Me resulta muy curioso que en un blog como éste, dedicado a analizar cuestiones técnicas y jurídicas de Nuevas Tecnologías, Protección de Datos y Propiedad Intelectual, con más de 140 entradas publicadas (y algunas tan interesantes como las tituladas «Obra fotográfica y mera fotografía» y » Propiedad Intelectual vs Protección de Datos. Las obras fotográficas«), los artículos más leídos sean «Perspectivas económicas en época de crisis» y «Opciones de inversión en época de crisis«. Sin duda, esto quiere decir mucho de la situación económica que estamos viviendo; que, por cierto, se está llevando a muchas familias y empresas por delante (¡andá, como la AEPD! ejem…)
En este entorno convulso de incertidumbre financiera, las empresas tienen cada vez más la necesidad de controlar y prevenir las situaciones de riesgo por fraude y por incumplimiento normativo que desde dentro de su propia organización se pueden generar cada día. Y es precisamente en este contexto adverso donde aplicaciones de GRC como la que ha presentado esta mañana Oracle, tienen sentido.
La primera ponencia de la Jornada a la que he asistido (hace unas horas) y que lleva el mismo nombre que este post, estuvo a cargo de Ramón Abella, direcor del Grupo de sector Financiero de PricewaterhouseCoopers. Para Abella, el origen del creciente interés por las aplicaciones de GRC proviene tanto de la situación económica del momento como del entramado regulatorio que exige una especial atención sobre estos extremos a las empresas. La normativa más relevante que encontramos en cuestión de gestión y administración de riesgos, es la siguiente:
- Ley del Mercado de Valores: Ahora el informe de gestión, que ha de ser semestral, tiene que incluir una descripción de los principales riesgos e incertidumbres
- NIF 7 (en vigor desde enero de 2007): obliga a un mayor acercamiento al análisis de riesgos
- Real Decreto 1322/2007 de desarrollo de la Ley 24/1988
- Código Conthe: Si bien no es de obligado cumplimiento, es el que establece el principio de «cumplir o explicar»
- Recomendación nº 8: El Consejo debe aprobar la política de control y gestión de riesgos de negocios
- Recomendación nº 47: Será necesario que una auditoría interna vele por el buen funcionamiento de los sistemas de información y control interno
- Recomendación nº 49: La política de control de riesgos debe identificar:
- Tipos de riesgos
- Nivel de riesgo
- Mitigar el impacto de riesgos identificados
- Control interno para gestionar y controlar los riesgos
- Recomendación nº 50: El comité de auditoría va a tener que revisar de forma periódica los sistemas de gestión y control de riesgos
- Directiva 2006/43 de 17 de Mayo de 2006 de Sociedades: Será probáblemente transpuesta al ordenamiento jurídico español a finales de este año trayendo consigo una serie de novedades relevantes en cuanto a la gestión y el control del riesgo
Los sectores afectados por el fraude son prácticamente todos, pero muy especialmente los de distribución/retail, seguros, transporte y sector público. Según Abella, el 62% de los fraudes tienen su origen en la apropiación indebida de activos. Y en España, el 53% se ocasiona por medio de la falsificación.
Así pues, analizado el sector y sus riesgos, la estrategia más prudente sería la de la adopción de un sistema integrador de medidas de gestión de riesgo de negocio, control interno y función de auditoría interna. Y todo ello se puede lograr por medio de herramientas informáticas como la presentada por Diana Durán, Consultora de Oracle, en la segunda ponencia de la jornada: Oracle GRC Applications Suite (si están bien posicionados, encontraréis más información aquí).
Como no pretendo venderos el producto, simplemente os diré qué es y qué hace: El GRC de Oracle es un repositorio para documentar procesos desde su inicio hasta su fin. Permite, por ejemplo, llevar un control detectivo y preventivo de la facturación para evitar que el usuario final de este servicio pueda cumplimentar y a la vez firmar una misma factura, evitando así fraudes comunes de este tipo. Es como un panel personalizable de información en forma de mapa en el que se detallan todos los pasos que deben llevarse a cabo y cuya visualización o edición puede permitirse o restringirse parcialmente a un conjunto de usuarios, para controlar y gestionar mejor el riesgo durante todo el proceso.