37% 28% 27%

Suplemento México
Encuesta sobre
delitos económicos
2016
37%
Más de 1 de cada 3
organizaciones reportan
haber sido víctimas de algún
tipo de delito económico
durante los dos últimos años.
28%
Más de 1 de cada 4
organizaciones creen que
podrían ser víctimas del
Crimen Cibernético en los
próximos dos años.
27%
Las organizaciones del
sector financiero son las más
afectadas por los Delitos
Cibernéticos, ya que más de
la cuarta parte reporta haber
sido víctima de este tipo de
delito en los dos últimos años.
www.pwc.com/crimesurvey
2
Encuesta sobre delitos económicos 2016 - Suplemento México
Contenido
5
Introducción
6
Tendencias generales
14
Delitos cibernéticos
24
Ética y cumplimiento
32
Prevención de Lavado de Dinero (PLD)
38
Metodología
39
Contactos
Encuesta sobre delitos económicos 2016 - Suplemento México
3
4
Encuesta sobre delitos económicos 2016 - Suplemento México
Introducción
En México y en el mundo los delitos económicos son una
preocupación y amenaza latente para cualquier tipo de
organización.
Lo anterior es lo que nos motiva a continuar realizando
nuestra encuesta sobre delitos económicos, la cual es una de
las más completas en su género. En esta ocasión, nos
complace presentar nuestra edición 2016, en la cual
participaron más de 6,000 encuestados a nivel global y más
de 240 en México, colocándose como uno de los países con
más participación en el mundo.
Nuestra encuesta 2016 muestra que en México siguen
prevaleciendo los delitos económicos tradicionales, tales
como la malversación de activos, el soborno y la corrupción,
así como el fraude contable y el fraude en compras. Sin
embargo, en forma sorpresiva, el uso indebido de
información privilegiada se posiciona como uno de los
delitos más importantes en nuestro país, tanto en
incidencias reportadas como en expectativa de ocurrencia
en el corto plazo.
Por otra parte, las tendencias globales marcan el rumbo
hacia delitos más sofisticados. A nivel global los delitos
cibernéticos se colocan en segundo lugar de importancia;
sin embargo, aún no figuran dentro de los más relevantes en
la encuesta de México. La alta expectativa entre los
encuestados en México sobre el posible aumento de delitos
cibernéticos en el corto plazo nos lleva a reflexionar sobre el
estado de preparación que las organizaciones tienen
respecto a esta amenaza.
Por otra parte, las organizaciones en México parecen estar
conscientes del ambiente de mayor complejidad y riesgos
que prevalece actualmente. El 85% de los encuestados en
México afirmó contar un programa de cumplimiento; sin
embargo, los resultados de la encuesta también revelan
grandes oportunidades de mejora para reforzar la
efectividad de dichos programas. Por ejemplo, una de cada
cinco organizaciones no ha llevado a cabo ninguna
evaluación de riesgos, lo cual es la base de un programa
efectivo. Además, solo una de cada tres empresas cuenta
con un Oficial de Cumplimiento (Chief Compliance Officer).
Este y otros temas son algunos de los discutidos en esta
encuesta, cuyo propósito es proporcionar un panorama
sobre los delitos económicos que aquejan a las
organizaciones actualmente, como herramienta de valor y
de ayuda para una mejor preparación estratégica y de
mitigación de riesgos.
Un mejor entendimiento del panorama general de nuestro
país, puede ser de ayuda para fomentar aún más la
conciencia respecto a la importancia e impacto de los delitos
económicos, con la finalidad de impulsar una cultura de
prevención.
Esperamos que el presente documento sea de utilidad para
su organización y le sirva como punto de referencia.
Alfredo Hernández M.
Encuesta sobre delitos económicos 2016 - Suplemento México
5
Tendencias generales
Nuestra encuesta de este año
muestra que los delitos económicos
continúan evolucionando; mientras
que la efectividad de los controles
corporativos para detectarlos ha
disminuido.
La tasa de delitos económicos para México se mantuvo casi
estable en 2016 (37%), mostrando solo un ligero aumento de
un punto porcentual en comparación con la tasa reportada en
2014 (36%).
Los datos anteriores parecen indicar, a primera vista, que los
delitos económicos se han mantenido bajo control; sin
embargo, el análisis de los resultados de nuestra encuesta
global y para México, sugiere que los mismos continúan
evolucionando, mientras que los controles corporativos no lo
han hecho necesariamente al mismo ritmo, como se discute
más adelante.
Por ejemplo, las organizaciones en México reportaron en 2016
que el 14% de los delitos económicos fue detectado por mero
accidente. Mientras que en la encuesta de 2014, el porcentaje
fue de tan solo 1.3%. Más aún, en 2016 solo el 48% de los
delitos económicos fue detectado a través de los controles
corporativos establecidos por las organizaciones, una baja
significativa al compararse con la tasa de detección del 54.6%
alcanzada por estos medios en 2014 para México.
Lo anterior se vuelve incluso más relevante al considerar que
los delitos económicos muestran una clara evolución hacia
formas cada vez más sofisticadas, como lo muestran los
resultados de nuestra encuesta 2016.
6
Encuesta sobre delitos económicos 2016 - Suplemento México
Evolución de la tasa reportada de delitos económicos 2016
% de los encuestados
2005
45%
42%
41%
2007
43%
46%
39%
2009
30%
51%
35%
2011
34%
40%
37%
2014
37%
36%
35%
2016
36%
37%
28%
Global
México
Latinoamérica
A continuación mostramos los resultados por tipo de delito
económico reportados para México y globales en 2016.
La malversación de activos y la corrupción y el soborno se
mantienen en los primeros lugares de delitos económicos
reportados en México en 2016, lo cual es consistente con los
resultados mostrados en años anteriores. Debido a que la
malversación de activos es el delito más frecuente, las
organizaciones han mantenido de forma general una
consistencia en su combate. La malversación de activos,
comúnmente incluye el robo de inventarios, activo fijo,
efectivo y otros activos.
Por otra parte, la corrupción y el soborno continúan también
como uno de los principales delitos que aqueja a las
organizaciones en México. En 2016, aproximadamente una de
cada cinco organizaciones en México (21%) reportaron haber
sufrido al menos un incidente de este tipo en los últimos 24
meses, observando una baja respecto a 2014 (31%).
Por otra parte, aunque la tasa de corrupción y soborno
disminuyó en 2016 con relación a la reportada en 2014, este
delito sigue siendo la principal preocupación de los CEO en
México. Según nuestra 6ª Encuesta de CEO en México (2015),
el 83% de los CEO mexicanos consideran que la corrupción y
el soborno es la principal amenaza para sus negocios.
Otro dato revelador de nuestra encuesta de este año, es que
aproximadamente una de cada cuatro organizaciones creen
haber perdido oportunidades de negocio a causa de sobornos
pagados por sus competidores. Lo anterior indica que la
corrupción y el soborno es definitivamente un delito a vigilar
de cerca en México.
Por otra parte, no cabe duda que los delitos económicos
relacionados a un evento específico pueden causar pérdidas
importantes a las organizaciones; sin embargo, los delitos de
tipo sistémico, como la corrupción y el soborno, son aquellos
que más daño causan, debido a que erosionan la integridad de
los empleados, y debilitan las estructuras de control interno,
aumentado así el riesgo de pérdidas económicas, multas y
daños reputacionales, entre otros. La sección de cumplimiento
y ética aborda los resultados de nuestra encuesta sobre este
tema tan importante.
Tipos de delitos económicos 2016
Malversación
de activos
64%
21%
24%
Sobornos
y corrupción
19%
23%
Fraude en
adquisiciones
Información
privilegiada
7%
13%
11%
Otros
Fraude
en capital
humano
Antimonopolio
19%
14%
18%
Fraudes
contables
Delitos
cibernéticos
Robo de
propiedad
intelectual
76%
12%
12%
11%
32%
6%
7%
4%
4%
Espionaje
3%
2%
Fraude fiscal
2%
6%
Fraude
hipotecario
2%
Lavado
de dinero
1%
6%
11%
México
Global
Encuesta sobre delitos económicos 2016 - Suplemento México
7
Como se comenta al inicio de esta sección, los delitos
económicos tienden a evolucionar, adaptándose y
aprovechando una mayor globalización y complejidad en los
negocios, así como el rápido avance de la tecnología. Lo
anterior, se refleja en nuestra encuesta de este año, al
posicionarse en tercer lugar un delito que anteriormente no
figuraba dentro de los más importantes: el uso indebido de
información privilegiada.
