conferencia colegio de economistas de madrid

Sistemas de Control Interno

y Detección de Fraude

Asesoramiento en Procesos de Gestión Empresarial

Noviembre 2015

Ponente: Carlos Alberto Barrios L.

Contenido programático

• Riesgos en el entorno empresarial actual

• El fraude y su impacto en la organización

• La tecnología como elemento de riesgo y fraude

• La administración del riesgo y el control interno en las organizaciones, enfoques para minimizar los niveles de exposición

• Señales de alerta en los procesos de negocios.

2

Según algunas encuestas referentes a delitos económicos entre

2011/2014, en España un 32% de los encuestados declaró al menos un

fraude en el último año, 55% declaró un incremento de ese delito. Un

64% de los delitos económicos fueron de origen interno, y de estos en

un 70% hubo más de un involucrado.

En la EU se incrementó en más de un 38% y a nivel global un 44%

durante los pasados 5 años.

Riesgos en el entorno empresarial

3 Fuentes: Anexo 1

De las empresas donde se sucedió un evento que hicieron cuando lo

detectaron?

Acciones contra el perpetrador interno:

•Un 70% calificó un despido, un 64% tomó acción policial/civil, un

5% no hizo nada, un 11% lo amonestó, un 4% lo traslado

internamente.

Acciones contra el perpetrador externo:

•Un 40% notificó a entes reguladores, un 63% tomó acción

policial/civil, un 32% no hizo nada, un 36% cesó relación comercial.

4


Fuentes: Anexo 1

Y…porqué hacemos tan poco: un 27% indicó que es costoso, un 17%

que no tiene valor, un 21% desconoce el valor de una revisión de

procesos y controles internos y un 25% simplemente no sabe.

Los tipos de fraude más comunes se identificaron el fraude fiscal 5%,

la manipulación contable 11%, transacciones no autorizadas 8%,

apropiación indebida de activos 38%, utilización indebida del crédito

16%.

5


Fuentes: Anexo 1

Un 69% de los fraudes fue para mantener su estilo de vida, 34% por

inacción gerencial y 39% acciones anti-empresarial.

Se considera que el 80% de la población es factible se involucre

en actividades ilegales, un 10% muy poco probable y otro 10% es

totalmente probable su participación en un hecho ilícito.


6 Fuentes: Anexo 1

Un proceso lo podemos definir como una grupo de actividades,

tareas, políticas y normas, diseñadas lógica y sincronizadamente

ejecutadas por la organización para alcanzar un objetivo especifico.

El riesgo podemos definirlo como la posibilidad cierta que un evento

interno o externo, no necesariamente adverso, identificado o no,

pudiera afectar la capacidad de una organización a alcanzar sus

objetivos.

7


Nuestros procesos de negocio están soportadas en diversas plataformas

tecnológicas y en muchos casos los usuarios lo ejecutan de acuerdo a

su criterio y entendimiento, muchas veces violentando las políticas y

normas internas así como los controles existentes, sustentándolas en

Excel u otras herramientas de su conocimiento y dominio, incluso

sobreponiéndolas a los sistemas que soportan el proceso


8

Pueden ser múltiples las causas, como desconocimiento los procesos y

las interrelaciones de estos, desconocimiento intencional o no de los

controles, capacitación inadecuada en el uso de los sistemas de

información, errores o inconsistencias en el procesamiento manual o

automático o en la configuración de los sistemas de gestión, usos y

costumbres empresariales laxas o..todas las anteriores.

Esto lo conocemos como debilidades de control


9

El fraude ocurre cuando una persona engaña intencionalmente, y puede

implicar la mentira, la manipulación de la verdad, falsificación o

alteración de registros o documentos, malversación de activos,

supresión u omisión de los efectos de ciertas transacciones en los

registros o documentos, mala aplicación de políticas contables, abuso

de confianza y su finalidad no necesariamente es económica, sino

reputacional

El fraude y su impacto en la organización

10

En estudios estadísticos en la UE, reflejan que un 10% de los fraudes

son realizados por personal directivo y un 30 % gerencial, 71%

masculino, 55% universitarios, entre 3 y 5 años en la organización y

provocaron un 75% de las pérdidas.

El 60% de los fraudes son provocados por gerencia media, empleados y

obreros, causando un 25% de las pérdidas.


11 Fuentes: Anexo 1

Se han establecido tres condicionales básicas para que el fraude ocurra


12

Presión y motivación pueden ser consideradas las causas más

comunes para que una persona cometa fraude.

