La ceguera del guardia de confianza: familiaridad como riesgo

En casi todos los casos de fraude interno significativo que he investigado o analizado, hay una frase que aparece invariablemente en las entrevistas posteriores al incidente. A veces la dice el supervisor directo. A veces la dice el director general. A veces la dice el propio equipo de seguridad.

"Nunca lo habría sospechado de él. Lleva veinte años con nosotros."

La frase es comprensible. También es, en términos de gestión de riesgos, una señal de alerta que nadie procesó a tiempo.

El sesgo de familiaridad: cuando el cerebro deja de ver

El sesgo de familiaridad es un fenómeno cognitivo bien documentado: el cerebro humano, para conservar energía, reduce progresivamente el procesamiento de los estímulos que percibe como conocidos y predecibles. Lo que vemos todos los días deja de ser evaluado con la misma atención que lo nuevo.

En el contexto de la seguridad corporativa, esto tiene consecuencias directas. El guardia que lleva tres años revisando al mismo empleado en la misma entrada a la misma hora ya no está realmente revisando. Está ejecutando un ritual de reconocimiento. El cerebro categorizó a esa persona como "conocida y segura" hace meses, y ahora procesa su presencia de forma automática.

El empleado de veinte años de antigüedad no es revisado con el mismo rigor que el proveedor nuevo. No porque haya una decisión consciente de no revisarlo. Sino porque el cerebro del revisor ya tomó esa decisión hace tiempo, sin que nadie lo notara.

Por qué los empleados de larga trayectoria son un riesgo específico

Esto no significa que los empleados con más antigüedad sean más propensos al fraude. La evidencia no apoya esa conclusión. Lo que sí muestra la investigación es que cuando un empleado de larga trayectoria decide actuar, tiene ventajas significativas sobre un empleado nuevo.

Conoce el sistema en profundidad: sabe dónde están los controles reales y dónde están los cosméticos. Conoce los ritmos de supervisión: cuándo hay atención y cuándo no. Tiene credibilidad acumulada que reduce la probabilidad de que sus acciones sean cuestionadas. Y tiene acceso a áreas y procesos que un empleado nuevo no tendría.

La combinación de conocimiento profundo del sistema, credibilidad acumulada y reducción de la vigilancia por familiaridad es exactamente el perfil de mayor riesgo en términos de capacidad para el fraude.

Confía, pero verifica: la regla que no tiene excepciones

La solución no es desconfiar de los empleados con más antigüedad. Es aplicar los controles de forma consistente, independientemente de la antigüedad, el cargo o la relación personal.

Esto requiere dos cosas que son más difíciles de lo que parecen. Primero, diseñar controles que no dependan de la discreción del revisor para aplicarse: si el control puede ser omitido cuando el revisor "conoce" al revisado, tiene una vulnerabilidad de diseño. Segundo, crear una cultura donde la aplicación consistente de los controles no se perciba como desconfianza personal sino como profesionalismo.

• ▸Diseña controles que se apliquen de forma automática, sin depender de la decisión del revisor.
• ▸Rota al personal en los puntos de control para evitar la acumulación de familiaridad.
• ▸Aplica los controles de forma visible e igual para todos los niveles — incluyendo la dirección.
• ▸Varía los procedimientos de verificación para que sean impredecibles.
• ▸Trata la aplicación consistente de controles como un estándar profesional, no como una señal de desconfianza.

La antigüedad no es una póliza de seguro contra el fraude. Es, en algunos casos, la condición que hace el fraude más probable. Los controles deben ser escalonados y aplicables para todos sin excepción.