Prevención de fraude organizacional y los estándares internacionale
Transcripción
Prevención de fraude organizacional y los estándares internacionale
Jornadas sobre Supervisión electrónica y Tecnología Prevención de fraude organizacional y los estándares internacionales para un buen gobierno corpora8vo en Tecnología Informá8ca Ing. Lilia Liu, CFE, CRISC, COBIT 5 Centro de Formación de la AECID en La An@güa, Guatemala 16 de noviembre de 2015 Contenido (1/2) Prevención del fraude organizacional: 1. Conductas ilícitas y Prác8cas indebidas en el Mercado de Valores 2. Red flags de las personas que cometen fraude 3. Proceso de ejecución del fraude y los 8pos de fraude 4. Fallas de gobierno corpora8vo 5. Caso prác8co de Panamá 6. Checkup de prevención del fraude 7. 10 reglas de oro en la prevención y erradicación del fraude Contenido (2/2) Estándares internacionales de Gobierno Corpora8vo en TI: 1. Gobierno corpora8vo de TI 2. Qué es gobierno de TI 3. La norma ISO 38500 4. COBIT5: concepto y explicación 5. Principios del COBIT5 6. Modelo de implementación a u8lizar en COBIT5 7. Procesos para el gobierno de TI y para la ges8ón de TI La prevención del fraude La prevención es una medida que permite contrarrestar los factores causales del crimen, incluyendo las oportunidades para cometer un delito o contra produc8vas. “Al prevenir se corrige y al corregir se previene, la prevención promueve la rentabilidad”… Carlos Ramírez Acosta Los que pierde una empresa cuando ocurre un fraude Por US$1.00 dólar perdido, una organización pierde adicionalmente otros US $4.00 dólares: • Un dólar actual de pérdida por el ilícito descubierto. • Un segundo dólar se gasta analizando cómo se come8ó (auditoría). • Un tercer dólar se gasta tratando de iden8ficar quién lo come8ó (inves8gación). • Un cuarto dólar se gasta persiguiendo legalmente al responsable (jurídico). • Un quinto dólar se gasta... intentando la recuperación del dólar perdido... Dónde puede haber fraude? Falta de segregación de los recursos en las casas de valores: • Los dineros se mantienen en la contabilidad de la casa de valores • Subcuentas de inversión a nombre de clientes pero los $$$$ no están ahí Insider Trading o utilización indebida de información privilegiada en Actividad Regulada: • Utilizando información que nadie más conocía o que la conocían muy pocos. Boiler rooms: • Utilizan las llamadas telefónicas para estafar a clientes sin contar con una licencia como operador de bolsa. Esquema piramidal o Ponzi: • Un solo promotor o empresa. • Los beneficios financieros no están bien documentados. • Prometen beneficios altos en corto plazo de tiempo. • Dirigido a un público no financieramente responsable. Manipulación de los estados financieros: • Las cifras en libros no es la misma que se encuentra en los sistemas informáticos. Grandes Escándalos Financieros Escándalos en mercado de valores Conductas ilícitas y atentorias a la estabilidad del mercado de valores • • • • • • • • Desvío de dineros de clientes Manipulación de los precios o bursatilidad de acciones Uso indebido de información privilegiada (Insider Trading) Aparentar ofertas y demandas sobre un título valor (Wash Sale) Churning Crossed Sale – Crossed Trade Alteración de estados financieros e información financiera Scams, Esquemas Ponzi, Boiler Rooms Prác8cas indebidas 1. 2. 3. 4. 5. 6. 7. 8. Actos fraudulentos o engañosos Declaraciones falsas y omisiones de emisores Declaraciones falsas y declaraciones oferentes Declaraciones falsas y omisiones en relación con poderes de voto Registros, informes y demás documentos presentados a la Comisión Manipulación Promoción de valores sin divulgar que se recibe un beneficio Falsificación de libros de registros de contabilidad o de información financiera Fuente: Superintendencia del Mercado de Valores de Panamá hfp://www.supervalores.gob.pa/educacion-‐al-‐inversionista/icomo-‐detectar-‐fraudes ¿Qué hay en común en los fraudes? Los fraudes y los ilícitos internos comparten tres elementos en común: 1. Ha sido confiada información, valores o propiedades a una persona. 