Caos en los controles internos bancarios
De la crisis económica mundial, y en especial del sector bancario y financiero, emergen problemas serios. Lehman Brothers estaba considerada como una de las instituciones financieras con mejores planes de contingencia y, sin embargo, esto no ha servido para salvarla. Otro ejemplo claro es el de Société Générale, donde los controles internos no fueron capaces de detectar las actividades fraudulentas de uno de sus brokers.
Algunos expertos comentan que los controles internos de muchas instituciones no son más que simples planes en papel, que no son operacionales, que nunca fueron testados o que los empleados se los saltan sin que exista ningún proceso de seguimiento por parte de la empresa. Esto es una paradoja, pues un sistema de control se caracteriza por la presencia de elementos que permiten influir en el funcionamiento del sistema.
Un sistema de control debe garantizar la estabilidad y, particularmente, ser robusto frente a perturbaciones y errores en los modelos. Y debe ser tan eficiente como sea posible, según un criterio preestablecido. Normalmente este criterio consiste en que la acción de control sobre las variables de entrada sea realizable, evitando comportamientos bruscos e irreales.
Todos conocemos la teoría, pero ¿por qué no han funcionado en las instituciones financieras? La realidad es que en algunos casos sí han funcionando pero, mientras ganaban suculentos beneficios, muchos asesores y directivos hicieron la vista gorda al no cumplimiento de esos controles internos. Además existe otra razón para su no funcionamiento: la falta de una buena gestión de la información en las instituciones.
En España, la mayoría de los bancos e instituciones financieras no conocen bien sus bases de datos, no saben qué información se maneja en esas bases de datos ni quién accede a ella. Internamente se utilizan muchas bases de datos diseñadas en Excel y Access que no son controladas y que incluyen datos críticos importantes. Estas pequeñas bases de datos existen a los miles principalmente para actividades de reporting o de análisis de datos y los gestores no son conscientes o no miden los riesgos inherentes a su uso.
Los asesores jurídicos de las empresas registran algunos de esos archivos por obligación de la Ley de Protección de Datos, pero por su pasividad a la hora de controlar y formar a los empleados en el uso de esos archivos, permiten que varios empleados gestionen las bases de datos y tengan acceso a datos críticos. En la mayoría de las empresas, el problema no viene por poner una nota explicando que los datos van a ser usados por la empresa, sino por el uso y tratamiento de esos datos por las empresas.
Además, los datos no están integrados y hay mucha duplicación de información. Por la complejidad de sus sistemas de información, algunas instituciones financieras en España tardan casi dos meses en obtener los datos integrados de su actividad. ¿Cómo puedes implantar controles internos cuando ni siquiera conoces quién maneja las bases de datos? ¿Cómo puedes responsabilizar a tus empleados si no sabes qué actividades realizan?
Sin sistemas de información más profesionalizados, mayores medidas de control de actividades y accesos y mejor gestión de los datos es imposible que se implanten los controles internos que muchas instituciones tienen, o que leyes como Sarbanes-Oxley o Basilea exigen. Los bancos y las instituciones financieras no sólo tienen que pensar en reestructurar el modelo bancario sino también repensar y mejorar unos sistemas de información en los que reina el caos.
José Esteves. Director de la Cátedra de Gestión de Riesgos de Sistemas de Información de IE Business School