Encuesta sobre delitos económicos 2016 - PwC...aumentado así el riesgo de pérdidas económicas,...

www.pwc.com/crimesurvey

Encuesta sobre delitos económicos 2016

37%Más de 1 de cada 3 organizaciones reportan haber sido víctimas de algún tipo de delito económico durante los dos últimos años.

28%Más de 1 de cada 4 organizaciones creen que podrían ser víctimas del Crimen Cibernético en los próximos dos años.

27%Las organizaciones del sector financiero son las más afectadas por los Delitos Cibernéticos, ya que más de la cuarta parte reporta haber sido víctima de este tipo de delito en los dos últimos años.

Suplemento México

2 Encuesta sobre delitos económicos 2016 - Suplemento México

3Encuesta sobre delitos económicos 2016 - Suplemento México

Contenido

14

24

32

6 Tendencias generales

38

39

Delitos cibernéticos

Ética y cumplimiento

Prevención de Lavado de Dinero (PLD)

5 Introducción

Metodología

Contactos


En México y en el mundo los delitos económicos son una preocupación y amenaza latente para cualquier tipo de organización.

Lo anterior es lo que nos motiva a continuar realizando nuestra encuesta sobre delitos económicos, la cual es una de las más completas en su género. En esta ocasión, nos complace presentar nuestra edición 2016, en la cual participaron más de 6,000 encuestados a nivel global y más de 240 en México, colocándose como uno de los países con más participación en el mundo.

Nuestra encuesta 2016 muestra que en México siguen prevaleciendo los delitos económicos tradicionales, tales como la malversación de activos, el soborno y la corrupción, así como el fraude contable y el fraude en compras. Sin embargo, en forma sorpresiva, el uso indebido de información privilegiada se posiciona como uno de los delitos más importantes en nuestro país, tanto en incidencias reportadas como en expectativa de ocurrencia en el corto plazo.

Por otra parte, las tendencias globales marcan el rumbo hacia delitos más sofisticados. A nivel global los delitos cibernéticos se colocan en segundo lugar de importancia; sin embargo, aún no figuran dentro de los más relevantes en la encuesta de México. La alta expectativa entre los encuestados en México sobre el posible aumento de delitos cibernéticos en el corto plazo nos lleva a reflexionar sobre el estado de preparación que las organizaciones tienen respecto a esta amenaza.

Por otra parte, las organizaciones en México parecen estar conscientes del ambiente de mayor complejidad y riesgos que prevalece actualmente. El 85% de los encuestados en México afirmó contar un programa de cumplimiento; sin embargo, los resultados de la encuesta también revelan grandes oportunidades de mejora para reforzar la efectividad de dichos programas. Por ejemplo, una de cada cinco organizaciones no ha llevado a cabo ninguna evaluación de riesgos, lo cual es la base de un programa efectivo. Además, solo una de cada tres empresas cuenta con un Oficial de Cumplimiento (Chief Compliance Officer).

Este y otros temas son algunos de los discutidos en esta encuesta, cuyo propósito es proporcionar un panorama sobre los delitos económicos que aquejan a las organizaciones actualmente, como herramienta de valor y de ayuda para una mejor preparación estratégica y de mitigación de riesgos.

Un mejor entendimiento del panorama general de nuestro país, puede ser de ayuda para fomentar aún más la conciencia respecto a la importancia e impacto de los delitos económicos, con la finalidad de impulsar una cultura de prevención.

Esperamos que el presente documento sea de utilidad para su organización y le sirva como punto de referencia.

Alfredo Hernández M.

Introducción



Nuestra encuesta de este año muestra que los delitos económicos continúan evolucionando; mientras que la efectividad de los controles corporativos para detectarlos ha disminuido. La tasa de delitos económicos para México se mantuvo casi estable en 2016 (37%), mostrando solo un ligero aumento de un punto porcentual en comparación con la tasa reportada en 2014 (36%).

Los datos anteriores parecen indicar, a primera vista, que los delitos económicos se han mantenido bajo control; sin embargo, el análisis de los resultados de nuestra encuesta global y para México, sugiere que los mismos continúan evolucionando, mientras que los controles corporativos no lo han hecho necesariamente al mismo ritmo, como se discute más adelante.

Por ejemplo, las organizaciones en México reportaron en 2016 que el 14% de los delitos económicos fue detectado por mero accidente. Mientras que en la encuesta de 2014, el porcentaje fue de tan solo 1.3%. Más aún, en 2016 solo el 48% de los delitos económicos fue detectado a través de los controles corporativos establecidos por las organizaciones, una baja significativa al compararse con la tasa de detección del 54.6% alcanzada por estos medios en 2014 para México.

Lo anterior se vuelve incluso más relevante al considerar que los delitos económicos muestran una clara evolución hacia formas cada vez más sofisticadas, como lo muestran los resultados de nuestra encuesta 2016.

Evolución de la tasa reportada de delitos económicos 2016

2005

% de los encuestados

2007

2009

2011

2014

2016

45%42%41%

43%46%39%

30%51%35%

34%40%37%

37%36%35%

36%37%28%

Global México Latinoamérica

Tendencias generales


A continuación mostramos los resultados por tipo de delito económico reportados para México y globales en 2016.

La malversación de activos y la corrupción y el soborno se mantienen en los primeros lugares de delitos económicos reportados en México en 2016, lo cual es consistente con los resultados mostrados en años anteriores. Debido a que la malversación de activos es el delito más frecuente, las organizaciones han mantenido de forma general una consistencia en su combate. La malversación de activos, comúnmente incluye el robo de inventarios, activo fijo, efectivo y otros activos.

Por otra parte, la corrupción y el soborno continúan también como uno de los principales delitos que aqueja a las organizaciones en México. En 2016, aproximadamente una de cada cinco organizaciones en México (21%) reportaron haber sufrido al menos un incidente de este tipo en los últimos 24 meses, observando una baja respecto a 2014 (31%).

Por otra parte, aunque la tasa de corrupción y soborno disminuyó en 2016 con relación a la reportada en 2014, este delito sigue siendo la principal preocupación de los CEO en México. Según nuestra 6ª Encuesta de CEO en México (2015), el 83% de los CEO mexicanos consideran que la corrupción y el soborno es la principal amenaza para sus negocios.

Otro dato revelador de nuestra encuesta de este año, es que aproximadamente una de cada cuatro organizaciones creen haber perdido oportunidades de negocio a causa de sobornos pagados por sus competidores. Lo anterior indica que la corrupción y el soborno es definitivamente un delito a vigilar de cerca en México.

Por otra parte, no cabe duda que los delitos económicos relacionados a un evento específico pueden causar pérdidas importantes a las organizaciones; sin embargo, los delitos de tipo sistémico, como la corrupción y el soborno, son aquellos que más daño causan, debido a que erosionan la integridad de los empleados, y debilitan las estructuras de control interno, aumentado así el riesgo de pérdidas económicas, multas y daños reputacionales, entre otros. La sección de cumplimiento y ética aborda los resultados de nuestra encuesta sobre este tema tan importante.

Tipos de delitos económicos 2016

Malversaciónde activos

Sobornos y corrupción

Fraude enadquisiciones

Fraudescontables

Otros

Informaciónprivilegiada

Fraude en capital humanoDelitoscibernéticosRobo depropiedad intelectual

Antimonopolio

Espionaje

Fraude fiscal

Fraude hipotecario

Lavadode dinero

76%64%

21%24%

19%23%

19%7%

14%18%

7%

13%11%

12%12%

11%32%

6%

4%4%

3%2%

2%6%

6%2%

1%11%

México Global


Como se comenta al inicio de esta sección, los delitos económicos tienden a evolucionar, adaptándose y aprovechando una mayor globalización y complejidad en los negocios, así como el rápido avance de la tecnología. Lo anterior, se refleja en nuestra encuesta de este año, al posicionarse en tercer lugar un delito que anteriormente no figuraba dentro de los más importantes: el uso indebido de información privilegiada.