2. La persona se aprovecha de esta condición para un uso personal 3. Lo hace sin el permiso del dueño del bien. El triángulo del fraude Controles débiles Empleados en posiciones de confianza Financieras Personales Obje8vos irreales La ac8vidad no es criminal, Todo el mundo lo hace Fallas de Gobierno Corpora8vo A. Naturaleza de las sociedades involucradas Algunas compañías estaban experimentado pérdidas en periodos antes del fraude. B. Naturaleza del ambiente de control administración y direc@va. 1. Los ejecu8vos claves estaban frecuentemente involucrados. 2. Los comités de auditoría se reunían una vez al año o la compañía no tenia comité de auditoría 3. La junta direc8va son dominadas por insiders y directores no independientes con propiedad accionaria significa8va y aparentemente poca experiencia como directores de compañías. 4. Relaciones familiares entre directores y o dignatarios son bastante comunes así como individuos que aparentemente 8enen poder significa8vo. Fuente: Estudio de gobierno corpora8vo 2003, Carlos Barsallo Fallas de Gobierno Corpora8vo C. Naturaleza del fraude. 1. La mayoría de los fraudes no están aislados a un solo periodo fiscal. 2. Las técnicas lpicas de fraudes incluyen una sobre es8mación de los ingresos y ac8vos. 3. La mitad de los fraudes incluyen sobre es8mación de ingresos al registrar ingresos prematura o fic8ciamente. Muchos de esos fraudes de ingresos solo afectan transacciones registradas justo al final del periodo (trimestre o año fiscal). 4. Cerca de la mitad de los fraudes también envuelven sobre es8mar los ac8vos, el valor del inventario y registrar ac8vos que no exislan. Fuente: Estudio de gobierno corpora8vo 2003, Carlos Barsallo “Red flags” Caracterís8cas que presentan las personas que cometen fraude 1. Presión de grupo o estatus social 2. Alto grado de endeudamiento o adicciones 3. Resen8mientos con sus superiores 4. Amistades nuevas poco inusuales 5. Prendas abundantes costosas 6. Llamadas telefónicas al trabajo, que lo ponen nervioso o irritado 7. Realización de fiestas con mayor frecuencia 8. Asistencia frecuente a si8os costosos 9. Vivir por encima de su nivel económico 10. Despreocupación por asuntos de trabajo 11. Ha iniciado a hablar mal de la empresa 12. Trabajo irregular y patrones de viaje, en especial a paraísos fiscales 13. Ser dueño o inversionista en negocios que generan efec8vo 14. U8lizar nombres de terceros para comprar ac8vos Fraude en el Mercado de Valores CASO PRÁCTICO EN PANAMÁ hfp://www.supervalores.gob.pa/afachments/ar8cle/2835/776_02.pdf Una Respuesta Apropiada • La prevención es el 80% de la solución • Evaluación objetiva de los procesos de prevención de fraude de la entidad • Acciones inmediatas para regularizar deficiencias gaps/ breakdowns • Testeo Anual • Continua educación y entrenamiento anti-fraude (clave principal en la prevención del fraude) ACFE es la principal y mayor organización an@-‐fraude en el mundo, con cerca de 75,000 miembros en más de 150 países, que agrupa a especialistas, inves@gadores, auditores, académicos, abogados, contadores, peritos, consultores y profesionales interesados en el tema. El obje@vo de la ACFE es servir a la comunidad a través de la expansión del conocimiento y la educación con@nua en temas vinculados a la prevención, detección, inves@gación y disuasión de fraudes y el combate a la corrupción. Checkup del analista para la Prevención de Fraude • Checkup de alto nivel de los procesos de prevención de fraude de la entidad • Check-list detallado disponible en www.ACFE.com • Identifica principales falencias/debilidades • Provee puntaje final Herramienta muy útil para las entidades Checkup de Prevención del Fraude • Los 7 elementos: – Monitoreo del Riesgo de Fraude (20 pts) – Responsabilidad sobre el Riesgo de Fraude (10 pts) – Evaluación del Riesgo de Fraude (10 pts) – Tolerancia al Riesgo de Fraude y Política de Gerenciamiento de Riesgo (10 pts) – Controles a Nivel de Procesos/Reingeniería antifraude (10 pts) – Ambiente de Control (30 pts) – Detección Proactiva de Fraude (10 pts) Beneficios para las Entidades que Utilicen esta Herramienta • Provee información interna que la Gerencia Administrativa, la Junta Directiva y el Comité de Auditoría valorará. • Puede salvar a la entidad de catastróficas pérdidas financieras y reputacionales. • Puede ayudar a consolidar la confianza tanto interna como externamente. • Es simple y sus costos son insignificantes. Elementos importantes en la Prevención del Fraude 1. Procedimientos de Recursos Humanos: • Ejecución de investigación de historiales • Entrenamiento Anti-fraude • Evaluación los programas de desempeño y compensaciones • Conducción de entrevistas de salidas (terminación de empleados) 2. Límites de autoridad: • La ausencia de actividades de control • Falta de segregación de funciones 3. Procedimientos de nivel transaccional: • Revisión de transacciones de terceros y transacciones de partes relacionadas. 