evolución de la auditoría forense - felaban.net contraloria caja los... · auditorÍa forense -...
TRANSCRIPT
Evolución de la Auditoría Forense De un enfoque manual a uno automatizado
11 de Marzo del 2015 Contraloría de CCAF Los Andes - Chile
Hernán Vergara V. - Alexis Cifuentes B. – Marco Fuenzalida M.
Contraloría Caja Los Andes - Chile Página 2
"Ensayo sobre Cambios Metodológicos del Proceso
Integral de Auditoría Forense, basado en la Tecnología"
Contraloría Caja Los Andes - Chile Página 3
CAPITULO I
INTRODUCCIÓN
El presente ensayo, describe la correlación que existe entre la Auditoría Interna, el
Fraude Corporativo y la Auditoría Forense. Plasmando un enfoque sistémico en el
trabajo de esta última, como una herramienta especializada y sofisticada con que
deben contar las organizaciones como apoyo a la función de la Auditoría Interna,
ya sea de Bancos, Instituciones Financieras y/o de otros sectores de la economía.
Destacamos la importancia y la necesidad de contar con auditores forenses
especializados, que sean capaces de integrar sus labores con las de la auditoría
interna, utilizando herramientas sistémicas inteligentes para la búsqueda,
procesamiento e interpretación de incidentes y/o excepciones que sean indicativos
de potenciales fraudes y/o irregularidades.
Además, nos permitimos entregar un perfil de las capacidades técnicas y
personales que debe exhibir un auditor forense, el que hemos definido como
“Perfil Profesional Ideal”, el que permitirá a una organización introducir los cambios
metodológicos que proponemos en este trabajo. Cambios, que han sido
ampliamente probados en su posibilidad de implementación y efectividad en su
puesta en marcha y funcionamiento.
Nuestra experiencia, la que deseamos compartir en este ensayo, es a partir del
desarrollo “in-house” de diversas herramientas y tecnologías basadas en un
relacionamiento de registros, datos y comportamientos transaccionales en los
Contraloría Caja Los Andes - Chile Página 4
sistemas computacionales de la organización, que permiten mejorar la capacidad
analítica de los auditores forense, aumentando en forma significativa su eficiencia
y efectividad preventiva en la identificación de irregularidades, apoyando incluso a
la mejora continua a través de la identificación de errores repetitivos que deben
ser resueltos en los procesos, entre otros.
Estas herramientas, entregan un valioso aporte a la identificación temprana de
fraudes, permitiendo mitigar dicho riesgo a penas un hecho anómalo y/o irregular a
ocurrido, lo que permite prevenir en forma temprana los fraudes, “cuando ellos
recién comienzan y no cuando éstos están tan arraigados que han afectado
significativamente el patrimonio de la compañía”.
Por otra parte, la difusión de estas herramientas al interior de la compañía, permite
contar con un elemento “disuasivo” en materia de prevención de fraudes,
observándose una disminución notable en la cantidad de casos y/o incidencias
que se producen a los pocos meses de estar implementados los sistemas de
monitoreo.
Los sistemas implementados y casos que detallaremos en el presente ensayo,
corresponden a un proyecto de Auditoría Forense real, que ha sido implementado
en Caja Los Andes de Chile, con la participación de Auditores Computacionales,
Auditores Forenses y sus respectivas Jefaturas, quienes en forma conjunta han
realizado un trabajo multidisciplinario, colocando en producción un sistema de
monitoreo, análisis y alerta temprana que en un período muy corto ha permitido
identificar situaciones de fraude, que no hubiesen sido identificados en forma
Contraloría Caja Los Andes - Chile Página 5
manual debido al alto número de transacciones que deben ser analizadas en los
flujos diarios.
En el Capítulo II de este Ensayo, se entregan algunos antecedentes del tamaño de
la empresa, volúmenes y complejidades del negocio, describiéndose los pasos
seguidos en la implementación de esta herramientas que cambia la forma de
trabajar del auditor forense.
Contraloría Caja Los Andes - Chile Página 6
CAPITULO II
RESUMEN - ANTECEDENTES DE LA EMPRESA
En 1953 se formó la Caja Los Andes, una corporación de derecho privado, sin
fines de lucro, cuyo objetivo es la administración de prestaciones de seguridad
social. Nació al alero de la Comisión de Acción Social de la Cámara Chilena de la
Construcción. Se encuentra supervisada y fiscalizada por la Superintendencia de
Seguridad Social (SUSESO) y es regida por la Ley 18.833 de Chile, por sus
reglamentos y su respectivo estatuto.
Actualmente, CCAF Los Andes, como emisora de bonos de oferta pública en el
mercado chileno, también es fiscalizada por la Superintendencia de Valores y
Seguros (SVS) de Chile.
Caja Los Andes, es la Caja de Compensación de Asignación Familiar más grande
de Chile, con el 52% de participación del mercado respectivo. Se ha convertido en
un aliado estratégico de las empresas públicas y privadas del país, entregando
beneficios sociales a los afiliados activos y pensionados, generando un impacto
positivo en su bienestar y calidad de vida. Caja Los Andes mantiene cobertura en
todo el territorio nacional con 120 sucursales y 23 centros recreacionales y/o
turísticos (hoteles) con una dotación de empleados directos de 4.028 personas y
más 1.500 trabajadores subcontratados (indirectos). A diciembre del 2014,
registraba 48.140 empresas adheridas y 3,5 millones de afiliados, equivalente al
19,66% de la población chilena a Dic-2014 (total población 17,8 millones).
Contraloría Caja Los Andes - Chile Página 7
Las principales líneas de negocio de las Cajas de Compensación, normadas por la
Ley 18.833 de Chile, son: Administración de Prestaciones de Seguridad Social,
tales como Prestaciones Familiares (Asignación Familiar), Subsidio de Cesantía,
Subsidio de Incapacidad Laboral (Licencias Médicas), Crédito Social para
consumo, educación, microempresarios, vivienda y contingencias sociales
(enfermedad); Ahorro, Planes de Salud, Operativos Médicos, Educación,
Bienestar, Seguros, Turismo y Recreación, entre otros.
