Non defraude

Hace algunos días la Fiscalía en conjunto al Servicio de Impuestos Internos firmaron un convenio un tanto inédito en materia de persecución contra el delito tributario y la evasión, se han comenzado a intensificar los planes de gestión de cumplimiento tributario del periodo, se ha focalizado la fiscalización en grandes patrimonios, evasores y elusores de impuestos,  supimos de ciberalertas de la CSIRT (entidad de gobierno), alertando de fraudes que se estaban realizando a través de la emisión de facturas maliciosamente emitidas a empresas y otras prácticas que exponen nuestra información a potenciales ataques de ciberdelincuentes, en los que como dueños de empresas tenemos parte de responsabilidad, nuestras contrapartes que administran nuestra información también la tienen y los propios atacantes gracias a su habilidad logran realizarlos. 

Desde una perspectiva contable, todo puede decantar en fraudes tributarios y/o financieros, generando acciones dolosas o con ánimo de dolo. Como equipo, nos ha tocado buscar alternativas que permitan minimizar estos riesgos, de la mano de implementaciones de soluciones a través de estudios de caso, análisis de variables, comportamiento e incluso aristas socioculturales de comportamiento, todas ella decantando en una respuesta del equipo de desarrollo de Cymasuite.

De las múltiples reuniones con clientes, usuarios/as, prospectos y cercanos, hemos entendido la importancia de no “defraudar” sus altas expectativas, pero al mismo tiempo también aterrizar esas sobreexpectativas, pero el criterio es abordarlas con inteligencia en función del core del negocio. Desde aquí, es que surgen algunos módulos que atacan directamente los potenciales fraudes que hemos explicitado en el primer párrafo y que iremos explicando un poco más en profundidad.

Una de las principales problemáticas que enfrentamos como dueños de empresas en materia de seguridad y control, es el riesgo de fraude al que podemos caer ante un potencial emisor de documentos tributarios (facturas) que no corresponde, un proveedor que no entrega un servicio o stock de productos completos, un cliente que no nos paga los servicios u de otro tipo, el gran problema de esto es que en la mayoría de los casos o no nos enteramos o simplemente no podemos hacer mucho. Lo anterior puede ser porque no tenemos la capacidad de controlar el proceso completo de nuestra operación, porque somos confiados y/o factores externos que no podemos  controlar como a alguien que realizará un delito, el ánimo doloso y el abuso. 

Pero no por eso, no nos debe interesar, ya que esto podría afectarnos a tal punto que tengamos que detener nuestros servicios o directamente quebrar. La situación de estar envuelto en un fraude como víctima, no es una situación que queramos vivir, y más allá de los costos monetarios (que pueden ser devastadores), está el daño moral, la honra, el efecto psicológico sobre nuestra acción empresarial y la duda hacia nuestro flujo de trabajo que mermando la confianza. Los fraudes tributarios y financieros pueden pasar a ser “defraudes” cuando se cometen por omisión o acción. Felipe Barrios, CTO  de Cymasuite, en su artículo Ciberseguridad aplicada a la contabilidad, que puedes ver acá Revisar artículo, nos planteaba que muchas acciones de administración interna de la empresa se ejecutan sin muchos protocolos de seguridad, bajo prácticas comunes que involuntariamente exponen nuestra información, pero también algunas de manera intencionada o maliciosa. Recordando lo que nos indicó Felipe: “Si lo vemos desde la perspectiva del dueño de una empresa, estamos traspasando nuestra información privada a estudios contables o contadores, pero desconocemos su gestión interna sobre el uso de la información, y si lo vemos desde la perspectiva de un estudio contable, gran parte de los ciberataques son realizados por ex empleados, ya sea por el manejo o acceso a datos que no deberían de llegar a él” cerrando este apartado planteando que “El 45% de las empresas sufren ciberataques de ex empleados.” Esto es similar a lo que ocurre a nivel global con el ciberataque, que un porcentaje considerable de estos es provocado por cercanos a las empresas o a las personas, cuando esta afecta a alguien en particular. También, la emisión de documentos/facturas falsas o con ánimo de fraude es uno de los principales mecanismos de fraude que ha ido en aumento a escala mundial, ya que, muchas empresas por su alto flujo de emisión y recepción, no son capaces de identificar a proveedores o ese documento con certeza. De igual forma ocurre cuando se recepciona una factura de un proveedor conocido pero en la que no nos llega el stock completo, en ambos casos estamos siendo víctimas de un potencial dolo, y expreso firmemente que potencialmente, ya que, podemos haber recibido una factura por error involuntario, recepcionado mercadería incompleta sin mala intención o nosotros emitir mal una, lo importante está en el control. En el caso de que seamos víctima porque se está haciendo de manera intencionada, estaremos envueltos en un fraude tributario y financiero, esto porque por un lado tiene relación o afecta a los impuestos y por otro porque pueden cobrar ese documento o factorizar. El dolo o acción dolosa aparece cuando está la intención “de”, y el fraude por la falsedad del documento, hoy se entiende como falsificación digital. Este tema bastante engorroso, se ha ido abordando de distintas maneras, por ejemplo en la reforma tributaria que no se aprobó discutir, venían cambios, como el de aumentar el tiempo del acuse de 8 días a 3 meses, con la diferencia de que al término de ese plazo, en vez de ser recepcionada de manera automática, el documento sería rechazado, lo opuesto al día de hoy, en el que al pasar los 8 días, el documento queda recepcionado de manera automática.

