FORENSIC SERVICES

Encuesta de
Fraude en
Colombia 2013
KPMG en Colombia

kpmg.com.co
 kpmg.com.co

FORENSIC SERVICES

Encuesta de
Fraude en
Colombia 2013
 Encuesta de Fraude en Colombia 2013

Esta publicación se elaboró con el esfuerzo y dedicación de un selecto grupo

de profesionales de KPMG en Colombia. Gracias a ellos podemos brindar un
contenido de alto valor.

Comité Editorial:
Gustavo Avendaño Luque
Ignacio Cortés Castán
Jaime Bueno Miranda
Arturo del Castillo

Dirección de Contenido:
Arturo del Castillo

Diseño y Diagramación:
David L. Acosta Matiz y Ándrés L. Rojas Huérfano

Derechos Reservados

Ninguna parte de esta publicación puede reproducirse sin la aprobación

previa del Editor. Cualquier reproducción, divulgación o comercialización sin
autorización del autor, será sancionada civil y penalmente como lo indica la
Ley.

La información aquí contenida es de naturaleza general y no tiene el

propósito de abordar las circunstancias específicas de individuo alguno o
entidad en particular. Aunque procuramos proveer información correcta
y oportuna, no puede haber garantía que dicha información sea correcta
en la fecha que se reciba o que continuará siendo correcta en el futuro.
No deben tomarse medidas con base en dicha información sin el debido
asesoramiento profesional después de un estudio detallado de la situación
en particular.

Esta publicación no está disponible para la venta; se distribuye como

cortesía de KPMG en Colombia a sus clientes y otros amigos.

Los derechos de autor sobre la presente obra son titularidad de KPMG

Advisory Services Ltda. y se hallan protegidos en los términos señalados
por la Ley 23 de 1982.

©2013 KPMG Advisory Services Ltda., sociedad colombiana de

responsabilidad limitada y firma miembro de la red de firmas miembro
independientes de KPMG afiliadas a KPMG International Cooperative
(“KPMG International”), una entidad suiza. Derechos reservados.

Tanto KPMG como el logotipo de KPMG y “cutting through complexity” son

marcas comerciales registradas de KPMG International.

Impreso en Colombia.

KPMG en Colombia

6 Encuesta de Fraude en Colombia 2013

 Encuesta de Fraude en Colombia 2013 7

Contenido
Introducción 8

Resumen Ejecutivo 10

Metodología 12

Análisis de Resultados: 2011 vs. 2013 14

Tipología de Crímenes Económicos 17

Malversación de Activos 23

Fraude Financiero 26

Corrupción 29

Cibercrimen 33

Conclusiones 37

KPMG Advisory Services Ltda. - Forensic Services

8 Encuesta de Fraude en Colombia 2013

Los principales indicadores son alentadores. Colombia está
pasando por un buen momento económico. Con un crecimiento
sostenido del 4.8%, una inflación controlada que no llega al
3% y con un equilibrio fiscal caracterizado por un déficit de
menos del 1% del PIB, las expectativas de fortalecimiento
de la capacidad productiva del país son altas. La adecuada
conducción de la política económica y la llegada de inversión
extranjera directa a sectores como minería, infraestructura,
petróleo y telecomunicaciones, han puesto a Colombia en el
lugar 14 en crecimiento económico a nivel mundial.
Estas son buenas noticias. No hay duda al respecto. Sin
embargo, todos estos logros se han visto ensombrecidos
por los varios escándalos de corrupción y fraude que han
ocupado buena parte de la opinión pública en los últimos dos
años. Desde el sector salud hasta el bancario y financiero,
prácticamente todos los sectores han presentado problemas
de orden ético y de integridad. Esta situación no es un asunto
menor. De seguir así, Colombia corre el riesgo de perder el
impulso emprendedor que ahora la caracteriza por los desafíos
que representan los crímenes económicos.
Una economía que experimenta un periodo de expansión,
como ahora lo está teniendo Colombia, es más susceptible a
los crímenes económicos, es decir, a los delitos de carácter
patrimonial, como el fraude y la corrupción, que afectan a
las compañías y a las instituciones de gobierno. La relación
entre crecimiento económico y alta incidencia de crímenes
económicos se explica por la falta de previsión y controles
efectivos que permitan mitigar las amenazas que conllevan las
innovaciones tecnológicas, la inclusión de nuevos productos o,
incluso, las propias características de consumo que implica el
crecimiento sostenido.
Atentamente,
Ignacio Cortés
Forensic Services
Encuesta de Fraude en Colombia 2013 9
Introducción
En este sentido, los crímenes económicos representan una
seria amenaza para el mundo de los negocios en Colombia.
En el último año, los quebrantos causados a las compañías
que operan en el país han representado un alto costo para la
sociedad colombiana. Este costo se ha manifestado no sólo en
términos de daño económico, sino también en la desaparición
de empresas y, en consecuencia, afectación en el bienestar de
miles de familias que han sido perjudicadas por la desaparición
de sus empleos.
En este contexto resulta particularmente importante monitorear
cómo las empresas están siendo afectadas por las diferentes
modalidades de crimen económico. Bajo el principio que
“sólo se puede mejorar, lo que se puede medir”, el objetivo de
KPMG, con este ejercicio de medición, ha sido el de obtener
un conocimiento cabal de este tipo de delitos, para que las
compañías puedan ser más efectivas en sus esfuerzos de
prevención, detección y respuesta ante estas amenazas.
Así, presentamos la Encuesta de Fraude en Colombia
2013. Como hace dos años, el objetivo de este estudio ha
sido analizar el impacto de los crímenes económicos en
las compañías que operan en Colombia. En esta edición
se exploran las cuatro modalidades que aquejan más
significativamente a las compañías que operan en Colombia: la
malversación de activos, el fraude financiero, la corrupción y el
cibercrimen.
Con este estudio esperamos que nuestros clientes y lectores
en general reciban información relevante que oriente mejor sus
estrategias de negocio. En KPMG estamos convencidos que
la mejor decisión es la que se toma con base en información
oportuna y confiable. De ahí nuestra contribución con este
estudio. Esperamos les sea de utilidad.
Arturo del Castillo
Forensic Services
KPMG Advisory Services Ltda. - Forensic Services
 Casi 7
de cada

10
empresas
que operan
en Colombia
han padecido
cuando menos
un fraude en
los últimos doce
meses.

En el 2013 el costo estimado por

$3,600
crímenes económicos fue de

millones de dólares, es decir, el 1% del PIB nacional.

El

70%
de los
crímenes
económicos
han sido
realizados
por empleados
de las propias
compañías.

El 46% de Los cuatro tipos de crimen

económico que más afectan
los crímenes a las compañías en Colombia
económicos son: malversación de
activos, fraude financiero,
experimentados en corrupción y cibercrimen.

el último año fueron

de malversación de
activos, pero el 51%
del daño económico
lo causó el fraude
financiero.

10 Encuesta de Fraude en Colombia 2013

 Encuesta de Fraude en Colombia 2013 11

Resumen Ejecutivo

55% de los delitos de malversación

de activos son cometidos
por empleados ubicados en
posiciones operativas.

El
fraude
financiero
ha causado
un daño económico
cercano a los

1,800
millones de dólares
americanos.

39% de los ataques

de cibercrimen
se detectaron
corrupción

un daño
económico
La
ha
implicado

accidentalmente. cercano
a los
800 millones de
dólares americanos.

KPMG Advisory Services Ltda. - Forensic Services

 Metodología
La Encuesta de Fraude en Colombia 2013 tiene como objetivo
conocer la incidencia y el impacto que tiene los crímenes
económicos, en sus modalidades de malversación de activos,
fraude financiero, corrupción y cibercrimen, entre las empresas
que operan en Colombia. En este reporte se discuten los
resultados de dicha encuesta, así como algunas de las mejores
prácticas de control interno y fortalecimiento de integridad
corporativa para mitigar los riesgos asociados a estos delitos.

Este estudio se realizó a partir de una encuesta aplicada a 197

directivos de empresas que operan en Colombia, que han registrado
ingresos anuales desde 50 millones de dólares americanos y hasta
más de 500 millones de dólares. Las empresas que participaron en
este estudio representan diversos sectores e industrias, tal y como se
muestra en la gráfica No. 1.

Cabe señalar que las empresas representadas en el estudio son tanto compañías privadas
(65%) como públicas o con participación mayoritaria por parte del gobierno (35%). Además,
se trata tanto de compañías de capital colombiano (71%) como subsidiarias extranjeras
con operaciones dentro de territorio colombiano (29%). En cuanto a la vocación comercial,
cabe señalar que de las compañías entrevistadas el 43% tiene una orientación parcial o
completamente exportadora y 57% restante se trata de compañías focalizadas en el mercado
nacional. De esta manera se logró obtener un diagnóstico integral sobre la realidad empresarial
que se tiene en Colombia.