Su estructura de Gobierno Corporativo considera un Directorio integrado por 7
Directores, 9 Comités Especializados del Directorio, tales como Comité de
Auditoría; Ética; Riesgo; Finanzas; Productos y Servicios Financieros;
Compensaciones (RRHH); Asuntos Corporativos; Infraestructura y Beneficios
Sociales (propio de la industria). Cuenta con un Contralor Corporativo y Un Fiscal,
ambos independientes y con línea de reporte directa al Directorio. Por otra parte,
la Administración está integrada por el Gerente General y 11 Gerencias de primera
línea.
Algunas Cifras a Diciembre del 2014: La cartera de crédito social, ascendía a
1.111.789 créditos por MM$1.069.669, con la siguiente composición: Consumo por
MM$1.031.378; Hipotecario por MM$16.296; Educación Superior por MM$9.059;
Cupo Controlado por MM$4.622; Crédito de Emergencia (I-MED) por MM$4.318;
Microempresario por MM$3.242 y Línea de Crédito por MM$754 con un
crecimiento promedio mensual de 12% en el transcurso del año recién pasado.
Contraloría Caja Los Andes - Chile Página 8
La cartera crediticia presenta provisiones por riesgo de crédito de MM$48.833,
asociadas a un índice de riesgo y de mora de 4,40% y 12,5%, respectivamente.
Cabe hacer presente, que Caja Los Andes es la 5ta institución comercializadora
de créditos del país, con un 7,87% del total de créditos de consumo del sistema
financiero de Chile a Dic. 2014.
La cartera de ahorro registra 315.379 cuentas con un saldo administrado por
MM$157.791.- La cartera de seguros otorgados por cuenta de las compañías de
seguro registra 59.268 pólizas vigentes. El total de Subsidios de incapacidad
laboral tramitados y pagados durante el año, ascendieron a 1.206.361 por
MM$146.894.-
Otros servicios prestados, dicen relación con: Recaudación de Cotizaciones
Previsionales por MM$649.239 y Pago de Beneficios Sociales y Descuentos
asociados a Reservas de Turismo por MM$52.020 en total.
Respecto los resultados del año 2014, la corporación registró ingresos por
MM$289.917 y gastos por MM$209.126, generando excedentes (utilidades) antes
de beneficios por MM$80.790.-
Las Clasificadoras de Riesgo, Feller-Rate y Humphreys (asociada de Moody´s)
otorgaron clasificación de riesgo A+ y AA-, respectivamente, destacándose los
siguientes atributos: Bajo endeudamiento relativo, medido en relación a su
patrimonio o con su stock de colocaciones; Su posición de liderazgo dentro las
Cajas de Compensación; La calidad de los activos de la sociedad; Canales
Contraloría Caja Los Andes - Chile Página 9
expeditos para acceder a sus clientes; y La mantención de ingresos provenientes
de negocios de bajo riesgo y acceso a distintas fuentes de financiamiento (Bancos
y Mercado a través de la Emisión de Bonos Corporativos); entre otros.
Contraloría Caja Los Andes - Chile Página 10
CAPITULO III
AUDITORÍA FORENSE - RAMA ESPECIALIZADA DE AUDITORIA INTERNA
Según lo define la Norma Internacional para el Ejercicio Profesional de la Auditoría
Interna en su Glosario, el Fraude es cualquier acto ilegal caracterizado por
engaño, ocultación o violación de confianza. Estos actos no requieren la aplicación
de amenaza de violencia o de fuerza física. Los fraudes son perpetrados por
individuos y por organizaciones para obtener dinero, bienes o servicios, para evitar
pagos o pérdidas de servicios o para asegurarse ventajas personales o de
negocio.
A su vez, el Instituto de Auditores Internos ha definido la Auditoría Interna como
“…una actividad independiente y objetiva de aseguramiento y consulta, concebida
para agregar valor y mejorar las operaciones de una organización. Ayuda a una
organización a cumplir sus objetivos aportando un enfoque sistemático y
disciplinado para evaluar y mejorar la eficacia de los procesos de gestión de
riesgos, control y gobierno.”
En esta materia, si bien la Norma Internacional (1210-Pericia) establece que el
Auditor Interno debe tener suficientes conocimientos para identificar indicadores
de fraude al realizar sus labores de aseguramiento (en la evaluación de un
proceso o sistema) y/o de consulta (asesoría o consejería), no es de esperar que
éste posea conocimientos similares a los de aquellas personas especialistas en la
prevención, detección e investigación del fraude (Auditor Forense).
Contraloría Caja Los Andes - Chile Página 11
Conforme lo anterior, la mayor responsabilidad ante la identificación de
potenciales fraudes recae sobre el Auditor Forense, quién hoy en día se ve en
gran desventaja para ejercer su labor preventiva debido al alto volumen de las
transacciones que las compañías realizan con ayuda de sistemas y plataformas
computacionales. Por otra parte, sin bien se podrían potenciar las unidades de
auditoría interna, incorporando en ellas auditores forenses especializados, éstos
enfrentarían la misma problemática que los primeros, ¿cómo enfrentar el análisis
de miles de transacciones diarias, para identificar potenciales irregularidades?
En esta materia es fundamental, además de poseer los conocimientos necesarios
para identificar indicadores de fraude en los procesos auditados, contar con
herramientas de búsqueda, análisis y detección temprana de incidentes y/o
excepciones. Con la utilización de ellas, podemos asumir con mayor fortaleza la
responsabilidad frente al fraude organizacional en los términos que nos impone las
recomendaciones y estándares de la profesión.
No hay que olvidar, que mientras más alto sea el riesgo de fraude (vulnerabilidad)
en una organización, mayor será la necesidad de contar con herramientas de
auditoría forense, que en forma preventiva permitan mitigar dicho riesgo. Por otra
parte, también entendemos como una necesidad, que la Auditoría Interna cuente
con personal técnicamente capaz de enfrentar situaciones de identificación de
fraudes y pueda desdoblarse en su función, asumiendo labores forenses de ser
necesario, sobre todo en aquellos equipos de trabajo pequeños donde cada
integrante debe contar con variadas capacidades. Pues bien, para dichos equipos
Contraloría Caja Los Andes - Chile Página 12
es fundamental el desarrollar herramientas como las que comentaremos en este
ensayo.
