Actualmente la tendencia del mundo corporativo es la de analizar las vulnerabilidades existentes frente a la probabilidades de las fallas. De esta manera, se busca no ser estático y avanzar hacia una continua y mejorada evaluación de riesgos, determinando las competencias necesarias para administrarlos.
Así, se incrementa la evaluación misma y se traslada a toda la empresa, incluyendo a las contrapartes y los eventuales socios, haciendo énfasis en la continuidad del negocio.
¿Cuál es el impacto de esta forma de evaluación?
Se mitigan las probabilidades para concentrarse en las debilidades, las evaluaciones se tornan más desafiantes, cruzan las fronteras de la empresa y avanzan sobre los límites organizacionales y políticos y se determinan programas de respuesta rápida y flexible para responder a riesgos emergentes.
Para poder lograr esto, es necesaria la incorporación de herramientas que faciliten automatizar el monitoreo y los controles. Si bien los especialistas concuerdan en que los riesgos tecnológicos se mantendrán altos, las empresas siguen viendo a la automatización como una buena estrategia para ganar productividad en esta etapa de (¿post?) crisis.
También es cierto que la seguridad de datos es algo que preocupa. Los defraudadores también están al tanto de esto y la naturaleza del fraude se automatiza y perfecciona a diario. Esto implica que las empresas deberán trabajar en contar con personal adecuadamente capacitado en cuestiones informáticas y deberán avanzar hacia soluciones de monitoreo continuo, análisis proactivo de datos y detección temprana de intentos de fraude.
La nota negativa la ha dado el Consejo del “Committee of Sponsoring Organizations (COSO)” quién, en 2009, ha dicho que considera que las organizaciones no han aplicado como deberían el componente de monitoreo de un sistema de control interno según el marco emitido por el organismo.
- El monitoreo debe estar diseñado para determinar que todos los componentes del control interno operan eficazmente a lo largo del tiempo.
- Las debilidades deben comunicarse oportunamente a los responsables del monitoreo, así como a la gerencia y al Consejo, para que se lleven a cabo acciones correctivas.
Un monitoreo efectivo requiere:
¿Cómo ayudarlos para que se sientan seguros de lo que están viendo?
Es probable que ese ejecutivo conozca muy bien los controles existentes en la organización, sabiendo exactamente donde fallan los controles manuales y piense en automatizarlo, pero enfrenta el riesgo de pasar de controles manuales deficientes a controles automáticos inefectivos.
La automatización, en sí misma, no significa mejorar los controles, requieren un análisis e implementación muy bien estudiada. Tal vez el mejor ejemplo de esta complejidad y necesidad de automatizar podemos encontrarlo en las transacciones que continuamente se ingresan en los distintos módulos de un ERP (Enterprise Resource Planning)
¿Cómo asegurarnos que los asientos diarios están debidamente autorizados?, ¿Cómo saber online que un pago podría estar duplicado y, a pesar de las restricciones en los módulos, igualmente se pudo generar?, ¿Hay manera de saber sin mayor esfuerzo que un proveedor ha sido dado de alta por un usuario que tiene un perfil inadecuado?
Estos y otros ejemplos hacen que las tareas de cierre de, por ejemplo, reportes mensuales, se vuelvan un verdadero desafío para supervisores, gerentes y directores preocupados por las cifras y datos que tienen frente a ellos. El mercado ofrece hoy, en nuestro país, muy buenas herramientas que permiten incorporar tecnología al programa de Monitoreo Continuo sobre las transacciones en prácticamente cualquier sistema que se utilice, brindando de esa manera, la seguridad que las operaciones de Pagos, Cobros, Despachos, Viáticos, Registro Contable y otras se encuentran bajo una estricta revisión, adicional a los controles propios de cada una de esos circuitos.
Saliendo del campo numérico y yendo al operacional, toda organización se enfrenta a múltiples contingencias que requieren atención y cuidado. Tal vez una de las de mayor riesgo, por sus derivaciones y altas probabilidades de ocurrencia, es la vinculada al manejo de las relaciones y formalidades con terceros ajenos a la empresa.
La tercerización u outsourcing se ha vuelto una práctica común, pero también riesgosa, pues en algunos casos, los externos superan largamente al propio personal y si se cuentan con varias locaciones donde éstos se desempeñan, el riesgo es incremental. Estar seguro que todo el personal que accede a las instalaciones cuenta con los permisos correspondientes, con las protecciones indicadas, con el entrenamiento mandatario, las calificaciones requeridas, la documentación laboral e impositiva en regla y tantos otros requisitos y, además, contar con un soporte de rápido acceso donde sea que esto ocurra hoy es un deber casi ineludible.
Pero ¿Qué es el control de contratistas?
Es una metodología de gestión de riesgos (laborales, legales y contractuales) provenientes de potenciales problemas derivados de trabajar con contratistas, sub-contratistas, sus empleados, y vehículos que ingresan a la planta y/o instalaciones de la empresa. Estos riesgos se identifican y analizan en forma cuidadosa, entonces se colocan controles para mitigarlos. En general se basa en la solicitud y revisión de un conjunto de documentación y auditorías presenciales.
La tendencia actual es realizarlo mediante herramientas informáticas que trabajan con un sistema de alarmas a fin de parametrizar los peligros y accionar antes de que se materialicen. De esta forma se minimiza la probabilidad y el impacto relacionado con las contingencias que involucra toda tercerización de servicios y se reduce el riesgo de que se invoque la Responsabilidad Solidaria que surge al subcontratar un externo.
Hoy, donde los tiempos urgen, la reducción de costos es casi obligatoria y la eficiencia un deber, implementar la automatización de actividades típicamente manuales y de supervisión que no siempre garantizan seguridad deja de ser algo interesante para volverse una necesidad.
Tal vez uno de los desafíos del ejecutivo actual en esta época post-crisis es dejar de administrar Centros de Costos y pasar a gerenciar Centros de Eficiencia. Y como decía un clásico de los ’70 “Tenemos la tecnología, podemos hacerlo”.
Por Gustavo Regner
Consultoría en Fraude
Investigaciones y Disputas
BDO
www.bdoargentina.com