12 Encuesta de Fraude en Colombia 2013


Este estudio se realizó a
partir de una encuesta
aplicada a 197 directivos
de empresas que operan
en Colombia.
A las empresas involucradas en este estudio se les
pidió contestar un cuestionario desarrollado sobre una
plataforma de internet. Para asegurar un nivel aceptable
de confianza en el análisis de la encuesta, se decidió enviar
únicamente una encuesta por compañía. De tal forma
que las encuestas analizadas representan a 197 empresas
distintas. Las preguntas utilizadas en el cuestionario,
completamente contextualizado para la realidad económica
y empresarial de Colombia, permitieron indagar sobre
la experiencia con crímenes económicos sufridos por las
empresas encuestadas.
La encuesta se levantó entre los meses de enero a marzo
de 2013. La encuesta fue contestada por miembros del
Consejo de Administración (10%), Directores Generales
(20%), Directores de Administración y Finanzas (27%),
Contralor o Auditor Interno (31%) y otros miembros del
personal directivo (12%).
Las empresas
representadas en el
estudio son tanto
compañías privadas
(65%) como públicas
(35%).
Para la elaboración de este estudio se utilizaron las
siguientes definiciones de trabajo:
• Crímenes Económicos.- son aquellas actividades ilícitas
y de carácter patrimonial que se realizan en perjuicio
de una compañía, afectando o dañando sus activos,
capital social o cualquier otro derecho o bien (material
o inmaterial) del que sea propietario.
• Malversación de Activos.- se refiere al robo o uso
indebido de recursos de la compañía, como dinero
o cualquier otro bien (por ejemplo materias primas,
maquinaria o productos terminados), para obtener un
beneficio no autorizado o irregular.
• Fraude Financiero.- se refiere a la alteración,
modificación o manipulación de información contable
Encuesta de Fraude en Colombia 2013 13
o financiera de una compañía con el propósito
de reflejar una situación económica o financiera
equivocada o engañosa.
• Corrupción.- se refiere a pagos ilegales realizados
a servidores públicos o funcionarios de compañías
privadas para obtener o retener algún contrato o
cualquier otro beneficio personal o para un tercero;
entendiendo por pago ilegal tanto sobornos en dinero
como en cualquier otra forma, como regalos, viajes,
favores, etcétera.
• Cibercrimen.- se refiere a aquellas actividades
ilícitas de carácter informático que se llevan a cabo
para robar, alterar, manipular, enajenar o destruir
información o activos (como dinero, valores o bienes
desmaterializados) de las compañías afectadas,
utilizando para dicho fin algún medio informático o
dispositivos electrónicos.
Con base en estas definiciones, a las compañías
involucradas en el estudio se les preguntó sobre sus
experiencias con crímenes económicos ocurridos en
los últimos doce meses. En aquellos casos en que las
empresas informaron haber experimentado más de un
crimen económico, se les pidió que contestaran la encuesta
con base en el caso que consideraran de mayor gravedad
para la empresa.
Los resultados de la encuesta se analizaron de manera
comparada con la información obtenida en el ejercicio de
medición del 2011. Aún cuando los datos más significativos
se pudieron analizar de esta manera, algunos resultados
que ahora se reportan no tuvieron un parámetro de
comparación anterior. Esto se debe porque la Encuesta de
Fraude en Colombia 2013 incorporó reactivos que no se
consideraron en 2011.
Una última aclaración: con el propósito de hacer más
comprensible la redacción de este estudio en ocasiones
se utiliza de manera indistinta los términos de crímenes
económicos y fraude. Al utilizar el término de fraude de
esta manera se hace en un sentido genérico. Cuando se
aluda a un tipo específico de fraude se utilizan los términos
de malversación de activos, fraude financiero, corrupción o
cibercrimen, según sea el caso.
KPMG Advisory Services Ltda. - Forensic Services
 Análisis de
Resultados:
2011 vs. 2013
Los crímenes económicos suelen comenzar de la misma manera:
como eventos aislados, casi imperceptibles, en algún lugar de la
organización. Los aparentes errores pueden ser, en realidad, un acto
deliberado para reconocer la efectividad de ciertos controles. Así, al
no producirse reacción alguna por parte de la compañía posiblemente
esos “errores” se repitan y, pasado el tiempo, terminen siendo casos
de fraude.

Desde este punto de vista, la incidencia de los crímenes económicos

está directamente asociada con la capacidad que tengan las compañías
para prevenir, detectar y responder ante actividades ilícitas, sean estos
deliberados o auténticos actos fortuitos. De ahí la importancia que
tiene para las compañías contar con mecanismos institucionalizados de
administración de riesgos de fraude.

En Colombia esta es una noción básica de control que empieza a tener

resonancia entre la comunidad empresarial. En 2013 el número de compañías
que cuentan con mecanismos de administración de riesgos de fraude se
incrementó 5% con respecto al número de compañías identificadas en 2011.
En la gráfica No. 2 se puede observar, de manera comparada, la proporción de
empresas que cuentan con medidas preventivas y las que reconocen no tenerlas.

Este incremento en el número de compañías que cuentan con mecanismos de administración

de riesgos de fraude, explica en parte la disminución que se registra en la incidencia de crímenes
económicos que se tienen en Colombia. En la gráfica No. 3 se puede observar que el nivel de
incidencia de fraudes que se registra, en 2013, entre las compañías que operan en el país es del
65%. Este dato significa que 6.5 de cada 10 empresas que operan en Colombia han padecido
cuando menos un fraude en los últimos doce meses.

14 Encuesta de Fraude en Colombia 2013


Es importante destacar dos aspectos de este resultado:
en primer lugar, que existe una correlación directa
entre el número de empresas que asumieron el reto de
implementar mecanismos de prevención y detección de
riesgos de fraude y la disminución relativa, en 2013, de
este tipo de ilícitos. Segundo, que este es un fenómeno
dinámico, es decir, que las compañías que tienen
implantados mecanismos de administración de riesgos
de fraude deben asegurarse que estos programas sean
revisados periódicamente para ajustarse a los riesgos que
se van enfrentando.
6.5 de cada 10 empresas
que operan en Colombia
han padecido cuando
menos un fraude en los
últimos doce meses.
El crimen económico no siempre ocurre en el mismo lugar
y de la misma forma. Quien está planificando un fraude
suele hacer un cálculo racional de qué tan probable es
que sea detectado en la comisión de su delito. En este
cálculo racional suele ponderar la capacidad real que
tiene la compañía de reaccionar ante la irregularidad
que se intenta cometer. Empresas que han establecido
mecanismos de prevención de fraudes pueden esperar que
el futuro atacante centre su atención en procesos que no
están en el foco de atención de los programas antifraude,
o bien, que aproveche los espacios de ambigüedad que
invariablemente existen en toda organización. Compañías
o industrias que atraviesan etapas de expansión, de
cambios significativos de tecnología o innovaciones,
suelen estar mucho más expuestas a este tipo de
riesgos precisamente por la novedad de los procesos
que experimentan, que inevitablemente carecen, por su
singularidad, de controles efectivos.
Ahora, si bien es cierto que el nivel de incidencia de fraudes
en general disminuyó en 2013, lo que sí se puede observar
son cambios significativos en el daño económico promedio
de los incidentes de crímenes económicos reportados en
Encuesta de Fraude en Colombia 2013 15
los últimos doce meses. Como se observa en la gráfica No.
4, en 2011 el daño económico anual estimado por crímenes
económicos en compañías que operan en Colombia fue de
$950 millones de dólares. En el 2013 la cifra estimada es
de $3,600 millones de dólares, es decir, que los crímenes
económicos han supuesto, en el último año, una afectación
económica cercana al 1% del PIB nacional.
Esta cifra debe invitar a una reflexión profunda en el
país sobre el costo que está teniendo la falta de ética e
integridad en las compañías que operan en Colombia. En
efecto, para detallar aún más la situación que enfrentan
las compañías que operan en Colombia, en relación a los
ilícitos de crímenes económicos, es importante ahondar en
el tipo de fraudes que se enfrentan.
Los crímenes
económicos han
supuesto, en el último
año, una afectación
económica cercana al 1%
del PIB nacional.
En términos de quién comete el ilícito se pueden distinguir
dos tipos de crimen económico: el fraude interno y el
fraude externo. El fraude interno es aquel que comete
un empleado de la propia organización, sea de manera
solitaria o en colusión con alguna otra persona. Por el
contrario, el fraude externo es el que realiza una persona
ajena a la organización, como puede ser un proveedor o un
cliente. Con base en esta clasificación, se puede observar
que, en 2013, la tendencia de mayor número de fraudes
internos sigue prevaleciendo en Colombia y que, incluso,
hay un incremento en este tipo de fraude, porque pasó
del 68%, en 2011, al 70%, en 2013, tal y como lo sugiere la
gráfica No. 5:
KPMG Advisory Services Ltda. - Forensic Services
 Este nivel tan alto de incidencia de crímenes económicos
internos se explica por la falta de mecanismos de control
interno adecuados. Suele cometerse el error de pensar
que las principales amenazas de las empresas están en el
entorno de las organizaciones, por lo que se suele poner
mayor atención a los riesgos que se perciben fuera de las
compañías, dejando de ver que el enemigo, la mayor parte
del tiempo, está adentro.