4. Documentación de las técnicas de prevención del fraude Herramientas utilizadas por los investigadores 10 Reglas de oro para la prevención y erradicación del fraude 10 Reglas de oro para la prevención y erradicación del fraude Regla No. 1: Nunca sobreestime Regla No. 2: Nunca reemplace la debida diligencia con la automatización Regla No. 3: El sabor local es importante Regla No. 4: Las noticias locales son una fuente de conocimiento Regla No. 5: Realice entrevistas 10 Reglas de oro para la prevención y erradicación del fraude Regla No. 6: Practique el arte de observar y escuchar Regla No. 7: Alerta con las distracciones Regla No. 8: Alcance el sentido común lo mejor que se pueda Regla No. 9: La causa raíz es la teoría del análisis Regla No. 10: Reducir lapsos en los procesos Ejemplo de una política de fraude http://www.acfe.com/uploadedFiles/ACFE_Website/ Content/documents/Sample_Fraud_Policy.pdf Estándares internacionales en Gobierno corporativo de TI Gobierno corporativo de TI El G obierno de TI es “el sistema mediante el cual se dirige y controla el uso actual y futuro de la TI”. El Gobierno de TI es un subconjunto del gobierno corpora8vo. Un subconjunto integrado en toda la estructura y ac8vidades del gobierno corpora8vo; no un subconjunto segregado y exento, como si fuera una isla colonial o una sucursal. Es ‘gobierno corpora8vo de TI’. COBIT 5 COBIT5 es un marco de referencia en TI, proporciona un marco integral que ayuda a las Organizaciones a lograr su metas y entregar v a l o r m e d i a n t e u n g o b i e r n o y u n a administración efec8vos de la TI de la Organización. COBIT 5: Ahora un único Marco Empresarial Completo for Evolución del Alcance Gobierno Corpora@vo de TI Gobierno de TI Val IT 2.0 Administración (2008) Control Risk IT (2009) Auditoría COBIT1 1996 COBIT2 1998 COBIT3 2000 COBIT4.0/4.1 2005/7 COBIT 5 2012 Un Marco Empresarial de ISACA, en www.isaca.org/cobit © 2012 ISACA® Todos los derechos reservados. 33 COBIT 5 Los principios de COBIT 5 1. Satisfacer las necesidades de las partes interesadas 5. Separar el Gobierno de la Administración 2. Cubrir la Organización de forma integral Principios de COBIT 5 4. Habilitar un enfoque holistico 3. Aplicar un solo marco integrado Principio 1: Sa@sfacer las necesidades de las partes interesadas El sistema de Gobierno deberá considerar a todas las partes interesadas al tomar decisiones con respecto a la evaluación de riesgos, los beneficios y el manejo de recursos. Para cada decisión se puede, y se debe, hacer las siguientes preguntas: - ¿Quién recibe los beneficios? - ¿Quién asume el riesgo? - ¿Qué recursos se necesitan? Las necesidades de las Partes Interesadas deben ser transformadas en una estrategia accionable para la Organización. Las metas en cascada de COBIT 5 traducen las necesidades de las Partes Interesadas en metas específicas, accionables y personalizadas dentro del contexto de la Organización, de las metas relacionadas con la TI y de las metas habilitadoras. Impulsadores de las Partes Interesadas (Medio Ambiente, Evolución Tecnológica, …) Influencian Necesidades de las Partes Interesadas Realización Optimización de Beneficios de Riesgos Optimización de Recursos Metas de la Organización Pasan a Metas Relacionadas con TI Pasan a Metas Habilitadoras Fuente: COBIT® 5, Figura 4. © 2012 ISACA® Todos los derechos reservados 36 Principio 2: Cubrir la Compañía de Forma Integral Objec8vo del Gobierno: Creación de Valor Realización de Beneficios Los Componentes Claves de un Sistema de Gobierno Optimización de Riesgos Habilitadores de Gobierno Optimización de Recursos Alcance del Gobierno Roles, Actividades y Relaciones Fuente COBIT® 5, Figura 8. © 2012 ISACA® Todos los derechos