Perspectivas

Vulnerabilidades organizativas en una situación de trabajo desde el hogar que se prolonga

J.S. Held adquiere Stapleton Group y lanza la práctica de Asesoría Estratégica

LEER MÁS cerrar Creado con Sketch.
Inicio·Perspectivas·Artículos

Introducción

El comienzo de 2020 mostró un aumento rápido de casos de COVID-19 y, para mediados de 2020, la pandemia se había extendido a un ritmo tan alarmante sin vacunas a la vista que los gobiernos de todo el mundo apelaron a las cuarentenas y al cierre de fronteras para contener los contagios. Como consecuencia, el Estado, las empresas y otras instituciones privadas tuvieron que modificar drásticamente su modelo tradicional de trabajo. Al no producirse la reanudación de la "normalidad operativa", la mayoría de las organizaciones adoptaron una cultura de trabajo a distancia, que ha persistido incluso después de la contención del COVID-19.

El resultado fue la normalización de la cultura del trabajo desde casa. Este crecimiento se debe en gran medida a que los profesionales del sector de servicios prefieren un mejor equilibrio entre la vida laboral y la personal, evitar el tiempo de desplazamiento y mejorar la eficiencia. Algunas organizaciones también se mostraron a favor de reducir los gastos generales, y muchas de ellas se trasladaron a oficinas más pequeñas y recurrieron a sistemas de "hotdesking" en los que varios trabajadores utilizan un mismo puesto de trabajo en diferentes momentos.

Sin embargo, este artículo hace un análisis profundo de los riesgos de este escenario de trabajo a distancia no planificado y analiza por qué las organizaciones deben evaluar y mitigar el aumento de riesgo de fraude de los empleados en el nuevo entorno de trabajo, donde los controles internos tradicionales no resultarán eficaces.

Cambio de paradigma en el entorno laboral

Mientras que el COVID-19 transformó radicalmente el entorno de trabajo de las empresas en general, algunos sectores se sintieron más cómodos adoptando una cultura de trabajo a distancia o híbrida a largo plazo. Antes de la pandemia, solo algunos sectores, como el de TI, contabilidad y servicios técnicos, ofrecían a los empleados flexibilidad para trabajar a distancia. Sin embargo, los sectores que manejan información sensible, como la banca, los seguros, la atención médica, la educación y la construcción, no tenían espacio para este tipo de adaptaciones o lo tenían muy limitado. En noviembre de 2020, un análisis a cargo de McKinsey Global Institute en Estados Unidos indicaba que los sectores de las finanzas y los seguros son los que tienen más posibilidades de trabajo a distancia y los que ofrecen más flexibilidad en ese entorno, como se puede ver en el siguiente gráfico.[1]

 
Imagen 1 - Informe de McKinsey sobre el futuro del trabajo a distancia: un análisis de 2,000 tareas, 800 empleos y nueve países, noviembre de 2020
Imagen 1 - Informe de McKinsey sobre el futuro del trabajo a distancia: un análisis de 2,000 tareas, 800 empleos y nueve países, noviembre de 2020

La prolongada práctica de trabajar desde casa hizo que los empleados se replantearan sus prioridades en cuanto a la vida laboral, en especial a raíz de las muertes masivas y la alarma sanitaria provocada por el COVID-19. Muchos empleados se trasladaron a sus ciudades de origen para estar más cerca de la familia, mientras que otros se comprometieron a seguir un estricto régimen sanitario. Una encuesta de CFO a cargo de Gartner revela que después del COVID-19, cerca del 50 % de los empleados prefieren el trabajo a distancia.[2]

¿Mayor flexibilidad, menor supervisión = mayor riesgo?

Se ha escrito mucho acerca de que el trabajo desde el hogar o el modelo híbrido es el lado bueno del COVID-19, ya que hizo que los empleados y las organizaciones se dieran cuenta de que podían conseguirse muchas cosas fuera de las paredes de la oficina. Sin embargo, mientras todos nos alegramos ante la posibilidad de pasar menos tiempo atrapados en el tránsito, tener más tiempo para el ocio y mejorar el equilibrio entre la vida laboral y la personal, deberíamos dar un paso hacia atrás para poder evaluar cómo afecta este cambio el riesgo de la organización. Cuando las organizaciones planean un cambio importante en sus operaciones, deben seguir un protocolo adecuado de gestión del cambio. Para ello es necesario que los gestores de riesgos se aseguren de que los cambios propuestos no comprometan la seguridad de la organización ni afecten negativamente sus operaciones.