En México, casi una de cada cinco organizaciones reportaron haber sufrido al menos un incidente de uso indebido de información privilegiada en los últimos 24 meses, siendo en su mayoría de la industria automotriz y manufacturera. Lo anterior, nos lleva a reflexionar sobre las acciones que deben tomar las organizaciones ante el surgimiento de esta nueva amenaza. Por ejemplo, es importante que las organizaciones tengan un inventario claro de la información que se considere confidencial y estratégica para sus actividades, como punto de partida para establecer controles de acceso y distribución de la misma. Asimismo, es importante crear una cultura entre los empleados y otros terceros para el manejo de información sensible como medida preventiva, entre otras acciones a implementar.

Nuestra encuesta reporta una disminución en la tasa de incidencia de otros delitos tradicionales en México, como lo son el fraude en compras y el fraude contable. El fraude en compras se dio más frecuentemente en 2016 dentro de los procesos de selección y contratación de proveedores.

Con relación al fraude contable, es importante destacar que el mismo no es exclusivo de empresas listadas en alguna bolsa de valores, ya que más de la mitad de los casos reportados ocurrieron en empresas privadas, en donde pueden presentarse casos de manipulación de estados financieros para mejorar las cifras, con motivos que pueden ir desde la obtención de créditos bancarios, presentación de información manipulada a socios comerciales o manipulación de la información interna que puede servir de base para determinar algún tipo de bono de desempeño a empleados.

Por otra parte, el Crimen Cibernético merece una mención especial. Nuestra encuesta 2016 para México reportó una tasa de delitos cibernéticos del 11%, la misma de 2014. Sin embargo, llama la atención que los delitos cibernéticos han mostrado una tasa creciente a nivel global, situándose como el segundo delito en importancia para 2016, en donde aproximadamente una de cada tres organizaciones (32%) indicaron haber tenido al menos un incidente de este tipo en los últimos 24 meses. Los datos reportados nos llevan a reflexionar si los delitos cibernéticos son menos comunes en México que a nivel global, o si en realidad no están siendo del todo detectados y/o reportados.


Las expectativas de delitos económicos para los próximos 24 meses en México proporcionan una mayor claridad sobre los datos anteriores, como se muestra a continuación:

Percepciones futuras de delitos económicos en México

0

15%

10%

5%

20%

25%

30%

35%

Mal

vers

ació

n de

act

ivos

Info

rmac

ión

priv

ilegi

ada

Delit

os c

iber

nétic

os

Sobo

rnos

y c

orru

pció

n

Espi

onaj

e

Frau

de e

n ad

quis

icio

nes

Frau

de e

n ca

pita

l hum

ano

Frau

de c

onta

ble

Robo

de

prop

ieda

d in

tele

ctua

l

Antim

onop

olio

Lava

do d

e di

nero

Frau

de fi

scal

Frau

de h

ipot

ecar

io%

de

encu

esta

dos

35%

30%

28%

27%

21%

18%

15%

10%

9%

6%

5% 5% 5%

Mientras que la Malversación de Activos sigue siendo el delito económico por excelencia, encontramos que en el segundo, tercero y cuarto lugar de preocupación de los encuestados, se encuentran el uso indebido de información privilegiada, los delitos cibernéticos y la corrupción y el soborno, respectivamente.

De la preocupación de las organizaciones por delitos más sofisticados, surge la pregunta de si los mismos están realmente siendo más difícil de detectar, ya sea porque: a) se han vuelto más complejos (como el crimen cibernético y el uso indebido de información privilegiada); b) los controles corporativos se han relajado (lo cual es consistente con la disminución en la tasa de detección por medio de controles corporativos reportada para México en 2016); c) las organizaciones no están siendo lo suficientemente proactivas (por ejemplo, en 2016, aproximadamente una de casi cada cinco organizaciones indicaron que nunca han llevado a cabo un ejercicio de identificación y evaluación de riesgos de fraude), o d) por una combinación de los factores anteriores.

El entorno de negocios que actualmente estamos viviendo, así como la sofisticación en la tecnología y la forma cada vez más compleja en que interactúan los individuos y las organizaciones, combinados con un enfoque reactivo y no proactivo hacia los delitos económicos, representan quizá uno de los mayores riesgos actuales para nuestra sociedad.

Por otra parte, el 56% de los encuestados en México cree que las organizaciones del orden público correspondientes no cuentan con los recursos y la capacitación adecuados para investigar y perseguir los delitos económicos.


Aunque la tasa promedio de delitos económicos reportada para México en 2016 es del 37%, existen industrias que tradicionalmente reportan índices mucho mayores.

Delitos económicos de las industrias más representativas en nuestra encuesta

0

40%

30%

20%

10%

50%

60%

70%

Tran

spor

taci

ón y

logí

stic

a

Deta

llista

s

Indu

stria

s m

anuf

actu

rera

s

Serv

icio

s fin

anci

eros

Indu

stria

aut

omot

riz

Segu

ros

Inge

nier

ía y

con

stru

cció

n

Ener

gía,

ser

vici

os p

úblic

os y

min

ería

Serv

icio

s pr

ofes

iona

les

Hot

eler

ía y

turis

mo

Indu

stria

farm

acéu

tica

Tecn

olog

ía

70%

25%

18%

24%

25%

25%

29%

30%

40%

42%

42%

44%

55%

México 2016

Los delitos económicos son impredecibles y su grado de detección varía de organización a organización. Sin embargo, algunas industrias destacan por haber reportado una tasa más alta que el promedio para México este año. La gráfica de la izquierda muestra la tasa de delitos económicos de las industrias más representativas de nuestra encuesta 2016.

En 2016 la industria de Transportación y logística presenta una tasa, en donde siete de cada diez organizaciones sufrieron algún tipo de delito económico. En esta industria, la malversación de activos es el delito más común. Por otra parte, los delitos fueron cometidos principalmente por actores internos.

La segunda industria con la tasa más alta es la detallista, en donde más de la mitad de los encuestados confirmaron haber sufrido algún tipo de delito económico. En esta industria la mayoría de las organizaciones fueron víctimas de actores internos.

La tercer industria en incidencias es la Manufacturera, en donde el 44% de las organizaciones sufrieron algún tipo de delito económico. En esta industria, el tipo de delito más común es la malversación de activos, perpetrado en su mayoría por actores internos.

Por otra parte, la industria de Servicios financieros continúa mostrando tasas altas de delitos económicos, con el 42% de incidencias para este año. El delito más común en esta industria es la malversación de activos, y aproximadamente la mitad de las organizaciones fueron víctimas de actores externos. Como segundo lugar, se ubica el crimen cibernético en donde una de cada cuatro organizaciones reportaron haber sufrido este delito.

Otras industrias que reportaron tasas mayores que el promedio general son la Automotriz y la de Seguros.


Los daños económicos causados por los delitos económicos continúan siendo importantes en 2016; mientras que el daño colateral más importante es el impacto en la moral de los empleados.

Costo del fraude en México

Más deUS$100millones

De 5 millonesa 100 millonesde US dólares

US$1 millón aUS$5 millones

Menos deUS$100 mil

No sabe

US$100 mila US$1 millón

1%1%

3%3%

13%10%

27%21%

52%59%

4%6%

2014 2016

Daño colateral México 2016

La reputación/marca

Precio delas acciones

Moral delempleado

Relacionesde negocios

Relaciones conreguladores

56%28%

8%3%

79%7%

2%3%

22%34%

26%12%

47%33%

14%1%

66%19%

8%1%

Ninguno Bajo Medio Alto


Perfil del defraudador

2014 2016

Defraudador interno 75% 64%

Defraudador externo 22% 25%

No sabe 3% 11%

Total 100% 100%

Nuestra encuesta 2016 muestra una disminución en los actores internos como principales perpetradores de los delitos económicos. Mientras que las incidencias de actores externos se mantuvieron más o menos estables, es de llamar la atención el aumento en el número de respuestas de los participantes que indicaron no saber si el actor fue interno o externo, lo cual podría indicar una menor atención prestada a los delitos ocurridos.

En cuanto al perfil del defraudador típico, la encuesta de 2016 nos muestra que continúa siendo hombre, con grado universitario, de 31 a 40 años de edad y con tres a cinco años en la organización.

Habiendo discutido los datos generales sobre delitos económicos de nuestra encuesta, nos enfocaremos a continuación en tres áreas clave: Delitos Cibernéticos, Programas de Ética y Cumplimiento y Prevención de Lavado de Dinero (PLD). Además, comentaremos sobre algunas de las acciones que las organizaciones pueden llevar a cabo para adoptar medidas importantes de prevención y mitigación de riesgos en el combate a los delitos económicos, acordes al entorno complejo que estos temas representan en la actualidad.