En México, casi una de cada cinco organizaciones reportaron
haber sufrido al menos un incidente de uso indebido de
información privilegiada en los últimos 24 meses, siendo en su
mayoría de la industria automotriz y manufacturera. Lo
anterior, nos lleva a reflexionar sobre las acciones que deben
tomar las organizaciones ante el surgimiento de esta nueva
amenaza. Por ejemplo, es importante que las organizaciones
tengan un inventario claro de la información que se considere
confidencial y estratégica para sus actividades, como punto de
partida para establecer controles de acceso y distribución de la
misma. Asimismo, es importante crear una cultura entre los
empleados y otros terceros para el manejo de información
sensible como medida preventiva, entre otras acciones a
implementar.
Nuestra encuesta reporta una disminución en la tasa de
incidencia de otros delitos tradicionales en México, como lo
son el fraude en compras y el fraude contable. El fraude en
compras se dio más frecuentemente en 2016 dentro de los
procesos de selección y contratación de proveedores.
8
Encuesta sobre delitos económicos 2016 - Suplemento México
Con relación al fraude contable, es importante destacar que el
mismo no es exclusivo de empresas listadas en alguna bolsa de
valores, ya que más de la mitad de los casos reportados
ocurrieron en empresas privadas, en donde pueden
presentarse casos de manipulación de estados financieros
para mejorar las cifras, con motivos que pueden ir desde la
obtención de créditos bancarios, presentación de información
manipulada a socios comerciales o manipulación de la
información interna que puede servir de base para determinar
algún tipo de bono de desempeño a empleados.
Por otra parte, el Crimen Cibernético merece una mención
especial. Nuestra encuesta 2016 para México reportó una tasa
de delitos cibernéticos del 11%, la misma de 2014. Sin
embargo, llama la atención que los delitos cibernéticos han
mostrado una tasa creciente a nivel global, situándose como el
segundo delito en importancia para 2016, en donde
aproximadamente una de cada tres organizaciones (32%)
indicaron haber tenido al menos un incidente de este tipo en
los últimos 24 meses. Los datos reportados nos llevan a
reflexionar si los delitos cibernéticos son menos comunes en
México que a nivel global, o si en realidad no están siendo del
todo detectados y/o reportados.
Las expectativas de delitos económicos para los próximos 24
meses en México proporcionan una mayor claridad sobre los
datos anteriores, como se muestra a continuación:
Percepciones futuras de delitos económicos en México
35%
30%
% de encuestados
25%
20%
5%
5%
5%
Fraude fiscal
Fraude hipotecario
5%
Lavado de dinero
6%
9%
10%
15%
18%
21%
27%
28%
30%
10%
35%
15%
De la preocupación de las organizaciones por delitos más
sofisticados, surge la pregunta de si los mismos están realmente
siendo más difícil de detectar, ya sea porque: a) se han vuelto más
complejos (como el crimen cibernético y el uso indebido de
información privilegiada); b) los controles corporativos se han
relajado (lo cual es consistente con la disminución en la tasa de
detección por medio de controles corporativos reportada para
México en 2016); c) las organizaciones no están siendo lo
suficientemente proactivas (por ejemplo, en 2016,
aproximadamente una de casi cada cinco organizaciones
indicaron que nunca han llevado a cabo un ejercicio de
identificación y evaluación de riesgos de fraude), o d) por una
combinación de los factores anteriores.
El entorno de negocios que actualmente estamos viviendo, así
como la sofisticación en la tecnología y la forma cada vez más
compleja en que interactúan los individuos y las organizaciones,
combinados con un enfoque reactivo y no proactivo hacia los
delitos económicos, representan quizá uno de los mayores riesgos
actuales para nuestra sociedad.
Por otra parte, el 56% de los encuestados en México cree que las
organizaciones del orden público correspondientes no cuentan
con los recursos y la capacitación adecuados para investigar y
perseguir los delitos económicos.
Antimonopolio
Robo de propiedad intelectual
Fraude contable
Fraude en capital humano
Fraude en adquisiciones
Espionaje
Sobornos y corrupción
Delitos cibernéticos
Información privilegiada
Malversación de activos
0
Mientras que la Malversación de Activos sigue siendo el delito
económico por excelencia, encontramos que en el segundo,
tercero y cuarto lugar de preocupación de los encuestados, se
encuentran el uso indebido de información privilegiada, los
delitos cibernéticos y la corrupción y el soborno,
respectivamente.
Encuesta sobre delitos económicos 2016 - Suplemento México
9
Aunque la tasa promedio de delitos económicos
reportada para México en 2016 es del 37%,
existen industrias que tradicionalmente
reportan índices mucho mayores.
Los delitos económicos son impredecibles y su grado de
detección varía de organización a organización. Sin embargo,
algunas industrias destacan por haber reportado una tasa más
alta que el promedio para México este año. La gráfica de la
izquierda muestra la tasa de delitos económicos de las
industrias más representativas de nuestra encuesta 2016.
Delitos económicos de las industrias más representativas
en nuestra encuesta
En 2016 la industria de Transportación y logística presenta
una tasa, en donde siete de cada diez organizaciones sufrieron
algún tipo de delito económico. En esta industria, la
malversación de activos es el delito más común. Por otra
parte, los delitos fueron cometidos principalmente por actores
internos.
70%
México 2016
60%
La segunda industria con la tasa más alta es la detallista, en
donde más de la mitad de los encuestados confirmaron haber
sufrido algún tipo de delito económico. En esta industria la
mayoría de las organizaciones fueron víctimas de actores
internos.
50%
40%
La tercer industria en incidencias es la Manufacturera, en
donde el 44% de las organizaciones sufrieron algún tipo de
delito económico. En esta industria, el tipo de delito más
común es la malversación de activos, perpetrado en su
mayoría por actores internos.
25%
30%
70%
55%
44%
42%
42%
40%
30%
29%
25%
25%
24%
18%
Detallistas
Industrias manufactureras
Servicios financieros
Industria automotriz
Seguros
Ingeniería y construcción
Energía, servicios públicos y minería
Servicios profesionales
Hotelería y turismo
Industria farmacéutica
Tecnología
10%
Transportación y logística
20%
0
10
Encuesta sobre delitos económicos 2016 - Suplemento México
Por otra parte, la industria de Servicios financieros continúa
mostrando tasas altas de delitos económicos, con el 42% de
incidencias para este año. El delito más común en esta
industria es la malversación de activos, y aproximadamente la
mitad de las organizaciones fueron víctimas de actores
externos. Como segundo lugar, se ubica el crimen cibernético
en donde una de cada cuatro organizaciones reportaron haber
sufrido este delito.
Otras industrias que reportaron tasas mayores que el
promedio general son la Automotriz y la de Seguros.
Los daños económicos causados por los delitos
económicos continúan siendo importantes en
2016; mientras que el daño colateral más
importante es el impacto en la moral de los
empleados.
Daño colateral México 2016
La reputación/
marca
Costo del fraude en México
Más de
US$100
millones
De 5 millones
a 100 millones
de US dólares
Precio de
las acciones
1%
1%
3%
22%
34%
26%
12%
Moral del
empleado
13%
10%
US$100 mil
a US$1 millón
21%
27%
Relaciones
de negocios
52%
Menos de
US$100 mil
6%
2014
1%
2016
14%
47%
33%
59%
Relaciones con
reguladores
4%
79%
7%
3%
2%
3%
US$1 millón a
US$5 millones
No sabe
8%
3%
56%
28%
8%
1%
66%
19%
Ninguno
Bajo
Medio
Alto
Encuesta sobre delitos económicos 2016 - Suplemento México
11
Perfil del defraudador
2014
2016
Defraudador interno 75%
64%
Defraudador externo 22%
25%
No sabe
3%
11%
Total
100%
100%
Nuestra encuesta 2016 muestra una disminución en los
actores internos como principales perpetradores de los delitos
económicos. Mientras que las incidencias de actores externos
se mantuvieron más o menos estables, es de llamar la atención
el aumento en el número de respuestas de los participantes
que indicaron no saber si el actor fue interno o externo, lo cual
podría indicar una menor atención prestada a los delitos
ocurridos.
En cuanto al perfil del defraudador típico, la encuesta de 2016
nos muestra que continúa siendo hombre, con grado
universitario, de 31 a 40 años de edad y con tres a cinco años
en la organización.
Habiendo discutido los datos generales sobre delitos
económicos de nuestra encuesta, nos enfocaremos a
continuación en tres áreas clave: Delitos Cibernéticos,
Programas de Ética y Cumplimiento y Prevención de Lavado
de Dinero (PLD). Además, comentaremos sobre algunas de las
acciones que las organizaciones pueden llevar a cabo para
adoptar medidas importantes de prevención y mitigación de
riesgos en el combate a los delitos económicos, acordes al
entorno complejo que estos temas representan en la
actualidad.