El crimen económico
comienza en el momento
mismo en que el
defraudador descubre
que la vigilancia sobre él
no es efectiva.
El crimen económico comienza en el momento mismo en
que el defraudador descubre que la vigilancia sobre él no
es efectiva. De ahí que sea aún más perjudicial contar con
aparentes controles, pero que estos no sean realmente
ejecutados, que simplemente no contar con ellos. La razón
es sencilla: la existencia de supuestos controles, pero que
no sean efectivos, genera simulación y conductas cínicas
ante el ilícito. Las compañías nunca deben olvidar que el
crimen económico se disfraza casi siempre de ambigüedad
y se aprovecha de ésta.

16 Encuesta de Fraude en Colombia 2013

 Encuesta de Fraude en Colombia 2013 17

Tipología de
Crímenes
Económicos
Una noción básica y general de fraude es la que define este tipo
de ilícito como “un acto deliberado de abuso de confianza, que
aprovechándose de engaños, se realiza para obtener un beneficio sin
consentimiento de la empresa afectada”. Entendido de esta manera
es de esperarse que una variedad muy amplia de comportamientos
ilícitos puedan tipificarse como fraude. Por ende, resulta conveniente
diferenciar entre tipos de crimen económico, pues sólo así se podrá
entender cabalmente sus modalidades más específicas.

La malversación de activos sigue

siendo el crimen económico más
común, con un 46%.
En términos generales, los crímenes económicos se pueden clasificar en cuatro
categorías: malversación de activos, fraude financiero, corrupción y cibercrimen.
La distinción no es banal. Cada una de estas categorías de ilícito se manifiesta de
manera muy distinta, son perpetrados por personas con diferentes perfiles y, sobre
todo, tienen causas y efectos disímbolos. Por consiguiente, las compañías deben
considerar los diferentes tipos de irregularidades a las que pueden estar expuestas
y, en consecuencia, instrumentar planes de remediación, detección y respuesta
acotados a su propio contexto y realidad organizacional.

En términos de daño económico, el

principal ilícito lo representa el fraude
financiero que causa el 51% del daño.
En el siguiente diagrama se esquematizan cada una de estas categorías de crimen
económico y se indican algunas de las modalidades o tipos específicos de ilícitos que pueden
comprenderse bajo cada una de estas tipologías.

KPMG Advisory Services Ltda. - Forensic Services

 Tipos de

Malversación
Corrupción de activos

Pública Privada

Captura del Corrupción Conflicto de

estado administrativa interés

Sobornos
Cohecho
(sobornos)

Manipulación
de licitaciones
Colusión

Favoritismo
Tráfico de
influencias
Efectivo

Peculado
Robo de dinero Robo de dinero Desembolsos
por recibos en efectivo fraudulentos
Prevaricato

Hurto en Esquema de Esquemas de Esquema de

Hurto Manipulación
efectivo facturación pagos gastos

Empresa de Empleados Gastos Proveedor

Ventas Alteración papel fantasma erróneos falso
Devoluciones
de cuentas
ficticias y otros
por cobrar
Vendedores Salarios Gastos Endoso
Pérdida no
Ventas sin autorizados falsificados exagerados falsificado
registrar total

Compras Esquema de Gastos Alteración del

Alteración de ficticios beneficiario
personales comisiones
recibos

Varios Proveedor
Recibos sin desembolsos Autorizado
conciliar

18 Encuesta de Fraude en Colombia 2013

 Encuesta de Fraude en Colombia 2013 19

Fraude

Fraude Cibercrimen
financiero

Métricas Flujo de Reconocimiento

financieras caja de ingresos

Mostrar indicadores Reemplazar entradas Reconocimiento

erróneos que exageren de efectivo financiero a de ingresos
el rendimiento la sección operativa anticipados

Distorcionar Desplazar salidas

indicadores del balance Registrar
de caja de
para evitar mostrar ingresos falsos
operación al rubro
el deterioro de inversiones
Impulsar el
Inflar el flujo de ingreso utilizando
caja operativo, actividades
usando adquisiciones insostenibles
o cesiones
Desplazar los
gastos corrientes
Impulsar el flujo de a un período
Inventario y caja operativo posterior
usando operaciones
otros activos insostenibles
Utilizar otras
técnicas para
ocultar gastos o
pérdidas Acceso no
Mal uso Hurto Piratería Vandalismo
Desplazar los autorizado
ingresos
corrientes a un
Readquisición/ Reproducción/ Acceso abusivo
período posterior Negación de
transferencia de utilización no a un sistema
activos de información servicio
Registro de autorizada de propiedad
Desplazar gastos intelectual
desembolsos futuros a un
Ventas falsas período anterior
Robo de Destrucción de
y envíos identidad información
Transacciones Distribución no
autorizada de
falsas
propiedad intelectual
Comprando y Suplantación
recibiendo Interceptación
Falsos de información de sitio web
reembolsos

Utilización
de software
malicioso

KPMG Advisory Services Ltda. - Forensic Services

 En la Encuesta de Fraude en Colombia 2013, se
exploraron los efectos de cada uno de estos tipos de
crimen económico en las compañías que operan en el
país. El propósito consistió no sólo en conocer el nivel
de incidencia de cada uno de estos tipos de ilícitos,
sino también conocer la magnitud del daño económico
que están generando en las compañías que afectan y,
adicionalmente, qué tanto daño social o externalidad
negativa están causando.
Es preciso hacer la siguiente explicación: para medir el
nivel de incidencia se le pidió a las compañías encuestadas
que revelaran las particularidades del caso de crimen
económico considerado más grave que hayan tenido en el
último año. Adicionalmente, para efectos de medir el daño
económico, se solicitó que, en lo posible, indicaran el costo
económico que dicho ilícito les causó.
Para el caso de la externalidad, se pidió a las compañías
informantes que mencionaran si el ilícito tuvo como
consecuencia algún tipo de daño para la comunidad o
industria en la que se trabaja. Por ejemplo, se pidió revelar
si, como consecuencia del ilícito experimentado, se
C.35%
10%
13%
31%
46% M.A.6%
20 Encuesta de Fraude en Colombia 2013
suspendió alguna inversión, se cancelaron planes de
expansión del negocio, o incluso, la unidad de negocio
afectada tuvo que desaparecer. Con estos reactivos se
construyó un indicador para ponderar el daño social, o
mejor dicho, la externalidad negativa causada a la sociedad
por cada uno de los crímenes económicos analizados.
¿Por qué era necesario medir la externalidad negativa
de los crímenes económicos? Porque todo ilícito, por
irrelevante que parezca, tiene efectos secundarios en el
tejido social de la compañía que afecta y, en consecuencia,
vulnera también las reglas sociales que hacen posible que
una industria o un sector determinado pueda prosperar.
Dejando como consecuencia una estela de desempleo y
falta de oportunidades para seguir innovando.
El resultado de este análisis se muestra en gráfica No. 6. De
acuerdo con los resultados obtenidos, se observa que en
términos de incidencia, es decir, en frecuencia o número de
ilícitos experimentados en el último año, la malversación
de activos sigue siendo el crimen económico más común,
con un 46%. En segundo lugar está la corrupción con un
31% y como tercer y cuarto lugar el cibercrimen (13%) y
fraude financiero (10%), respectivamente.
12%
15%
22%
51%
 Encuesta de Fraude en Colombia 2013 21

Elementos de un programa de administración de riesgos
de fraude
Un programa integral de administración de riesgos de
fraude en una empresa significa la aplicación de recursos
económicos, humanos y de conocimientos con el fin de
mitigar los riesgos de fraude que se enfrentan.
Mitigar el riesgo de ser víctima de un fraude requiere de
un sistema de actividades y controles que, en su conjunto,
reduzcan al mínimo posible la probabilidad de ocurrencia
de fraude y conductas impropias, y que al mismo tiempo
maximicen la posibilidad de detectarlas, antes de que
signifiquen un quebranto económico significativo. Una
estrategia de administración de riesgos de fraude que sea
efectiva y orientada a la empresa abarcará actividades,
mecanismos y controles que tengan tres objetivos:
Prevención: Reducir el riesgo de ocurrencia de fraude y
conductas impropias.
un programa integral que permita combinar mecanismos
de cambio cultural con controles internos en los procesos
de negocio.
Un adecuado sistema de administración de riesgos debe
partir de una estructura sólida de gobierno corporativo.
Todos en la organización desempeñan un papel
importante en el proceso de supervisión y monitoreo,
tanto la Junta Directiva, el Comité de Auditoría, la
Gerencia, como los Auditores Internos. Una vez que existe
la estructura deseable, los elementos de un programa
integral de administración de riesgo de fraude se dividen
comúnmente en tres, como se puede apreciar en la
siguiente figura:
Prevención Detección Respuesta
Supervisión de la Junta Directiva / Comité de Auditoría
Funciones del Equipo Directivo
Auditoría Interna, Cumplimiento y Funciones de Monitoreo

Detección: Descubrir fraudes y conductas impropias Evaluación de Mecanismos de Protocolos de

cuando ocurren. riesgos de fraude denuncia anónima. investigación
y conductas interna.
irregulares. Auditoría y
Respuesta: Tomar medidas correctivas y reparar los daños supervisión. Protocolos de
Código de aplicación y de
provocados por el fraude o conductas impropias. conducta y normas Análisis forense rendición de
relacionadas. proactivo de datos cuentas.
de la compañía.
“Due dilligence” Protocolos de
de empleados y revelación de
terceras partes. información.
Prevención
Comunicación y Protocolo
entrenamiento. de acciones
correctivas.
Controles de
riesgo de fraudes
específicos por
procesos.