Nivel de vida y gastos inadecuado, pérdida de la capacidad adquisitiva,

altas deudas, divorcios complicados, incumplimiento de metas,

desestimación y resentimientos de su relación laboral y beneficios

laborales, son consideradas dentro este causal.


13

Entendemos como oportunidad la condición o situación específica y

oportuna que lleva a una persona a cometer fraude.

El exceso de confianza, controles laxos, errados procesos de

autorización, como de verificación y monitoreo así como inconsistencias y

ambigüedad en la segregación de funciones y en el comportamiento ético

y moral de la Administración y/o apoderados, son algunas de las

condiciones que favorecen esta causa.


14

Entendemos como racionalización el proceso de justificación y

aceptación del hecho por parte del perpetrador sin aceptar esto como la

comisión de un delito, ni de él como un transgresor. Él se sigue viendo

como un ser honesto e integro y que no ha quebrantado las leyes, que lo

hizo por causas justas, que reintegrará el dinero o que otros también lo

hacen.


15

El fraude es complejo y difícil de detectar en el momento en que se

sucede, los perpetradores generalmente conocen el entorno, el

movimiento de la empresa, se familiarizan con los sistemas y como

procesarlas así como las debilidades de control que le permiten manipular

las evidencias que los pueden incriminar o peor aún pueden atacar

enmascarándose en terceras personas evadiendo el control.


16

Luces rojas: Gerenciar en crisis constante, transacciones no comunes,

fuera de tiempo, sin sentido lógico, no ejecutado por el usuario normal,

reversos y anulaciones por cantidades o montos individuales inmateriales,

reportes y explicaciones inconsistentes, ambiguas y complejas, alteración

o extravío constante de documentos, cambios en la actitud, conducta y

nivel de vida de los empleados, relaciones interpersonales sospechosas,

pueden ser indicativos que un fraude se puede estar cometiendo.


17

Delito informático, se refiere a aquellas actividades ilícitas que son

ejecutadas mediante la utilización de medios electrónicos, análogos ó

digitales y que tienen como objetivo la malversación de la data para

causar daños morales, económicos y sociales a personas naturales o

jurídicas, con o sin beneficio aparente para el agresor.

La tecnología como elemento de riesgo y fraude

18

Ingreso ilegal a sistemas, intercepción ilegal de redes de datos

(pisching, pharming), redes de telefonía (smishing, vishing),

interferencias y daños en la información (borrado, deterioro, alteración,

malversación, violación, difusión o supresión de data), mal uso de

equipos, chantajes, fraude electrónico, ataques a sistemas (malware,

spyware), violación de los derechos de autor, pornografía infantil, entre

muchos conforma al amplia gama de actividades delictivas.


19

España fue el tercer país del mundo con más de 70.000 ciberataques en el 2014

En España


20 Fuente: Avance de datos de cibercriminalidad 2013; Ministerio del Interior de España; 2013

http://map.norsecorp.com/�

Un control se define como "las normas, estándares, procedimientos,

usos, costumbres y estructuras organizativas, diseñadas para

proporcionar seguridad más que razonable que los objetivos

empresariales se alcanzarán y que los eventos no deseados se

preverán o se detectarán y corregirán, mediante la minimización de los

niveles de exposición a riesgos negativos identificados."

21

La administración del riesgo y el control interno

Las organizaciones requieren de un entendimiento común del riesgo

y la necesidad de adecuados controles que nos proporcionen una

seguridad más que razonables que todos nuestros procesos de

negocios, normas internas, sistemas de gestión y plataformas

actúan de acuerdo a lo esperado, garantizándonos calidad,

consistencia, confiabilidad y oportunidad de las operaciones.


22

La administración adecuada del riesgo nos permitirá incrementar la

confianza en la capacidad de una organización para identificar,

anticipar, dar prioridad y sobrevenir obstáculos en el logro de los

objetivos propuestos.

La administración del riesgo es una etapa más avanzada del

modelo de control interno ya que no solo vela por el proceso en sí,

sino involucra gente y entorno

23


Todos estos modelos de evaluación de riesgos y controles definen y

establecen criterios comunes y ampliamente aceptados para

establecer evaluaciones efectivas sobre el sistema de control interno.

Estableciendo mecanismos para monitorear, evaluar e informar el

control interno, así como roles y responsabilidades de la gerencia.

Establecer objetivos

Identificar y evaluar riesgos

Interrelaciones prevenir, detectar,

monitorear

Evaluar efectividad de los controles internos

Concluir y reportar

24


Como punto de partida debemos conocer las particularidades del

negocio, sus estrategias, procesos y subprocesos, el grado de

integración de estos con sus sistemas, plataformas, políticas y

normas, usos y costumbres.