Hombre
12
Graduado
universitario
31-40 años
de edad
3-5 años en
la organización
Encuesta sobre delitos económicos 2016 - Suplemento México
Defraudador
interno
75% 64%
2014
2016
Defraudador
externo
22%
25%
2014
2016
Disminución
Aumento
puntos
porcentuales
puntos
porcentuales
11
3
Encuesta sobre delitos económicos 2016 - Suplemento México
13
Delitos cibernéticos
14
Encuesta sobre delitos económicos 2016 - Suplemento México
Delitos cibernéticos
A nivel global, los delitos cibernéticos se colocan
en el segundo lugar de importancia; sin
embargo, aún no figuran dentro de los más
relevantes en la encuesta de México.
Recientemente, los delitos económicos “tradicionales” han
empezado a evolucionar hacia formas más sofisticadas,
propiciando el aumento importante a nivel global de los delitos
cibernéticos, también conocidos como “Cybercrime”.
Según los resultados de nuestra encuesta, a nivel global los
delitos cibernéticos se colocan en el segundo lugar de delitos
económicos más reportados, principalmente debido al
impetuoso desarrollo tecnológico que actualmente se
experimenta en todo el mundo. Hoy en día existe un
componente cibernético en prácticamente todas las industrias,
lo que da pie a nuevas formas de crimen en el campo de la
tecnología.
Los criminales cibernéticos han encontrado la manera de atacar
a todo tipo de organizaciones, sin importar su industria, sector,
tamaño, madurez o ubicación geográfica, afectando incluso a
sus proveedores, clientes y otros terceros con quienes
interactúan.
En México, llama la atención que los delitos
cibernéticos no se encuentren dentro de los
primeros lugares.
Nuestra encuesta indica que los delitos cibernéticos a nivel
global aumentaron, pasando del 4to lugar en 2014 al 2º en
2016; sin embargo, en México este crimen se posiciona todavía
en el 8º lugar con una tasa de incidencia del 11%.
A pesar de la baja incidencia de delitos cibernéticos en México,
éstos son más temidos de lo que aparentan, posicionándose
como el tercer delito con más probabilidad de ocurrir en los
próximos dos años en nuestro país según los encuestados, solo
detrás de la malversación de activos y del uso indebido de
información privilegiada, superando incluso a la corrupción y el
soborno.
Por otra parte, nuestra encuesta muestra que 16% de las
organizaciones en México indicaron haber sido afectadas por
delitos cibernéticos en los últimos 2 años, otro 16% no lo sabe y
el resto (68%) contestó que no han sido afectadas por este tipo
de delitos. Es de llamar la atención que a nivel global, 26% de
las organizaciones indican haber sido afectadas por delitos
cibernéticos, una tasa mucho mayor que la de México.
Afectación por delitos cibernéticos en los últimos 2 años
en México
Decreased
16%
Sí
68%
No
16%
No sabe
Encuesta sobre delitos económicos 2016 - Suplemento México
15
Más aún, es importante mencionar que la percepción de los
riesgos asociados a delitos cibernéticos en México ha crecido.
Según nuestra encuesta, casi la mitad de las organizaciones en
México indican que su percepción de riesgo por delitos
cibernéticos aumentó en los últimos 24 meses, un crecimiento
más pronunciado (8 puntos porcentuales) con relación a 2014.
Cambio en la percepción de riesgo por delitos cibernéticos
en México
Ha incrementado
Ha disminuido
41%
35%
Datos personales, una consideración cuando
ocurre una vulneración de seguridad en las
organizaciones.
49%
Una consideración a efectuar cuando se ha comprometido
información de terceros en poder de una organización, es el
curso de acción definido en nuestras leyes. En el caso de la Ley
Federal de Protección de Datos Personales en Posesión de los
Particulares, dentro de los “Principios de Protección de Datos
Personales”, artículo 20, se establece que:
6%
12%
8%
46%
47%
Ha permancedio igual
2016
2014
57%
2011
Considerando lo anterior, vale la pena reflexionar sobre los
contrastes importantes que muestran las respuestas de los
encuestados en México. Por una parte, se puede observar en
México una baja tasa de delitos cibernéticos reportados (11%),
pero por la otra, una alta preocupación de que los mismos
ocurrirán en los próximos dos años. Más aún, la tasa de delitos
cibernéticos reportada a nivel global es del 32%, es decir,
mucho más alta que la de México.
Debido a lo anterior, podría pensarse que no todos los delitos
cibernéticos pudieran estar siendo detectados en México o
podría ser que la organizaciones no están reportando los
delitos de este tipo que han sufrido. En este sentido, es
importante mencionar que el marco regulatorio para
protección de datos es relativamente nuevo, por lo que
conforme madure, podría influir en un mayor número de
casos que se conozcan y reporten.
16
Encuesta sobre delitos económicos 2016 - Suplemento México
“Las vulneraciones de seguridad ocurridas en cualquier fase
del tratamiento que afecten de forma significativa los derechos
patrimoniales o morales de los titulares, serán informadas de
forma inmediata por el responsable al titular, a fin de que este
último pueda tomar las medidas correspondientes a la defensa
de sus derechos.”
De manera más detallada, el Reglamento de la Ley Federal de
Protección de Datos Personales en Posesión de los
Particulares, establece criterios específicos de información en
sus artículos 64, 65 y 66, respecto de las notificaciones de
vulneraciones de seguridad que las organizaciones deben de
llevar acabo.
Delitos cibernéticos
Las pérdidas por delitos cibernéticos continúan
siendo importantes.
Nuestra encuesta para México revela que en términos
financieros, más de la mitad de las organizaciones que
sufrieron delitos cibernéticos reportaron haber sufrido
pérdidas en los últimos 2 años de hasta Dls. $100,000. Por otra
parte, el 6% reporta pérdidas que superan el millón de dólares
estadounidenses, muy cercano al 7% reportado a nivel global.
“Amenazas Persistentes Avanzadas”
Otro factor importante que aumenta la incertidumbre de
haber sido o no víctima de Delitos Cibernéticos, es un tipo de
ataque que preocupa a los profesionales de la seguridad de la
información, conocido como “Amenazas Persistentes
Avanzadas” (“Advanced Persistent Threat” o APTs por sus
siglas en inglés).
Las APTs son campañas de ataques cibernéticos, generalmente
dirigidos a una organización en particular y financiado por
gobiernos o grandes organizaciones criminales, que se
caracterizan por su dificultad en ser detectadas.
Las APTs utilizan diferentes fases de ataque, métodos y
técnicas de evasión y ocultación. Su misión principal es
permanecer “invisibles” o no identificadas por periodos de
tiempo relativamente largos y así permitir a los atacantes
recopilar información sobre su víctima. Debido a la naturaleza
y al alcance global de este tipo de ataques, las empresas
mexicanas no están exentas de este riesgo.
Aunque no todas las organizaciones son objeto de ataque de
las APTs, es de gran valor conocer la naturaleza de las mismas,
y aprovechar dicho conocimiento para construir sistemas y
procedimientos más robustos para proteger la información de
las organizaciones.
Pérdidas por delitos cibernéticos en México
No ha habido pérdidas
18%
29%
De 1 a < 50,000 USD
26%
De 50,000 a < 100,000 USD
De 100,000 a < 1 millón USD
5%
De 1 millón a < 5 millones USD
3%
De 5 millones a < 100 millones USD
3%
No sabe
16%
Los números mostrados en la gráfica de arriba dejan claro que
al igual que en otros países, en México ocurren este tipo de
incidentes, y que implican daños importantes a la imagen y
finanzas de las empresas, y en el peor de los casos, también
llegan a afectar a los clientes y otros terceros con quienes
interactúan las organizaciones, los cuales, en su mayoría, se
enteran del robo de datos a través de terceros, incluyendo los
noticieros, redes sociales, o incluso a través de los mismos
datos que son filtrados a través de Internet.
Encuesta sobre delitos económicos 2016 - Suplemento México
17
18
Encuesta sobre delitos económicos 2016 - Suplemento México
3%
Medio
Ninguno
44%
38%
64%
No sé
12%
6% 9%
Robo de propiedad intelectual,
incluyendo robo de datos
6%
Interrupción del servicio
21%
26%
22%
6%
Riesgos regulatorios
34%
38%
16%
9%
Costos jurídicos, de inversión
o de cumplimiento
17%
Pérdida o robo de información
de identificación personal
9% 11%
29%
9%
20%
Daño reputacional
Alto
Bajo
51%
40%
34%
11%
9%
3%
3%
9%
24%
Pérdida financiera real
9%
Es importante destacar que el daño reputacional puede ser
incluso mayor que el financiero, ya que la imagen negativa de
un ataque cibernético puede influir en la capacidad de las
organizaciones para continuar haciendo negocios con otras
entidades, así como la pérdida de confianza de los clientes,
entre otros daños.