Defraudadorinterno

75%2014

64%2016

Defraudadorexterno

22%2014

25%2016

11puntos

porcentuales

Disminución

3puntos

porcentuales

Aumento

HombreGraduado

universitario31-40 años

de edad3-5 años en

la organización

Encuesta sobre delitos económicos 2016 - Suplemento México14

Delitos cibernéticos


Delito

s cibern

éticos

A nivel global, los delitos cibernéticos se colocan en el segundo lugar de importancia; sin embargo, aún no figuran dentro de los más relevantes en la encuesta de México.

Recientemente, los delitos económicos “tradicionales” han empezado a evolucionar hacia formas más sofisticadas, propiciando el aumento importante a nivel global de los delitos cibernéticos, también conocidos como “Cybercrime”.

Según los resultados de nuestra encuesta, a nivel global los delitos cibernéticos se colocan en el segundo lugar de delitos económicos más reportados, principalmente debido al impetuoso desarrollo tecnológico que actualmente se experimenta en todo el mundo. Hoy en día existe un componente cibernético en prácticamente todas las industrias, lo que da pie a nuevas formas de crimen en el campo de la tecnología.

Los criminales cibernéticos han encontrado la manera de atacar a todo tipo de organizaciones, sin importar su industria, sector, tamaño, madurez o ubicación geográfica, afectando incluso a sus proveedores, clientes y otros terceros con quienes interactúan.

En México, llama la atención que los delitos cibernéticos no se encuentren dentro de los primeros lugares.

Nuestra encuesta indica que los delitos cibernéticos a nivel global aumentaron, pasando del 4to lugar en 2014 al 2º en 2016; sin embargo, en México este crimen se posiciona todavía en el 8º lugar con una tasa de incidencia del 11%.

A pesar de la baja incidencia de delitos cibernéticos en México, éstos son más temidos de lo que aparentan, posicionándose como el tercer delito con más probabilidad de ocurrir en los próximos dos años en nuestro país según los encuestados, solo detrás de la malversación de activos y del uso indebido de información privilegiada, superando incluso a la corrupción y el soborno.

Por otra parte, nuestra encuesta muestra que 16% de las organizaciones en México indicaron haber sido afectadas por delitos cibernéticos en los últimos 2 años, otro 16% no lo sabe y el resto (68%) contestó que no han sido afectadas por este tipo de delitos. Es de llamar la atención que a nivel global, 26% de las organizaciones indican haber sido afectadas por delitos cibernéticos, una tasa mucho mayor que la de México.

Afectación por delitos cibernéticos en los últimos 2 años en México

16%No sabe

16%Decreased

68%No

Sí


Más aún, es importante mencionar que la percepción de los riesgos asociados a delitos cibernéticos en México ha crecido. Según nuestra encuesta, casi la mitad de las organizaciones en México indican que su percepción de riesgo por delitos cibernéticos aumentó en los últimos 24 meses, un crecimiento más pronunciado (8 puntos porcentuales) con relación a 2014.

Cambio en la percepción de riesgo por delitos cibernéticos en México

Ha incrementado

Ha disminuido

Ha permancedio igual

49%41%

35%

6%12%

8%

46%47%

57%

2016 2014 2011

Considerando lo anterior, vale la pena reflexionar sobre los contrastes importantes que muestran las respuestas de los encuestados en México. Por una parte, se puede observar en México una baja tasa de delitos cibernéticos reportados (11%), pero por la otra, una alta preocupación de que los mismos ocurrirán en los próximos dos años. Más aún, la tasa de delitos cibernéticos reportada a nivel global es del 32%, es decir, mucho más alta que la de México.

Debido a lo anterior, podría pensarse que no todos los delitos cibernéticos pudieran estar siendo detectados en México o podría ser que la organizaciones no están reportando los delitos de este tipo que han sufrido. En este sentido, es importante mencionar que el marco regulatorio para protección de datos es relativamente nuevo, por lo que conforme madure, podría influir en un mayor número de casos que se conozcan y reporten.

Datos personales, una consideración cuando ocurre una vulneración de seguridad en las organizaciones.

Una consideración a efectuar cuando se ha comprometido información de terceros en poder de una organización, es el curso de acción definido en nuestras leyes. En el caso de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, dentro de los “Principios de Protección de Datos Personales”, artículo 20, se establece que:

“Las vulneraciones de seguridad ocurridas en cualquier fase del tratamiento que afecten de forma significativa los derechos patrimoniales o morales de los titulares, serán informadas de forma inmediata por el responsable al titular, a fin de que este último pueda tomar las medidas correspondientes a la defensa de sus derechos.”

De manera más detallada, el Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, establece criterios específicos de información en sus artículos 64, 65 y 66, respecto de las notificaciones de vulneraciones de seguridad que las organizaciones deben de llevar acabo.


Las pérdidas por delitos cibernéticos continúan siendo importantes.

Nuestra encuesta para México revela que en términos financieros, más de la mitad de las organizaciones que sufrieron delitos cibernéticos reportaron haber sufrido pérdidas en los últimos 2 años de hasta Dls. $100,000. Por otra parte, el 6% reporta pérdidas que superan el millón de dólares estadounidenses, muy cercano al 7% reportado a nivel global.

Pérdidas por delitos cibernéticos en México

No ha habido pérdidas

De 1 a < 50,000 USD

De 50,000 a < 100,000 USD

De 1 millón a < 5 millones USD

De 5 millones a < 100 millones USD

No sabe

De 100,000 a < 1 millón USD

18%

29%

26%

5%

3%

3%

16%

Los números mostrados en la gráfica de arriba dejan claro que al igual que en otros países, en México ocurren este tipo de incidentes, y que implican daños importantes a la imagen y finanzas de las empresas, y en el peor de los casos, también llegan a afectar a los clientes y otros terceros con quienes interactúan las organizaciones, los cuales, en su mayoría, se enteran del robo de datos a través de terceros, incluyendo los noticieros, redes sociales, o incluso a través de los mismos datos que son filtrados a través de Internet.

“Amenazas Persistentes Avanzadas”Otro factor importante que aumenta la incertidumbre de haber sido o no víctima de Delitos Cibernéticos, es un tipo de ataque que preocupa a los profesionales de la seguridad de la información, conocido como “Amenazas Persistentes Avanzadas” (“Advanced Persistent Threat” o APTs por sus siglas en inglés).

Las APTs son campañas de ataques cibernéticos, generalmente dirigidos a una organización en particular y financiado por gobiernos o grandes organizaciones criminales, que se caracterizan por su dificultad en ser detectadas.

Las APTs utilizan diferentes fases de ataque, métodos y técnicas de evasión y ocultación. Su misión principal es permanecer “invisibles” o no identificadas por periodos de tiempo relativamente largos y así permitir a los atacantes recopilar información sobre su víctima. Debido a la naturaleza y al alcance global de este tipo de ataques, las empresas mexicanas no están exentas de este riesgo.

Aunque no todas las organizaciones son objeto de ataque de las APTs, es de gran valor conocer la naturaleza de las mismas, y aprovechar dicho conocimiento para construir sistemas y procedimientos más robustos para proteger la información de las organizaciones.

Delito

s cibern

éticos


El tipo de pérdida más importante por delitos cibernéticos es la financiera.

Según nuestra encuesta, las pérdidas financieras reales son las que más impactan a las organizaciones mexicanas, ya que casi una de cada cuatro organizaciones indicaron que este tipo de daño es el más importante. En segundo lugar, las organizaciones mexicanas reportaron al daño reputacional como el más importante, el cual fue mencionado por 1 de cada 5 organizaciones.

Es importante destacar que el daño reputacional puede ser incluso mayor que el financiero, ya que la imagen negativa de un ataque cibernético puede influir en la capacidad de las organizaciones para continuar haciendo negocios con otras entidades, así como la pérdida de confianza de los clientes, entre otros daños.

