Armando Briceño (KPMG)

Por: Armando Briceño, Director de Forensic de KPMG en Perú. 

La crisis humanitaria ocasionada por la guerra entre Rusia y Ucrania, la crisis sanitaria ocasionada por la pandemia, y la crisis política y económica que enfrentan varios países seguirán presente en el año 2022. En nuestro país, los indicadores económicos están demostrando que nuestra economía cada vez se encuentra más frágil lo cual se ve reflejado en nuestro PBI, debido a un contexto adverso que debilita la confianza empresarial, genera mayor conflictividad social y provoca severas presiones inflacionarias.

Frente a estas situaciones complejas, el empresariado peruano debe considerar todos los factores que representan las amenazas internas y externas. Según los resultados de la encuesta elaborada por KPMG “Una triple amenaza en las Américas”, relacionada con fraude, incumplimiento y ciberataques, los controles integrales de mitigación de riesgos siguen siendo escasos.

En general, aunque parece que comprenden la importancia de reforzar las defensas contra estas amenazas, solo el 24% de los encuestados, pertenecientes a la Alta Dirección de empresas con presencia en América, afirma que su negocio logra la mitad o más del estándar en lo que se refiere a ciberseguridad, el 17% en cuanto a controles de fraude; y solo el 13% en lo que respecta al incumplimiento.

Ver también:  Mes de la ciberseguridad: juice jacking, cryptojacking y más tácticas cibercriminales detectadas por Palo Alto Networks

Insuficiente

Alrededor del 65% de los encuestados espera que su gasto en ciberseguridad aumente; el 53% espera un mayor gasto en prevención del fraude y el 44% en cumplimiento. Puede verse que la mayoría de las empresas cuenta con algunos controles implementados, pero no son suficientes.

La complejidad del entorno mundial, relacionados a los escenarios de fraude, incumplimiento y ciberataques, el efecto del trabajo a distancia y las limitaciones económicas dificultan un crecimiento asertivo de estas medidas, al menos en un corto plazo.

Due Diligence

Una medida de control aplicable en este caso será la aplicación de la debida diligencia (due diligence, en inglés), que es un punto importante de atención para un oficial de cumplimiento, ya que contempla una verificación de antecedentes claves. No obstante, la mayoría de las empresas realizan una revisión de alto nivel, pero no toman en consideración la consistencia de los riesgos con las regulaciones locales. Por ejemplo, a un oficial de cumplimiento le resultaría retador revelar que los proveedores estratégicos presentan conductas irregulares para obtener ciertos privilegios en un concurso de contratación pública o privada.

Ver también:  Mes de la ciberseguridad: juice jacking, cryptojacking y más tácticas cibercriminales detectadas por Palo Alto Networks

Otra medida es el aporte del cumplimiento. El cumplimiento representa transparencia e integridad en todos los niveles de una organización e identifica todos los requisitos que las empresas deben cumplir sin excepción, de acuerdo con la normatividad peruana.

En este contexto, se sugiere realizar una evaluación de las obligaciones de cumplimiento tomando en consideración el entorno de las organizaciones y a sus grupos de interés en una ruta clara de roles y responsabilidades.

Por último, la reputación empresarial y sus esfuerzos para proteger información sensible es fundamental. La revaluación de los riesgos de fraude y cibernéticos, la verificación de los valores éticos y el reforzamiento del canal de denuncia constituyen los primeros pasos para contrarrestar cualquier situación que comprometa la reputación de las empresas.

Ver también:  Mes de la ciberseguridad: juice jacking, cryptojacking y más tácticas cibercriminales detectadas por Palo Alto Networks

En resumen, establecer un adecuado enfoque de arriba hacia abajo (topdown approach) en los líderes de las organizaciones e implementar las medidas mencionadas en los párrafos anteriores podrían evitar situaciones difíciles en el transcurso del año 2022. En este sentido, las gerencias deben evaluar sus sistemas de control interno en tiempo de crisis con un mapeo de riesgos de fraude, riesgos cibernéticos y de incumplimiento ajustado a la realidad actual.