programa crítico antifraude y los lineamientos de fraude de … · 2018-04-17 · caso practico ¿...
TRANSCRIPT
"Programa Crítico Antifraude
y los lineamientos de fraude
de COSO ERM 2017"
Armando Villacorta (Perú)
Socio de ECOVIS & Sales Manager JHAM TECH ( CASEWARE- Perú)
Agenda de la Conferencia
• Introducción
• COSO ERM 2017
• Programa Critico Antifraude
• Conclusiones
¿Tomar riesgos es bueno o es malo?
Dos líneas de pensamientoI. El tomar riesgos es malo y es necesario evitarlo.
II. El tomar riesgos es bueno dentro de un marco/contextodonde el riesgo sea bien administrado
Mantener el equilibrio—riesgo vs recompensa
LA ADMINISTRACIONES RESPONSABLE DECREAR Y PRESERVARVALOR EN LA EMPRESA
PRIORIZAR LA ATENCIONEN LOS RIESGOSASOCIADOSA LOS OBJETIVOSESTRATEGICOS
SE REQUIERE MUCHACREATIVIDAD EINTELIGENCIAAL ASUMIR RIESGOSQUE CREAN VALOR
Evaluación de riesgos – tomando riesgos óptimosEx
pec
tati
va d
e C
reac
ión
de
Val
or
Nivel de Riesgos
Insuficiente Optima Excesivatoma de Riesgos toma de Riesgos toma de Riesgos
”Zona óptima”
Fuente: COSO Risk Assessment in Practice
Fuente: GODET, Michel. “De la Anticipación a la Acción. Manual de Prospectiva Estratégica”, Marcombo, S.A. Barcelona, España, 1993.
El Horizonte Temporal en Riesgos
Crisis repentinas de Suministros de Alimentos
Impacto de la Inteligencia Artificial
La muerte del comercio (Guerra de tratados bilateral)
Tensiones en la democracia
Extinción de suministros de alimentos marinos
Dentro del abismo (crisis economica / financiera)
Desigualdad ingerida - Bioingenieria
Guerra sin reglas (cyberataques)
Identidad Geopolítica
Amurallado frente al Intenet (fragmentación nacional)
NUEVO COSO ERM 2017
El Nuevo Modelo 2017, presenta como su
principal enfoque la alineación de los
riesgos con las estrategias definidas por la
organización y su desempeño
2004 2017
Considera el riesgo de
forma explícita en la
estrategia.
Reformula el riesgo en
términos de performance.
Define una cultura de
riesgo sostenible
Integración con control
interno
NUEVO COSO ERM 2017
Definición de ERMGestión del riesgo empresarial se define como:
• La cultura, capacidades y prácticas, integradas con elestablecimiento de la estrategia y su ejecución, en lasque, las organizaciones confían para manejar el riesgoen la creación, preservación y obtención de valor.
MISIÓN, VISIÓN Y
VALORES
FUNDAMENTALES
Estrategia, los
objetivos de
negocios, Y
RENDIMIENTO
RENDIMIENTO
MEJORADO
y
NUEVO COSO ERM 2017
Una más profunda mirada a la definición de la gestión de riesgos empresarialhace hincapié en su enfoque de la gestión de riesgos a través de:
• El reconocimiento de la cultura y capacidades.
• La integración con del establecimiento de la estrategia y su ejecución.
• La gestión del riesgo estratégicos y los objetivos de negocios.
• La vinculación a la creación, preservación y obtención de valor.
• Focalizado en cinco componentes
Definición de ERM
NUEVO COSO ERM 2017
NUEVO COSO ERM 2017 Y EL FRAUDE
Para evitar redundancias entre el modelo COSO 2013 y COSO ERM 2017,algunos conceptos tratado por ambos no han sido repetidos. As{i tenemos:
• Fraude relacionado a objetivos de reportes financieros,
• Actividades de control relacionados a objetivos de cumplimiento,
• Evaluaciones en marcha y separadas relacionadas a objetivos operacionales,entre lo mas importante.
Por tanto, cuando se desee profundizar en estos temas se sugierecomplementar la lectura del COSO ERM con el Marco de Control interno 2013.
