Programa Crítico Antifraude y los lineamientos de fraude de … · 2018-04-17 · CASO PRACTICO ¿...

"Programa Crítico Antifraude

y los lineamientos de fraude

de COSO ERM 2017"

Armando Villacorta (Perú)

Socio de ECOVIS & Sales Manager JHAM TECH ( CASEWARE- Perú)

Agenda de la Conferencia

• Introducción

• COSO ERM 2017

• Programa Critico Antifraude

• Conclusiones

LA AUDITORÍA INTERNA BASADA

EN RIESGOSIntroducción

¿Tomar riesgos es bueno o es malo?

Dos líneas de pensamientoI. El tomar riesgos es malo y es necesario evitarlo.

II. El tomar riesgos es bueno dentro de un marco/contextodonde el riesgo sea bien administrado

Mantener el equilibrio—riesgo vs recompensa

LA ADMINISTRACIONES RESPONSABLE DECREAR Y PRESERVARVALOR EN LA EMPRESA

PRIORIZAR LA ATENCIONEN LOS RIESGOSASOCIADOSA LOS OBJETIVOSESTRATEGICOS

SE REQUIERE MUCHACREATIVIDAD EINTELIGENCIAAL ASUMIR RIESGOSQUE CREAN VALOR

Evaluación de riesgos – tomando riesgos óptimosEx

pec

tati

va d

e C

reac

ión

de

Val

or

Nivel de Riesgos

Insuficiente Optima Excesivatoma de Riesgos toma de Riesgos toma de Riesgos

”Zona óptima”

Fuente: COSO Risk Assessment in Practice

Fuente: GODET, Michel. “De la Anticipación a la Acción. Manual de Prospectiva Estratégica”, Marcombo, S.A. Barcelona, España, 1993.

El Horizonte Temporal en Riesgos

LA AUDITORÍA INTERNA BASADA EN RIESGOS

Pronósticos MundialesGlobal Risk 2018

Fuente: The Global Risk Report 2018 13th Edition

Crisis repentinas de Suministros de Alimentos

Impacto de la Inteligencia Artificial

La muerte del comercio (Guerra de tratados bilateral)

Tensiones en la democracia

Extinción de suministros de alimentos marinos

Dentro del abismo (crisis economica / financiera)

Desigualdad ingerida - Bioingenieria

Guerra sin reglas (cyberataques)

Identidad Geopolítica

Amurallado frente al Intenet (fragmentación nacional)


EN RIESGOSCOSO ERM 2017

Los Típicos programas de ERM no están enfocados en los riesgos correctos

NUEVO COSO ERM 2017

El Nuevo Modelo 2017, presenta como su

principal enfoque la alineación de los

riesgos con las estrategias definidas por la

organización y su desempeño

2004 2017

Considera el riesgo de

forma explícita en la

estrategia.

Reformula el riesgo en

términos de performance.

Define una cultura de

riesgo sostenible

Integración con control

interno

NUEVO COSO ERM 2017

Definición de ERMGestión del riesgo empresarial se define como:

• La cultura, capacidades y prácticas, integradas con elestablecimiento de la estrategia y su ejecución, en lasque, las organizaciones confían para manejar el riesgoen la creación, preservación y obtención de valor.

MISIÓN, VISIÓN Y

VALORES

FUNDAMENTALES

Estrategia, los

objetivos de

negocios, Y

RENDIMIENTO

RENDIMIENTO

MEJORADO

y

NUEVO COSO ERM 2017

NUEVO COSO ERM 2017

EL ROL DEL RIESGO EN LA SELECCIÓN DE LA ESTRATEGIA

Una más profunda mirada a la definición de la gestión de riesgos empresarialhace hincapié en su enfoque de la gestión de riesgos a través de:

• El reconocimiento de la cultura y capacidades.

• La integración con del establecimiento de la estrategia y su ejecución.

• La gestión del riesgo estratégicos y los objetivos de negocios.

• La vinculación a la creación, preservación y obtención de valor.