Detección Respuesta
Todas las compañías son susceptibles de padecer algún
tipo de fraude, ya que cuando hay colusión e intención es
difícil frenarlo. Sin embargo, se ha visto que este riesgo se
mitiga sustancialmente cuando las empresas cuentan con
Estas estrategias cuando son integradas en un sistema de
administración de riesgo ayudan a reducir las amenazas
que enfrenta cotidianamente una empresa. En Colombia
estas medidas suelen verse más como un costo que como
una inversión. La cultura de las empresas en general
sigue siendo más reactiva que preventiva. En ese sentido,
la identificación y la mitigación de los riesgos de fraude
y conductas impropias son las principales áreas de
oportunidad que tienen las empresas colombianas para
mejorar su competitividad en el futuro inmediato.

Sin embargo, si bien es cierto que la malversación de
activos es el crimen económico más frecuente no significa
que sea el que más daño económico está causando a las
organizaciones afectadas. En términos de daño económico,
es decir, del costo que supuso para la compañía atacada,
el principal ilícito lo representa el fraude financiero (51%);
seguido de la corrupción (22%), el cibercrimen (15%) y,
hasta el cuarto lugar, la malversación de activos (12%).
Estos datos se complementan con la externalidad
causada, es decir, con la afectación a la sociedad en su
conjunto. Nuevamente se observa que el fraude financiero
(40%) y la corrupción (35%) son los ilícitos que más daño
generan en el sector o en la comunidad donde operan las
organizaciones afectadas.
Esto nos indica que el daño económico y la externalidad
derivada del fraude financiero son significativamente
mayores que los relacionados con la malversación de

KPMG Advisory Services Ltda. - Forensic Services

 activos. El notable daño generado por el fraude financiero de riesgo que enfrentan puede llevar a la implantación de
podría deberse a las presiones que sufren los directivos programas de control interno descontextualizados y, por
de las empresas para alcanzar los objetivos financieros tanto, poco efectivos.
propuestos. Cuando la sobrevivencia operativa de las
compañías o la permanencia del individuo en el puesto
están en juego, la línea que separa el comportamiento
aceptable del inaceptable puede volverse borrosa para
La corrupción puede
algunos individuos, de ahí la importancia de no relajar los originarse en las
controles internos y, más aún, fortalecer los mecanismos
tendientes a mejorar el gobierno corporativo de las decisiones o en las
compañías, el ambiente laboral y el énfasis en la conducta
ética. No olvidemos que la corrupción también puede
prácticas toleradas desde
originarse en las decisiones o en las prácticas toleradas la alta dirección.
desde la alta dirección.

En nuestra experiencia, el riesgo de fraude puede ser

La implementación mitigado en un grado razonable cuando las compañías
realizan un adecuado diagnóstico de sus áreas de riesgo
de mecanismos de y diseñan controles internos específicos para cada riesgo

prevención de crímenes detectado. En este sentido, a diferencia de las tendencias

económicos permite
reducir el riesgo hasta en
un 70%.
Cabe aclarar, que estos datos nos revelan además una
situación apremiante de control y supervisión sobre los
mandos directivos de las empresas. En general, cuando
se discute el asunto del control interno se suele hacer
énfasis en los controles orientados hacia la operación de
las compañías, descuidando los mandos directivos. No
obstante, a decir de los datos aquí presentados, son los
que en su momento pueden causar un mayor daño en el
patrimonio de las compañías y de la sociedad.
que ponen énfasis en la detección basada en fuertes
procedimientos de control que incitan la burocratización
y las prácticas de simulación, la experiencia nos ha
demostrado la efectividad de las medidas orientadas hacia
la consolidación de un programa integral de administración
de riesgos de fraude. De hecho, la implementación de
mecanismos de prevención de crímenes económicos
permite reducir el riesgo hasta en un 70%, lo que resulta
en una disminución de los costos relacionados con la
comisión de ilícitos en forma significativa.

El fraude financiero
y la corrupción son
los ilícitos que más
daño generan en el
sector donde operan
las organizaciones
afectadas.
En materia de crímenes económicos es importante
entender que son patologías que se manifiestan y
obedecen a causas muy distintas. Ningún ilícito será igual a
otro, aún cuando guarden importantes similitudes y aunque
ocurran en la misma organización. Es imperativo tomar
en cuenta esta condición del crimen económico porque
las compañías deben conocer cabalmente a qué tipo de
riesgos de fraude están expuestos y, por ende, que medidas
mitigantes adoptar. La valoración errada de las situaciones

22 Encuesta de Fraude en Colombia 2013

 Encuesta de Fraude en Colombia 2013 23

Malversación
de Activos

Malversación de Incidencia Daño Externalidad

Activos 46% 12% 6%

La malversación de activos entendida como el robo o uso indebido de

recursos de la compañía, como dinero o cualquier otro bien (por ejemplo
materias primas, maquinaria o productos terminados), para obtener
un beneficio no autorizado o irregular, puede presentarse en cualquier
tipo compañía y en cualquier momento. El alto índice de incidencia de
este tipo de delito (46%) hace que prácticamente la mitad de los crímenes
económicos cometidos contra empresas que operan en Colombia caigan en
esta categoría.

Este tipo de ilícito, como lo muestra la gráfica No. 7, se explica principalmente

por la falta de control interno y supervisión (23%) y ausencia de políticas claras y
bien definidas (18%). Visto desde este punto de vista, la malversación de activos
parece estar fuertemente asociada a las oportunidades que puedan percibir el
perpetrador del ilícito de poca o nula supervisión sobre sus acciones; además de la
ambigüedad que pueda existir en la delimitación de funciones y responsabilidades.

KPMG Advisory Services Ltda. - Forensic Services

 Con este tipo de ilícito, el perpetrador suele buscar un
beneficio directo, es decir, obtener una ganancia casi
inmediata del objeto robado o sustraído ilegalmente.
Como se puede observar en el diagrama de tipos de
crímenes económicos, la malversación de activos se asocia
estrechamente con la apropiación indebida de efectivo o
engaño en los reembolsos de gastos, sólo por mencionar
algunas modalidades. Este tipo de situaciones puede estar
presente especialmente, pero no únicamente, con aquellas
actividades de las compañías donde los individuos tienen
la posibilidad de acceder directamente a mercancías,
cheques, efectivo o, incluso, con la capacidad de adulterar
pagos para realizar esquemas de doble facturación. Sin
duda, en todas estas situaciones la ausencia de controles
internos de supervisión y vigilancia desempeña un papel
importante para que este tipo de irregularidades sucedan.
El perpetrador de este
ilícito suele buscar
un beneficio directo,
es decir, obtener una
ganancia casi inmediata
del objeto robado o
sustraído ilegalmente.
En consecuencia, los efectos más importantes que pueden
tener este tipo de ilícitos, como se muestra en la gráfica
No. 8, están asociados a la afectación de flujo de caja
(47%) e incremento en los costos de operación (23%). Otro
elemento que se ve seriamente afectado por este tipo de
ilícito es el clima laboral (16%). No hay duda que el fraude
es una situación que enturbia la armonía de la gente y,
sobre todo, vulnera la confianza que puede haber entre
compañeros de trabajo. La malversación de activos puede
tener ese efecto negativo, toda vez que el robo –forma
más llana para designar la malversación de activos—tiene
connotaciones sociales, e incluso religiosas, más fuertes y
de difícil justificación.
24 Encuesta de Fraude en Colombia 2013
La menara como se detecta este tipo de ilícitos también
nos dice mucho de cómo funcionan las organizaciones.
De acuerdo con la gráfica No. 9, se puede observar que
el 51% de este tipo de ilícitos se descubrieron por medio
de una denuncia. Dicho de otra forma, más de la mitad de
los fraudes relacionados con malversación de activos se
descubrieron porque alguien informó a la compañía de esta
irregularidad. Este dato es muy importante porque indica,
por un lado, que los controles internos de las empresas
no están siendo efectivos y, por otro, que la principal
línea de defensa en contra de la malversación de activos
es la propia gente, que está dispuesta a delatar aquellas
actividades que considera contrarias a la ética de las
empresas.
Otro punto que debe llamar nuestra atención, en relación
a la malversación de activos, es el tiempo en que demora
una compañía en detectar este tipo de crimen económico.
Como se observa en la gráfica No. 10, el 62% de las
compañías que se vieron afectadas por este tipo de ilícito
tardaron más de un mes en detectarlo; incluso un 10% lo
detectó más de un año después de haberse realizado el
ataque.
Con base en estos datos es necesario insistir: las empresas
que mejor están preparadas para prevenir y detectar
fraudes son aquellas que establecen controles efectivos
para mitigar riesgos y que, además, fortalecen su
infraestructura ética. Al decir esto nos referimos a la

