Inicio
 > Informes e investigaciones > Blog de TEC > Cómo ERP puede ayudarle a manejar el riesgo y ev...

Cómo ERP puede ayudarle a manejar el riesgo y evitar un fraude

Escrito por: Thomas Schiesl
Publicado: marzo 17 2008

En los negocios hay que asumir riesgos. Siempre. Pero los administradores inteligentes saben cómo manejarlos, por lo tanto, saben cómo evitar pérdidas accidentales y otros riesgos operativos, financieros y estratégicos –incluso el riesgo de fraude.

Para que la tecnología nos ayude a manejar los riesgos de la empresa, es necesario entender cuáles son estos riesgos y asignarles prioridades, y después entender cómo las tecnologías de la información (TI) pueden ayudar a la empresa. Sólo entonces es posible comprender cómo esos riesgos se encuentran con los sistemas de TI que tiene la empresa.

Puede ser que uno de los riesgos que tenga que enfrentar su empresa se deba a que opera en un ambiente de comercio electrónico. En ese caso, tiene que saber cómo las TI soportan el portal web. ¿La gente ve un catálogo o puede colocar un pedido en línea y volver a entrar al sistema más adelante para ver el estatus del mismo? ¿Cómo se relaciona ese portal con sus sistemas de back-end y su información?

O probablemente su empresa tenga varias unidades, y algunas de ellas operen un sistema de planificación de recursos empresariales (ERP) de primer nivel, como IFS Applications. Pero una de sus unidades sigue usando una aplicación casera, y le pasa sus datos en hojas de cálculo que tiene que modificar para que las cantidades aparezcan en la moneda correcta. Los procesos manuales que necesita para transferir y modificar estos datos representan un riesgo para la empresa que podría reducir si contara con las funciones de un sistema ERP.

Entonces, la tecnología puede estar diseñada para ayudarle a administrar el riesgo, pero tiene que configurarla y usarla con inteligencia para poder aprovecharla al máximo.

De hecho, si usa un sistema ERP de forma inteligente puede ayudarle no sólo a asegurarse de que cumple con los requisitos legales o las reglas contables, sino a evitar un fraude. Una aplicación ERP y la forma en que se configura para asignar permisos a los usuarios pueden ayudarle a evitar un robo. Cuando configura correctamente las funciones de seguridad de una aplicación ERP, puede proteger a su empresa de un fraude o de errores costosos. A continuación le presento tres enfoques prácticos que puede adoptar para usar su sistema ERP para proteger sus activos.

1. Identifique los riesgos desde los niveles más altos de la empresa.

Para administrar los riesgos en una empresa, es necesario empezar por los niveles más altos. Muchas veces, los altos directivos concentran sus esfuerzos en crear ventajas competitivas, y pueden no ver las ventajas de gastar más en cumplimiento normativo. Sin embargo, aún las empresas que no se ven afectadas inmediatamente por normas como la ley Sarbanes-Oxley o la ley de responsabilidad y portabilidad de seguro médico (HIPAA) de 1996, pueden aprovechar la aplicación de algunos principios para que su empresa cumpla con todas las normas y reglamentos aplicables. Los esfuerzos que se hagan para apegarse a las guías básicas de seguridad de los datos y prevención de riesgos pueden servir para reducir aún más la pérdida financiera debido a errores administrativos o fraudes. Los pasos necesarios para asegurar que se cumple con estas guías será diferente para cada modelo empresarial, pero todas las empresas sin excepción tienen que poner mucha atención a elementos básicos, como sus estados financieros, la seguridad de sus datos, su privacidad y la forma en que alojan la información importante –y cómo dicha información afecta aspectos como asegurarse que los reportes financieros son exactos.

Una parte de este enfoque desde los niveles superiores implica identificar qué información es clave para su empresa. Para un fabricante, por ejemplo, puede ser en las áreas de contabilidad, nómina y seguro médico, además de activos físicos e inventario. Sin embargo, en un ambiente de servicios profesionales la cosa es mucho más simple, porque la información más importante tiene que ver con servicio a clientes y nómina, y sus únicos activos reales son sus teléfonos y posiblemente el espacio de oficina que ocupa la empresa.