Dado que el modelo de trabajo a distancia fue un concepto relativamente nuevo para la mayoría de las empresas que hicieron este cambio durante la pandemia, no se llevó a cabo dicha planificación de gestión del cambio. No obstante, si las empresas están pensando en pasar a un modelo de trabajo a distancia o híbrido de forma más permanente, deben iniciar un ejercicio de este tipo para descubrir las fallas que, si no se tratan, pueden tener consecuencias catastróficas. Desde el punto de vista de un examinador de fraudes, el cambio en el entorno de trabajo conlleva un mayor riesgo y, aunque este puede variar en magnitud según el sector y la organización, las mayores amenazas incluyen el robo de datos, la ciberdelincuencia y el fraude laboral, según se detalla a continuación.

Robo de datos

El robo de datos es el acto de sustraer los datos informáticos de una víctima que no lo sabe, con la intención de poner en peligro su privacidad u obtener información confidencial. En el entorno empresarial actual, dominado por las tecnologías de la información, las organizaciones consideran que los datos son su activo más valioso y, en consecuencia, los lugares de trabajo tradicionales incorporan capas de seguridad para la protección de los datos. Al ser la columna vertebral de la economía mundial, las empresas de servicios financieros son las que especialmente tienen que aplicar estrictas políticas de privacidad de datos y sistemas informáticos para proteger la información confidencial. Por ello, antes de la pandemia, la mayoría de las instituciones financieras no estaban a favor del trabajo a distancia, ya que ello podría acarrear el acceso a información sensible desde fuera de la red de la propia empresa. Sin embargo, en plena pandemia, estas organizaciones tuvieron que idear soluciones para que los empleados pudieran acceder a esa información desde sus casas y evitar que se interrumpiera la actividad.

Del mismo modo, otros sectores también se vieron obligados a permitir el acceso a los datos de la empresa y de los clientes a través de redes WiFi públicas no protegidas, de proveedores de servicios de Internet domiciliarios y de la transferencia de archivos entre dispositivos personales y de trabajo. Compartir dispositivos, como laptops, routers e impresoras, también es común en un entorno de trabajo en el hogar y supone una amenaza adicional cuando los compañeros de departamento o los miembros de una familia trabajan para diferentes organizaciones. Asimismo, si varias personas trabajan desde casa, aumenta la probabilidad de que quienes conviven allí escuchen conversaciones delicadas y profesionales. Las empresas también deben ser conscientes de los datos que están en manos de empleados poco confiables, que pueden hacer un mal uso intencionado de esa información para obtener ganancias ilegítimas. La violación de los datos confidenciales podría provocar consecuencias legales, la pérdida de la confianza de los clientes y daños a la reputación.

Para hacer frente a este riesgo, los departamentos de TI deberían considerar la posibilidad de aumentar las medidas de seguridad con el uso de redes privadas virtuales (VPN) y exigir a todos los empleados que utilicen redes domésticas seguras, que generen contraseñas complejas y que ajusten la configuración de sus computadoras de modo que se bloqueen después de períodos breves sin uso. Como capa adicional de protección, varias empresas también implementaron la autenticación de múltiples factores e iniciaron la capacitación anual sobre seguridad y privacidad de datos, incluidas las consecuencias de una violación de datos. A nivel organizativo, se puede exigir que todos los empleados lean y firmen una política de uso aceptable de los dispositivos electrónicos, las redes sociales y los datos de la empresa.

Delitos cibernéticos

¿Cuándo fue la última vez que instaló ese parche de seguridad en su computadora personal? ¿Cuándo ejecutó el programa antivirus por última vez? ¿Cuándo vence el período de garantía de su impresora personal? La mayoría de las personas no se acordarían de instalar rigurosamente los parches de seguridad y mantenerse al día con las últimas actualizaciones de seguridad, a pesar de los varios recordatorios que les envía el equipo de TI por correo electrónico. De este modo y sin saberlo, los empleados dejan la puerta abierta a los ciberataques. Además, los empleados suelen trabajar muchas horas y en horarios extraños desde el hogar y tienen la guardia baja mientras abordan simultáneamente sus responsabilidades profesionales y personales. En consecuencia, rápidamente pueden ser víctimas de phishing, ataques de denegación de servicio, robo de identidad y ataques de ransomware.

Las organizaciones pueden poner a prueba a sus empleados ideando sus propios ataques de phishing para identificar a los empleados más crédulos, quienes deben recibir capacitación específica sobre actividades cibernéticas maliciosas. Además, los departamentos de TI deben mantener el control de las actualizaciones e instalaciones de software de manera que el usuario individual no pueda anular esos controles sin los derechos administrativos que retiene el departamento de TI. Lo mismo debería ocurrir con los empleados que optan por una política de "traiga su propio dispositivo", para garantizar que no se pongan en peligro las redes y los sistemas de la empresa por culpa de protocolos de seguridad poco estrictos en los dispositivos personales de los empleados.