29%
Según nuestra encuesta, las pérdidas financieras reales son las
que más impactan a las organizaciones mexicanas, ya que casi
una de cada cuatro organizaciones indicaron que este tipo de
daño es el más importante. En segundo lugar, las
organizaciones mexicanas reportaron al daño reputacional
como el más importante, el cual fue mencionado por 1 de cada
5 organizaciones.
Tipos de daños por delitos cibernéticos en México
29%
El tipo de pérdida más importante por delitos
cibernéticos es la financiera.
Delitos cibernéticos
Estado de preparación
La capacidad de una organización para afrontar incidentes
cibernéticos radica en el estado de preparación que esta tenga,
el cual implica integrar medidas de seguridad y procesos a
través de todos los sistemas e infraestructura de la
organización. En este sentido, la preparación inicia, desde
luego, con el involucramiento de la alta administración.
No obstante, menos de la mitad de las organizaciones
mexicanas (44%), indican que los miembros del Consejo de
Administración están al tanto del estado de preparación de
sus organizaciones para afrontar estos incidentes, revisándolo
periódicamente, ya sea de forma mensual, trimestral o anual.
Información a la alta administración sobre el estado
de preparación en crímenes cibernéticos
Mensualmente
12%
Trimestralmente
22%
Anualmente
10%
Los miembros del Consejo
de Administración no solicitan
esta información
23%
Los miembros del Consejo
de Administración no
lo consideran necesario
Otro
No sabe
Por otra parte, una de cada tres organizaciones indicaron que
el Consejo de Administración no solicita información o no cree
necesario saber el estado de preparación de la organización
ante posibles ataques cibernéticos.
Lo anterior es sumamente preocupante, ya que el no tener
claro un estado de preparación ante un ataque cibernético,
implica no comprender sus impactos e incluso desconocer si la
organización está lista para continuar su operación después de
un incidente.
Hoy en día, conocer el estado de preparación es fundamental
para la continuidad de las operaciones, ya que, derivado del
aumento de negocios que utilizan internet como medio para
transferir recursos económicos (dinero, valores, etc.) y al
aumento en el intercambio de datos, entre ellos información
confidencial, los incidentes de seguridad informática son más
comunes de lo que se cree.
El tener claro un estado de preparación tiene ventajas directas
evidentes, tales como conocer la rapidez con la que una
organización puede identificar, analizar y responder a un
incidente, limitando el impacto y minimizando los costos de
recuperación. Además de proteger y mantener la reputación
de la organización, un buen estado de preparación demuestra
la importancia que ésta da a sus políticas y procesos de
seguridad de la información.
10%
2%
21%
Encuesta sobre delitos económicos 2016 - Suplemento México
19
Plan de respuesta ante incidentes
Equipo de primera intervención
Similar a la situación global, tan solo el 36% de las empresas
nacionales encuestadas cuentan con un plan de respuesta en
operación ante posibles ataques cibernéticos, siendo las
industrias de servicios financieros y manufactura las más
fortalecidas en este aspecto. Por otra parte, el 18% de las
organizaciones cuentan con un plan, pero este aún no se
encuentra implementado por completo y un alarmante 46%
no cuenta con plan alguno o desconoce si existe.
Dado que aún la infraestructura tecnológica más segura no
puede garantizar que nunca ocurrirán incidentes de seguridad,
las empresas deben contar con un equipo que responda de
manera efectiva ante la materialización de algún ataque
informático. El equipo de primera intervención es la primera
línea de respuesta ante este tipo de eventos e, idealmente debe
estar formado no solamente por personal de tecnología de la
información (TI), sino también por especialistas de diferentes
disciplinas y áreas de la organización, tales como consultores
legales, especialistas en tecnología forense, recursos humanos,
relaciones públicas y ejecutivos de la alta administración. El
conocimiento y la participación activa de la alta administración
son de suma importancia, ya que ayudarán a la correcta toma
de decisiones y a integrar la respuesta a un incidente a través de
todas las áreas de la compañía.
¿Cuenta con un plan de respuesta ante posibles ataques
cibernéticos?
Sí, el plan es
totalmente operativo
12%
Sí, pero todavía no
se ha implementado
No, pero estamos valorando
en este momento la viabilidad
de la implementación
de dicho plan
No, ni lo tenemos
ni tenemos previsto
implementar dicho plan
No sabe
36%
18%
14%
En las organizaciones mexicanas encuestadas, el equipo de
primera intervención ante incidentes cibernéticos se conforma
principalmente por especialistas en seguridad de TI (72%) y
personal de tecnología con conocimiento del entorno
cibernético de la organización (64%). Estos porcentajes se
asemejan mucho a la situación global.
En México existe una participación más alta de consultores
legales en este equipo (33%) que de la alta administración,
(20%). Esto contrasta con la tendencia global de contar cada
vez más una mayor participación de la alta administración, la
cual nos reporta un 46% para 2016.
12%
20%
Personas involucradas en primeras intervenciones
de ataques cibernéticos
Especialistas en
seguridad de TI
72%
Personal de TI con
conocimientos del entorno
de TI nuestra entidad/
organización
65%
Alta administración
20%
Consultores legales
33%
Representante de
recursos humanos
Especialistas en
tecnología forense
Otros
20
Encuesta sobre delitos económicos 2016 - Suplemento México
13%
5%
3%
Delitos cibernéticos
Por otra parte el actor principal en el equipo de primera
intervención en México es actualmente el personal de TI/
Seguridad de TI. Si bien estos especialistas tienen un papel
fundamental en la detección y la mitigación un ataque,
debemos destacar que solo existe un 5% de participación de
especialistas en tecnología forense, en comparación con 11%
en los resultados globales.
Los especialistas en tecnología forense desempeñan un papel
fundamental en un plan de respuesta a incidentes, ya que,
entre otras tareas, se encargan de preservar y analizar
evidencia electrónica, útil para comprender los hechos que
llevaron a la materialización del incidente. Incluso, siguiendo
una metodología profesional, el proceso y resultados de estas
investigaciones pueden ser presentados como evidencia en
procesos legales. Aunque el equipo de seguridad de TI pueda
ayudar a contener un ataque, es muy probable que el incidente
vuelva a presentarse si se desconoce su origen y no se realiza
una investigación forense de lo sucedido.
Una investigación profunda desde que ocurre un ataque, o
incluso cuando hay sospechas de alguno, es altamente
recomendable como parte del protocolo de respuesta. Esto
ayudará a que el plan de acción no solo se limite a detener el
ataque sino que permita ir más allá para determinar su origen
y naturaleza. Por ejemplo, es importante responder: ¿Qué
implicaciones hay si el ataque viene de una fuente interna a la
organización (como empleados insatisfechos)? y ¿Cómo
variaría un plan de acción en comparación con un ataque
externo?
Actualmente la tecnología es un tema creciente cuyo
desconocimiento pronto no será opción. El conocimiento sobre
tecnologías de la información y tendencias de crimen
cibernético permitirá a la alta administración tener una visión
más amplia de las repercusiones negativas a su industria y le
ayudará a estar mejor preparada para afrontarlas.
Amenazas internas vs. externas
Nuestra encuesta indica que a nivel global existe una mayor
preocupación hacia actores externos como origen de posibles
ataques cibernéticos para los próximos 2 años. Por su parte, la
percepción de peligro por parte de amenazas internas ha
disminuido. Esto concuerda con el panorama global, ya que en
la mayoría de las brechas de seguridad reportadas en los
últimos años, los atacantes externos superan por mucho a los
internos. Sin embargo, debemos tener en cuenta el peligro que
supone un atacante interno con permisos legítimos en los
sistemas tecnológicos de la organización.
Expectativas de origen de las amenazas cibernéticas
en los próximos dos años
Procedencia interna
12%
9%
17%
46%
43%
48%
Procedencia externa
Procedencia tanto
interna como externa
No sabe
26%
35%
36%
7%
13%
9%
2016
2014
2011
Encuesta sobre delitos económicos 2016 - Suplemento México
21
Industrias más afectadas por delitos
cibernéticos
Delitos cibernéticos de las industrias más representativas
en nuestra encuesta
Servicios financieros
27%
Hotelería y turismo
25%
Transportación y logística
20%
Tecnología
18%
Industria automotriz
17%
Servicios profesionales
17%
Industrias manufactureras
¿Cree que las autoridades correspondientes cuentan con
capacidades y recursos adecuados para investigar delitos
cibernéticos?
