Prevención)de)fraude)organizacional)y)los) estándares ... · Dónde)puede)haber)fraude? Falta de...

Prevención de fraude organizacional y los estándares internacionales para un buen gobierno

corpora8vo en Tecnología Informá8ca

Jornadas sobre Supervisión electrónica y Tecnología

Centro de Formación de la AECID en La An@güa, Guatemala

16 de noviembre de 2015

Ing. Lilia Liu, CFE, CRISC, COBIT 5

Contenido (1/2) Prevención del fraude organizacional: 1.  Conductas ilícitas y Prác8cas indebidas en el Mercado

de Valores 2.  Red flags de las personas que cometen fraude 3.  Proceso de ejecución del fraude y los 8pos de fraude 4.  Fallas de gobierno corpora8vo 5.  Caso prác8co de Panamá 6.  Checkup de prevención del fraude 7.  10 reglas de oro en la prevención y erradicación del

fraude

Contenido (2/2) Estándares internacionales de Gobierno Corpora8vo en TI: 1.  Gobierno corpora8vo de TI 2.  Qué es gobierno de TI 3.  La norma ISO 38500 4.  COBIT5: concepto y explicación 5.  Principios del COBIT5 6.  Modelo de implementación a u8lizar en COBIT5 7.  Procesos para el gobierno de TI y para la ges8ón de TI

La prevención del fraude

La prevención es una medida que permite contrarrestar los factores causales del crimen, incluyendo las oportunidades para cometer un delito o contra produc8vas. “Al prevenir se corrige y al corregir se previene, la prevención promueve la rentabilidad”…

Carlos Ramírez Acosta

Los que pierde una empresa cuando ocurre un fraude

Por US$1.00 dólar perdido, una organización pierde adicionalmente otros US$4.00 dólares: •  Un dólar actual de pérdida por el ilícito descubierto. •  Un segundo dólar se gasta analizando cómo se come8ó (auditoría). •  Un tercer dólar se gasta tratando de iden8ficar quién lo come8ó

(inves8gación). •  Un cuarto dólar se gasta persiguiendo legalmente al responsable

(jurídico). •  Un quinto dólar se gasta... intentando la recuperación del dólar perdido...

Dónde puede haber fraude? Falta de segregación de los recursos en las casas de valores: •  Los dineros se mantienen en la contabilidad de la casa de valores •  Subcuentas de inversión a nombre de clientes pero los $$$$ no están ahi ́ Insider Trading o utilización indebida de información privilegiada en Actividad Regulada: •  Utilizando información que nadie más conocía o que la conocían muy pocos.

Boiler rooms: •  Utilizan las llamadas telefónicas para estafar a clientes sin contar con una licencia

como operador de bolsa. Esquema piramidal o Ponzi: •  Un solo promotor o empresa. •  Los beneficios financieros no están bien documentados. •  Prometen beneficios altos en corto plazo de tiempo. •  Dirigido a un público no financieramente responsable.

Manipulación de los estados financieros: •  Las cifras en libros no es la misma que se encuentra en los sistemas informáticos.

Grandes Escándalos Financieros

Escándalos en mercado de valores

Conductas ilícitas y atentorias a la estabilidad del mercado de valores

•  Desvío de dineros de clientes •  Manipulación de los precios o bursatilidad de acciones •  Uso indebido de información privilegiada (Insider Trading) •  Aparentar ofertas y demandas sobre un título valor (Wash Sale) •  Churning •  Crossed Sale – Crossed Trade •  Alteración de estados financieros e información financiera •  Scams, Esquemas Ponzi, Boiler Rooms

Prác8cas indebidas 1.  Actos fraudulentos o engañosos 2.  Declaraciones falsas y omisiones de emisores 3.  Declaraciones falsas y declaraciones oferentes 4.  Declaraciones falsas y omisiones en relación con poderes de voto 5.  Registros, informes y demás documentos presentados a la Comisión 6.  Manipulación 7.  Promoción de valores sin divulgar que se recibe un beneficio 8.  Falsificación de libros de registros de contabilidad o de información

financiera

hfp://www.supervalores.gob.pa/educacion-‐al-‐inversionista/icomo-‐detectar-‐fraudes

Fuente: Superintendencia del Mercado de Valores de Panamá

¿Qué hay en común en los fraudes?

Los fraudes y los ilícitos internos comparten tres elementos en común: 1.  Ha sido confiada información, valores o

propiedades a una persona. 2.  La persona se aprovecha de esta condición para

un uso personal 3.  Lo hace sin el permiso del dueño del bien.

