Ir al contenido principal
Perspectiva:
Perspectiva

La amenaza silenciosa: nuevas tendencias en la gestión del riesgo de fraude

Durante años, la gestión del riesgo de fraude corporativo ha vivido bajo un estigma: se consideraba un problema exclusivo de la banca o, más recientemente, una subdisciplina de la ciberseguridad. Sin embargo, para una fábrica, una cadena de retail o una compañía de logística, el mayor impacto financiero rara vez proviene de un hacker encapuchado (aunque cuando ocurre, el impacto sea grande). Proviene de un proveedor ficticio en el libro mayor, de una comisión de ventas manipulada o de una licitación amañada en el departamento de compras.

Las empresas no financieras se enfrentan a un punto de inflexión. La complejidad de las cadenas de suministro (globales en muchos casos), y la descentralización de los procesos administrativos han creado nuevas grietas en los controles tradicionales. Las tendencias actuales en el diseño, implantación y operación de modelos de fraude están abandonando el enfoque puramente de seguridad o vigilancia para adoptar una integración total en los ciclos transaccionales del negocio.

A continuación, exploramos cómo los modelos más modernos están redefiniendo el control interno en los ciclos de compras, ventas y recursos humanos.

 

1. Fase de diseño: del mapa estático a la inteligencia de procesos

Tradicionalmente, el mapa de riesgos de fraude era un ejercicio teórico, realizado anualmente para cumplir con un requisito (de auditoría interna, habitualmente). Se listaban riesgos genéricos como "robo de activos" o "pagos indebidos". La tendencia actual exige un nivel de detalle mucho mayor, ligado a los procesos reales:

Segmentación del ciclo 'Procure-to-Pay' (P2P)

En el diseño moderno, no se evalúa el riesgo de "fraude en compras" como un todo. Se descompone el ciclo P2P en riesgos específicos basados en modus operandi conocidos. Algunos ejemplos:

  • Diseño de esquemas de licitación: El riesgo ya no es solo que se adjudique a dedo, sino la detección de patrones de alternancia o "turnismo" (proveedores que se turnan para ganar contratos), así como pliegos hechos a medida.
  • Fraccionamiento de facturas (smurfing): Diseñar alertas para detectar compras divididas intencionadamente para eludir los límites de autorización financiera (ej. dos facturas de 4.900€ para evitar la firma de un director, que se requiere a partir de 5.000€).
El ciclo de ingresos y el fraude por objetivos

En las empresas comerciales, el diseño del modelo de riesgos debe incorporar la presión por los resultados. Una tendencia creciente es auditar el diseño de los planes de incentivos.

Si los objetivos de venta son inalcanzables, el riesgo de fraude no es el robo, sino el "maquillaje". Los modelos actuales buscan esquemas de channel stuffing (envío de inventario no solicitado a distribuidores a final de mes para inflar ventas) o la emisión de abonos ocultos en periodos posteriores.

Un ejemplo de control interno para este riesgo es cruzar los datos de ventas del día 30 con las devoluciones del día 5 del mes siguiente, especialmente en períodos señalados, como el cierre del año fiscal, o de los períodos de cálculo del bonus.

2. Fase de implantación: la muerte del muestreo y el control automatizado

La mayor revolución en las empresas no financieras es el abandono de la auditoría basada en muestras. Revisar 50 facturas de un total de 50.000 es estadísticamente irrelevante en la búsqueda de fraude. El fraude, por definición, es una anomalía, y el muestreo rara vez encuentra la aguja en el pajar.

Esto impulsa el paso a un modelo de Auditoría Continua, que monitoriza las transacciones de la organización, para identificar los eventos potencialmente fraudulentos cuando ocurren y no tiempo después.

Controles internos preventivos en el ERP

La tendencia es mover el control desde la detección (expost) hacia la prevención (exante) dentro del sistema de gestión (ERP) de la organización:

  • Segregación de funciones (segregation of duties, SoD) dinámica: No basta con tener una matriz teórica que diga que "quien da de alta un proveedor no puede pagarle". La implantación efectiva implica configuraciones de sistema que bloqueen físicamente funciones y/o transacciones concretas.
  • Validación de datos maestros: Implementación de reglas y algoritmos que impidan la creación de proveedores con datos duplicados (mismo NIF, misma cuenta bancaria o misma dirección física que un empleado). Una práctica en expansión es el cruce automático de la base de datos de proveedores para detectar conflictos de interés.

3. Fase de operación: el factor humano y el ciclo de RR.HH.

Un modelo robusto no se sostiene solo con tecnología; requiere una operativa que entienda la psicología del defraudador y cubra áreas tradicionalmente menos atendidas, como Recursos Humanos.

El fraude en el ciclo de 'recruiting' y nómina

En sectores con alta rotación o gran volumen de plantilla (retail, construcción), el fraude en nómina es una tendencia al alza. La operación del modelo debe incluir controles periódicos sobre:

  • Empleados fantasma: Cotejo de actividad física (registros de torno, actividad en PC) frente a la lista de nómina. Si alguien cobra, pero no ficha ni se loguea, es una alerta roja.
  • Fraude en selección: Las empresas están implantando verificaciones de antecedentes más rigurosas (background checks) no solo para directivos, sino para puestos sensibles en compras y finanzas, validando que no existan relaciones preexistentes con proveedores clave.
  • Fraude en absentismo: Evolución desde la mera gestión administrativa de bajas médicas hacia el análisis predictivo de patrones, utilizando analítica de datos en sus sistemas de RR.HH. para identificar desviaciones estadísticas (como la recurrencia sistemática en días colindantes a festivos o fines de semana) y activando protocolos de verificación externa cuando se detectan indicios de actividad laboral paralela o incompatible con la incapacidad declarada.
El canal ético como herramienta de gestión

Finalmente, la operación del modelo depende de la cultura. Las estadísticas globales (ACFE) y nacionales (Encuesta de Fraude 2024, Deloitte) demuestran consistentemente que el método n.º 1 de detección de fraude en empresas operativas no es la auditoría externa, sino la denuncia interna (Whistleblowing).

Las tendencias actuales apuntan a profesionalizar la gestión de estos canales. Ya no es un buzón de sugerencias. Es un sistema gestionado por terceros independientes que garantiza el anonimato y, crucialmente, la indemnidad (protección contra represalias) del denunciante. Sin "seguridad psicológica", los controles operativos son ciegos.

Conclusión

El diseño, implantación y operación de modelos de fraude en empresas no financieras está madurando. Se está pasando de una visión legalista y reactiva a una visión operativa y basada en datos, con uso extensivo de tecnología integrada en el modelo transaccional de la empresa.

El objetivo ya no es solo "cumplir" con la normativa (Compliance), sino proteger el margen operativo. Cada euro perdido en una compra inflada, en un robo de inventario o en una nómina fantasma es un euro que se resta directamente del beneficio neto. La prevención de fraude pasa así de ser percibido como un coste, a una herramienta que protege la cifra de negocio de la entidad, y su margen. En un entorno económico incierto, la eficiencia de estos controles internos se convierte en una ventaja competitiva real.