Skip to main content

¿Unos malvados maleantes intentan vaciar tu cuenta bancaria? ¿Quizás tus empleados están metiendo mano en la caja (o su equivalente digital) para otorgarse sus propios bonos improvisados? ¿Cómo se supone que un CFO mantenga los costos bajos con tantas fugas en el balde?

Junto con el ransomware, el mayor riesgo de ciberseguridad para las empresas de menos de $500 millones son los estafadores, y gran parte de ese peligro se dirige a Cuentas por Pagar (AP) mediante fraudes de pago.

Pero tengo buenas noticias. Hoy en día, las técnicas de prevención de fraude que mejor funcionan contra bandas criminales externas y empleados furtivos son en su mayoría las mismas. Te explicaré las mejores formas de hacerlo, comenzando con algo de contexto necesario antes de pasar a las estrategias y tácticas que mantendrán seguros los fondos de tu empresa.

Want more from The CFO Club?

Create a free account to finish this piece and join a community of modern CFOs and finance executives accessing proven frameworks, tools, and insights to navigate AI-driven finance.

Este campo es un campo de validación y debe quedar sin cambios.
Name*
Este campo está oculto cuando se visualiza el formulario

Historia abreviada de los controles financieros

Desde el inicio del comercio, la gente ha engañado a otros. La difusión de la contabilidad de partida doble, la contabilidad forense y las regulaciones comerciales cuentan la misma historia humana: siempre habrá personas que se lleven lo que no está atornillado.

Durante el último siglo, los libros contables se han vuelto mucho más complejos, gracias a la tecnología, la globalización y un entorno legal más complicado. A medida que creció la complejidad, también lo hicieron los métodos para que empleados sin escrúpulos roben dinero. Los círculos contables y los organismos regulatorios asociados respondieron desarrollando controles internos, intensificándose desde los años 60 hasta ahora, volviéndose una parte crítica de una empresa bien gestionada. 

En los últimos 15 años, las amenazas externas han crecido drásticamente. El aumento de la sofisticación criminal, la creciente importancia de la tecnología empresarial y la transición hacia pagos electrónicos rápidos han contribuido al éxito global en auge de los fraudes, los rescates y los robos contra empresas.

La amenaza viene desde dentro

La manera más efectiva de prevenir estas nuevas amenazas externas es aumentar el control sobre tus empleados porque, créeme, tu mayor amenaza viene "desde dentro de la casa". 

“¿Me estás diciendo que mi personal no es de confianza?”

No, no siempre y no de manera intencionada.

Antes, el riesgo de fraude de pago provenía principalmente de una combinación de oportunidad, necesidad y acceso por parte del empleado. Un empleado con acceso a los fondos de la empresa puede verse tentado a aprovecharse, especialmente si eso resuelve un gran problema personal. Luego, defraudan a la empresa y, si no son descubiertos, suele convertirse en un hábito del que no pueden escapar.

El auge del fraude externo añade otro factor: la susceptibilidad de tu personal bien intencionado a ser engañado. "Hackear" no es una especie de brujería tecnológica que mágicamente extrae dinero de una cuenta bancaria; simplemente le da acceso a un estafador ya malintencionado, al engañar a personas o sistemas.

Aunque puedes capacitar a los empleados para que sean más sensibles a los ataques, extender el control financiero sobre su trabajo y los sistemas es una de las mejores formas de afrontar el fraude, sea cual sea el origen.

Estrategias generales

A medida que evoluciona el fraude, los controles tradicionales e internos se han consolidado en tres estrategias principales para combatir el fraude en los pagos.

Como con cualquier inversión, siempre comienza con una sólida gestión de riesgos: ¿Qué amenazas son más probables y más dañinas para tu negocio?

1. Reducir los puntos únicos de fallo

Esta es la versión ingenieril de nuestro viejo amigo, la Segregación de Funciones (SoD), extendiendo la idea más allá de las personas para abarcar sistemas y herramientas. Considera el caso clásico de SoD: si un solo empleado puede desembolsar fondos y modificar asientos en el libro mayor, eso es peligroso; representa un punto único de fallo para el fraude de pagos. Al fin y al cabo, solo haría falta que falle una cosa (él y su ética) para que el fraude tenga éxito.

Con las amenazas modernas, cualquier cosa que los suplante también es un punto único de fallo: su contraseña, portátil o incluso una toma de control de su correo electrónico.

