Prevención de fraude organizacional y los estándares internacionale

Prevención de fraude organizacional y los estándares internacionale

Jornadas sobre Supervisión electrónica y Tecnología Prevención de fraude organizacional y los estándares internacionales para un buen gobierno corpora8vo en Tecnología Informá8ca Ing. Lilia Liu, CFE, CRISC, COBIT 5 Centro de Formación de la AECID en La An@güa, Guatemala 16 de noviembre de 2015 Contenido (1/2) Prevención del fraude organizacional: 1.  Conductas ilícitas y Prác8cas indebidas en el Mercado de Valores 2.  Red flags de las personas que cometen fraude 3.  Proceso de ejecución del fraude y los 8pos de fraude 4.  Fallas de gobierno corpora8vo 5.  Caso prác8co de Panamá 6.  Checkup de prevención del fraude 7.  10 reglas de oro en la prevención y erradicación del fraude Contenido (2/2) Estándares internacionales de Gobierno Corpora8vo en TI: 1.  Gobierno corpora8vo de TI 2.  Qué es gobierno de TI 3.  La norma ISO 38500 4.  COBIT5: concepto y explicación 5.  Principios del COBIT5 6.  Modelo de implementación a u8lizar en COBIT5 7.  Procesos para el gobierno de TI y para la ges8ón de TI La prevención del fraude La prevención es una medida que permite contrarrestar los factores causales del crimen, incluyendo las oportunidades para cometer un delito o contra produc8vas. “Al prevenir se corrige y al corregir se previene, la prevención promueve la rentabilidad”… Carlos Ramírez Acosta Los que pierde una empresa cuando ocurre un fraude Por US$1.00 dólar perdido, una organización pierde adicionalmente otros US
$4.00 dólares: •  Un dólar actual de pérdida por el ilícito descubierto. •  Un segundo dólar se gasta analizando cómo se come8ó (auditoría). •  Un tercer dólar se gasta tratando de iden8ficar quién lo come8ó (inves8gación). •  Un cuarto dólar se gasta persiguiendo legalmente al responsable (jurídico). •  Un quinto dólar se gasta... intentando la recuperación del dólar perdido... Dónde puede haber fraude? Falta de segregación de los recursos en las casas de valores:
•  Los dineros se mantienen en la contabilidad de la casa de valores
•  Subcuentas de inversión a nombre de clientes pero los $$$$ no están ahí
Insider Trading o utilización indebida de información privilegiada en Actividad Regulada:
•  Utilizando información que nadie más conocía o que la conocían muy pocos.
Boiler rooms:
•  Utilizan las llamadas telefónicas para estafar a clientes sin contar con una licencia
como operador de bolsa.
Esquema piramidal o Ponzi:
•  Un solo promotor o empresa.
•  Los beneficios financieros no están bien documentados.
•  Prometen beneficios altos en corto plazo de tiempo.
•  Dirigido a un público no financieramente responsable.
Manipulación de los estados financieros:
•  Las cifras en libros no es la misma que se encuentra en los sistemas informáticos.
Grandes Escándalos Financieros Escándalos en mercado de valores Conductas ilícitas y atentorias a la estabilidad del mercado de valores • 
• 
• 
• 
• 
• 
• 
• 
Desvío de dineros de clientes
Manipulación de los precios o bursatilidad de acciones
Uso indebido de información privilegiada (Insider Trading)
Aparentar ofertas y demandas sobre un título valor (Wash Sale)
Churning
Crossed Sale – Crossed Trade
Alteración de estados financieros e información financiera
Scams, Esquemas Ponzi, Boiler Rooms
Prác8cas indebidas 1. 
2. 
3. 
4. 
5. 
6. 
7. 
8. 