Estratégicamente debemos conocer el grado de riesgo tolerado y

apetito de riesgo corporativo.

Problemas y riesgos específicos identificados por consultores y

auditores internos y externos.

25


26


27


Debemos saber identificar y documentar los riesgos internos y

externos y que impacto tendrán en caso de suceder, que tan

comprometida está la Administración, que controles detectivos o

preventivos existen para determinar que tan expuesto estamos.

Medios: Matrices de Gestión y Control

Fin: Identificación de los riesgos, impacto, criticidad y exposición

28


29


Relación causa – efecto

30


Niveles de exposición a riesgos identificados por proceso

31


Niveles de exposición a riesgos identificados por entidad

Efectividad del control

Impacto en el negocio

32


Conocidas ya las debilidades y fallas en el control, la organización

deberá determinar que hacer y como solventar los hallazgos para

minimizar los niveles de exposición a niveles aceptables.

Esto puede ser alineando los procesos al entorno y el negocio, mejorar

y adecuar la estructura organizacional, en procesos y sistemas,

capacitar al personal e implementando mecanismos de control y

supervisión estrictos o todas las anteriores.

33


Otro aspecto de gran importancia es determinar la criticidad de

personas, procesos, sistemas y plataformas, con la finalidad de poder

definir concretos planes de acción de recuperación y continuidad de

negocios, en caso de desastres que pudiesen afectar la continuidad

operativa de la organización

34


1. El plan estratégico corporativo fue desarrollado en conjunto con la gerencia y es conocido por los colaboradores.

2. Se ha definido visión y misión empresarial y se han comunicado al personal.

3. Desarrollamos actividades que puedan ser catalogadas como antiéticas o desleales con clientes o proveedores

4. Existen políticas y normas éticas, de conducta y de procesos conocidas y publicadas.

5. Se tienen mecanismos de evaluación y remuneración en base a desempeño, cumplimiento de metas y objetivos factibles.

6. Se han definido planes de capacitación y mejoramiento profesional. 7. Se han identificado factores externos probables que puedan afectar

continuidad de negocio (contingencia y continuidad de procesos y TI)

Señales de alerta corporativas

35

1. Cómo se planifica la venta anual y mensual. 2. Los vendedores participan en proceso de planificación. 3. Cómo se controla la toma de pedidos y su facturación. 4. Quién controla que un pedido no sea duplicado. 5. Se cargan todos los pedidos o solo los que se facturarán. 6. Esta automatizado la liberación de pedidos por disponibilidad o

límite de crédito o inventario. 7. El pedido reserva o disminuye el inventario. 8. Existe backorder como política de despacho, cómo y quién la

controla.

Señales de alerta en ventas, pedidos y facturación

36

1. Quién evalúa y alerta de faltante de inventario. 2. Quién evalúa las fallas por disponibilidad o existencia. 3. Cada cuanto tiempo se realiza inventario físico s/clases. 4. Quién evalúa si las fallas en venta son por errores del presupuesto

de ventas. 5. Quién y cómo se determina los requerimientos de materiales para

producción o ventas. 6. Quién propone la compra sugerida por reposición de inventario. 7. Quién y cómo en almacén monitorea el inventario. 8. Quién y cómo se monitorea que lo comprado se ingresa física y

teóricamente al inventario.

Señales de alerta en inventarios

37

1. Cómo se determina qué y porqué se va a comprar. 2. Existen políticas de compras, proveedores y autorizaciones. 3. Quién evalúa las órdenes de compra abiertas. 4. Quién aprueba las requisiciones emitidas por ventas, almacén o

producción. 5. Cómo es el proceso de selección de proveedores. 6. Quién actualiza la maestra de proveedores. 7. Quién emite y aprueba la orden de compra. Están definidos límites

de delegación financiera para ello. 8. El sistema emite nota de recepción para almacén. 9. Quién coteja que la OC sea similar a la factura y NE. 10. Quién aprueba las diferencias en precios y/o cantidades.

Señales de alerta en compras

38

1. En el proceso de reclutamiento se evalúan antecedentes, recomendaciones y características sicológicas del aspirante.

2. Los candidatos conocen anticipadamente nuestras políticas y normas.

3. Aceptamos familiares directos del personal y/o relaciones personales entre ellos.

4. Corroboramos los pagos por bonificaciones, reintegros de gastos y tickets alimentación.

5. Quién controla la actualización de la maestra de empleados. 6. Tenemos prácticas de préstamos a empleados y monitoreamos el

nivel de vida y gastos.

