El riesgo de no gestionar los riesgos

/0 Comments/in /by

Por Julián Laski

Hace un par de años, me encontré ante el desafío de llevar a cabo la auditoría de una importante entidad pública latinoamericana. Cuando digo “importante”, me refiero al tamaño de la institución, su carácter estratégico y el volumen de sus operaciones, con una cantidad de recursos – financieros, humanos y tecnológicos – acordes a su envergadura.

Unos meses antes de comenzar las tareas, me sorprendí al leer un correo electrónico enviado por el área de Sistemas de la institución, donde se solicitaba que informe qué computadoras ingresarían a la entidad por parte del equipo auditor, especificando la marca, modelo y número de serie de los dispositivos. Debo admitir que, en ese momento, quedé impresionado: imaginé que, si me pedían esos datos con semejante anticipación, me encontraría con una entidad que tendría una estructura de control robusta, lo cual no es tan habitual en el sector público de la región.

Hasta que llegó el día: tuve mi primera reunión en la entidad, a la cual fui, claro está, con mi computadora – la misma que había declarado unos meses antes. Apenas llegué, me encontré con un puesto de seguridad en el cual un guardia me pidió que muestre la laptop con la cual estaba ingresando. “Qué bien, ahora, van a cotejar la información con la que indiqué hace unos meses”, pensé. Pero en ese momento me empecé a percatar de que, una vez más, no todo lo que reluce es oro: el empleado de seguridad comenzó a tomar nota de los datos de la computadora a mano en una planilla, donde en lugar de escribir el número de serie, anotó la licencia del sistema operativo, cuya etiqueta estaba pegada en la parte posterior de la laptop. “No importa, luego lo revisará e indagará acerca de la inconsistencia”, me dije… Pero no, eso jamás pasó. Y tampoco me solicitaron la computadora al salir. Ni al día siguiente: como el guardia me conocía, se limitó a preguntarme si traía la misma laptop que el día anterior, y como le dije que sí, en mis sucesivas entradas ya ni siquiera me consultó al respecto. Y, al no controlarme en la salida, nadie analizó la posibilidad de que estuviera llevándome algo mucho más valioso que una computadora (que bien podía ser la mía, u otra): la información de la institución.

Esta situación encendió mis señales de alarma – como todo auditor, soy escéptico por naturaleza – respecto del análisis de riesgos por parte de la entidad pública. Por ello, pedí hablar con el responsable del área de riesgos. La respuesta fue terminante: allí no había un jefe de riesgos, sino que era el gerente financiero quien se ocupaba de los seguros. Es decir, se asumía que la contratación de seguros era la única respuesta al riesgo posible. Casi resignado, me junté con el gerente financiero, y le pregunté por los seguros que tenían contratados. “Aquí invertimos más dinero en seguros todos los años, porque queremos estar tranquilos”, me dijo. Cuando le pregunté por el tipo de siniestros para los cuales tenían un seguro vigente, me di cuenta de que no abarcaban ni la mitad de los posibles eventos para los cuales se podía contratar una cobertura. El posterior resultado de la auditoría de los seguros fue lapidario, y casi le cuesta el puesto al gerente financiero, que estaba tan tranquilo por simplemente gastar dinero…

¿Alcanza el seguro como una respuesta al riesgo? No, claramente. ¿Es suficiente saber que se invierten muchos recursos en cobertura para dormir tranquilo? Menos aún. Una organización que gestiona sus riesgos de manera efectiva debe:

