En resumen
Los programas de amenazas internas están diseñados para detectar al empleado de base que roba. Raramente están diseñados para detectar al directivo que desvía. Esa asimetría no es accidental.
Por qué importa
Un programa de seguridad que solo mira hacia abajo no es un programa de seguridad. Es un programa de control de empleados. La diferencia importa.
Los programas de amenazas internas están diseñados, en su mayoría, para detectar al empleado de base que roba mercancía, al operador que abre sellos, al guardia que deja pasar a quien no debe. Raramente están diseñados para detectar al directivo que desvía contratos, al gerente que recibe comisiones de proveedores o al director que manipula los datos de pérdidas para proteger su bono.
Esa asimetría no es accidental. Es estructural. Y es una de las vulnerabilidades más costosas y menos discutidas en la seguridad corporativa.
Por qué el fraude de cuello blanco es más difícil de detectar
El fraude ejecutivo tiene ventajas estructurales que el fraude operativo no tiene. El directivo tiene acceso a los sistemas de control. Puede modificar los parámetros de las alertas. Puede aprobar sus propias excepciones. Puede influir en quién audita qué y cuándo. Y tiene la autoridad para desestimar señales de alerta como "malentendidos" o "contexto que el auditor no comprende."
El fraude más costoso que he visto en mi carrera no lo cometió un operador de almacén. Lo cometió alguien con firma autorizada, acceso a los sistemas y suficiente autoridad para que nadie cuestionara sus decisiones durante años.
Herramientas profesionales
Explora las herramientas creadas para fortalecer la seguridad y la prevención en las organizaciones.
El problema de la supervisión hacia arriba
En la mayoría de las organizaciones, los controles fluyen hacia abajo: los superiores supervisan a los subordinados. La supervisión hacia arriba —mecanismos que permiten detectar irregularidades en niveles directivos— es escasa, incómoda y frecuentemente inexistente.
Los consejos de administración que deberían ejercer esa supervisión a menudo carecen de la información operativa necesaria para detectar señales de alerta. Los auditores externos revisan estados financieros, no comportamientos. Y los auditores internos reportan, en muchos casos, a las mismas personas que deberían estar auditando.
Mecanismos de control hacia arriba
- ▸Canales de denuncia que escalen directamente al consejo o a un comité de auditoría independiente.
- ▸Auditorías de gastos de representación y decisiones de contratación en niveles directivos.
- ▸Análisis de conflictos de interés en decisiones de proveedores y contratos.
- ▸Rotación de auditores internos para reducir la captura por parte de la dirección.
- ▸Indicadores de comportamiento directivo: cambios en estilo de vida, patrones de decisión, relaciones con proveedores.
Formación profesional
Diplomado en Criminología Corporativa
Lleva lo que lees a la práctica. Formación ejecutiva en protección de activos, investigaciones y gestión de riesgos.
José Luis Prieto Montes
LinkedInCPP · PCI · PSP
Básicamente hago lo mismo que Batman: protejo a la gente y los activos, investigo incidentes y me adelanto a las amenazas… solo que en seguridad corporativa.
Profundiza · Más lectura
¿Qué opinas tú?
Este tema tiene más de una perspectiva válida. Comparte tu experiencia, un caso que hayas visto, o un punto de vista que cuestione lo que está escrito aquí. Las mejores ideas en seguridad corporativa vienen del campo — y ahí es donde estás tú.