Señales de alerta capital humano

39

1. Las interfaces a contabilidad es automática o se retranscribe, cómo se concilian cuentas no automáticas.

2. Se pueden modificar contabilizaciones automáticas 3. Quién puede eliminar asientos ya contabilizados. 4. Quién contabiliza y cierra períodos. 5. Los períodos cerrados son bloqueados o se permite abrirlos y

contabilizar nuevamente. 6. Tenemos auditoria externa o hacemos por lo menos revisiones

limitadas externas. 7. Cómo se monitorea la disponibilidad bancaria y concilia bancos 8. Quién y cómo verifica cheques o transferencias devueltas

Señales de alerta en contabilidad y tesorería

40

1. Los accesos a redes de datos, a sistemas y plataformas están jerarquizados.

2. Los servidores críticos están aislados y protegidos por DMZ y firewalls internos y externos.

3. Quienes y como procesan transacciones desde redes remotas, cargas y descarga de datos.

4. Quienes tienen acceso a internet, como se controla el acceso a sites, redes sociales y tiempos de navegación.

5. Cohabitan más de una plataforma de redes/DB/SO. 6. Se está en un proceso de cambio de plataforma o se está

procesando en paralelo. 7. Los desktops, laptos y tablets son diagnosticados por antivirus antes

de autenticarse en la red interna.

Señales de alerta en procesos tecnológicos

41

Podemos concluir indicando que cumplir con las normas de control

interno refuerza el esquema de gobernabilidad empresarial,

mejorará la eficiencia de los procesos y operaciones y de la gestión

empresarial, adicionalmente reforzará nuestros esquemas de

control interno y detección de fraudes.

No es una receta que aplica a todos por igual

No es un seguro contra todo riesgo

Es una buena práctica gerencial

Conclusión

42

Fuentes: Anexo 1

Consultoría y Riesgo Empresarial Administración y Control Interno

2015

Responsable: Carlos Alberto Barrios [email protected] Celular: +34 616 327 443 URL: de.linkedin.com/pub/carlos-barrios/1b/572/9bb Blog: http://notas-del-consultor.blogspot.com

General Martínez Campos 42, bajo 1° y bajo 2° 28010 MADRID. ESPAÑA Teléfono: +34 91 310 00 52/ +34 913 10 43 46 Fax: +34 91 319 17 36/ +34 91 308 34 92

Modelo de Organización y Gestión para la Prevención y Control de Riesgos

mailto:[email protected]�

http://de.linkedin.com/pub/carlos-barrios/1b/572/9bb�

http://notas-del-consultor.blogspot.com/�

Avance de datos de cibercriminalidad 2013; Ministerio del Interior de España; 2013. Global Corruption Barometer 2013; Transparency International.;2013. Automotive Fraud Survey 2014. Moore Stephens; 2014. Homesite; Kaspersky. Homesite; Microsoft. Homesite; Sysmantec. Manual CISSP, SkyllSoft; 2012. Índice de Percepción de Corrupción; Transparency International; 2013; 2014. Informe sobre delitos económicos y fraude empresarial en España; PWC; 2011, 2014. Informe sobre delitos económicos y fraude empresarial en Latinoamérica; PWC; 2011, 2014. 17th Southern African Internal Audit Conference; IIA-PWC; 2014. Las 40 recomendaciones; Grupo de Acciones Financieras GAFI; 2007. Manual de Prevención y control de lavado de activos; Superintendencia Financiera de Colombia; 2013. Internal control-Integrated Framework; COSO; 2013. COBIT- Marco Referencial; COBIT; 2001. Management Guidelines; COBIT; 2005 TOGAF; The Open Group; 2013. Cambios al Modelo SCI COSO 2013; Deloitte; 2013. Practicas para implantar un Gobierno Corporativo; CAF; 2009. Homesite; Association of Certified Fraud Examiners ACFE, 2014. Homesite; Interamerican Community Affairs, 2014. Fraud and Risk Management; KPMG; 2010. Global Anti-bribery and Corrution Survey; KPMG; 2011. Financial Crimes Report; FBI; 2011-2012. The Financial Cost of Healthcare Fraud; BDO; 2010. Methodology for Assesing Compliance with the FATF; Financial Action Task Force on Money Laundering FATF; 2010. Métodos de prevención, detección e investigación de fraudes dentro de las empresas; Universidad de Palermo; 2011. Risk Management; John Hatte; ND.

Anexo 1 Fuentes de información y consulta

conferencia colegio de economistas de madrid

Business