Desde luego que esta información se origina en el centro mismo de la empresa: sus procesos más importantes, o los mecanismos a través de los cuales fluyen sus recursos. Cuando estos procesos difieren, evitan diferentes riesgos. Una empresa que vende una pequeña cantidad de productos de gran valor (por ejemplo, equipo industrial) a pocos clientes, enfrenta riesgos diferentes a los que tiene que encarar una empresa que vende cientos de miles de productos a muchos clientes.

Una empresa que atiende a pocos clientes que tienen necesidades de recibir productos de gran valor, tiene que asegurarse de que sólo las personas autorizadas pueden crear clientes nuevos en sus sistemas de contabilidad. Por consiguiente, la empresa debe tener cuidado de asegurarse de que los términos de pago, los límites de crédito y otros controles están bien definidos.

Sin embargo, el proceso de creación de clientes no será un punto de control crítico para una empresa que maneja un volumen de clientes más alto y un valor por venta menor. Tiene que entender el flujo de su empresa y su volumen de transacciones y lo que implican las relaciones que tiene con sus asociados comerciales. Un sistema ERP puede ser una herramienta excelente para formalizar los procesos de apertura de clientes nuevos, y más importante aún, para establecer en sus sistemas relaciones con los proveedores.

Lo sorprendente es que muchas empresas que ya cuentan con paquetes ERP poderosos evitan esos controles usando Microsoft Excel más de lo que dicen. Hay que tener cuidado de no usar Excel y otras herramientas externas a la aplicación empresarial demasiado durante y después de las fusiones y adquisiciones que haga la empresa. En caso de una fusión, la empresa tiene que determinar la madurez de las herramientas de TI y los procesos de la empresa adquirida, y la forma ideal para integrarlos con los sistemas existentes. Sin embargo, hay que tomar en cuenta un periodo de interinato en el que tendrán que usarse hojas de cálculo inseguras para transferir la información de los sistemas de la empresa adquirida a los de la nueva empresa matriz.

Aún cuando no se tienen que enfrentar los retos de las fusiones y adquisiciones, una empresa puede usar herramientas externas como Hyperion, como parte de sus rutinas de generación de reportes. Siempre que se usan herramientas externas a una aplicación empresarial, hay que preguntarse cómo los métodos de transferencia de datos pueden asegurar que sus procesos empresariales son completos y precisos a medida que los datos fluyen entre dos o tres –o tal vez más- sistemas distintos. El uso de herramientas particulares como Excel –herramientas que carecen de muchos controles-, significa que es más difícil garantizar la integridad de los datos. Para evitar actividades incorrectas o fraudulentas y para simplificar sus procesos previo a una auditoría, es recomendable tomar medidas para que sus datos que están fuera de su sistema ERP no se vean tan alterados.

2. Aproveche los controles para usuarios generales de su aplicación.

Aún cuando una empresa mantenga el 80 por ciento de su información en un sistema ERP de alto nivel y minimice el riesgo que implica el uso de las herramientas particulares incorrectas, puede no estar familiarizada con las capacidades de su sistema ERP y de la forma en que puede configurarlo para administrar el riesgo. Muchas veces, estas capacidades se pasan por alto durante la implantación, porque la gestión de riesgos no era uno de los elementos entregables más importantes en la propuesta del proyecto –y desde luego que la empresa no prevé una auditoría o un intento de fraude. La gestión de riesgos puede pasar a segundo plano, así que es importante que los gerentes de proyecto y los consultores animen a la gente a que tome en cuenta tres áreas claves de gestión de riesgos durante la planeación y la implantación de ERP:

