28/04/2024

control

Caso en Bancos: mañas conocidas con nuevos instrumentos

Guido Rosales 16/10/2017

El caso de los Bancos UNION y PRODEM deben cuestionar nuestro sistema de control, auditoria y regulación invocando nuestra capacidad de resiliencia. Más allá de buscar culpables que sin duda es necesario, debemos pensar en mitigar este tipo de situaciones.

Por supuesto que la tarea de encontrar controles vulnerados y responsables será la parte más liviana. Es más fácil hacer leña del árbol caído que definir y ejecutar medidas para evitar que el árbol caiga.

Llevo 20 años participando de investigaciones similares, fraudes, desfalcos, estafas, y otros nombres que se le da a la situación donde una o varias personas aprovechando niveles de confianza a veces excesiva, realiza actos contrarios a los inicialmente definidos.

¿El nuevo instrumento? Sistemas de información digital

Queremos definirlos como actos contrarios a los definidos y esperados por cuanto la ley es demasiado compleja y no se los puede tildar de otra manera sin un debido proceso que muchas veces no llega a hacerlo. Pero veamos ciertas lecciones aprendidas que lastimosamente no son aplicadas en la realidad, dando permanente continuidad a estos ACTOS CONTRARIOS.

Que se haga más, pero paguemos menos

    1. Típica conducta impulsada por los manejadores de presupuesto que no ven los riesgos de la concentración de funciones. No identifican que la relación hecho contra verificado no puede realizarse por la misma persona o, por otro lado, la persona que verifica no puede controlar actividades en exceso o con carencia de instrumentos. La sola existencia del rol verificador no puede ser tomada como un talismán que asegure su cumplimiento.
    2. Si la empresa no puede estructurar un organigrama donde claramente se identifique las instancias de control, el error no es operativo, sino nació en un nivel estratégico.

 

El mundo digital se administra y controla con herramientas digitales

  1. Los cinco sentidos de una persona le permiten controlar cosas materiales. El mundo digital donde se trafica bits, no puede ser controlado sin adecuados y oportunos instrumentos. La cantidad inmensa de datos que se generan hace imposible su administración sin la adecuada instrumentación del control. Herramientas, capacitación y entrenamiento mitigan el riesgo del desbordamiento de datos.
  2. Toda empresa debe poder identificar en su balance la proporción entre instrumentos operativos e instrumentos de control. Deberíamos llegar mínimamente a un 80/20 entre la inversión para funcionar contra la inversión para controlar. Pero controles dedicados, no un ADEMAS como generalmente se coloca en manuales de funciones. Los instrumentos de control deben ser especializados y no una navaja suiza que se pueda adaptar a cualquier finalidad y sirve para salvar el momento.
  3. La información digital en un negocio tan complejo como Banco es inmensa, tanto para el nivel operativo como para el de control. Los sistemas de control en esta fase previa a un ACTO CONTRARIO deben ser PREDICTIVOS y anticiparse ante la desviación de ciertos parámetros.

¡Los junior cobran menos y hacen más!!

  1. Cuando se hace la valoración de riesgo operativo y se valoran los controles se debe tomar en cuenta no solo el conocimiento de los responsables de control, sino su pericia y experiencia. Salvo sea un superdotado con la capacidad de leer información de muchos casos y digerirlos para generar una Pseudo experiencia, la mayor parte de los responsables de control necesitan equilibrar la relación “Experiencia/trabajo”.
  2. En las instancias de control y auditoria está pasando que el 80% del trabajo es realizado por junior. El 20% lo realiza un senior, pero el riesgo esta que aplica su experiencia en la información colectada por el junior.
  3. Un junior conoce la tecnología de información, pero le falta experiencia. Al contrario de un senior principalmente de auditoria clásica.
  1. La seguridad fisica es también centralizada
    1. En entidades con ofician centralizada y también concentrada en la casa matriz, la seguridad física y control sigue la misma línea. La experiencia ha demostrado que en oficinas regionales, sucursales y similares el nivel de control es muy diferente al existente en la central. Mientras más lejos, más relajada.
    2. Sin embargo, la seguridad digital no tiene esa limitación, puede estar con la misma intensidad tanto en la central como en el último punto donde llegan los datos. Siempre y cuando se tengan instrumentos digitales

Los malos estan fuera, cierren las puertas

  1. Definitivamente el exceso de confianza nos hace pensar que el mal vendrá de afuera y no desde el interior mismo. No queremos pensar que alguien conocido sea capaz de hacer ACTOS CONTRARIOS.
  2. Los controles al interior de las empresas tienden a ser más relajados por que se han personalizado y dependen de la persona en el cargo. Se va perdiendo la lógica que los controles se hacen a los cargos y no a las personas.