El triángulo del fraude

Controles débiles Empleados en posiciones de confianza

La ac8vidad no es criminal, Todo el mundo lo hace

Financieras Personales Obje8vos irreales

A. Naturaleza de las sociedades involucradas Algunas compañías estaban experimentado pérdidas en periodos antes del fraude. B. Naturaleza del ambiente de control administración y direc@va. 1.  Los ejecu8vos claves estaban frecuentemente involucrados. 2.  Los comités de auditoría se reunían una vez al año o la compañía no tenia comité de

auditoría 3.  La junta direc8va son dominadas por insiders y directores no independientes con

propiedad accionaria significa8va y aparentemente poca experiencia como directores de compañías.

4.  Relaciones familiares entre directores y o dignatarios son bastante comunes así como individuos que aparentemente 8enen poder significa8vo.

Fuente: Estudio de gobierno corpora8vo 2003, Carlos Barsallo

Fallas de Gobierno Corpora8vo

C.   Naturaleza del fraude. 1.  La mayoría de los fraudes no están aislados a un solo periodo fiscal. 2.  Las técnicas lpicas de fraudes incluyen una sobre es8mación de los

ingresos y ac8vos. 3.  La mitad de los fraudes incluyen sobre es8mación de ingresos al

registrar ingresos prematura o fic8ciamente. Muchos de esos fraudes de ingresos solo afectan transacciones registradas justo al final del periodo (trimestre o año fiscal).

4.  Cerca de la mitad de los fraudes también envuelven sobre es8mar los ac8vos, el valor del inventario y registrar ac8vos que no exislan.

Fuente: Estudio de gobierno corpora8vo 2003, Carlos Barsallo

Fallas de Gobierno Corpora8vo

“Red flags” Caracterís8cas que presentan las personas que cometen fraude

1.  Presión de grupo o estatus social 2.  Alto grado de endeudamiento o adicciones 3.  Resen8mientos con sus superiores 4.  Amistades nuevas poco inusuales 5.  Prendas abundantes costosas 6.  Llamadas telefónicas al trabajo, que lo ponen nervioso o irritado 7.  Realización de fiestas con mayor frecuencia 8.  Asistencia frecuente a si8os costosos 9.  Vivir por encima de su nivel económico 10. Despreocupación por asuntos de trabajo 11. Ha iniciado a hablar mal de la empresa 12. Trabajo irregular y patrones de viaje, en especial a paraísos fiscales 13. Ser dueño o inversionista en negocios que generan efec8vo 14. U8lizar nombres de terceros para comprar ac8vos

Fraude en el Mercado de Valores CASO PRÁCTICO EN PANAMÁ

hfp://www.supervalores.gob.pa/afachments/ar8cle/2835/776_02.pdf

•  La prevención es el 80% de la solución •  Evaluación objetiva de los procesos de prevención de fraude

de la entidad •  Acciones inmediatas para regularizar deficiencias gaps/

breakdowns •  Testeo Anual •  Continua educación y entrenamiento anti-fraude (clave

principal en la prevención del fraude)

Una Respuesta Apropiada

ACFE es la principal y mayor organización an@-‐fraude en el mundo, con cerca de 75,000 miembros en más de 150 países, que agrupa a especialistas, inves@gadores, auditores, académicos, abogados, contadores, peritos, consultores y profesionales interesados en el tema. El obje@vo de la ACFE es servir a la comunidad a través de la expansión del conocimiento y la educación con@nua en temas vinculados a la prevención, detección, inves@gación y disuasión de fraudes y el combate a la corrupción.

•  Checkup de alto nivel de los procesos de prevención de fraude de la entidad

•  Check-list detallado disponible en www.ACFE.com •  Identifica principales falencias/debilidades •  Provee puntaje final

Checkup del analista para la Prevención de Fraude

Herramienta muy útil para las entidades

•  Los 7 elementos: –  Monitoreo del Riesgo de Fraude (20 pts) –  Responsabilidad sobre el Riesgo de Fraude (10 pts) –  Evaluación del Riesgo de Fraude (10 pts) –  Tolerancia al Riesgo de Fraude y Política de

Gerenciamiento de Riesgo (10 pts) –  Controles a Nivel de Procesos/Reingeniería anti-

fraude (10 pts) –  Ambiente de Control (30 pts) –  Detección Proactiva de Fraude (10 pts)

Checkup de Prevención del Fraude

•  Provee información interna que la Gerencia Administrativa, la Junta Directiva y el Comité de Auditoría valorará.

•  Puede salvar a la entidad de catastróficas pérdidas financieras y reputacionales.

•  Puede ayudar a consolidar la confianza tanto interna como externamente.

•  Es simple y sus costos son insignificantes.

