Post on 13-Feb-2015
Un proyecto ambicioso …
Auditoria Interna Evaluación del Riesgo
de Fraude
2 04/10/232
Otra Mirada … Conceptos básicos (Basilea; SOX; IAI)
Convergencia – Sinergia e Independencia
El desafío de Gerenciar el Riesgo
Secuencia del Proceso
Limitaciones del CI
Claves del Éxito
Principales Logros
Temática
3 04/10/23
Introducción
Mirada diferente de la Auditoría Interna Unidad que aporta al Negocio. Proactiva. Independiente. Experta. Metodológica. Socio estratégico. Herramienta valiosa para la Dirección. Líder en mejora de procesos de control.
Auditoría Interna lidera el cambio en convergencia
Conceptos básicos ….
3
4 04/10/23
Comité de Supervisión Bancaria de Basilea
Fraude Interno: Pérdidas derivadas de algún tipo de actuación encaminada a defraudar, apropiarse de bienes indebidamente o soslayar leyes o políticas empresariales en las que participa, al menos, una parte interna a la empresa.
Actividades No Autorizadas: Ej. Operaciones no reveladas; valoración errónea de posiciones (intencional).
Hurto y Fraude: Ej.: Créditos, hurto / malversación / robo / extorsión; destrucción dolosa activos; abuso de información privilegiada (en contra de la Cía.)
“Fraude” es un evento de pérdida contenido en el Riesgo Operativo que debe ser mitigado y se clasifica en:
Fraude Externo: Pérdidas derivadas de algún tipo de actuación encaminada a defraudar, apropiarse de bienes indebidamente o soslayar la legislación por parte de un tercero.
Seguridad de los Sistemas: Ej.: daños por ataques informáticos; robo de información (con pérdidas pecuniarias).”
Hurto y Fraude: Ej. Robo; falsificación de cheques o firmas, etc..
5 04/10/23
Ley Sarbanes Oxley (SOX)
• Responsabilidad de la Compañía por Fraude Penal (Título VIII)o Responsabilidad penal por alteración de documentos (sec. 802).o Deudas no deducibles con violación de leyes de fraude de valores (sec. 803).o Estatuto de limitaciones por fraude de valores (sec. 804).o Pautas por obstrucción de la justicia y fraude penal (sec. 805)
• Responsabilidad Penal de Empleados (Título IX)o Intentos y conspiraciones para cometer fraude (sec. 902).o Responsabilidad penal por violaciones al Employee Retirement Income Security
Act de 1974 (sec. 904).o Responsabilidad de la compañía por los informes financieros (sec. 906).
• Contiene rigurosas disposiciones para combatir el fraude financiero y las inadecuadas prácticas de negocio en las organizaciones.
• Es de cumplimiento obligatorio. • Alcanza a todas las compañías que cotizan en la Bolsa de Valores de USA,
subsidiarias y afiliadas.
• Hace referencia a :
6 04/10/23
IAI - NEPAI 1210 – “Pericia”,
El auditor interno al realizar su trabajo puede encontrar indicadores o casos de fraude, quedando delimitada su responsabilidad de detección por cuanto:
“El auditor interno debe tener suficientes conocimientos para identificar los indicadores de fraude, pero no es de esperar que tenga conocimientos similares a los de aquellas personas cuya responsabilidad principal es la detección e investigación del fraude.” y,
Los procedimientos de auditoría por sí solos, incluso cuando se llevan a cabo con el debido cuidado profesional, no garantizan que el fraude será detectado.
El Glosario de las NEPAI define al fraude como:
“Cualquier acto ilegal caracterizado por engaño, ocultación o violación de confianza. Estos actos no requieren la aplicación de amenaza de violencia o fuerza física. Los fraudes son perpetrados por individuos y organizaciones para obtener dinero, bienes o servicios, para evitar pagos o pérdidas de servicios, o para asegurarse ventajas personales o de negocio”
7 04/10/23
IAI – NEPAI Consejos El AI respecto del fraude (posible o existente), debe:
Poseer los conocimientos y habilidades suficientes que le permitan, reconocer los indicios / indicadores de fraude existente (presente).