Para una mejor comprensión del término “Forense”, cabe hacer mención a la
definición de la Real Academia Española (RAE), que establece: Proveniente del
latín forensis, como el "perteneciente o relativo al foro" (fórum), es decir, lo relativo
o perteneciente a las cortes o a lo público. Es decir, hacer público un hecho,
comportamiento irregular y/o delito a partir de la evidencia analizada.
Basados en la definición precedente, nos atrevemos señalar que la auditoría
forense corresponde a una auditoría especializada, de alta sofisticación en su
quehacer, donde debe existir alto entendimiento de los procesos de la compañía,
de los potenciales “modus operandis” del delito y/o de la casuística a que puede
verse enfrentado en la amplia creatividad utilizada en la perpetración de los delitos
financieros y/u operacionales. Cada vez más, nos convencemos que la mejor
Auditoría Forense es aquella que es capaz de prevenir los hechos delictuales y/o
detectarlos en sus inicios, más que reaccionar ante hechos consumados y de alto
impacto monetario para la compañía, donde por lo general se realiza un trabajo de
diagnóstico de los hechos, se establecen responsabilidades y posteriormente se
adoptan acciones disciplinarias, legales y de mejora de procesos, entre otras.
Para que una Auditoría Forense sea efectiva, debe considerar en su quehacer dos
enfoques, uno “Preventivo/Detectivo” y otro “Investigativo”. Para ejercer el
primero de ellos, es necesario contar con herramientas de análisis de datos, que
Contraloría Caja Los Andes - Chile Página 13
sean capaces de efectuar en forma automática parte del razonamiento analítico
del auditor, a fin de entregarle a éste previamente analizados potenciales casos de
fraude que sean ciertos, desechando los casos denominados “falsos positivos”.
El contar con esta información le permitirá anticiparse a los hechos y/o intervenir
en ellos en el momento en que están ocurriendo o a los pocos minutos de ocurrido
los hechos. Pensar que este trabajo puede ser efectuado en forma manual es un
gran error, ya que por los volúmenes transaccionales y la complejidad de las
operaciones, se hace muy difícil poder relacionar información de distintos sistemas
y cotejar sus transacciones en un tiempo tal que le permita a la auditoría
reaccionar a tiempo, “antes que el daño monetario y de imagen sea de magnitud
considerable”.
Por otra parte, tal como comentábamos en párrafos precedentes, el solo hecho de
que la compañía esté informada de la utilización de herramientas de monitoreo
transaccional, que le permiten a los auditores intervenir una transacción en el
momento en que ésta está ocurriendo, causa un efecto disuasivo de alto impacto
en la ocurrencia de fraudes internos.
Si tuviésemos que entregar una definición de este tipo de rol, definiríamos:
Auditoría Forense Preventiva / Detectiva: Está orientada a proporcionar
aseguramiento (análisis/evaluación) de la calidad de las transacciones y negocios
de la compañía, proporcionando capacidad de disuasión y prevención en materia
Contraloría Caja Los Andes - Chile Página 14
de fraude. Además, entrega asesoría y entrenamiento a las diversas áreas de la
compañía (incluida la propia Auditoría Interna) en materia de prevención de
fraudes, asegurando una red de prevención en los procesos críticos y en los
negocios estratégicos. Su trabajo, está basado en la utilización de herramientas
inteligentes de análisis de datos y alerta temprana, que permiten un trabajo
continuo sobre los registros, datos y sistemas de la organización.
Por otra parte, si bien es un objetivo irrenunciable el anticiparse lo más posible a la
ocurrencia de los hechos de fraude, no siempre será posible hacerlo en todos los
casos, por lo que siempre nos veremos enfrentados a tener que investigar casos
de fraude y/o irregularidades ocurridas en la organización, respecto las cuales no
es factible desarrollar herramientas de monitoreo transaccional y/o dichos hechos
han sido identificados en un monitoreo transaccional manual, pero necesitan
análisis profundo en el lugar de los hechos. Para enfrentar estos casos, hemos
conformado un equipo especializado en la investigación, que es complementario al
equipo de prevención, el que ha sido denominado como Auditoría Forense
Investigativa, cuyo rol es el siguiente:
Auditoría Forense Investigativa: Tomado conocimiento de un hecho con
característica de potencial irregularidad, que requiere trabajo de terreno para
establecer “modus operandi”, cuantificar daños y/o ramificaciones en la
organización, se cuenta con Auditores especializados en materia Forense,
capaces de establecer a través del cotejo de información, indagaciones, análisis
Contraloría Caja Los Andes - Chile Página 15
de procesos, transacciones y documentación, entre otros, la forma en que han
ocurrido los hechos (modus operandi), las personas que han intervenido, las
irregularidades cometidas, la cuantía de los perjuicios, efectos directos e indirectos
de los hechos, tipificación de los eventos conforme normativa penal aplicable;
determinación de cómplices y/o encubridores; entre otros. Este enfoque de
trabajo, es reactivo y es la forma de trabajo más habitual de los equipos de
prevención de fraudes, el que siempre deberá continuar aportando en la tarea de
prevención e investigación, pero que a partir de la labor del equipo de prevención,
puede complementar fuertemente su labor haciéndola más efectiva.
Ambas metodologías de trabajo, se entrecruzan en su quehacer e intercambio de
información, logrando mayor eficiencia y efectividad en la terea de prevención de
fraudes.
Diagrama de Auditoría Forense Integral
Audfitoría Forense Investigativa
Audfitoría Forense Preventiva/Detectiva
Contraloría Caja Los Andes - Chile Página 16
Sin lugar a dudas la Auditoría Forense, es una rama especializada de la Auditoría
Interna, que requiere de personal altamente entrenado y conocedor de los
procesos de la compañía y sus diversas líneas de negocio. Formar un buen
Auditor Forense, toma años de trabajo ya que su entrenamiento es lento, sobre
todo cuando los sistemas e información de la organización y sus negocios esta
disgregada en múltiples servidores, bases de datos, sistemas departamentales,
con diversas estructuras en los registros, etc. Una ventaja de contar con un
sistema integrado de monitoreo transaccional de prevención, como el que
mostraremos en este ensayo, acelera considerablemente la formación de los
equipos de Auditores Forenses, ya que la interrelación de los datos y de los
sistemas es más fácil de comprender, generando un mejor entendimiento del
negocio y la forma en que las operaciones son procesadas.
