Por: C.P. Alejandro Morales – Colaborador de www.auditool.org

 

Las transacciones electrónicas de fondos (EFT por sus siglas en inglés) se han convertido en el medio de pago favorito de todo el sistema financiero del mundo. Hoy en día la tendencia a realizar pagos por estos medios va en aumento, en tanto que las otras formas declinan de manera ostensible.

 

Sin dejar de lado la necesidad de prestar atención a los riesgos que suponen los pagos en cheque o en efectivo, conviene diseñar una estrategia preferencial para el pago electrónico.

 

La gestión Integral de este riesgo se debe enfocar desde tres aspectos fundamentales e interrelacionados, como son:

 

LOS EQUIPOS

LOS PROCESOS

LAS PERSONAS.

 

LOS EQUIPOS

 

La verdad comúnmente aceptada es que no existen equipos que garanticen en un 100% la seguridad de las transacciones electrónicas de fondos. Ello, si bien es cierto, no implica de manera alguna que debamos entregarnos sin resistencia a la realidad de tener que trabajar en un medio infinitamente asimétrico, en el cual personas con elevados conocimientos de programación y de sistemas pueden vulnerar virtualmente todas las barreras físicas o lógicas que se interpongan entre el recurso que se quiere proteger y los riesgos que lo acechan.

 

La mejor manera de proteger los equipos utilizados en los procesos de creación de archivos planos para pagos y para liberación de dichos pagos en el sistema, consiste en no exponerlos a ambientes potencialmente peligrosos. El uso exclusivo y dedicado de equipos para estas labores es aconsejable, ya que si se limita su uso únicamente a la conexión con la sucursal virtual del banco, se reducen las posibilidades de infección o contaminación por uno de los incontables virus, malware, key loggers y demás exponentes de la inagotable cantidad de programas maliciosos que abundan en la Red y que en muchas ocasiones son indetectables para las contramedidas más comúnmente utilizadas en nuestro medio.

 

LOS PROCESOS

 

Los procesos diseñados para la ejecución de tareas repetitivas, como el pago de obligaciones en dinero por medio de transferencias electrónicas, deben ser diseñados no solo para garantizar fluidez, eficiencia y trazabilidad; también deben tenerse en cuenta otros factores de protección, a saber:

 

Compartimentación: una actividad de riesgo NO puede ser ejecutada por una sola persona, ya que hace imposible el control en tiempo real o cercano al real. En el caso de no ser esto posible, los controles deberían ser suficientes como para generar alertas tempranas de desviación de las atribuciones del empleado;

 

Límites: en aquellos casos en los que se deban acumular funciones incompatibles (por ejemplo en sedes pequeñas), el funcionario con tareas acumuladas deberá tener límites claros a sus atribuciones y a su capacidad para comprometer a la Organización, ya sea como ejecutor del gasto o como contratante de obras o comprador de servicios. En todo caso, el reto de la auditoría consistirá en ejercer un control cercano a sus actividades;

 

Establecimiento de barreras: las barreras pueden ser físicas, lógicas o procedimentales; y deberán ser suficientes para proteger los recursos, sin volver ineficientes o lentos los procesos.

 

LAS PERSONAS

 

Los fraudes jamás ocurren por error o por accidente, como sí puede ocurrir con los demás riesgos. Por ello, el énfasis principal debe hacerse en el manejo del recurso humano, como la herramienta principal de gestión del riesgo.

 

La seguridad es cuestión de actitudes.  Los controles son efectivos cuando todos los empleados:

 

a) Comprenden los riesgos;

b) Tienen confianza en sus medios defensivos;

c) Entienden qué se espera de ellos;

d) Saben que las violaciones serán detectadas y castigadas; y

e) Cuando los controles son totalmente auto reforzados.

 

Autoridad y responsabilidad

 

La seguridad descansa en la responsabilidad. Sus pasos deben dirigirse a lograr el soporte de supervisores y empleados en delegaciones claras de autoridad, especialmente a través de políticas escritas.

 

Uno de los principios rectores de la administración del riesgo de fraude establece que la autoridad es delegable, pero la responsabilidad no lo es.

 

Del Autor: Alejandro Morales es Contador Público de la Universidad de Medellín. Especialista en Análisis de Riesgos administrativos y de fraude, Maxima Group, Londres.  Becario del Proyecto Wide World de la Universidad de Harvard. Miembro de la Association of Certified Fraud Examiners (ACFE). Asesor especial de la Presidenta del Congreso de la República, en materia administrativa y financiera, durante el período comprendido entre agosto de 2005 y enero de 2006. Capacitador de Compañías de Seguros y Asesor de empresas del sector público y privado en temas relacionados con el análisis de riesgos operacionales y financieros. Profesor de posgrado y especializaciones en temas de análisis de riesgos, fraude, seguro y reaseguro. Colaborador de www.auditool.org.