37% 28% 27%
Suplemento México Encuesta sobre delitos económicos 2016 37% Más de 1 de cada 3 organizaciones reportan haber sido víctimas de algún tipo de delito económico durante los dos últimos años. 28% Más de 1 de cada 4 organizaciones creen que podrían ser víctimas del Crimen Cibernético en los próximos dos años. 27% Las organizaciones del sector financiero son las más afectadas por los Delitos Cibernéticos, ya que más de la cuarta parte reporta haber sido víctima de este tipo de delito en los dos últimos años. www.pwc.com/crimesurvey 2 Encuesta sobre delitos económicos 2016 - Suplemento México Contenido 5 Introducción 6 Tendencias generales 14 Delitos cibernéticos 24 Ética y cumplimiento 32 Prevención de Lavado de Dinero (PLD) 38 Metodología 39 Contactos Encuesta sobre delitos económicos 2016 - Suplemento México 3 4 Encuesta sobre delitos económicos 2016 - Suplemento México Introducción En México y en el mundo los delitos económicos son una preocupación y amenaza latente para cualquier tipo de organización. Lo anterior es lo que nos motiva a continuar realizando nuestra encuesta sobre delitos económicos, la cual es una de las más completas en su género. En esta ocasión, nos complace presentar nuestra edición 2016, en la cual participaron más de 6,000 encuestados a nivel global y más de 240 en México, colocándose como uno de los países con más participación en el mundo. Nuestra encuesta 2016 muestra que en México siguen prevaleciendo los delitos económicos tradicionales, tales como la malversación de activos, el soborno y la corrupción, así como el fraude contable y el fraude en compras. Sin embargo, en forma sorpresiva, el uso indebido de información privilegiada se posiciona como uno de los delitos más importantes en nuestro país, tanto en incidencias reportadas como en expectativa de ocurrencia en el corto plazo. Por otra parte, las tendencias globales marcan el rumbo hacia delitos más sofisticados. A nivel global los delitos cibernéticos se colocan en segundo lugar de importancia; sin embargo, aún no figuran dentro de los más relevantes en la encuesta de México. La alta expectativa entre los encuestados en México sobre el posible aumento de delitos cibernéticos en el corto plazo nos lleva a reflexionar sobre el estado de preparación que las organizaciones tienen respecto a esta amenaza. Por otra parte, las organizaciones en México parecen estar conscientes del ambiente de mayor complejidad y riesgos que prevalece actualmente. El 85% de los encuestados en México afirmó contar un programa de cumplimiento; sin embargo, los resultados de la encuesta también revelan grandes oportunidades de mejora para reforzar la efectividad de dichos programas. Por ejemplo, una de cada cinco organizaciones no ha llevado a cabo ninguna evaluación de riesgos, lo cual es la base de un programa efectivo. Además, solo una de cada tres empresas cuenta con un Oficial de Cumplimiento (Chief Compliance Officer). Este y otros temas son algunos de los discutidos en esta encuesta, cuyo propósito es proporcionar un panorama sobre los delitos económicos que aquejan a las organizaciones actualmente, como herramienta de valor y de ayuda para una mejor preparación estratégica y de mitigación de riesgos. Un mejor entendimiento del panorama general de nuestro país, puede ser de ayuda para fomentar aún más la conciencia respecto a la importancia e impacto de los delitos económicos, con la finalidad de impulsar una cultura de prevención. Esperamos que el presente documento sea de utilidad para su organización y le sirva como punto de referencia. Alfredo Hernández M. Encuesta sobre delitos económicos 2016 - Suplemento México 5 Tendencias generales Nuestra encuesta de este año muestra que los delitos económicos continúan evolucionando; mientras que la efectividad de los controles corporativos para detectarlos ha disminuido. La tasa de delitos económicos para México se mantuvo casi estable en 2016 (37%), mostrando solo un ligero aumento de un punto porcentual en comparación con la tasa reportada en 2014 (36%). Los datos anteriores parecen indicar, a primera vista, que los delitos económicos se han mantenido bajo control; sin embargo, el análisis de los resultados de nuestra encuesta global y para México, sugiere que los mismos continúan evolucionando, mientras que los controles corporativos no lo han hecho necesariamente al mismo ritmo, como se discute más adelante. Por ejemplo, las organizaciones en México reportaron en 2016 que el 14% de los delitos económicos fue detectado por mero accidente. Mientras que en la encuesta de 2014, el porcentaje fue de tan solo 1.3%. Más aún, en 2016 solo el 48% de los delitos económicos fue detectado a través de los controles corporativos establecidos por las organizaciones, una baja significativa al compararse con la tasa de detección del 54.6% alcanzada por estos medios en 2014 para México. Lo anterior se vuelve incluso más relevante al considerar que los delitos económicos muestran una clara evolución hacia formas cada vez más sofisticadas, como lo muestran los resultados de nuestra encuesta 2016. 6 Encuesta sobre delitos económicos 2016 - Suplemento México Evolución de la tasa reportada de delitos económicos 2016 % de los encuestados 2005 45% 42% 41% 2007 43% 46% 39% 2009 30% 51% 35% 2011 34% 40% 37% 2014 37% 36% 35% 2016 36% 37% 28% Global México Latinoamérica A continuación mostramos los resultados por tipo de delito económico reportados para México y globales en 2016. La malversación de activos y la corrupción y el soborno se mantienen en los primeros lugares de delitos económicos reportados en México en 2016, lo cual es consistente con los resultados mostrados en años anteriores. Debido a que la malversación de activos es el delito más frecuente, las organizaciones han mantenido de forma general una consistencia en su combate. La malversación de activos, comúnmente incluye el robo de inventarios, activo fijo, efectivo y otros activos. Por otra parte, la corrupción y el soborno continúan también como uno de los principales delitos que aqueja a las organizaciones en México. En 2016, aproximadamente una de cada cinco organizaciones en México (21%) reportaron haber sufrido al menos un incidente de este tipo en los últimos 24 meses, observando una baja respecto a 2014 (31%). Por otra parte, aunque la tasa de corrupción y soborno disminuyó en 2016 con relación a la reportada en 2014, este delito sigue siendo la principal preocupación de los CEO en México. Según nuestra 6ª Encuesta de CEO en México (2015), el 83% de los CEO mexicanos consideran que la corrupción y el soborno es la principal amenaza para sus negocios. Otro dato revelador de nuestra encuesta de este año, es que aproximadamente una de cada cuatro organizaciones creen haber perdido oportunidades de negocio a causa de sobornos pagados por sus competidores. Lo anterior indica que la corrupción y el soborno es definitivamente un delito a vigilar de cerca en México. Por otra parte, no cabe duda que los delitos económicos relacionados a un evento específico pueden causar pérdidas importantes a las organizaciones; sin embargo, los delitos de tipo sistémico, como la corrupción y el soborno, son aquellos que más daño causan, debido a que erosionan la integridad de los empleados, y debilitan las estructuras de control interno, aumentado así el riesgo de pérdidas económicas, multas y daños reputacionales, entre otros. La sección de cumplimiento y ética aborda los resultados de nuestra encuesta sobre este tema tan importante. Tipos de delitos económicos 2016 Malversación de activos 64% 21% 24% Sobornos y corrupción 19% 23% Fraude en adquisiciones Información privilegiada 7% 13% 11% Otros Fraude en capital humano Antimonopolio 19% 14% 18% Fraudes contables Delitos cibernéticos Robo de propiedad intelectual 76% 12% 12% 11% 32% 6% 7% 4% 4% Espionaje 3% 2% Fraude fiscal 2% 6% Fraude hipotecario 2% Lavado de dinero 1% 6% 11% México Global Encuesta sobre delitos económicos 2016 - Suplemento México 7 Como se comenta al inicio de esta sección, los delitos económicos tienden a evolucionar, adaptándose y aprovechando una mayor globalización y complejidad en los negocios, así como el rápido avance de la tecnología. Lo anterior, se refleja en nuestra encuesta de este año, al posicionarse en tercer lugar un delito que anteriormente no figuraba dentro de los más importantes: el uso indebido de información privilegiada. En México, casi una de cada cinco organizaciones reportaron haber sufrido al menos un incidente de uso indebido de información privilegiada en los últimos 24 meses, siendo en su mayoría de la industria automotriz y manufacturera. Lo anterior, nos lleva a reflexionar sobre las acciones que deben tomar las organizaciones ante el surgimiento de esta nueva amenaza. Por ejemplo, es importante que las organizaciones tengan un inventario claro de la información que se considere confidencial y estratégica para sus actividades, como punto de partida para establecer controles de acceso y distribución de la misma. Asimismo, es importante crear una cultura entre los empleados y otros terceros para el manejo de información sensible como medida preventiva, entre otras acciones a implementar. Nuestra encuesta reporta una disminución en la tasa de incidencia de otros delitos tradicionales en México, como lo son el fraude en compras y el fraude contable. El fraude en compras se dio más frecuentemente en 2016 dentro de los procesos de selección y contratación de proveedores. 