2009 2013
Reconoce la importancia de la cultura• Aborda el creciente enfoque, atención eimportancia de la cultura dentro de la gestióndel riesgo empresarial
• Influye en todos los aspectos de la gestión delriesgo empresarial
• Explora la cultura dentro del contexto másamplio
• Describe el comportamiento de la culturadentro de un espectro de riesgo
• Explora los posibles efectos de la cultura en latoma de decisiones
• Explora la alineación de la cultura entre elcomportamiento individual y de la entidad
NUEVO COSO ERM 2017 Y EL FRAUDE
NUEVO COSO ERM 2017 Y EL FRAUDE
La cultura y el Fraude
CULTURA DE PROTECCION CULTURA AGRESIVA
La Cultura en una organización afecta como se identifica, evalúa y responde alos riesgos, desde el momento que se establece la estrategia, a través de suejecución y desempeño.
CASO PRACTICO¿ Cuales son las directivas para sus Ejecutivos en el uso de Smartphones en Aeropuertos?
1 de cada 2 empresas sufrió un
ataque de software malicioso
(malware)
Ciberataques y su presencia en las Organizaciones
1 de cada 5 empresas fueron
afectadas por infecciones de
phishing, podrían haber sufrido
robo de información.
Fuente: ESET Security Report Latinoamérica 2016
Marco de Seguridad de NIST
Provee un conjunto de actividades para alcanzar los resultados
especifícos en ciberseguridad
Identificar
• Desarrolla el entendimiento para gestionar los riesgos de ciberseguridad a los sistemas, activos, datos y capacidades.
Proteger
• Desarrolla e implementa las salvaguardas para asegurar la entrega de servicios críticos de infraestructura.
Detectar
• Desarrolla e implementa actividades para identificar la ocurrencia de eventos de ciberseguridad.
Responder
• Desarrolla e implementa actividades para tomar acción en relación a eventos de ciberseguridad detectados.
Recuperar
• Desarrolla e implementa actividades para mantener planes de resilencia y para restaurar cualquier capacidad de servicio que estuviera incapacitado debido a un evento de ciberseguridad.
Enlaces al rendimiento• Introduce una nueva descripción denominada perfil de riesgo• Incorpora:- Riesgo- Actuación- Apetito de Riesgo- Capacidad • Ofrece una visión integral del riesgoy permite una toma de decisionesmás consciente de los riesgos• El marco proporciona unadescripción completa de cómoconstruir un perfil de riesgo en unapéndice
NUEVO COSO ERM 2017 Y EL FRAUDE
CASO PRACTICO¿ Cuales son las estrategias financieras que su empresa trabaja? Escuchemos a un experto en fraudes financieros
Bernie Madoff
Bernie Madoff fue el operador de la mas grande Esquema de Ponzi en la historia del mundo.
En Marzo de 2009, se declaro culpable de 11 delitos graves y admitió que su negocio de gestión fue un gran Esquema de Ponzi.
El esquema empezó in 1990 pero puede ser que de verdalmente inicio en 1980. La cantidad de dinero robado de inversores era $68 billones de dólares.
La Securities Exchange Commission, (SEC) había realizado previamente una investigación sobre las practicas de negocio de Madoff, pero no descubrían el gran fraude.
HOJA DE RUTA DE LA PREVENCION
Hay una necesidad real de considerar
un enfoque bien equilibrado hacia la
prevención y detección, además de
mecanismos de respuesta.
