Por: Eduardo Cocina / KPMG/ asesoria@kpmg.com.mx
Casi la totalidad de los directivos de empresas en México (91%) reconocen haber enfrentado la materialización de algún riesgo en su organización; sin embargo, menos de la mitad de las empresas (49%) cuentan con algún tipo de metodología de gestión de riesgos dentro de las áreas operativas, legales, tecnológicas o financieras, un dato que deja en evidencia la poca preparación con la que cuentan las organizaciones aún conociendo que los riesgos existen y van en aumento, datos que revela la primera Encuesta sobre Gobierno, Riesgo y Cumplimiento: gestionando el control, realizada por KPMG en México, estudio cuyo objetivo es identificar las principales problemáticas que enfrentan las empresas en términos del nivel de cumplimiento que exigen los reguladores alrededor del mundo, la forma en que las están afrontando, así como las acciones que realizan para gestionar los riesgos.
Los resultados de la encuesta indican que los riesgos de negocio se materializan con mayor frecuencia pero, en paralelo, los líderes de negocio no se sienten lo suficientemente preparados para enfrentarlos. Adicionalmente, la encuesta identifica que los impactos de la materialización de estos riesgos han representado pérdidas económicas para las empresas y que, a pesar de que la regulación cada vez es más demandante, en los procesos y procedimientos empresariales aún falta madurez.
El estudio reúne la respuesta de 78 responsables a nivel directivo y gerencial sobre actividades de cumplimiento en las empresas en México en 2017 y fue dirigida a todos los sectores de las industrias para medir el nivel de madurez de sus marcos de control en cinco fases: definición de un ambiente de control, evaluación de riesgos, actividades de control, información y comunicación; y finalmente, supervisión y seguimiento.
PRINCIPALES RESULTADOS
Algunos de los resultados más destacados del estudio son:
- 91% de los encuestados reconocieron haber enfrentado la materialización de algún riesgo durante los 12 meses, como:
- 17% reportes por fraude por parte de proveedores, empleados o clientes
- 29% por conflictos de segregación de funciones
- 13% por violación a políticas o reglas de negocio
- 67% de los entrevistados reconocieron haber tenido pérdidas económicas por la materialización de riesgos. De estos, 15% reportó pérdidas mayores a 5 millones de pesos (mdp) y, aún más preocupante, 29% de los encuestados señaló desconocer el monto total que representó para su empresa la materialización de algún riesgo empresarial
- 49% de las organizaciones cuentan con algún tipo de metodología de gestión de riesgos dentro de las áreas operativas, legales, tecnológicas o financieras. Por otro lado, 51% indicó que aún se encuentra en vías de establecer una metodología o estrategia, o que no cuenta con alguna
EL ENEMIGO EN CASA
Es cada vez más frecuente que los protagonistas de comportamientos fraudulentos sean los empleados, proveedores e incluso clientes que forman parte de los procesos de negocio de una compañía.
Los resultados de la encuesta revelan que uno de los componentes que consideran las empresas que representa mayor riesgo al ejecutar sus funciones dentro de las operaciones del negocio es la colusión de empleados, clientes y proveedores/acreedores con 31%. A este elemento, le sigue los empleados con 26%, y en tercer sitio está la tecnología, con 20%. Esto confirma que el componente humano es el eslabón más débil de la cadena, por lo que requiere una constante concientización sobre los conceptos de riesgos, controles y seguridad cibernética.
Es de suma importancia tener identificadas las posiciones clave dentro de la empresa para mantener ciertos controles manuales o automáticos para el monitoreo de las actividades, así como la identificación de riesgos. Pero si 8 de cada 10 de los encuestados tienen conocimiento de las posiciones más susceptibles dentro de las organizaciones, ¿por qué siguen materializándose los riesgos?.
UN MODELO EFICIENTE DE GESTIÓN
Mantener la visibilidad total de estos procedimientos de la organización es clave para la prevención, así como identificar si se está brindando atención de forma integral a elementos clave como los controles de acceso, administración de auditoría, gestión de políticas y regulaciones, gestión de activos de información y manejo de proveedores y terceros, por mencionar algunos de los más importantes.
No existe una fórmula mágica para enfrentar estos desafíos, sin embargo, gestionar de forma eficiente el Gobierno, Riesgo y Cumplimiento (GRC), a través de soluciones tecnológicas, constituye un pilar del cumplimiento corporativo. Si la organización ya cuenta con mecanismos ejecutados de forma manual, el siguiente reto es hacerlo de forma eficiente a través de su automatización, es decir, de la implementación de plataformas tecnológicas GRC.
LOS BENEFICIOS DE SU IMPLEMENTACIÓN
Existen muchos beneficios al implementar una solución tecnológica de GRC, como:
- Mejorar la eficiencia organizacional cumpliendo con requerimientos y regulaciones de firma oportuna
- Tener una sola base de datos donde converja la información de los riesgos y controles que fluyen a través de los procesos del negocio
- Tener una fuente de información confiable para reportar a los Consejos de Administración y a reguladores
- Mantener la habilidad para identificar y administrar riesgos de forma rápida
- Gestionar de manera preventiva riesgos capaces de perjudicar significativamente a una organización
En la actualidad, las organizaciones están expuestas a múltiples riesgos con el potencial de comprometer su crecimiento, poner en entredicho la viabilidad del negocio y desacelerar la generación de valor. Para balancearlos, es vital que las empresas y sus directivos tengan una actitud proactiva, para evitar que los riesgos se conviertan en una realidad compleja y existan pérdidas económicas. Aprender a gestionar el control es una alternativa de solución; contar con metodologías de gestión de riesgo y marcos de control, apoyados en herramientas tecnológicas que soporten los procesos y procedimientos de monitoreo permite que el negocio opere de forma preventiva ante pérdidas económicas que impacten a la organización.
ACERCA DEL AUTOR
Eduardo Cocina, Socio Líder de Asesoría en Servicios de Ciberseguridad de KPMG en México. Cuenta con más de 20 años de experiencia en el ramo de seguridad y control de tecnologías de la información (TI), con las certificaciones CISA, Cgeit y CRISC otorgados por ISACA
Correo: asesoria@kpmg.com.mx