8 Encuesta sobre delitos económicos 2016 - Suplemento México Con relación al fraude contable, es importante destacar que el mismo no es exclusivo de empresas listadas en alguna bolsa de valores, ya que más de la mitad de los casos reportados ocurrieron en empresas privadas, en donde pueden presentarse casos de manipulación de estados financieros para mejorar las cifras, con motivos que pueden ir desde la obtención de créditos bancarios, presentación de información manipulada a socios comerciales o manipulación de la información interna que puede servir de base para determinar algún tipo de bono de desempeño a empleados. Por otra parte, el Crimen Cibernético merece una mención especial. Nuestra encuesta 2016 para México reportó una tasa de delitos cibernéticos del 11%, la misma de 2014. Sin embargo, llama la atención que los delitos cibernéticos han mostrado una tasa creciente a nivel global, situándose como el segundo delito en importancia para 2016, en donde aproximadamente una de cada tres organizaciones (32%) indicaron haber tenido al menos un incidente de este tipo en los últimos 24 meses. Los datos reportados nos llevan a reflexionar si los delitos cibernéticos son menos comunes en México que a nivel global, o si en realidad no están siendo del todo detectados y/o reportados. Las expectativas de delitos económicos para los próximos 24 meses en México proporcionan una mayor claridad sobre los datos anteriores, como se muestra a continuación: Percepciones futuras de delitos económicos en México 35% 30% % de encuestados 25% 20% 5% 5% 5% Fraude fiscal Fraude hipotecario 5% Lavado de dinero 6% 9% 10% 15% 18% 21% 27% 28% 30% 10% 35% 15% De la preocupación de las organizaciones por delitos más sofisticados, surge la pregunta de si los mismos están realmente siendo más difícil de detectar, ya sea porque: a) se han vuelto más complejos (como el crimen cibernético y el uso indebido de información privilegiada); b) los controles corporativos se han relajado (lo cual es consistente con la disminución en la tasa de detección por medio de controles corporativos reportada para México en 2016); c) las organizaciones no están siendo lo suficientemente proactivas (por ejemplo, en 2016, aproximadamente una de casi cada cinco organizaciones indicaron que nunca han llevado a cabo un ejercicio de identificación y evaluación de riesgos de fraude), o d) por una combinación de los factores anteriores. El entorno de negocios que actualmente estamos viviendo, así como la sofisticación en la tecnología y la forma cada vez más compleja en que interactúan los individuos y las organizaciones, combinados con un enfoque reactivo y no proactivo hacia los delitos económicos, representan quizá uno de los mayores riesgos actuales para nuestra sociedad. Por otra parte, el 56% de los encuestados en México cree que las organizaciones del orden público correspondientes no cuentan con los recursos y la capacitación adecuados para investigar y perseguir los delitos económicos. Antimonopolio Robo de propiedad intelectual Fraude contable Fraude en capital humano Fraude en adquisiciones Espionaje Sobornos y corrupción Delitos cibernéticos Información privilegiada Malversación de activos 0 Mientras que la Malversación de Activos sigue siendo el delito económico por excelencia, encontramos que en el segundo, tercero y cuarto lugar de preocupación de los encuestados, se encuentran el uso indebido de información privilegiada, los delitos cibernéticos y la corrupción y el soborno, respectivamente. Encuesta sobre delitos económicos 2016 - Suplemento México 9 Aunque la tasa promedio de delitos económicos reportada para México en 2016 es del 37%, existen industrias que tradicionalmente reportan índices mucho mayores. Los delitos económicos son impredecibles y su grado de detección varía de organización a organización. Sin embargo, algunas industrias destacan por haber reportado una tasa más alta que el promedio para México este año. La gráfica de la izquierda muestra la tasa de delitos económicos de las industrias más representativas de nuestra encuesta 2016. Delitos económicos de las industrias más representativas en nuestra encuesta En 2016 la industria de Transportación y logística presenta una tasa, en donde siete de cada diez organizaciones sufrieron algún tipo de delito económico. En esta industria, la malversación de activos es el delito más común. Por otra parte, los delitos fueron cometidos principalmente por actores internos. 70% México 2016 60% La segunda industria con la tasa más alta es la detallista, en donde más de la mitad de los encuestados confirmaron haber sufrido algún tipo de delito económico. En esta industria la mayoría de las organizaciones fueron víctimas de actores internos. 50% 40% La tercer industria en incidencias es la Manufacturera, en donde el 44% de las organizaciones sufrieron algún tipo de delito económico. En esta industria, el tipo de delito más común es la malversación de activos, perpetrado en su mayoría por actores internos. 25% 30% 70% 55% 44% 42% 42% 40% 30% 29% 25% 25% 24% 18% Detallistas Industrias manufactureras Servicios financieros Industria automotriz Seguros Ingeniería y construcción Energía, servicios públicos y minería Servicios profesionales Hotelería y turismo Industria farmacéutica Tecnología 10% Transportación y logística 20% 0 10 Encuesta sobre delitos económicos 2016 - Suplemento México Por otra parte, la industria de Servicios financieros continúa mostrando tasas altas de delitos económicos, con el 42% de incidencias para este año. El delito más común en esta industria es la malversación de activos, y aproximadamente la mitad de las organizaciones fueron víctimas de actores externos. Como segundo lugar, se ubica el crimen cibernético en donde una de cada cuatro organizaciones reportaron haber sufrido este delito. Otras industrias que reportaron tasas mayores que el promedio general son la Automotriz y la de Seguros. Los daños económicos causados por los delitos económicos continúan siendo importantes en 2016; mientras que el daño colateral más importante es el impacto en la moral de los empleados. Daño colateral México 2016 La reputación/ marca Costo del fraude en México Más de US$100 millones De 5 millones a 100 millones de US dólares Precio de las acciones 1% 1% 3% 22% 34% 26% 12% Moral del empleado 13% 10% US$100 mil a US$1 millón 21% 27% Relaciones de negocios 52% Menos de US$100 mil 6% 2014 1% 2016 14% 47% 33% 59% Relaciones con reguladores 4% 79% 7% 3% 2% 3% US$1 millón a US$5 millones No sabe 8% 3% 56% 28% 8% 1% 66% 19% Ninguno Bajo Medio Alto Encuesta sobre delitos económicos 2016 - Suplemento México 11 Perfil del defraudador 2014 2016 Defraudador interno 75% 64% Defraudador externo 22% 25% No sabe 3% 11% Total 100% 100% Nuestra encuesta 2016 muestra una disminución en los actores internos como principales perpetradores de los delitos económicos. Mientras que las incidencias de actores externos se mantuvieron más o menos estables, es de llamar la atención el aumento en el número de respuestas de los participantes que indicaron no saber si el actor fue interno o externo, lo cual podría indicar una menor atención prestada a los delitos ocurridos. En cuanto al perfil del defraudador típico, la encuesta de 2016 nos muestra que continúa siendo hombre, con grado universitario, de 31 a 40 años de edad y con tres a cinco años en la organización. Habiendo discutido los datos generales sobre delitos económicos de nuestra encuesta, nos enfocaremos a continuación en tres áreas clave: Delitos Cibernéticos, Programas de Ética y Cumplimiento y Prevención de Lavado de Dinero (PLD). Además, comentaremos sobre algunas de las acciones que las organizaciones pueden llevar a cabo para adoptar medidas importantes de prevención y mitigación de riesgos en el combate a los delitos económicos, acordes al entorno complejo que estos temas representan en la actualidad. Hombre 12 Graduado universitario 31-40 años de edad 3-5 años en la