Beneficios para las Entidades que Utilicen esta Herramienta

Elementos importantes en la Prevención del Fraude

1.  Procedimientos de Recursos Humanos: •  Ejecución de investigación de historiales •  Entrenamiento Anti-fraude •  Evaluación los programas de desempeño y compensaciones •  Conducción de entrevistas de salidas (terminación de empleados)

2.  Límites de autoridad: •  La ausencia de actividades de control •  Falta de segregación de funciones

3.  Procedimientos de nivel transaccional: •  Revisión de transacciones de terceros y transacciones de partes

relacionadas. 4.  Documentación de las técnicas de prevención del fraude

Herramientas utilizadas por los investigadores

10 Reglas de oro para la prevención y erradicación del fraude

Regla No. 1: Nunca sobreestime

Regla No. 2: Nunca reemplace la debida diligencia con la automatización Regla No. 3: El sabor local es importante Regla No. 4: Las noticias locales son una fuente de conocimiento Regla No. 5: Realice entrevistas


Regla No. 6: Practique el arte de observar y escuchar

Regla No. 7: Alerta con las distracciones Regla No. 8: Alcance el sentido común lo mejor que se pueda Regla No. 9: La causa raíz es la teoría del análisis Regla No. 10: Reducir lapsos en los procesos


http://www.acfe.com/uploadedFiles/ACFE_Website/

Content/documents/Sample_Fraud_Policy.pdf

Ejemplo de una política de fraude

Estándares internacionales en Gobierno corporativo de TI

El Gobierno de TI es “el sistema mediante el cual se dirige y

controla el uso actual y futuro de la TI”. El Gobierno de TI es un subconjunto del gobierno corpora8vo. Un subconjunto integrado en toda la estructura y ac8vidades del gobierno corpora8vo; no un subconjunto segregado y exento, como si fuera una isla colonial o una sucursal. Es ‘gobierno corpora8vo de TI’.

Gobierno corporativo de TI

COBIT 5

COBIT5 es un marco de referencia en TI, proporciona un marco integral que ayuda a las Organizaciones a lograr su metas y entregar v a l o r med i an te un gob i e rno y una administración efec8vos de la TI de la Organización.

Gobierno Corpora@vo de TI

COBIT 5

Gobierno de TI

COBIT4.0/4.1

Administración

COBIT3

Control

COBIT2

Un Marco Empresarial de ISACA, en www.isaca.org/cobit

Auditoría

COBIT1

COBIT 5: Ahora un único Marco Empresarial Completofor

2005/7 2000 1998

Evo

luci

ón d

el A

lcan

ce

1996 2012

Val IT 2.0 (2008)

Risk IT (2009)

33

© 2012 ISACA® Todos los derechos reservados.

COBIT 5

Los principios de COBIT 5

Principios de COBIT 5

1. Satisfacer las

necesidades de las partes interesadas

2. Cubrir la Organización de

forma integral

3. Aplicar un solo marco integrado

4. Habilitar un enfoque

holistico

5. Separar el Gobierno de la Administración

El sistema de Gobierno deberá considerar a todas las partes interesadas al tomar decisiones con respecto a la evaluación de riesgos, los beneficios y el manejo de recursos. Para cada decisión se puede, y se debe, hacer las siguientes preguntas: -  ¿Quién recibe los beneficios? -  ¿Quién asume el riesgo? -  ¿Qué recursos se necesitan? Las necesidades de las Partes Interesadas deben ser transformadas en una estrategia accionable para la Organización. Las metas en cascada de COBIT 5 traducen las necesidades de las Partes Interesadas en metas específicas, accionables y personalizadas dentro del contexto de la Organización, de las metas relacionadas con la TI y de las metas habilitadoras.

36 Fuente: COBIT® 5, Figura 4. © 2012 ISACA® Todos los derechos reservados

Pasan a

Influencian

Pasan a

Impulsadores de las Partes Interesadas (Medio Ambiente, Evolución Tecnológica, …)

Metas de la Organización

Metas Relacionadas con TI

Metas Habilitadoras

Realización de Beneficios

Optimización de Riesgos

Optimización de Recursos

Necesidades de las Partes Interesadas

Principio 1: Sa@sfacer las necesidades

de las partes interesadas

Principio 2: Cubrir la Compañía de Forma Integral

Los Componentes Claves de un Sistema

de Gobierno

Fuente COBIT® 5, Figura 9. © 2012 ISACA® Todos los derechos reservados.

Fuente COBIT® 5, Figura 8. © 2012 ISACA® Todos los derechos reservados.