Permanecer siempre alerta ante cualquier oportunidad; es decir, reconocer los fraudes potenciales que podrían presentarse en la empresa (futuro).
Evaluar los indicadores que señalen la posibilidad de un fraude comunicando a la dirección los casos en que ha concluido:1. Que hay suficientes indicios que se ha cometido un fraude; y,2. Que, por lo tanto, amerita el inicio de una investigación (auditoría forense).
Cuanto mayor es el riesgo de fraude (vulnerabilidad) que presenta una organización, mayor será la necesidad de auditores internos a
la altura de las circunstancias.
Nada impide y es necesario que la Auditoría Interna: Incorpore un área con habilidades especiales para asumir con mayor fortaleza
esta responsabilidad frente al fraude, Colabore para implementar un modelo consistente de administración del riesgo. Valide que la organización en sus diversos procesos contemplen esta amenaza
para su identificación con canales o esquemas de respuesta coordinados.
8 04/10/238
Aspectos regulatorios en materia de Gestión Integral de Riesgos;El incremento de las regulaciones y requerimientos de información;Una mayor sofisticación en productos y tecnología aplicada;Inversionistas atentos a la administración de empresas y sus riesgos;Tratamiento de los riesgos sin burocratizar los procesos;Conjugar esfuerzos hacia focos comunes.
Desafíos – Gerenciamiento de los Riesgos
Profundizar la Política de Gestión de Riesgos contemplando:
Objetivos Comunes
Gobierno Corporativo
Supervisión consolidada
Evaluación y documentación de Procesos
Identificar y documentar Riesgos y Controles
Determinar el apetito de riesgo
Herramientas para el monitoreo de los riesgos
Auto evaluaciones y Auto Testeos
Seguimiento incidencias y acciones correctivas
Aspectos Regulatorios
Administración de Riesgos
Basilea
SOX
UIF
Seguridad IT
Habeas Data
Transparencia
BCRA
9 04/10/23
En que podemos ayudar … ?
Ambiente de control
Validar la existencia de políticas y procedimientos antifraude.
Verificar su alineación con el código de ética / conducta y políticas de contratación
Complementar y re-pensar las funciones de AI en el nuevo contexto
Incorporar un esquema de aprendizaje que derrame en diseños y capacitaciones
Implantar políticas y metodológicas de investigación
Revisar eventos, alertas y trx sospechosas de fraude
Delimitar responsabilidades y comunicar resultados
Evaluación de riesgos de
fraude
Validar evaluaciones de procesos que contemplen el riesgo de fraude
Incorporar el riesgo de fraude a las matrices de riesgos y controles existentes
Converger en la documentación, actualización y certificación de los procesos
Actividades de control de
fraude
Colaborar en la definición de controles mitigantes de riegos identificados
Asistir para mejorar controles preventivos y detectivos.
Ayudar a generar Planes anti-fraude con rotación de énfasis aprobados por la Dirección
Incorporar al Plan Anual de Auditoría actividades de control anti-fraude
I nformación y
comunicación
Consensuar con RRHH programas corporativos de comunicación
Asistir en la implementación de capacitaciones
Fomentar el uso de programas de denuncia anónima
Monitoreo Realizar evaluaciones periódicas de controles fraude
Aprovechar las herramientas de análisis de datos
Implementar un modelo de monitoreo continuo
10 04/10/23
Enfoque efectivo para la administración del fraude dirigido a: Prevenir - Detectar - Responder Converger exigencias normativas y tendencias, concentrando e integrando
auto - evaluaciones (SOX / RO) y auditorías, al riesgo de fraude. Crear el área específica (AI) y desarrollo de metodología/ programa. Delimitar las responsabilidades de los integrantes de la EF. Implementar un proceso continuo dentro de la evaluación del CI.
Objetivo Organizacional
Alcance Participantes Gap y
cierre de brecha
I mplementación Estrategia, Estructura,
Comunicación, Recursos
Monitoreo Pistas y Alertas
Protocolos de análisis
Feed Back En base a eventos
de fraude y auditoría forense
Diseño Identificar riesgos y controles mitigantes
11 04/10/23
Prevención - Roles
La organización es responsable de: Identificar riesgos de fraude y mitigar con controles sus efectos. Asegurar que los controles de fraude sean efectivos. La responsabilidad del enfoque de administración del riesgo es
compartida por los niveles más altos de la organización.