20%
Sí
13%
Energía, servicios públicos
y minería
12%
Seguros
10%
Ingeniería y construcción
10%
6%
Tanto los resultados globales como los de México, muestran
que el sector financiero es el más afectado por delitos
cibernéticos. Esto no es de extrañar, ya que actualmente se
realizan millones de transacciones financieras al día desde
cualquier dispositivo que cuente con una conexión a internet,
como compras en línea, pago de servicios y transferencias
bancarias, entre otros. Esto amplía de manera natural la
exposición de este sector a los delitos cibernéticos.
Por su parte, los criminales informáticos utilizan cada vez
ataques más grandes y sofisticados, teniendo como objetivo no
solo a las entidades financieras, sino también a los usuarios de
las mismas, es decir, cualquier persona que lleve a cabo sus
operaciones bancarias a través de internet.
22
Por otra parte, cabe destacar que el 45% de las organizaciones
a nivel global creen que las instituciones públicas no cuentan
con las habilidades y recursos adecuados para investigar
incidentes relacionados con el crimen cibernético. En México,
el 57% de los encuestados externaron esta creencia respecto a
las autoridades.
15%
Detallistas
Industria farmacéutica
En esta carrera frenética, el sector financiero se ha visto
obligado a contar también con mejores controles de seguridad,
una infraestructura más robusta y áreas especializadas en
crímenes financieros. Esta evolución necesaria podría explicar
por qué el sector financiero cuenta también con más casos
reportados/detectados en comparación con otras industrias.
Encuesta sobre delitos económicos 2016 - Suplemento México
57%
No
23%
No sabe
Delitos cibernéticos
Sin duda, los delitos cibernéticos han ido en aumento a
nivel global, sin dejar de afectar a nuestro país. Todo esto
derivado de la evolución y el crecimiento de las tecnologías
de la información, las cuales se hacen presentes cada vez
con mayor impacto en nuestras vidas y en nuestra forma de
hacer negocios.
La adopción y constante evolución del estado de
preparación para afrontar este tipo de delitos, capacitación
constante del personal de primera intervención y, sobre
todo, el involucramiento continuo de la alta
administración serán fundamentales para que los delitos
cibernéticos dejen de percibirse como un problema
puramente técnico y se consideren como una verdadera
amenaza a la estrategia de negocios. Este cambio de
enfoque ayudará a mitigar en forma importante los
impactos negativos en las organizaciones de todo el
mundo.
Encuesta sobre delitos económicos 2016 - Suplemento México
23
Ética y cumplimiento
24
Encuesta sobre delitos económicos 2016 - Suplemento México
Ética y cumplimiento
El ambiente actual de negocios se caracteriza
por enfrentar riesgos cada vez mayores, por lo
que es vital contar con una estrategia que
armonice la ética y el cumplimiento con los
objetivos organizacionales.
Los resultados de nuestro estudio muestran que los riesgos van
en aumento, tanto en impacto potencial como en complejidad.
Asimismo, el rol que juega el desarrollo acelerado de la
tecnología es también un factor a considerar.
Lo anterior no es sorpresa ante un ambiente de negocios
caracterizado por la creciente globalización, una vigilancia más
estricta por parte de los reguladores, una aplicación más severa
de sanciones y, en general, una mayor demanda por la
rendición de cuentas.
Debido a esto, la capacidad de las organizaciones para
identificar y mitigar riesgos de incumplimiento necesita
evolucionar a un ritmo acelerado. Nuestra encuesta muestra
que las organizaciones en México, en general, parecen estar
conscientes de los riesgos, ya que el 85% de los encuestados
afirmó contar con un programa formal de cumplimiento.
Como se observa en la gráfica anterior, existe una correlación
clara entre el tamaño de las organizaciones y la adopción de
programas de cumplimento por parte de las mismas; sin
embargo, es importante considerar que existen riesgos
inherentes a los que toda industria y organización está
expuesta, independientemente de su tamaño.
Como se discute más adelante, un análisis de riesgos
estructurado y bien conducido, puede eficientar de manera
importante el diseño y adopción de un programa de
cumplimiento tanto en recursos económicos, materiales y
humanos, con base en las circunstancias específicas de cada
organización, incluyendo aquellas de menor tamaño.
El contar con un programa de cumplimiento es un gran paso, y
para aprovecharlo al máximo, las organizaciones deben
asegurar que los mismos estén diseñados sobre bases sólidas.
Para ser efectivo, un programa de cumplimiento debe adoptar
un enfoque basado en riesgos, que asegure el entendimiento e
identificación de las áreas vulnerables de las organizaciones,
como punto de partida para implementar acciones adecuadas
de mitigación.
Empresas que cuentan con un programa formal de cumplimiento
por tamaño de organización
Promedio general 85%
100%
80%
100%
88%
86%
68%
60%
5,001-10,000 empleados
1,001-5,000 empleados
501-1,000 empleados
101-500 empleados
Hasta 100 empleados
20%
96%
40%
Más de 10,000 empleados
60%
0
Encuesta sobre delitos económicos 2016 - Suplemento México
25
No obstante lo anterior, nuestra encuesta de este año revela que
una de cada cinco organizaciones (21%) en México, no ha
llevado a cabo ninguna evaluación de riesgos en los últimos 24
meses, lo cual representa un aumento de dos puntos
porcentuales con relación a nuestra encuesta 2014. Esta
situación definitivamente no contribuye a asegurar la
efectividad de los programas de cumplimiento, dejando
expuestas a cierto número de organizaciones.
Análisis de riesgo efectuado por tamaño de organización
Promedio de organizaciones que no han
hecho un análisis de riesgos 21%
26
67%
48%
En una ocasión
Periódicamente
(Cada 3 meses,
cada 6 meses,
cada año o con
otra periodicidad)
Más de 10,000 empleados
19%
6% 8%
10% 5%
38%
5,001-10,000 empleados
56%
8%
12%
1,001-5,000 empleados
24%
7%
10%
501-1,000 empleados
21%
101-500 empleados
Hasta 100 empleados
13%
28%
24%
45%
10%
55%
45%
Nunca
10%
32%
No sabe
Encuesta sobre delitos económicos 2016 - Suplemento México
Por otra parte, es también muy importante que todos los
miembros de una organización, y no solo los del área de
cumplimiento, entiendan sus roles y responsabilidades para
asegurar la efectividad del programa. Sin embargo, un
sinnúmero de organizaciones exhiben cierto grado de
confusión acerca de quién tiene la responsabilidad de la función
de cumplimiento y que representa dicha responsabilidad.
Sin duda, toda la organización necesita estar trabajando de
manera conjunta hacia una meta común en temas de
cumplimiento, teniendo un rol preponderante las gerencias y
otros mandos medios, que por la naturaleza de sus funciones,
son las mejor posicionadas para entender e identificar los
riesgos y calibrar la magnitud de los mismos. Por otra parte, los
principales roles de la función de cumplimiento, deben ser la
coordinación, supervisión y orientación del programa.
Contar con un profesional de tiempo completo, un Comité de
Cumplimiento y un equipo de cumplimiento multifuncional que
monitoree los riesgos del negocio y ética en toda la
organización, se ha vuelto de vital importancia para hacer del
cumplimiento un compromiso y una realidad.
Ética y cumplimiento
No obstante lo anterior, solo 1 de cada 3 organizaciones en
México (34%), indican contar con un Director/Oficial de
Cumplimiento dedicado 100% al programa, siendo en su
mayoría las más grandes, pero incluyendo también a
organizaciones de todos tamaños.
Responsable del programa de cumplimiento México por tamaño
de organización
Otros (Chief Audit Executive,Chief Financial Officer,
General Counsel, Director de Recursos Humanos, etc.)
Como se observa en la gráfica anterior, una gran parte de las
organizaciones tienen como responsables de los programas de
cumplimiento a ejecutivos de otras áreas, incluyendo al
Director General, Director Financiero, Director de Recursos
Humanos, Director Legal y el Auditor Interno, entre otros.
Ciertamente, las circunstancias específicas de cada
organización varían ampliamente; sin embargo, es importante
que exista un balance adecuado entre el tiempo y recursos
dedicados a las tareas de cumplimiento por una parte, y por la
otra, la complejidad, importancia y cantidad de riesgos que las
organizaciones enfrentan.
33%
Hasta 100 empleados
67%
21%
101-500 empleados
79%
17%
501-1,000 empleados
83%
29%
1,001-5,000 empleados
71%
33%
5,001-10,000 empleados
67%
46%
Más de 10,000 empleados
54%
Oficial de Cumplimiento
Encuesta sobre delitos económicos 2016 - Suplemento México
27
Identificar y evaluar la naturaleza y magnitud de los riesgos, así
como dedicar los recursos adecuados, es esencial para diseñar
medidas de prevención adecuadas, que a su vez apoyen de
forma efectiva y eficiente el logro de los objetivos de negocio.