Fraude ocupacional

Si bien el robo de datos y la ciberdelincuencia son casos de ataques externos, la mayor amenaza para las organizaciones proviene de los empleados no supervisados. Veamos ahora el aumento del riesgo de fraude debido al cambio en el entorno de trabajo a través de la lente del triángulo del fraude que "sostiene que las personas tienen la motivación de cometer un fraude cuando se dan tres elementos: 1) cierto tipo de presión percibida, 2) alguna oportunidad percibida o 3) alguna forma de racionalizar el fraude como algo que no es incompatible con los propios valores".[3]

1. Presión percibida

Una vez superada la pandemia, las empresas reanudaron sus actividades con entusiasmo y la competencia por la cuota de mercado es mayor que nunca en todos los sectores. Sin embargo, las empresas aún se están recuperando de las secuelas de la pandemia, como la interrupción de la cadena de suministro y la pérdida de contratos a largo plazo, entre otras. Por lo tanto, no todas las organizaciones fueron capaces de volver a los niveles anteriores a la pandemia de bonos de rendimiento y aumentos de sueldo para el personal.

Desde una perspectiva macroeconómica, la demanda reprimida tras la pandemia y la invasión rusa en Ucrania llevaron la inflación a máximos históricos en todo el mundo.[4] El aumento del costo de vida, junto con un aumento marginal, o nulo, de los salarios, genera una presión financiera sobre los empleados, que pueden verse tentados a recortar algunos gastos para adelantarse a los demás.

2. Oportunidad percibida

Un entorno de trabajo a distancia abre las puertas al robo y al fraude porque se relajan los controles físicos, los protocolos de acceso a la red y de seguridad informática y la supervisión de los jefes. En este modelo de trabajo, las empresas ofrecen a los empleados la posibilidad de acceder a datos y documentos confidenciales desde sus casas, aunque con medidas de seguridad. Sin embargo, estos controles no son tan eficaces como los que se realizan en un lugar de trabajo físico, donde los empleados son disuadidos por una cámara de seguridad, una dirección IP (propiedad intelectual) privada y un estricto control por parte de los supervisores.

3. Racionalización

El COVID-19 no solo afectó la salud de las personas, sino también sus salarios. Miles de profesionales que fueron despedidos durante la pandemia tuvieron que aceptar oportunidades con salarios más bajos, mientras que otros aceptaron salarios más bajos con sus actuales empleadores. Además, estos empleados tienen limitada la interacción física y el vínculo con sus compañeros de equipo y, en consecuencia, la relación interpersonal y la conexión del equipo son más débiles de lo que habrían sido si hubieran trabajado uno al lado del otro en las oficinas físicas. Además, la distancia física que permite el distanciamiento emocional del equipo o de la organización en general también hace que los empleados individuales puedan racionalizar las malas acciones, justificándolas como algo común o como una respuesta adecuada por sentirse infravalorados. Como se mencionó anteriormente, la era pospandémica sigue presentando desafíos financieros, lo que también hace más fácil racionalizar la obtención de ganancias financieras indebidas cuando los empleados perciben que las empresas van bien, pero no recompensan equitativamente a sus trabajadores.

Al comprender las presiones, las racionalizaciones y las oportunidades que pueden llevar a un comportamiento errante por parte de los diferentes niveles de personal, los profesionales que luchan contra el fraude pueden idear medidas prácticas para modificar los controles internos actuales y/o desarrollar nuevos medios para mitigar el riesgo de fraude en un entorno de trabajo a distancia.

A continuación nos adentraremos en los fraudes laborales más frecuentes en el espacio de trabajo modificado y analizaremos los métodos para hacer frente a estos riesgos.

Al comprender las presiones, las racionalizaciones y las oportunidades que pueden llevar a un comportamiento errante por parte de los diferentes niveles de personal, los profesionales que luchan contra el fraude pueden idear medidas prácticas para modificar los controles internos actuales y/o desarrollar nuevos medios para mitigar el riesgo de fraude en un entorno de trabajo a distancia.

A continuación nos adentraremos en los fraudes laborales más frecuentes en el espacio de trabajo modificado y analizaremos los métodos para hacer frente a estos riesgos.