Requiere contar con socios estratégicos como: Productos, RO, OYP, PLD, Seguridad, Legales y RRHH.
Auditoría Interna asume la responsabilidad de: Validar que se estipulen políticas y normas con evaluación y cobertura
aceptable del riesgo o aprobación superior.(controles) Planificar y monitorear la eficiencia del modelo en base a matriz. Informar al Comité los resultados de las actividades. Colaborar en la implementación de programas de ARFI.
12 04/10/23
Detección de Fraude
Requiere del Conocimiento del: Negocio Sistemas de control Entorno Motivaciones para cometer fraude Oportunidades para que se cometa fraude Técnicas básicas de detección de fraude
Objetivo Generar indicadores que alerten de la posible existencia de fraude Proveer evidencias ante la existencia de fraude Identificar al culpable Obtener pruebas válidas Utilizar Métodos automáticos que ayuden a su identificación
(Ley de Benford; Análisis digital; Análisis últimos dígitos; Lógica difusa)
Requisito básico para establecer un sistema de detección de fraude Razonable creencia que existe o puede existir fraude en la organización Existencia de Activos atractivos a ser obtenidos por medios fraudulentos
13 04/10/23
HITOS PREVENCION DETECCION RESPUESTA
Supervisión del Comité de AI
Obje
tiv
os
Evaluación del modelo a fin de identificar y reducir el riesgo de
ocurrencia de hechos de fraude y conductas irregulares.
Investigación de eventos y evaluación tendiente a descubrir el
fraude o potenciales conductas irregulares mediante monitoreo de
los riesgos relevantes.
Adoptar acciones correctivas y cambios al modelo o al apetito
de riesgo a fin de mitigar el daño provocado por el fraude o
conducta irregular.
Fortale
zas
Código de conducta, RCI y normas de Tratamiento de Irregularidades
Políticas de Evaluación de Riesgos (RO) abarcativas
Procedimientos de Alta de empleados y Proveedores
Herramienta de Adm. de Riesgos y Controles
PCR RRHH - Sistema de Alertas ACM Plus
Alertas e informes de gestión (Varias Areas).
Auditoría Casos Especiales (forense). Coordinación con áreas específicas
Paneles de Control RRHH y evaluación antecedentes
Auto- evaluación de Procesos Críticos de controles mitigantes
Esquema de Informes con responsabilidades y Sanciones
Línea de Denuncia
Esquema y Metodología para la ejecución de Investigaciones
(Pruebas, informes, responsabilidades, actuación
adminitrativa, etc.)
Propender a la adopción de mejoras al proceso.
Revisión de normas, procesos y evaluación de nivel de tolerancia.
Aspectos a
Mejo
rar
Profundizar la evaluación del riesgo en convergencia
Identificar y clasificar (ocurrencia / impacto) de algunos riesgos
declarados - ACM Risk
Desarrollar Plan Integral de Prevención de Riesgo Fraude
Mejorar la Comunicación y Capacitación en técnicas de
prevención
Eficientizar la gestión de resultados e indicadores de tolerancia
Evaluar el uso de otras herramientas de detección (Ej. Datamining mails)
Profundizar esquema de Comunicación de casos detectados y resultados.
Difundir el uso de la Línea de denuncia
Revisiones orientadas a incumplimientos normativos.
Generar protocolos de investigación de fraudes.
Revisar Monitoreos y procedimeintos orientando revisión basados en Plan
Anti-fraude
Formalizar esquema de resguardo y conservación de pruebas utilizadas
en investigación.
Incluir a seguimiento las deficiencias de diseño detectadas en investigación o eventos de fraude.