Ahora, más que generar desconfianza, que es lo que se genera, debemos trabajar en mecanismos que nos permitan minimizar riesgos, por esto es que hemos trabajado directamente en acciones y módulos que nos permiten detener gran parte de estos problemas.

Más que un control de versiones hemos trabajado una herramienta de auditoría continúa, de seguridad o ciberseguridad contable, ya que es posible hacer el seguimiento de cada paso que se ha realizado respecto al movimiento contable, desde el autor hasta el detalle la acción realizada, de esta manera podemos establecer qué, cómo, cuándo y por qué se realizó esa acción o movimiento del movimiento. Si lo viéramos desde el punto de vista de la ciberseguridad, cada acción que realizamos deja rastros, que incluso borrando nuestro historial quedarán de manera permanente, es nuestra huella digital, por lo que entender qué hace, cuándo y quién, nos ayudará saber el porqué y hacia dónde debemos ir en términos contables.

El manejo de contraseña es algo que nos complica, quizás tengas 10 o más contraseñas entre las personales y las de la empresa, y quizás muchas de ellas sean la misma para una u otra cosa, quizás muchas de ellas están en el top 10 de contraseñas más usadas o quizás también muchas de ellas algunas personas las manejen por temas  de gestión. Pues, si es así debemos ir regulando ese proceso. Muchas de nuestras contraseñas están expuestas de manera directa o indirecta. Desde lo contable, muchas veces entregamos nuestras claves de bancos o SII, estas se administran en excel compartidos y cuando terminamos la relación debemos cambiarlas (no solo desde el área contable). Para esto, Cymasuite permite que tú puedas compartir el acceso a tu empresa, no ha sí a tus claves ni de la cuenta, ni de banco ni del SII, ya que al sincronizar tu cuenta podrás agregar previamente estos parámetros, por lo que la persona invitada no puede ver dichas contraseñas.

La mayor importancia de ante cualquier potencial riesgo de fraude, es la anticipación, el poder visualizar antes de qué algo genere un problema mayor. En este sentido, tal como hemos dicho, el aumento del fraude a través de facturación ha sido un fenómeno global. Ante esto, es importante entender que la recepción de factura es parte de un proceso mayor, que encadena una serie de acciones como, verificación, revisión, pago, notificación, cobro, envío, conciliación, u otra, pero todo surge en el inicio. Si somos capaces de identificar el movimiento, la recepción maliciosa puede ser desactivada. Acá es donde surge la notificación del acuse de recibo. Conversando con varios dueños/as de empresas, nos comentaban las dificultades e historias que les ocurrían en el cotidiano de su operación, y en las que Cymasuite daba respuesta o podría darlo. Algunos temas, iban desde el control que no podía realizar a sus pagos, el match de pago y recepción de boleta, cálculo de boleta de honorarios, hasta el volumen de documentos emitidos y recepcionados, que llevaba en ocasiones a pagar facturas irregulares que con el paso del tiempo, se dieron cuenta que no correspondían, pero que ya no podían hacer nada. La funcionalidad, nació por eso. Una notificación que llega a la aplicación móvil, indicando que has recepcionado una factura, pero es solo la notificación, no te es permitido darle el acuse en la misma, ya que la app tiene un sentido más de management, por lo que la opción de gestión del acuse o rechazo la puedes realizar en la plataforma, dicha acción es bidireccional, es decir, que si la realizas en la plataforma o en el SII la verás de la misma manera. 

Al finalizar, lo esencial que debemos considerar es que si bien podemos estar siempre expuestos, nuestra capacidad de reacción debe estar delimitada por nuestra capacidad de anticipación y la conciencia de que hoy no solo somos consumidores y ciudadanos, sino que también somos internautas (parafraseando al intelectual Néstor Garcia Canclini), y más profundamente usuarios/as en entornos cada día más digitalizados. Si bien no tenemos 3 meses para darle un acuse a una factura, si tenemos 8 días, y en base a eso debemos direccionar el trabajo de gestión, la tecnología nos da esa ventaja, pero debemos saber cómo optimizarla en nuestro proceso, no llevarnos sorpresas, evitando ser víctimas de fraude, vernos envuelto en acciones dolosas ni tampoco defraudarnos de nuestro proceso: Non  fraude, Non defraude.