Fraudes en las empresas que usan SAP

El fraude laboral (occupational fraud) cometido por los empleados que abusan de las confianzas otorgadas para su enriquecimiento personal sin importar el medio utilizado para esto, de acuerdo a las cifras que entrega la Association of Certified Fraud Examiners, son de preocupación y traigo algunas a modo de ejemplo:

• El costo en una empresa tipo, por efecto de fraude laboral se estima en un 5% de sus ingresos anuales –   La pérdida promedio por evento de fraude es de US$ 150.000. En el caso de Latino América y el Caribe, el promedio es deUS$ 174.000 (Chile participa en el estudio con 4 empresas)
• A nivel global las pérdidas totales se estiman en US$ 6,3 billones anuales –      Más del 23% de los casos de fraude tuvieron un costo de al menos US$1 millón A nivel global las pérdidas totales se estiman en US$ 6,3 billones anuales
• Más del 23% de los casos de fraude tuvieron un costo de al menos US$1 millón

Otros puntos de interés:

1. Las principales formas de ocultar el fraude son alterando registros en los sistemas computacionales
2. La mayoría de las víctimas de fraude corresponden a la industria de la banca y servicios financieros
3. Las categorías con mayores fraudes corresponden a:
   – Fraude de estados financieros con un promedio de US$ 975.000. -Fraude por corrupción con un promedio de US$200.000. –Fraude por apropiación indebida de activos con un promedio de US$125.000.

Y un buen indicador…las empresas que carecían de controles antifraude, sufrieron en promedio el doble de las pérdidas.

Y me preguntarán de qué forma entra SAP en este problema…. La respuesta es más simple de lo que esperan.

Las atribuciones que se entreguen a los usuarios para el uso del sistema, no deben dar las facilidades que permitan fraudes.

Ejemplos asociados a las categorías de mayores fraudes:

• Fraude a los estados financieros: se sobre estiman los ingresos al simular ingresos ficticios, creando ventas y sus facturas ya sea a clientes existentes o no. En este último caso los bienes nunca son entregado y las ventas se reservan en el siguiente período.
• Corrupción: confabulación con proveedores realizando compras con precios inflados
• Apropiación indebida de activos: alteración del destinatario de pagos electrónicos; compras a proveedores ficticios y paga facturas por servicios no prestados.

¿Cuál es la exposición al riesgo de fraudes?

La respuesta se determina al contar con un adecuado diagnóstico del estado de la seguridad, que permita identificar claramente las vulnerabilidades, los riesgos asociados y las líneas de solución, priorizando desde lo urgente hacia lo importante.

¿Qué es urgente?

Ya habrán visto mis anteriores posteos que presentan nuestra visión de  la solución:

• Eliminar autorizaciones amplias (SAP ALL u otras similares), que entregan miles de transacciones a los usuarios.
• Controlar las transacciones críticas cuyo mal uso podría tener efectos en los ingresos y en los resultados de la empresa.
• Retirar a los usuarios los roles que no utilizan.
• Retirar de los roles las transacciones que no se usan

¿Qué sigue después?

Primero, establecer las oportunidades de mejora que pueden aplicarse a los métodos de trabajo y a los procedimientos de asignación de transacciones y accesos a usuarios.

Luego, seleccionar los procesos más críticos – idealmente en conjunto con los auditores externos – y solucionar los Conflictos por Segregación de Funciones que se hayan detectado.

Finalmente, realizar un monitoreo permanente de variables críticas de la seguridad que entreguen certezas que los procedimientos se cumplen… de lo contrario, tendrá la certeza que mucho antes de lo que se piensa se retornará al estado inicial.

¿Y quién me puede ayudar?

En TwoBox tenemos el conocimiento, la experiencia y las herramientas para ayudarle en dos grandes áreas:

• Identificar y resolver los problemas relacionados con las autorizaciones a los usuarios (lo que pueden hacer, lo que no pueden hacer y lo que no deben hacer)
• Analizar los riesgos que detecta en forma automática de los actos realizados en el sistema por el análisis de los documentos procesados en el sistema,