Siendo una realidad lo señalado en el párrafo precedente, respecto los procesos,
la información y la forma en que son procesadas las transacciones, no debemos
olvidar que hay otras materias en que los Auditores Forenses deben ser instruidos
y capacitados, tales como: Legislación que rige el negocio, Lineamientos éticos,
Sociología (entender el comportamiento de las personas), Método de Entrevistas,
etc.
Si tuviésemos que entregar el perfil ideal de un Auditor Forense, diríamos que al
menos debe contar con las siguientes habilidades y capacidades:
Contraloría Caja Los Andes - Chile Página 17
1) Conocimiento Avanzado en: Contabilidad (IFRS), Auditoría, Control interno
(COSO), Administración y Gestión de Riesgos, Tributación, Finanzas
Corporativa; Sistemas de Información; Capacidad de programación base (SQL;
PL-SQL, Uso de Herramientas de Auditoría como ACL); Técnicas de
Investigación Forense y Entrevistas, Legislación Penal y otras materias a fines
al negocio.
2) En cuanto a su formación personal, debe ser: Objetivo, Independiente, Justo,
Honesto, Emocionalmente Inteligente, Analítico, Astuto, Sagaz, Escéptico; Buen
Planificador, Prudente, Persuasivo y Precavido, entre otros.
Como vemos, lograr que un profesional cuente con un alto número de ésta
capacidades no es fácil. Entrenarlo toma mucho tiempo, es costoso y requiere de
gran dedicación.
El contar con sistemas de monitoreo automatizados, que sean capaces de hacer
parte del trabajo analítico de los Auditores Forenses, nos entregan mayor
flexibilidad en la conformación de los equipos de trabajo y nos entregan una mayor
independencia (blindaje) frente a potenciales pérdidas de miembros del equipo o
rotación que se genere por fuerzas del mercado.
Contraloría Caja Los Andes - Chile Página 18
CAPITULO IV
SISTEMA DE MONITOREO Y ALERTA TEMPRANA DE FRAUDES
A través de la experiencia profesional de varios años, desarrollada en compañías
nacionales e internacionales, hemos constatado que el trabajo de Auditoría
Forense continua siendo realizado con un bajo nivel de soporte de las tecnologías.
Ello por lo costoso que resulta la adquisición de herramientas con inteligencia
neuronal, que ofrecen grandes compañías en el mercado, las que además muchas
veces no reúnen las características y funcionalidades que necesitamos como
Auditoría Forense. Otra dificultad no menor, es lo difícil que resultan los
desarrollos internos (“in house”) cuando no se cuenta con un equipo de desarrollo
que sea entendido en materia de auditoría. Muchas veces intervienen en los
desarrollos solicitados, programadores y jefes de proyecto de las áreas de
tecnología de la compañía donde no existe experiencia en materia de prevención
de fraudes y se hace difícil que las especificaciones funcionales sean
interpretadas correctamente, haciéndose un desarrollo lento, engorroso y con
muchas etapas de prueba y error, lo que finalmente desgasta al equipo y consume
el presupuesto (tiempo y recursos monetarios), fracasándose en los objetivos
trazados en un alto porcentaje de los casos.
Contraloría Caja Los Andes - Chile Página 19
Estas complejidades, muchas veces limita el uso de la tecnología en materia de
prevención y detección de fraudes, al uso de extractores de datos y pareo de
tablas de sistemas a través de herramientas como ACL, IDEA u otras similares, a
fin de construir “Scripts” que permitan al Auditor contar con la información y/o con
la evidencia que le permita efectuar análisis de los casos a investigar. Esta
metodología es utilizada por la mayoría de los equipos de prevención de fraudes,
tanto en algunas empresas de gran tamaño, como en la mayoría de las empresas
medianas y pequeñas.
¿Cómo salvar estos inconvenientes y Cambiar la metodología de trabajo?
A fin de disminuir el trabajo manual y el consumo de horas hombre en los análisis
de casos, es fundamental contar con herramientas automatizadas que efectúen
esta labor. No será fácil, ni rápido logar esto, pero si es posible hacerlo.
¿Cuáles debiesen ser los pasos a seguir para un Líder de equipo de Auditoria?
1.- Primero asegúrese de contar con un equipo entrenado en materia de Auditoría
Forense y conocedor de los procesos y sistemas de la compañía. “No podrá trotar
y/o correr, si primero no ha aprendido a caminar”.
2.- Involucre a todo el equipo de Auditoría en las materias de prevención de
fraudes. Ideal que todos los Auditores, sin importar al equipo que pertenezcan,
Contraloría Caja Los Andes - Chile Página 20
conozcan de prevención e investigación de fraudes. Esto le permitirá mejorar la
rotación entre los equipos y recoger ideas de cómo enfrentar los futuros
desarrollos.
3.- Capacite y entrene técnicamente al equipo en el uso de herramientas de
extracción y análisis de datos. Inicialmente en ACL, SQL, IDEA, etc.
Posteriormente, desarrolle capacitación avanzada en herramientas como PL-SQL,
JAVA, etc. y sobre todo con aquellos recursos (colaboradores – auditores) que
han demostrado mayores habilidades en materia de desarrollo y/o preparación de
extractores.
4.- Innove y evolucione junto con el equipo. Motive a que existan propuestas de
mejora de metodologías de trabajo, que impacten positivamente en la eficiencia y
la efectividad del equipo. Logrado esto en forma efectiva, usted estará en
condiciones de abordar una etapa de desarrollo de herramientas de monitoreo
preventivo, que son de alta complejidad y requieren compromiso del equipo como
un todo.
5.- Asegúrese de contar con los recursos humanos y tecnológicos necesarios
(hardware, software, ambiente de desarrollo y prueba, base de datos, etc.).