Supervisión del Comité de AI
Funciones de gerentes de 1ra línea
Funciones de Areas de Cumplimiento y ControlFunciones de AI , cumplimiento normativo y monitoreo
Fortalezas / Debilidades del Programa de PDFI
14 04/10/23
Diferencias en Enfoque de AI
• Procedimientos programados.• Orientada al control diseñado.• Foco en fortalezas del control
interno, errores y omisiones.• Énfasis en materialidad.• Evaluación del diseño y su
cumplimiento.• Trabajo sobre muestras.• Basada en lógica contable y
auditoría.
• Aleatoria- no programada.• Apunta a:
• Pensamiento defraudador;• Prácticas no habituales;• Uso abusivo de excepciones;• Cambios conducta emocional;
• Foco en debilidades de CI, excepciones y conductas.
• Trabaja sobre universos e indicadores (excepciones)
Detección de FraudeAuditoría Tradicional
Implica la creación de un área de AI con habilidades específicas
15 04/10/23
Reformulación Estructura AI
Los Analistas tienen las siguientes responsabilidades:
Asistencia en evaluación de riesgos de fraude.
Plan Prevención Fraude
Ejecución de actividades de Monitoreo - PCR
Investigación de Sospechas y casos
de fraude
Asistencia en planes de capacitación
AUDITORIA INTERNA
J efe RIESGOS NEGOCI O
J efe AREAS
CENTRALES
J efe RED DE
SUCURSALES
PANEL DE CONTROL DE RIESGOS (3)
Procesos Centralizados
J efeSI – TI y
Automatización
Procesos Descentralizados
Planeamiento y Control de Gestión
ASI STENTE – Control Calidad
Monitoreo y Adm. Riesgo Fraude
I nterno
ADM. RIESGO DE FRAUDE (2)
16 04/10/23
Hitos del Proyecto Alcance de las tareas de Prevención
Elaborar Plan de Prevención basado en Matriz de Riesgos (ACM Rsk). Solicitar aprobación del Plan al Comité de AI. Implementar evaluación conjunta de procesos críticos.
Definir socios estratégicos, esquemas de evaluación y comunicación de resultados Identificar brechas y generar un proceso continuo de validación Desarrollar planes de acción y capacitación en la materia
Identificar riesgos de fraude no cubiertos al participar en proyectos, normas y productos.
Monitorear controles críticos. Asistencia Crediticia (facultades delegadas vs. sistema) Trx. cursadas por empleados en beneficio propio.
Profundizar los resultados de la Auditoría Continua (ACM Plus). PCR Sucursales; PCR Clientes; PCR RRHH (Calibrar información). Monitoreo centralizado basado en la herramienta. Indicadores de funcionamiento en controles centralizados. Crear nuevas alertas de monitoreo.
Etapa I
Etapa II
17 04/10/23
Hitos del Proyecto (cont.)
Testeo e Investigación Evaluar mejoras el proceso actual para la emisión de Informes Especiales Delimitar participación de AI en resultados de PCR RRHH, Antecedentes e
incumplimientos.
Comunicación de Resultados Definición de indicadores de fraude y ranking de procesos Informes por Testeos e Investigaciones Esquema de asunción de apetito de riesgo basado en el actual de RO
Fundar las bases del área. Colaborar en el esquema de evaluación integral del modelo de CI. Ayudar en la integración de tareas de auditoria que aporten al proceso. Generar Manuales de Procedimientos y Proveer de listas de Alertas viables a
implementar. Aportar en capacitación de los recursos de auditoría. Generar Procedimientos para la recepción, registración y clasificación de denuncias /
eventos / hechos irregulares
Premisa “Eficientizar lo que ya tenemos”
18 04/10/2318
Eficientizar lo que tenemos ….
Objetivos Implementar una metodología con mayor convergencia operativa entre
las distintas Áreas de la Organización. Liderar en sinergia con Riesgo Operacional y Auditoría interna. Explotar herramientas que eficienticen el proceso.
Funcionalidades del ACM Rsk
Administración de riesgos y controles de los Procesos (Negocios y IT). Permite a dueños de procesos gestionar riesgos de manera integral y
homogénea, aislando aquellos relativos al riesgo de fraude.
