Para cuando la factura llega a su sistema de cuentas por pagar (AP), puede que ya sea demasiado tarde. Esa es la premisa de trabajo que Martin Resch quiere que adopte cada director financiero (CFO) del país. Como Presidente y Director Ejecutivo (CEO) de Cass Information Systems, la firma de St. Louis con 120 años de historia que procesa más de 90.000 millones de dólares en pagos anuales en nombre de sus clientes corporativos, Resch tiene una perspectiva sobre el fraude en pagos que pocos ejecutivos pueden igualar. Lo que observa exige una reescritura fundamental de cómo los equipos financieros piensan sobre el riesgo. "Cada proceso financiero tiene que migrar a un entorno de confianza cero", afirma Resch. "La expectativa debe ser que cada transacción es fraudulenta hasta que se demuestre que no lo es, en contraposición al antiguo modelo de aceptar una transacción como válida hasta que se identifica el fraude."
La Economía de la Confianza Falsificada
La amenaza que la mayoría de las juntas directivas aún no han asimilado no es sofisticada, es barata. En la dark web, los motores de creación de facturas falsas están disponibles a un costo mínimo, precargados con miles de portales de proveedores y con geolocalización para generar convincentes facturas de servicios públicos regionales, como facturas de Pacific Gas and Electric para portales de California y recibos de servicios que son visualmente indistinguibles de los legítimos. La asimetría económica es a lo que Resch vuelve con más frecuencia: construir defensas es costoso y lento, mientras que los ataques se han abaratado.
Esa asimetría ha dejado obsoleta gran parte de la sabiduría convencional en AP. La coincidencia de patrones que antes permitía a los sistemas AP reconocer a los proveedores recurrentes —el tipo de aprendizaje que hacía que una factura de servicios apareciera automáticamente tras la tercera o cuarta aparición— es ahora precisamente la previsibilidad que los motores fraudulentos explotan. La factura ficticia se parece exactamente a la real. Los procesos que antes eran suficientes ya no lo son, y la mayoría de los equipos internos aún no se han recalibrado ante esa realidad.
Visibilidad Primero, Luego Control
La gestión eficaz del control de riesgo en entornos de pago de alto volumen comienza por saber qué está ocurriendo realmente dentro de sus propios sistemas. "Necesita visibilidad y transparencia a través de su flujo de procesos", insiste. "Solo puede controlar esas transacciones si puede verlas." Cada paso del proceso necesita un punto de control definido y un protocolo de excepciones claro. Cuando los datos de pago de un proveedor en una factura entrante difieren de los registrados durante la incorporación, esa discrepancia es la señal. La pregunta es si la organización ha desarrollado la capacidad de detectarlo antes de que el pago salga.
Gran parte de esto se ha vuelto más difícil a medida que los canales de pago se han multiplicado. Donde los tesoreros corporativos antes canalizaban casi todo a través de un único portal bancario con puntos de control estrictos, el CFO actual se enfrenta a una proliferación de redes, cámaras de compensación automatizadas (ACH), transferencias bancarias, tarjetas virtuales, redes en tiempo real y canales de tecnología financiera (fintech) comercializados con la promesa de ingresos por reembolso. Cada nuevo canal es una nueva superficie de ataque. Sobre los reembolsos específicamente, Resch es directo: "La idea de que los reembolsos con tarjeta son una fuente de ingresos o una compensación de gastos está enormemente exagerada."
La Fricción Ahora es una Característica
La implicación para los líderes financieros acostumbrados a optimizar la experiencia del proveedor es incómoda. La confianza cero en los pagos intercambia explícitamente la comodidad por la seguridad en el front end. Se debe exigir a los proveedores que creen perfiles autenticados. La autenticación de dos factores (2FA) en el momento del envío se convierte en el estándar mínimo, y los portales de carga genéricos diseñados para reducir la fricción para nuevos proveedores se convierten en vulnerabilidades. "Quiere que sea más difícil para los proveedores enviar facturas", reconoce Resch, "lo cual no es ideal, pero simplemente ya no puede habilitar un portal genérico para que alguien suba una factura."
La contrapartida se mantiene en el back end. Un proveedor que supera el umbral de incorporación más exigente procesa sin interrupciones y recibe el pago a tiempo. La fricción vive en la puerta, no en el ciclo de pago. Esto tampoco es algo que pueda gestionarse de manera secundaria. "Esto tiene que ser el rol de alguien", afirma Resch sin ambigüedades. "Tienen que apropiarse de ello. Tienen que rendir cuentas sobre el control de riesgo, la transparencia y la visibilidad." Para las organizaciones que no están dispuestas a desarrollar esa capacidad internamente, la respuesta es un socio que ya haya incorporado esos controles en su proceso. Lo que no es una opción, dado lo rápido que se mueve la amenaza, es asumir que el enfoque de ayer manejará la exposición de mañana.
Siga a Martin Resch en LinkedIn o visite Cass Information Systems para obtener más información sobre la gestión del riesgo en pagos, los controles de transacciones de alto volumen y la construcción de marcos de confianza cero que protejan las cuentas por pagar empresariales.