Pero, ¿Qué tan expuestas están las organizaciones que operan
en México? En este sentido, es importante recordar los casos
públicos de potencial corrupción que han involucrado a
organizaciones multinacionales, mismas que cuentan con
programas de ética y cumplimiento robustos y maduros.
Lo anterior, nos lleva a reflexionar si los casos antes
mencionados pudieran ser un indicio de que aún los programas
de cumplimiento más maduros no están a la altura de la
complejidad y constante evolución de riesgos; o si los mensajes
enviados por la alta administración no son captados claramente
por los miembros de las organizaciones; o si los mismos están
siendo contradictorios. Para abordar estos temas, nuestra
encuesta abordó la percepción que tienen las organizaciones
sobre los programas de cumplimiento, como se muestra a
continuación.
Percepción sobre los programas de Ética y Cumplimiento
Las inquietudes se pueden comunicar de forma confidencial, sin miedo
a represalias,y las respuestas se reciben a su debido tiempo
Con independencia del nivel, rol, departamento o ubicación, las sanciones
y los procedimientos disciplinarios se aplican de forma coherente
Con independencia del nivel, rol, departamento o ubicación,
las recompensas son justas y coherentes
Se ofrece capacitación regular sobre el código de conducta (así como políticas
de soporte), junto con comunicaciones regulares y varios canales de asesoramiento
34%
41%
29%
40%
27%
36%
Existen canales confidenciales para presentar inquietudes (incluyendo
una política y un procedimiento de canal de denuncias establecido)
50%
Existe un código de conducta que cubre las principales áreas y políticas
de riesgos y establece los valores organizacionales y los comportamientos
esperados en todas las personas de la organización
Totalmente de acuerdo
De acuerdo
Neutral
En desacuerdo
22%
54%
49%
58%
8%
4%
7%5%
4%
15% 7%
39%
49%
Los valores organizacionales están bien establecidos y son bien entendidos
19%
39%
Los líderes y directivos comunican la importancia de la conducta empresarial ética
mediante todo lo que hacen, dando buen ejemplo y tratándolo como una prioridad
La conducta empresarial ética es un componente clave de nuestros
procedimientos de recursos humanos, incluyendo objetivos,
promoción, recompensa, reconocimiento y disciplinarios
16% 4%5%
39%
29%
9%
4%
9% 7% 5%
33%
41%
32%
9%
4%
2%
8%
2%
4%5%
Totalmente en desacuerdo
Lo anterior, indica que existe una percepción positiva, en
general, sobre los programas de cumplimiento; sin embargo,
existen áreas de mejora, sobre todo por aquellos factores
en los que los participantes mostraron una tasa más alta de
desacuerdo.
28
Encuesta sobre delitos económicos 2016 - Suplemento México
Ética y cumplimiento
Percepción de la corrupción
Como parte de nuestra encuesta, indagamos también acerca
de la percepción que las organizaciones tienen sobre la
postura que toma la alta administración ante la corrupción,
obteniendo los siguientes resultados.
Percepción sobre la posición de la alta administración ante la corrupción
Considera que el soborno
no es una práctica legítima
86%
46%
Prefería no llevar a cabo un negocio
en lugar de incurrir en soborno
89%
Esperan que el gobierno adopte una postura
imparcial en cuanto a la aplicación
de leyes anticorrupción
78%
Respaldan firmemente
las directrices corporativas
90%
8%
Adoptan una postura pública
contra la corrupción
89%
7%
Esperan que sus socios comerciales adopten
una postura firme contra la corrupción
89%
9%
De acuerdo y totalmente de acuerdo
6% 8%
5% 6%
15%
Ni de acuerdo ni en desacuerdo
7%
2%
4%
2%
En desacuerdo y totalmente en desacuerdo
Como puede observarse, la gran mayoría de las respuestas son
positivas en el sentido de que se percibe el respaldo de la alta
administración en el combate a la corrupción; sin embargo, es
de llamar la atención que cierto porcentaje de encuestados
(entre el 2% y el 8%) está en desacuerdo o totalmente en
desacuerdo, en percepción, con este tema. Más aún, sumando
aquellos encuestados que mantienen una posición neutral, los
porcentajes que no afirman estar de acuerdo con estos temas
varían entre el 10% y el 22%.
El contar con programas de cumplimiento efectivos, cobra aún
mayor relevancia en México, en donde el riesgo de corrupción
es muy alto y se encuentra latente en todos los sectores de la
economía. Para fortalecer sus programas de cumplimiento, las
organizaciones en México deben de obtener un buen
entendimiento de las tendencias y esquemas de corrupción en
el país, su industria, y su ámbito específico de operaciones,
para poder implementar controles adecuados que les permitan
mitigar dichos riesgos.
Los porcentajes de las respuestas no favorables parecerían no
ser tan relevantes a primera vista; sin embargo, este es un
tema de reflexión y un área de oportunidad para reforzar los
mensajes de la alta administración en las organizaciones y
más aún, para asegurar que se actúa en forma congruente y en
línea con dichos mensajes. El nivel de respuesta de desacuerdo
que muestran los resultados de México aquí mostrados, es
ligeramente mayor a los resultados globales.
Un buen termómetro de los esquemas de corrupción en el país
lo representan los casos de resoluciones de FCPA1 por los
últimos 15 años que involucran a organizaciones operando en
México, como se muestra a continuación.
1
Foreign Corrupt Practices Act en inglés o Ley de Prácticas Corruptas en el Extranjero, originaria de Estados Unidos
Encuesta sobre delitos económicos 2016 - Suplemento México
29
Esquemas de corrupción comunes en México
67%
Pagos indirectos,
a través de socios
comerciales
25%
Deficiencias
en los controles
de tesorería
para monitorear
el destino final
de fondos
Proveedores
ficticios/
facturas falsas
17%
Principales
esquemas
17%
Pagos indebidos
a través de nómina
Sobreprecio/
soborno
25%
Regalos, viajes
y entretenimiento
indebidos
25%
Fuente: Análisis de PwC con base en las resoluciones públicas sobre casos de FCPA involucrando empresas en México por los últimos 15 años.
30
Encuesta sobre delitos económicos 2016 - Suplemento México
Ética y cumplimiento
Como se muestra en la gráfica anterior, un gran número de
casos de corrupción se lleva a cabo a través de socios
comerciales, de ahí la gran importancia de tener un proceso
sólido para la gestión de relaciones, evaluación, aceptación y
monitoreo de terceros desde una perspectiva de integridad y
anticorrupción.
Pero, ¿Cómo garantizar que su programa de cumplimiento se
ajuste a sus necesidades?
A continuación hay cuatro áreas clave enfocadas a aumentar
la efectividad de los programas de ética y cumplimiento:
• Gente y cultura. Mantener un programa basado en valores,
fomentando comportamientos deseados y mostrando
congruencia de las acciones con los mensajes de la alta
administración.
• Roles y responsabilidades. Asegurándose que han sido
correctamente alineados con los riesgos actuales y que se
dedican recursos adecuados y dedicados al programa.
• Áreas de alto riesgo. Adoptar un enfoque basado en
riesgos, que ayude a un mejor diseño, implementación y
evaluación de los programas.
• Tecnología. Mejorar el uso de herramientas de detección y
prevención, incluyendo el análisis de grandes cantidades
de datos estructurados y no estructurados.
Si bien existen cada vez mayores riesgos y mayor vigilancia,
existe también una manera de proteger mejor a las
organizaciones y a sus ejecutivos ante dichas circunstancias.
Esto mediante un programa de cumplimiento efectivo
soportado con análisis de riesgos enfocado a la particularidad
de cada organización e industria. Lo anterior deberá incluir un
equipo dedicado a dicho programa que se encargue, entre
otras tareas, de comunicar y alinear la percepción y
compromiso en todos los niveles de la organización.
Encuesta sobre delitos económicos 2016 - Suplemento México
31
Prevención de Lavado
de Dinero (PLD)
32
Encuesta sobre delitos económicos 2016 - Suplemento México
La globalización económica ha brindado diversos beneficios,
permitiendo mayor comunicación y crecimiento internacional;
sin embargo, el crimen organizado ha aprovechado también
dichas condiciones para crecer y fortalecerse.
A nivel global, las organizaciones reportaron en 2016 una tasa
promedio de incidencias de Lavado de Dinero, por todas las
industrias, del 11%; prácticamente la misma reportada en 2014.
Por su parte, las tasas promedio reportadas para México son
aún insignificantes, al situarse en 1%, tanto para 2016 como
para 2014 por todas las industrias.