Funcionalidades del ACM Plus
Base de análisis de datos para el desarrollo de alertas de excepción. Muestra desvíos y tendencias sobre riesgos monitoreados. Facilita interactuar con los dueños de procesos a los fines de justificar,
analizar y evaluar los resultados.
19 04/10/23
Herramienta para la administración de riesgos y la
obtención del mapa de controles.
FuncionalidadesGeneración de una base de riesgos.
Asociación a procesos y productos.
Relación con controles mitigantes.
Estimación de impacto y ocurrencia.
Incorporación de planes de mitigación.
Generación de indicadores.
Relación con Normas y Políticas.
Administración Testeos y Auto-testeos.
Obtención de Reportes de Gestión.
Obtención de Reportes de Incidencias.
Planes de Acción y Seguimiento.
Emisión de Certificaciones.
Estandarización de Narrativos.
ACM Rsk
20 04/10/23
Acm Plus
“El que no sabe lo que busca, no se da cuenta cuando lo encuentra”
Considerar los distintos tipos de fraude que pueden existir y que pueden aparecer en la organización
Formular una teoría de fraude: “Serie de circunstancias y sucesos que deben coexistir para que un fraude concreto ocurra”
La detección de Fraude es una Ciencia Empírica Para probar o rechazar una teoría hay que realizar experimentos Análisis de los datos para identificar patrones de excepción (Alertas)
Al ponderar las excepciones, se obtiene una calificación y un resultado acorde al tipo de riesgo a evaluar.
Las alertas calificadas se integran en Tableros de Control siendo valorizadas en forma individual y/o combinadas.
Los Tableros ofrecen información sobre niveles de riesgo y tendencia.
Teoría PerfilRutina de Detección
21 04/10/23
A modo de síntesis …..
RIESGO
a analizar
ALCANCE de la
revisión
Fijar EXCEPCIONES
Definir PARÁMETROS,
FILTROS Y COMBINACIONES
Definir
MATRIZ DE RESULTADOS
Obtener RESULTADOS
Gestión y Análisis
de
Resultados
Retroalimentación
para futuras mediciones
CORRIDA
ACM Rsk + ACM PlusP C R
- Proceso Continuo -
22 04/10/2322
Esquema conceptualBases
- Excepciones
- Tablas de ACM+
2 – Actualización de Stocks
2 – Actualización de Stocks
4 – Generación de Tableros
6 – Generación del Panel de Riesgo
Sucursal
7 – Definición de la Matriz de Dictamen
7 – Definición de la Matriz de Dictamen
1- Definición del alcance de la corrida
1- Definición del alcance de la corrida
Crédito
Operativo
Definición de Tableros a incluir y
Parámetros a cargar en la herramienta
Retroalimentación, replanteo futuras revisiones, comparación
de paneles.
Riesgo Sucursal
Riesgo Sucursal
3 – Definición de la Matriz de
Gradientes
3 – Definición de la Matriz de
Gradientes
5 – Adecuación del Tablero
5 – Adecuación del Tablero
Captura
Captura
ClienteAdecuación del Tablero
Participación ponderada de Tableros
8 – Dictamen Final y Cierre de la corrida
Consultas por División / Región / Cat. Crediticia Exportación a excel Visualización por pantalla
Niveles de Riesgo:Elevado - Alto - Medio - Bajo
RRHH
23 04/10/23
PCR –corrida Riesgo Sucursal
Matriz de Resultado
El valor final que resultó de la suma de los valores ponderados de cada sucursal se relaciona con la Matriz de Resultado a los efectos de definir de Dictaminar.
92% 86
23%
17749%
9826%
Riesgo Elevado Riesgo Alto Riesgo Medio Riesgo Bajo
9325%
6116%
154%
3810%
195%
257%
11732%
21%
BA y SUR CORDOBA J UJ UY NEA
OESTE SALTA SANTA FE TUCUMAN
Por División
24 04/10/2324
Controles Centralizados Aportar a la gestión de riesgos metodologías de auto-testeo y auto-
evaluación. Mejora el modelo de Control Interno, por medio de metodologías
uniformes y que garanticen monitoreos centralizados detectivos optimizando la gestión de riesgo de las áreas y el proceso de auditoría.
