Por: Yanira Petrides
Instituto Tecnológico Autónomo de México
Esperanza Huerta y TerryAnn Glandon
Universidad de Texas en El Paso
Los fraudes cometidos por empleados de una compañía son una preocupación creciente entre empresarios y organismos reguladores, dado el aumento constante tanto en el número como en la magnitud de los casos. 1
Para contrarrestar esta tendencia, las empresas pueden poner en marcha soluciones tecnológicas de detección de fraudes. Por ejemplo, hay sistemas de información que identifican patrones sospechosos de transacciones financieras que pueden ser el resultado de fraudes.
Detectar el fraude una vez cometido sirve para castigar a los defraudadores y comunicar al resto de los empleados que se perseguirá este delito; pero con un fraude consumado el daño está hecho y las posibilidades de resarcirlo son menores. Es más eficiente y menos costoso prevenir el fraude, detectarlo antes de que ocurra. Si se pudiera identificar al empleado que está planeando cometer un fraude, ¿qué medidas tomaría la administración? Suena a ciencia ficción, para no mencionar las implicaciones éticas de hacerlo.
Sin embargo, hay formas no invasivas para conjeturar qué pasa por la mente de las personas. Nuestras comunicaciones reflejan lo que pensamos y sentimos. La palabra escrita, en papel o en formato electrónico, queda y revela nuestras intenciones y razonamientos. Las comunicaciones electrónicas (textos y correos electrónicos) han sido esgrimidas como evidencia en juicios. Por ejemplo, en los juicios del caso Enron, la fiscalía utilizó como evidencia los correos electrónicos intercambiados por los auditores y los altos directivos para demostrar que tenían conocimiento de las estrategias contables aplicadas.2 Recientemente, el mensaje de correo electrónico que envió Fabrice Tourré (exempleado de Goldman Sachs) a su novia, en el que le decía que el mercado hipotecario estaba a punto de desplomarse, fue presentado como evidencia de que hizo recomendaciones engañosas a los inversionistas.3
Si los correos electrónicos expresan lo que pensamos, entonces se podrían analizarlos para identificar a los empleados que están planeando cometer un fraude. De esta forma, los mensajes de correo electrónico servirían no como una evidencia después del fraude, sino como un indicador de que existe la posibilidad de que se incurra en un fraude y se podría actuar para prevenirlo. Éste es el objetivo de nuevos sistemas de información para prevenir fraudes que ya se encuentran en el mercado. Estos sistemas analizan miles de correos electrónicos de los empleados para detectar pistas de fraudes potenciales.
¿Qué expresa un defraudador en potencia en sus comunicaciones que lo pueda delatar? Difícilmente un empleado envía un mensaje de correo electrónico que diga: “voy a defraudar a la empresa”. Los expertos entienden que el fraude es un fenómeno complejo que depende de la conjunción de múltiples factores que establecen las condiciones para que el fraude pueda cometerse. Ocurre un fraude cuando están presentes los siguientes tres elementos –conocidos como el “triángulo del fraude”–: incentivo, oportunidad y racionalización. El incentivo se refiere a una necesidad real o percibida de cometer un fraude. Además del objetivo obvio de obtener dinero, un defraudador puede cometer fraude por la necesidad sicológica de ser admirado o de resultar siempre el ganador. La oportunidad es la posibilidad real de poder cometer el fraude, con o sin ayuda de otra persona o empleado. La racionalización es el proceso mental que sigue el defraudador para justificar una acción que no es ética. Por ejemplo, un empleado puede racionalizar que lo que toma indebidamente de la empresa no es en realidad un robo, sino una forma de compensar lo mal pagado que está.
Los sistemas hacen un análisis lingüístico de los correos buscando pistas sutiles que indiquen racionalización, incentivos o colusión. Por ejemplo, un empleado puede expresar constantemente su descontento con la empresa, que puede ser una forma de racionalización. También puede hablar de un problema económico que requiere una solución inmediata o sostiene relaciones personales con empleados responsables de áreas que cumplen tareas separadas por control interno.
El análisis lingüístico que realizan los sistemas es mucho más que un buscador de palabras clave, pues deben tomar en cuenta el contexto en que se utilizan las palabras y distinguir sarcasmos o bromas. Después de analizar los correos electrónicos, el sistema rinde un informe de las personas con mensajes que apuntan a un fraude en potencia. A partir del informe, la administración debe evaluar si el análisis es atinado y qué hacer si se sospecha de la posibilidad de que ocurra un fraude.