Aún y cuando las incidencias reportadas parecieran ser
menores, es importante destacar que el ambiente regulatorio
actual se ha intensificado, abarcando ahora a diversos sectores
económicos, además del Sector Financiero, con la inclusión de
actividades denominadas “vulnerables”. Asimismo, las
regulaciones han impulsado en forma importante las revisiones
y otras acciones de cumplimiento por parte de la autoridad.
Nuestro estudio muestra que el nivel de cumplimiento
requerido por las regulaciones de PLD y para el combate contra
el Financiamiento al Terrorismo (FT), ha generado desafíos
importantes para las organizaciones, incluso para instituciones
financieras con mayor grado de sofisticación en este tema.
Esta sección se basa en las preguntas específicas sobre PLD
dirigidas a las organizaciones del Sector Financiero que
participaron en nuestra encuesta.
Como punto de partida, nuestra encuesta abordó los retos
generales más importantes que las organizaciones enfrentan en
con relación al cumplimiento de las regulaciones en México en
materia de PLD, como se muestra a continuación.
Retos más importantes con relación al cumplimiento
de los requerimientos de PLD
Requerimientos
tecnológicos
16%
Avance en los
cambios regulatorios
16%
Impacto negativo
en los clientes
16%
Limitaciones por privacidad
de datos en información
a compartir entre jurisdicciones
12%
Cumplimiento de requerimientos
de PLD en varias jurisdicciones
12%
Complejidad en la forma
de hacer negocios en industrias
emergentes (moneda virtual,
monedero virtual, etc.)
12%
Costos
8%
Habilidad para contratar
personal experimentado
en PLD
4%
Otros
4%
Los encuestados reportaron que los retos más importantes son
los requerimientos tecnológicos, el avance en los cambios
regulatorios y el impacto negativo en clientes, todos estos con
un 16%.
Encuesta sobre delitos económicos 2016 - Suplemento México
33
Prevención de Lavado de Dinero (PLD)
Este año, nuestra encuesta analiza algunos aspectos relevantes
con respecto a la Prevención de Lavado de Dinero (PLD). Como
bien se sabe, el lavado de dinero es uno de los delitos sistémicos
que más valor destruyen en las organizaciones, erosionando el
sistema económico y facilitando actividades ilícitas, tales como
la corrupción, el terrorismo, la evasión de impuestos, el
narcotráfico y la trata de personas, entre otras. Sin duda
alguna, este delito representa una de las mayores amenazas de
nuestro tiempo.
Requerimientos tecnológicos
En México los dos retos clave que enfrentan la mayoría de las
organizaciones en cuanto a sistemas tecnológicos de PLD son:
i) la calidad de datos y mantenimiento de la información de
clientes en formato electrónico, y ii) la complejidad en la
implementación/actualización de sistemas. Estos dos retos
concentran el 60% de las respuestas de nuestros encuestados
con relación al aspecto tecnológico.
Retos más importantes de sistemas en PLD
Calidad de los datos
y mantenimiento de información
de clientes en formato electrónico
32%
Complejidad en la implementación/
actualización de sistemas
28%
Sistemas de monitoreo
generando una gran cantidad
de falsos positivos
24%
Limitaciones por privacidad
de datos en información
a compartir entre jurisdicciones
8%
Otros
8%
Si bien es cierto que el avance de la tecnología ha puesto a
disposición de las organizaciones sistemas de información
más sofisticados, la calidad de los datos representa a menudo
un reto importante para obtener los resultados deseados.
Según nuestros encuestados, este es el principal desafío a
superar, lo cual también puede estar incidiendo en la gran
cantidad de falsos positivos que actualmente arrojan los
análisis llevados a cabo en este ámbito, como se muestra en la
gráfica de la izquierda.
Con el avance acelerado de las redes de comunicación, los
desarrollos tecnológicos y el rápido crecimiento en el uso de
las redes sociales, las organizaciones cuentan hoy con un
mayor número de herramientas que les permiten diversificar
su operación y atraer nuevos clientes.
Otro reto importante al que actualmente se enfrentan las
organizaciones, es el dinamismo en la toma de decisiones al
incorporar sistemas tecnológicos que se adapten fácilmente a
su infraestructura, brinden seguridad y sobre todo mantengan
funcionalidades que permitan cumplir con sus políticas, como
la Identificación y Conocimiento del Cliente (Know Your
Customer o KYC por sus siglas en inglés), permitiendo la
detección y cruce de información, y garantizando la calidad en
el sistema de gestión de alertas.
Las normas de nuestro país en esta materia establecen, entre
otras, la obligación para las instituciones financieras de contar
con un sistema de PLD. Asimismo, empresas no financieras
que realizan operaciones definidas como “vulnerables”, deben
dar seguimiento especial a la identificación de sus clientes y al
reporte de operaciones, considerando periodos acumulados en
algunos casos.
Debido a que las inversiones en los sistemas de información
pueden ser cuantiosas, las organizaciones deben buscar
beneficios que vayan más allá del cumplimiento de los
programas de PLD, incluyendo el fortalecimiento de otros
programas, como el de prevención de fraude y el de
prevención de soborno y corrupción, en donde se pueden crear
sinergias importantes.
34
Encuesta sobre delitos económicos 2016 - Suplemento México
Inspecciones de la autoridad
De igual forma, un desafío relevante que reportaron las
organizaciones en México en materia de PLD es el avance en
los cambios regulatorios (16%).
Otro de los efectos del avance de las regulaciones, es un
aumento en las inspecciones por parte de las autoridades
correspondientes. Según nuestra encuesta, el 52% de las
organizaciones en México han sido sometidas a algún tipo de
inspección en los últimos 2 años y un 8% por ciento recibió
observaciones relevantes, como se muestra a continuación:
Un entorno como el actual provoca reacciones en los diversos
participantes de la economía. Regulaciones relacionadas con
transparencia, protección de datos, temas de riesgo operativo,
por mencionar algunas, han generado lo que muchos
denominan una “avalancha regulatoria”, que se hace aún más
intensa en el Sector Financiero.
En un periodo muy corto de tiempo, las entidades financieras
deben hacer frente a diversas regulaciones de importante
magnitud, mismas que mantienen un componente
multidisciplinario en su estructura, afectando aspectos clave
en toda la organización, como lo son estrategia, gobierno
corporativo, procesos, TI, gestión de clientes, etc.
En definitiva, el ritmo de avance en la regulación pone a
prueba a las organizaciones para estructurar un mapa
regulatorio que desde un enfoque global, permita convertir
esta “avalancha regulatoria” en una ventaja competitiva.
Posible impacto negativo en los clientes
Sin duda alguna, el avance en materia de PLD ha impactado
en los requerimientos que las organizaciones sujetas a dichas
regulaciones han impuesto a sus clientes. En México, éste es
uno de los retos identificados como los más importantes,
según los resultados de nuestra encuesta. Sin embargo, los
requerimientos más estrictos son necesarios para proteger la
reputación de las entidades y la integridad de los sistemas, al
reducir la probabilidad de que las mismas se conviertan en un
vehículo o en una víctima del crimen financiero.
Inspecciones por parte de las autoridades por los últimos dos años
No hemos tenido ninguna
inspección de las autoridades
en los últimos dos años
40%
Sí hemos tenido alguna inspección
de las autoridades en los últimos
dos años, pero no recibimos
observaciones importantes
Sí, estamos o estuvimos
en programa de remediación
obligatorio
32%
12%
Sí, hemos tenido alguna inspección
de las autoridades en los últimos
dos años y recibimos observaciones
importantes
8%
No sabe
8%
Un área sumamente importante que las organizaciones deben
observar con cuidado, es el adecuado control de la
identificación y conocimiento del cliente, así como la
conformación y actualización de expedientes de identificación.
Establecer un equilibrio adecuado entre el cumplimiento con
la creación de nuevos negocios y apalancar el crecimiento,
resulta vital en nuestros días.
Encuesta sobre delitos económicos 2016 - Suplemento México
35
Prevención de Lavado de Dinero (PLD)
Avance en los cambios regulatorios
Los reguladores de igual forma han adoptado un enfoque con
base en riesgos para supervisar la adecuada gestión de las
entidades en materia de PLD. Este enfoque requiere que los
reguladores:
• Desarrollen un conocimiento exhaustivo de los riesgos y de
su potencial impacto en las entidades supervisadas.
• Estimen la suficiencia de la evaluación de riesgos de la
institución, en función de la evaluación de riesgos
nacional.
• Evalúen los riesgos presentes en la organización
supervisada para conocer la naturaleza y el alcance de los
riesgos en su base de clientes, entre otros.
• Evalúen la suficiencia y eficacia de la aplicación de los
controles diseñados por las organizaciones para cumplir
sus obligaciones y la mitigación de riesgos.
• Utilicen esa información para asignar recursos,
dimensionar las revisiones e identificar la experiencia y
destrezas que los supervisores necesiten para realizar un
examen eficaz.
