¿Sabías que las empresas pierden en promedio el 5% de sus ingresos anuales sin darse cuenta como resultado de fraudes no detectados y debilidad en sus controles (ACFE, 2024)?
Hablemos de la causa-raíz. Si tuviera que resumirlo en cinco palabras diría que la causa principal es: «Falta de Cultura y Monitoreo».
Lo que la mayoría de las organizaciones no conocen o conocen poco es que:
· Lo que no se mide no se mejora.
· Lo que no se controla se descontrola.
· Se requiere tan solo de un control que no esté funcionando bien para afectar negativamente al resto de los controles.
· Vender importa, pero no tanto como asegurar la permanencia y reputación del negocio.
· Establecer los mecanismos para un efectivo ambiente de control no es un gasto sino una inversión que en el largo plazo da beneficios.
Entonces, ¿Qué es eso que pocos conocen en materia de mitigación de riesgos?
Lo que pocos conocen es que:
1. La cultura de cumplimiento y control se debe crear desde lo más alto en la organización (the tone at the top, como dicen los americanos). Esto es, el gobierno y liderazgo de la empresa. Con cultura sí hay estructura.
2. Una persona no lo puede todo. Se requiere del involucramiento de todos en la organización para crear un sistema efectivo de mitigación de riesgos y controles. Con involucramiento sí hay fortalecimiento.
3. No se requiere la inversión de grandes sumas millonarias para implementar un sistema de control sólido y robusto que de amplia visibilidad de dónde está parada la organización en materia de riesgos de negocio. Con inversión sí hay gestión.
4. El uso de la tecnología para gestionar riesgos no debe ser un “nice to have” (sería bueno) sino un “must have” (debo tenerlo). Con tecnología sí hay metodología.
5. Una de las mejores técnicas para mitigar riesgos consiste en segregar funciones e implementar niveles piramidales de autorización. Con técnica sí hay mitigación estratégica.
6. Se requiere la implementación de modelos de control para tener un rumbo sobre qué, quién, cuándo, dónde y cómo mitigo los riesgos de negocio de la organización. Con modelos de control sí hay autocontrol.
7. Las herramientas de monitoreo como el mapa de calor de riesgos y los reportes de estatus y progreso dan una amplia visibilidad sobre cómo está la empresa y qué acciones se deben priorizar para atender los riesgos no mitigados. Con visibilidad sí hay seguridad.
8. Una matriz de riesgos y controles debe ser dinámica y no estática. Las matrices de control actuales deben reflejar el nivel de madurez de los controles y el estatus de mitigación de los mismos. Con dinamismo sí hay mecanismos.
9. Los controles preventivos deberían de predominar de los controles detectivos. Detectar fallas en los controles es bueno, pero prevenir las fallas en los mismos es mejor. Con prevención sí hay protección.
10. Los controles antifraude deben ser cada vez más numerosos. Cuando la presión, la racionalización y la oportunidad se combinan, es altamente probable que el fraude suceda. Con detección sí hay investigación.
Dice Warren Buffett que “el riesgo viene de no saber lo que estás haciendo”. Las siguientes tres acciones específicas pueden darte mayor claridad sobre lo que tu organización puede y debe hacer para conocer en dónde se está parado en materia de riesgos de negocio.
Estas acciones ayudan a identificar y evaluar dichos riesgos, así como a priorizar las acciones que deben seguirse para mantener los riesgos mitigados a un nivel aceptable.
1. Hacer un diagnóstico. Como cuando uno va al doctor y quiere saber cómo anda de colesterol, presión o triglicéridos, así también se debe evaluar el nivel de madurez de la gestión de riesgos y controles a través de los procesos clave de negocio. Un diagnóstico integral de riesgos que incluya el componente de riesgos de fraude, puede ayudar enormemente a una organización a identificar qué acciones se requieren para prevenir, detectar y disuadir dichos riesgos. Una vez identificados los riesgos, es clave analizar, evaluar y priorizarlos para saber qué atender primero o el adecuado tratamiento que se le dará a los mismos (ejemplo, aceptar el riesgo, evadirlo, eliminarlo o transferirlo).
2. Crear un sistema sólido y robusto de control interno. Esto es crear una estructura en donde en los procesos nadie sea juez y parte. Las organizaciones en ocasiones por la falta de recursos humanos no encuentran la forma de hacer esto posible; sin embargo, es muy probable que las actividades puedan ser debidamente segregadas si se hace un estudio a detalle del staff que se tiene y el rol que cada uno desempeña. La implantación del modelo de las tres líneas es una herramienta muy útil para este propósito. La primera línea corresponde al dueño del control o proceso, la segunda línea a áreas especializadas incluyendo control interno y la tercera línea a la función de auditoría interna, la cual debe reportar directamente al comité de auditoría y en línea punteada al director de finanzas y director general para prevenir conflictos de interés.
3. Monitorear, monitorear, monitorear. Las empresas están muy enfocadas en vender, desarrollar y crecer. Y eso es válido y necesario. No obstante, grandes empresas como Enron, Theranos o Worldcom han desaparecido por no detectar oportunamente prácticas no éticas que resultaron en el engaño y/o manipulación de sus números. Monitorear controles, segregar funciones, conciliar saldos, revisar documentación, autorizar desembolsos y analizar cifras financieras son acciones que incrementan las probabilidades de mantener controlada a tu organización y tener la certeza de que se puede dormir tranquilo.
Cuéntanos y comparte en tu organización cuál de estas diez cosas en materia de mitigación de riesgos no conocías y que ahora te abre a una nueva perspectiva y cuál de las tres acciones específicas planteadas consideras que tendría mayor relevancia para tu empresa.
Por una mitigación inteligente de riesgos, ¡hasta la próxima!
-Jonathan Tamayo