Los sistemas de análisis de correos electrónicos para detección de fraudes en potencia representan un avance en la prevención de fraudes. Sin embargo, también plantean numerosos retos a las empresas. A continuación estudiaremos cinco decisiones que debe tomar la gerencia antes de utilizar estos sistemas. Como en todas las decisiones gerenciales, no existen respuestas correctas o incorrectas. El empresario deberá evaluar las ventajas y desventajas de cada opción y determinar lo más apropiado para su empresa.
Privacidad de correo electrónico
La gerencia debe cerciorarse de que el uso de estos sistemas no contraviene la legislación l del país donde quieren utilizarlos. En algunos países, como Estados Unidos, hay leyes específicas que establecen que las comunicaciones a través del sistema de correo electrónico de la empresa le pertenecen, y como tales, los empleados no cuentan con derechos de privacidad. En México no existe una ley que disponga específicamente que la empresa es propietaria de las comunicaciones electrónicas que envían los empleados a través del correo interno, pero el consenso general es que si la comunicación se realiza con recursos de la compañía, está sujeta a su escrutinio.
Divulgación del uso del sistema
La gerencia debe determinar si revela a los empleados el uso del sistema de análisis de correo electrónico. Cualquiera de las decisiones puede generar ambientes laborales negativos. Si se divulga el uso de los sistemas, los empleados pueden percibir a la alta administración como el big brother que quiere observarlos y controlarlos. Si no se anuncia el sistema, los empleados que se enteren resentirán que no los hayan informado.
Responsabilidad dentro o fuera de la empresa
La gerencia debe decidir si el sistema de análisis de correo electrónico debe ser controlado por un departamento interno o si debe contratar a un tercero. Esta decisión es similar a cualquier decisión de outsourcing en la que se evalúan los costos de cada opción. Por ejemplo, deben ponderarse los costos de hardware y software, así como de contratar personal capacitado. Se corre un riesgo particular con estos sistemas al permitir el acceso de terceros a las comunicaciones privadas de la empresa. Los correos electrónicos empresariales transmiten las decisiones y operaciones del negocio y la fuga de esta información puede tener enormes consecuencias negativas.
Evaluación continua o específica
La gerencia tiene que decidir si el análisis de los correos debe hacerse de forma constante, en un momento determinado o con una periodicidad específica. Un análisis continuo es costoso pero incrementa las posibilidades de detectar la posibilidad de que se cometa un fraude a tiempo de prevenirlo. Un análisis en un momento determinado o con una periodicidad específica es más barato pero puede detectar el fraude potencial demasiado tarde.
Seguimiento de los informes
La gerencia debe establecer un procedimiento para cuando se identifiquen fraudes en potencia. ¿Quién será el responsable del seguimiento? ¿Qué recursos se destinarán para el seguimiento? Debe ponerse en marcha un sistema que evalúe el riesgo de fraude y responda rápidamente para prevenirlo.
Incertidumbre en los informes
Al utilizar estos sistemas es importante entender que hay un margen de error en la detección de defraudadores potenciales, pues la interpretación lingüística es muy subjetiva. Además, la presencia en los mensajes de expresiones que reflejen incentivos o racionalización no implica que el fraude se cometerá por fuerza. Hay empleados que pueden sentirse descontentos constantemente con la empresa pero no cometerían un fraude. Por el contrario, empleados que nunca expresan descontento ni elementos de racionalización pueden cometer un fraude.
Los informes que generan estos sistemas no indican con completa certidumbre que hay alguna posibilidad de que se cometa un fraude. La gerencia debe tomar decisiones a partir de informes que reflejan situaciones ambiguas: la comunicación es sospecha y puede implicar fraude, pero no necesariamente. Al evaluar un informe, la gerencia debe determinar si hay suficientes evidencias para destinar recursos a una investigación de seguimiento. Por el contrario, la gerencia puede considerar que las evidencias no bastan y no seguirlas.
La decisión que tome la gerencia basándose en informes con resultados inciertos tiene implicaciones para la asignación de recursos al seguimiento del caso y la detección de fraudes. Por esta razón, realizamos una investigación para saber qué efecto tiene esta incertidumbre en las decisiones gerenciales. En nuestro siguiente artículo describiremos los resultados a los que llegamos y las implicaciones para la gerencia del negocio.?
Referencias
1. ACFE. 2010 Report to the Nations on Occupational Fraud and Abuse, 2010,citado el 20 de julio de 2011, consultado en ACFE.
2. Hunter, P., Email meets Enron to bring lawyers down on big corporations. Computer Fraud and Security, 2007. 2007(5): 18-20.
3. Baer, J., C. Bray, y J. Eaglesham, ‘Fab’ Trader Liable in Fraud — Jury Finds Ex-Goldman Aide Tourre Misled Participants in Mortgage Security, Wall Street Journal, 2013.