Tipos de daños por delitos cibernéticos en México

Pérd

ida

finan

cier

a re

al

Daño

repu

taci

onal

Pérd

ida

o ro

bo d

e in

form

ació

nde

iden

tific

ació

n pe

rson

al

Cos

tos

juríd

icos

, de

inve

rsió

no

de c

umpl

imie

nto

Ries

gos

regu

lato

rios

Inte

rrupc

ión

del s

ervi

cio

Robo

de

prop

ieda

d in

tele

ctua

l,in

cluy

endo

robo

de

dato

s

24%

9%29

%29

%9%

6%9%

12%

64%

9%

6%21

%26

%44

%3%

6%34

%22

%38

%

9%16

%38

%34

%3%

17%

9%11

%51

%11

%

20%

9%29

%40

%3%

Alto

Medio

Bajo

Ninguno

No sé


Estado de preparaciónLa capacidad de una organización para afrontar incidentes cibernéticos radica en el estado de preparación que esta tenga, el cual implica integrar medidas de seguridad y procesos a través de todos los sistemas e infraestructura de la organización. En este sentido, la preparación inicia, desde luego, con el involucramiento de la alta administración.

No obstante, menos de la mitad de las organizaciones mexicanas (44%), indican que los miembros del Consejo de Administración están al tanto del estado de preparación de sus organizaciones para afrontar estos incidentes, revisándolo periódicamente, ya sea de forma mensual, trimestral o anual.

Información a la alta administración sobre el estado de preparación en crímenes cibernéticos

Mensualmente

Trimestralmente

Anualmente

Los miembros del Consejode Administración no

lo consideran necesario

Otro

No sabe

Los miembros del Consejode Administración no solicitan

esta información

12%

22%

10%

23%

10%

2%

21%

Por otra parte, una de cada tres organizaciones indicaron que el Consejo de Administración no solicita información o no cree necesario saber el estado de preparación de la organización ante posibles ataques cibernéticos.

Lo anterior es sumamente preocupante, ya que el no tener claro un estado de preparación ante un ataque cibernético, implica no comprender sus impactos e incluso desconocer si la organización está lista para continuar su operación después de un incidente.

Hoy en día, conocer el estado de preparación es fundamental para la continuidad de las operaciones, ya que, derivado del aumento de negocios que utilizan internet como medio para transferir recursos económicos (dinero, valores, etc.) y al aumento en el intercambio de datos, entre ellos información confidencial, los incidentes de seguridad informática son más comunes de lo que se cree.

El tener claro un estado de preparación tiene ventajas directas evidentes, tales como conocer la rapidez con la que una organización puede identificar, analizar y responder a un incidente, limitando el impacto y minimizando los costos de recuperación. Además de proteger y mantener la reputación de la organización, un buen estado de preparación demuestra la importancia que ésta da a sus políticas y procesos de seguridad de la información.

Delito

s cibern

éticos


Plan de respuesta ante incidentesSimilar a la situación global, tan solo el 36% de las empresas nacionales encuestadas cuentan con un plan de respuesta en operación ante posibles ataques cibernéticos, siendo las industrias de servicios financieros y manufactura las más fortalecidas en este aspecto. Por otra parte, el 18% de las organizaciones cuentan con un plan, pero este aún no se encuentra implementado por completo y un alarmante 46% no cuenta con plan alguno o desconoce si existe.

¿Cuenta con un plan de respuesta ante posibles ataques cibernéticos?

Sí, el plan estotalmente operativo

Sí, pero todavía nose ha implementado

No, pero estamos valorandoen este momento la viabilidad

de la implementaciónde dicho plan

No, ni lo tenemosni tenemos previsto

implementar dicho plan

No sabe

12% 36%

18%

14%

12%

20%

Equipo de primera intervenciónDado que aún la infraestructura tecnológica más segura no puede garantizar que nunca ocurrirán incidentes de seguridad, las empresas deben contar con un equipo que responda de manera efectiva ante la materialización de algún ataque informático. El equipo de primera intervención es la primera línea de respuesta ante este tipo de eventos e, idealmente debe estar formado no solamente por personal de tecnología de la información (TI), sino también por especialistas de diferentes disciplinas y áreas de la organización, tales como consultores legales, especialistas en tecnología forense, recursos humanos, relaciones públicas y ejecutivos de la alta administración. El conocimiento y la participación activa de la alta administración son de suma importancia, ya que ayudarán a la correcta toma de decisiones y a integrar la respuesta a un incidente a través de todas las áreas de la compañía.

En las organizaciones mexicanas encuestadas, el equipo de primera intervención ante incidentes cibernéticos se conforma principalmente por especialistas en seguridad de TI (72%) y personal de tecnología con conocimiento del entorno cibernético de la organización (64%). Estos porcentajes se asemejan mucho a la situación global.

En México existe una participación más alta de consultores legales en este equipo (33%) que de la alta administración, (20%). Esto contrasta con la tendencia global de contar cada vez más una mayor participación de la alta administración, la cual nos reporta un 46% para 2016.

Personas involucradas en primeras intervenciones de ataques cibernéticos

Especialistas enseguridad de TI

Personal de TI conconocimientos del entorno

de TI nuestra entidad/organización

Alta administración

Representante derecursos humanos

Especialistas entecnología forense

Otros

Consultores legales

72%

65%

20%

33%

13%

5%

3%


Por otra parte el actor principal en el equipo de primera intervención en México es actualmente el personal de TI/Seguridad de TI. Si bien estos especialistas tienen un papel fundamental en la detección y la mitigación un ataque, debemos destacar que solo existe un 5% de participación de especialistas en tecnología forense, en comparación con 11% en los resultados globales.

Los especialistas en tecnología forense desempeñan un papel fundamental en un plan de respuesta a incidentes, ya que, entre otras tareas, se encargan de preservar y analizar evidencia electrónica, útil para comprender los hechos que llevaron a la materialización del incidente. Incluso, siguiendo una metodología profesional, el proceso y resultados de estas investigaciones pueden ser presentados como evidencia en procesos legales. Aunque el equipo de seguridad de TI pueda ayudar a contener un ataque, es muy probable que el incidente vuelva a presentarse si se desconoce su origen y no se realiza una investigación forense de lo sucedido.

Una investigación profunda desde que ocurre un ataque, o incluso cuando hay sospechas de alguno, es altamente recomendable como parte del protocolo de respuesta. Esto ayudará a que el plan de acción no solo se limite a detener el ataque sino que permita ir más allá para determinar su origen y naturaleza. Por ejemplo, es importante responder: ¿Qué implicaciones hay si el ataque viene de una fuente interna a la organización (como empleados insatisfechos)? y ¿Cómo variaría un plan de acción en comparación con un ataque externo?

Actualmente la tecnología es un tema creciente cuyo desconocimiento pronto no será opción. El conocimiento sobre tecnologías de la información y tendencias de crimen cibernético permitirá a la alta administración tener una visión más amplia de las repercusiones negativas a su industria y le ayudará a estar mejor preparada para afrontarlas.

Amenazas internas vs. externasNuestra encuesta indica que a nivel global existe una mayor preocupación hacia actores externos como origen de posibles ataques cibernéticos para los próximos 2 años. Por su parte, la percepción de peligro por parte de amenazas internas ha disminuido. Esto concuerda con el panorama global, ya que en la mayoría de las brechas de seguridad reportadas en los últimos años, los atacantes externos superan por mucho a los internos. Sin embargo, debemos tener en cuenta el peligro que supone un atacante interno con permisos legítimos en los sistemas tecnológicos de la organización.

Expectativas de origen de las amenazas cibernéticas en los próximos dos años

Procedencia interna

Procedencia externa

Procedencia tantointerna como externa

No sabe

12%9%

17%

46%43%

48%

35%36%

26%

7%13%

9%

2016 2014 2011

Delito

s cibern

éticos


Industrias más afectadas por delitos cibernéticos

Delitos cibernéticos de las industrias más representativas en nuestra encuesta

Servicios financieros

Hotelería y turismo

Transportación y logística

Industria automotriz

Servicios profesionales

Tecnología

Detallistas

Industrias manufactureras

Energía, servicios públicosy minería

Seguros

Ingeniería y construcción

Industria farmacéutica

27%

25%

20%

18%

17%

17%

15%

13%

12%

10%

10%

6%

Tanto los resultados globales como los de México, muestran que el sector financiero es el más afectado por delitos cibernéticos. Esto no es de extrañar, ya que actualmente se realizan millones de transacciones financieras al día desde cualquier dispositivo que cuente con una conexión a internet, como compras en línea, pago de servicios y transferencias bancarias, entre otros. Esto amplía de manera natural la exposición de este sector a los delitos cibernéticos.