Obtenga independencia del área de tecnología para desarrollar “in house”,
manteniendo la debida coordinación con dicha área, sobre todo para los pasos a
producción.
Contraloría Caja Los Andes - Chile Página 21
6.- Escoja el equipo adecuado para iniciar los desarrollos, al menos debe contar
con: Una persona que conozca los sistemas de la organización y sepa programar
utilizando PL-SQL y JAVA. Otra que conozca bien los procesos críticos y sus
registros. Y finalmente una que entregue la visión y lineamientos de lo que desea
lograr con los desarrollos, estableciendo sus funcionalidades y metodología de
trabajo.
Lineamientos para el Desarrollo:
Entre los objetivos que al menos debiese cubrir con los desarrollos, debe
considerar obtener: Monitoreo automático permanente sobre las transacciones
seleccionadas (24*7*365); Obtener resultados reales y en forma oportuna (eliminar
los falsos positivos); Capacidad de análisis sistémico de potenciales
irregularidades; Generación de alertas y asignación de casos; Establecer orden de
prioridad en la atención de casos críticos; Definir estándares de servicio y/o
atención de casos (SLA); Reportar riesgos emergentes; Permitir seguimiento de
situaciones sospechosas, entre otros.
A partir del trabajo del equipo seleccionado, establezca las funcionalidades de la
herramienta a alto nivel y posteriormente, detalle las especificaciones técnicas y
funcionales de cada proceso forense, partiendo por un caso de análisis sencillo,
Contraloría Caja Los Andes - Chile Página 22
conocido o dominado por el equipo, a fin de facilitar su desarrollo y posterior
prueba, obteniendo un punto de éxito que motive y comprometa al equipo.
Recomendamos efectuar una integración de los diversos patrones de
comportamiento de fraude y sus estructuras en las base de datos de la
organización utilizando un sistema de redes neuronales de las relaciones lógicas y
excepcionales que hayan sido identificadas en los distintos procesos de negocio
de la compañía. A través de la programación de “DAEMON” (D.A.E.MON - Disk
And Execution Monitor), realicen en tiempo real monitoreo transaccional sin
limitaciones (datos, volumen, horario, tiempo, etc.), que le permita detectar en
forma temprana operaciones irregulares o fuera del patrón normal de
comportamiento definido. Identificada una alerta, el sistema debe ser capaz de
canalizarla a través de un workflow a los Auditores Forenses para su
investigación, resolución y prevención. Desarrolle un panel gráfico de las alertas,
que le permita monitorear visualmente el comportamiento de los diversos sistemas
y procesos críticos.
(DAEMON - Nomenclatura usada en sistemas UNIX y UNIX-like: Es un tipo especial de proceso
informático no interactivo, es decir, que se ejecuta en segundo plano en vez de ser controlado
directamente por el usuario. Este tipo de programas continua en el sistema, es decir, que puede
ser ejecutado en forma persistente o reiniciado si se intenta matar el proceso dependiendo de
configuración del demonio y políticas del sistema.)
Contraloría Caja Los Andes - Chile Página 23
A continuación, detallaremos algunas de las alertas que hemos desarrollado y que
hoy se encuentran en uso en el equipo de Auditoría Forense de Caja Los Andes,
modificándose la forma de trabajo (de análisis manual a monitoreo automático), lo
que ha logrado una mayor eficiencia y efectividad.
¡¡No olvide, seguir estos consejos!!
1) Basado en los riesgos de fraude que usted haya identificado de los procesos
(matriz de riesgo de auditoría), establezca la actividad a monitorear en tiempo real.
2) Construya la rutina de análisis, de monitoreo de datos y el código de alerta en
PL-SQL de Oracle. Escoja correctamente el paquete de datos necesario y defina
bien las funciones y procedimientos de Auditoría Forense (inteligencia de
búsqueda, filtros, lógica y selección de datos, etc.).
3) Pruebe y depure la inteligencia de análisis forense de la transacción o
negocio. Verifique el funcionamiento del “DAEMON” (chron/servicio), revise y
discrimine lo que está ocurriendo en vivo en las bases de datos transaccionales
(base producción espejada). Una vez este seguro que el dato es correcto y que
han sido eliminado los falsos positivos, automatice y otorgue prioridad de proceso
y distribución de alertas. Un ejemplo de alerta recibida por el auditor es la
siguiente:
Contraloría Caja Los Andes - Chile Página 24
Reporte de la Alerta
Contraloría Caja Los Andes - Chile Página 25
Un ejemplo de un panel gráfico de control de alertas, que espeja las alertas
despachadas para análisis y permite mejor control de los casos, es el siguiente:
Panel de Control Central con 3 alertas
Este panel de control, muestra 3 alertas graficas (barras, dispersión, spider web,
acelerómetro, etc.) que rotan en forma dinámica cada 1 minuto. En la actualidad
contamos con un set de 9 alertas en producción que son mostradas en estos
paneles gráficos en las Áreas de Auditoría Interna que deben intervenir en los
casos reportados.
Contraloría Caja Los Andes - Chile Página 26
Otros ejemplos de cómo ha sido instalado el sistema son los siguientes:
Panel de Control Central - otras 3 alertas
Ejemplo de la Ubicación del Panel de Control Central
Contraloría Caja Los Andes - Chile Página 27
Otra Toma de la Ubicación del Panel de Control Central
Es necesario destacar que, como se ha comentado, el sistema de alerta remite al
auditor forense el caso cuando éste cumple con los parámetros de búsqueda y
extracción definidos, aplicando previamente el mismo análisis lógico que hubiese
utilizado el Auditor para tomar la decisión de investigar dicho caso.
Como una medida de apoyo, el sistema además entrega al Auditor información
complementaria del caso, tales como: Análisis de concentración de transacciones
por usuario; Alerta visual (pop-up) destellante de color rojo y de voz “en off”, cuyo
Contraloría Caja Los Andes - Chile Página 28
objetivo es que dichos casos sean inmediatamente atendidos debido a la
importancia que a ellos se les ha asignado.
Dichas alertas e información, están conectadas con un middleware/controlador
programado en lenguaje Java, siguiendo el patrón MVC y que utiliza el framework
Icefaces para generar la visualización del usuario (Auditor Forense).
