Los eventos de riesgo han crecido en su frecuencia e impacto en los últimos tiempos, motivo que deriva a los profesionales estar a la vanguardia para mitigar las amenazas actuales. En este sentido, la pregunta clave que toda empresa debería evaluar para debilitar el fraude dentro de una organización, es saber dónde apuntar la energía, en gestionar o prevenir.
En el marco de la primera conferencia sobre gestión integral de riesgos, organizada por Dagda Comunicación y Eventos, Oscar Urdapilleta, auditor interno de Credicentro, realizó un análisis sobre la coyuntura del riesgo operacional (RO) y su impacto para una adecuada gestión integral de riesgos y mitigación de fraudes.
El tratamiento del fraude interno requiere una atención puntual dentro de las organizaciones, puesto que, generalmente es preferible omitir su existencia. El primer paso para prevenir y gestionar fraudes internos es aceptar su existencia y enfocar los esfuerzos en dos frentes; generar confianza en los colaboradores, y establecer canales seguros de denuncia.
Para Oscar Urdapilleta, el tratamiento preventivo implica un esfuerzo en cambiar la cultura organizacional, un compromiso real de la alta gerencia en fortalecer la confianza en los colaboradores para denunciar situaciones sospechosas, por lo cual es prioritario establecer canales anónimos de notificación y por otro lado, conformar un equipo profesional, éticamente comprometido y cuidadoso en el manejo de la información.
“Con relación a la prevención, es recomendable trabajar en el diseño e implementación de alertas que permitan detectar oportunamente conductas o transacciones sospechosas de los colaboradores”, recomendó Urdapilleta.
No es lo mismo prevenir que gestionar el fraude interno. Generalmente, los líderes de organizaciones erran el camino cuando ponen más esfuerzos en gestionar, dedicando horas a los trabajos de investigación para comprender los hechos, identificar responsables, puntualizar las fallas en los controles que permitieron la situación, olvidando que el esfuerzo real debe estar en la prevención.
“Los responsables de las organizaciones deben comprender que la prevención es clave, y para transmitir eficientemente ese mensaje deben ser coherentes. Los colaboradores deben percibir que sus líderes son consecuentes con la filosofía y los valores de la empresa. Los líderes deben transmitir mensajes claros respecto a la intolerancia al fraude en la organización y no actuar de manera tibia ante situaciones que claramente constituyen hechos de fraude”, analizó el ejecutivo.
Consultado sobre cómo gestionar fraudes externos relacionados a salvaguardar activos críticos, Oscar Urdapilleta explicó que la mejor manera de gestionar fraudes externos es transfiriendo el riesgo.
Existe una realidad que es casi absoluta. Uno no puede evitar lo que no puede controlar. Y eso pasa con el fraude externo, no existe manera que se pueda controlar su frecuencia, por lo que los esfuerzos deben estar en mitigar su impacto y es ahí donde reside la importancia de las compañías de seguro.
“Si quiero gestionar adecuadamente el riesgo de fraudes externos, necesito transferir su impacto por medio de una póliza de seguro y de no hacerlo, estaría embarcado en un juego peligroso de costo-beneficio, transitando el sinuoso camino del: por suerte aún no pasó”, aseveró el experto.
En línea con lo expuesto, se consultó si existe alguna relación entre el riesgo operacional respecto de los riesgos tecnológico y legal. En este aspecto, el riesgo operacional abarca o incluye ambos riesgos, sin embargo, la responsabilidad de la gestión reside en personas con capacidades y habilidades totalmente distintas.
CONTROLES
Las personas que gestionan riesgo tecnológico deben tener conocimientos informáticos, saber comprender los procesos tecnológicos de las organizaciones y posteriormente trabajar en la identificación de riesgos, fallas y controles,
“No debemos considerar que una sola persona es capaz de gestionar todo el riesgo tecnológico de nuestras organizaciones. Este riesgo lo gestiona prácticamente toda la organización y canaliza acciones por medio de las áreas de seguridad de la información, infraestructura tecnológica, administración de base de datos y otras que aseguran controles razonables para mantener los niveles de riesgos en rangos tolerables. Lo importante es no olvidar que, en el mundo actual, altamente tecnológico, nos urge gestionar el riesgo tecnológico”, afirmó.
Por otra parte, el equipo responsable de la gestión del riesgo legal debe tener orientación evidentemente jurídica. “Es un error pensar que contar con un asesor jurídico es suficiente para mitigar el riesgo legal. Realmente no es así, no es suficiente. Necesitamos contar con un colaborador que trabaje coordinadamente con el asesor jurídico para identificar, medir, cuantificar y controlar el riesgo legal de la organización”, señaló.
Sobre la interrelación adecuada entre el responsable de riesgo operacional y auditoría interna con respecto al riesgo de falla en los procesos, Oscar mencionó que ambas partes trabajan en torno a los controles.
La primera identifica y valora los controles, a fin de concluir si son suficientes para disminuir la probabilidad de falla que materialice riesgos, mientras que la auditoría interna asegura el cumplimiento realizando trabajos de campo que puedan certificar que los controles están siendo debidamente ejecutados.
“En una organización es necesario transmitir adecuadamente el mensaje respecto a la función de cada equipo y por sobre todo, incentivar la coordinación de los equipos de manera a ser eficientes y oportunos en la gestión de los riesgos. La información debe fluir en ambos sentidos, tanto de riesgo operacional hacia auditoría interna, y viceversa. El primer paso hacia la auditoría basada en riesgos se da a partir del diálogo fluido e intercambio de información entre ambas áreas”, puntualizó.
Por último, indicó que el riesgo operacional es un riesgo universal ya que implica la probabilidad de pérdida por fallas en factores internos y externos. Su universalidad suele colisionar con la falta de conocimiento de los posibles impactos que genera dentro de la empresa.
La gestión de este riesgo no puede ni debe ser enfocado como un aspecto de mero cumplimiento normativo o requerimientos exógenos. La gestión debe ser proactiva, generar valor, y empoderar a los responsables de las empresas para gestionar dicho riesgo, reduciendo a un nivel aceptablemente bajo la posibilidad de pérdidas por una gestión inadecuada del riesgo operacional.
PERFIL – OSCAR URDAPILLETA
Auditor interno de Credicentro. OPrM (Operational Risk Manager), certificado internacionalmente para gestionar el riesgo operacional. Estuvo por más de 28 años ocupando diferentes funciones en bancos del sistema financiero.