Gente y procesos
Otro factor clave en PLD es contar con profesionales
experimentados en el tema, por lo que no es sorpresa que a
nivel global, casi una de cada cinco organizaciones indicaron
que éste el mayor desafío en la materia, colocándose como el
segundo factor en importancia en cuanto a los mayores retos de
PLD, solo detrás del avance en la regulación. No obstante lo
anterior, en México únicamente el 4% de las organizaciones
señalan que la contratación de profesionistas experimentados
en PLD es el mayor desafío.
Actualmente se han emitido en México disposiciones de
carácter general para la certificación de auditores externos
independientes, oficiales de cumplimiento y demás
profesionales en materia de Prevención de Operaciones con
Recursos de Procedencia Ilícita y Financiamiento al Terrorismo
(Certificación PLD).
Lo anterior nos hace reflexionar si el factor gente se volverá de
gran importancia en México en el corto o mediano plazo, en
línea con la tendencia global y una vez que las organizaciones
logren tener un mayor avance en los temas tecnológicos,
mismos que ahora son el mayor reto en materia de PLD, según
nuestra encuesta. Sin duda alguna, la captación de experiencia
y talento en PLD será vital para que las organizaciones
naveguen exitosamente el ambiente de complejidad y evolución
de este tipo de delito.
36
Encuesta sobre delitos económicos 2016 - Suplemento México
Evaluación de riesgos
Uno de los pilares para el desarrollo e implementación efectiva
de un programa de PLD es la evaluación de riesgos. En México,
el 84% de las organizaciones confirmaron haber efectuado una
evaluación de riesgos de lavado de dinero, muy por encima del
porcentaje a nivel global del 74%.
Sin embargo, llama la atención el hecho de que un 16% de las
organizaciones no ha efectuado una evaluación de riesgos o no
sabe si se ha hecho alguna. Es decir, casi una de cada seis
organizaciones financieras en nuestro país pudiera estar
desprotegida en este aspecto.
¿Ha llevado a cabo una evaluación de riesgos
de lavado de dinero?
84%
Sí
No sabe
8%
No, pero planeamos hacerlo
durante el próximo año
4%
No, no creemos
que sea necesario
4%
Las evaluaciones de riesgo son críticas. Durante los últimos
años, el aumento en los controles de lavado de dinero
implementados en los sistemas financieros formales, han
obligado a los delincuentes a buscar nuevas maneras de
desplazar los recursos económicos derivados de sus delitos.
Llevar a cabo evaluaciones de riesgo en forma periódica y
estructurada permite a las organizaciones identificar y
abordar las áreas de riesgo de forma más efectiva y con el
mejor uso posible de sus recursos; asímismo, les permite
entender mejor en dónde y con quien hacen negocios.
Un Enfoque Basado en Riesgo (EBR) para PLD y FT, significa
que se espera que los países, las autoridades competentes y las
instituciones financieras, deben identificar, evaluar y entender
los riesgos de lavado de dinero/FT a los que están expuestos y
adoptar las medidas para mitigarlos de manera efectiva.
Métodos de detección
La sofisticación de los delincuentes crece con el tiempo, por lo
que el lavado de dinero se ha convertido quizás en la actividad
criminal más complicada de detectar. Según nuestra encuesta,
a nivel global sólo la mitad de las actividades sospechosas de
lavado de dinero fueron identificadas por medio de sistemas de
monitoreo de transacciones. En México la tasa de detección por
este medio es únicamente de 24%. Más aún, el 36% de los
encuestados en México indica que no ha detectado ninguna
transacción sospechosa de lavado de dinero.
En resumen, por los resultados de nuestra encuesta, parece ser
que las organizaciones en México están solventando en primer
lugar aspectos tecnológicos que les ayuden cumplir los cada vez
más demandantes requerimientos regulatorios en materia de
PLD; sin embargo, cabe la pregunta de si el mayor tema a
resolver en México en el corto o mediano plazo será la
captación de talento, tal como lo indican las organizaciones a
nivel global. Más aún, nuestra encuesta indica que existen áreas
de mejora importantes en los programas y procesos
implementados; tales como mantener una adecuada política de
Conocimiento del Cliente (KYC o Know Your Customer),
actualización de información de clientes (remediación de
expedientes) y fomentar una cultura de un EBR, entre otras. Lo
anterior será de ayuda para que una mayor tasa de actividades
sospechosas sea captada por los sistemas automatizados de
monitoreo actualmente implementados por las organizaciones
en México.
Métodos de detección de actividades sospechosas
de lavado de dinero
No hemos detectado ninguna
actividad sospechosa
36%
Investigaciones de alguna
Unidad de Inteligencia
Financiera
24%
Alertas de sistemas
automatizados de monitoreo
de transacciones
24%
Reportes internos del área
de ventas, sucursales
o gerencias
16%
Encuesta sobre delitos económicos 2016 - Suplemento México
37
Prevención de Lavado de Dinero (PLD)
Como respuesta a las recomendaciones del GAFI (Grupo de
Acción Financiera) y con la finalidad de fortalecer los
controles de PLD y FT, México ha reformado su marco
normativo para incorporar la evaluación de riesgos y la
aplicación de un Enfoque Basado en Riesgos (EBR).
Metodología
La encuesta global de delitos económicos 2016 contó con la
participación de 6,337 encuestados (5,128 encuestados en
2014) de 115 países (en comparación con 99 países en 2011). De
los 243 encuestados en México, 44% fueron altos ejecutivos de
sus respectivas organizaciones, el 33% fueron sociedades que
cotizan en bolsa y 63% organizaciones de más de 1,000
empleados.
Se utilizaron las siguientes técnicas de investigación:
1. Encuesta a los empleados de la organización. Los hallazgos
de este estudio se basan en la experiencia de los empleados
sobre delitos económicos en sus organizaciones. Se obtuvo
información de los empleados con respecto a los diferentes
tipos de delitos económicos, su impacto en la organización
(tanto la perdida financiera como de cualquier daño
colateral), el autor de dichos delitos, que medidas tomó la
organización y la forma en que respondió a los delitos
económicos.
2. Preguntas relacionadas a los delitos cibernéticos, la
corrupción/soborno, el lavado de dinero y la ley
antimonopolio entre otros delitos económicos. Esta
encuesta analizó de manera detallada estas amenazas que
a menudo son de naturaleza sistémica y por lo tanto,
representan un impacto duradero en la organización.
3. Análisis de las tendencias a través del tiempo. Desde que
empezamos a realizar esta encuesta en el año 2001, hemos
incluido una serie de preguntas básicas, además de puntos
relevantes, que pueden tener un impacto en las
organizaciones de todo el mundo. Con estos datos
históricos, podemos analizar temas de actualidad, la
evolución de los delitos económicos e identificar
tendencias.
4. Derivado del redondeo en porcentajes, los datos de algunas
gráficas podrían no sumar el cien por ciento.
38
Encuesta sobre delitos económicos 2016 - Suplemento México
Contactos
Alfredo Hernández
Socio Servicios de Asesoría de Negocios/Servicios Forenses
[email protected]
+52 (55) 5263 6661
Alberto Jaquez
Socio Servicios de Asesoría de Negocios/Servicios Forenses
[email protected]
+52 (55) 5263 6091
Gonzalo Núñez
Socio Consultoría Sector Financiero/Prevención de Lavado de Dinero
[email protected]
+52 (55) 5263 6669
Pablo Martín del Campo
Director Servicios Forenses/Investigaciones
[email protected]
+52 (55) 5263 5740
Jorge Arturo Pérez
Gerente Senior Servicios Forenses/Anticorrupción
[email protected]
+52 (55) 5263 8905
Antonio Hernández
Gerente Servicios Forenses/Investigative Analytics
[email protected]
+52 (55) 5263 8599
Adriana Trujillo
Gerente Servicios Forenses/Tecnología Forense
[email protected]
+52 (55) 5263 5790
Lizbeth Lafuente
Gerente Servicios Forenses/Disputas
[email protected]
+52 (55) 5263 8998
Encuesta sobre delitos económicos 2016 - Suplemento México
39
www.pwc.com/crimesurvey
En PwC México somos líderes responsables, comprometidos con la comunidad, el cuidado del medio ambiente y nuestra gente, quien vive la diversidad e inclusión como parte de la cultura de PwC.
© 2016 PricewaterhouseCoopers, S.C. Todos los derechos reservados. PwC se refiere a la red y/o una o más firmas miembro de PwC, cada una de las cuales constituye una entidad legal
independiente. Favor de ir a www.pwc.com/structure para obtener mayor información al respecto. E
laborado por MPC: 20160322-gm-pub-gecsmx-2016