• Focalizado en cinco componentes

Definición de ERM

NUEVO COSO ERM 2017

Enterprise Risk Management

NUEVO COSO ERM 2017

NUEVO COSO ERM 2017 Y EL FRAUDE


Para evitar redundancias entre el modelo COSO 2013 y COSO ERM 2017,algunos conceptos tratado por ambos no han sido repetidos. As{i tenemos:

• Fraude relacionado a objetivos de reportes financieros,

• Actividades de control relacionados a objetivos de cumplimiento,

• Evaluaciones en marcha y separadas relacionadas a objetivos operacionales,entre lo mas importante.

Por tanto, cuando se desee profundizar en estos temas se sugierecomplementar la lectura del COSO ERM con el Marco de Control interno 2013.

2009 2013

Reconoce la importancia de la cultura• Aborda el creciente enfoque, atención eimportancia de la cultura dentro de la gestióndel riesgo empresarial

• Influye en todos los aspectos de la gestión delriesgo empresarial

• Explora la cultura dentro del contexto másamplio

• Describe el comportamiento de la culturadentro de un espectro de riesgo

• Explora los posibles efectos de la cultura en latoma de decisiones

• Explora la alineación de la cultura entre elcomportamiento individual y de la entidad



La cultura y el Fraude

CULTURA DE PROTECCION CULTURA AGRESIVA

La Cultura en una organización afecta como se identifica, evalúa y responde alos riesgos, desde el momento que se establece la estrategia, a través de suejecución y desempeño.

RIESGO EMERGENTE: SMARTPHONES

CASO PRACTICO¿ Cuales son las directivas para sus Ejecutivos en el uso de Smartphones en Aeropuertos?

1 de cada 2 empresas sufrió un

ataque de software malicioso

(malware)

Ciberataques y su presencia en las Organizaciones

1 de cada 5 empresas fueron

afectadas por infecciones de

phishing, podrían haber sufrido

robo de información.

Fuente: ESET Security Report Latinoamérica 2016

Marco de Seguridad de NIST

Provee un conjunto de actividades para alcanzar los resultados

especifícos en ciberseguridad

Identificar

• Desarrolla el entendimiento para gestionar los riesgos de ciberseguridad a los sistemas, activos, datos y capacidades.

Proteger

• Desarrolla e implementa las salvaguardas para asegurar la entrega de servicios críticos de infraestructura.

Detectar

• Desarrolla e implementa actividades para identificar la ocurrencia de eventos de ciberseguridad.

Responder

• Desarrolla e implementa actividades para tomar acción en relación a eventos de ciberseguridad detectados.

Recuperar

• Desarrolla e implementa actividades para mantener planes de resilencia y para restaurar cualquier capacidad de servicio que estuviera incapacitado debido a un evento de ciberseguridad.

Enlaces al rendimiento• Introduce una nueva descripción denominada perfil de riesgo• Incorpora:- Riesgo- Actuación- Apetito de Riesgo- Capacidad • Ofrece una visión integral del riesgoy permite una toma de decisionesmás consciente de los riesgos• El marco proporciona unadescripción completa de cómoconstruir un perfil de riesgo en unapéndice


CASO PRACTICO¿ Cuales son las estrategias financieras que su empresa trabaja? Escuchemos a un experto en fraudes financieros

Bernie Madoff

Bernie Madoff fue el operador de la mas grande Esquema de Ponzi en la historia del mundo.

En Marzo de 2009, se declaro culpable de 11 delitos graves y admitió que su negocio de gestión fue un gran Esquema de Ponzi.

El esquema empezó in 1990 pero puede ser que de verdalmente inicio en 1980. La cantidad de dinero robado de inversores era $68 billones de dólares.

La Securities Exchange Commission, (SEC) había realizado previamente una investigación sobre las practicas de negocio de Madoff, pero no descubrían el gran fraude.


EN RIESGOS

PROGRAMA

CRITICO

ANTIFRAUDE

HOJA DE RUTA DE LA PREVENCION

Hay una necesidad real de considerar

un enfoque bien equilibrado hacia la

prevención y detección, además de

mecanismos de respuesta.

