Categoría: GRC y gestión del riesgo

Governance, Risk, and Compliance

Maquillaje de cuentas (Parte I)

Tanto para las decisiones externas o internas, la fiabilidad y exactitud de la información financiera es importante, ya sea por un lado, adquirir acciones, brindar préstamos o por otro lado, emprender acciones de marketing, recursos humano e inclusive sobre tecnología. Decidir teniendo como base o referencia la información financiera falseada puede generar graves consecuencias económicas a las personas o entidades que se vean afectadas, por ejemplo, por mencionar casos recientes reflejados en los medios informativos: Gowex o Pescanova.


Tanto para las decisiones externas o internas, la fiabilidad y exactitud de la información financiera es importante, ya sea por un lado, adquirir acciones, brindar préstamos o por otro lado, emprender acciones de marketing, recursos humano e inclusive sobre tecnología. Decidir teniendo como base o referencia la información financiera falseada puede generar graves consecuencias económicas a las personas o entidades que se vean afectadas, por ejemplo, por mencionar casos recientes reflejados en los medios informativos: Gowex o Pescanova.

La manipulación contable, entre las actividades delictivas más frecuentes en las empresas

¿Maquillaje contable?

O “contabilidad creativa” consiste en modificar las cuentas con el fin de presentar una imagen distinta a la realidad, en algunos casos puede ser más favorable para, por ejemplo, mejorar la cotización bursátil, aumentar dividendos, mejorar evaluación de directivos y su retribución sujeta a resultados u obtener financiación. En otros casos, se busca ofrecer una imagen más desfavorable para, por ejemplo, pagar menos impuestos o solicitar subvenciones a los organismos Administrativos.

Tipos de maquillaje

  • Cuando se trata de elevar o reducir los beneficios se denomina «gestión del beneficio» (earnings management).
  • Traspasar los resultados de un año a otros, reduciendo los resultados de un año bueno a los años sucesivos. Una “técnica” sería, por ejemplo, contabilizando importantes deterioros en un año que se anulan en el futuro. Esta es una variante del caso anterior, denominado “aislamiento de los beneficios” (income smoothing).
  • «Enjuague contable» (big bath) es otra técnica similar, que consiste en aumentar las pérdidas para revertirlas en el futuro y así mejorar los beneficios.

Legalidad en el maquillaje

La normativa de cada país, para determinadas circunstancias, puede permitir una contabilización que más le interese a cada organización, por ejemplo, la cuantificación de ingresos basados en estimaciones optimistas o pesimistas sobre el futuro, deterioros y provisiones por litigios o pensiones.

Otro caso puede ser con las iniciativas de Investigación y Desarrollo, para las cuales se puede optar por “activar los gastos” cuando interesa elevar los beneficios o “contabilizar gastos” cuando interesa reducirlos.

Se estima que el Plan General de Contabilidad de España tiene más de un centenar de operaciones en las que se puede elegir entre varias alternativas de contabilización o se tiene que efectuar estimaciones subjetivas (Estudio de ACCID 2008).

Maquillajes ilegales

  • Ocultar ventas o gastos
  • Contabilizar ventas o gastos ficticios
  • Ocultar activos o deudas
  • Retrasar la contabilización de gastos o ingresos
  • Ocultar participaciones accionariales para no consolidar cuentas de filiales

Referencia: Revista Harvard Deusto (Número 246)

La división de funciones, clave para minimizar el riesgo

Sea para minimizar o eliminar los riesgos en la gestión de los procesos de negocio (ver entrada anterior), la medida clave es la división de funciones (Segregation of duties), cuyo principio fundamental señala que en los procesos importantes o críticos debe intervenir más de una persona con el objetivo de aumentar el control y reducir la posibilidad de fraude


Sea para minimizar o eliminar los riesgos en la gestión de los procesos de negocio (ver entrada anterior), la medida clave es la división de funciones (Segregation of duties), cuyo principio fundamental señala que en los procesos importantes o críticos debe intervenir más de una persona con el objetivo de aumentar el control y reducir la posibilidad de fraude.