La función de gestión de ciber riesgos y
seguridad de la información ha
evolucionado a un nuevo paradigma que
incluye tres componentes estratégicos:
asegurar, monitorear y responder
Deloitte
Pollack,
Revista Internal Auditor
Se necesita cambiar la forma de
pensar en la seguridad, para
concentrarnos en más asuntos
que la prevención solamente y
desarrollar una estrategia que
enfatice la detección y la
respuesta
El 86% de organizaciones señala que su
función de seguridad cibernética no satisface
plenamente sus necesidades
Encuesta Global EY
Amit Yoran, Presidente RSA
(security Company)
EJEMPLO DE MATRIZ DE PREVENCION, DETECCION E INVESTIGACION DE FRAUDE
Fuente: Fábrica del pensamiento - IIA España
PCA – Programa Crítico Antifraude
1
Análisis de Riesgos
de Fraude
FASE
2
Análisis de Controles
Antifraude a Nivel
Entidad
FASE
3
FASE
4
Reportes
FASE
Análisis de Controles
Antifraude a Nivel
Transacción
Gestión de Proyecto y Aseguramiento de Calidad (QA)
Programa Crítico Antifraude
Actividades
Entregables
1
Análisis de Riesgos
de Fraude
• Identificar riesgos de
fraude
• Valorar los riesgos
• Inventario de riesgos
de fraude
FASE
Actividades
Entregables
2
Análisis de Controles
Antifraude a Nivel
Entidad
• Identificar controles Anti-
fraude a nivel entidad
• Analizar la efectividad
del diseño y walkthrough
• Evaluar su efectividad
operativa (testing)
• Inventario de controles
Anti-fraude a Nivel
Entidad
• Resultados del
Walktrough y testing
• Recomendaciones de
mejora
FASE
Actividades
Entregables
3
FASE
Actividades
Entregables
4
Reportes
• Finalizar informes
•Proveer reportes
sobre la marcha
•Resumen de
recomendaciones y
deficiencias de
control
•Reportes sobre la
marcha
FASE
Análisis de Controles
Antifraude a Nivel
Transacción
• Identificar controles Anti-
fraude a Nivel
Transacción
• Analizar la efectividad del
diseño y walkthroug
• Evaluar su efectividad
operativa (testing)
• Matrices de riesgos y
controles Antifraude
(RCM)
• Resultados del
Walktrough y testing
• Recomendaciones de
mejora
Gestión de Proyecto y Aseguramiento de Calidad (QA)
Fase 1 – Análisis de Riesgos de Fraude
Actividades
Entregables
1
Análisis de Riesgos
de Fraude
• Identificar riesgos
de fraude
• Valorar los riesgos
• Inventario de
riesgos de fraude
FASE
• Investigación de acontecimientos históricos de fraude dentro de la organización y en la industria
• Talleres / Entrevistas /Brainstorming con personal clave de nivel gerencial
• Investigaciones de empleados en general y en posiciones determinadas
• Investigaciones desarrolladas por el Comité de Auditoría y la Junta de Directores
• Informes de auditores internos y externos
• Encuestas de Risk Assessment
• Estudio de otros análisis de riesgos conducidos para proyectos tales como SOX y ERM 2017.
Identificar riesgos, esquemas y escenarios de posibles fraudes mediante:
1
FASE
2
FASE
3
FASE
4
FASE
Prepare un inventario de incentivos para ayudar a identificar los riesgosIncentivos Presión Racionalización/
Actitud
Oportunidad
para cometer
Esquemas
Potenciales
Directorio
Alta Gerencia
Chief executive officer
(CEO)
Chief operating officer
(COO)
Chief financial officer
(CFO)
Controller
Jefes de líneas o
productos
Jefe de Abastecimiento
Jefe de Planta
Jefe de Ventas y
Marketing
Jefe de Administración
Incentivos Presión Actitud/
Racionalización
Oportunidad
de cometer
Esquemas
Potenciales
CFO 75% de los bonos
están basados en
resultados
operativos.
Tiene un
significativo
monto de
opciones de
acciones como
incentivos.
Ventas es muy
persistente en
presionar sobre
el
reconocimiento
de ingresos. El
CEO es una
persona de
ventas y algunas
veces tiene la
misma actitud.
El tiene una
buena actitud y el
hace lo mejor
para mantener al
equipo de ventas
en línea.
El tiene
acceso pleno a
todas las
funciones
financieras, su
supervisión es
sobre el CEO
quien no
muestra un
gran interés
sobre los
temas
contables.
Distribución de
Productos antes
del cierre del
ejercicio y su
posterior retorno
después del
cierre.
