Opinión

Cuide su organización

1
 

 

 [Reuters] Los reguladores surcoreanos dijeron creer que los ataques provinieron de "una sola organización". 

Rafael Arrese-Igor y Alfredo Álvarez.

Socio y Director de Asesoría en Tecnologías de la Información de KPMG en México.

Se ha preguntado hacia el interior de su empresa ¿quiénes podrían cometer robo, malversación o manipulación de información financiera?, ¿Conoce quienes efectúan fraudes relacionados con compras o ventas ficticias en su compañía?, ¿Podría identificar quién ha realizado suplantación de facultades o el desplazamiento de productos no registrados en inventarios dentro de su organización? A diferencia de lo que pueda pensar, los ejecutores del fraude o malversadores están representados por cada empleado, proveedor e incluso clientes que forman parte de los procesos de negocio de una compañía, la respuesta es el “enemigo en casa”.

Sin embargo, existen alternativas para monitorear la capacidad de acción de los empleados en la empresa y controlar las oportunidades de cometer actos ilícitos al interior de la organización, revisemos algunas de estas.

El gobierno, riesgo y cumplimiento en una organización permite mantener un ambiente efectivo de control basado en cuatro principales componentes:

1. Perfil de riesgo: Identificación y descubrimiento de riesgos, evaluación, cuantificación y priorización para la toma de decisiones.

2. Gobernabilidad, organización e infraestructura: Alineación entre la estrategia de negocio, la estructura de la empresa y los procesos así como las herramientas que permiten la operación de la organización.

3. Aseguramiento empresarial: Implementación y seguimiento de controles monitoreando eficiencia y eficacia de cumplimiento.

4. Cultura y ética: Incentivar a la empresa en la ejecución de acciones con apego a políticas, lineamientos y regulaciones de la organización

Para mantener el gobierno de riesgo y cumplimento es insuficiente gestionar el riesgo financiero, operativo, legal y tecnológico en el negocio, tampoco es garantía mantener el cumplimiento corporativo, fiscal y regulatorio, ni trabajar con revisiones de auditoría interna y externa, ni implementar un gobierno de tecnologías de información. Muestra de ello son los índices del fraude y riesgos materializados reportados por las empresas que se incrementan anualmente:

Las empresas no cuentan el poder para controlar ciertas variables que participan en la ejecución de eventos de fraude; sin embargo, una compañía sí puede administrar la capacidad de acción de cada empleado a través del monitoreo de las facultades que se le otorga, y puede evitar que exista la oportunidad que se tiene para cometer fraude sin ser detectado. Esto se puede mitigar a través de un sistema de control eficiente.

Generalmente las responsabilidades de prevención de fraudes son supervisadas por áreas como auditoría, seguridad de la información, control interno, normatividad, gestión de riesgo, cumplimiento ético, y quienes a través de sus procesos y procedimientos dan vida al Gobierno, Riesgo y Cumplimiento (GRC) corporativo. Cabe destacar que 53% de las compañías utilizan hojas de cálculo, documentos digitales, correo electrónico como tecnología de administración de un modelo de Gobierno, Riesgo y Cumplimiento y es importante resalta que un 30% de las organizaciones tiene una herramienta tecnológica de Gobierno, Riesgo y Cumplimiento (GRC).

Existen diversas plataformas tecnológicas que ayudan a automatizar y eficientar dichos procesos y procedimientos, por ejemplo:

• Herramientas de administración del riesgo: Un ejemplo recurrente del uso de este tipo de herramientas tecnológicas es para modelar el cumplimiento de las normativas financieras aplicables en compañías que cotizan en alguna Bolsa de Valores. En estas se exige la Administración de Riesgos, donde se debe considerar la capacidad de respuesta ante la materialización de alguno que se identifique. Adicionalmente, se cuenta con beneficios como el monitoreo automático de indicadores de medición de riesgo (KRI´s) y la definición de responsables de acciones de remediación; estas medidas reducen el impacto de pérdida a través de la mitigación de riesgos y proporcionan soporte a las decisiones estratégicas de negocio.

• Herramientas de control de acceso: Este tipo de infraestructura tecnológica generalmente se utiliza en los procesos de aprovisionamiento (asignación) de accesos a cualquier sistema o aplicación de negocio. Ayuda a controlar el acceso a actividades críticas y prevenir la materialización de riesgos de segregación de funciones entre otros. Como beneficio adicional se cuenta con la disminución de costos de administración de aprovisionamiento de accesos y permite la transparencia en el proceso de auditoría.

• Herramientas de control de proceso: Las soluciones de este tipo evitan el debilitamiento de los mecanismos de control interno porque monitorean las deficiencias del incumplimiento de estos mecanismos. Un ejemplo es la automatización del monitoreo de la alteración de estados financieros de ejercicios contables de periodos cerrados. Adicionalmente, habilitan el análisis de eficiencia y efectividad de los marcos normativos, administran políticas, regulaciones y mecanismos como encuestas o auto revisiones de cumplimiento.

• Herramientas de prevención del fraude: Modelan los patrones de comportamientos sobre posibles fraudes y amenazas; por ejemplo, es viable modelar reglas de negocio que permitan monitorear cuando una transferencia bancaria exceda un monto o sea un movimiento inusual alertando o impidiendo la ejecución del mismo; también ayudan en el proceso de investigación, previniendo daños futuros, establecen alertas ante incidentes y previenen el fraude relacionado con pérdidas económicas en tiempo real.

• Herramientas de administración de auditoría: Administran los hallazgos y áreas de oportunidad identificados en procesos de auditoría interna y externa; gestionan el seguimiento de acciones de cierre de brechas identificando y alertando a los responsables de las fechas límite para la corrección de incidentes y emiten indicadores de niveles de cumplimiento alcanzados.

Con la implementación de herramientas tecnológicas de GRC es posible proteger a la empresa de quebrantos, evitando la generación de pérdidas y mantener e incrementar un nivel de cumplimiento aceptable. Identificar y detectar riesgos de forma oportuna evita que conductas de fraude se puedan presentar en la organización.

Este tipo de iniciativas deben ser consideradas como una inversión cuyo retorno de utilidad se percibe en la reducción de actos ilícitos ejecutados por los enemigos que se encuentran en casa y no como un gasto.

También te puede interesar

Monetizar activos inmobiliarios: factor de crecimiento

Novedades en contabilidad electrónica

Fortaleciendo la cadena de abastecimiento aeroespacial