La función de gestión de ciber riesgos y

seguridad de la información ha

evolucionado a un nuevo paradigma que

incluye tres componentes estratégicos:

asegurar, monitorear y responder

Deloitte

Pollack,

Revista Internal Auditor

Se necesita cambiar la forma de

pensar en la seguridad, para

concentrarnos en más asuntos

que la prevención solamente y

desarrollar una estrategia que

enfatice la detección y la

respuesta

El 86% de organizaciones señala que su

función de seguridad cibernética no satisface

plenamente sus necesidades

Encuesta Global EY

Amit Yoran, Presidente RSA

(security Company)

EJEMPLO DE MATRIZ DE PREVENCION, DETECCION E INVESTIGACION DE FRAUDE

Fuente: Fábrica del pensamiento - IIA España

PCA – Programa Crítico Antifraude

1

Análisis de Riesgos

de Fraude

FASE

2

Análisis de Controles

Antifraude a Nivel

Entidad

FASE

3

FASE

4

Reportes

FASE


Antifraude a Nivel

Transacción

Gestión de Proyecto y Aseguramiento de Calidad (QA)

Programa Crítico Antifraude

Actividades

Entregables

1


de Fraude

• Identificar riesgos de

fraude

• Valorar los riesgos

• Inventario de riesgos

de fraude

FASE

Actividades

Entregables

2


Antifraude a Nivel

Entidad

• Identificar controles Anti-

fraude a nivel entidad

• Analizar la efectividad

del diseño y walkthrough

• Evaluar su efectividad

operativa (testing)

• Inventario de controles

Anti-fraude a Nivel

Entidad

• Resultados del

Walktrough y testing

• Recomendaciones de

mejora

FASE

Actividades

Entregables

3

FASE

Actividades

Entregables

4

Reportes

• Finalizar informes

•Proveer reportes

sobre la marcha

•Resumen de

recomendaciones y

deficiencias de

control

•Reportes sobre la

marcha

FASE


Antifraude a Nivel

Transacción


fraude a Nivel

Transacción

• Analizar la efectividad del

diseño y walkthroug


operativa (testing)

• Matrices de riesgos y

controles Antifraude

(RCM)

• Resultados del



mejora

Gestión de Proyecto y Aseguramiento de Calidad (QA)

Fase 1 – Análisis de Riesgos de Fraude

Actividades

Entregables

1


de Fraude

• Identificar riesgos

de fraude

• Valorar los riesgos

• Inventario de

riesgos de fraude

FASE

• Investigación de acontecimientos históricos de fraude dentro de la organización y en la industria

• Talleres / Entrevistas /Brainstorming con personal clave de nivel gerencial

• Investigaciones de empleados en general y en posiciones determinadas

• Investigaciones desarrolladas por el Comité de Auditoría y la Junta de Directores

• Informes de auditores internos y externos

• Encuestas de Risk Assessment

• Estudio de otros análisis de riesgos conducidos para proyectos tales como SOX y ERM 2017.

Identificar riesgos, esquemas y escenarios de posibles fraudes mediante:

1

FASE

2

FASE

3

FASE

4

FASE

Prepare un inventario de incentivos para ayudar a identificar los riesgosIncentivos Presión Racionalización/

Actitud

Oportunidad

para cometer

Esquemas

Potenciales

Directorio

Alta Gerencia

Chief executive officer

(CEO)

Chief operating officer

(COO)

Chief financial officer

(CFO)

Controller

Jefes de líneas o

productos

Jefe de Abastecimiento

Jefe de Planta

Jefe de Ventas y

Marketing

Jefe de Administración

Incentivos Presión Actitud/

Racionalización

Oportunidad

de cometer

Esquemas

Potenciales

CFO 75% de los bonos

están basados en

resultados

operativos.

Tiene un

significativo

monto de

opciones de

acciones como

incentivos.

Ventas es muy

persistente en

presionar sobre

el

reconocimiento

de ingresos. El

CEO es una

persona de

ventas y algunas

veces tiene la

misma actitud.

El tiene una

buena actitud y el

hace lo mejor

para mantener al

equipo de ventas

en línea.

El tiene

acceso pleno a

todas las

funciones

financieras, su

supervisión es

sobre el CEO

quien no

muestra un

gran interés

sobre los

temas

contables.

Distribución de

Productos antes

del cierre del

ejercicio y su

posterior retorno

después del

cierre.

