Veritas Online

Administración de Riesgos

Información no estructurada: Cómo implementar un sistema de alerta

Información no estructurada: Cómo implementar un sistema de alerta
septiembre 01
2014

El monitoreo de datos podría ayudar a una compañía a localizar riesgos emergentes y mejorar la efectividad del programa de administración de riesgos de una empresa.

Manejas al demonio que usted conoce es algo muy difícil. La gestión de riesgos, es ese demonio que puede crear el caos en su empresa. Por eso, los riesgos están creciendo a ritmo tan corto que los periodos cíclicos de auditorías internas y la actualización de controles no pueden mantener el paso, particularmente cuando se trata de riesgos que pueden ser virales en esta era electrónica hiperconectada.

Una nueva realidad emerge: el alcance del riesgo en el que los controles internos están enfocados en muchas compañías es mucho más estrecho que el alcance de los riesgos que en realidad enfrenta la empresa. Por ello, las organizaciones tienen que implementar nuevas estrategias para identificar y manejar los riesgos. Para la mayoría de las empresas, esa estrategia debería incluir el monitoreo de una franja más amplia de información interna y externa.

Los Contadores y la gerencia han usado por mucho tiempo controles internos para identificar, evaluar y manejar los riesgos. El problema es que la mayoría de las compañías han usado esta tecnología principalmente para monitorear los controles integrados en la estructura de la información, por ejemplo, estadísticas operativas y datos financieros encontrados en información transaccional.

Lo que a menudo pasa sin ser monitoreado es un amplio universo de información en el que se incluyen el correo electrónico, documentos en el “escritorio”, registros de internet, llamadas telefónicas, mensajes de texto, y hasta mensajes de redes sociales y comentarios en línea de los clientes sobre los productos. Estos datos se han dado a conocer en toda la industria como información no estructurada, un término que sirve para todo y que carece de precisión, ya que muchos de los datos incluidos bajo este rubro tienen de hecho componentes estructurados. El correo electrónico, por citar un ejemplo, contiene dirección, remitente, hora, entre otros (Ver Anexo 1 con ejemplos de tipos de información no estructurada).

Sin importar la nomenclatura, el monitoreo de estos datos podría ayudar a una compañía a localizar oportunidades y riesgos emergentes.

MONITOREO PROACTIVO

Cada organización enfrenta eventos corporativos en los que el flujo de información y el momento oportuno o inoportuno generan un riesgo. A menudo, esa gran cantidad de información sin examinar nos explica por qué existía un riesgo, cómo se desarrolló, quién estuvo involucrado, así como qué exposiciones de un riesgo corolario podrían existir

Los correos electrónicos y otros documentos electrónicos, por ejemplo, son el tipo de información que los abogados y reguladores buscarán para perseguir en demandas legales e investigaciones de Contabilidad forense. Pero la historia del riesgo, en esas instancias, a menudo se conoce solo en retrospectiva. No obstante, las empresas que monitorean en forma proactiva este tipo de información podrían ser capaces de detectar mejor los riesgos y convertirlos en investigaciones post facto.

CÓMO EVITAR EL FRAUDE POTENCIAL

Los casos de antecedentes de opción de compra de acciones, como por ejemplo, la manipulación de la oportunidad del evento y el acceso desigual a las ganancias importantes, así como a la información sobre el desempeño generan el riesgo. La información de correo electrónico, no de los libros de Contabilidad, en general refleja los tiempos y la intención de la información y de las actividades que llevan a la transacción.

Los investigadores examinan el tráfico del correo electrónico alrededor de cada sesión para determinar la fecha prevista de dicha sesión y la fecha en la que se comunicó realmente. En algunos casos, la información puede reflejar intervalos inusuales en el tráfico de correo electrónico, que pueden indicar que un ejecutivo clave ha eliminado sus correos electrónicos sobre un tema en particular.