El diamante del fraude

  1. Teoría que dice sobre la coincidencia en tiempo y espacio de 4 factores para laocurrencia de un fraude
    1. Oportunidad: Los funcionarios de una empresa tienen la oportunidad permanentemente. Reciben dinero ajeno constantemente. Tienen acceso a los sistemas de información.
    2. Justificación: Depende mucho de la formación y valores de las personas. Sin embargo, cuando se trata de actos contrarios contra entidades financieras el remordimiento es casi nulo, por cuanto casi nunca hay víctimas humanas. Al final es seguro cubre todo
  • Capacidad: Los funcionarios llegan a conocer y dominar su trabajo con el paso de los años. Son expertos en hacer, pero también pueden deshacer.
  • Presión: Social, familiar, de salud, financiera, etc. Todos tenemos alguna forma de presión.

Los delitos de cuello blanco no son violentos o descuidados

  1. Sin necesariamente entrar en el ámbito digital, desde hace mucho se sabe que los actos contrarios denominados delitos de cuello blanco tienen una característica principal “paciencia y premeditación”. Se modelan con buen colchón financiero y van sentando sus ramificaciones por todo lado. Van creando una red interna y compleja en el negocio.
  2. El NEPOTISMO es un botón que debía servir de muestra, pero ahora es totalmente OBSOLETO. La relación de parentesco consanguíneo ha cedido terreno a los lazos fraternales que se establecen por ejemplo en 12 años de colegio, una fraternidad, una logia y similares. Por supuesto que no podríamos tachar de nepotismo esta vinculación, pero se podrían activar más controles y evitar estas relaciones perjudiciales, pero muy enraizadas en nuestra sociedad. Al final se privilegia la confianza frente a la capacidad.

En arca abierta justos pecan

  1. La seguridad debe ser proporcional al activo protegido: Es un principio muy básico, sin embargo, no entra en la lógica del GERENTE que busca una mayor utilidad con menor inversión. Tenemos un problema desde las aulas universitarias donde los catedráticos han sellado la lógica de tener negocios rentables en desmedro de los negocios seguros.
  2. Si la persona ve que no existe control o es muy relajado va definiendo su ITERCRIMINIS rumbo a esos ACTOS CONTRARIOS. Hace el modelamiento y si no ve respuesta de los encargados de control, llega un punto donde los 4 elementos del diamante del fraude se juntan y convierten a una persona normal en un perpetrador de ACTOS CONTRARIOS.
  3. La sanción, el proceso legal y el juicio son acciones correctivas que lamentablemente priman como instrumento de disuasión, favorecidas por personas inclusive con cierto tipo de formación profesional. Lo más importante no es ganar el juicio y meterle a la cárcel, sino tener una empresa donde se respire CONTROL y las personas cumplan sus funciones, protegidas por la misma empresa.

Los procedimientos de negocio definen no solo hábitos de trabajo sino modus vivendi

  1. La cultura organizacional a través de sus normas y procedimientos calan hondo en las personas, sus hábitos laborales y hasta su forma de vida (modus vivendi). Cuando se quiere ejercer control, se debe monitorear esa habitualidad para detectar alteraciones o cambios al patrón regular. Al final es posible patronizar casi TODO con mucha exactitud. Por ejemplo, el habito de una persona, de un proceso, de un sistema, de una agencia, etc. Por supuesto que se necesitan herramientas tecnológicas primero para patronizar conductas y segundo para determinar esos cambios.
  2. El contagio de hábitos de trabajo es mutuo. Las personas al negocio y este a las personas. Si tienes una mezcla de personas con diferentes antecedentes, tendrás un negocio muy heterogéneo en el espíritu de control. Tomara tiempo hacer que las personas reciban la influencia del negocio. Pero en algunos años el efecto será de arriba/abajo.

Sin duda es un tema de largo aliento. Ambos casos le están haciendo un daño reputacional al país más allá de las mismas instituciones. No solo merman la confianza en un sistema financiero, sino siguen afectando la capacidad de gestión del mismo gobierno como Gestor de negocios. El desafío sigue creciendo y tendrá esta orientación. Lo que ha pasado en estos bancos sin duda ha pasado en TODOS los otros. “El que esté libre de pecado que tire la primera piedra! Y ojo, no solo estamos hablando de Bancos, nos está tocando en TODO tipo de negocio. No estamos asimilando el cambio entre el mundo físico y el mundo digital. El primero era controlado con nuestro sentido. El nuevo orden digital requiere otras capacidades. Debemos buscarlas e implementarlas.

Te pueden interesar

portada curso NMSI NETHO

Curso: Nivel de madurez con NETHO e ISO 27001:2022

Guido Rosales 05/02/2024
perito informatico

Pericias: Lecciones aprendidas

Guido Rosales 02/11/2023
hack banking

Seminario Presencial Tarija: Banca digital ciber riesgos, estafas y pericias forenses

Guido Rosales 28/10/2023
criptolavanderia

Seminario: PREVENCION DEL LAVADO DE CRIPTOACTIVOS

Guido Rosales 05/10/2023
ciberguerra rusia ucrania

Por qué la Ciberguerra Rusia-Ucrania debe preocuparnos como Pais?

Guido Rosales 03/09/2023