Ejemplo de un inventario de incentivos para ayudar a identificar los riesgos

Proveedores no autorizados

Facturas apócrifas

Pagos por bienes no recibidos

Ejemplos de Riesgos de Fraude

La Gerencia desembolsa fondos a una entidad ficticia desviando el dinero para uso personal

La gerencia paga sobreprecios por bienes o servicios y recibe retornos

La gerencia introduce una entidad simulada entre un proveedor legítimo y la Compañía, y desvía el “mark-up” hacia una cuenta personal

Cuentas por Pagar Esquemas / Escenarios:

Cuentas por Pagar Riesgos:

Valoración de Riesgos de Fraude

Riesgos Inherentes de Fraude

Consecuencia

Probabilidad 3 2 1

1 M A A

2 B M A

3 B B M

Riesgo de Fraude Probabilidad Consecuencia Risk Rating

Cuentas por Pagar - Pagos

1. Proveedores no autorizados 2 2 M

2. Facturas apócrifas 1 2 A

3. Pagos por bienes no recibidos 2 2 M

Reporte Financiero

5. Registaciones contables no

autorizadas2 2 M

6. Estimaciones erróneas de reservas

/ valuaciones2 1 A

7. Gastos devengados en períodos

incorrectos1 2 A

8. Transacciones entre partes

relacionadas3 3 B

0 2 0

Medio Alto Alto

1 3 1

Bajo Medio Alto

1 0 0

Bajo Bajo Medio

Menor Dañino Catastrófico

Consecuencia

Probabilidad

Pro

ba

ble

Po

sib

leIm

pro

ba

ble

Valoración de Riesgos

Riesgos altos

Facturas apócrifas

Gastos registrados en período incorrecto

Errores en el cálculo de reservas/ valuaciones

Número de riesgos de fraude identificados#

Riesgos medios

Proveedores no autorizados

Pagos por bienes no recibidos

Registros contables no autorizados

Fase 2 – Análisis de Controles Anti-Fraude a Nivel Entidad

• Efectiva Junta de Directores/Efectiva vigilancia del Comité deAuditoría

• Estructura organizativa / Políticas,Normas y Procedimientos

• Concientización ética y educación

• Educación sobre Fraude

• Mecanismos de Reporte,Investigación, Respuesta yRemediación ante el Fraude

• Investigación de antecedentes yadecuadas prácticas de empleo

• Programa de Monitoreo y ControlesAnti-Fraude

• Abogado corporativo internoinvolucrado

• Efectiva Junta de Directores/Efectiva vigilancia del Comité deAuditoría

• Estructura organizativa / Políticas,Normas y Procedimientos

• Concientización ética y educación

• Educación sobre Fraude

• Mecanismos de Reporte,Investigación, Respuesta yRemediación ante el Fraude

• Investigación de antecedentes yadecuadas prácticas de empleo

• Programa de Monitoreo y ControlesAnti-Fraude

• Abogado corporativo internoinvolucrado

Actividades

Entregables

2


Antifraude a Nivel

Entidad


fraude a nivel entidad


del diseño y walkthrough


operativa (testing)

• Inventario de controles

Anti-fraude a Nivel

Entidad

• Resultados del



mejora

FASE

1

FASE

2

FASE

3

FASE

4

FASE

Mintió en su CV – Mayo 2012

Efectiva Junta de Directores/ Efectiva vigilancia del Comité de Auditoría

• La Junta de Directores debería jugar un “rol clave” en la protección de laOrganización contra el Fraude. Entonces los Directores deberían:

– Estar bien informados sobre el contenido y la operación del Programade Ética y Compliance.

– Supervisar dicho Programa.

– Buscar documentación de soporte, estar dispuestos a hacer preguntascomplejas, y desarrollar fuentes alternativas de información sobreriesgos de fraude antes de aceptar los reportes del management(“management representations”).

Identificar Controles Anti-fraude a Nivel Entidad

• … la Junta de Directores debería (cont.) :

– Comprender los Programas y Controles Anti-Fraude yanalizar y monitorear la efectividad de dichos mecanismosen forma independiente.

– Evaluar si los mecanismos para prevenir, disuadir y detectarintentos del management para saltear controles estánadecuadamente implementados y funcionan efectivamente.


– Elaboración de un claro y comprensible Código de Ética y Conducta /Prácticas Comerciales.

– Llevar a cabo análisis del ambiente ético a través del uso decuestionarios, encuestas y entrevistas con el personal.

– Desarrollar un programa interno de educación ética para La Junta deDirectores, la alta gerencia y el resto del personal.