reservados. Roles, Actividades y Relaciones Dueños y Partes Interesadas Delegan Rendición de Cuentas Ente Regulador Fijar Directivas Administración Monitorear Fuente COBIT® 5, Figura 9. © 2012 ISACA® Todos los derechos reservados. Instruir y Alinear Informar Operaciones y Ejecución Principio 3. Aplicar un único Marco Integrado • COBIT 5 está alineado con los úl8mos marcos y normas relevantes usados por las organizaciones: – Corpora8vo: COSO, COSO ERM, ISO/IEC 9000, ISO/IEC 31000 – Relacionado con TI: ISO/IEC 38500, ITIL, la serie ISO/IEC 27000, TOGAF, PMBOK/PRINCE2, CMMI – Etc. • Así se permite a la Organización u8lizar COBIT 5 como integrador macro en el marco de gobierno y administración. 38 Principio 4. Habilitar un Enfoque Holís@co 2. Procesos 3. Estructuras Organizacionales 4. Cultura, Ética y Comportamiento 1. Principios, Políticas y Marcos 5. Información 6. Servicios, Infraestructura y Aplicaciones 7. Personas, Habilidades y Competencias RECURSOS Fuente: COBIT® 5, Figura 12. © 2012 ISACA® Todos derechos reservados. 39 Principio 4. Habilitar un Enfoque Holís@co. 1. Procesos – Describen una serie organizada de prác8cas y ac8vidades para lograr determinados obje8vos y producir una serie de resultados como apoyo al logro de las metas globales relacionadas con la TI. 2. Estructuras Organizacionales – Cons8tuyen las en8dades claves para la toma de decisiones en una organización. 3. Cultura, É@ca y Comportamiento – De los individuos así como de la organización; se subes8ma frecuentemente como factor de éxito en las ac8vidades de gobierno y administración. 4. Principios, Polí@cas y Marcos – Son los vehículos para traducir el comportamiento deseado en una orientación prác8ca para la administración diaria. 5. Información – Se encuentra presente en todo el ambiente de cualquier organización; o sea se trata de toda la información producida y usada por la Organización. La información es requerida para mantener la organización andando y bien gobernada, pero a nivel opera8vo, la información frecuentemente es el producto clave de la organización en si. 6. Servicios, Infraestructura y Aplicaciones – Incluyen la infraestructura, la tecnología y las aplicaciones que proporcionan servicios y procesamiento de tecnología de la información a la organización. 7. Personas, Habilidades y Competencias – Están vinculadas con las personas y son requeridas para completar exitosamente todas las ac8vidades y para tomar las decisiones correctas, así como para llevar a cabo las acciones correc8vas. 40 Principio 4. Habilitar un Enfoque Holís@co Las Dimensiones Habilitadores de COBIT 5: • Todos los habilitadores 8enen una serie de dimensiones comunes. Dicha serie de dimensiones comunes: Administración del Desempeño de los Habilitadores Dimensión de Habilitadores – Proporciona una manera común, sencilla y estructurada para tratar los habilitadores – Permite a una en8dad manejar sus interacciones complejas – Facilita resultados exitosos de los habilitadores Metas Partes Interesadas • Calidad Intrínseca • Calidad Contextual (Relevancia, Efec8vidad) • Accesabilidad y Seguridad • Internas • Externas ¿Se atienden las Necesidades de las Partes Interesadas? ¿Se Logran las Metas de los Habilitadores? Métricas para el Logro de las Metas de Resultados) (Indicadores Vida Ciclo de Buenas Prácticas • Planificar • Diseñar • Construir/Adquirir/ Crear/Implementar • Usar/Operar • Evaluar/Monitorear • Actualizar/Disponer ¿Se administra el Ciclo de Vida? • Prác8cas • Productos de Trabajo (Entradas/Salidas) ¿Se aplican Buenas Prácticas? Métricas para de Prácticas la Aplicación de Desempeño) (Indicadores Fuente: COBIT® 5, Figura 13. © 2012 ISACA® Todos derechos reservados. Principio 5. Separar el Gobierno de la Administración. COBIT 5 no es obligatorio, pero propone que las organizaciones implementen los procesos de gobierno y administración de tal manera que las áreas claves queden cubiertas, tal como se muestra a con8nuación: Necesidades del Negocio Gobierno Evaluar Dirijir Retroalimentación Gerencial Monitorear Administración Planificar (APO) Construir (BAI) Operar (DSS) Monitorear (MEA) Fuente: COBIT® 5, Figura 15. © 2012 ISACA® Todos derechos reservados. 42 Modelo de implementación a u8lizar para el gobierno TI