El alcance del riesgo en el que los controles internos están enfocados es mucho más estrecho que a lo que se enfrenta en realidad la empresa

Para evitar esta clase de riesgos, una compañía podría considerar el monitoreo de cierta información por un periodo limitado justo antes y después de un evento clave. Podría monitorear las comunicaciones, documentos y transmisiones de información del personal que se relaciona con el evento: ejecutivos, gerentes financieros, técnicos de Tecnologías de la Información (TI), ingenieros de producto, personal de compras, etcétera.

Una manera práctica de poner en operación esta estrategia es reconocer que estos eventos de riesgo están probablemente incluidos en la agenda trimestral del consejo de administración y sus comités. Para cualquier evento próximo crítico, el consejo de administración y la gerencia deberían considerar si el monitoreo preventivo es apropiado. El monitoreo puede ser confidencial con el propósito de detectar actividad ilegítima, o puede ser anunciada como una política corporativa y una medida de control, con el fin de asegurar que los empleados sean más precavidos en sus comunicaciones, como se menciona a continuación:

  • Diligencia por fusión. Las estrategias de monitoreo proactivo podrían también ayudar a las compañías durante la diligencia por una fusión o de una adquisición.

La Comisión Federal de Comercio y la División Antimonopolio del Departamento de Justicia de Estados Unidos a menudo solicitan correos electrónicos, documentos, hojas de cálculo, presentaciones y reportes financieros de las partes. El objetivo es determinar si un trato puede representar una amenaza inaceptable para la libre competencia en el mercado particular de alguna o ambas partes.

  • Cumplimiento y Retención del Empleado. Para muchas empresas en la industria financiera, la función de ventas está regulada por la Autoridad Reguladora de la Industria Financiera y por la Comisón del Mercado de Valores y Cambio de Estados Unidos (SEC, por sus siglas en inglés), que requieren que los empleadores vigilen y conserven la comunicación de ventas con los clientes y el público en general, por medio de recursos como el correo electrónico corporativo y personal, las llamadas telefónicas, los mensajes instantáneos, mensajes de texto y las publicaciones en redes sociales.

Mientras que otras industrias no tienen los mismos requisitos de cumplimiento, muchas, no obstante, implementan medidas similares para cumplimiento regulatorio, aseguramiento de calidad o con fines de retención de talento.

CÓMO INTEGRAR

Muchas empresas han adoptado técnicas de recolección de información no estructurada para hacer uso de sus modelos de negocio y utilidades, enfocándose principalmente en riesgos y oportunidades externas. Por ejemplo, algunas empresas están usando estas técnicas para desarrollar estrategias de investigación y desarrollo basadas en información extensa sobre competidores potenciales, reclamos de propiedad intelectual, fondos disponibles.

Sin embargo, si la empresa decide expandir su monitoreo y análisis de información para incluir un sistema de alerta temprana de riesgos internos ocultos puede probar ser sensible. Los tomadores de decisiones deberán considerar varios factores. Entre ellos:

  • Tamaño de la empresa. Algunas empresas más pequeñas o más centralizadas pueden decidir que los costos del monitoreo exceden los beneficios. Puede haber maneras más directas para mantenerse al tanto de la situación.
  • Cultura Organizacional. Algunas empresas pueden pensar que ciertas formas de monitoreo de información podrían comprometer su cultura.
  • Ambiente de operación. Los clientes, ventas y localidades de operación, el contexto legal y regulatorio, y los productos y servicios que se venden son ejemplos de consideraciones organizacionales específicas que pueden ocasionar que la administración sienta que requiere de un nuevo nivel de monitoreo del riesgo.
  •  Consideraciones legales. Las empresas deben siempre consultar al asesor para determinar si una forma particular de monitoreo y análisis de información es inconsistente en cuanto a la privacidad y otros requerimientos.

Un sistema de monitoreo puede ser una de las estrategias más directas, inmediatas y costo-efectivas que una empresa puede implementar

  • Políticas de empleo. Es importante percatarse de que muchas empresas ya tienen políticas en funcionamiento, publicadas normalmente en el manual del empleado, en las que explícitamente se indica que la empresa tiene el derecho de monitorear el uso de equipo de cómputo de la empresa.