A continuación se presenta un ejemplo del aviso por concentración que genera el
sistema en forma automática.
Alerta por Concentración
Cuando el Auditor recibe el aviso de alerta, se autentica en el sistema de gestión
de alerta temprana de fraude, a través de una cuenta de acceso individual y una
password, donde podrá visualizar el listado de sus alertas e información de gestión
asociada a ellas (fecha de asignación, tiempo de resolución, carga de trabajo, etc.)
Esta información es exportable a Excel, permitiendo su uso en forma local en un
PC o notebook.
Recibida la Alerta, el auditor selecciona la alerta respectiva y toda la evidencia que
tiene sobre el monitoreo (registros, fotos, documentos y archivos en general),
Contraloría Caja Los Andes - Chile Página 29
ingresa sus comentarios y conclusiones del análisis efectuado, clasificando el caso
según proceda (potencial fraude, error operacional, etc.). Dicho registro generara
una acción del tipo investigativo, correctiva, de mejora de procesos, etc.
Para finalizar un ciclo de revisión de un caso o alerta, el sistema requiere que la
Jefatura del equipo de Auditoría Forense revise el caso y proceda a su cierre
definitivo en el sistema.
A continuación se muestra en imágenes, la pantalla que utiliza el auditor para
ingresar al sistema y trabajar sobre cada una de las alertas.
Ingreso al Sistema
Contraloría Caja Los Andes - Chile Página 30
Menú de Gestión (para ingresar comentarios y evidencia de un caso seleccionado)
Información de las Transacciones Reportadas
Contraloría Caja Los Andes - Chile Página 31
Información de Gestión Dinámico de las Transacciones Reportadas
Dado que el sistema necesita adaptabilidad y flexibilidad para incorporar cambios
de requerimientos (ello debido a que se trabajaba con operaciones fraudulentas,
cuya estructura cambia en el tiempo y que requieren atención inmediata), se
diseñaron entregables periódicos del progreso del funcionamiento del software.
Como metodología de desarrollo de software, se utilizó “Scrum”, la que adopta
buenas prácticas para trabajar colaborativamente en equipo y obtener el mejor
resultado en un proyecto. Esta metodología, está especialmente recomendada
para proyectos complejos, donde se necesita obtener resultados rápidamente e
Contraloría Caja Los Andes - Chile Página 32
incrementales, con requisitos cambiantes en el tiempo y donde la innovación,
flexibilidad y productividad son fundamentales.
Para la toma de requerimientos por parte del Ingeniero de Sistemas (Auditor
Computacional), éste trabajó en conjunto con el Auditor Forense y para la
estimación de los tiempos de desarrollo se utilizó juicio experto y planning poker
(técnica para calcular una estimación basada en el consenso, en su mayoría
utilizada para estimar el esfuerzo o el tamaño relativo de las tareas de desarrollo
de software).
Se ejecutó un sprint cada 10 días, donde se entregaban pequeñas piezas de
software funcionando, con la conformidad respectiva del Auditor Forense. Se
aplicaron reuniones constantes de no más de 10 minutos por día, para hablar
sobre dudas y entendimientos claros por parte del desarrollador, basados en la
metodología de desarrollo de proyecto aplicada (scrum).
La documentación del sistema, fue preparada al final del proyecto a fin de
privilegiar su funcionalidad. Ello, debido a que la prioridad fue contar con al menos
6 alertas o monitoreo en el plazo de 6 meses.
Para un mejor entendimiento del funcionamiento del sistema desarrollado, a
continuación se presenta su respectivo diagrama de flujo de actividades.
Contraloría Caja Los Andes - Chile Página 33
Diagrama de Actividades
Contraloría Caja Los Andes - Chile Página 34
Diagrama de Actividades (cont.)
Contraloría Caja Los Andes - Chile Página 35
ALERTAS IMPLEMENTADAS
A la fecha se han implementado 9 alertas tempranas o monitoreo automatizados
de transacciones críticas. Algunas de ellas, son: Giros en Cuentas de Ahorro;
Ajustes de Varios Acreedores de Créditos por Aplicar; Venta de Seguros; Pagos
por Caja; Procesamiento y Pago de Licencias Médicas; Generación de Beneficios
y Bonificaciones de Reservas de Turismo; entre otros.
A continuación, describiremos el funcionamiento de 4 alertas que son aplicables a
transacciones cotidianas de la industria bancaria o financiera. Ello, con el
propósito de ejemplificar de mejor forma la naturaleza de los análisis
automatizados que realiza el sistema en apoyo de los Auditores Forenses,
otorgando mayor eficiencia a la labor de Auditoría.
1) Desbloqueo y Giro Indebido de Saldos Inmovilizados: Cada un minuto el
sistema monitorea a nivel nacional el 100% de los desbloqueos de saldos
inmovilizados de cuentas de ahorro de los clientes, verifica en forma automatizada
si el desbloqueo cuenta con un nivel de aprobación de una Jefatura y luego
analiza si el giro que se pretende efectuar, luego del desbloqueo de la cuenta,
tiene relación con el comportamiento de giro demostrado históricamente por el
cliente (ahorrante). Si la transacción no cumple con los parámetros de normalidad
establecidos por auditoría, la transacción es reportada por el sistema de alerta
temprana, activándose la operación en un menú gráfico y remitiéndose por mail el
Contraloría Caja Los Andes - Chile Página 36
caso a un Auditor Forense para su análisis final y resolución inmediata de la alerta
en el sistema. Además, dicha alerta considera un nivel de riesgo adicional cuando
identifica automáticamente que no existe segregación de función entre el usuario
que desbloquea un saldo inmovilizado y éste además es quien efectuará el giro de
los montos del cliente, generándose una marca de mayor riesgo en la información
de la alerta que recibe el Auditor Forense. Su objetivo es proteger los ahorros de
los clientes, prevenir que indebidamente se giren sus saldos inmovilizados,
detectando oportunamente potenciales fraudes e irregularidades en el manejo de
dichos montos.