organización Encuesta sobre delitos económicos 2016 - Suplemento México Defraudador interno 75% 64% 2014 2016 Defraudador externo 22% 25% 2014 2016 Disminución Aumento puntos porcentuales puntos porcentuales 11 3 Encuesta sobre delitos económicos 2016 - Suplemento México 13 Delitos cibernéticos 14 Encuesta sobre delitos económicos 2016 - Suplemento México Delitos cibernéticos A nivel global, los delitos cibernéticos se colocan en el segundo lugar de importancia; sin embargo, aún no figuran dentro de los más relevantes en la encuesta de México. Recientemente, los delitos económicos “tradicionales” han empezado a evolucionar hacia formas más sofisticadas, propiciando el aumento importante a nivel global de los delitos cibernéticos, también conocidos como “Cybercrime”. Según los resultados de nuestra encuesta, a nivel global los delitos cibernéticos se colocan en el segundo lugar de delitos económicos más reportados, principalmente debido al impetuoso desarrollo tecnológico que actualmente se experimenta en todo el mundo. Hoy en día existe un componente cibernético en prácticamente todas las industrias, lo que da pie a nuevas formas de crimen en el campo de la tecnología. Los criminales cibernéticos han encontrado la manera de atacar a todo tipo de organizaciones, sin importar su industria, sector, tamaño, madurez o ubicación geográfica, afectando incluso a sus proveedores, clientes y otros terceros con quienes interactúan. En México, llama la atención que los delitos cibernéticos no se encuentren dentro de los primeros lugares. Nuestra encuesta indica que los delitos cibernéticos a nivel global aumentaron, pasando del 4to lugar en 2014 al 2º en 2016; sin embargo, en México este crimen se posiciona todavía en el 8º lugar con una tasa de incidencia del 11%. A pesar de la baja incidencia de delitos cibernéticos en México, éstos son más temidos de lo que aparentan, posicionándose como el tercer delito con más probabilidad de ocurrir en los próximos dos años en nuestro país según los encuestados, solo detrás de la malversación de activos y del uso indebido de información privilegiada, superando incluso a la corrupción y el soborno. Por otra parte, nuestra encuesta muestra que 16% de las organizaciones en México indicaron haber sido afectadas por delitos cibernéticos en los últimos 2 años, otro 16% no lo sabe y el resto (68%) contestó que no han sido afectadas por este tipo de delitos. Es de llamar la atención que a nivel global, 26% de las organizaciones indican haber sido afectadas por delitos cibernéticos, una tasa mucho mayor que la de México. Afectación por delitos cibernéticos en los últimos 2 años en México Decreased 16% Sí 68% No 16% No sabe Encuesta sobre delitos económicos 2016 - Suplemento México 15 Más aún, es importante mencionar que la percepción de los riesgos asociados a delitos cibernéticos en México ha crecido. Según nuestra encuesta, casi la mitad de las organizaciones en México indican que su percepción de riesgo por delitos cibernéticos aumentó en los últimos 24 meses, un crecimiento más pronunciado (8 puntos porcentuales) con relación a 2014. Cambio en la percepción de riesgo por delitos cibernéticos en México Ha incrementado Ha disminuido 41% 35% Datos personales, una consideración cuando ocurre una vulneración de seguridad en las organizaciones. 49% Una consideración a efectuar cuando se ha comprometido información de terceros en poder de una organización, es el curso de acción definido en nuestras leyes. En el caso de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, dentro de los “Principios de Protección de Datos Personales”, artículo 20, se establece que: 6% 12% 8% 46% 47% Ha permancedio igual 2016 2014 57% 2011 Considerando lo anterior, vale la pena reflexionar sobre los contrastes importantes que muestran las respuestas de los encuestados en México. Por una parte, se puede observar en México una baja tasa de delitos cibernéticos reportados (11%), pero por la otra, una alta preocupación de que los mismos ocurrirán en los próximos dos años. Más aún, la tasa de delitos cibernéticos reportada a nivel global es del 32%, es decir, mucho más alta que la de México. Debido a lo anterior, podría pensarse que no todos los delitos cibernéticos pudieran estar siendo detectados en México o podría ser que la organizaciones no están reportando los delitos de este tipo que han sufrido. En este sentido, es importante mencionar que el marco regulatorio para protección de datos es relativamente nuevo, por lo que conforme madure, podría influir en un mayor número de casos que se conozcan y reporten. 16 Encuesta sobre delitos económicos 2016 - Suplemento México “Las vulneraciones de seguridad ocurridas en cualquier fase del tratamiento que afecten de forma significativa los derechos patrimoniales o morales de los titulares, serán informadas de forma inmediata por el responsable al titular, a fin de que este último pueda tomar las medidas correspondientes a la defensa de sus derechos.” De manera más detallada, el Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, establece criterios específicos de información en sus artículos 64, 65 y 66, respecto de las notificaciones de vulneraciones de seguridad que las organizaciones deben de llevar acabo. Delitos cibernéticos Las pérdidas por delitos cibernéticos continúan siendo importantes. Nuestra encuesta para México revela que en términos financieros, más de la mitad de las organizaciones que sufrieron delitos cibernéticos reportaron haber sufrido pérdidas en los últimos 2 años de hasta Dls. $100,000. Por otra parte, el 6% reporta pérdidas que superan el millón de dólares estadounidenses, muy cercano al 7% reportado a nivel global. “Amenazas Persistentes Avanzadas” Otro factor importante que aumenta la incertidumbre de haber sido o no víctima de Delitos Cibernéticos, es un tipo de ataque que preocupa a los profesionales de la seguridad de la información, conocido como “Amenazas Persistentes Avanzadas” (“Advanced Persistent Threat” o APTs por sus siglas en inglés). Las APTs son campañas de ataques cibernéticos, generalmente dirigidos a una organización en particular y financiado por gobiernos o grandes organizaciones criminales, que se caracterizan por su dificultad en ser detectadas. Las APTs utilizan diferentes fases de ataque, métodos y técnicas de evasión y ocultación. Su misión principal es permanecer “invisibles” o no identificadas por periodos de tiempo relativamente largos y así permitir a los atacantes recopilar información sobre su víctima. Debido a la naturaleza y al alcance global de este tipo de ataques, las empresas mexicanas no están exentas de este riesgo. Aunque no todas las organizaciones son objeto de ataque de las APTs, es de gran valor conocer la naturaleza de las mismas, y aprovechar dicho conocimiento para construir sistemas y procedimientos más robustos para proteger la información de las organizaciones. Pérdidas por delitos cibernéticos en México No ha habido pérdidas 18% 29% De 1 a < 50,000 USD 26% De 50,000 a < 100,000 USD De 100,000 a < 1 millón USD 5% De 1 millón a < 5 millones USD 3% De 5 millones a < 100 millones USD 3% No sabe 16% Los números mostrados en la gráfica de arriba dejan claro que al igual que en otros países, en México ocurren este tipo de incidentes, y que implican daños importantes a la imagen y finanzas de las empresas, y en el peor de los casos, también llegan a afectar a los clientes y otros terceros con quienes interactúan las organizaciones, los cuales, en su mayoría, se enteran del robo de datos a través de terceros, incluyendo los noticieros, redes sociales, o incluso a través de los mismos datos que son filtrados a través de Internet. Encuesta sobre delitos económicos 2016 - Suplemento México 17 18 Encuesta sobre delitos económicos 2016 - Suplemento México 3% Medio Ninguno 44% 38% 64% No sé 12% 6% 9% Robo de propiedad intelectual, incluyendo robo de datos 6% Interrupción del servicio 21% 26% 22% 6% Riesgos regulatorios 34% 38% 16% 9% Costos jurídicos, de inversión o de cumplimiento 17% Pérdida o robo de información de identificación personal 9% 11% 29% 9% 20% Daño reputacional Alto Bajo 51% 40% 34% 11% 9% 3% 3% 9% 24% Pérdida financiera real 9% Es importante destacar que el daño reputacional puede ser incluso mayor que el financiero, ya que la imagen negativa de un ataque cibernético puede influir en la capacidad de las organizaciones para continuar haciendo negocios con otras entidades, así como la pérdida de confianza de los clientes, entre otros daños. 29% Según nuestra encuesta, las pérdidas financieras reales son las que más impactan a las organizaciones mexicanas, ya que casi una de cada cuatro organizaciones indicaron que este tipo de daño es el más importante. En segundo lugar, las organizaciones mexicanas reportaron al daño reputacional como el más importante, el cual fue mencionado por 1 de cada 5 organizaciones. Tipos de daños por delitos cibernéticos en México 29% El tipo de pérdida más importante por delitos cibernéticos es la financiera. Delitos cibernéticos Estado de preparación La capacidad de una organización para afrontar incidentes cibernéticos radica en el estado de preparación que esta tenga, el cual implica integrar medidas de seguridad y procesos a través de todos los sistemas e infraestructura de la organización. En este sentido, la preparación inicia, desde luego, con el involucramiento de la alta administración. No obstante, menos de la mitad de las organizaciones mexicanas (44%), indican que los miembros del Consejo de Administración están al tanto del estado de preparación de sus organizaciones para afrontar estos incidentes, revisándolo periódicamente, ya sea de forma mensual, trimestral o anual. Información a la alta administración sobre el estado de preparación en crímenes cibernéticos Mensualmente 12% Trimestralmente 22% Anualmente 10% Los miembros del Consejo de Administración no solicitan esta información 23% Los miembros del Consejo de Administración no lo consideran necesario Otro No sabe Por otra parte, una de cada tres organizaciones indicaron que el Consejo de Administración no solicita información o no cree necesario saber el estado de preparación de la organización ante posibles ataques cibernéticos. Lo anterior es sumamente preocupante, ya que el no tener claro un estado de preparación ante un ataque cibernético, implica no comprender sus impactos e incluso desconocer si la organización está lista para continuar su operación después de un incidente. Hoy en día, conocer el estado de preparación es fundamental para la continuidad de las operaciones, ya que, derivado del aumento de negocios que utilizan internet como medio para transferir recursos económicos (dinero, valores, etc.) y al aumento en el intercambio de datos, entre ellos información confidencial, los incidentes de seguridad informática son más comunes de lo que se cree. El tener claro un estado de preparación tiene ventajas directas evidentes, tales como conocer la rapidez con la que una organización puede identificar, analizar y responder a un incidente, limitando el impacto y minimizando los costos de recuperación. Además de proteger y mantener la reputación de la organización, un buen estado de preparación demuestra la importancia que ésta da a sus políticas y procesos de seguridad de la información. 10% 2% 21% Encuesta sobre delitos económicos 2016 - Suplemento México 19 Plan de respuesta ante incidentes Equipo de primera intervención Similar a la situación global, tan solo el 36% de las empresas nacionales encuestadas cuentan con un plan de respuesta en operación ante posibles ataques cibernéticos, siendo las industrias de servicios financieros y manufactura las más fortalecidas en este aspecto. Por otra parte, el 18% de las organizaciones cuentan con un plan, pero este aún no se encuentra implementado por completo y un alarmante 46% no cuenta con plan alguno o desconoce si existe. Dado que aún la infraestructura tecnológica más segura no puede garantizar que nunca ocurrirán incidentes de seguridad, las empresas deben contar con un equipo que responda de manera efectiva ante la materialización de algún ataque informático. El equipo de primera intervención es la primera línea de respuesta ante este tipo de eventos e, idealmente debe estar formado no solamente por personal de tecnología de la información (TI), sino también por especialistas de diferentes disciplinas y áreas de la organización, tales como consultores legales, especialistas en tecnología forense, recursos humanos, relaciones públicas y ejecutivos de la alta administración. El conocimiento y la participación activa de la alta administración son de suma importancia, ya que ayudarán a la correcta toma de decisiones y a integrar la respuesta a un incidente a través de todas las áreas de la compañía. ¿Cuenta con un plan de respuesta ante posibles ataques cibernéticos? Sí, el plan es totalmente operativo 12% Sí, pero todavía no se ha implementado No, pero estamos valorando en este momento la viabilidad de la implementación de dicho plan No, ni lo tenemos ni tenemos previsto implementar dicho plan No sabe 36% 18% 14% En las organizaciones mexicanas encuestadas, el equipo de primera intervención ante incidentes cibernéticos se conforma principalmente por especialistas en seguridad de TI (72%) y personal de tecnología con conocimiento del entorno cibernético de la organización (64%). Estos porcentajes se asemejan mucho a la situación global. En México existe una participación más alta de consultores legales en este equipo (33%) que de la alta administración, (20%). Esto contrasta con la tendencia global de contar cada vez más una mayor participación de la alta administración, la cual nos reporta un 46% para 2016. 12% 20% Personas involucradas en primeras intervenciones de ataques cibernéticos Especialistas en seguridad de TI 72% Personal de TI con conocimientos del entorno de TI nuestra entidad/ organización 65% Alta administración 20% Consultores legales 33% Representante de recursos humanos Especialistas en tecnología forense Otros 20 Encuesta sobre delitos económicos 2016 - Suplemento México 13% 5% 3% Delitos cibernéticos Por otra parte el actor principal en el equipo de primera intervención en México es actualmente el personal de TI/ Seguridad de TI. Si bien estos especialistas tienen un papel fundamental en la detección y la mitigación un ataque, debemos destacar que solo existe un 5% de participación de especialistas en tecnología forense, en comparación con 11% en los resultados globales. Los especialistas en tecnología forense desempeñan un papel fundamental en un plan de respuesta a incidentes, ya que, entre otras tareas, se encargan de preservar y analizar evidencia electrónica, útil para comprender los hechos que llevaron a la materialización del incidente. Incluso, siguiendo una metodología profesional, el proceso y resultados de estas investigaciones pueden ser presentados como evidencia en procesos legales. Aunque el equipo de seguridad de TI pueda ayudar a contener un ataque, es muy probable que el incidente vuelva a presentarse si se desconoce su origen y no se realiza una investigación forense de lo sucedido. Una investigación profunda desde que ocurre un ataque, o incluso cuando hay sospechas de alguno, es altamente recomendable como parte del protocolo de respuesta. Esto ayudará a que el plan de acción no solo se limite a detener el ataque sino que permita ir más allá para determinar su origen y naturaleza. Por ejemplo, es importante responder: ¿Qué implicaciones hay si el ataque viene de una fuente interna a la organización (como empleados insatisfechos)? y ¿Cómo variaría un plan de acción en comparación con un ataque externo? Actualmente la tecnología es un tema creciente cuyo desconocimiento pronto no será opción. El conocimiento sobre tecnologías de la información y tendencias de crimen cibernético permitirá a la alta administración tener una visión más amplia de las repercusiones negativas a su industria y le ayudará a estar mejor preparada para afrontarlas. Amenazas internas vs. externas Nuestra encuesta indica que a nivel global existe una mayor preocupación hacia actores externos como origen de posibles ataques cibernéticos para los próximos 2 años. Por su parte, la percepción de peligro por parte de amenazas internas ha disminuido. Esto concuerda con el panorama global, ya que en la mayoría de las brechas de seguridad reportadas en los últimos años, los atacantes externos superan por mucho a los internos. Sin embargo, debemos tener en cuenta el peligro que supone un atacante interno con permisos legítimos en los sistemas tecnológicos de la organización. Expectativas de origen de las amenazas cibernéticas en los próximos dos años Procedencia interna 12% 9% 17% 46% 43% 48% Procedencia externa Procedencia tanto interna como externa No sabe 26% 35% 36% 7% 13% 9% 2016 2014 2011 Encuesta sobre delitos económicos 2016 - Suplemento México 21 Industrias más afectadas por delitos cibernéticos Delitos cibernéticos de las industrias más representativas en nuestra encuesta Servicios financieros 27% Hotelería y turismo 25% Transportación y logística 20% Tecnología 18% Industria automotriz 17% Servicios profesionales 17% Industrias manufactureras ¿Cree que las autoridades correspondientes cuentan con capacidades y recursos adecuados para investigar delitos cibernéticos? 20% Sí 13% Energía, servicios públicos y minería 12% Seguros 10% Ingeniería y construcción 10% 6% Tanto los resultados globales como los de México, muestran que el sector financiero es el más afectado por delitos cibernéticos. Esto no es de extrañar, ya que actualmente se realizan millones de transacciones financieras al día desde cualquier dispositivo que cuente con una conexión a internet, como compras en línea, pago de servicios y transferencias bancarias, entre otros. Esto amplía de manera natural la exposición de este sector a los delitos cibernéticos. Por su parte, los criminales informáticos utilizan cada vez ataques más grandes y sofisticados, teniendo como objetivo no solo a las entidades financieras, sino también a los usuarios de las mismas, es decir, cualquier persona que lleve a cabo sus operaciones bancarias a través de internet. 22 Por otra parte, cabe destacar que el 45% de las organizaciones a nivel global creen que las instituciones públicas no cuentan con las habilidades y recursos adecuados para investigar incidentes relacionados con el crimen cibernético. En México, el 57% de los encuestados externaron esta creencia respecto a las autoridades. 15% Detallistas Industria farmacéutica En esta carrera frenética, el sector financiero se ha visto obligado a contar también con mejores controles de seguridad, una infraestructura más robusta y áreas especializadas en crímenes financieros. Esta evolución necesaria podría explicar por qué el sector financiero cuenta también con más casos reportados/detectados en comparación con otras industrias. Encuesta sobre delitos económicos 2016 - Suplemento México 57% No 23% No sabe Delitos cibernéticos Sin duda, los delitos cibernéticos han ido en aumento a nivel global, sin dejar de afectar a nuestro país. Todo esto derivado de la evolución y el crecimiento de las tecnologías de la información, las cuales se hacen presentes cada vez con mayor impacto en nuestras vidas y en nuestra forma de hacer negocios. La adopción y constante evolución del estado de preparación para afrontar este tipo de delitos, capacitación constante del personal de primera intervención y, sobre todo, el involucramiento continuo de la alta administración serán fundamentales para que los delitos cibernéticos dejen de percibirse como un problema puramente técnico y se consideren como una verdadera amenaza a la estrategia de negocios. Este cambio de enfoque ayudará a mitigar en forma importante los impactos negativos en las organizaciones de todo el mundo. Encuesta sobre delitos económicos 2016 - Suplemento México 23 Ética y cumplimiento 24 Encuesta sobre delitos económicos 2016 - Suplemento México Ética y cumplimiento El ambiente actual de negocios se caracteriza por enfrentar riesgos cada vez mayores, por lo que es vital contar con una estrategia que armonice la ética y el cumplimiento con los objetivos organizacionales. Los resultados de nuestro estudio muestran que los riesgos van en aumento, tanto en impacto potencial como en complejidad. Asimismo, el rol que juega el desarrollo acelerado de la tecnología es también un factor a considerar. Lo anterior no es sorpresa ante un ambiente de negocios caracterizado por la creciente globalización, una vigilancia más estricta por parte de los reguladores, una aplicación más severa de sanciones y, en general, una mayor demanda por la rendición de cuentas. Debido a esto, la capacidad de las organizaciones para identificar y mitigar riesgos de incumplimiento necesita evolucionar a un ritmo acelerado. Nuestra encuesta muestra que las organizaciones en México, en general, parecen estar conscientes de los riesgos, ya que el 85% de los encuestados afirmó contar con un programa formal de cumplimiento. Como se observa en la gráfica anterior, existe una correlación clara entre el tamaño de las organizaciones y la adopción de programas de cumplimento por parte de las mismas; sin embargo, es importante considerar que existen riesgos inherentes a los que toda industria y organización está expuesta, independientemente de su tamaño. Como se discute más adelante, un análisis de riesgos estructurado y bien conducido, puede eficientar de manera importante el diseño y adopción de un programa de cumplimiento tanto en recursos económicos, materiales y humanos, con base en las circunstancias específicas de cada organización, incluyendo aquellas de menor tamaño. El contar con un programa de cumplimiento es un gran paso, y para aprovecharlo al máximo, las organizaciones deben asegurar que los mismos estén diseñados sobre bases sólidas. Para ser efectivo, un programa de cumplimiento debe adoptar un enfoque basado en riesgos, que asegure el entendimiento e identificación de las áreas vulnerables de las organizaciones, como punto de partida para implementar acciones adecuadas de mitigación. Empresas que cuentan con un programa formal de cumplimiento por tamaño de organización Promedio general 85% 100% 80% 100% 88% 86% 68% 60% 5,001-10,000 empleados 1,001-5,000 empleados 501-1,000 empleados 101-500 empleados Hasta 100 empleados 20% 96% 40% Más de 10,000 empleados 60% 0 Encuesta sobre delitos económicos 2016 - Suplemento México 25 No obstante lo anterior, nuestra encuesta de este año revela que una de cada cinco organizaciones (21%) en México, no ha llevado a cabo ninguna evaluación de riesgos en los últimos 24 meses, lo cual representa un aumento de dos puntos porcentuales con relación a nuestra encuesta 2014. Esta situación definitivamente no contribuye a asegurar la efectividad de los programas de cumplimiento, dejando expuestas a cierto número de organizaciones. Análisis de riesgo efectuado por tamaño de organización Promedio de organizaciones que no han hecho un análisis de riesgos 21% 26 67% 48% En una ocasión Periódicamente (Cada 3 meses, cada 6 meses, cada año o con otra periodicidad) Más de 10,000 empleados 19% 6% 8% 10% 5% 38% 5,001-10,000 empleados 56% 8% 12% 1,001-5,000 empleados 24% 7% 10% 501-1,000 empleados 21% 101-500 empleados Hasta 100 empleados 13% 28% 24% 45% 10% 55% 45% Nunca 10% 32% No sabe Encuesta sobre delitos económicos 2016 - Suplemento México Por otra parte, es también muy importante que todos los miembros de una organización, y no solo los del área de cumplimiento, entiendan sus roles y responsabilidades para asegurar la efectividad del programa. Sin embargo, un sinnúmero de organizaciones exhiben cierto grado de confusión acerca de quién tiene la responsabilidad de la función de cumplimiento y que representa dicha responsabilidad. Sin duda, toda la organización necesita estar trabajando de manera conjunta hacia una meta común en temas de cumplimiento, teniendo un rol preponderante las gerencias y otros mandos medios, que por la naturaleza de sus funciones, son las mejor posicionadas para entender e identificar los riesgos y calibrar la magnitud de los mismos. Por otra parte, los principales roles de la función de cumplimiento, deben ser la coordinación, supervisión y orientación del programa. Contar con un profesional de tiempo completo, un Comité de Cumplimiento y un equipo de cumplimiento multifuncional que monitoree los riesgos del negocio y ética en toda la organización, se ha vuelto de vital importancia para hacer del cumplimiento un compromiso y una realidad. Ética y cumplimiento No obstante lo anterior, solo 1 de cada 3 organizaciones en México (34%), indican contar con un Director/Oficial de Cumplimiento dedicado 100% al programa, siendo en su mayoría las más grandes, pero incluyendo también a organizaciones de todos tamaños. Responsable del programa de cumplimiento México por tamaño de organización Otros (Chief Audit Executive,Chief Financial Officer, General Counsel, Director de Recursos Humanos, etc.) Como se observa en la gráfica anterior, una gran parte de las organizaciones tienen como responsables de los programas de cumplimiento a ejecutivos de otras áreas, incluyendo al Director General, Director Financiero, Director de Recursos Humanos, Director Legal y el Auditor Interno, entre otros. Ciertamente, las circunstancias específicas de cada organización varían ampliamente; sin embargo, es importante que exista un balance adecuado entre el tiempo y recursos dedicados a las tareas de cumplimiento por una parte, y por la otra, la complejidad, importancia y cantidad de riesgos que las organizaciones enfrentan. 33% Hasta 100 empleados 67% 21% 101-500 empleados 79% 17% 501-1,000 empleados 83% 29% 1,001-5,000 empleados 71% 33% 5,001-10,000 empleados 67% 46% Más de 10,000 empleados 54% Oficial de Cumplimiento Encuesta sobre delitos económicos 2016 - Suplemento México 27 Identificar y evaluar la naturaleza y magnitud de los riesgos, así como dedicar los recursos adecuados, es esencial para diseñar medidas de prevención adecuadas, que a su vez apoyen de forma efectiva y eficiente el logro de los objetivos de negocio. Pero, ¿Qué tan expuestas están las organizaciones que operan en México? En este sentido, es importante recordar los casos públicos de potencial corrupción que han involucrado a organizaciones multinacionales, mismas que cuentan con programas de ética y cumplimiento robustos y maduros. Lo anterior, nos lleva a reflexionar si los casos antes mencionados pudieran ser un indicio de que aún los programas de cumplimiento más maduros no están a la altura de la complejidad y constante evolución de riesgos; o si los mensajes enviados por la alta administración no son captados claramente por los miembros de las organizaciones; o si los mismos están siendo contradictorios. Para abordar estos temas, nuestra encuesta abordó la percepción que tienen las organizaciones sobre los programas de cumplimiento, como se muestra a continuación. Percepción sobre los programas de Ética y Cumplimiento Las inquietudes se pueden comunicar de forma confidencial, sin miedo a represalias,y las respuestas se reciben a su debido tiempo Con independencia del nivel, rol, departamento o ubicación, las sanciones y los procedimientos disciplinarios se aplican de forma coherente Con independencia del nivel, rol, departamento o ubicación, las recompensas son justas y coherentes Se ofrece capacitación regular sobre el código de conducta (así como políticas de soporte), junto con comunicaciones regulares y varios canales de asesoramiento 34% 41% 29% 40% 27% 36% Existen canales confidenciales para presentar inquietudes (incluyendo una política y un procedimiento de canal de denuncias establecido) 50% Existe un código de conducta que cubre las principales áreas y políticas de riesgos y establece los valores organizacionales y los comportamientos esperados en todas las personas de la organización Totalmente de acuerdo De acuerdo Neutral En desacuerdo 22% 54% 49% 58% 8% 4% 7%5% 4% 15% 7% 39% 49% Los valores organizacionales están bien establecidos y son bien entendidos 19% 39% Los líderes y directivos comunican la importancia de la conducta empresarial ética mediante todo lo que hacen, dando buen ejemplo y tratándolo como una prioridad La conducta empresarial ética es un componente clave de nuestros procedimientos de recursos humanos, incluyendo objetivos, promoción, recompensa, reconocimiento y disciplinarios 16% 4%5% 39% 29% 9% 4% 9% 7% 5% 33% 41% 32% 9% 4% 2% 8% 2% 4%5% Totalmente en desacuerdo Lo anterior, indica que existe una percepción positiva, en general, sobre los programas de cumplimiento; sin embargo, existen áreas de mejora, sobre todo por aquellos factores en los que los participantes mostraron una tasa más alta de desacuerdo. 28 Encuesta sobre delitos económicos 2016 - Suplemento México Ética y cumplimiento Percepción de la corrupción Como parte de nuestra encuesta, indagamos también acerca de la percepción que las organizaciones tienen sobre la postura que toma la alta administración ante la corrupción, obteniendo los siguientes resultados. Percepción sobre la posición de la alta administración ante la corrupción Considera que el soborno no es una práctica legítima 86% 46% Prefería no llevar a cabo un negocio en lugar de incurrir en soborno 89% Esperan que el gobierno adopte una postura imparcial en cuanto a la aplicación de leyes anticorrupción 78% Respaldan firmemente las directrices corporativas 90% 8% Adoptan una postura pública contra la corrupción 89% 7% Esperan que sus socios comerciales adopten una postura firme contra la corrupción 89% 9% De acuerdo y totalmente de acuerdo 6% 8% 5% 6% 15% Ni de acuerdo ni en desacuerdo 7% 2% 4% 2% En desacuerdo y totalmente en desacuerdo Como puede observarse, la gran mayoría de las respuestas son positivas en el sentido de que se percibe el respaldo de la alta administración en el combate a la corrupción; sin embargo, es de llamar la atención que cierto porcentaje de encuestados (entre el 2% y el 8%) está en desacuerdo o totalmente en desacuerdo, en percepción, con este tema. Más aún, sumando aquellos encuestados que mantienen una posición neutral, los porcentajes que no afirman estar de acuerdo con estos temas varían entre el 10% y el 22%. El contar con programas de cumplimiento efectivos, cobra aún mayor relevancia en México, en donde el riesgo de corrupción es muy alto y se encuentra latente en todos los sectores de la economía. Para fortalecer sus programas de cumplimiento, las organizaciones en México deben de obtener un buen entendimiento de las tendencias y esquemas de corrupción en el país, su industria, y su ámbito específico de operaciones, para poder implementar controles adecuados que les permitan mitigar dichos riesgos. Los porcentajes de las respuestas no favorables parecerían no ser tan relevantes a primera vista; sin embargo, este es un tema de reflexión y un área de oportunidad para reforzar los mensajes de la alta administración en las organizaciones y más aún, para asegurar que se actúa en forma congruente y en línea con dichos mensajes. El nivel de respuesta de desacuerdo que muestran los resultados de México aquí mostrados, es ligeramente mayor a los resultados globales. Un buen termómetro de los esquemas de corrupción en el país lo representan los casos de resoluciones de FCPA1 por los últimos 15 años que involucran a organizaciones operando en México, como se muestra a continuación. 1 Foreign Corrupt Practices Act en inglés o Ley de Prácticas Corruptas en el Extranjero, originaria de Estados Unidos Encuesta sobre delitos económicos 2016 - Suplemento México 29 Esquemas de corrupción comunes en México 67% Pagos indirectos, a través de socios comerciales 25% Deficiencias en los controles de tesorería para monitorear el destino final de fondos Proveedores ficticios/ facturas falsas 17% Principales esquemas 17% Pagos indebidos a través de nómina Sobreprecio/ soborno 25% Regalos, viajes y entretenimiento indebidos 25% Fuente: Análisis de PwC con base en las resoluciones públicas sobre casos de FCPA involucrando empresas en México por los últimos 15 años. 30 Encuesta sobre delitos económicos 2016 - Suplemento México Ética y cumplimiento Como se muestra en la gráfica anterior, un gran número de casos de corrupción se lleva a cabo a través de socios comerciales, de ahí la gran importancia de tener un proceso sólido para la gestión de relaciones, evaluación, aceptación y monitoreo de terceros desde una perspectiva de integridad y anticorrupción. Pero, ¿Cómo garantizar que su programa de cumplimiento se ajuste a sus necesidades? A continuación hay cuatro áreas clave enfocadas a aumentar la efectividad de los programas de ética y cumplimiento: • Gente y cultura. Mantener un programa basado en valores, fomentando comportamientos deseados y mostrando congruencia de las acciones con los mensajes de la alta administración. • Roles y responsabilidades. Asegurándose que han sido correctamente alineados con los riesgos actuales y que se dedican recursos adecuados y dedicados al programa. • Áreas de alto riesgo. Adoptar un enfoque basado en riesgos, que ayude a un mejor diseño, implementación y evaluación de los programas. • Tecnología. Mejorar el uso de herramientas de detección y prevención, incluyendo el análisis de grandes cantidades de datos estructurados y no estructurados. Si bien existen cada vez mayores riesgos y mayor vigilancia, existe también una manera de proteger mejor a las organizaciones y a sus ejecutivos ante dichas circunstancias. Esto mediante un programa de cumplimiento efectivo soportado con análisis de riesgos enfocado a la particularidad de cada organización e industria. Lo anterior deberá incluir un equipo dedicado a dicho programa que se encargue, entre otras tareas, de comunicar y alinear la percepción y compromiso en todos los niveles de la organización. Encuesta sobre delitos económicos 2016 - Suplemento México 31 Prevención de Lavado de Dinero (PLD) 32 Encuesta sobre delitos económicos 2016 - Suplemento México La globalización económica ha brindado diversos beneficios, permitiendo mayor comunicación y crecimiento internacional; sin embargo, el crimen organizado ha aprovechado también dichas condiciones para crecer y fortalecerse. A nivel global, las organizaciones reportaron en 2016 una tasa promedio de incidencias de Lavado de Dinero, por todas las industrias, del 11%; prácticamente la misma reportada en 2014. Por su parte, las tasas promedio reportadas para México son aún insignificantes, al situarse en 1%, tanto para 2016 como para 2014 por todas las industrias. Aún y cuando las incidencias reportadas parecieran ser menores, es importante destacar que el ambiente regulatorio actual se ha intensificado, abarcando ahora a diversos sectores económicos, además del Sector Financiero, con la