Actos fraudulentos o engañosos Declaraciones falsas y omisiones de emisores Declaraciones falsas y declaraciones oferentes Declaraciones falsas y omisiones en relación con poderes de voto Registros, informes y demás documentos presentados a la Comisión Manipulación Promoción de valores sin divulgar que se recibe un beneficio Falsificación de libros de registros de contabilidad o de información financiera Fuente: Superintendencia del Mercado de Valores de Panamá hfp://www.supervalores.gob.pa/educacion-­‐al-­‐inversionista/icomo-­‐detectar-­‐fraudes ¿Qué hay en común en los fraudes? Los fraudes y los ilícitos internos comparten tres elementos en común: 1.  Ha sido confiada información, valores o propiedades a una persona. 2.  La persona se aprovecha de esta condición para un uso personal 3.  Lo hace sin el permiso del dueño del bien. El triángulo del fraude Controles débiles Empleados en posiciones de confianza Financieras Personales Obje8vos irreales La ac8vidad no es criminal, Todo el mundo lo hace Fallas de Gobierno Corpora8vo A. Naturaleza de las sociedades involucradas Algunas compañías estaban experimentado pérdidas en periodos antes del fraude. B. Naturaleza del ambiente de control administración y direc@va. 1.  Los ejecu8vos claves estaban frecuentemente involucrados. 2.  Los comités de auditoría se reunían una vez al año o la compañía no tenia comité de auditoría 3.  La junta direc8va son dominadas por insiders y directores no independientes con propiedad accionaria significa8va y aparentemente poca experiencia como directores de compañías. 4.  Relaciones familiares entre directores y o dignatarios son bastante comunes así como individuos que aparentemente 8enen poder significa8vo. Fuente: Estudio de gobierno corpora8vo 2003, Carlos Barsallo Fallas de Gobierno Corpora8vo C.  Naturaleza del fraude. 1.  La mayoría de los fraudes no están aislados a un solo periodo fiscal. 2.  Las técnicas lpicas de fraudes incluyen una sobre es8mación de los ingresos y ac8vos. 3.  La mitad de los fraudes incluyen sobre es8mación de ingresos al registrar ingresos prematura o fic8ciamente. Muchos de esos fraudes de ingresos solo afectan transacciones registradas justo al final del periodo (trimestre o año fiscal). 4.  Cerca de la mitad de los fraudes también envuelven sobre es8mar los ac8vos, el valor del inventario y registrar ac8vos que no exislan. Fuente: Estudio de gobierno corpora8vo 2003, Carlos Barsallo “Red flags” Caracterís8cas que presentan las personas que cometen fraude 1.  Presión de grupo o estatus social 2.  Alto grado de endeudamiento o adicciones 3.  Resen8mientos con sus superiores 4.  Amistades nuevas poco inusuales 5.  Prendas abundantes costosas 6.  Llamadas telefónicas al trabajo, que lo ponen nervioso o irritado 7.  Realización de fiestas con mayor frecuencia 8.  Asistencia frecuente a si8os costosos 9.  Vivir por encima de su nivel económico 10. Despreocupación por asuntos de trabajo 11. Ha iniciado a hablar mal de la empresa 12. Trabajo irregular y patrones de viaje, en especial a paraísos fiscales 13. Ser dueño o inversionista en negocios que generan efec8vo 14. U8lizar nombres de terceros para comprar ac8vos Fraude en el Mercado de Valores CASO PRÁCTICO EN PANAMÁ hfp://www.supervalores.gob.pa/afachments/ar8cle/2835/776_02.pdf Una Respuesta Apropiada
•  La prevención es el 80% de la solución
•  Evaluación objetiva de los procesos de prevención de fraude
de la entidad
•  Acciones inmediatas para regularizar deficiencias gaps/
breakdowns
•  Testeo Anual
•  Continua educación y entrenamiento anti-fraude (clave
principal en la prevención del fraude)
ACFE es la principal y mayor organización an@-­‐fraude en el mundo, con cerca de 75,000 miembros en más de 150 países, que agrupa a especialistas, inves@gadores, auditores, académicos, abogados, contadores, peritos, consultores y profesionales interesados en el tema. El obje@vo de la ACFE es servir a la comunidad a través de la expansión del conocimiento y la educación con@nua en temas vinculados a la prevención, detección, inves@gación y disuasión de fraudes y el combate a la corrupción. Checkup del analista para la
Prevención de Fraude
• 
Checkup
de alto nivel de los procesos de prevención
de fraude de la entidad
•  Check-list detallado disponible en www.ACFE.com
•  Identifica principales falencias/debilidades
•  Provee puntaje final
Herramienta muy útil para las entidades
Checkup de Prevención del Fraude
•  Los 7 elementos:
–  Monitoreo del Riesgo de Fraude (20 pts)
–  Responsabilidad sobre el Riesgo de Fraude (10 pts)
–  Evaluación del Riesgo de Fraude (10 pts)
–  Tolerancia al Riesgo de Fraude y Política de
Gerenciamiento de Riesgo (10 pts)
–  Controles a Nivel de Procesos/Reingeniería antifraude (10 pts)
–  Ambiente de Control (30 pts)
–  Detección Proactiva de Fraude (10 pts)
Beneficios para las Entidades que
Utilicen esta Herramienta
•  Provee información interna que la Gerencia
Administrativa, la Junta Directiva y el Comité de
Auditoría valorará.
•  Puede salvar a la entidad de catastróficas pérdidas
financieras y reputacionales.
•  Puede ayudar a consolidar la confianza tanto interna
como externamente.
•  Es simple y sus costos son insignificantes.