  • Listar los posibles riesgos, financieros y no financieros, a los que se encuentra expuesta. Por ello, no suele ser aconsejable que sea un gerente financiero quien se responsabilice por la gestión de los riesgos. No existen riesgos inverosímiles ni eventos absolutamente inesperados; si no, pensemos en el atentado contra las Torres Gemelas, por caso.
  • Valorar adecuadamente, mediante herramientas cualitativas y cuantitativas, la probabilidad y el impacto de los eventos que pudieran afectar la consecución de sus objetivos. ¡No todos los riesgos son igual de importantes! Para la entidad, tiene un impacto mucho mayor que alguien se lleve, por el medio que sea, una base de datos sin permiso, que la posibilidad de que un funcionario o visitante ingrese con una computadora y salga con otra.
  • Diseñar e implementar respuestas al riesgo adecuadas, donde no sólo se contemple la cobertura mediante seguros, sino también la mitigación, la posibilidad de evitar el riesgo y, en algunos casos, incluso la necesidad de aceptar el riesgo. No podemos tomar medidas frente a todos los riesgos, pero debemos conocerlos y ser conscientes de los mismos. Si existe la posibilidad de que llueva, y nuestro objetivo es ir a ver un partido de fútbol de Atlanta, al aire libre, ¿qué podemos hacer, además de esperar que el cielo no se nuble?
  • Verificar que las medidas adoptadas son eficaces, y monitorear la estrategia frente al riesgo. Un riesgo puede ser importante en un momento, y dejar de serlo después. Hace un tiempo atrás, el activo fijo era lo más importante para una organización; hoy, el conocimiento, y la información, son mucho más críticos, por lo cual las medidas frente al riesgo deben necesariamente ser revisadas de manera periódica.
  • En el caso específico de los seguros, realizar una auditoría de los mismos, a fin de determinar si se cubren adecuadamente los siniestros y si la relación costo – beneficio del control es adecuada. ¿De qué sirve invertir dinero, si no se contemplan los eventos que pueden afectar a la institución de manera adecuada?

El día en que terminaba mi trabajo en la institución, al salir, fui a hablar con el guardia que me había recibido el primer día. Le pregunté por la famosa hoja donde había tomado nota de los datos de mi computadora y si bien al principio me miró con desconfianza, como ya habíamos entablado una relación cordial al saludarnos todos los días, finalmente me dijo que la guardaba, que estaba bien archivada, y que me la mostraría. Cuando le pregunté para qué había anotado los datos, me dijo algo muy simple: “yo sólo hago lo que el guardia que trabajaba antes que yo me dijo que tenía que hacer”…

Cuando los controles impiden concretar un negocio

/1 Comment/in /by

Por Julián Laski

Hace unas semanas recibí, como muchas otras veces, un llamado por parte del call center de un importante y reconocido banco comercial, a través del cual me ofrecían una tarjeta de crédito. Si bien no suelo estar interesado en este tipo de propuestas, donde la “letra chica” suele esconder alguna trampa (y algún costo), en esta oportunidad mi curiosidad pudo más. Y, prestando atención, pensé que se trataba de una buena chance, por lo que decidí preguntar qué requisitos en cuanto a documentación se necesitaban para proseguir con el trámite. Cuando me dijeron que sólo precisaban la copia de mi documento, opté por aceptar y proceder a gestionar la emisión de la tarjeta.

A partir de allí, la operadora del call center, siguiendo el manual en el cual seguramente fue capacitado, comenzó a solicitar los datos básicos que, intuyo, estaría rellenando en un sistema: nombre completo, fecha de nacimiento, ocupación, etc. Hasta que, en un momento, llegamos a la pregunta clave, el punto de discordia: “¿Usted no es sujeto obligado en materia de prevención de lavado de dinero y financiamiento del terrorismo, no?”. La forma en que formuló la pregunta, seré sincero, tentaba a decir que no, pero pensé que correspondía decir la verdad, por lo que le dije que en mi condición de auditor externo de estados financieros de compañías con activos superiores a $ 10.000.000 (diez millones de pesos), soy sujeto obligado en materia de prevención de lavado de activos. Para los que no estén familiarizados con la materia, ser sujeto obligado no es más que estar incluido en una lista de personas físicas o jurídicas que, por su trabajo o profesión, deben reportar una operación sospechosa vinculada con el lavado de dinero y financiamiento del terrorismo, sin que ello signifique nada en particular. Es algo así como un árbitro asistente en el fútbol: debe indicarle al juez del encuentro si observa alguna falta durante el juego. Pero para la operadora del call center, seguramente por desconocimiento, mi respuesta despertó alarmas y sospechas en virtud de lo que su procedimiento indicaba. Por eso, hasta allí, la charla, que se desarrollaba en un tono cordial, dio un vuelco inimaginable: en primera instancia, la operadora del call center me dijo que, directamente, no podría solicitar la tarjeta y que el trámite no podría proceder. Cuando le pregunté el motivo, me dijo que era porque yo estaba encuadrado en la Ley 25.246 de lavado de activos de origen delictivo.

Aunque no me quitaba el sueño obtener la tarjeta (de hecho, me la estaban ofreciendo, yo no la estaba solicitando), me molestó la situación, y le dije a mi interlocutora que en realidad era un sujeto obligado, no un prófugo ni un sospechoso de la justicia. Acto seguido, pidió un momento para hablar con su superior mientras yo esperaba en la línea, cosa que sucedió por aproximadamente 20 minutos, durante los cuales me vi tentado a interrumpir la comunicación telefónica en varias oportunidades, a fin de continuar con mi trabajo. Luego, se reanudó la llamada, y el supervisor del call center me manifestó que me llamarían al día siguiente para ver “cómo seguíamos”, ya que, según reconoció, el sistema impedía continuar con el trámite cuando la respuesta a la pregunta “¿Sujeto obligado?” era un sí, debido a que el banco tenía controles internos estrictos y deseaba asegurar que sus clientes fueran sometidos a un proceso de estricta revisión previa.

La situación indicada en este artículo, donde una gestión comercial se vio obstaculizada por una supuesta necesidad de apego a los controles internos, muestra que sólo se considera una cara de la moneda, uno solo de los tres objetivos de los modelos de control interno, que consiste en cumplir con leyes y normas aplicables (en este caso, un manual de procedimientos). Así, se deja de lado el primero de los mencionados objetivos de todo sistema de control, que es lograr operaciones eficaces y eficientes. Al fin y al cabo, si un banco – una empresa con fines de lucro – no vende sus productos financieros, ¿cómo logra sus metas? Incluso, uno podría plantearse cómo es que el banco otorga sin problemas ni análisis de tipo crediticio una tarjeta a un cliente que no es sujeto obligado, pero si lo es, aunque tenga la mejor situación patrimonial, el trámite se interrumpe… Curioso, sin dudas. Pero todo sea con tal de cumplir con lo que el manual de procedimientos indica.

Al día siguiente de la primera conversación telefónica que tuve con la operadora del call center, recibí un llamado de otro empleado del banco, quien me dijo que “pese a ser sujeto obligado” – otra vez, como si fuera un pecado-, podrían procesar mi solicitud – yo no pedí nada, el banco era quien lo ofrecía – si yo me presentaba en la sucursal del banco y entregaba una serie de documentos a los que, creo, sólo les faltaba mi partida de nacimiento: documento de identidad, comprobantes de ingresos, inscripción como sujeto obligado, últimos pagos de impuestos, declaraciones juradas… Papeles que, por cierto, no les son requeridos a las demás personas a las que les ofrecen el mismo producto financiero. Por supuesto, decidí dejar de lado el asunto, y no proseguir con el engorroso trámite; así, el banco se ajustó a sus procedimientos pero se perdió la posibilidad de concretar una venta.

La situación refleja un error común en la concepción del control por parte de las organizaciones: un mejor control no es tener procedimientos más rigurosos, ni seguir al pie de la letra lo que un manual señala. Las organizaciones más “controladas” no son las que más procedimientos tienen, sino las que desarrollan una mejor gestión bajo ciertas condiciones que entreguen un grado de seguridad razonable a sus accionistas y directivos. A la hora de implementar controles internos efectivos de acuerdo a los marcos modernos, es importante concebir la integración de las diferentes categorías de objetivos del control, procurando en todo momento optimizar la gestión y obtener resultados. Al cabo, el control interno tiene sentido si se cumplen los tres objetivos, y no uno solo de ellos. Dicho de otra manera, el control interno será exitoso si se vincula con los principios de buena gestión y si, de esa manera, agrega valor a las organizaciones.

A todo esto, menos mal que la operadora del call center no me preguntó por mi esposa: si les decía que también es sujeto obligado, creo que directamente hubiera llamado a la policía para denunciarme…

Mejorando el servicio y la seguridad a través de la Gestión del Conocimiento en el Aeropuerto de Miami

/2 Comments/in , /by

Por Jorge Martínez

Imagine que emprende un viaje haciendo escala en Miami para ir a otro país. Después de un largo viaje, con el cansancio en el cuerpo, cuando está a punto de pasar inmigración para entrar a los Estados Unidos, le dicen que no puede pasar, que tiene que ir a una sala especial en donde es sometido a un nuevo control, sin que nadie le explique las razones ni cuanto tardará. Media hora más tarde, le llaman por su nombre, le entregan el pasaporte, y le dicen que se puede ir. Cero explicaciones.

Ahora imagine que, cuatro días más tarde, cuando hace escala en el mismo lugar en su viaje de regreso, le ocurre exactamente lo mismo. Solo que esta vez su cansancio es mayor, las filas que ya ha debido soportar son aún más largas, y la posibilidad de perder el vuelo de conexión realmente inminente.

Pues bien, esto me ocurrió hace unas semanas y, pese a quejarme, nunca logré que me dieran una explicación, ni menos una disculpa. Deduzco que, al igual que hace unos años, confundieron mi nombre y primer apellido con el de un delincuente con orden de captura internacional. Es evidente que la situación de inseguridad internacional y la amenaza terrorista obligan a elevar los niveles de alerta, sobre todo en Estados Unidos, que es un objetivo declarado. Pero al menos en mi caso, habría bastado con mirar mi segundo apellido para ahorrarme a mí la molestia y al gobierno de Estados Unidos el uso de recursos en una tarea inútil e innecesaria. Si junto con los niveles de alerta, se hubiera incrementado la eficacia de los sistemas de identificación de terroristas y criminales, tal vez yo estaría contando otra historia. Sin embargo no puede evitar preguntarme lo siguiente:

  • De qué servirá sacarse el ESTA (la Autorización Electrónica de Viaje emitida por el Departamento de Seguridad Nacional con anterioridad a viajar y válida por 2 años). Primer control.
  • De qué servirá que al llegar al aeropuerto de Miami, para los portadores de ESTA, te obliguen a ir directamente a una máquina en la que debes de escanear tu pasaporte, sacarte una foto, tomar tus huellas dactilares y hacer una declaración automática. Segundo control.
  • De que servirá pasar por un Oficial de Inmigración quién te vuelve a tomar foto, huellas dactilares y alguna que otra pregunta sobre tus intenciones en Estados Unidos. Tercer control.

¿De qué sirven todos estos controles, si finalmente el último eslabón de la cadena ignora todos los controles anteriores y terminas encerrado en una sala como un delincuente? Parece increíble que después de tantos años viajando a Estados Unidos, y de haber residido legalmente en ese país por más de tres años, me sigan confundiendo con alguien que no soy. Algo no está funcionando bien.

Desde el punto de vista de los controles internos y la gestión del conocimiento del Departamento de Seguridad Nacional, el alto número de controles que se requieren para cada pasajero “sospechoso” es altamente ineficiente (por no hablar de la incomodidad que genera en el visitante). Esto dado que se están utilizando recursos escasos (Oficiales de Inmigración, Máquinas) para realizar el mismo trabajo varias veces. Pero lo peor de todo es que si cada vez que una misma persona extranjera visita Estados Unidos es necesario realizar varios controles, muchos de ellos idénticos, a pesar de contar ya con una autorización previa por parte del Departamento de Seguridad Nacional, quiere decir que no se está almacenando esta información, y que cada vez que alguien visita Estados Unidos es como si lo hiciera por primera vez, con lo cual se está desaprovechando muchísima información valiosa, que si se almacenara, ahorraría mucho tiempo y dinero.

Esto me recuerda mucho a una de las conclusiones del informe de la Comisión Nacional que a petición del Presidente y del Congreso de los Estados Unidos, investigó los ataques terroristas del 11 de Septiembre (http://www.9-11commission.gov/report/) . En dicho informe se indicaba que otra importante agencia federal de seguridad en Estados Unidos, el FBI, “no tenía un esfuerzo efectivo de recogida de inteligencia. La recogida de inteligencia por parte de los recursos humanos era limitada, y los agentes no estaban entrenados adecuadamente..…El FBI carecía de la capacidad de saber lo que sabía, no había ningún mecanismo efectivo para capturar y compartir su conocimiento institucional. Los agentes del FBI creaban registros de las entrevistas y otros esfuerzos investigativos, pero no había oficiales que condensaran la información en inteligencia con sentido que pudiera ser encontrada y diseminada.”

Estas señales de controles ineficientes o falta de gestión de conocimiento en instituciones públicas de seguridad en el país más avanzado del mundo nos recuerdan que en todas partes cuecen habas. ¿Alguna vez has vivido en carne propia una situación similar que podría haberse evitado con una mejor gestión del conocimiento?