Por su parte, los criminales informáticos utilizan cada vez ataques más grandes y sofisticados, teniendo como objetivo no solo a las entidades financieras, sino también a los usuarios de las mismas, es decir, cualquier persona que lleve a cabo sus operaciones bancarias a través de internet.

En esta carrera frenética, el sector financiero se ha visto obligado a contar también con mejores controles de seguridad, una infraestructura más robusta y áreas especializadas en crímenes financieros. Esta evolución necesaria podría explicar por qué el sector financiero cuenta también con más casos reportados/detectados en comparación con otras industrias.

Por otra parte, cabe destacar que el 45% de las organizaciones a nivel global creen que las instituciones públicas no cuentan con las habilidades y recursos adecuados para investigar incidentes relacionados con el crimen cibernético. En México, el 57% de los encuestados externaron esta creencia respecto a las autoridades.

¿Cree que las autoridades correspondientes cuentan con capacidades y recursos adecuados para investigar delitos cibernéticos?

57%No

20%

23%No sabe

Sí


Sin duda, los delitos cibernéticos han ido en aumento a nivel global, sin dejar de afectar a nuestro país. Todo esto derivado de la evolución y el crecimiento de las tecnologías de la información, las cuales se hacen presentes cada vez con mayor impacto en nuestras vidas y en nuestra forma de hacer negocios.

La adopción y constante evolución del estado de preparación para afrontar este tipo de delitos, capacitación constante del personal de primera intervención y, sobre todo, el involucramiento continuo de la alta administración serán fundamentales para que los delitos cibernéticos dejen de percibirse como un problema puramente técnico y se consideren como una verdadera amenaza a la estrategia de negocios. Este cambio de enfoque ayudará a mitigar en forma importante los impactos negativos en las organizaciones de todo el mundo.

Delito

s cibern

éticos


Ética y cumplimiento


Ética

y cum

plim

iento

El ambiente actual de negocios se caracteriza por enfrentar riesgos cada vez mayores, por lo que es vital contar con una estrategia que armonice la ética y el cumplimiento con los objetivos organizacionales. Los resultados de nuestro estudio muestran que los riesgos van en aumento, tanto en impacto potencial como en complejidad. Asimismo, el rol que juega el desarrollo acelerado de la tecnología es también un factor a considerar.

Lo anterior no es sorpresa ante un ambiente de negocios caracterizado por la creciente globalización, una vigilancia más estricta por parte de los reguladores, una aplicación más severa de sanciones y, en general, una mayor demanda por la rendición de cuentas.

Debido a esto, la capacidad de las organizaciones para identificar y mitigar riesgos de incumplimiento necesita evolucionar a un ritmo acelerado. Nuestra encuesta muestra que las organizaciones en México, en general, parecen estar conscientes de los riesgos, ya que el 85% de los encuestados afirmó contar con un programa formal de cumplimiento.

Empresas que cuentan con un programa formal de cumplimiento por tamaño de organización

0

40%

100%

20%

80%

60%

Más

de

10,0

00 e

mpl

eado

s

5,00

1-10

,000

em

plea

dos

1,00

1-5,

000

empl

eado

s

501-

1,00

0 em

plea

dos

101-

500

empl

eado

s

Has

ta 1

00 e

mpl

eado

s

96%

60%

68%

86%

88%

100%

Promedio general 85%

Como se observa en la gráfica anterior, existe una correlación clara entre el tamaño de las organizaciones y la adopción de programas de cumplimento por parte de las mismas; sin embargo, es importante considerar que existen riesgos inherentes a los que toda industria y organización está expuesta, independientemente de su tamaño.

Como se discute más adelante, un análisis de riesgos estructurado y bien conducido, puede eficientar de manera importante el diseño y adopción de un programa de cumplimiento tanto en recursos económicos, materiales y humanos, con base en las circunstancias específicas de cada organización, incluyendo aquellas de menor tamaño.

El contar con un programa de cumplimiento es un gran paso, y para aprovecharlo al máximo, las organizaciones deben asegurar que los mismos estén diseñados sobre bases sólidas. Para ser efectivo, un programa de cumplimiento debe adoptar un enfoque basado en riesgos, que asegure el entendimiento e identificación de las áreas vulnerables de las organizaciones, como punto de partida para implementar acciones adecuadas de mitigación.


No obstante lo anterior, nuestra encuesta de este año revela que una de cada cinco organizaciones (21%) en México, no ha llevado a cabo ninguna evaluación de riesgos en los últimos 24 meses, lo cual representa un aumento de dos puntos porcentuales con relación a nuestra encuesta 2014. Esta situación definitivamente no contribuye a asegurar la efectividad de los programas de cumplimiento, dejando expuestas a cierto número de organizaciones.

Análisis de riesgo efectuado por tamaño de organización

Has

ta 1

00 e

mpl

eado

s

101-

500

empl

eado

s

501-

1,00

0 em

plea

dos

1,00

1-5,

000

empl

eado

s

5,00

1-10

,000

em

plea

dos

Más

de

10,0

00 e

mpl

eado

s

13%

45%

10%

32%

21%

24%

10%

45%

10%

28%

7%55

%

12%

24%

8%56

%

19%

6%8%

67%

38%

10%

5%48

%

No sabeNuncaEn una ocasiónPeriódicamente(Cada 3 meses,cada 6 meses,cada año o conotra periodicidad)

Promedio de organizaciones que no han hecho un análisis de riesgos 21%

Por otra parte, es también muy importante que todos los miembros de una organización, y no solo los del área de cumplimiento, entiendan sus roles y responsabilidades para asegurar la efectividad del programa. Sin embargo, un sinnúmero de organizaciones exhiben cierto grado de confusión acerca de quién tiene la responsabilidad de la función de cumplimiento y que representa dicha responsabilidad.

Sin duda, toda la organización necesita estar trabajando de manera conjunta hacia una meta común en temas de cumplimiento, teniendo un rol preponderante las gerencias y otros mandos medios, que por la naturaleza de sus funciones, son las mejor posicionadas para entender e identificar los riesgos y calibrar la magnitud de los mismos. Por otra parte, los principales roles de la función de cumplimiento, deben ser la coordinación, supervisión y orientación del programa.

Contar con un profesional de tiempo completo, un Comité de Cumplimiento y un equipo de cumplimiento multifuncional que monitoree los riesgos del negocio y ética en toda la organización, se ha vuelto de vital importancia para hacer del cumplimiento un compromiso y una realidad.


Ética

y cum

plim

iento

No obstante lo anterior, solo 1 de cada 3 organizaciones en México (34%), indican contar con un Director/Oficial de Cumplimiento dedicado 100% al programa, siendo en su mayoría las más grandes, pero incluyendo también a organizaciones de todos tamaños.

Responsable del programa de cumplimiento México por tamaño de organización

Más

de

10,0

00 e

mpl

eado

s

101-

500

empl

eado

s

501-

1,00

0 em

plea

dos

1,00

1-5,

000

empl

eado

s

5,00

1-10

,000

em

plea

dos

Hast

a 10

0 em

plea

dos

46%

54%

33%

67%

29%

71%

17%

83%

33%

67%

21%

79%

Otros (Chief Audit Executive,Chief Financial Officer, General Counsel, Director de Recursos Humanos, etc.)Oficial de Cumplimiento

Como se observa en la gráfica anterior, una gran parte de las organizaciones tienen como responsables de los programas de cumplimiento a ejecutivos de otras áreas, incluyendo al Director General, Director Financiero, Director de Recursos Humanos, Director Legal y el Auditor Interno, entre otros. Ciertamente, las circunstancias específicas de cada organización varían ampliamente; sin embargo, es importante que exista un balance adecuado entre el tiempo y recursos dedicados a las tareas de cumplimiento por una parte, y por la otra, la complejidad, importancia y cantidad de riesgos que las organizaciones enfrentan.


Identificar y evaluar la naturaleza y magnitud de los riesgos, así como dedicar los recursos adecuados, es esencial para diseñar medidas de prevención adecuadas, que a su vez apoyen de forma efectiva y eficiente el logro de los objetivos de negocio.

Pero, ¿Qué tan expuestas están las organizaciones que operan en México? En este sentido, es importante recordar los casos públicos de potencial corrupción que han involucrado a organizaciones multinacionales, mismas que cuentan con programas de ética y cumplimiento robustos y maduros.

Lo anterior, nos lleva a reflexionar si los casos antes mencionados pudieran ser un indicio de que aún los programas de cumplimiento más maduros no están a la altura de la complejidad y constante evolución de riesgos; o si los mensajes enviados por la alta administración no son captados claramente por los miembros de las organizaciones; o si los mismos están siendo contradictorios. Para abordar estos temas, nuestra encuesta abordó la percepción que tienen las organizaciones sobre los programas de cumplimiento, como se muestra a continuación.

Percepción sobre los programas de Ética y Cumplimiento

Las inquietudes se pueden comunicar de forma confidencial, sin miedoa represalias,y las respuestas se reciben a su debido tiempo

Con independencia del nivel, rol, departamento o ubicación, las sancionesy los procedimientos disciplinarios se aplican de forma coherente

Con independencia del nivel, rol, departamento o ubicación,las recompensas son justas y coherentes

Los líderes y directivos comunican la importancia de la conducta empresarial éticamediante todo lo que hacen, dando buen ejemplo y tratándolo como una prioridad

Existen canales confidenciales para presentar inquietudes (incluyendouna política y un procedimiento de canal de denuncias establecido)

La conducta empresarial ética es un componente clave de nuestrosprocedimientos de recursos humanos, incluyendo objetivos,

promoción, recompensa, reconocimiento y disciplinarios

Los valores organizacionales están bien establecidos y son bien entendidos

Existe un código de conducta que cubre las principales áreas y políticasde riesgos y establece los valores organizacionales y los comportamientos

esperados en todas las personas de la organización

Se ofrece capacitación regular sobre el código de conducta (así como políticasde soporte), junto con comunicaciones regulares y varios canales de asesoramiento

4%

De acuerdoTotalmente de acuerdo En desacuerdo Totalmente en desacuerdoNeutral

41%34% 5%16% 4%

39%49% 9%4%

40%29% 19% 8%

39%27% 5%22% 7%

29%50% 5%9% 7%

33%54% 9%4%

41%49% 8%2%

2%32%58% 5%4%

39%36% 15% 7%4%

Lo anterior, indica que existe una percepción positiva, en general, sobre los programas de cumplimiento; sin embargo, existen áreas de mejora, sobre todo por aquellos factores en los que los participantes mostraron una tasa más alta de desacuerdo.


Ética

y cum

plim

iento

Percepción de la corrupciónComo parte de nuestra encuesta, indagamos también acerca de la percepción que las organizaciones tienen sobre la postura que toma la alta administración ante la corrupción, obteniendo los siguientes resultados.

Percepción sobre la posición de la alta administración ante la corrupción

Considera que el sobornono es una práctica legítima

Prefería no llevar a cabo un negocioen lugar de incurrir en soborno

Esperan que el gobierno adopte una posturaimparcial en cuanto a la aplicación

de leyes anticorrupción

Adoptan una postura públicacontra la corrupción

Esperan que sus socios comerciales adoptenuna postura firme contra la corrupción

Respaldan firmementelas directrices corporativas

46%

De acuerdo y totalmente de acuerdo En desacuerdo y totalmente en desacuerdoNi de acuerdo ni en desacuerdo

7%

2%

4%

2%

8%6%

6%5%

86%

89%

78% 15%

8%90%

89% 7%

89% 9%

Como puede observarse, la gran mayoría de las respuestas son positivas en el sentido de que se percibe el respaldo de la alta administración en el combate a la corrupción; sin embargo, es de llamar la atención que cierto porcentaje de encuestados (entre el 2% y el 8%) está en desacuerdo o totalmente en desacuerdo, en percepción, con este tema. Más aún, sumando aquellos encuestados que mantienen una posición neutral, los porcentajes que no afirman estar de acuerdo con estos temas varían entre el 10% y el 22%.

Los porcentajes de las respuestas no favorables parecerían no ser tan relevantes a primera vista; sin embargo, este es un tema de reflexión y un área de oportunidad para reforzar los mensajes de la alta administración en las organizaciones y más aún, para asegurar que se actúa en forma congruente y en línea con dichos mensajes. El nivel de respuesta de desacuerdo que muestran los resultados de México aquí mostrados, es ligeramente mayor a los resultados globales.

El contar con programas de cumplimiento efectivos, cobra aún mayor relevancia en México, en donde el riesgo de corrupción es muy alto y se encuentra latente en todos los sectores de la economía. Para fortalecer sus programas de cumplimiento, las organizaciones en México deben de obtener un buen entendimiento de las tendencias y esquemas de corrupción en el país, su industria, y su ámbito específico de operaciones, para poder implementar controles adecuados que les permitan mitigar dichos riesgos.

Un buen termómetro de los esquemas de corrupción en el país lo representan los casos de resoluciones de FCPA1 por los últimos 15 años que involucran a organizaciones operando en México, como se muestra a continuación.

1 Foreign Corrupt Practices Act en inglés o Ley de Prácticas Corruptas en el Extranjero, originaria de Estados Unidos


Esquemas de corrupción comunes en México

Pagos indirectos, a través de socios

comercialesDeficiencias

en los controles de tesorería

para monitorear el destino final

de fondos

Pagos indebidos a través de nómina

Regalos, viajes y entretenimiento

indebidos

Sobreprecio/soborno

Proveedores ficticios/

facturas falsas

Principalesesquemas

67%

17%

25%

25%

17%

25%

Fuente: Análisis de PwC con base en las resoluciones públicas sobre casos de FCPA involucrando empresas en México por los últimos 15 años.


Ética

y cum

plim

iento

Como se muestra en la gráfica anterior, un gran número de casos de corrupción se lleva a cabo a través de socios comerciales, de ahí la gran importancia de tener un proceso sólido para la gestión de relaciones, evaluación, aceptación y monitoreo de terceros desde una perspectiva de integridad y anticorrupción.

Pero, ¿Cómo garantizar que su programa de cumplimiento se ajuste a sus necesidades?

A continuación hay cuatro áreas clave enfocadas a aumentar la efectividad de los programas de ética y cumplimiento:

• Gente y cultura. Mantener un programa basado en valores, fomentando comportamientos deseados y mostrando congruencia de las acciones con los mensajes de la alta administración.

• Roles y responsabilidades. Asegurándose que han sido correctamente alineados con los riesgos actuales y que se dedican recursos adecuados y dedicados al programa.

• Áreas de alto riesgo. Adoptar un enfoque basado en riesgos, que ayude a un mejor diseño, implementación y evaluación de los programas.

• Tecnología. Mejorar el uso de herramientas de detección y prevención, incluyendo el análisis de grandes cantidades de datos estructurados y no estructurados.

Si bien existen cada vez mayores riesgos y mayor vigilancia, existe también una manera de proteger mejor a las organizaciones y a sus ejecutivos ante dichas circunstancias. Esto mediante un programa de cumplimiento efectivo soportado con análisis de riesgos enfocado a la particularidad de cada organización e industria. Lo anterior deberá incluir un equipo dedicado a dicho programa que se encargue, entre otras tareas, de comunicar y alinear la percepción y compromiso en todos los niveles de la organización.


Prevención de Lavado de Dinero (PLD)


Preven

ción

de La

vad

o d

e Din

ero (P

LD)

Este año, nuestra encuesta analiza algunos aspectos relevantes con respecto a la Prevención de Lavado de Dinero (PLD). Como bien se sabe, el lavado de dinero es uno de los delitos sistémicos que más valor destruyen en las organizaciones, erosionando el sistema económico y facilitando actividades ilícitas, tales como la corrupción, el terrorismo, la evasión de impuestos, el narcotráfico y la trata de personas, entre otras. Sin duda alguna, este delito representa una de las mayores amenazas de nuestro tiempo.

La globalización económica ha brindado diversos beneficios, permitiendo mayor comunicación y crecimiento internacional; sin embargo, el crimen organizado ha aprovechado también dichas condiciones para crecer y fortalecerse.

A nivel global, las organizaciones reportaron en 2016 una tasa promedio de incidencias de Lavado de Dinero, por todas las industrias, del 11%; prácticamente la misma reportada en 2014. Por su parte, las tasas promedio reportadas para México son aún insignificantes, al situarse en 1%, tanto para 2016 como para 2014 por todas las industrias.

Aún y cuando las incidencias reportadas parecieran ser menores, es importante destacar que el ambiente regulatorio actual se ha intensificado, abarcando ahora a diversos sectores económicos, además del Sector Financiero, con la inclusión de actividades denominadas “vulnerables”. Asimismo, las regulaciones han impulsado en forma importante las revisiones y otras acciones de cumplimiento por parte de la autoridad.

Nuestro estudio muestra que el nivel de cumplimiento requerido por las regulaciones de PLD y para el combate contra el Financiamiento al Terrorismo (FT), ha generado desafíos importantes para las organizaciones, incluso para instituciones financieras con mayor grado de sofisticación en este tema.

Esta sección se basa en las preguntas específicas sobre PLD dirigidas a las organizaciones del Sector Financiero que participaron en nuestra encuesta.

Como punto de partida, nuestra encuesta abordó los retos generales más importantes que las organizaciones enfrentan en con relación al cumplimiento de las regulaciones en México en materia de PLD, como se muestra a continuación.

Retos más importantes con relación al cumplimiento de los requerimientos de PLD

Requerimientostecnológicos

Avance en loscambios regulatorios

Impacto negativoen los clientes

Limitaciones por privacidadde datos en información

a compartir entre jurisdicciones

Cumplimiento de requerimientosde PLD en varias jurisdicciones

Complejidad en la formade hacer negocios en industrias

emergentes (moneda virtual,monedero virtual, etc.)

Costos

Habilidad para contratarpersonal experimentado

en PLD

Otros

16%

16%

16%

12%

12%

12%

8%

4%

4%

Los encuestados reportaron que los retos más importantes son los requerimientos tecnológicos, el avance en los cambios regulatorios y el impacto negativo en clientes, todos estos con un 16%.


Requerimientos tecnológicosEn México los dos retos clave que enfrentan la mayoría de las organizaciones en cuanto a sistemas tecnológicos de PLD son: i) la calidad de datos y mantenimiento de la información de clientes en formato electrónico, y ii) la complejidad en la implementación/actualización de sistemas. Estos dos retos concentran el 60% de las respuestas de nuestros encuestados con relación al aspecto tecnológico.

Retos más importantes de sistemas en PLD

Calidad de los datosy mantenimiento de información

de clientes en formato electrónico

Complejidad en la implementación/actualización de sistemas

Sistemas de monitoreogenerando una gran cantidad

de falsos positivos

Limitaciones por privacidadde datos en información

a compartir entre jurisdicciones

Otros

32%

28%

24%

8%

8%

Si bien es cierto que el avance de la tecnología ha puesto a disposición de las organizaciones sistemas de información más sofisticados, la calidad de los datos representa a menudo un reto importante para obtener los resultados deseados. Según nuestros encuestados, este es el principal desafío a superar, lo cual también puede estar incidiendo en la gran cantidad de falsos positivos que actualmente arrojan los análisis llevados a cabo en este ámbito, como se muestra en la gráfica de la izquierda.

Con el avance acelerado de las redes de comunicación, los desarrollos tecnológicos y el rápido crecimiento en el uso de las redes sociales, las organizaciones cuentan hoy con un mayor número de herramientas que les permiten diversificar su operación y atraer nuevos clientes.

Otro reto importante al que actualmente se enfrentan las organizaciones, es el dinamismo en la toma de decisiones al incorporar sistemas tecnológicos que se adapten fácilmente a su infraestructura, brinden seguridad y sobre todo mantengan funcionalidades que permitan cumplir con sus políticas, como la Identificación y Conocimiento del Cliente (Know Your Customer o KYC por sus siglas en inglés), permitiendo la detección y cruce de información, y garantizando la calidad en el sistema de gestión de alertas.

Las normas de nuestro país en esta materia establecen, entre otras, la obligación para las instituciones financieras de contar con un sistema de PLD. Asimismo, empresas no financieras que realizan operaciones definidas como “vulnerables”, deben dar seguimiento especial a la identificación de sus clientes y al reporte de operaciones, considerando periodos acumulados en algunos casos.

Debido a que las inversiones en los sistemas de información pueden ser cuantiosas, las organizaciones deben buscar beneficios que vayan más allá del cumplimiento de los programas de PLD, incluyendo el fortalecimiento de otros programas, como el de prevención de fraude y el de prevención de soborno y corrupción, en donde se pueden crear sinergias importantes.


Avance en los cambios regulatoriosDe igual forma, un desafío relevante que reportaron las organizaciones en México en materia de PLD es el avance en los cambios regulatorios (16%).

Un entorno como el actual provoca reacciones en los diversos participantes de la economía. Regulaciones relacionadas con transparencia, protección de datos, temas de riesgo operativo, por mencionar algunas, han generado lo que muchos denominan una “avalancha regulatoria”, que se hace aún más intensa en el Sector Financiero.

En un periodo muy corto de tiempo, las entidades financieras deben hacer frente a diversas regulaciones de importante magnitud, mismas que mantienen un componente multidisciplinario en su estructura, afectando aspectos clave en toda la organización, como lo son estrategia, gobierno corporativo, procesos, TI, gestión de clientes, etc.

En definitiva, el ritmo de avance en la regulación pone a prueba a las organizaciones para estructurar un mapa regulatorio que desde un enfoque global, permita convertir esta “avalancha regulatoria” en una ventaja competitiva.

Posible impacto negativo en los clientesSin duda alguna, el avance en materia de PLD ha impactado en los requerimientos que las organizaciones sujetas a dichas regulaciones han impuesto a sus clientes. En México, éste es uno de los retos identificados como los más importantes, según los resultados de nuestra encuesta. Sin embargo, los requerimientos más estrictos son necesarios para proteger la reputación de las entidades y la integridad de los sistemas, al reducir la probabilidad de que las mismas se conviertan en un vehículo o en una víctima del crimen financiero.

Establecer un equilibrio adecuado entre el cumplimiento con la creación de nuevos negocios y apalancar el crecimiento, resulta vital en nuestros días.

Inspecciones de la autoridadOtro de los efectos del avance de las regulaciones, es un aumento en las inspecciones por parte de las autoridades correspondientes. Según nuestra encuesta, el 52% de las organizaciones en México han sido sometidas a algún tipo de inspección en los últimos 2 años y un 8% por ciento recibió observaciones relevantes, como se muestra a continuación:

Inspecciones por parte de las autoridades por los últimos dos años

No hemos tenido ningunainspección de las autoridades

en los últimos dos años

Sí hemos tenido alguna inspecciónde las autoridades en los últimos

dos años, pero no recibimosobservaciones importantes

Sí, estamos o estuvimosen programa de remediación

obligatorio

Sí, hemos tenido alguna inspecciónde las autoridades en los últimos

dos años y recibimos observacionesimportantes

No sabe

40%

32%

12%

8%

8%

Un área sumamente importante que las organizaciones deben observar con cuidado, es el adecuado control de la identificación y conocimiento del cliente, así como la conformación y actualización de expedientes de identificación.

Preven

ción

de La

vad

o d

e Din

ero (P

LD)


Los reguladores de igual forma han adoptado un enfoque con base en riesgos para supervisar la adecuada gestión de las entidades en materia de PLD. Este enfoque requiere que los reguladores:

• Desarrollen un conocimiento exhaustivo de los riesgos y de su potencial impacto en las entidades supervisadas.

• Estimen la suficiencia de la evaluación de riesgos de la institución, en función de la evaluación de riesgos nacional.

• Evalúen los riesgos presentes en la organización supervisada para conocer la naturaleza y el alcance de los riesgos en su base de clientes, entre otros.

• Evalúen la suficiencia y eficacia de la aplicación de los controles diseñados por las organizaciones para cumplir sus obligaciones y la mitigación de riesgos.

• Utilicen esa información para asignar recursos, dimensionar las revisiones e identificar la experiencia y destrezas que los supervisores necesiten para realizar un examen eficaz.