Corrige los puntos únicos de fallo compartiéndolos entre un equipo y añadiendo pasos adicionales.

Esta disciplina es profunda. Más adelante en este artículo, abordaré algunos de los puntos de fallo más comunes y cómo solucionarlos.

2. Reducir la exposición

Hay dos componentes principales para reducir tu exposición al fraude de pagos: identificar las fuentes y limitar el posible impacto. 

Abordar la fuente de las amenazas funciona reduciendo la probabilidad de que la amenaza ocurra; el impacto minimiza la posible pérdida si llega a ocurrir. 

Considere dos ejemplos clásicos del control del fraude: los límites de aprobación reducen la posible pérdida derivada de gastos fraudulentos (impacto), y el principio de mínimo privilegio reduce la probabilidad de fraude limitando la cantidad de personas que pueden iniciarlo (fuentes).

La industria cibernética tiene una idea relacionada llamada superficie de ataque, que generalmente se utiliza para describir sistemas. Es una combinación de cuán vulnerable es un sistema y cuántas cosas pueden conectarse a él y, por tanto, atacarlo. Los equipos de ciberseguridad suelen tener la mayor perspectiva sobre cómo suelen atacarse los sistemas; su reto normalmente consiste en conectar esta idea con las pérdidas financieras reales. El avance en ese aspecto se ha acelerado en la última década.

En mi experiencia, implementar esta estrategia suele ser la oportunidad más evidente para la mayoría de las organizaciones de mejorar su seguridad. La mayoría de las estafas tienen al menos cinco pasos, y los estafadores necesitan tener éxito en todos para lograr su objetivo; para frustrarlos, sólo necesitas detenerlos en uno de los pasos. Para cada paso en un escenario potencial de fraude, piense cómo reducir las fuentes y el impacto. Por lo general, existen varias oportunidades a lo largo de todos los pasos del proceso que son gratuitas (o casi).

El éxito de esta estrategia requiere rigor (al descubrir y documentar los procesos) y creatividad (al idear soluciones). El ejercicio es ideal para realizarlo como una dinámica de trabajo en equipo guiada, y a menudo también genera mejoras de eficiencia.

3. Crea alertas accionables

Incorporar advertencias e indicadores en los procesos y sistemas puede evitar fraudes antes de que sea demasiado tarde. En cierto sentido, este es el truco más antiguo del libro: la contabilidad de partida doble, la conciliación triple y la mayoría de los GAAP aprovechan mecanismos independientes de registro para exponer problemas. 

Este enfoque ha generado transformaciones monumentales en muchas otras industrias durante el último siglo, desde la revolución de fabricación de Toyota hasta la gestión moderna de productos, con las empresas tecnológicas a la vanguardia promoviendo este enfoque durante los últimos 15 años. Por mi experiencia y la corroboración de líderes de pensamiento en finanzas, apenas está empezando a popularizarse. En los últimos 5 años, muchas pequeñas empresas han adoptado la gestión por métricas y usualmente asignan al CFO a liderar esa transformación. Suerte la tuya.

Pero procede con cuidado: existe un lado negativo en las métricas, tableros e indicadores. En el mundo empresarial actual, abundan los datos. Los KPIs, SLAs y el estado vienen pre-configurados en bonitos tableros listos para usar. Pero si la métrica o la alerta no conduce a una acción directa (o peor aún, induce una acción incorrecta), es peor que inútil.

Esto sucede de dos formas. Primero, si hay demasiadas alertas falsas, los equipos se insensibilizarán y las ignorarán.

En segundo lugar, algunos eligen métricas que no impulsan una acción directa. A esto se le suele llamar métricas de vanidad, y en el peor de los casos, pueden generar una falsa sensación de seguridad que distrae de los problemas reales. Como dicen los abogados...

"Los datos que no utilizas son sólo un pasivo", cita falsa de "Los Abogados"

Al crear alertas, elija eventos que probablemente indiquen un problema real. Una regla práctica es monitorear y alertar únicamente sobre métricas en las que todos los participantes estén de acuerdo en que el riesgo merece el tiempo de investigarlas. 

Join North America’s most innovative collective of Tech CFOs.

Join North America’s most innovative collective of Tech CFOs.