Robo de tiempo

En un entorno de trabajo a distancia, los jefes apenas pueden supervisar la forma en que los empleados invierten su tiempo. A menudo, los empleados terminan las tareas más rápidamente, pero optan por no informar a sus superiores para que estos no les asignen más trabajo. Este fenómeno se conoce como robo de tiempo, ya que el empleado recibe una paga por trabajar una determinada cantidad de horas y no llega a cumplir con el tiempo pactado.

Una forma de frenar el robo de tiempo es eliminar la tentación cambiando los Indicadores Clave de Rendimiento (KPI) de objetivos basados en el tiempo a objetivos basados en los logros. En lugar de fijar los objetivos únicamente en función del nivel de experiencia del personal, los jefes deben comprender realmente los puntos fuertes y débiles de sus subordinados y fijar los objetivos individuales en consecuencia. Por ejemplo, un empleado puede ser un genio con las hojas de cálculo de Excel y, por lo tanto, puede ser capaz de terminar una tarea de clasificación de datos más rápido que otro empleado, que no está tan familiarizado con ese software y sus funciones.

Las empresas también pueden considerar las siguientes medidas y aplicar las que estén alineadas con su ética organizativa:

  • Los gerentes pueden programar controles rutinarios con los empleados para evaluar si están en vías de cumplir sus objetivos y, si no lo están, investigar el motivo.
  • Se puede pedir a los empleados que trabajen desde la oficina algunos días a la semana para reducir el tiempo que no están supervisados.
  • Considerar la posibilidad de fijar un horario de trabajo, que incluya pausas programadas, para replicar el entorno laboral.
  • Utilizar plataformas tecnológicas, como MS Teams, que indican si un usuario está en su puesto de trabajo o si accede al software desde un dispositivo móvil.
  • Exigir a los empleados que lean y firmen documentos en los que manifiesten que cumplen con el código de conducta de la compañía, en el que se define claramente su postura ante diversos tipos de fraude, como el robo de tiempo.

Pluriempleo

El Diccionario de Cambridge define el pluriempleo o "moonlighting" como "el acto de trabajar en un empleo extra, especialmente sin decírselo a su empleador principal".[5] El contrato de los empleados de oficina suele incluir una cláusula que les prohíbe aceptar otro empleo. En el contexto del trabajo desde casa, es más fácil violar esta cláusula y trabajar en varios empleos desde la comodidad del hogar. Sin embargo, al hacerlo, los empleados se arriesgan a poner en peligro los datos de la compañía y la información de los clientes, e incluso podrían incurrir en robo de propiedad intelectual, si es que llegan a trabajar con dos empresas de la competencia.

Recientemente, en septiembre de 2022, los principales gigantes de TI de la India, Wipro e Infosys, enviaron un severo comunicado a sus trabajadores en el que les decían que no tolerarían el pluriempleo de los empleados, y el primero de ellos llegó a despedir a unos 300 profesionales por denuncias de pluriempleo. Sin embargo, el ministro de Estado de la India para electrónica y tecnología informática se mostró a favor de esta práctica, al declarar: "Esta es la era de los empleados-empresarios y las empresas ahora deben entender que se ha producido un cambio estructural en las mentes y actitudes de la joven mano de obra tecnológica de la India".[6] A la luz de estas tendencias cambiantes, las empresas deben considerar la posibilidad de elaborar una política clara sobre el doble empleo, en la que se especifiquen los términos y condiciones del mismo, si es que se permite.

Fraude en RRHH y nóminas

Junto con otras tareas de soporte, las funciones del área de Recursos Humanos y nóminas también operan a distancia. En las grandes organizaciones, especialmente en un entorno de trabajo de oficina, las empresas pueden tener acuerdos en virtud de los cuales los salarios se transfieren a las cuentas bancarias de los empleados. En estos casos, el sistema de control del tipo ejecutor-revisor ("maker-checker") también está integrado en el software de planificación de recursos empresariales (ERP) o en las matrices de aprobación de las empresas. Sin embargo, en los establecimientos más pequeños, el pago de los salarios puede hacerse en efectivo o mediante cheque. En el caso de pagos con cheque, el trabajo a distancia obstaculiza el sistema de control arriba mencionado, ya que permite que la persona que emite el cheque tenga más libertad para manipular los pagos. Para desalentar este tipo de maniobras fraudulentas, las empresas deberían considerar la posibilidad de empezar a transferir electrónicamente esos montos a las cuentas bancarias de los empleados, ya que suponen un costo insignificante en comparación con el elevado costo que representa el fraude. Por otra parte, se puede pedir a los empleados del departamento de nóminas que lleven a cabo tareas críticas, como la preparación y aprobación de salarios y otros pagos de valor elevado, desde las oficinas. Esto es especialmente válido cuando el personal no utiliza una plataforma ERP para las tareas de recursos humanos o finanzas.