Ejemplo de un inventario de incentivos para ayudar a identificar los riesgos
Proveedores no autorizados
Facturas apócrifas
Pagos por bienes no recibidos
Ejemplos de Riesgos de Fraude
La Gerencia desembolsa fondos a una entidad ficticia desviando el dinero para uso personal
La gerencia paga sobreprecios por bienes o servicios y recibe retornos
La gerencia introduce una entidad simulada entre un proveedor legítimo y la Compañía, y desvía el “mark-up” hacia una cuenta personal
Cuentas por Pagar Esquemas / Escenarios:
Cuentas por Pagar Riesgos:
Valoración de Riesgos de Fraude
Riesgos Inherentes de Fraude
Consecuencia
Probabilidad 3 2 1
1 M A A
2 B M A
3 B B M
Riesgo de Fraude Probabilidad Consecuencia Risk Rating
Cuentas por Pagar - Pagos
1. Proveedores no autorizados 2 2 M
2. Facturas apócrifas 1 2 A
3. Pagos por bienes no recibidos 2 2 M
Reporte Financiero
5. Registaciones contables no
autorizadas2 2 M
6. Estimaciones erróneas de reservas
/ valuaciones2 1 A
7. Gastos devengados en períodos
incorrectos1 2 A
8. Transacciones entre partes
relacionadas3 3 B
0 2 0
Medio Alto Alto
1 3 1
Bajo Medio Alto
1 0 0
Bajo Bajo Medio
Menor Dañino Catastrófico
Consecuencia
Probabilidad
Pro
ba
ble
Po
sib
leIm
pro
ba
ble
Valoración de Riesgos
Riesgos altos
Facturas apócrifas
Gastos registrados en período incorrecto
Errores en el cálculo de reservas/ valuaciones
Número de riesgos de fraude identificados#
Riesgos medios
Proveedores no autorizados
Pagos por bienes no recibidos
Registros contables no autorizados
Fase 2 – Análisis de Controles Anti-Fraude a Nivel Entidad
• Efectiva Junta de Directores/Efectiva vigilancia del Comité deAuditoría
• Estructura organizativa / Políticas,Normas y Procedimientos
• Concientización ética y educación
• Educación sobre Fraude
• Mecanismos de Reporte,Investigación, Respuesta yRemediación ante el Fraude
• Investigación de antecedentes yadecuadas prácticas de empleo
• Programa de Monitoreo y ControlesAnti-Fraude
• Abogado corporativo internoinvolucrado
• Efectiva Junta de Directores/Efectiva vigilancia del Comité deAuditoría
• Estructura organizativa / Políticas,Normas y Procedimientos
• Concientización ética y educación
• Educación sobre Fraude
• Mecanismos de Reporte,Investigación, Respuesta yRemediación ante el Fraude
• Investigación de antecedentes yadecuadas prácticas de empleo
• Programa de Monitoreo y ControlesAnti-Fraude
• Abogado corporativo internoinvolucrado
Actividades
Entregables
2
Análisis de Controles
Antifraude a Nivel
Entidad
• Identificar controles Anti-
fraude a nivel entidad
• Analizar la efectividad
del diseño y walkthrough
• Evaluar su efectividad
operativa (testing)
• Inventario de controles
Anti-fraude a Nivel
Entidad
• Resultados del
Walktrough y testing
• Recomendaciones de
mejora
FASE
1
FASE
2
FASE
3
FASE
4
FASE
Efectiva Junta de Directores/ Efectiva vigilancia del Comité de Auditoría
• La Junta de Directores debería jugar un “rol clave” en la protección de laOrganización contra el Fraude. Entonces los Directores deberían:
– Estar bien informados sobre el contenido y la operación del Programade Ética y Compliance.
– Supervisar dicho Programa.
– Buscar documentación de soporte, estar dispuestos a hacer preguntascomplejas, y desarrollar fuentes alternativas de información sobreriesgos de fraude antes de aceptar los reportes del management(“management representations”).
Identificar Controles Anti-fraude a Nivel Entidad
• … la Junta de Directores debería (cont.) :
– Comprender los Programas y Controles Anti-Fraude yanalizar y monitorear la efectividad de dichos mecanismosen forma independiente.
– Evaluar si los mecanismos para prevenir, disuadir y detectarintentos del management para saltear controles estánadecuadamente implementados y funcionan efectivamente.
Identificar Controles Anti-fraude a Nivel Entidad
– Elaboración de un claro y comprensible Código de Ética y Conducta /Prácticas Comerciales.
– Llevar a cabo análisis del ambiente ético a través del uso decuestionarios, encuestas y entrevistas con el personal.
– Desarrollar un programa interno de educación ética para La Junta deDirectores, la alta gerencia y el resto del personal.
– Elaborar newsletters internas, comunicaciones en carteleras ymecanismos similares para difundir los valores éticos de la organización.