Objec8vo del Gobierno: Creación de Valor Realización

de Beneficios Optimización de Riesgos

Optimización de Recursos

Habilitadores de Gobierno

Alcance del Gobierno

Roles, Actividades y Relaciones

Dueños y Partes

Interesadas

Ente Regulador

Administración Operaciones

y Ejecución

Roles, Actividades y Relaciones

Delegan Fijar Directivas

Monitorear Rendición de Cuentas

Informar

Instruir y Alinear

•  COBIT 5 está alineado con los úl8mos marcos y normas

relevantes usados por las organizaciones: –  Corpora8vo: COSO, COSO ERM, ISO/IEC 9000, ISO/IEC 31000

–  Relacionado con TI: ISO/IEC 38500, ITIL, la serie ISO/IEC 27000, TOGAF, PMBOK/PRINCE2, CMMI

–  Etc. •  Así se permite a la Organización u8lizar COBIT 5 como

integrador macro en el marco de gobierno y administración.

38

Principio 3. Aplicar un único Marco Integrado

Fuente: COBIT® 5, Figura 12. © 2012 ISACA® Todos derechos reservados.

1. Principios, Políticas y Marcos

2. Procesos 3. Estructuras Organizacionales

4. Cultura, Ética y Comportamiento

5. Información 6. Servicios,

Infraestructura y Aplicaciones

7. Personas, Habilidades

y Competencias

RECURSOS

Principio 4. Habilitar un Enfoque Holís@co

39

Principio 4. Habilitar un Enfoque Holís@co. 1.   Procesos – Describen una serie organizada de prác8cas y ac8vidades para lograr

determinados obje8vos y producir una serie de resultados como apoyo al logro de las metas globales relacionadas con la TI.

2.   Estructuras Organizacionales – Cons8tuyen las en8dades claves para la toma de decisiones en una organización.

3.   Cultura, É@ca y Comportamiento – De los individuos así como de la organización; se subes8ma frecuentemente como factor de éxito en las ac8vidades de gobierno y administración.

4.   Principios, Polí@cas y Marcos – Son los vehículos para traducir el comportamiento deseado en una orientación prác8ca para la administración diaria.

5.   Información – Se encuentra presente en todo el ambiente de cualquier organización; o sea se trata de toda la información producida y usada por la Organización. La información es requerida para mantener la organización andando y bien gobernada, pero a nivel opera8vo, la información frecuentemente es el producto clave de la organización en si.

6.   Servicios, Infraestructura y Aplicaciones – Incluyen la infraestructura, la tecnología y las aplicaciones que proporcionan servicios y procesamiento de tecnología de la información a la organización.

7.   Personas, Habilidades y Competencias – Están vinculadas con las personas y son requeridas para completar exitosamente todas las ac8vidades y para tomar las decisiones correctas, así como para llevar a cabo las acciones correc8vas.

40

Principio 4. Habilitar un Enfoque Holís@co Las Dimensiones Habilitadores de COBIT 5: •  Todos los habilitadores 8enen una serie de dimensiones comunes. Dicha

serie de dimensiones comunes: –  Proporciona una manera común, sencilla y estructurada para tratar los habilitadores –  Permite a una en8dad manejar sus interacciones complejas –  Facilita resultados exitosos de los habilitadores


Métricas para el Logro de las Metas (Indicadores de Resultados)

Métricas para la Aplicación de Prácticas (Indicadores de Desempeño)

¿Se aplican Buenas Prácticas?

¿Se administra el Ciclo de Vida?

¿Se Logran las Metas de los Habilitadores?

¿Se atienden las Necesidades de las Partes Interesadas?

Dim

ensi

ón d

e H

abili

tado

res

Adm

inis

traci

ón d

el

Des

empe

ño d

e lo

s H

abili

tado

res

Partes Interesadas

Metas Ciclo de Vida Buenas Prácticas

•  Internas •  Externas

•  Calidad Intrínseca •  Calidad Contextual (Relevancia, Efec8vidad) •  Accesabilidad y Seguridad

•  Planificar •  Diseñar • Construir/Adquirir/ Crear/Implementar •  Usar/Operar •  Evaluar/Monitorear •  Actualizar/Disponer

•  Prác8cas •  Productos de Trabajo (Entradas/Salidas)

Principio 5. Separar el Gobierno de la Administración. COBIT 5 no es obligatorio, pero propone que las organizaciones implementen los procesos de gobierno y administración de tal manera que las áreas claves queden cubiertas, tal como se muestra a con8nuación:

42


Administración

Gobierno

Necesidades del Negocio

Retroalimentación Gerencial Monitorear Dirijir

Evaluar

Planificar (APO)

Construir (BAI)

Operar (DSS)

Monitorear (MEA)

Modelo de implementación a u8lizar para el gobierno TI

Prevención)de)fraude)organizacional)y)los) estándares ... · Dónde)puede)haber)fraude? Falta de...

Documents

Transcript of Prevención)de)fraude)organizacional)y)los) estándares ... · Dónde)puede)haber)fraude? Falta de...