– Elaborar newsletters internas, comunicaciones en carteleras ymecanismos similares para difundir los valores éticos de la organización.

Educación y concientización éticaImplica:


Canales y gestión de denuncias

Es el mecanismo por el cual se descubren más irregularidades es la denuncia. Los componentes de un sistema efectivo de denuncias son:

a. Su difusión. Darlo a conocer a todas las partes involucradas

b. Su confidencialidad y comodidad de uso

c. El tratamiento dado a las denuncias recibidas

46/88

Consideraciones adicionales sobre el canal de denuncias

• Paciencia y saber escuchar:– El denunciante no es un investigador. Hay cosas que

sabe, otras que no y otras que inventa– Frecuentemente, el denunciante está resentido.

Mezcla temas relevantes con chismes que no hacen al caso

– En ocasiones, el denunciante es un antiguo cómplice del perpetrador o un competidor en sus negocios espurios. Eso no necesariamente invalida su testimonio

• La denuncia no es la investigación, sino solamente su inicio

47/88

Procesamiento de las denuncias

• Al recibir las denuncias, debe hacerse un procesamiento de las mismas para clasificarlas en base a diversos criterios:

– Tipo de irregularidades denunciadas

– Personas

– Dependencias y fechas a que refieren los hechos

• Estas situaciones son importantes a efectos de hacer un “mapa” de las denuncias recibidas, y establecer prioridades para su investigación

48/88


Conocer cómo se llevan a cabo los delitos es crucial.

Entonces cada responsable de proceso (PO) debe conocer las “señales de alerta” o red flags.

Una vez identificadas las Red Flags tienen que ser monitoreadas para aplicar controles que detecten y

prevengan instancias de fraude.

Veamos algunos ejemplos …

• Documentos adulterados

• Pagos duplicados

• Segundo endoso en cheques

• Partidas pendientes en conciliaciones bancarias

• Asientos contables sin documentación respaldatoria

• Ajustes no explicados a cuentas a cobrar, a pagar, ingresos o gastos

• Empleados que no se toman vacaciones o rechazan ascensos

• Falta de seguimiento de cuentas a cobrar vencidas

• - Faltantes en mercaderías entregadas

• - Empleados en la nómina que no suscriben beneficios

Identificar Controles Anti-fraude a Nivel EntidadY cómo efectuamos este monitoreo?

MONITOREO CONTINUO ANTIFRAUDE

Proceso implementado por el Management para asegurarse en forma continuada de que las Alertas identificadas serán disparadas en revisiones frecuentes.

Es una evaluación inteligente e ininterrumpida que genera notificaciones oportunas sobre indicios o anomalías, de los cuales se hace un seguimiento para la mejora continua del sistema de control interno

Fase 3 – Análisis de los Controles Anti-Fraudes a Nivel Transacción

1

FASE

2

FASE

3

FASE

4

FASE

Actividades

Entregables

3

FASE


Antifraude a Nivel

Transacción

• Identificar controles

Anti-fraude a Nivel

Transacción


del diseño y walkthroug


operativa (testing)

• Matrices de riesgos y

controles Antifraude

(RCM)

• Resultados del



mejora

Segregación de Funciones

Identificación de Controles Anti-Fraude a Nivel Transacción

• Un control Anti-fraude fundamental en la mayoría delos procesos es el de “Segregación de Funciones”clave.

• Una adecuada Segregación de Funciones incrementala probabilidad de que errores o irregularidades seanprevenidas o detectadas a tiempo, basado en eltrabajo normal y habitual de los empleados.

• La adecuada segregación de funciones es más difícil de lograr en compañías máspequeñas debido a la falta de recursos. s/ “COSO for Small Co”: medidascompensatorias: Revisión de reportes de transacciones Detalladas; revisión detransacciones; recuentos físicos versus registros contables; revisión deconciliaciones …

Control: Revisiones independientes de los maestros de proveedores

Control: Segregación de las funciones de aprobación de un proveedor como tal y quien lo carga al maestro de proveedores

Control: Los sistemas sólo permiten el pago a proveedores autorizados

Riesgo: Proveedores no autorizados

Control: “Three way match” (Factura, OC y documentos de recepción)