Educación y concientización éticaImplica:
Identificar Controles Anti-fraude a Nivel Entidad
Canales y gestión de denuncias
Es el mecanismo por el cual se descubren más irregularidades es la denuncia. Los componentes de un sistema efectivo de denuncias son:
a. Su difusión. Darlo a conocer a todas las partes involucradas
b. Su confidencialidad y comodidad de uso
c. El tratamiento dado a las denuncias recibidas
46/88
Consideraciones adicionales sobre el canal de denuncias
• Paciencia y saber escuchar:– El denunciante no es un investigador. Hay cosas que
sabe, otras que no y otras que inventa– Frecuentemente, el denunciante está resentido.
Mezcla temas relevantes con chismes que no hacen al caso
– En ocasiones, el denunciante es un antiguo cómplice del perpetrador o un competidor en sus negocios espurios. Eso no necesariamente invalida su testimonio
• La denuncia no es la investigación, sino solamente su inicio
47/88
Procesamiento de las denuncias
• Al recibir las denuncias, debe hacerse un procesamiento de las mismas para clasificarlas en base a diversos criterios:
– Tipo de irregularidades denunciadas
– Personas
– Dependencias y fechas a que refieren los hechos
• Estas situaciones son importantes a efectos de hacer un “mapa” de las denuncias recibidas, y establecer prioridades para su investigación
48/88
Identificar Controles Anti-fraude a Nivel Entidad
Conocer cómo se llevan a cabo los delitos es crucial.
Entonces cada responsable de proceso (PO) debe conocer las “señales de alerta” o red flags.
Una vez identificadas las Red Flags tienen que ser monitoreadas para aplicar controles que detecten y
prevengan instancias de fraude.
Veamos algunos ejemplos …
• Documentos adulterados
• Pagos duplicados
• Segundo endoso en cheques
• Partidas pendientes en conciliaciones bancarias
• Asientos contables sin documentación respaldatoria
• Ajustes no explicados a cuentas a cobrar, a pagar, ingresos o gastos
• Empleados que no se toman vacaciones o rechazan ascensos
• Falta de seguimiento de cuentas a cobrar vencidas
• - Faltantes en mercaderías entregadas
• - Empleados en la nómina que no suscriben beneficios
Identificar Controles Anti-fraude a Nivel EntidadY cómo efectuamos este monitoreo?
MONITOREO CONTINUO ANTIFRAUDE
Proceso implementado por el Management para asegurarse en forma continuada de que las Alertas identificadas serán disparadas en revisiones frecuentes.
Es una evaluación inteligente e ininterrumpida que genera notificaciones oportunas sobre indicios o anomalías, de los cuales se hace un seguimiento para la mejora continua del sistema de control interno
Fase 3 – Análisis de los Controles Anti-Fraudes a Nivel Transacción
1
FASE
2
FASE
3
FASE
4
FASE
Actividades
Entregables
3
FASE
Análisis de Controles
Antifraude a Nivel
Transacción
• Identificar controles
Anti-fraude a Nivel
Transacción
• Analizar la efectividad
del diseño y walkthroug
• Evaluar su efectividad
operativa (testing)
• Matrices de riesgos y
controles Antifraude
(RCM)
• Resultados del
Walktrough y testing
• Recomendaciones de
mejora
Segregación de Funciones
Identificación de Controles Anti-Fraude a Nivel Transacción
• Un control Anti-fraude fundamental en la mayoría delos procesos es el de “Segregación de Funciones”clave.
• Una adecuada Segregación de Funciones incrementala probabilidad de que errores o irregularidades seanprevenidas o detectadas a tiempo, basado en eltrabajo normal y habitual de los empleados.
