Débil gobernanza del Banco Nacional @
El robo de los casi ¢3.300 millones de la bóveda principal del Banco Nacional de Costa Rica (BNCR) no solo es asombroso que suceda en una época en donde imperan las transacciones electrónicas y los controles informáticos, sino también es un reflejo de una débil gobernanza en la conducción de los negocios. Aquí fallaron las tres líneas de defensa establecidas en la regulación moderna para gestionar riesgos tan básicos y antiguos como el resguardo del efectivo de un banco. Estas líneas de defensa están constituidas por la gerencia general, los comités de apoyo de la Junta Directiva como lo son el comité de riesgos y el de cumplimiento normativo, y la auditoría interna. Como parte de una buena gobernanza, cada una de estas líneas defensivas debe tener claramente establecidas las responsabilidades por parte de la Junta Directa y, por lo tanto, son responsables por la gestión del riesgo operativo y el sistema de control interno, todo lo cual está fallando dentro del BNCR. Durante los saqueos de la arcaica caja fuerte del BNCR es inexplicable cómo no existieron arqueos regulares a lo largo de los cuatro años en los que se presume que el principal sospechoso extraía el dinero. La deficiencia del sistema de control interno es tan grosera que el BNCR se enteró de la sustracción del efectivo por una denuncia anónima, y, en un inicio, la gerencia no supo dar respuesta de si el faltante era producto de un robo o de un error contable. Es más, ninguna de las líneas de defensa siquiera advirtió que el dinero que supuestamente estaba en la bóveda no cabía físicamente en ella, lo cual además refleja una pobre política de manejo del efectivo. A pesar de la conmoción pública causada, este robo no es un hecho aislado y existen fraudes mucho más importantes. En los últimos 7 años, el OIJ calcula que clientes han perdido cerca de ¢113.000 millones en fraudes electrónicos. La ocurrencia de este tipo de fraudes es mayor en Costa Rica que otros países de la región. Resulta incomprensible la forma en la que los estafadores obtienen la información detallada de los clientes de los bancos —y del BNCR; el más gande del país—, a menos de que exista una fuga de información sensible. Aparte de no haber visto al gerente pedir perdón a sus clientes por el saqueo de sus cuentas, no es posible comprender por qué el BNCR no ha logrado mejorar la seguridad de sus sistemas informáticos para evitar esta fuga de información y eliminar la posibilidad de que se realicen este tipo de fraudes. La Superintendencia General de Entidades Financieras tiene una normativa para la gobernanza de tecnología de información (TI) que incluye la gestión de la seguridad de la información y el control del riesgo operativo. Según la norma, el marco de gestión de TI tiene que ser definido por cada una de las entidades supervisadas. No obstante, este marco de autorregulación no está siendo efectivo y se requiere una mayor fortaleza en la regulación para exigir a los bancos controles más estrictos y una estructura informática mínima que se deba cumplir. Esto es muy relevante, pues aunque el monto de lo sustraído puede ser relativamente poco importante para el banco más grande del país, sí existe un riesgo reputacional que puede tener repercusiones sobre el BNCR y el sistema financiero, ante la pérdida de confianza del público. Antes de que esto suceda, es evidente que debe revisarse y fortalecerse la gobernanza del BNCR. Su Junta Directiva debería estar en este momento estructurando un plan de acción para darle seguridad a sus clientes y al país en general. Quedan muchas preguntas por responder. Por ejemplo, ¿son inmunes las autoridades de los bancos nacionales cuando ocurren sucesos de este calibre? ¿Pasaría lo mismo si el robo hubiera ocurrido en un banco privado? Mientras se desarrollan las investigaciones, ¿deben los mandos medios, los superiores y los jerarcas rendir cuentas por lo sucedido? La confianza es el activo más importante en una institución financiera. Toma mucho tiempo ganársela, muy poco perderla y mucho más recuperarla.