inclusión de actividades denominadas “vulnerables”. Asimismo, las regulaciones han impulsado en forma importante las revisiones y otras acciones de cumplimiento por parte de la autoridad. Nuestro estudio muestra que el nivel de cumplimiento requerido por las regulaciones de PLD y para el combate contra el Financiamiento al Terrorismo (FT), ha generado desafíos importantes para las organizaciones, incluso para instituciones financieras con mayor grado de sofisticación en este tema. Esta sección se basa en las preguntas específicas sobre PLD dirigidas a las organizaciones del Sector Financiero que participaron en nuestra encuesta. Como punto de partida, nuestra encuesta abordó los retos generales más importantes que las organizaciones enfrentan en con relación al cumplimiento de las regulaciones en México en materia de PLD, como se muestra a continuación. Retos más importantes con relación al cumplimiento de los requerimientos de PLD Requerimientos tecnológicos 16% Avance en los cambios regulatorios 16% Impacto negativo en los clientes 16% Limitaciones por privacidad de datos en información a compartir entre jurisdicciones 12% Cumplimiento de requerimientos de PLD en varias jurisdicciones 12% Complejidad en la forma de hacer negocios en industrias emergentes (moneda virtual, monedero virtual, etc.) 12% Costos 8% Habilidad para contratar personal experimentado en PLD 4% Otros 4% Los encuestados reportaron que los retos más importantes son los requerimientos tecnológicos, el avance en los cambios regulatorios y el impacto negativo en clientes, todos estos con un 16%. Encuesta sobre delitos económicos 2016 - Suplemento México 33 Prevención de Lavado de Dinero (PLD) Este año, nuestra encuesta analiza algunos aspectos relevantes con respecto a la Prevención de Lavado de Dinero (PLD). Como bien se sabe, el lavado de dinero es uno de los delitos sistémicos que más valor destruyen en las organizaciones, erosionando el sistema económico y facilitando actividades ilícitas, tales como la corrupción, el terrorismo, la evasión de impuestos, el narcotráfico y la trata de personas, entre otras. Sin duda alguna, este delito representa una de las mayores amenazas de nuestro tiempo. Requerimientos tecnológicos En México los dos retos clave que enfrentan la mayoría de las organizaciones en cuanto a sistemas tecnológicos de PLD son: i) la calidad de datos y mantenimiento de la información de clientes en formato electrónico, y ii) la complejidad en la implementación/actualización de sistemas. Estos dos retos concentran el 60% de las respuestas de nuestros encuestados con relación al aspecto tecnológico. Retos más importantes de sistemas en PLD Calidad de los datos y mantenimiento de información de clientes en formato electrónico 32% Complejidad en la implementación/ actualización de sistemas 28% Sistemas de monitoreo generando una gran cantidad de falsos positivos 24% Limitaciones por privacidad de datos en información a compartir entre jurisdicciones 8% Otros 8% Si bien es cierto que el avance de la tecnología ha puesto a disposición de las organizaciones sistemas de información más sofisticados, la calidad de los datos representa a menudo un reto importante para obtener los resultados deseados. Según nuestros encuestados, este es el principal desafío a superar, lo cual también puede estar incidiendo en la gran cantidad de falsos positivos que actualmente arrojan los análisis llevados a cabo en este ámbito, como se muestra en la gráfica de la izquierda. Con el avance acelerado de las redes de comunicación, los desarrollos tecnológicos y el rápido crecimiento en el uso de las redes sociales, las organizaciones cuentan hoy con un mayor número de herramientas que les permiten diversificar su operación y atraer nuevos clientes. Otro reto importante al que actualmente se enfrentan las organizaciones, es el dinamismo en la toma de decisiones al incorporar sistemas tecnológicos que se adapten fácilmente a su infraestructura, brinden seguridad y sobre todo mantengan funcionalidades que permitan cumplir con sus políticas, como la Identificación y Conocimiento del Cliente (Know Your Customer o KYC por sus siglas en inglés), permitiendo la detección y cruce de información, y garantizando la calidad en el sistema de gestión de alertas. Las normas de nuestro país en esta materia establecen, entre otras, la obligación para las instituciones financieras de contar con un sistema de PLD. Asimismo, empresas no financieras que realizan operaciones definidas como “vulnerables”, deben dar seguimiento especial a la identificación de sus clientes y al reporte de operaciones, considerando periodos acumulados en algunos casos. Debido a que las inversiones en los sistemas de información pueden ser cuantiosas, las organizaciones deben buscar beneficios que vayan más allá del cumplimiento de los programas de PLD, incluyendo el fortalecimiento de otros programas, como el de prevención de fraude y el de prevención de soborno y corrupción, en donde se pueden crear sinergias importantes. 34 Encuesta sobre delitos económicos 2016 - Suplemento México Inspecciones de la autoridad De igual forma, un desafío relevante que reportaron las organizaciones en México en materia de PLD es el avance en los cambios regulatorios (16%). Otro de los efectos del avance de las regulaciones, es un aumento en las inspecciones por parte de las autoridades correspondientes. Según nuestra encuesta, el 52% de las organizaciones en México han sido sometidas a algún tipo de inspección en los últimos 2 años y un 8% por ciento recibió observaciones relevantes, como se muestra a continuación: Un entorno como el actual provoca reacciones en los diversos participantes de la economía. Regulaciones relacionadas con transparencia, protección de datos, temas de riesgo operativo, por mencionar algunas, han generado lo que muchos denominan una “avalancha regulatoria”, que se hace aún más intensa en el Sector Financiero. En un periodo muy corto de tiempo, las entidades financieras deben hacer frente a diversas regulaciones de importante magnitud, mismas que mantienen un componente multidisciplinario en su estructura, afectando aspectos clave en toda la organización, como lo son estrategia, gobierno corporativo, procesos, TI, gestión de clientes, etc. En definitiva, el ritmo de avance en la regulación pone a prueba a las organizaciones para estructurar un mapa regulatorio que desde un enfoque global, permita convertir esta “avalancha regulatoria” en una ventaja competitiva. Posible impacto negativo en los clientes Sin duda alguna, el avance en materia de PLD ha impactado en los requerimientos que las organizaciones sujetas a dichas regulaciones han impuesto a sus clientes. En México, éste es uno de los retos identificados como los más importantes, según los resultados de nuestra encuesta. Sin embargo, los requerimientos más estrictos son necesarios para proteger la reputación de las entidades y la integridad de los sistemas, al reducir la probabilidad de que las mismas se conviertan en un vehículo o en una víctima del crimen financiero. Inspecciones por parte de las autoridades por los últimos dos años No hemos tenido ninguna inspección de las autoridades en los últimos dos años 40% Sí hemos tenido alguna inspección de las autoridades en los últimos dos años, pero no recibimos observaciones importantes Sí, estamos o estuvimos en programa de remediación obligatorio 32% 12% Sí, hemos tenido alguna inspección de las autoridades en los últimos dos años y recibimos observaciones importantes 8% No sabe 8% Un área sumamente importante que las organizaciones deben observar con cuidado, es el adecuado control de la identificación y conocimiento del cliente, así como la conformación y actualización de expedientes de identificación. Establecer un equilibrio adecuado entre el cumplimiento con la creación de nuevos negocios y apalancar el crecimiento, resulta vital en nuestros días. Encuesta sobre delitos económicos 2016 - Suplemento México 35 Prevención de Lavado de Dinero (PLD) Avance en los cambios regulatorios Los reguladores de igual forma han adoptado un enfoque con base en riesgos para supervisar la adecuada gestión de las entidades en materia de PLD. Este enfoque requiere que los reguladores: • Desarrollen un conocimiento exhaustivo de los riesgos y de su potencial impacto en las entidades supervisadas. • Estimen la suficiencia de la evaluación de riesgos de la institución, en función de la evaluación de riesgos nacional. • Evalúen los riesgos presentes en la organización supervisada para conocer la naturaleza y el alcance de los riesgos en su base de clientes, entre otros. • Evalúen la suficiencia y eficacia de la aplicación de los controles diseñados por las