imperiosa necesidad de que las empresas establezcan
y apliquen rigurosamente Códigos de Ética, que den
entrenamiento a la gente sobre valores en los negocios
y, por supuesto, que pongan a disposición de todos
los involucrados —esto es, empleados, accionistas,
proveedores, clientes, socios estratégicos, etcétera— algún
mecanismo de denuncia anónima.
El 51% de este tipo de
ilícitos se descubrieron
por medio de una
denuncia.
¿Quién comete este tipo de ilícitos? Todo indica que el
perpetrador típico de este tipo de ilícitos es un empleado
ubicado en una posición operativa. En la gráfica No.
11 se observa que el 88% de este tipo de fraudes está
concentrado entre empleados de mando medio y operativo.
No obstante, el daño económico provocado por la alta
dirección, relacionada con prácticas de malversación de
activos, representa el 43%. Nuevamente: aún cuando
el número de ilícitos cometidos por la alta dirección
Elementos a considerar para el funcionamiento de una
Línea Ética
En la experiencia de KPMG, para que una línea de
denuncia anónima pueda ser realmente efectiva, no basta
con habilitar un número telefónico o un correo electrónico
para recibir las denuncias. Es necesario implementar un
programa integral que cubra cuando menos los siguientes
aspectos:
• Comunicación y difusión de la disponibilidad de una
línea de denuncia.- Es necesario que el lanzamiento
de una línea de denuncia esté acompañada de un
programa que sensibilice y comunique el propósito y
los mecanismos implantados para realizar denuncias.
Esta comunicación además deberá ser reforzada
periódicamente, de tal forma que la gente siempre
tenga presente esta opción de interlocución con la
empresa.
• Protocolos de seguimiento e investigación.- Es
necesario que la empresa cuente con un protocolo
claro sobre los procedimientos a seguir y los
Encuesta de Fraude en Colombia 2013 25
aparece con un índice relativamente más bajo, el grado de
afectación que puede generar es desastroso.
El 62% de las compañías
que se vieron afectadas
por este tipo de ilícito
tardaron más de un mes
en detectarlo.
responsables de atender todas las denuncias
recibidas por medio de la línea de denuncia.
• Garantía de no represalias.- Es imperativo que la
empresa adopte las medidas necesarias para que las
denuncias recibidas mediante este mecanismo no
resulten en represalias en contra de las personas que
han utilizado la línea de denuncia. De lo contrario,
se puede generar un ambiente adverso dentro de
la compañía, generando actitudes de simulación y
cinismo.
• Comunicación directa con los más altos niveles
de gobierno de la empresa - Es necesario que las
denuncias realizadas se reporten de manera directa
a los más altos órganos de gobierno de la empresa,
como puede ser el Comité de Auditoría o la Junta de
Gobierno, de tal forma que pueda establecerse un
contacto directo con los tomadores de decisiones y
evitar así que ciertas denuncias sean bloqueadas por
altos directivos, que pueden estar involucrados en los
hechos denunciados o que están tratando de encubrir
a las personas reportadas.
KPMG Advisory Services Ltda. - Forensic Services
 Fraude
Financiero

Incidencia Daño Externalidad

Fraude Financiero
10% 51% 40%

El fraude financiero es sin duda el crimen económico más sofisticado.

Este ilícito se refiere a la alteración, modificación o manipulación de
información contable o financiera de una compañía con el propósito de
reflejar una situación económica o financiera equivocada o engañosa.
El nivel de incidencia de este tipo de ilícito es relativamente bajo, con
solo un 10%. Sin embargo, como ya se mencionó, el daño económico que
puede causar a las compañías afectadas es del 51%. Dicho de otra forma,
más de la mitad del daño económico experimentado por las compañías
víctimas de fraudes, en el último año, fue propiciado por este tipo de ilícito. En
términos llanos esto implica un costo cercano a los 1,800 millones de dólares
americanos.

El Fraude Financiero ha causado un

costo de 1800 millones de dólares
americanos.
Pero también es importante considerar que este tipo de crimen económico le ha
generado un daño a la sociedad colombiana. La externalidad negativa propiciada por
este tipo de ilícito es del 40%. Este número significa, en otras palabras, pérdida de
oportunidades de crecimiento de las compañías, inversiones que se han estancado o
perdido y, en última instancia, desaparición de unidades de negocio y, por tanto, empleos.

El daño económico que puede causar

el fraude financiero a las compañías
afectadas es del 51%.
El fraude financiero, al igual que el resto de los crímenes económicos, tiene múltiples causas.
Ahora bien, como lo muestra la gráfica No. 12, existe una fuerte asociación entre este tipo de ilícito
y las prácticas de supeditaje gerencial (en inglés management override), esto es, la intervención
de algún directivo de la compañía para tomar o imponer una decisión contraria a las políticas de
control interno de la empresa. De acuerdo con los resultados obtenidos, el 26% de los fraudes

26 Encuesta de Fraude en Colombia 2013

 Encuesta de Fraude en Colombia 2013 27

Prácticas típicas de Fraude Financiero en Colombia

• Registrar como un gasto futuro un pasivo presente,
En la experiencia de KPMG el fraude financiero se de tal forma que las cuentas de resultados muestren
relaciona con múltiples formas de manipular y falsear mayores rendimientos y también menores pasivos
la información financiera o contable. Algunas de las y de esta manera alterar los ratios de las razones
prácticas fraudulentas más comunes en este sentido son financieras presentadas a los accionistas de la
las siguientes: empresa.

• Registro de ingresos ficticios para sobredimensionar • Registrar la depreciación de un activo en un plazo

el comportamiento real de la compañía y de esta de tiempo mayor a la de su vida útil estimada, de tal
manera tener, por ejemplo, una mejor posición a la forma que el valor de los activos mostrados en libros
hora de negociar una posible venta de la compañía. no corresponda con la realidad.

• Registrar como venta un desplazamiento de • Registrar de manera imprecisa o incluso no registrar

mercancía de un almacén a otro o no registrar una contingencia derivada, por ejemplo, de un litigio
devoluciones de inventario, de tal forma que se legal que se estima se va a perder y, no obstante, no
mantengan un nivel de ventas alto y con ello obtener reconocerla para no afectar los deberes de hacer y no
bonos asociados a “productividad” de los altos hacer (“covenants”) con los bancos acreedores.
ejecutivos.
• Registrar como arrendamiento puro cierta maquinaria
• Reconocer como ingresos presentes perspectivas en lugar de arrendamiento financiero, para reducir así
de ingresos futuros (por ejemplo aquellos derivados la deuda en estados financieros y reflejar una mejor
de contratos a largo plazo o beneficios obtenidos de posición financiera.
instrumentos financieros), para reflejar una liquidez
a corto plazo que asegure un préstamo bancario más
generoso.

financieros se originaron por algún asunto relacionado con consecuencias desastrosas para las empresas afectadas.
el supeditaje gerencial y un 22% por exceso de confianza y
falta de supervisión.

El 26% de los fraudes

financieros se originaron
por algún asunto
relacionado con
supeditaje gerencial.
Así lo demuestra la gráfica No. 13 en la que se observa que
este tipo de ilícito ha causado la desaparición o afectación
a la viabilidad del negocio (31%), afectación al valor de la
compañía (29%) y daños a la imagen de compañía (21%).

En ocasiones algunos directivos pueden llegar a pensar que

pueden actuar al margen de los propios controles internos
de su compañía. Este es un error fatal. Las organizaciones
funcionan y logran sus objetivos gracias a las reglas que
delimitan el marco de actuación de cada persona. Violentar
esas reglas lesiona el principio básico de responsabilidad.

Es importante entender que el fraude financiero, por su

propia naturaleza, pasa necesariamente por los más altos
cargos de dirección y responsabilidad de las compañías. De
ahí que la conducta deshonesta y criminal en ese nivel de la
organización puede –y de hecho está teniendo—

KPMG Advisory Services Ltda. - Forensic Services

 Cuando la deshonestidad prevalece en una compañía
pueden hacerse muchas trampas y engaños para desviar
la atención de los mecanismos de control. Pero tarde o
temprano el fraude financiero se convierte insostenible.
La gran paradoja del fraude financiero es que implica tal
cantidad de engaños y simulaciones, que es una cuestión
de tiempo para que la incongruencia contable o financiera
aflore. En este sentido, es interesante observar los datos
que muestra la gráfica No. 14.
¿Quién comete este tipo de ilícito? Como ya se mencionó
este tipo de crimen económico pasa necesariamente por
la alta dirección. En efecto, el engaño contable y financiero
es quizá el clásico ejemplo de crimen de cuello blanco:
es perpetrado por altos funcionarios o bajo presión de
ellos y el beneficiado, en detrimento de los intereses de
la compañía, suele ser la cúpula de la organización. En la
mayoría de las veces destruyendo la confianza y patrimonio
de inversionistas, accionistas y empleados por igual.

El 90% de los fraudes

financieros se detectan
un año después de
haberse realizado el
ataque.
La gráfica No. 16 muestra claramente que el 61% de estos
delitos los comete la alta dirección, causando el 68% del
daño económico. El nivel gerencial contribuye con un tercio
De acuerdo con estos datos, se observa que este tipo de de estos delitos; dejando prácticamente sin participación en
crimen económico suele ser detectado, en primer lugar, este tipo de crimen económico a los puestos operativos.
por los propios mecanismos de gobierno corporativo, por
ejemplo, contraloría o auditoría interna (32%), seguido de
la auditoría externa o revisoría fiscal (26%) e, interesante,
un 18% es detectado mediante denuncias. Este último dato
nos revela que, nuevamente, los sistemas de denuncia
anónima pueden actuar como un efectivo mecanismo de
control –incluso para acotar a altos directivos.

El perpetrador de fraude financiero suele buscar un

beneficio indirecto, es decir, obtiene su ganancia pasado un
tiempo, una vez que sus engaños contables o financieros
surten efecto. Típicamente este tipo de fraude puede
asociarse, por ejemplo, al engaño de indicadores para
alcanzar las metas establecidas y así acceder a los “bonos”
u otra forma de compensación variable. En ese orden de
ideas, es comprensible observar que este tipo de ilícito
suele detectarse a largo plazo. En la gráfica No. 15 se puede
observar que el 90% de los fraudes financieros se detectan
un año después de haberse realizado el ataque.

28 Encuesta de Fraude en Colombia 2013

 Encuesta de Fraude en Colombia 2013 29

Corrupción

Incidencia Daño Externalidad

Corrupción
31% 22% 35%

La corrupción es un serio problema para las empresas que operan en

Colombia. Este crimen económico se refiere a pagos ilegales realizados
a servidores públicos o funcionarios de compañías privadas para
obtener o retener algún contrato o cualquier otro beneficio personal o
para un tercero; entendiendo por pago ilegal tanto sobornos en dinero
como en cualquier otra forma, como regalos, viajes, favores, etcétera. En
este sentido, la corrupción afecta seriamente los negocios porque no sólo
distorsiona las condiciones de mercado, sino también reduce la confianza en
las autoridades e incrementa los costos de operación de las empresas.

La corrupción supuso un daño

cercano a los 800 millones de
dólares americanos.
Uno de los problemas con la corrupción es que la frontera que separa a la víctima
del victimario es borrosa y fugaz. La corrupción es un fenómeno de dos vías: hay
corrupción porque existe un funcionario (público o privado) que solicita o exige un
pago ilegal, pero también porque hay, del otro lado, una compañía dispuesta a pagarlo
y tolerarlo. De acuerdo con los resultados obtenidos, el 31% de los crímenes económicos
que afectaron, en el último año, a las compañías que operan en Colombia se relacionaron
con alguna práctica corrupta. En términos de costo económico, la corrupción supuso un
daño cercano a los 800 millones de dólares americanos.

Colombia se ha sumado a la cruzada

internacional en contra de la corrupción
con la Ley 1474 de 2011 Estatuto
Anticorrupción.
El costo que tiene la corrupción a nivel mundial, ha hecho que alrededor del mundo, cada vez más
empresas y gobiernos reconozcan que la corrupción eleva los riesgos en todo tipo de transacciones.

KPMG Advisory Services Ltda. - Forensic Services

 En consecuencia, varios países han establecido leyes
que de manera explícita prohíben a sus compañías y
subsidiarias el pago de sobornos. Colombia se ha sumado
a esa cruzada internacional en contra de la corrupción
con la Ley 1474 de 2011 Estatuto Anticorrupción. Cabe
destacar que esta Ley tipifica, entre otras cosas, el delito de
corrupción privada. Con este delito se persigue y castiga
el pago de dádivas a sociedades privadas con el objetivo
de obtener un beneficio (por ejemplo un contrato) o
favorecimiento irregular.
La corrupción (pública
y privada) se relaciona
sobre todo con prácticas
institucionalizadas (26%).
Desde este punto de vista, es importante que las compañías
que operan en Colombia entiendan que la corrupción
privada también debe estar en su marco de control interno
y que, más aún, debería adoptar medidas específicas
para asegurarse que los empleados y altos funcionarios
de sus compañías que seleccionan proveedores o tratan
directamente con clientes asuman convenientemente
los controles anticorrupción. Hay que decirlo claro: en
Colombia combatir la corrupción privada no es una
cuestión de mejores prácticas, es una obligación legal.
Las causas de la corrupción son heterogéneas. No existe
una única variable que explique completamente por qué
una compañía en un momento dado accede al pago de
sobornos. En este sentido es interesante observar que,
de acuerdo con la gráfica No. 17, las principales causas
de la corrupción (pública y privada) se relacionan con
prácticas institucionalizadas (26%), trámites confusos y
poco transparentes (22%), presiones (15%) y, nuevamente,
supeditaje gerencial (11%).
La reflexión a la que nos deben invitar estos datos es que,
al parecer, persiste la percepción entre las empresas
que operan en Colombia que la corrupción es una forma
30 Encuesta de Fraude en Colombia 2013
de hacer que las cosas sucedan; que se trata de usos y
costumbres que es necesario tolerar y utilizar en provecho
de la propia compañía. Esta es una visión estrecha y
equivocada de mirar el asunto. El acto corrupto puede
resolver, en lo inmediato, el trámite o asunto que se tiene;
pero a largo plazo la corrupción se revierte y afecta, al final
del día, el propio funcionamiento de la organización.
En la gráfica No. 18 se muestran los efectos que las propias
compañías reconocen tener por efecto de la corrupción,
sea pública o privada. El 34% experimenta incrementos en
los costos de operación, 23% observa que los precios de
mercado se distorsionan y el 19% mira que se afectan sus
relaciones de negocio.
En el caso de la corrupción el beneficio que se obtiene
depende en gran medida de quién y para qué se comente el
acto corrupto. Se podría decir que, en general, la corrupción
privada está fuertemente asociada al pago de dádivas (a
través de dinero, regalos, entretenimiento, entre otros
medios) que le reportan un beneficio directo e individual
a la persona involucrado en el acuerdo ilegal. Típicamente
este tipo de situaciones se observa en los ciclos de
compras y contratación, donde las personas encargadas
de seleccionar y contratar proveedores pueden llegar a
acuerdos no autorizados e ilegales, por medio de pago de
dádivas, para favorecer a un proveedor en particular.
Por su parte, la corrupción pública está más asociada al
pago de sobornos a funcionarios públicos por parte de la
compañía involucrada. En estos casos el beneficio es más
para la compañía en su conjunto, pues a través del soborno
se intenta obtener, por ejemplo, permisos, licencias,
exención de impuestos o multas y, claro está, obtención
o retención de contratos otorgados por una entidad de
gobierno. En estas situaciones estamos ante los casos en
que una compañía intenta comprar decisiones o modificar
procesos administrativos de las entidades de gobierno, a
modo de que le beneficien. Los llamados “carruseles de
la contratación” u otra forma de engaño y uso indebido
de los recursos públicos para beneficiar a privados están
claramente inscritos en este tipo de crimen económico.
La corrupción (sea pública o privada) suele ser detectada
porque alguien la denuncia. Así lo muestra la gráfica No.
18, en la que se observa que el 41% de este tipo de crimen
económico se detectó por denuncia, seguida por el control

Importancia del Análisis Proactivo de Datos en el Ciclo de
Compras
En la experiencia de KPMG el ciclo de compras y
contratación es uno de los procesos administrativos más
expuestos a prácticas de corrupción privada. Una auditoría
típica suele mirar únicamente el apego a la política de
compras. No obstante, la corrupción privada suele suceder
de manera disfrazada, por lo general por canales de
comunicación ajenos al proceso.
La siguiente transcripción es ficticia, pero inspirada en un
caso real, que KPMG investigó y en el que se realizó una
búsqueda, con herramientas de tecnología forense, de
conversaciones realizadas por medio de chats:
- [Empleado de compras]:
Amigo, ¿dónde estas? Hay que ofrecerle a mi jefe tres
máquinas más.
- [Proveedor coludido]:
Va. ¿Qué hago? ¿Igual que las otras veces?
- [Empleado de compras]:
No. Dile al chino que te las mande pero con el sobrecosto
que acordamos para mi primo, así nos toca más $$$ a
todos.
- [Proveedor coludido]:
Ok!!!
- [Empleado de compras]:
Mándale un mail a mi jefe y le dices que esas le ofreces
buen precio. El man no se va a dar cuenta. Nunca revisa
interno (22%) y accidentalmente (17%). Vale la pena hacer
la siguiente reflexión: la denuncia como mecanismo de
control anticorrupción no sólo es un elemento que estén
utilizando los propios empleados para reportar anomalías
en sus propias compañías (quizá más asociada a la
corrupción privada). También las denuncias realizadas
por los medios de comunicación para llamar la atención
sobre posibles desvíos públicos son una forma de control
importante de la corrupción pública. En ese sentido es
necesario subrayar el papel tan importante que desempeña
este mecanismo de control y vigilancia.
El hecho de que la corrupción ocurra de manera oculta,
bajo el amparo de la ambigüedad organizacional o de
Encuesta de Fraude en Colombia 2013 31
los papeles y me lo deja a mi. Mejor manda cotización de
cinco. Más $$$$ para todos. Yo la apruebo de una.
- [Proveedor coludido]:
Ok. De una. Deposita en cuenta de mi hermana. No la que
sale en factura. Esa ya no existe.
Casos como el anterior escapan de la lupa del auditor.
De ahí que sea importante considerar herramientas de
análisis proactivo de datos para robustecer el control y la
vigilancia sobre las compras y contrataciones.
El análisis proactivo de datos consiste en utilizar de
manera inteligente las propias bases de datos de las
compañías. Por ejemplo, haciendo cruces de datos entre
las bases del archivo maestro de proveedores, maestro de
empleados y la base de pago a proveedores. Este tipo de
análisis permite detectar alertas que den pista
de posibles irregularidades. Algunos de los hallazgos que
se pueden obtener son:
• Facturas de proveedores no registrados en el maestro
de proveedores.
• Proveedor y empleado con datos coincidentes
(teléfono, dirección, otros).
• Diferentes proveedores con misma cuenta bancaria.
• Facturación atípica.
• Facturas múltiples con la misma descripción de
artículo, precios, descuentos, etc.
• Proveedores con números de facturas duplicados.
• Presencia de facturas antes de la orden de compra.
la carencia de controles efectivos, hace que este tipo
de crimen económico también sea de difícil detección
oportuna. De acuerdo con la gráfica No. 20, el 55% de los
crímenes económicos relacionados con actos de corrupción
se detectan más de un año después de haberse realizado el
ilícito.
¿Quién comete este tipo de ilícito? Al ser la corrupción
una patología que puede ocurrir en cualquier rincón de
la organización, en realidad el perfil del perpetrador es
difuso. No obstante, lo que llama nuestra atención es que,
de acuerdo con los datos que se muestran en la gráfica
KPMG Advisory Services Ltda. - Forensic Services
 No. 21, el principal actor de este tipo de ilícitos se ubica en
los mandos medios de las compañías (48%) y provoca el
67% del daño económico asociado a este tipo de crimen
económico. Estos datos nos da una idea de cómo operan
las compañías en Colombia, porque efectivamente los
puestos gerenciales o intermedios son normalmente los
que toman las decisiones de qué proveedor contratar –y
por tanto pueden estar ligados a la corrupción privada—y
además suelen ser quienes gestionan y tienen un estrecho
relacionamiento con funcionarios públicos –lo que los
puede ubicar en el meollo de la corrupción pública.

En Colombia el combate
a la corrupción privada
no es una cuestión de
mejores prácticas, es una
obligación legal.

32 Encuesta de Fraude en Colombia 2013

 Encuesta de Fraude en Colombia 2013 33

Cibercrimen

Incidencia Daño Externalidad

Cibercrimen
13% 15% 19%

El cibercrimen es un tipo de crimen económico que ha ido ganando

importancia en los últimos años. Así, ha pasado de ser una “novedad”
en el mundo de la informática, a toda una actividad criminal, causante
del 13% de los ilícitos que se han cometido en el último año contra de
empresas que operan en Colombia y generando un daño económico
cercano a los 550 millones de dólares.

El cibercrimen está generando un

daño económico cercano a los 550
millones de dólares en el último
año en Colombia.
El cibercrimen se refiere a aquellas actividades ilícitas que se llevan a cabo para
robar, alterar, manipular, enajenar o destruir información o activos (como dinero,
valores o bienes desmaterializados) de las compañías afectadas, utilizando para dicho
fin algún medio informático o componentes electrónicos.

El 23% de los ataques cibernéticos

pueden atribuirse a la deslealtad de
empleados.
Este tipo de crimen económico sin duda representa uno de los principales retos para
compañías y gobierno por igual. Nadie está exento de sufrir este tipo de ataques. Menos
aún las compañías que son un blanco particularmente apetecible para las bandas criminales
dedicadas al espionaje corporativo, la piratería, extorsión y, claro está, el desfalco.

La imagen del asaltabancos, enmascarado y tomando por sorpresa una sucursal bancaria, ha
dejado lugar al criminal conocedor de sistemas informáticos que desde un lugar remoto intenta
vulnerar los sistemas de seguridad de las plataformas tecnológicas de bancos, aseguradoras y, en
general, cualquier otra organización que tenga algún tipo de activo o información objeto de robo.
Las causas que propician este tipo de ilícitos son diversas. La gráfica No. 22 muestra que el 23% de

KPMG Advisory Services Ltda. - Forensic Services

 los ataques cibernéticos pueden atribuirse a la deslealtad
de empleados, el 20% se debe a fallas en la seguridad de la
tecnología utilizada en las compañías afectadas y un 17% al
robo de dispositivo móvil.
cargo de dicha tecnología no la ejecutan correctamente,
su vulnerabilidad es mayúscula. Ninguna tecnología,
por sí misma, puede sustituir el factor humano y la
debida diligencia de implantar y operar correctamente los
mecanismos de seguridad tecnológica de las empresas.

El factor sorpresa es sin

duda el principal aliado
del perpetrador de
ataques informáticos.
Los resultados que muestra la gráfica No. 24 son un botón
de muestra de la inefectiva actividad de seguridad que
impera en las compañías que operan en Colombia. El 39%
de los cibercrimenes se detectaron accidentalmente, es
decir, fueron identificados fortuitamente o al azar. El 30%
fue bloqueado por los mecanismos de control interno y el
17% por alguna denuncia.
En tanto que el perpetrador del cibercrimen puede ser una
persona ajena a la compañía –porque los ataques pueden
suceder de manera remota—el daño que causan puede ser
incalculable. Peor aún: una compañía que ha sido objeto
de un ataque pudiera no saberlo sino hasta mucho tiempo
después, ya que es demasiado tarde para reaccionar.
Dicho esto, no sorprende el tipo de consecuencias que
las compañías indican como principales, resultado de los
ciberataques a los que fueron objeto. La gráfica No. 23
muestra que el 27% tuvo daños económicos, el 21% sufrió
la pérdida de información sensible y el 15% fue objeto de
extorsión y chantaje.

De aquí se desprende también el lento proceso de

detección que tiene este tipo de ataques. En la gráfica
No. 25 se observa que el 53% de los cibercrimenes se
detectaron después de un mes de haberse realizado el
ataque. Este tiempo de inefectividad puede ser mortal para
la organización afectada. Todos los crímenes económicos
provocan consecuencias y costos. En este sentido, el nivel
de gravedad del crimen experimentado está íntimamente
ligado con el tiempo que se demore en reaccionar y
responder al ataque sufrido.

El 39% de los
cibercrímenes
El factor sorpresa es sin duda el principal aliado del
se detectaron
perpetrador de ataques informáticos. Sus crímenes además
suelen contar con el apoyo –involuntario—de la falta de
accidentalmente.
efectividad de los sistemas de seguridad implantados.
Las organizaciones suelen poner demasiado énfasis en
la tecnología especializada en brindar seguridad. Sin
embargo, suelen olvidar que si esa tecnología no es
aplicada convenientemente o si las personas que están a

34 Encuesta de Fraude en Colombia 2013

 Encuesta de Fraude en Colombia 2013 35

Las Amenazas Persistentes Avanzadas Reconocimiento, Lanzamiento e Infección: El atacante

Las Amenazas Persistentes Avanzadas son, en general,
grupos organizados con la capacidad tecnológica y
económica para irrumpir de forma sigilosa y para
mantener su presencia indefinidamente en los sistemas
de información internos de las entidades, con objetivos
claramente definidos.
Para establecer su presencia en su objetivo de ataque, una
Amenaza Persistente Avanzada hace uso de técnicas como
la Ingeniería Social, Phishing, propagación mediante
medios removibles, debilidades técnicas no atendidas
y en general, cualquier debilidad en las dimensiones de
Gente, Procesos y Tecnología. Después del acceso inicial,
los atacantes utilizarán tecnologías y metodologías que
impedirán su detección a través de sistemas antivirus y
métodos reactivos tradicionales de protección y respuesta.
Una Amenaza Persistente Avanzada puede definirse
también a partir de sus componentes esenciales:
Amenaza: El atacante tiene la intención y la capacidad de
obtener acceso a información confidencial almacenada
electrónicamente.
Persistente: La naturaleza persistente de la amenaza
hace que sea difícil prevenir el acceso a la red de
computadores y que una vez el atacante ha obtenido
acceso exitosamente, sea difícil removerlo.
Avanzada: El atacante tiene la habilidad de evadir
la detección, así como la capacidad para obtener
y mantener el acceso a redes bien protegidas y a
información confidencial contenida en ellas. Este atacante
generalmente se adapta fácilmente y cuenta con buenos
recursos tecnológicos y económicos
El proceso de una Amenaza Persistente Avanzada
comprende, generalmente, tres grandes fases:
efectúa un reconocimiento de su objetivo, identifica sus
vulnerabilidades, lanza el ataque e infecta los sistemas de
información seleccionados.
Control, actualización, enumeración, persistencia: El
atacante controla los sistemas de información infectados,
actualiza o adiciona sus programas de control, se
extiende a otras máquinas y enumera y recolecta datos
seleccionados.
Extracción y compromiso: El atacante extrae la
información de los sistemas de información de la red
objetivo y la entrega a quien financia el ataque, la vende,
demanda un rescate para evitar su publicación e incluso
comparte o comercia la información necesaria para que
otros tengan acceso a la red.
En Colombia, KPMG ha conocido ataques sofisticados
realizados a organizaciones, que bien pudieran
catalogarse como Amenazas Persistentes Avanzadas. Si
bien las organizaciones del sector financiero son quienes
más pudieran ser objeto de este tipo de ataque, ningún
sector de la economía está excluido. Es así que ataques de
este estilo han sido utilizados, entre otros, para:
• Tener acceso a información médica de personas
específicas.
• Conocer anticipadamente decisiones empresariales
(fusiones, adquisiciones, emisiones de acciones,
inversiones, etc.)
• Monitorear empleados clave.
• Infiltrar sistemas de gestión documental.
• Acceder y controlar sistemas de infraestructura crítica
(plantas de tratamiento de agua, hidroeléctricas,
oleoductos, etc.).
• Conocer información sensible de estudiantes y
profesores.
• Conocer campañas de mercadeo.
• Obtención de bases de datos de clientes.

¿Quién comete este tipo de ilícito? Para el caso del

cibercrimen es importante observar que el 61% de estos
ataques son realizados por empleados de la propia
compañía, de manera aislada o en colusión con alguna otra
persona. En segundo lugar, con un 17% están las bandas
criminales. Al respecto es importante llamar la atención
sobre una novedosa modalidad de atacantes cibernéticos:
se trata de organizaciones con la preparación, recursos
y tiempo suficiente para estudiar y conocer bien las
debilidades de sus potenciales blancos. Muchas veces este
tipo de atacante puede infiltrar la organización por medio
de un “topo”, es decir, una persona que de información
clave de puntos vulnerables de la seguridad informática, e
incluso, sembrando algún dispositivo que permita el ataque
remoto. En estos casos, las compañías claramente están
frente a un ataque de proporciones mayúsculas, con graves
consecuencias.

KPMG Advisory Services Ltda. - Forensic Services

 Así las cosas, será necesario que las empresas que operan
en Colombia enfrenten el reto de mejorar su capacidad de
control interno y prevención de cibercrímenes. La presente
situación puede ser una oportunidad para hacer una
auténtica revolución en la forma de ejecutar la seguridad
informática. El cambio que es necesario realizar es, ante
todo, de carácter cultural y pasar de la estrategia reactiva
a la preventiva. Las compañías deben entender que el
cibercrimen es de hecho un riesgo latente. Por tanto, las
compañías deberán tomar este diagnóstico con cuidado y
evaluar en dónde están paradas realmente en términos de
prevención y detección de cibercrímenes. Si hoy tuvieran
un ataque de este tipo, ¿podrían detectarlo a tiempo?
¿Sabrían qué hacer y cómo remediarlo?

El 17% de los ataques

de cibercrimen son
cometidos por bandas
criminales.

36 Encuesta de Fraude en Colombia 2013

 Encuesta de Fraude en Colombia 2013 37

Conclusiones

Las compañías que operan en Colombia enfrentan el reto de

consolidar sus negocios y potenciar su prestigio. La confianza
que proyecten a clientes, inversionistas y socios estratégicos
será fundamental para lograr estos objetivos. En este contexto,
su principal enemigo es el riesgo de ser víctimas de crímenes
económicos, que minen su patrimonio e imagen corporativa. El nivel
de incidencia de fraudes reportados en este estudio, especialmente
de quebrantos atribuibles a la Alta Dirección, es una clara señal de que
algo muy malo está sucediendo en las compañías y que es necesario
reforzar su capacidad de control y Gobierno Corporativo. No hacerlo sólo
agudizará el problema y pondrá en serios riesgos la viabilidad misma
de las empresas. El crimen económico no es una amenaza estática; las
empresas necesitan evaluar sus riesgos de fraude de manera recurrente.

Paradógicamente, el buen ambiente de negocios que se vive hoy en Colombia

ha potenciado los riesgos de crímenes económicos que enfrentan las
compañías y ha puesto en evidencia las principales debilidades de control de
las empresas. Una estrategia de administración de riesgos de fraude que sea
efectiva y orientada a la empresa abarcará actividades, mecanismos y controles
que tengan tres objetivos:

• Prevención: Reducir el riesgo de ocurrencia de fraude y conductas impropias.

• Detección: Descubrir fraudes y conductas impropias cuando ocurren.
• Respuesta: Tomar medidas correctivas y reparar.

Diagnóstico

Prevención
Evaluación

Diseño

Respuesta Detección

Im p
le m e n ta ció n

KPMG Advisory Services Ltda. - Forensic Services

 El énfasis de la gestión efectiva y responsable de las
empresas se debe poner en la disuasión de los delitos o
conductas impropias. La investigación del fraude, del abuso
y del error no debe ser el interés primordial de la Alta
Dirección de las empresas, pues se trata de una posición
más bien reactiva que proactiva. Su interés principal
debe estar encaminado a fortalecer una administración
eficaz, basada en un sistema de control de riesgos y
fortalecimiento de la infraestructura ética corporativa, que
impidan el abuso de confianza y disminuya la probabilidad
del error y el engaño.

Uno de los objetivos esenciales de los órganos de gobierno

de las empresas, especialmente en tiempos de expansión
y crecimiento, debería ser el establecimiento de un sistema
de control interno y administración de riesgo que ayude a
mitigar la incidencia de fraudes y todo tipo de conductas
impropias, que puedan dañar el valor y la integridad de la
empresa.

Todas las compañías son susceptibles de padecer algún

tipo de crimen económico. Sin embargo, se ha visto que la
posibilidad de padecer un fraude se reduce sustancialmente
cuando las empresas entienden los riesgos de su propia
operación y adoptan un programa integral que les ayude
a prevenir y detectar a tiempo las posibles irregularidades.
Sólo así se estará realmente tomando medidas concretas
para mejorar la confianza en las empresas y se estará
trabajando para la protección de su patrimonio.

38 Encuesta de Fraude en Colombia 2013

 Contáctenos

Ignacio Cortés
Tel: + 57 (1) 618 8027
ignaciocortes1@kpmg.com

Arturo del Castillo

Tel: + 57 (1) 618 8163
arturodelcastillo@kpmg.com

Nuestras oficinas

Bogotá D.C.
Calle 90 No. 19C - 74
Tel: + 57 (1) 618 8000
Fax: + 57 (1) 623 3316
colombia@kpmg.com.co

Medellín
Carrera 43A No. 16A Sur - 38,
Piso 3
Tel: + 57 (4) 355 6060
Fax: + 57 (4) 313 2554

Cali
Calle 4 Norte No. 1N - 10,
Piso 2 (Torre Mercurio)
Tel: + 57 (2) 668 1480
Fax: + 57 (2) 668 4447

Barranquilla
Carrera 53 No. 82 - 86, Encuesta de
Fraude en
Oficina 803
Tel: + 57 (5) 378 4232

Colombia 2013

kpmg.com.co ©2013 KPMG Advisory Services Ltda., sociedad colombiana de responsabilidad limitada y firma miembro de la red de
firmas miembro independientes de KPMG afiliadas a KPMG International Cooperative (“KPMG International”), una
entidad suiza. Derechos reservados.

Tanto KPMG como el logotipo de KPMG son marcas comerciales registradas de KPMG International Cooperative
(“KPMG International”), una entidad suiza.

La información aquí contenida es de naturaleza general y no tiene el propósito de abordar las circunstancias específicas
de ningún individuo o entidad en particular. Aunque procuramos proveer información correcta y oportuna, no puede
haber garantía de que dicha información sea correcta en la fecha que se reciba o que continuará siendo correcta en el
futuro. Nadie debe tomar medidas basado en dicha información sin el debido asesoramiento profesional después de un
estudio detallado de la situación en particular.