• La adecuada segregación de funciones es más difícil de lograr en compañías máspequeñas debido a la falta de recursos. s/ “COSO for Small Co”: medidascompensatorias: Revisión de reportes de transacciones Detalladas; revisión detransacciones; recuentos físicos versus registros contables; revisión deconciliaciones …
Control: Revisiones independientes de los maestros de proveedores
Control: Segregación de las funciones de aprobación de un proveedor como tal y quien lo carga al maestro de proveedores
Control: Los sistemas sólo permiten el pago a proveedores autorizados
Riesgo: Proveedores no autorizados
Control: “Three way match” (Factura, OC y documentos de recepción)
Control: Autorización independiente, antes del pago
Control: Prevención de pagos duplicados
Riesgo: Facturas Apócrifas
Ejemplos de Controles Anti-Fraude a Nivel Transacción
Proceso: Cuentas por Pagar
Análisis del Diseño
• Para cada control Anti-Fraude identificado (relacionados con los riesgos valorados como ALTOS), realizar un Walkthrough, que implica:
– Entrevista al personal apropiado
– Observación directa de las operaciones
– Énfasis en los Controles
– Inspección de la documentación relevante
• Utilicen su juicio para determinar en forma global para cada proceso, si el mismo es :
– Efectivo
– Inefectivo
• Probar la efectividad operativa considerando:
– Si el control es operado como fue diseñado
– Consistencia en la aplicación del control
– Competencia del personal que ejecuta el control
• Para controles calificados como inefectivos:
– Identificar controles compensatorios
– Remediar los controles existentes (rediseñar, mejorar, entrenar, etc.)
Evaluar su Efectividad Operativa
Y cada vez que los indicios lo ameriten … INVESTIGAR !
Identificación de Controles Anti-Fraude a Nivel Transacción
Medianta herramientas de Business Intelligence (BI), Minería de Datos y similares
Identificación de Controles Anti-Fraude a Nivel Transacción
A través de “Servicios de Investigación de antecedentes” (Ej. Prevención Lavado de Dinero)
Mediante Búsquedas Inteligentes de información, datos y gráficos en discos de la Organización “e-Discovery”
Identificación de Controles Anti-Fraude a Nivel Transacción
“Búsquedas inteligentes en diferentes idiomas”
Utilizando herramientas de “Búsqueda inteligente de patrones mediante análisis gráfico” (movimientos entre cuentas bancarias / llamadas telefónicas)
Identificación de Controles Anti-Fraude a Nivel Transacción
“Investigaciones de Frecuencias”
“Investigaciones en líneas de tiempo”
Identificación de Controles Anti-Fraude a Nivel Transacción
“Investigaciones de
Comportamiento de Grupos”
El riesgo de elusión de controles por parte de la Gerencia
• En toda organización existe la debilidad de todo sistema de control interno: Que la Gerencia haga caso omiso a los controles
• Cómo puede la Junta de Directores y el Comité de Auditoríasupervisar el comportamiento del management?
– Mantenerse escéptico
– Fortalecer la comprensión del negocio
– Sesiones de Brainstorming para identificar riesgos de fraude
– Uso del Código de Conducta para analizar la cultura de reporte financiero
– Sólido programa de “whistleblower” (canal de denuncias)
– Desarrollar una amplia red de información y feedback
Fase 4 – Reportes1
FASE
2
FASE
3
FASE
4
FASE
Actividades
Entregables
4
Reportes
• Finalizar informes
•Proveer reportes
sobre la marcha
•Resumen de
recomendaciones
y deficiencias de
control
•Reportes sobre la
marcha
FASE
Los Beneficios de Implementar un Programa Anti-Fraude
FORTALECE
LA
REPUTACIÓN
FACILITA EL
ACCESO AL
CAPITAL
INCREMENTA LA
CONFIANZA DE
LOS
INVERSORES
REDUCE
PÉRDIDAS DE
BIENES
EVITA HALLAZGOS
ADVERSOS POR
PARTE DE LA
AUDITORÍA
Un Gran Escudo para la Organización
Ambiente Anti-Fraude
Fraud
e
Algunas reflexiones finales …• La expectativa de que las Empresas actúen en la prevención y detección
del fraude es mayor que nunca.
• Los riesgos y efectos asociados al fraude se han incrementado en losúltimos años y siguen en alza.
• Los auditores internos pueden ayudar a la alta gerencia… son de losprofesionales que más conocen sobre Fraude y que con un buen trabajolo pueden prevenir y detectar. Por estos motivos deben colaboraractivamente con la alta gerencia en la identificación de posiblesconductas fraudulentas y prevenirlas (en lugar de esperar que estassituaciones ocurran).
• Debemos estar alertas a los nuevos riesgos emergentes y los esquemasde fraude que pueden derivarse de ellos.
Información de Contacto
Armando Villacorta CaveroECOVIS PartnerConsultoría+511 - [email protected]