organizaciones para cumplir sus obligaciones y la mitigación de riesgos. • Utilicen esa información para asignar recursos, dimensionar las revisiones e identificar la experiencia y destrezas que los supervisores necesiten para realizar un examen eficaz. Gente y procesos Otro factor clave en PLD es contar con profesionales experimentados en el tema, por lo que no es sorpresa que a nivel global, casi una de cada cinco organizaciones indicaron que éste el mayor desafío en la materia, colocándose como el segundo factor en importancia en cuanto a los mayores retos de PLD, solo detrás del avance en la regulación. No obstante lo anterior, en México únicamente el 4% de las organizaciones señalan que la contratación de profesionistas experimentados en PLD es el mayor desafío. Actualmente se han emitido en México disposiciones de carácter general para la certificación de auditores externos independientes, oficiales de cumplimiento y demás profesionales en materia de Prevención de Operaciones con Recursos de Procedencia Ilícita y Financiamiento al Terrorismo (Certificación PLD). Lo anterior nos hace reflexionar si el factor gente se volverá de gran importancia en México en el corto o mediano plazo, en línea con la tendencia global y una vez que las organizaciones logren tener un mayor avance en los temas tecnológicos, mismos que ahora son el mayor reto en materia de PLD, según nuestra encuesta. Sin duda alguna, la captación de experiencia y talento en PLD será vital para que las organizaciones naveguen exitosamente el ambiente de complejidad y evolución de este tipo de delito. 36 Encuesta sobre delitos económicos 2016 - Suplemento México Evaluación de riesgos Uno de los pilares para el desarrollo e implementación efectiva de un programa de PLD es la evaluación de riesgos. En México, el 84% de las organizaciones confirmaron haber efectuado una evaluación de riesgos de lavado de dinero, muy por encima del porcentaje a nivel global del 74%. Sin embargo, llama la atención el hecho de que un 16% de las organizaciones no ha efectuado una evaluación de riesgos o no sabe si se ha hecho alguna. Es decir, casi una de cada seis organizaciones financieras en nuestro país pudiera estar desprotegida en este aspecto. ¿Ha llevado a cabo una evaluación de riesgos de lavado de dinero? 84% Sí No sabe 8% No, pero planeamos hacerlo durante el próximo año 4% No, no creemos que sea necesario 4% Las evaluaciones de riesgo son críticas. Durante los últimos años, el aumento en los controles de lavado de dinero implementados en los sistemas financieros formales, han obligado a los delincuentes a buscar nuevas maneras de desplazar los recursos económicos derivados de sus delitos. Llevar a cabo evaluaciones de riesgo en forma periódica y estructurada permite a las organizaciones identificar y abordar las áreas de riesgo de forma más efectiva y con el mejor uso posible de sus recursos; asímismo, les permite entender mejor en dónde y con quien hacen negocios. Un Enfoque Basado en Riesgo (EBR) para PLD y FT, significa que se espera que los países, las autoridades competentes y las instituciones financieras, deben identificar, evaluar y entender los riesgos de lavado de dinero/FT a los que están expuestos y adoptar las medidas para mitigarlos de manera efectiva. Métodos de detección La sofisticación de los delincuentes crece con el tiempo, por lo que el lavado de dinero se ha convertido quizás en la actividad criminal más complicada de detectar. Según nuestra encuesta, a nivel global sólo la mitad de las actividades sospechosas de lavado de dinero fueron identificadas por medio de sistemas de monitoreo de transacciones. En México la tasa de detección por este medio es únicamente de 24%. Más aún, el 36% de los encuestados en México indica que no ha detectado ninguna transacción sospechosa de lavado de dinero. En resumen, por los resultados de nuestra encuesta, parece ser que las organizaciones en México están solventando en primer lugar aspectos tecnológicos que les ayuden cumplir los cada vez más demandantes requerimientos regulatorios en materia de PLD; sin embargo, cabe la pregunta de si el mayor tema a resolver en México en el corto o mediano plazo será la captación de talento, tal como lo indican las organizaciones a nivel global. Más aún, nuestra encuesta indica que existen áreas de mejora importantes en los programas y procesos implementados; tales como mantener una adecuada política de Conocimiento del Cliente (KYC o Know Your Customer), actualización de información de clientes (remediación de expedientes) y fomentar una cultura de un EBR, entre otras. Lo anterior será de ayuda para que una mayor tasa de actividades sospechosas sea captada por los sistemas automatizados de monitoreo actualmente implementados por las organizaciones en México. Métodos de detección de actividades sospechosas de lavado de dinero No hemos detectado ninguna actividad sospechosa 36% Investigaciones de alguna Unidad de Inteligencia Financiera 24% Alertas de sistemas automatizados de monitoreo de transacciones 24% Reportes internos del área de ventas, sucursales o gerencias 16% Encuesta sobre delitos económicos 2016 - Suplemento México 37 Prevención de Lavado de Dinero (PLD) Como respuesta a las recomendaciones del GAFI (Grupo de Acción Financiera) y con la finalidad de fortalecer los controles de PLD y FT, México ha reformado su marco normativo para incorporar la evaluación de riesgos y la aplicación de un Enfoque Basado en Riesgos (EBR). Metodología La encuesta global de delitos económicos 2016 contó con la participación de 6,337 encuestados (5,128 encuestados en 2014) de 115 países (en comparación con 99 países en 2011). De los 243 encuestados en México, 44% fueron altos ejecutivos de sus respectivas organizaciones, el 33% fueron sociedades que cotizan en bolsa y 63% organizaciones de más de 1,000 empleados. Se utilizaron las siguientes técnicas de investigación: 1. Encuesta a los empleados de la organización. Los hallazgos de este estudio se basan en la experiencia de los empleados sobre delitos económicos en sus organizaciones. Se obtuvo información de los empleados con respecto a los diferentes tipos de delitos económicos, su impacto en la organización (tanto la perdida financiera como de cualquier daño colateral), el autor de dichos delitos, que medidas tomó la organización y la forma en que respondió a los delitos económicos. 2. Preguntas relacionadas a los delitos cibernéticos, la corrupción/soborno, el lavado de dinero y la ley antimonopolio entre otros delitos económicos. Esta encuesta analizó de manera detallada estas amenazas que a menudo son de naturaleza sistémica y por lo tanto, representan un impacto duradero en la organización. 3. Análisis de las tendencias a través del tiempo. Desde que empezamos a realizar esta encuesta en el año 2001, hemos incluido una serie de preguntas básicas, además de puntos relevantes, que pueden tener un impacto en las organizaciones de todo el mundo. Con estos datos históricos, podemos analizar temas de actualidad, la evolución de los delitos económicos e identificar tendencias. 4. Derivado del redondeo en porcentajes, los datos de algunas gráficas podrían no sumar el cien por ciento. 38 Encuesta sobre delitos económicos 2016 - Suplemento México Contactos Alfredo Hernández Socio Servicios de Asesoría de Negocios/Servicios Forenses [email protected] +52 (55) 5263 6661 Alberto Jaquez Socio Servicios de Asesoría de Negocios/Servicios Forenses [email protected] +52 (55) 5263 6091 Gonzalo Núñez Socio Consultoría Sector Financiero/Prevención de Lavado de Dinero [email protected] +52 (55) 5263 6669 Pablo Martín del Campo Director Servicios Forenses/Investigaciones [email protected] +52 (55) 5263 5740 Jorge Arturo Pérez Gerente Senior Servicios Forenses/Anticorrupción [email protected] +52 (55) 5263 8905 Antonio Hernández Gerente Servicios Forenses/Investigative Analytics [email protected] +52 (55) 5263 8599 Adriana Trujillo Gerente Servicios Forenses/Tecnología Forense [email protected] +52 (55) 5263 5790 Lizbeth Lafuente Gerente Servicios Forenses/Disputas [email protected] +52 (55) 5263 8998 Encuesta sobre delitos económicos 2016 - Suplemento México 39 www.pwc.com/crimesurvey En PwC México somos líderes responsables, comprometidos con la comunidad, el cuidado del medio ambiente y nuestra gente, quien vive la diversidad e inclusión como parte de la cultura de PwC. © 2016 PricewaterhouseCoopers, S.C. Todos los derechos reservados. PwC se refiere a la red y/o una o más firmas miembro de PwC, cada una de las cuales constituye una entidad legal independiente. Favor de ir a www.pwc.com/structure para obtener mayor información al respecto. E laborado por MPC: 20160322-gm-pub-gecsmx-2016
© Copyright 2024