2) Uso Irregular de Ahorro (Velocidad de Giro): Al término de cada jornada laboral,
el sistema realiza un análisis del 100% de las cuentas de ahorro activas y busca
aquellos depósitos en efectivo por montos superiores a un determinado monto
(>M$500 - dato parametrizable), realizados en forma directa o a través del
empleador del ahorrante, que son girados transcurrido un máximo de 10 días de
efectuado el ingreso de los fondos, revisa que el monto de las operaciones
transadas tenga relación con el nivel de ingresos del ahorrante declarado por su
empleador en la Caja y además, si el cliente demuestra este comportamiento en
forma repetida en 3 o más oportunidades. Si luego de realizar el análisis en forma
automatizada el sistema detecta que las operaciones no cumplen los parámetros
de normalidad definidos, este levanta inmediatamente una alerta en el panel de
control y además reporta vía mail el caso a un Auditor Forense para su
investigación y resolución. El objetivo de este monitoreo es identificar
Contraloría Caja Los Andes - Chile Página 37
oportunamente potenciales operaciones indebidas de lavado de dinero para
reportárselas al Oficial de Cumplimiento y fraudes efectuados por los ahorrantes a
sus empleadores, utilizándose a Caja Los Andes como vehículo para cometer el
delito a través del uso indebido de las cuentas de ahorro.
3) Pago Irregular de Egresos por Caja: Monitorea cada pago efectuado por caja a
los clientes en tiempo real, identificándose aquellas partidas ($) que habiendo
estado disponible para pago a nombre de un cliente determinado, estos montos no
son rebajados del saldo de caja por el Cajero, aún cuando el cliente estuvo en la
caja realizando el cobro de otros pagos. Si los montos están disponibles para
pago, estos deben ser cancelados en su totalidad al cliente. La alerta identifica
estos casos, realiza un seguimiento de ellos y cuando están siendo girados
indebidamente por el Cajero sin que el cliente se encuentre en una sucursal, estos
son detectados por el sistema y reportados a un Auditor Forense para su
investigación. El objetivo de este monitoreo es detectar giros irregulares de
fondos de clientes por parte de los Cajeros en las sucursales.
4) Ajuste de Varios Acreedores de Crédito por Aplicar: Monitorea minuto a minuto
los ajustes que se efectúan a través de traspasos a los cuadros de pago de los
créditos, donde los montos asociados a varios acreedores de créditos por aplicar a
nombre de un clientes son utilizados indebidamente para cancelar deudas de otros
clientes y/o de personas que no tienen relación alguna con el titular del vario
acreedor por aplicar o bien estos montos son aplicados indebidamente para pagar
Contraloría Caja Los Andes - Chile Página 38
deudas por cobrar de otras personas. Esta alerta además considera el análisis
automático de la relación que existe entre el usuario que está realizando la
transacción irregular (ajuste por traspaso) y el cliente que está siendo beneficiado
indebidamente con el pago de dividendos de crédito o de cuentas de por cobrar. Si
se detecta relación de apellidos o de consanguineidad, el sistema otorga un nivel
de riesgo mayor a la alerta y reporta esta situación al Auditor Forense para su
investigación y resolución
Las 4 alertas preventivas individualizadas precedentemente, se presentan
gráficamente en un Panel de Control Central de Alertas, conforme lo siguiente:
Panel de Control de Alertas para la Industria Financiera
Contraloría Caja Los Andes - Chile Página 39
Otros monitoreo o alertas de prevención que se han desarrollado e implementado
a la fecha, propios de la industria de Cajas de Compensación, y que demuestran
la flexibilidad del sistema computacional desarrollado, dicen relación con el
Procesamiento Irregular y Pago Indebido de Licencias Médicas y que se presentan
en las siguientes pantallas sólo a modo de referencia, puesto que son propios de
una industria especifica.
Contraloría Caja Los Andes - Chile Página 40
Panel de Control de Otras Alertas Específicas
Contraloría Caja Los Andes - Chile Página 41
CAPITULO V
ARQUITECTURA TECNOLOGICA DEL SISTEMA
El Sistema de Alerta Temprana de Fraude fue desarrollado bajo la tecnología
Java, aplicando un patrón de arquitectura de 3 capas más conocido como MVC
(modelo, vista, controlador) que permite: a) Separar la lógica de negocio de la
interfaz de usuario; b) Lograr independencia de capas y facilitar las modificaciones
que se requiera realizar a una de ellas sin afectar la otra; y c) Mejorar la
reutilización del código fuente y su posterior mantenimiento.
La vista tiene una interfaz de usuario Xhtml soportada por el framework ICEfaces
que posee una serie de componentes ya fabricados que hacen estándar y rápida
la construcción y utilización de formas, colores y herramientas dentro del sistema.
También se utilizó tecnología Json, Ajax y Jquery para lograr una rápida
comunicación e intercambio de datos entre los gráficos y la base de datos.
Respecto la seguridad del sistema, se utilizó el framework de Spring spring-
security 3.0 que permite gestionar completamente la seguridad de las aplicaciones
Java en varios niveles, utilizándose además en el servicio de identificación y
acceso a los recursos de las aplicaciones. El controlador (middleware) que
comunica la vista y el modelo fue desarrollado sobre Java y mejores prácticas de
programación.
Contraloría Caja Los Andes - Chile Página 42
El modelo y la lógica de negocio del sistema se encuentra concentrado sobre la
base de datos Oracle 11G, cuya ventaja es que cualquier modificación y/o cambio
al negocio de la solución se efectúa sobre la base de datos y no interviniendo el
código fuente.
A continuación se presenta la arquitectura de capas del sistema y un fragmento
del modelo de datos del sistema implementado.
Arquitectura del Sistema
Base Datos Oracle Fraude
Capa de datos (negocio)
JDBC
Capa de acceso a datos
DAO – JPA – EclipseLink - Entities
Capa de control
EJB
Capa de Presentación
IceFaces
IceFaces UI
JSF 2.0
Jquery / Json
Sp
ring
Se
cu
rity 3
.0
TablasProcedimientos almacenadosFuncionesSecuencias
Base datos CCAF
StandBy Producción
Demonio Servicio
Consulta
Extrae
Ejecuta
Contraloría Caja Los Andes - Chile Página 43
Fragmento del Modelo de Datos del Sistema
Contraloría Caja Los Andes - Chile Página 44
Fragmento del Modelo de Datos del Sistema (cont.)
