El fraude es una de las tres preocupaciones más importantes que traen de cabeza a los CFO y a los tesoreros día y noche, y su importancia se ha incrementado debido a la proliferación del «spear-phishing» (accesos no autorizados a datos confidenciales de una organización mediante el correo electrónico), las filtraciones de datos, y la resultante pérdida de valor de la empresa.

  • El 53 % de las empresas ha sido objetivo del fraude financiero*
  • La mitad de las empresas que han sido objetivo ha sufrido pérdidas financieras como consecuencia*
  • El fraude interno es un 36 % más común que el externo*
  • La pérdida media por fraude financiero interno es de 1.971.000 $ con una mediana de pérdida de 451.000 $*
  • La pérdida media por fraude financiero externo es de 887.000 $ con una pérdida mediana de 114.000 $*

*Fuente de todos los datos: Encuesta sobre tesorería 2015 de la Association of Corporate Treasurers / Kyriba

Además de las pérdidas financieras directas, las pérdidas indirectas pueden resultar devastadoras. La caída del valor bursátil, la pérdida de confianza de los inversores, clientes y socios, las demandas y multas son perfectamente posibles. Su reputación y su carrera profesional, así como las de sus compañeros, también podrían correr peligro.

Sin embargo, la próxima víctima no tiene por qué ser usted. En este libro blanco, se explica cómo el sistema de gestión de tesorería SaaS Kyriba Enterprise, combinado con un equipo de tesorería bien formado, puede evitar el fraude tanto interno como externo dentro de su organización.

¿Qué tipos de fraude financiero deberían preocuparle?

Existe un amplio abanico de amenazas tanto internas como externas a las que debe hacer frente la tesorería corporativa de una organización. Con el fin de descubrir cómo hacer más segura su organización, es esencial conocer las vulnerabilidades a las que puede estar expuesto. Algunos ejemplos de estas vulnerabilidades son:

  • Acceso de piratas informáticos desde el exterior a los archivos y sistemas de tesorería aprovechándose de defectos en la seguridad de datos.
  • Acceso inadecuado de los empleados a las ubicaciones de los servidores / redes internas como resultado de procedimientos ineficaces de seguridad física y de datos.
  • Pagos fraudulentos emitidos por empleados al banco, ya sea de forma voluntaria o por malas decisiones (a menudo como resultado de ataques de ingeniería social, «phishing» o suplantación de identidad).
  • Órdenes de compra y facturas fraudulentas creadas por empleados para parientes ajenos a la empresa.
  • Instrucciones de liquidación que dirigen fondos a cuentas no autorizadas.
  • Operaciones financieras no óptimas realizadas por empleados que persiguen ganancias personales.
  • Signatarios que permanecen en cuentas bancarias actuales aunque ya no sean empleados después de su salida/rescisión de contrato.
  • Conciliación de cuentas poco frecuente o ineficaz, lo que provoca que las transacciones fraudulentas pasen desapercibidas.

1. Seguridad en las aplicaciones: evitar el acceso no autorizado

Contraseñas poco seguras

Los procedimientos de inicio de sesión y autenticación poco seguros constituyen las vulnerabilidades más comunes de las que se aprovechan los defraudadores potenciales. Los ataques se aprovechan de las contraseñas poco seguras.

La principal prioridad para las organizaciones debe ser eliminar el punto de error único; una contraseña robada no puede permitir acceder a los sistemas financieros y de tesorería.

Se recomienda combinar dos o más de los siguientes procesos:

  • Autenticación dual: utilizar una contraseña de un solo uso generada de forma independiente desde su smartphone o token independiente.
  • Autenticación mediante inicio de sesión único (SSO) y LDAP.
  • Filtrado de protocolos de Internet (IP): para restringir el inicio de sesión a direcciones IP predefinidas.
  • Teclado numérico, en el que los números de una contraseña deben seleccionarse con el ratón en lugar de escribirse. • Acceso de red privada virtual (VPN por sus siglas en inglés) dedicado

Controles de contraseña segura

La práctica del sector es, como mínimo, la implantación de una dual autenticación. Los portales bancarios suelen aplicar esta técnica mediante el uso de tokens (o llaves inteligentes) que, de forma aleatoria, generan una segunda contraseña cuando se introducen correctamente el nombre de usuario y la contraseña originales.

La mayoría de las plataformas de software es compatible con BYOD (Bring Your Own Device), de forma que el usuario puede recurrir a su smartphone para recibir la «segunda» contraseña de un solo uso.

Sin embargo, la autenticación dual por sí misma no se considera una práctica recomendada. Las técnicas de autenticación multifactoriales combinan diferentes estrategias de inicio de sesión y autenticación con el fin de ofrecer la mejor protección posible para los sistemas corporativos.