Defraudadores en Potencia: Correos Electrónicos que Revelan la Posibilidad de un Fraude
Instituto Tecnológico Autónomo de México
Esperanza Huerta y TerryAnn Glandon
Universidad de Texas en El Paso
Los fraudes cometidos por empleados de una compañía son una preocupación creciente entre empresarios y organismos reguladores, dado el aumento constante tanto en el número como en la magnitud de los casos. 1
Para contrarrestar esta tendencia, las empresas pueden poner en marcha soluciones tecnológicas de detección de fraudes. Por ejemplo, hay sistemas de información que identifican patrones sospechosos de transacciones financieras que pueden ser el resultado de fraudes.
Detectar el fraude una vez cometido sirve para castigar a los defraudadores y comunicar al resto de los empleados que se perseguirá este delito; pero con un fraude consumado el daño está hecho y las posibilidades de resarcirlo son menores. Es más eficiente y menos costoso prevenir el fraude, detectarlo antes de que ocurra. Si se pudiera identificar al empleado que está planeando cometer un fraude, ¿qué medidas tomaría la administración? Suena a ciencia ficción, para no mencionar las implicaciones éticas de hacerlo.
Sin embargo, hay formas no invasivas para conjeturar qué pasa por la mente de las personas. Nuestras comunicaciones reflejan lo que pensamos y sentimos. La palabra escrita, en papel o en formato electrónico, queda y revela nuestras intenciones y razonamientos. Las comunicaciones electrónicas (textos y correos electrónicos) han sido esgrimidas como evidencia en juicios. Por ejemplo, en los juicios del caso Enron, la fiscalía utilizó como evidencia los correos electrónicos intercambiados por los auditores y los altos directivos para demostrar que tenían conocimiento de las estrategias contables aplicadas.2 Recientemente, el mensaje de correo electrónico que envió Fabrice Tourré (exempleado de Goldman Sachs) a su novia, en el que le decía que el mercado hipotecario estaba a punto de desplomarse, fue presentado como evidencia de que hizo recomendaciones engañosas a los inversionistas.3
Si los correos electrónicos expresan lo que pensamos, entonces se podrían analizarlos para identificar a los empleados que están planeando cometer un fraude. De esta forma, los mensajes de correo electrónico servirían no como una evidencia después del fraude, sino como un indicador de que existe la posibilidad de que se incurra en un fraude y se podría actuar para prevenirlo. Éste es el objetivo de nuevos sistemas de información para prevenir fraudes que ya se encuentran en el mercado. Estos sistemas analizan miles de correos electrónicos de los empleados para detectar pistas de fraudes potenciales.
¿Qué expresa un defraudador en potencia en sus comunicaciones que lo pueda delatar? Difícilmente un empleado envía un mensaje de correo electrónico que diga: “voy a defraudar a la empresa”. Los expertos entienden que el fraude es un fenómeno complejo que depende de la conjunción de múltiples factores que establecen las condiciones para que el fraude pueda cometerse. Ocurre un fraude cuando están presentes los siguientes tres elementos –conocidos como el “triángulo del fraude”–: incentivo, oportunidad y racionalización. El incentivo se refiere a una necesidad real o percibida de cometer un fraude. Además del objetivo obvio de obtener dinero, un defraudador puede cometer fraude por la necesidad sicológica de ser admirado o de resultar siempre el ganador. La oportunidad es la posibilidad real de poder cometer el fraude, con o sin ayuda de otra persona o empleado. La racionalización es el proceso mental que sigue el defraudador para justificar una acción que no es ética. Por ejemplo, un empleado puede racionalizar que lo que toma indebidamente de la empresa no es en realidad un robo, sino una forma de compensar lo mal pagado que está.
Los sistemas hacen un análisis lingüístico de los correos buscando pistas sutiles que indiquen racionalización, incentivos o colusión. Por ejemplo, un empleado puede expresar constantemente su descontento con la empresa, que puede ser una forma de racionalización. También puede hablar de un problema económico que requiere una solución inmediata o sostiene relaciones personales con empleados responsables de áreas que cumplen tareas separadas por control interno.
El análisis lingüístico que realizan los sistemas es mucho más que un buscador de palabras clave, pues deben tomar en cuenta el contexto en que se utilizan las palabras y distinguir sarcasmos o bromas. Después de analizar los correos electrónicos, el sistema rinde un informe de las personas con mensajes que apuntan a un fraude en potencia. A partir del informe, la administración debe evaluar si el análisis es atinado y qué hacer si se sospecha de la posibilidad de que ocurra un fraude.