  1. Evitar errores y fraudes mediante una seguridad por roles. Esta es una función de ERP que no toda la gente entiende. Tiene que asegurarse de asignar las personas correctas a cada actividad y de evitar que se involucren en las actividades incorrectas. Por lo general, para lograrlo hay que separar poderes, porque no es recomendable que una persona se encargue de todas las actividades de un ciclo de la empresa –ya sea que se trate del ciclo de colocación de pedidos hasta pagos o compras hasta pagos. Por ejemplo, si una sola persona puede crear un proveedor, crear una orden de compra para ese proveedor, comprar el producto y enviar el cheque, entonces ¿cómo se asegura de que esa persona va a usar un familiar como proveedor? Si dicha persona tiene acceso a los registros de inventario, podría hacer un ajuste para esconder el hecho de que nunca recibió un producto de su proveedor imaginario. Nunca se notaría en el inventario físico, pero la empresa habría pagado por este producto imaginario y, antes de detectar la discrepancia, el culpable podría haber ajustado el inventario para que no se note. Algunas aplicaciones empresariales simplifican los procesos de identificación y eliminación de los riesgos de seguridad de acuerdo al papel que juega cada empleado (consulte la figura 1).


    Figura 1: Análisis de la división de responsabilidades (cortesía de IFS North America)

    Algunas empresas que tratan de dividir todas las funciones necesarias para tener una seguridad por roles, siguen recurriendo a un empleado de finanzas. Éste puede llevar a cabo muchas tareas para cuentas por cobrar, cuentas por pagar, libro mayor general y ajustes de inventario. Con ello, violan una serie de reglas de división financiera, a pesar de que la empresa usa un sistema ERP importante para tener una división de tareas y una seguridad por roles, y en algunos casos asigna dichas funciones a otros puestos.

    Para dividir las tareas correctamente y manejar el riesgo, es necesario analizar los ciclos más importantes de la empresa para identificar qué roles administrativos tienen que ser independientes. Pero esto no es tan simple: en un departamento pequeño o mediano, es posible que haya tres personas que desempeñen el mismo rol en la empresa, pero que también se apoyen entre ellos y actúen como respaldo. Cuando uno de ellos se va de vacaciones o se enferma, los otros dos se encargan de sus responsabilidades, a veces asistidos por un administrador de sistemas. Cuando el primero regresa a la oficina, muchas veces no se cuenta con un proceso para retirar los permisos del sistema, de manera que, si no se tiene cuidado para asignar y mantener estos permisos, en poco tiempo la seguridad por roles se desintegra.

    La seguridad por roles tiene que crearse dentro de una aplicación, y se tiene que definir y configurar durante la implantación, además de que hay que mantenerla.

  2. Implantar controles preventivos y de tipo detective. A veces, una empresa cuenta con tan poco personal administrativo, que no puede dividir los roles con mucho detalle, o a veces sus operaciones son tan complejas que la seguridad por roles no resulta práctica. Sin embargo, aún cuando se cuenta con controles preventivos como seguridad por roles, es importante que la empresa pueda monitorizar el acceso de los empleados a sus sistemas y verificar lo que hacen con él.

    Digamos que de acuerdo a su esquema de seguridad por roles, una persona puede crear clientes en el sistema, pero generalmente no establece un registro de cliente completo, entonces les deja algo de trabajo a los demás. En este caso, tiene sentido vigilar a esa persona mensualmente, porque lleva a cabo una actividad clave (consulte la figura 2). Otra forma en que los controles de investigación pueden ser de gran utilidad es si se requiere una doble aprobación para un cheque. Es posible que sea necesario alterar el sistema cuando, por ejemplo, el presidente no está en la oficina. Sin embargo, a su regreso, puede revisar una bitácora para ver qué cheques salieron durante su ausencia.


    Figura 2: Seguimiento de las actividades y los eventos (cortesía de IFS North America)

    Los controles de investigación también sirven para asegurarse de que no se están pasando por alto los controles preventivos de separación de roles. Para hacerlo, puede revisar quién cambia el acceso que tienen las personas al sistema. La revisión de los cambios que se hacen a los registros de verificación de permisos permite separar bien las responsabilidades.

    Sin embargo, hay actividades cuyo seguimiento y validación tienen que ser más puntuales que lo que permite la revisión de los registros. Afortunadamente, algunos sistemas ERP envían mensajes cuando ocurren ciertos eventos (consulte la figura 3). Por ejemplo, es probable que su director de finanzas quiera que se le notifique automáticamente cuando alguien escribe un cheque por más de $10,000 USD.