Gente y procesosOtro factor clave en PLD es contar con profesionales experimentados en el tema, por lo que no es sorpresa que a nivel global, casi una de cada cinco organizaciones indicaron que éste el mayor desafío en la materia, colocándose como el segundo factor en importancia en cuanto a los mayores retos de PLD, solo detrás del avance en la regulación. No obstante lo anterior, en México únicamente el 4% de las organizaciones señalan que la contratación de profesionistas experimentados en PLD es el mayor desafío.

Actualmente se han emitido en México disposiciones de carácter general para la certificación de auditores externos independientes, oficiales de cumplimiento y demás profesionales en materia de Prevención de Operaciones con Recursos de Procedencia Ilícita y Financiamiento al Terrorismo (Certificación PLD).

Lo anterior nos hace reflexionar si el factor gente se volverá de gran importancia en México en el corto o mediano plazo, en línea con la tendencia global y una vez que las organizaciones logren tener un mayor avance en los temas tecnológicos, mismos que ahora son el mayor reto en materia de PLD, según nuestra encuesta. Sin duda alguna, la captación de experiencia y talento en PLD será vital para que las organizaciones naveguen exitosamente el ambiente de complejidad y evolución de este tipo de delito.

Evaluación de riesgos Uno de los pilares para el desarrollo e implementación efectiva de un programa de PLD es la evaluación de riesgos. En México, el 84% de las organizaciones confirmaron haber efectuado una evaluación de riesgos de lavado de dinero, muy por encima del porcentaje a nivel global del 74%.

Sin embargo, llama la atención el hecho de que un 16% de las organizaciones no ha efectuado una evaluación de riesgos o no sabe si se ha hecho alguna. Es decir, casi una de cada seis organizaciones financieras en nuestro país pudiera estar desprotegida en este aspecto.

¿Ha llevado a cabo una evaluación de riesgos de lavado de dinero?

Sí

No sabe

No, pero planeamos hacerlodurante el próximo año

No, no creemosque sea necesario

84%

8%

4%

4%

Las evaluaciones de riesgo son críticas. Durante los últimos años, el aumento en los controles de lavado de dinero implementados en los sistemas financieros formales, han obligado a los delincuentes a buscar nuevas maneras de desplazar los recursos económicos derivados de sus delitos. Llevar a cabo evaluaciones de riesgo en forma periódica y estructurada permite a las organizaciones identificar y abordar las áreas de riesgo de forma más efectiva y con el mejor uso posible de sus recursos; asímismo, les permite entender mejor en dónde y con quien hacen negocios.


Como respuesta a las recomendaciones del GAFI (Grupo de Acción Financiera) y con la finalidad de fortalecer los controles de PLD y FT, México ha reformado su marco normativo para incorporar la evaluación de riesgos y la aplicación de un Enfoque Basado en Riesgos (EBR).

Un Enfoque Basado en Riesgo (EBR) para PLD y FT, significa que se espera que los países, las autoridades competentes y las instituciones financieras, deben identificar, evaluar y entender los riesgos de lavado de dinero/FT a los que están expuestos y adoptar las medidas para mitigarlos de manera efectiva.

Métodos de detección La sofisticación de los delincuentes crece con el tiempo, por lo que el lavado de dinero se ha convertido quizás en la actividad criminal más complicada de detectar. Según nuestra encuesta, a nivel global sólo la mitad de las actividades sospechosas de lavado de dinero fueron identificadas por medio de sistemas de monitoreo de transacciones. En México la tasa de detección por este medio es únicamente de 24%. Más aún, el 36% de los encuestados en México indica que no ha detectado ninguna transacción sospechosa de lavado de dinero.

Métodos de detección de actividades sospechosas de lavado de dinero

No hemos detectado ningunaactividad sospechosa

Investigaciones de algunaUnidad de Inteligencia

Financiera

Alertas de sistemasautomatizados de monitoreo

de transacciones

Reportes internos del áreade ventas, sucursales

o gerencias

36%

24%

24%

16%

En resumen, por los resultados de nuestra encuesta, parece ser que las organizaciones en México están solventando en primer lugar aspectos tecnológicos que les ayuden cumplir los cada vez más demandantes requerimientos regulatorios en materia de PLD; sin embargo, cabe la pregunta de si el mayor tema a resolver en México en el corto o mediano plazo será la captación de talento, tal como lo indican las organizaciones a nivel global. Más aún, nuestra encuesta indica que existen áreas de mejora importantes en los programas y procesos implementados; tales como mantener una adecuada política de Conocimiento del Cliente (KYC o Know Your Customer), actualización de información de clientes (remediación de expedientes) y fomentar una cultura de un EBR, entre otras. Lo anterior será de ayuda para que una mayor tasa de actividades sospechosas sea captada por los sistemas automatizados de monitoreo actualmente implementados por las organizaciones en México.

Preven

ción

de La

vad

o d

e Din

ero (P

LD)


Metodología

La encuesta global de delitos económicos 2016 contó con la participación de 6,337 encuestados (5,128 encuestados en 2014) de 115 países (en comparación con 99 países en 2011). De los 243 encuestados en México, 44% fueron altos ejecutivos de sus respectivas organizaciones, el 33% fueron sociedades que cotizan en bolsa y 63% organizaciones de más de 1,000 empleados.

Se utilizaron las siguientes técnicas de investigación:

1. Encuesta a los empleados de la organización. Los hallazgos de este estudio se basan en la experiencia de los empleados sobre delitos económicos en sus organizaciones. Se obtuvo información de los empleados con respecto a los diferentes tipos de delitos económicos, su impacto en la organización (tanto la perdida financiera como de cualquier daño colateral), el autor de dichos delitos, que medidas tomó la organización y la forma en que respondió a los delitos económicos.

2. Preguntas relacionadas a los delitos cibernéticos, la corrupción/soborno, el lavado de dinero y la ley antimonopolio entre otros delitos económicos. Esta encuesta analizó de manera detallada estas amenazas que a menudo son de naturaleza sistémica y por lo tanto, representan un impacto duradero en la organización.

3. Análisis de las tendencias a través del tiempo. Desde que empezamos a realizar esta encuesta en el año 2001, hemos incluido una serie de preguntas básicas, además de puntos relevantes, que pueden tener un impacto en las organizaciones de todo el mundo. Con estos datos históricos, podemos analizar temas de actualidad, la evolución de los delitos económicos e identificar tendencias.

4. Derivado del redondeo en porcentajes, los datos de algunas gráficas podrían no sumar el cien por ciento.


Metodología Contactos

Alfredo HernándezSocio Servicios de Asesoría de Negocios/Servicios [email protected]+52 (55) 5263 6661

Alberto JaquezSocio Servicios de Asesoría de Negocios/Servicios [email protected]+52 (55) 5263 6091

Gonzalo Núñez Socio Consultoría Sector Financiero/Prevención de Lavado de [email protected]

+52 (55) 5263 6669 Pablo Martín del Campo Director Servicios Forenses/[email protected]+52 (55) 5263 5740

Jorge Arturo Pérez Gerente Senior Servicios Forenses/Anticorrupció[email protected]

+52 (55) 5263 8905 Antonio Hernández Gerente Servicios Forenses/Investigative [email protected]

+52 (55) 5263 8599 Adriana Trujillo Gerente Servicios Forenses/Tecnología [email protected]

+52 (55) 5263 5790 Lizbeth Lafuente Gerente Servicios Forenses/[email protected]+52 (55) 5263 8998

En PwC México somos líderes responsables, comprometidos con la comunidad, el cuidado del medio ambiente y nuestra gente, quien vive la diversidad e inclusión como parte de la cultura de PwC.

© 2016 PricewaterhouseCoopers, S.C. Todos los derechos reservados. PwC se refiere a la red y/o una o más firmas miembro de PwC, cada una de las cuales constituye una entidad legal independiente. Favor de ir a www.pwc.com/structure para obtener mayor información al respecto. Elaborado por MPC: 20160322-gm-pub-gecsmx-2016

www.pwc.com/crimesurvey

Encuesta sobre delitos económicos 2016 - PwC...aumentado así el riesgo de pérdidas económicas,...

Documents

Transcript of Encuesta sobre delitos económicos 2016 - PwC...aumentado así el riesgo de pérdidas económicas,...