Los sistemas de análisis de correos electrónicos para detección de fraudes en potencia representan un avance en la prevención de fraudes. Sin embargo, también plantean numerosos retos a las empresas. A continuación estudiaremos cinco decisiones que debe tomar la gerencia antes de utilizar estos sistemas. Como en todas las decisiones gerenciales, no existen respuestas correctas o incorrectas. El empresario deberá evaluar las ventajas y desventajas de cada opción y determinar lo más apropiado para su empresa.
Privacidad de correo electrónico
La gerencia debe cerciorarse de que el uso de estos sistemas no contraviene la legislación l del país donde quieren utilizarlos. En algunos países, como Estados Unidos, hay leyes específicas que establecen que las comunicaciones a través del sistema de correo electrónico de la empresa le pertenecen, y como tales, los empleados no cuentan con derechos de privacidad. En México no existe una ley que disponga específicamente que la empresa es propietaria de las comunicaciones electrónicas que envían los empleados a través del correo interno, pero el consenso general es que si la comunicación se realiza con recursos de la compañía, está sujeta a su escrutinio.
Divulgación del uso del sistema
La gerencia debe determinar si revela a los empleados el uso del sistema de análisis de correo electrónico. Cualquiera de las decisiones puede generar ambientes laborales negativos. Si se divulga el uso de los sistemas, los empleados pueden percibir a la alta administración como el big brother que quiere observarlos y controlarlos. Si no se anuncia el sistema, los empleados que se enteren resentirán que no los hayan informado.
Responsabilidad dentro o fuera de la empresa
La gerencia debe decidir si el sistema de análisis de correo electrónico debe ser controlado por un departamento interno o si debe contratar a un tercero. Esta decisión es similar a cualquier decisión de outsourcing en la que se evalúan los costos de cada opción. Por ejemplo, deben ponderarse los costos de hardware y software, así como de contratar personal capacitado. Se corre un riesgo particular con estos sistemas al permitir el acceso de terceros a las comunicaciones privadas de la empresa. Los correos electrónicos empresariales transmiten las decisiones y operaciones del negocio y la fuga de esta información puede tener enormes consecuencias negativas.
Evaluación continua o específica
La gerencia tiene que decidir si el análisis de los correos debe hacerse de forma constante, en un momento determinado o con una periodicidad específica. Un análisis continuo es costoso pero incrementa las posibilidades de detectar la posibilidad de que se cometa un fraude a tiempo de prevenirlo. Un análisis en un momento determinado o con una periodicidad específica es más barato pero puede detectar el fraude potencial demasiado tarde.
Seguimiento de los informes
La gerencia debe establecer un procedimiento para cuando se identifiquen fraudes en potencia. ¿Quién será el responsable del seguimiento? ¿Qué recursos se destinarán para el seguimiento? Debe ponerse en marcha un sistema que evalúe el riesgo de fraude y responda rápidamente para prevenirlo.
Incertidumbre en los informes
Al utilizar estos sistemas es importante entender que hay un margen de error en la detección de defraudadores potenciales, pues la interpretación lingüística es muy subjetiva. Además, la presencia en los mensajes de expresiones que reflejen incentivos o racionalización no implica que el fraude se cometerá por fuerza. Hay empleados que pueden sentirse descontentos constantemente con la empresa pero no cometerían un fraude. Por el contrario, empleados que nunca expresan descontento ni elementos de racionalización pueden cometer un fraude.
Los informes que generan estos sistemas no indican con completa certidumbre que hay alguna posibilidad de que se cometa un fraude. La gerencia debe tomar decisiones a partir de informes que reflejan situaciones ambiguas: la comunicación es sospecha y puede implicar fraude, pero no necesariamente. Al evaluar un informe, la gerencia debe determinar si hay suficientes evidencias para destinar recursos a una investigación de seguimiento. Por el contrario, la gerencia puede considerar que las evidencias no bastan y no seguirlas.
La decisión que tome la gerencia basándose en informes con resultados inciertos tiene implicaciones para la asignación de recursos al seguimiento del caso y la detección de fraudes. Por esta razón, realizamos una investigación para saber qué efecto tiene esta incertidumbre en las decisiones gerenciales. En nuestro siguiente artículo describiremos los resultados a los que llegamos y las implicaciones para la gerencia del negocio.?
Referencias
1. ACFE. 2010 Report to the Nations on Occupational Fraud and Abuse, 2010,citado el 20 de julio de 2011, consultado en ACFE.
2. Hunter, P., Email meets Enron to bring lawyers down on big corporations. Computer Fraud and Security, 2007. 2007(5): 18-20.
3. Baer, J., C. Bray, y J. Eaglesham, ‘Fab’ Trader Liable in Fraud — Jury Finds Ex-Goldman Aide Tourre Misled Participants in Mortgage Security, Wall Street Journal, 2013.