Elementos importantes en la
Prevención del Fraude
1.  Procedimientos de Recursos Humanos:
•  Ejecución de investigación de historiales
•  Entrenamiento Anti-fraude
•  Evaluación los programas de desempeño y compensaciones
•  Conducción de entrevistas de salidas (terminación de empleados)
2.  Límites de autoridad:
•  La ausencia de actividades de control
•  Falta de segregación de funciones
3.  Procedimientos de nivel transaccional:
•  Revisión de transacciones de terceros y transacciones de partes
relacionadas.
4.  Documentación de las técnicas de prevención del fraude
Herramientas utilizadas
por los investigadores
10 Reglas de oro para la prevención
y erradicación del fraude
10 Reglas de oro para la prevención y
erradicación del fraude
Regla
No. 1: Nunca sobreestime
Regla No. 2: Nunca reemplace la debida diligencia con
la automatización
Regla No. 3: El sabor local es importante
Regla No. 4: Las noticias locales son una fuente de
conocimiento
Regla No. 5: Realice entrevistas
10 Reglas de oro para la prevención y
erradicación del fraude
Regla
No. 6: Practique el arte de observar y escuchar
Regla No. 7: Alerta con las distracciones
Regla No. 8: Alcance el sentido común lo mejor que se
pueda
Regla No. 9: La causa raíz es la teoría del análisis
Regla No. 10: Reducir lapsos en los procesos
Ejemplo de una política de fraude
http://www.acfe.com/uploadedFiles/ACFE_Website/
Content/documents/Sample_Fraud_Policy.pdf
Estándares internacionales en
Gobierno corporativo de TI
Gobierno corporativo de TI
El G obierno de TI es “el sistema mediante el cual se dirige y controla el uso actual y futuro de la TI”. El Gobierno de TI es un subconjunto del gobierno corpora8vo. Un subconjunto integrado en toda la estructura y ac8vidades del gobierno corpora8vo; no un subconjunto segregado y exento, como si fuera una isla colonial o una sucursal. Es ‘gobierno corpora8vo de TI’. COBIT 5 COBIT5 es un marco de referencia en TI, proporciona un marco integral que ayuda a las Organizaciones a lograr su metas y entregar v a l o r m e d i a n t e u n g o b i e r n o y u n a administración efec8vos de la TI de la Organización. COBIT 5: Ahora un único Marco Empresarial Completo
for Evolución del Alcance
Gobierno Corpora@vo de TI Gobierno de TI
Val IT 2.0
Administración
(2008)
Control
Risk IT
(2009)
Auditoría
COBIT1
1996
COBIT2
1998
COBIT3
2000
COBIT4.0/4.1
2005/7
COBIT 5 2012
Un Marco Empresarial de ISACA, en www.isaca.org/cobit © 2012 ISACA® Todos los derechos reservados. 33
COBIT 5 Los principios de COBIT 5 1. Satisfacer
las
necesidades
de las partes
interesadas
5. Separar el
Gobierno de la
Administración
2. Cubrir la
Organización de
forma integral
Principios
de COBIT 5
4. Habilitar
un enfoque
holistico
3. Aplicar un
solo marco
integrado
Principio 1: Sa@sfacer las necesidades de las partes interesadas El sistema de Gobierno deberá considerar a todas las partes interesadas al tomar decisiones con respecto a la evaluación de riesgos, los beneficios y el manejo de recursos. Para cada decisión se puede, y se debe, hacer las siguientes preguntas: -  ¿Quién recibe los beneficios? -  ¿Quién asume el riesgo? -  ¿Qué recursos se necesitan? Las necesidades de las Partes Interesadas deben ser transformadas en una estrategia accionable para la Organización. Las metas en cascada de COBIT 5 traducen las necesidades de las Partes Interesadas en metas específicas, accionables y personalizadas dentro del contexto de la Organización, de las metas relacionadas con la TI y de las metas habilitadoras. Impulsadores de las Partes Interesadas
(Medio Ambiente, Evolución Tecnológica, …)
Influencian
Necesidades de las Partes
Interesadas
Realización Optimización
de Beneficios de Riesgos
Optimización
de Recursos
Metas de la Organización
Pasan a
Metas Relacionadas con TI
Pasan a
Metas Habilitadoras
Fuente: COBIT® 5, Figura 4. © 2012 ISACA® Todos los derechos reservados 36
Principio 2: Cubrir la Compañía de Forma Integral Objec8vo del Gobierno: Creación de Valor Realización
de Beneficios
Los Componentes Claves de un Sistema de Gobierno Optimización
de Riesgos
Habilitadores
de Gobierno
Optimización
de Recursos
Alcance del
Gobierno
Roles, Actividades y Relaciones
Fuente COBIT® 5, Figura 8. © 2012 ISACA® Todos los derechos reservados. Roles, Actividades y Relaciones