Este campo es un campo de validación y debe quedar sin cambios.
Name*
Este campo está oculto cuando se visualiza el formulario

Tácticas para prevenir el fraude en pagos

Si bien todavía hay un valor inmenso en los controles internos convencionales de siempre, algunos pueden resultar prohibitivos para todos menos las organizaciones más grandes. He encontrado que los siguientes mecanismos son especialmente efectivos para detener fraudes modernos en organizaciones pequeñas, a menudo con sorprendentemente poco esfuerzo. Estos controles están más o menos priorizados, pero el valor y el esfuerzo varían mucho entre empresas. 

1. Segmentar cuentas

Estrategia: Reducir exposición

Este es un pilar fundamental pero sigue siendo poco utilizado en empresas en crecimiento. Aislar cuentas bancarias para pagos puede prevenir pérdidas extremas. Mantenga una cuenta dedicada para pagos únicos, otra cuenta para gastos mensuales previsibles y una cuenta de tesorería para otros fondos. 

Mantenga un saldo bajo en la cuenta de gastos previsibles, transfiera fondos manualmente a la cuenta de pagos únicos y nunca pague nada desde la cuenta de tesorería. Cualquier fraude que afecte a cualquiera de las cuentas de pago generará sólo pérdidas menores o fracasará por completo.

Este control puede facilitarse con plataformas de automatización de cuentas por pagar.

2. Registro en agencias de crédito empresarial

Estrategia: Reducir la exposición

Esta es sencilla y aborda otro tipo de fraude: la suplantación de identidad de tu empresa. Se puede obtener crédito falso a nombre de tu empresa y limpiar el desastre puede ser complicado. Registrarte primero con las agencias de crédito comercial puede dificultar mucho más que los delincuentes se aprovechen de tu negocio de esta manera.

3. Dejar de usar el correo electrónico

Estrategia: Reducir puntos únicos de fallo

El correo electrónico posibilita una enorme variedad de fraudes y delitos. No es de sorprender, ya que muchas organizaciones gestionan casi todo a través de él. Si esto describe a tu empresa, el correo electrónico es probablemente un punto único de fallo: si un estafador accede a tu correo, podría causar mucho daño y cubrir sus huellas.

Solucionarlo es fácil: utiliza sólo sistemas dedicados para realizar actividades de alto riesgo.  

4. Inicio de sesión único y autenticación multifactor

Estrategia: Reducir puntos únicos de fallo

Esta es un poco más técnica, pero realmente vale la pena. La mejor manera de gestionar contraseñas, la federación, elimina una gran cantidad de puntos únicos de fallo para la suplantación criminal en tus sistemas. Lo que necesitas es un sistema moderno y centralizado que actúe como proveedor de identidad para tu personal; luego deberás indicar a cada sistema que confíe en él. Los trabajadores inician sesión en el proveedor de identidad, y luego todo lo demás se conecta automáticamente. 

Como ya mencioné, es algo técnico, así que tu equipo de TI tendrá que configurar las conexiones.

Las contraseñas suelen ser un punto común de fallo, por lo que exigir una autenticación multifactor (MFA) sólida lo elimina. Cualquier proveedor de federación serio también te recomendará fuertemente que la exijas.

5. Honeypots

Estrategia: Alertas accionables

Los honeypots (a veces llamados canary tokens) son un enfoque que te avisa si un ciberdelincuente superó toda tu protección y accedió a algo indebido. Los honeypots son señuelos que envían alertas automáticas cuando se usan. Es una técnica extendida en el área tecnológica pero también pueden crearse para detalles de pagos. Esto puede funcionar especialmente bien con plataformas financieras automatizadas, como menciono en la táctica n.º 10.

Los honeypots tecnológicos son fáciles y gratuitos de configurar

6. Externalizar a un servicio

Estrategia: Reducir puntos únicos de fallo

Utilizar un proveedor externo suele ser no solo más económico que hacerlo internamente, sino también más resiliente. La externalización puede eliminar muchos puntos únicos de fallo al distribuir las necesidades de tu empresa en un equipo y sistema más grandes. 

Muchas empresas encuentran que un servicio de cuentas por pagar termina siendo la opción más barata cuando las cuentas por pagar consumen la mitad del tiempo de un empleado. Como esta estimación no toma en cuenta el costo del fraude, a menudo recomiendo considerar esto mucho antes de llegar a ese punto. Algunas plataformas de automatización pueden permitir que el equipo financiero aumente su volumen 100x sin agregar personal ni perder control. 