METODOLOGÍA SUGERIDA

Ciertamente, un sistema así de monitoreo puede ser una de las estrategias más directas, inmediatas y costo-efectivas que una empresa puede implementar para evitar cualquier riesgo antes de que surjan y causen impacto en las ganancias. Aquí una breve metodología para implementar un programa de monitoreo de información dentro de una empresa:

[1] Articule su perfil de riesgo. Todos los programas de administración de riesgos deberán empezar articulando los principales riesgos estratégicos que la empresa necesita manejar.

[2] Desarrolle un perfil de información coincidente. Junto con el equipo de TI, identifique cuáles son las fuentes de información corporativa y de internet, como también las bases de datos de terceras partes y agregados de información, que sean los más apropiados para la búsqueda y monitoreo para el perfil.

[3] Establezca su política de confidencialidad y de privacidad. La mayoría de las empresas ya cuentan con políticas que advierten a los empleados sobre el derecho del empleador a monitorear la actividad llevada a cabo en las instalaciones, el equipo y las redes del empleador. Sin embargo, los empleados pueden tener la expectativa de que esto ocurre en circunstancias excepcionales. Esto puede impulsarle a realizar algún monitoreo sobre una base anónima, o bien hacer que lo realice una tercera parte como mecanismo de seguridad para limitar el tipo de información que está siendo controlada y observada por la administración.

[4] Defina los indicadores de riesgo. Analice los tipos de información seleccionados y desarrolle indicadores de riesgo, estos podrían incluir nombres y funciones de empleados, nombres de la competencia, palabras clave y frases.

[5] Defina cualquier necesidad de captura de información. En muchos casos, el monitoreo de información puede ser implementado en línea con un sistema existente. Por ejemplo, los mensajes que se envían o reciben de un competidor pueden ser marcados con una bandera mediante el establecimiento de una regla simple en el filtro de correo no deseado del departamento de TI, del correo corporativo o del servidor que puedan ser localizados usando tecnologías de búsqueda.

[6] Use la tecnología para filtrar automáticamente la información y documentos importantes. El descubrimiento electrónico, la búsqueda de textos y otras herramientas pueden filtrarse rápidamente a través de montañas de información sobre una base automatizada. Estas tecnologías son cada vez menos costosas y están diseñadas para detectar una amplia variedad de indicadores de riesgos.

[7] Identifique al analista experto. Una vez que la información haya sido filtrada y clasificada por la tecnología, se deberá asignar una persona para evaluar los resultados. Esta persona puede variar según el riesgo que esté siendo monitoreado. Para violaciones de política corporativa en medios sociales, puede ser el director de Recursos Humanos. Para ciertas violaciones de cumplimiento puede ser un abogado interno. El Director de Finanzas podría enviar al Director General un reporte que eleve los hallazgos relacionados con los asuntos incluidos en la agenda de los directores del consejo de administración.

[8] Defina una frecuencia para su análisis. Según la naturaleza del riesgo, se puede buscar la información sobre una base periódica, aunque no frecuente, o sobre una base más frecuente o continua para riesgos más sensibles. La clave radica en identificar la frecuencia que haga el mejor balance entre el tipo y la gravedad de un riesgo en particular, y la probabilidad de que ocurra, frente al costo y el esfuerzo requeridos para evaluar la información filtrada.

>Este artículo es una reseña del original titulado “Unstructured Data”, publicado en Journal of Accountancy, enero de 2014. Traducido para Veritas, del Colegio de Contadores Públicos de México, por Pilar Vidal.

AUTORES ORIGINALES: Christopher S. Beach (chrisbeach@beachanalyticsllc.com) es el Director de Operaciones en Beach Analytics LLC en Woodlands, Texas. William R. Schiefelbein (bschiefelbein@techlawsolutions.com) es Director de Consultoria y Director Ejecutivo de Estrategia de TechLaw Solutions Inc. en Chantilly, Va.

Redacción Grupo Medios

ventas@colegiocpmexico.org.mx

Facebook Comments

Related Articles

Búsqueda

Sígueme en Twitter

A %d blogueros les gusta esto: