El fraude laboral (occupational fraud) cometido por los
empleados que abusan de las confianzas otorgadas para su
enriquecimiento personal sin importar el medio utilizado para esto, de acuerdo
a las cifras que entrega la Association of Certified Fraud Examiners, son de preocupación y traigo algunas a modo
de ejemplo:
- El costo en una empresa tipo, por efecto de
fraude laboral se estima en un 5% de sus ingresos anuales
- La pérdida promedio por evento de fraude es de
US$ 150.000. En el caso de Latino América y el Caribe, el promedio es deUS$
174.000 (Chile participa en el estudio con 4 empresas)
- A nivel global las pérdidas totales se estiman
en US$ 6,3 billones anuales
- Más del 23% de los casos de fraude tuvieron un
costo de al menos US$1 millón
Otros puntos de
interés:
- Las principales formas de ocultar el fraude son
alterando registros en los sistemas computacionales
- La mayoría de las víctimas de fraude
corresponden a la industria de la banca y servicios financieros
- Las categorías con mayores fraudes corresponden
a:
Fraude
de estados financieros con un promedio de US$ 975.000
Fraude
por corrupción con un promedio de US$200.000
Fraude
por apropiación indebida de activos con un promedio de US$125.000
Y un buen indicador…las
empresas que carecían de controles antifraude, sufrieron en promedio el doble
de las pérdidas.
Y me preguntarán de qué
forma entra SAP en este problema…. La respuesta es más simple de lo que
esperan.
Las atribuciones que se
entreguen a los usuarios para el uso del sistema, no deben dar las facilidades que
permitan fraudes.
Ejemplos asociados a
las categorías de mayores fraudes:
- Fraude a los estados financieros: se sobre
estiman los ingresos al simular ingresos ficticios, creando ventas y sus
facturas ya sea a clientes existentes o no. En este último caso los bienes
nunca son entregado y las ventas se reversan en el siguiente período.
- Corrupción: confabulación con proveedores
realizando compras con precios inflados
- Apropiación indebida de activos: alteración del
destinatario de pagos electrónicos; compras a proveedores ficticios y paga
facturas por servicios no prestados.
¿Cuál
es la exposición al riesgo de fraudes?
La respuesta se determina al contar con un
adecuado diagnóstico del estado de la seguridad, que permita identificar
claramente las vulnerabilidades, los riesgos asociados y las líneas de
solución, priorizando desde lo urgente hacia lo importante.
¿Qué
es urgente?
Ya habrán visto mis anteriores posteos que presentan nuestra visión de la solución:
-
Eliminar autorizaciones amplias (SAP ALL u
otras similares), que entregan miles de transacciones a los usuarios.
-
Controlar las transacciones críticas cuyo mal
uso podría tener efectos en los ingresos y en los resultados de la empresa.
-
Retirar a los usuarios los roles que no
utilizan.
-
Retirar de los roles las transacciones que no se
usan.
¿Qué
sigue después?
Primero, establecer las
oportunidades de mejora que pueden aplicarse a los métodos de trabajo y a los
procedimientos de asignación de transacciones y accesos a usuarios.
Luego, seleccionar los
procesos más críticos – idealmente en conjunto con los auditores externos – y solucionar
los Conflictos por Segregación de Funciones que se hayan detectado.
Finalmente, realizar un monitoreo
permanente de variables críticas de la seguridad que entreguen certezas que los
procedimientos se cumplen… de lo contrario, tendrá la certeza que mucho antes
de lo que se piensa se retornará al estado inicial.
¿Y
quién me puede ayudar?
En TwoBox tenemos el conocimiento, la experiencia y las herramientas para ayudarle en dos grandes áreas:- Identificar y resolver los problemas relacionados con las autorizaciones a los usuarios (lo que pueden hacer, lo que no pueden hacer y lo que no deben hacer)
- Analizar los riesgos que detecta en forma automática de los actos realizados en el sistema por el análisis de los documentos procesados en el sistema,