Externalizar tus sistemas de TI a una plataforma web también puede ser una excelente manera de eliminar puntos únicos de fallo. Ellos harán un trabajo mucho más fiable en encriptación, identificación de malware y vulnerabilidades, resistencia a filtraciones de datos y prevención de phishing que probablemente tú puedas realizar internamente.

Esto solo funciona si la oferta de externalización presenta pocos o ningún punto único de fallo. Muchos proveedores externos de finanzas ofrecen un contador dedicado y multifuncional que trabaja en tus sistemas y bajo tus procesos —no es una buena opción si buscas disminuir el riesgo. De igual manera, muchas plataformas web siguen diseñando con las mismas estructuras frágiles de 2006, adicionan palabras de moda relacionadas con la nube en su marketing y esperan que nadie indague demasiado. Por supuesto, ninguna de estas opciones aporta beneficios de seguridad. 

7. Tarjetas virtuales

Estrategia: Reducir la exposición

Contar con un proveedor de tarjetas virtuales permite controlar de manera granular a quién le pagas y cuánto puedes pagarle. Ya he tratado las tarjetas virtuales en mi artículo donde explico cómo asegurar los pagos B2B. La mayoría de plataformas automatizadas de cuentas por pagar ofrecen tarjetas virtuales.

8. Validación de proveedores y correspondencia triple (3-way match)

Estrategia: Reducir la exposición

Restringir los pagos a una lista de proveedores autorizados, validar la información de pago y conciliar las facturas con las órdenes de compra puede ayudar a eliminar gran parte del fraude menos sofisticado. Muchos proveedores ofrecen cruces con listas de proveedores verificados; esto puede ser sorprendentemente barato.

9. Positive Pay

Estrategia: Reducir la exposición

Esta función te permite enviar una lista de órdenes de compra autorizadas a tu banco cada mes. El banco entonces bloquea los pagos ACH y cheques que no coinciden, y notifica a la empresa cuando lo hace. Este mecanismo ganó mala fama hace 20 años por ser mucho trabajo, pero hoy en día muchas soluciones han optimizado considerablemente el proceso.

10. Finanzas automatizadas

Estrategia: Alertas accionables y reducir puntos únicos de fallo

Una plataforma de finanzas automatizadas puede ofrecerte un control profundamente granular sobre el movimiento de dinero en tu organización, con una fracción del personal. Puede ser tremendamente valiosa pero, a menudo, es una transición costosa. Considera:

  • Pagos automáticos a proveedores habituales y de largo plazo. Normalmente puedes configurar los detalles de pago dentro del registro del proveedor.
  • Facturación automática y reclamaciones de cobro
  • Transferencias y cuentas por cobrar automatizadas
  • Alertas sobre transacciones y saldos inesperados
  • Procesamiento automático de facturas y conciliación triple o doble
  • Detección de anomalías/IA (información abajo)

Algunas plataformas alertan mágicamente sobre transacciones riesgosas, basándose en amenazas actuales de la industria y en la actividad habitual del libro mayor de tu empresa. ¿Mi consejo? Si buscas un producto por su función de detección de anomalías, pruébalo primero. Los productos de IA son siempre una caja negra, así que no puedes medir su calidad objetivamente. Además, su eficacia suele disminuir con los años, a medida que cambian las amenazas y el contexto.

Productos tecnológicos para cuentas por pagar

Esta es una selección de plataformas de cuentas por pagar nuevas y consolidadas que cuentan con las características mencionadas en este artículo. Los bancos también ofrecen servicios tercerizados de cuentas por pagar y cuentas por cobrar (a menudo conocidos como procesamiento de remesas), generalmente con marca blanca de un proveedor especializado.

gráfico de productos tecnológicos para cuentas por pagar

El fraude es evitable

Puedes eliminar gran parte del daño causado por delitos informáticos implementando controles internos sólidos sobre las cuentas por pagar. Si bien las amenazas externas se han multiplicado en la última década, las herramientas para detectarlas y prevenirlas también han crecido (uno de los beneficios de las aplicaciones de pago móvil es que pueden ayudar con esto).

Para más consejos para operadores financieros, incluyendo cómo mantener tu empresa segura ante amenazas en línea, suscríbete hoy mismo al boletín The CFO Club.

Me encantaría saber tu opinión: ¿qué controles han sido más efectivos para prevenir el fraude? ¿Has implementado alguno de estos? Cuéntamelo en los comentarios o en redes sociales.