Control: Autorización independiente, antes del pago

Control: Prevención de pagos duplicados

Riesgo: Facturas Apócrifas

Ejemplos de Controles Anti-Fraude a Nivel Transacción

Proceso: Cuentas por Pagar

Análisis del Diseño

• Para cada control Anti-Fraude identificado (relacionados con los riesgos valorados como ALTOS), realizar un Walkthrough, que implica:

– Entrevista al personal apropiado

– Observación directa de las operaciones

– Énfasis en los Controles

– Inspección de la documentación relevante

• Utilicen su juicio para determinar en forma global para cada proceso, si el mismo es :

– Efectivo

– Inefectivo

• Probar la efectividad operativa considerando:

– Si el control es operado como fue diseñado

– Consistencia en la aplicación del control

– Competencia del personal que ejecuta el control

• Para controles calificados como inefectivos:

– Identificar controles compensatorios

– Remediar los controles existentes (rediseñar, mejorar, entrenar, etc.)

Evaluar su Efectividad Operativa

Y cada vez que los indicios lo ameriten … INVESTIGAR !


Medianta herramientas de Business Intelligence (BI), Minería de Datos y similares


A través de “Servicios de Investigación de antecedentes” (Ej. Prevención Lavado de Dinero)

Mediante Búsquedas Inteligentes de información, datos y gráficos en discos de la Organización “e-Discovery”


“Búsquedas inteligentes en diferentes idiomas”

Utilizando herramientas de “Búsqueda inteligente de patrones mediante análisis gráfico” (movimientos entre cuentas bancarias / llamadas telefónicas)


“Investigaciones de Frecuencias”

“Investigaciones en líneas de tiempo”


“Investigaciones de

Comportamiento de Grupos”

El riesgo de elusión de controles por parte de la Gerencia

• En toda organización existe la debilidad de todo sistema de control interno: Que la Gerencia haga caso omiso a los controles

• Cómo puede la Junta de Directores y el Comité de Auditoríasupervisar el comportamiento del management?

– Mantenerse escéptico

– Fortalecer la comprensión del negocio

– Sesiones de Brainstorming para identificar riesgos de fraude

– Uso del Código de Conducta para analizar la cultura de reporte financiero

– Sólido programa de “whistleblower” (canal de denuncias)

– Desarrollar una amplia red de información y feedback

Fase 4 – Reportes1

FASE

2

FASE

3

FASE

4

FASE

Actividades

Entregables

4

Reportes

• Finalizar informes

•Proveer reportes

sobre la marcha

•Resumen de

recomendaciones

y deficiencias de

control

•Reportes sobre la

marcha

FASE


EN RIESGOSCONCLUSIONES

Los Beneficios de Implementar un Programa Anti-Fraude

FORTALECE

LA

REPUTACIÓN

FACILITA EL

ACCESO AL

CAPITAL

INCREMENTA LA

CONFIANZA DE

LOS

INVERSORES

REDUCE

PÉRDIDAS DE

BIENES

EVITA HALLAZGOS

ADVERSOS POR

PARTE DE LA

AUDITORÍA

Un Gran Escudo para la Organización

Ambiente Anti-Fraude

Fraud

e

Algunas reflexiones finales …• La expectativa de que las Empresas actúen en la prevención y detección

del fraude es mayor que nunca.

• Los riesgos y efectos asociados al fraude se han incrementado en losúltimos años y siguen en alza.

• Los auditores internos pueden ayudar a la alta gerencia… son de losprofesionales que más conocen sobre Fraude y que con un buen trabajolo pueden prevenir y detectar. Por estos motivos deben colaboraractivamente con la alta gerencia en la identificación de posiblesconductas fraudulentas y prevenirlas (en lugar de esperar que estassituaciones ocurran).

• Debemos estar alertas a los nuevos riesgos emergentes y los esquemasde fraude que pueden derivarse de ellos.

Información de Contacto

Armando Villacorta CaveroECOVIS PartnerConsultoría+511 - [email protected]

mailto:[email protected]

Preguntas

y Respuestas

Programa Crítico Antifraude y los lineamientos de fraude de … · 2018-04-17 · CASO PRACTICO ¿...

Documents

Transcript of Programa Crítico Antifraude y los lineamientos de fraude de … · 2018-04-17 · CASO PRACTICO ¿...