    Figura 3: Conflictos en las áreas funcionales (cortesía de IFS North America)

    La idea general de que el sistema ERP puede crear estas alertas, puede ayudar a evitar un fraude a gran escala. Pero hay casos en los que un empleado conoce el límite e inicia transacciones fraudulentas asegurándose de no sobrepasarlo. Así, además de los límites que le notifican cuando hay cheques de más de $10,000 USD, puede crear un control que le notifique si hay dos o más transacciones de más de $9,000 u $8,000 USD durante cierto periodo (por ejemplo, 14 horas). Es muy conveniente dar seguimiento a las acumulaciones de eventos que parecen no muy importantes, porque combinados, pueden dar lugar a un evento de gran relevancia. Pero no publique estos controles, porque podrían perder su eficacia.

  3. Administre los riesgos que controlan las TI. Además de administrar los usuarios normales, un sistema ERP debe tener controles preventivos y de investigación que permitan evitar que los administradores de sistemas, los administradores de bases de datos y los programadores cometan errores o muestren conductas que representen un riesgo financiero para la empresa.

    Como sucede con la identificación del riesgo en el área administrativa de la empresa, manejar riesgos en el área de TI de un paquete ERP empieza con un análisis del punto de encuentro entre el riesgo de la empresa y las TI. Para ello, es necesario determinar cómo la arquitectura de la aplicación soporta el área de TI. Hay que evitar situaciones en las que una sola persona tiene acceso al código fuente de la aplicación ERP y a la base de datos con la que funciona. En esos casos, el gerente de TI o el administrador de sistemas puede hacer más daño que lo que haría un usuario del sistema, además de que es capaz de esconder cualquier actividad ilícita durante una auditoría. Por lo tanto, es importante usar el ambiente de niveles de la aplicación ERP para separar roles en el área de TI, y asegurarse de que la base de datos está asegurada en un servidor distinto al del código fuente de la aplicación.

    La única persona que debe tener acceso al servidor de la base de datos tiene que ser el administrador de bases de datos, y otra persona –por ejemplo, el gerente de ERP- debe ser quien pueda acceder al código fuente o al sistema mismo. Con esto, se asegura que el administrador de bases de datos puede cambiar los datos de la base de datos, pero no el código fuente de la aplicación, y que el gerente de ERP puede cambiar este último, sin alterar los datos con los que funciona.

    Los controles preventivos y de investigación tienen que estar estrechamente relacionados. Por ejemplo, los archivos de registro pueden servir para dar seguimiento a los cambios que se hacen a las tablas que genera el administrador de bases de datos. Sin embargo, muchas veces el administrador de bases de datos sólo tiene acceso de entrada, por lo tanto, puede crear tablas, pero no puede cambiar los datos que se encuentran en las tablas existentes. Pero si es un poco astuto, puede entrar a los archivos de registro que dan seguimiento a los cambios que se hacen a esa base de datos y alterarlos para esconder algunas transacciones. Por eso, es importante considerar el uso de la capacidad que tiene una aplicación ERP para rastrear cuándo el administrador de bases de datos está en el servidor, y mantener dicha información en otro servidor al que él no tanga acceso (consulte la figura 4). Por consiguiente, en caso de que se detecten cambios inesperados en el inventario u otras anomalías, puede comparar las horas en que se registraron esos eventos con la actividad del administrador.


    Figura 4: Tabla que indica las horas de entrada al sistema (cortesía de IFS North America)

    Hay sistemas ERP que tienen utilidades de migración –un ambiente de desarrollo que permite que el personal técnico identifique segmentos nuevos de código y los pase al ambiente de aseguramiento de la calidad para evaluarlos. Después de las pruebas, el código pasa a un área de preparación o directamente a producción. Para que la recuperación sea rápida, en caso de que el código nuevo no funcione como se planeó en la aplicación, también hay una capacidad de salida que lleva al sistema a su estado previo.

