEBINARIO: Marco de cumplimiento de CIBERSEGURIDAD – Banca Digital en Bolivia

Guido Rosales 29/07/2024
portada curso NMSI NETHO

Curso: Nivel de madurez con NETHO e ISO 27001:2022

Guido Rosales 05/02/2024

Te pueden interesar

PORTADA

WEBINAR: CONSULTORIAS DE SEGURIDAD Y AUDITORIAS

Guido Rosales 16/08/2024
hack banking

WEBINARIO: Marco de cumplimiento de CIBERSEGURIDAD – Banca Digital en Bolivia

Guido Rosales 29/07/2024
portada curso NMSI NETHO

Curso: Nivel de madurez con NETHO e ISO 27001:2022

Guido Rosales 05/02/2024
perito informatico

Pericias: Lecciones aprendidas

Guido Rosales 02/11/2023
hack banking

Seminario Presencial Tarija: Banca digital ciber riesgos, estafas y pericias forenses

Guido Rosales 28/10/2023