Kyriba permite a los equipos de tesorería desplegar varios niveles de autenticación de usuario de forma simultánea para ofrecer la mejor protección para los datos y sistemas de tesorería frente a accesos no autorizados.

2. Mejora de la seguridad de datos: en la nube

La duración media del fraude corporativo (el tiempo desde que comienza hasta que se detecta) es de 18 meses. (Fuente: Estudio sobre el fraude mundial de 2014 de la Association of Certified Fraud Examiners-USA)

Prioridad para los retos de seguridad de datos

Alojar los datos internamente en sistemas prioritarios puede suponer un riesgo de seguridad, ya que más del 25 % del fraude corporativo es interno.

Para las organizaciones de TI que trabajan con presupuestos ajustados es difícil invertir en sistemas punteros que ofrezcan las prestaciones, los niveles de servicio, y la seguridad de datos necesarios para satisfacer los requisitos globales de tesorería.

Seguridad de datos en la nube

Como proveedor de servicios en la nube, Kyriba elimina este fraude interno para los equipos financieros y ofrece una seguridad total en la nube.

Los servidores de Kyriba se encuentran en centros de datos seguros y totalmente redundantes en todo el mundo, y ofrecen una seguridad física y de datos óptima, y unos procesos de copia de seguridad y recuperación de datos líderes en el sector. Kyriba soporta totalmente el cifrado de datos en reposo, en todo momento, para que los equipos de tesorería tengan aún más tranquilidad.

Además, Kyriba utiliza soluciones de algunos de los proveedores de tecnología de seguridad de datos más reputados del mundo. Kyriba es la única solución de tesorería que ha obtenido informes SOC 1 y SOC 2 de tipo II, y también cuenta con pruebas de ataques diarias llevadas a cabo por expertos en seguridad para garantizar una seguridad documentada y completa.

Los CIO y los CTO son los primeros que saben que las soluciones en la nube pueden mejorar la seguridad de los datos siempre que se realicen las inversiones adecuadas por parte del proveedor de soluciones en la nube para proteger los datos de tesorería.

Kyriba ofrece toda una gama de medidas para mantener seguros sus datos:

  • Recuperación de alto rendimiento del sistema.
  • Cifrado de datos en reposo
  • Generación de informes de auditoría SOC1 y SOC2
  • Pruebas de ataques frecuentes

3. Visibilidad y control de las cuentas bancarias en todo el mundo 

Una visibilidad insuficiente de las cuentas bancarias y de los signatarios es la receta perfecta para el desastre en la gestión de la tesorería. Con demasiada frecuencia los responsables y los signatarios de las cuentas, no están percatados, o aún peor, han abandonado la organización hace años.

Mantener la visibilidad y el control de las cuentas bancarias es extremadamente difícil cuando las organizaciones crecen de forma geográfica o mediante adquisiciones.

Kyriba ofrece soluciones específicas para reducir los riesgos e incrementar los controles:

  • Visibilidad centralizada de las cuentas, los signatarios autorizados, y toda la documentación de las cuentas bancarias.
  • Flujos estructurados que requieren el seguimiento y la aprobación de toda la actividad de las cuentas bancarias mediante límites y controles predefinidos.
  • Procesos de conciliación, tanto con los bancos asociados como con su sistema de RR. HH. corporativo, con el objetivo de garantizar que los firmantes de las cuentas se limiten a las listas de empleados.

La aplicación de estos procesos no solo reduce la posible exposición de su organización al fraude tanto interno como externo, sino que también le ayuda a cumplir con la normativa local e internacional, como la generación de informes FBAR.

Además, la visibilidad de las cuentas bancarias combinada con un análisis eficaz de las comisiones bancarias permite a su organización identificar y cerrar las cuentas infrautilizadas o inactivas para reducir sus costes bancarios.

4. Firmas digitales

Las firmas digitales constituyen una herramienta esencial para ayudar a los bancos a autenticar los archivos de pagos transmitidos que se envían desde sistemas de terceros, como TMS o ERP. Las firmas digitales son soluciones de identificación digital personal que se basan en una infraestructura de clave pública (PKI por sus siglas en inglés).

3SKey de SWIFT se considera como la solución de firma digital líder en el sector y puede aplicarse:

  • Internamente, como parte de un flujo de trabajo de aprobación de pagos;
  • Externamente, para autenticar un lote de pagos y confirmar al banco que todos los pagos son válidos y precisos. De esta forma, no solo es más sencillo validar el pago, sino que también se reduce la probabilidad de que el banco los rechace;
  • Externamente, como parte de un flujo eBAM para autenticar los cambios en las cuentas bancarias.