Bases yBases y
AplicacionesAplicaciones
ProcesamientoProcesamiento
DivisionesDivisiones
RegionesRegiones
SucursalSucursal
SIGMASIGMA
ACM PlusACM PlusGestión del Control Alertas - PCR
Gestión del Control Alertas - PCR
Info. de GestiónInfo. de Gestión
Otras Gerencias
Otras Gerencias
Esquema CI•Distribuir alertas de excepciones•Gestionar resultados/ justificaciones•Generar indicadores de control
OperatoriaOperatoria
25 04/10/2325
Proceso de Controles Centralizados
La selección muestral se distribuye a los usuarios involucrados, iniciándose el circuito de tratamiento de alertas.
Muestra de Alertas
Muestra de Alertas
Proceso de Distri-bución de Alertas
Proceso de Distri-bución de Alertas
AlertaSuc. 1
AlertaSuc. 1
AlertaSuc. 2
AlertaSuc. 2
AlertaSuc. 3
AlertaSuc. 3
AlertaSuc. n
AlertaSuc. n
Se ingresan las respuestas (combo) en la herramienta, generando la actualización del ACM Plus
BaseACM Plus
BaseACM Plus
Las respuestas registradas, acumulan información estadística y su análisis / valoración, brinda elementos objetivos:
Calificar a la Sucursal y la Coordinación. Analizar situaciones repetitivas elevando a los
dueños de procesos las problemáticas. Se detectan comportamientos / eventos Actualizar – Reenfocar las pistas y alertas.
26 04/10/23
Limitaciones del Control Interno
Un buen sistema no garantiza eliminar el fraude Alguien que es malo, no se convierte en bueno. Siempre hay restricciones sobre recursos para controles. Controles pueden ser vulnerables (connivencia) Los modelos de CI son perfectibles.
Requiere de Programas de Prevención Disminuye probabilidad de ocurrencia. Minimiza su gravedad cuando ocurre. Permite mayor rapidez en la detección.
Los riesgos no son únicos ni estáticos … Debemos percibir y estar atentos a los cambios tecnológicos que
representan nuevas amenazas y oportunidades tales como: Cloud computing - Cyber security. Redes Sociales como medio de venta. Los dispositivos inteligentes y su nueva tecnología. Proveedores de servicios (poseen planes de gestión anti- fraude?)
27 04/10/2327
Claves del ÉXITO
Apoyo de la Dirección y Alta Gerencia. Firme decisión de cambio CULTURAL. Participación Activa de los diferentes actores. Adopción de herramientas tecnológicas. Coordinación y trabajo interdisciplinario. Flexibilidad del modelo. Foco objetivo, con soluciones alcanzables. Diseño y ejecución de un plan de capacitación. Implementación en etapas para evaluar avance.
Requiere identificar procesos afectados, así como que toda la Organización avance dirigiendo esfuerzos y mirada hacia:
“La gestión del Riesgo de Fraude”
28 04/10/2328
Principales Logros Construir pilares básicos de Prevención y Control del Fraude.
Focalizar el monitoreo de productos y procesos vulnerables.
Generar programas basados en matriz de vulnerabilidades.
Enriquecer Matriz de Riesgos y controles con visión de Fraude.
Implementar esquemas de monitoreo centralizado.
Profundizar el diseño de Pistas / Alertas / PCR.
Promover la especialización integradora del negocio.
Desarrollo de capacitaciones en la materia. Impulsar Talleres en ADEBA destinados a establecer estándares para la detección
y prevención del Riesgo de Fraude. (Comisión AI)
Difusión de la ARFI aportando Metodología en un marco de Calidad y Convergencia con sinergia e
Independencia
29 04/10/23
Que esperan de nosotros ????
30 04/10/23
No somos los famosos detectives de la literatura, ni
de las renombradas series de TV …
Simplemente Auditores Internos …
Atentos a los cambios. Proactivos y calificados.
Acompañando la implementación de un adecuado sistema de
Administración del Riesgo de fraude…..
31 04/10/23
Muchas Gracias !!!
Carmen Estévezcarmenestevez@macro.com.ar