Contraloría Caja Los Andes - Chile Página 45
CAPITULO V
CONCLUSIÓN
Del análisis detallado del tema presentado en este Ensayo, se concluye que no
basta que las Áreas de Auditoría Forense y/o de Auditoría Interna continúen
utilizando metodologías manuales o semi-automatizadas para efectuar análisis de
datos y desarrollar su trabajo. Con dicha forma de trabajar, les será muy difícil
lograr una identificación temprana de los fraudes y/o las irregularidades en las
organizaciones. Por consiguiente, la capacidad de mitigación de riesgos
monetarios, operacionales, de imagen y legales asociados al fraude corporativo
será baja, teniendo poco valor una unidad de Auditoria Forense.
Teniendo en cuenta dicha premisa, se hace imperativo avanzar en la
implementación de un concepto de Auditoría Continua Automatizada, en materia
Forense y Auditoría Interna, incorporando la tecnología y los sistemas de
información como parte integral del quehacer del Auditor. Hemos probado que
una buena forma de avanzar en este tema, es con desarrollos “in house” como los
que hemos detallado en este ensayo, el que esperamos sea de utilidad y guía
para aquellos que deseen dar un paso más en la profesión.
Contraloría Caja Los Andes - Chile Página 46
CAPITULO VI
BIBLIOGRAFÍA
1) http://www.cajalosandes.cl/quienes-somos/historia
2) http://www.ine.cl/
3) Informe Clasificación de Riesgo Feller-Rate (http://www.feller-rate.cl)
4) Informe Clasificación de Riesgo Humphreys (http://www.humphreys.cl
5) BADILLO, Jorge; “Auditoría Forense / Más que una especialidad profesional
una misión: prevenir y detectar el fraude financiero”; Quito – Ecuador; Mayo
2008
6) Norma Internacional de Auditoría NIA-11 Sección 240A; Fraude y Error.
7) Instituto de Auditores Internos - IAI; Definición de Auditoría Interna.
8) Instituto de Auditores Internos - IAI; NEPAI 1210.A2.
9) Instituto de Auditores Internos - IAI; NEPAI; Glosario.
10) http://www.proyectosagiles.org/que-es-scrum
Contraloría Caja Los Andes - Chile Página 47
ANEXO
RESEÑA DE LOS ENSAYISTAS
Hernán Vergara Vásquez. 54 años Contador Auditor con Posgrados en Operaciones y Servicios Financieros; Prevención, Detección e Investigación de Fraudes; Gobiernos Corporativos; y Recursos Humanos. Certificaciones: CIA, CCSA, CRMA, CRISC, CAMS. Actualmente desempeña el Cargo de Contralor Corporativo de CCAF Los Andes (Chile).
Profesional con más de 20 años de experiencia en Auditoría Interna, Auditoría Computacional, Prevención de Fraudes, Gestión de Riesgos, Operaciones Financieras, entre otros. Amplia experiencia en dirección y formación de equipos de auditoría especializados y multidisciplinarios, planificación y dirección de programas de auditorías y proyectos de certificación internacional de áreas de auditoría interna (IIA-Global), entre otros. Profesor y Relator en temas como: Auditoría Aplicada, Auditoría Financiera, Prevención de Lavado de Activos, Prevención de Fraudes, entre otros. Otros temas de formación técnica: Cursos de especialización en temas contables (IFRS); Finanzas Corporativas; COSO; COBIT; Riesgo Operacional; ACL; Lavado de Dinero; Participación en seminarios tales como CAMS, CLAIN, CLAI, CONAI; Gestión de Riesgos; Oficial de Cumplimiento; entre otros.
Contraloría Caja Los Andes - Chile Página 48
Alexis Cifuentes Bruna 35 años Contador Público y Auditor con Posgrados en Auditoría a Mesas de Dineros; en Gestión de Riesgo Financiero y en Prevención, Detección e Investigación de Fraudes. Actualmente se desempeña en el Cargo de Subgerente de Prevención de Fraudes e Investigaciones en el Área de Contraloría de CCAF Los Andes (Chile).
Profesional con más de 10 años de experiencia en Auditoría Interna, con sólidos conocimientos en la planificación y ejecución de auditorías de riesgo operacional, de sucursales, de riesgo crediticio y financiero y en auditoría forense. Tiene experiencia en el liderazgo y formación de equipos de auditoría especializados, planificación, control de gestión y ejecución de programas de trabajo de auditorías, administración y control de proyectos de auditoría, y coordinación de certificaciones internacionales de áreas de auditoría interna (IIA-Global), entre otros. Entre su formación técnica, destaca su participación en seminarios como el CLAIN de la FELABAN, en el CONAI del IIA-Chile y en cursos o talleres especializados en materias Contables (IFRS); de Auditoría Interna; de Gestión de Riesgos, de Control Interno, de Lavado de Dinero y Financiamiento del Terrorismo, Compliance Corporativo; Hacking; Fraude Corporativo, Electrónico y Aspectos Legales asociados; Investigaciones; Pericia de Documentos y Grafología, entre otros.-
Contraloría Caja Los Andes - Chile Página 49
Marco Fuenzalida Maripangui 30 años Ingeniero Ejecución en Informática con Posgrado en Gestión Informática. Actualmente se desempeña en el Cargo de Auditor Computacional en el Área de Contraloría de CCAF Los Andes (Chile).
Profesional con 7 años de experiencia en el desarrollo de diversos sistemas computacionales en lenguaje JAVA y otros de similar nivel, con activa participación en el desarrollo e implementación de más de 10 proyectos informáticos relacionados con las siguientes materias: Control Presupuestario; Auditoría de Sucursales; Cajas; Control de Clientes; Alerta Temprana de Fraudes; entre otros. En los últimos 2 años ha participado en el desarrollo de un sistema computacional para la ejecución de auditoría de sucursales y en el sistema de alerta temprana de fraudes e irregularidades, descrito en el presente ensayo.