El uso de firmas digitales, combinado con controles de contraseñas seguras y un flujo de trabajo de pagos centralizado, elimina de forma drástica las oportunidades de fraude en el pago.

5. Flujos de pagos

El «spear-phishing» en tesorería es el intento de fraude más peligroso, ya que los ciberdelincuentes dirigen los ataques a un objetivo específico. Se centra en los flujos de pagos debido a que su éxito ofrece una compensación inmediata: una transferencia de fondos fraudulenta a la cuenta bancaria equivocada.

Aunque la implantación de controles de contraseña seguros mejora la protección también es esencial la estandarización de los flujos de pagos para garantizar un seguimiento sistemático de los procedimientos de pago. Los intentos se aprovechan de la excepción; basta con un error para crear una oportunidad de fraude.

La práctica estándar consiste en implantar varios niveles de aprobación estandarizados y asegurarse de que las aprobaciones son electrónicas, ligadas a la separación de funciones dentro del sistema de tesorería y ajustadas a los límites de importe. Muchos equipos de tesorería utilizarán firmas digitales para las aprobaciones de pagos (así como para la autenticación externa de pagos).

Las organizaciones que separan el flujo de pagos (por ejemplo, utilizan sistemas internos y portales bancarios independientes para la iniciación y la aprobación) aumentan el riesgo de sufrir ataques.

La práctica recomendada consiste en gestionar el flujo integral de todos los pagos en un sistema que ofrezca un «rastro documental» electrónico completo de cada pago, desde la solicitud inicial hasta la transmisión. Esto también permite la integración de los acuses de recibo de los pagos (hasta cuatro niveles) en el flujo.

Muchas organizaciones también centralizan la transmisión de pagos de tesorería y proveedores a través de un hub de pagos centralizado para garantizar que la tesorería tiene total transparencia de todos los pagos emitidos en todo el mundo. Esto permite la supervisión integral de todos los flujos de tesorería de salida, además de la reducción de costes.

Kyriba ayuda a evitar el fraude, no solo al implantar estos procedimientos para la iniciación y aprobación de pagos, sino también al garantizar que el flujo completo está bajo el control del departamento de tesorería y finanzas.

6. Instrucciones de liquidación estándar

La liquidación de las operaciones financieras es una oportunidad cada vez más explotada por el fraude financiero interno.

La realización de operaciones financieras (inversiones, cambio de divisas, derivados) es una actividad diaria para los equipos de tesorería.

Para las operaciones típicas con su banco, es habitual que se implementen previamente en el banco instrucciones de liquidación estándar (SSI por sus siglas en inglés). Sin embargo, las SSI no suelen aplicarse para operaciones atípicas o para transacciones con contrapartes no bancarias. Esto crea una oportunidad para el fraude cuando las transferencias bancarias para liquidar operaciones pueden ser total o parcialmente redirigidas a cuentas bancarias no autorizadas.

Las SSI dentro de sus sistemas financieros mejoran la eficacia, además de evitar la redirección de fondos a cuentas no autorizadas.

Kyriba es compatible con los flujos electrónicos y con la integración de actividades relacionadas con operaciones y pagos con el fin de reducir al mínimo la posibilidad de fraude interno.

Entre los pasos clave que se deben implantar, se incluyen los siguientes:

  • El registro electrónico de las transacciones financieras en su sistema de tesorería, con la aplicación de aprobaciones y límites de forma que haya una referencia de auditoría completa que se pueda examinar.
  • Las plantillas de pago deben adjuntarse a cada operación de forma automática. Debe requerirse una aprobación adicional para editar/eliminar la plantilla de pago, con toda la actividad registrada en el rastreo de auditoría.
  • La conciliación de tickets de operaciones entre las contrapartidas y el sistema de tesorería debe realizarse con una frecuencia estándar y con una supervisión del proceso para garantizar que no haya excepciones.

Acerca de Kyriba

Kyriba es líder mundial en gestión proactiva de tesorería basada en la nube. Los directores financieros (CFO), tesoreros y responsables financieros confían en Kyriba para optimizar su tesorería, gestionar el riesgo y aprovechar su capital.

Nuestras soluciones financieras de cadena de suministro (Supply Chain), gestión del riesgo, conectividad bancaria, gestión de pagos y tesorería basadas en software como servicio (SaaS) no solo cuentan con varios premios y son seguras y ampliables, sino que permiten a algunas de las organizaciones más importantes y respetadas del mundo impulsar su crecimiento corporativo, obtener información financiera crucial, reducir el fraude al mínimo y garantizar el cumplimiento normativo.

Para aprender a ser más proactivo en la gestión de la tesorería e impulsar el valor empresarial, póngase en contacto con Valentín Martínez vmartinez@kyriba.com o visite https://www.kyriba.com/.