    Es importante tomar en cuenta que las capacidades que tiene una aplicación para rastrear las actividades de los empleados que están involucrados en gestión de cambios y en el movimiento de código de un ambiente de desarrollo a un ambiente en vivo. Un administrador de sistemas podría cambiar el código fuente de la aplicación con malas intenciones, o crear un programa que cambie el código fuente mediante una herramienta de migración (que se incluye con muchas aplicaciones empresariales) para esconder una parte de código que ejecuta funciones una sola vez. Eso puede dar lugar, por ejemplo, a una transferencia de $100,000 USD a una cuenta bancaria específica. Después de llevar a cabo esta función, es posible programar el código para que cancele el archivo de registro resultante –y encontrar la causa precisa de esa transacción es simplemente imposible si no se revisan millones de líneas de código.

    Hay dos formas para enfrentar estos riesgos desde el punto de vista tanto preventivo como investigativo. Algunos de los controles de investigación son mantener una buena catalogación que permita hacer el seguimiento del ambiente de producción, y de quién introduce qué código a producción. En cuanto a controles preventivos, está, nuevamente, la separación de roles. Por ejemplo, se podría limitar el acceso de un programador al ambiente de aseguramiento de calidad y se reservaría la capacidad para mover código a producción para un administrador de sistemas. Una vez que se separan las responsabilidades de forma local, se trata simplemente de determinar cómo la aplicación ERP puede facilitar la separación de responsabilidades.

3. Disfrute las ventajas de la gestión automatizada de riesgos.

El viejo axioma dice que la gente se esforzará más por evitar que alguien le robe dinero, que por trabajar para ahorrar esa misma cantidad. Aunque la gestión de riesgos se enfoca principalmente en evitar pérdidas, la automatización de procesos tiene la ventaja de que evita cometer errores costos y fraudes. La implantación de prácticas de gestión automatizada de riesgos en su ambiente ERP puede ayudarle a documentar las actividades de gestión de riesgos y cumplimiento normativo. Esto no puede sino generar eficiencias que serán valiosas durante una auditoría, o cuando necesite documentar los procesos de salvaguarda que haya creado en sus sistemas empresariales.

Existen muchas funciones de ERP preventivas y de investigación que son herramientas de automatización que ayudan a agilizar los procesos de cumplimiento normativo y documentación de una empresa. Cuando se configura un motor de eventos de ERP (como IFS Applications) para evaluar si hay diferentes excepciones y enviar notificaciones cuando sucedan, es posible documentar y usar ese sistema de generación de reportes de excepción durante una auditoría. Para pasar una auditoría, hay que establecer parámetros para los controles, es decir, hay que probarlos y guardar la información de estas pruebas para mostrarle al auditor que los límites de crédito no han cambiado –y si lo han hecho, mostrar que se han enviado las notificaciones pertinentes. Además, la aplicación ERP debe permitirle mantener pistas de verificación de cada transacción del sistema, lo que representa documentación y controles de investigación adicionales.

Conclusión

La gestión de riesgos dentro de un ambiente ERP empieza con un análisis detallado del punto donde se encuentran los riesgos que enfrenta su empresa con la tecnología. Afortunadamente, una aplicación empresarial de alto nivel facilita las actividades de gestión de riesgo, incluso los controles preventivos y de investigación.

Sin embargo, la tecnología es poco útil si la gestión de riesgos no es una prioridad durante el proceso de implantación. Si se analizan los riesgos de la empresa durante estos momentos críticos y se configura la aplicación para manejarlos, es posible evitar pérdidas accidentales o deliberadas más adelante. Además, cuando se implantan estas mismas medidas de gestión de riesgos, pueden ayudar a documentar los procesos, la gestión de riesgos y el cumplimiento normativo.

Acerca del autor

Tom Schiesl, asociado en Virchow, Krause & Company, LLP, ha trabajado con esta firma de consultoría desde 2003, como jefe del Equipo de servicios de cumplimiento normativo. Antes de trabajar con Virchow Krause, fue director del área de soluciones de tecnología empresarial para las oficinas de Milwaukee, Wisconsin, de una forma global de servicios profesionales. Asimismo, fue gerente de aseguramiento de calidad y versiones de una firma importante de gestión de logística. Cuenta con una vasta experiencia en consultoría para gestión de proyectos complejos, business intelligence, ERP y fabricación para varias industrias.

Consulte el Centro de evaluación de ERP de TEC.
 
comments powered by Disqus