Dueños y
Partes
Interesadas
Delegan
Rendición de
Cuentas
Ente
Regulador
Fijar
Directivas
Administración
Monitorear
Fuente COBIT® 5, Figura 9. © 2012 ISACA® Todos los derechos reservados. Instruir y
Alinear
Informar
Operaciones
y
Ejecución
Principio 3. Aplicar un único Marco Integrado •  COBIT 5 está alineado con los úl8mos marcos y normas relevantes usados por las organizaciones: –  Corpora8vo: COSO, COSO ERM, ISO/IEC 9000, ISO/IEC 31000 –  Relacionado con TI: ISO/IEC 38500, ITIL, la serie ISO/IEC 27000, TOGAF, PMBOK/PRINCE2, CMMI –  Etc. •  Así se permite a la Organización u8lizar COBIT 5 como integrador macro en el marco de gobierno y administración. 38
Principio 4. Habilitar un Enfoque Holís@co 2. Procesos
3. Estructuras
Organizacionales
4. Cultura, Ética
y Comportamiento
1. Principios, Políticas y Marcos
5. Información
6. Servicios,
Infraestructura
y Aplicaciones
7. Personas,
Habilidades
y Competencias
RECURSOS
Fuente: COBIT® 5, Figura 12. © 2012 ISACA® Todos derechos reservados. 39
Principio 4. Habilitar un Enfoque Holís@co. 1.  Procesos – Describen una serie organizada de prác8cas y ac8vidades para lograr determinados obje8vos y producir una serie de resultados como apoyo al logro de las metas globales relacionadas con la TI. 2.  Estructuras Organizacionales – Cons8tuyen las en8dades claves para la toma de decisiones en una organización. 3.  Cultura, É@ca y Comportamiento – De los individuos así como de la organización; se subes8ma frecuentemente como factor de éxito en las ac8vidades de gobierno y administración. 4.  Principios, Polí@cas y Marcos – Son los vehículos para traducir el comportamiento deseado en una orientación prác8ca para la administración diaria. 5.  Información – Se encuentra presente en todo el ambiente de cualquier organización; o sea se trata de toda la información producida y usada por la Organización. La información es requerida para mantener la organización andando y bien gobernada, pero a nivel opera8vo, la información frecuentemente es el producto clave de la organización en si. 6.  Servicios, Infraestructura y Aplicaciones – Incluyen la infraestructura, la tecnología y las aplicaciones que proporcionan servicios y procesamiento de tecnología de la información a la organización. 7.  Personas, Habilidades y Competencias – Están vinculadas con las personas y son requeridas para completar exitosamente todas las ac8vidades y para tomar las decisiones correctas, así como para llevar a cabo las acciones correc8vas. 40
Principio 4. Habilitar un Enfoque Holís@co Las Dimensiones Habilitadores de COBIT 5: •  Todos los habilitadores 8enen una serie de dimensiones comunes. Dicha serie de dimensiones comunes: Administración del
Desempeño de los
Habilitadores
Dimensión
de
Habilitadores
–  Proporciona una manera común, sencilla y estructurada para tratar los habilitadores –  Permite a una en8dad manejar sus interacciones complejas –  Facilita resultados exitosos de los habilitadores Metas
Partes
Interesadas
•  Calidad Intrínseca •  Calidad Contextual (Relevancia, Efec8vidad) •  Accesabilidad y Seguridad •  Internas •  Externas ¿Se atienden las
Necesidades
de las
Partes Interesadas?
¿Se Logran las Metas
de los Habilitadores?
Métricas para
el Logro de
las Metas
de Resultados)
(Indicadores
Vida
Ciclo de
Buenas Prácticas
•  Planificar •  Diseñar • Construir/Adquirir/ Crear/Implementar •  Usar/Operar •  Evaluar/Monitorear •  Actualizar/Disponer ¿Se administra el
Ciclo de Vida?
•  Prác8cas •  Productos de Trabajo (Entradas/Salidas) ¿Se aplican Buenas
Prácticas?
Métricas para
de Prácticas
la Aplicación
de Desempeño)
(Indicadores
Fuente: COBIT® 5, Figura 13. © 2012 ISACA® Todos derechos reservados. Principio 5. Separar el Gobierno de la Administración. COBIT 5 no es obligatorio, pero propone que las organizaciones implementen los procesos de gobierno y administración de tal manera que las áreas claves queden cubiertas, tal como se muestra a con8nuación: Necesidades del Negocio Gobierno
Evaluar
Dirijir
Retroalimentación Gerencial Monitorear
Administración
Planificar
(APO)
Construir
(BAI)
Operar
(DSS)
Monitorear
(MEA)
Fuente: COBIT® 5, Figura 15. © 2012 ISACA® Todos derechos reservados. 42
Modelo de implementación a u8lizar para el gobierno TI