El fraude, el incumplimiento y los ciberataques después de la pandemia se han vuelto extensos y complejos.
La alta dirección debe asegurarse de promover una cultura que fomente la conducta ética y el compromiso.
Hay empresas donde las personas se sienten cómodas alertando y denunciando.
Son tres las amenazas interconectadas que enfrentan hoy las organizaciones según el 2022 KPMG Fraud Outlook: el fraude, las preocupaciones por el cumplimiento y los ciberataques. Estas se han vuelto comunes y más graves, y es posible que aumenten su frecuencia.
La firma se pregunta si las empresas están logrando defenderse de esta triple amenaza. El informe sugiere que muchas cuentan con defensas limitadas, y que el cambio al trabajo híbrido o remoto está provocando que los controles existentes sean menos efectivos.
Antes de la pandemia, el fraude, el incumplimiento y los ciberataques ya representaban unas costosas amenazas para las empresas. Ahora, estas se han vuelto más extensas y complejas.
La mayoría de las empresas cuentan con algunas defensas, pero la excelencia integral es poco común. Este es especialmente el caso de América Latina, donde los resultados sugieren, por ejemplo, que la falta de controles efectivos es responsable de niveles más altos de fraude interno. Las empresas en Norteamérica lo están haciendo mejor, pero la mayoría aún se quedan cortas.
Gran parte de las organizaciones están preparadas para invertir más dinero y aumentar el enfoque de liderazgo en estas áreas. En este sentido, se recomienda seguir cinco pasos para mitigar la triple amenaza:
La alta dirección debe asegurarse de promover una cultura que fomente la conducta ética y el compromiso con el cumplimiento.
Esto afirma KPMG:
Necesitan establecer estándares y procedimientos para prevenir y detectar el fraude, mitigar los riesgos de cumplimiento y ciberseguridad y monitorear el apego a esos estándares. Para respaldarlo, las empresas deben implementar protocolos que aseguren que la alta dirección esté informando y supervise sobre el cumplimiento y la ética.
Las empresas deben implementar un proceso integral de evaluación de riesgos empresariales, y entre estos se deben incluir el fraude y la conducta indebida, el incumplimiento y las amenazas de ciberseguridad, y es importante centrarse en los riesgos reales, no en los hipotéticos.
Lo anterior significa que la alta dirección, el consejo, las áreas de auditoría interna, de cumplimiento, de operaciones y otros grupos de interés deben trabajar juntos para identificar puntos clave de riesgo y diseñar controles para mitigarlos.
Las organizaciones deben evaluar los protocolos existentes de capacitación y comunicación para detallar cómo los mensajes sobre riesgos pueden fluir de manera más efectiva a través de la organización.
Todas las personas relevantes deben recibir señales claras de la alta dirección de que las responsabilidades de control deben tomarse en serio.
Para respaldar esto, la capacitación dirigida ayudará a los empleados a comprender su papel en la protección de los activos de la empresa y la mejora de los sistemas de control interno, así como la forma en que sus actividades se relacionan con el trabajo de los demás.
El talento es fundamental para descubrir fraudes importantes y faltas de conducta. Existen organizaciones donde la fuerza laboral cree que tiene la responsabilidad de levantar la mano y denunciar las faltas de conducta. Así se detectarán el fraude y dichas faltas de manera temprana.
En estas empresas, las personas se sienten cómodas alertando y no temen represalias; esperan que la administración sea receptiva.
Las compañías deben desarrollar formas en que sus empleados y terceros denuncien sospechas de irregularidades y buscar asesoría y aclaraciones sobre las leyes, los reglamentos y los estándares de conducta.
Las empresas deben considerar la posibilidad de mejorar sus políticas y protocolos para incluir elementos de cumplimiento y rendición de cuentas que no sean punitivos.
Por ejemplo, pueden hacer que los principios éticos, la integridad y el comportamiento formen parte de las evaluaciones de desempeño, y proporcionar incentivos o recompensas por logros relacionados con objetivos o metas vinculados con la ética.
Lo anterior ayuda a transmitir el mensaje de que las medidas disciplinarias, en casos de fraude e incumplimiento, se aplican constante e independientemente del rango, la antigüedad o el cargo.