Para minimizar el riesgo y establecer medidas de control interno, las tareas básicas son las siguientes:

  • Identificar. Identificar los procesos críticos y sus riesgos asociados. Identificar las transacciones (pensando en el mundo SAP) y los objetos de seguridad asociados a estos procesos críticos y funciones de negocio.
  • Dividir. Dividir las funciones o procesos de negocio, identificados en la fase anterior, en subprocesos para aplicar segregación de funciones en la organización.
  • Asignar. Asignar a cada subproceso definido en la fase anterior a diferentes personas o equipos.

Referencia: SAP GRC, Bible (Jay Dhruv)

¿Dónde se encuentra el riesgo en las organizaciones?

Se podría señalar que el riesgo en la gestión de los negocios es cualquier actividad que amenaza la operativa habitual o esperada de una organización…


Se podría señalar que el riesgo en la gestión de los negocios es cualquier actividad que amenaza la operativa habitual o esperada de una organización. A nivel interno, una tarea básica es  realizar un análisis de funciones y colaboradores (Risk Analysis & Remediation) para detectar situaciones poco recomendables como las siguientes, en las que un mismo usuario puede hacer todas o casi todas las tareas de un ciclo de un proceso:

  • Un mismo usuario puede crear proveedores y realizar pagos
  • Un mismo usuario puede crear órdenes de compra y crear proveedores.
  • Depósitos en efectivo y conciliación bancaria.
  • Control de recepción de compras y efectuar pagos por compras.
  • Un usuario puede auto asignarse roles o perfiles de seguridad.
  • Un usuario de negocio con acceso a modificar los programas en los sistemas de producción.

No se trata de una “cuestión de confianza” o “burocratizar las organizaciones”, en algunos casos, haber realizado un adecuado análisis de las funciones que desempeñan los usuarios hubiera evitado bancarrota de algunos negocios.

SAP GRC también sobre SAP HANA

Como ya se ha señalado en anteriores ocasiones, todos los productos SAP podrán funcionar sobre SAP HANA, la plataforma de procesamiento en memoria de SAP. Se suma a esta lista “powered by SAP HANA” los productos del portfolio SAP GRC (Governance, Risk and Compliance) soluciones dirigidas a facilitar la gestión estratégica de las organizaciones basadas en el control integral del riesgo y seguimiento del cumplimiento normativo.


Como ya se ha señalado en anteriores ocasiones, todos los productos SAP podrán funcionar sobre SAP HANA, la plataforma de procesamiento en memoria de SAP.  Se suma a esta lista “powered by SAP HANA” los productos del portfolio SAP GRC  (Governance, Risk and Compliance) soluciones dirigidas a facilitar la gestión estratégica de las organizaciones basadas en el control integral del riesgo y seguimiento del cumplimiento normativo.

SAP GRC powered by SAP HANA

SAP GRC powered by SAP HANA (claves y beneficios)

Revisando el road map de SAP GRC observamos que las principales soluciones de esta cartera de productos (Access Control, Process Control y Risk Management) se podrán configurar sobre SAP HANA para facilitar la gestión y monitorización de grandes volúmenes de información con tiempos de respuesta reducidos.

SAP Access Control powered by SAP HANA

Monitorización del riesgo con SAP HANA

Formulario para controlar los riesgos

Sea para una gestión manual o automatizada de los riesgos, con alcance focalizado en un proyecto, proceso o la estrategia de un negocio, lo primero que debe hacer es identificar y catalogar los riesgos para controlarlos y luego eliminar o disminuir su impacto.


Sea para una gestión manual o automatizada de los riesgos, con alcance focalizado en un proyecto, proceso o la estrategia de un negocio, lo primero que debe hacer es identificar y catalogar los riesgos para controlarlos y luego eliminar o disminuir su impacto.

Formulario para identificar y gestionar los riesgos de un proyecto, proceso o la estrategia de un negocio

Para esta etapas iniciales del gestión de riesgos compartimos un formulario que podría se útil para estas tareas (aquí).

Referencia: Otras entradas relacionadas a la gestión de riesgos