Del mismo modo, los que trabajan en Recursos Humanos tienen más posibilidades de confabularse con las agencias de contratación que ayudan a identificar a los candidatos, especialmente cuando las conversaciones se producen fuera de la oficina y sin que los compañeros puedan oírlas. Para evitar estos casos de fraude, las compañías pueden considerar la posibilidad de realizar un control rutinario y remoto de sus correos electrónicos, en el que se lleven a cabo análisis de datos forenses para identificar las comunicaciones sospechosas. Asimismo, se aconseja prohibir a los empleados que se comuniquen con proveedores externos fuera de los sistemas de comunicación autorizados de la compañía, los cuales pueden ser monitoreados. Estas medidas hacen que, como mínimo, los empleados tengan miedo de que se descubra su mala conducta y, a su vez, pueden actuar como factores de disuasión.

Conclusión

El trabajo a distancia fue un giro imprevisto para la mayoría de las organizaciones, pero este fenómeno vino para quedarse. Por lo tanto, las organizaciones deben evaluar las vulnerabilidades de este modelo y capacitar a su personal y dotarlo de herramientas para contrarrestar eficazmente las amenazas de la ciberdelincuencia y el robo de datos. Las compañías también deben reconocer las presiones y oportunidades que presenta este entorno de trabajo para los empleados y esforzarse por modificar las medidas de supervisión, así como crear un ambiente en el que a los empleados les resulte difícil racionalizar una desviación de la ética de la compañía. El objetivo debería ser considerar esto como un proyecto de gestión del cambio a la inversa, en el que debe llevarse a cabo un mapeo y una mitigación de los riesgos después de la implementación.

Reconocimientos

Le agradecemos a Savita Nair y Vrinda Thakore por aportar su conocimiento y experiencia, que fueron de gran ayuda en esta investigación.

Más sobre los colaboradores de J.S. Held

Vrinda Thakore es asociada en la práctica de Investigaciones Globales de J.S. Held en el sur de Asia. Con sede en Bobmay, Vrinda tiene experiencia en investigaciones corporativas y de fraude, debida diligencia, inteligencia empresarial, análisis de datos y revisión de procesos en diversos sectores. Antes de incorporarse a J.S. Held, Vrinda estuvo asociada a empresas de contabilidad de la India, donde se centró principalmente en la investigación de fraudes y empresas, y en asuntos relacionados con las denuncias de informantes. También se encargó de auditorías e investigaciones forenses.

Puede comunicarse con Vrinda escribiendo a [email protected].

Encuentre su experto.

Esta publicación es solo para fines educativos y de información general. Puede contener errores y se proporciona tal cual. No tiene el propósito de brindar asesoramiento específico, legal o de otro tipo. Las opiniones y los puntos de vista no son necesariamente los de J.S. Held o sus afiliados, y no debe asumirse que J.S. Held se suscribe a cualquier método, interpretación o análisis en particular simplemente porque aparece en esta publicación. Negamos cualquier representación y/o garantía con respecto a la exactitud, puntualidad, calidad o aplicabilidad de cualquiera de los contenidos. Usted no debe actuar, o dejar de actuar, en función de esta publicación, y renunciamos a toda responsabilidad con respecto a tales acciones o falta de acción. No asumimos ninguna responsabilidad por la información contenida en esta publicación y rechazamos cualquier responsabilidad o daño con respecto a dicha información. Esta publicación no sustituye el asesoramiento legal competente. El contenido del presente documento puede ser actualizado o modificado de otro modo sin previo aviso.

Usted también podría estar interesado en
Perspectivas

Protección de los datos en la nube y mitigación de los riesgos cibernéticos asociados con una fuerza laboral remota

Este documento analiza los riesgos inherentes a la protección de los datos electrónicos del cliente en plataformas en la nube que han surgido con la proliferación de los entornos de trabajo en el hogar. También explica por qué es importante para los usuarios…

Perspectivas

El papel de los contadores forenses en la medición y la detección de fraudes en reclamaciones por pérdidas de empleados

Este artículo se centra en los dos roles significativos, aunque diferentes, que desempeñan los contadores forenses en la cuantificación de la pérdida de empleados y en la manera en la que, durante el curso normal del análisis, pueden encontrar casos de fraude que…

 
PERSPECTIVAS DE LA INDUSTRIA
Manténgase al día con las últimas investigaciones y anuncios de nuestro equipo.
Nuestros expertos