Prevención de fraude organizacional y los estándares internacionales para un buen gobierno
corpora8vo en Tecnología Informá8ca
Jornadas sobre Supervisión electrónica y Tecnología
Centro de Formación de la AECID en La An@güa, Guatemala
16 de noviembre de 2015
Ing. Lilia Liu, CFE, CRISC, COBIT 5
Contenido (1/2) Prevención del fraude organizacional: 1. Conductas ilícitas y Prác8cas indebidas en el Mercado
de Valores 2. Red flags de las personas que cometen fraude 3. Proceso de ejecución del fraude y los 8pos de fraude 4. Fallas de gobierno corpora8vo 5. Caso prác8co de Panamá 6. Checkup de prevención del fraude 7. 10 reglas de oro en la prevención y erradicación del
fraude
Contenido (2/2) Estándares internacionales de Gobierno Corpora8vo en TI: 1. Gobierno corpora8vo de TI 2. Qué es gobierno de TI 3. La norma ISO 38500 4. COBIT5: concepto y explicación 5. Principios del COBIT5 6. Modelo de implementación a u8lizar en COBIT5 7. Procesos para el gobierno de TI y para la ges8ón de TI
La prevención del fraude
La prevención es una medida que permite contrarrestar los factores causales del crimen, incluyendo las oportunidades para cometer un delito o contra produc8vas. “Al prevenir se corrige y al corregir se previene, la prevención promueve la rentabilidad”…
Carlos Ramírez Acosta
Los que pierde una empresa cuando ocurre un fraude
Por US$1.00 dólar perdido, una organización pierde adicionalmente otros US$4.00 dólares: • Un dólar actual de pérdida por el ilícito descubierto. • Un segundo dólar se gasta analizando cómo se come8ó (auditoría). • Un tercer dólar se gasta tratando de iden8ficar quién lo come8ó
(inves8gación). • Un cuarto dólar se gasta persiguiendo legalmente al responsable
(jurídico). • Un quinto dólar se gasta... intentando la recuperación del dólar perdido...
Dónde puede haber fraude? Falta de segregación de los recursos en las casas de valores: • Los dineros se mantienen en la contabilidad de la casa de valores • Subcuentas de inversión a nombre de clientes pero los $$$$ no están ahi ́ Insider Trading o utilización indebida de información privilegiada en Actividad Regulada: • Utilizando información que nadie más conocía o que la conocían muy pocos.
Boiler rooms: • Utilizan las llamadas telefónicas para estafar a clientes sin contar con una licencia
como operador de bolsa. Esquema piramidal o Ponzi: • Un solo promotor o empresa. • Los beneficios financieros no están bien documentados. • Prometen beneficios altos en corto plazo de tiempo. • Dirigido a un público no financieramente responsable.
Manipulación de los estados financieros: • Las cifras en libros no es la misma que se encuentra en los sistemas informáticos.
Conductas ilícitas y atentorias a la estabilidad del mercado de valores
• Desvío de dineros de clientes • Manipulación de los precios o bursatilidad de acciones • Uso indebido de información privilegiada (Insider Trading) • Aparentar ofertas y demandas sobre un título valor (Wash Sale) • Churning • Crossed Sale – Crossed Trade • Alteración de estados financieros e información financiera • Scams, Esquemas Ponzi, Boiler Rooms
Prác8cas indebidas 1. Actos fraudulentos o engañosos 2. Declaraciones falsas y omisiones de emisores 3. Declaraciones falsas y declaraciones oferentes 4. Declaraciones falsas y omisiones en relación con poderes de voto 5. Registros, informes y demás documentos presentados a la Comisión 6. Manipulación 7. Promoción de valores sin divulgar que se recibe un beneficio 8. Falsificación de libros de registros de contabilidad o de información
financiera
hfp://www.supervalores.gob.pa/educacion-‐al-‐inversionista/icomo-‐detectar-‐fraudes
Fuente: Superintendencia del Mercado de Valores de Panamá
¿Qué hay en común en los fraudes?
Los fraudes y los ilícitos internos comparten tres elementos en común: 1. Ha sido confiada información, valores o
propiedades a una persona. 2. La persona se aprovecha de esta condición para
un uso personal 3. Lo hace sin el permiso del dueño del bien.
El triángulo del fraude
Controles débiles Empleados en posiciones de confianza
La ac8vidad no es criminal, Todo el mundo lo hace
Financieras Personales Obje8vos irreales
A. Naturaleza de las sociedades involucradas Algunas compañías estaban experimentado pérdidas en periodos antes del fraude. B. Naturaleza del ambiente de control administración y direc@va. 1. Los ejecu8vos claves estaban frecuentemente involucrados. 2. Los comités de auditoría se reunían una vez al año o la compañía no tenia comité de
auditoría 3. La junta direc8va son dominadas por insiders y directores no independientes con
propiedad accionaria significa8va y aparentemente poca experiencia como directores de compañías.
4. Relaciones familiares entre directores y o dignatarios son bastante comunes así como individuos que aparentemente 8enen poder significa8vo.
Fuente: Estudio de gobierno corpora8vo 2003, Carlos Barsallo
Fallas de Gobierno Corpora8vo
C. Naturaleza del fraude. 1. La mayoría de los fraudes no están aislados a un solo periodo fiscal. 2. Las técnicas lpicas de fraudes incluyen una sobre es8mación de los
ingresos y ac8vos. 3. La mitad de los fraudes incluyen sobre es8mación de ingresos al
registrar ingresos prematura o fic8ciamente. Muchos de esos fraudes de ingresos solo afectan transacciones registradas justo al final del periodo (trimestre o año fiscal).
4. Cerca de la mitad de los fraudes también envuelven sobre es8mar los ac8vos, el valor del inventario y registrar ac8vos que no exislan.
Fuente: Estudio de gobierno corpora8vo 2003, Carlos Barsallo
Fallas de Gobierno Corpora8vo
“Red flags” Caracterís8cas que presentan las personas que cometen fraude
1. Presión de grupo o estatus social 2. Alto grado de endeudamiento o adicciones 3. Resen8mientos con sus superiores 4. Amistades nuevas poco inusuales 5. Prendas abundantes costosas 6. Llamadas telefónicas al trabajo, que lo ponen nervioso o irritado 7. Realización de fiestas con mayor frecuencia 8. Asistencia frecuente a si8os costosos 9. Vivir por encima de su nivel económico 10. Despreocupación por asuntos de trabajo 11. Ha iniciado a hablar mal de la empresa 12. Trabajo irregular y patrones de viaje, en especial a paraísos fiscales 13. Ser dueño o inversionista en negocios que generan efec8vo 14. U8lizar nombres de terceros para comprar ac8vos
Fraude en el Mercado de Valores CASO PRÁCTICO EN PANAMÁ
hfp://www.supervalores.gob.pa/afachments/ar8cle/2835/776_02.pdf
• La prevención es el 80% de la solución • Evaluación objetiva de los procesos de prevención de fraude
de la entidad • Acciones inmediatas para regularizar deficiencias gaps/
breakdowns • Testeo Anual • Continua educación y entrenamiento anti-fraude (clave
principal en la prevención del fraude)
Una Respuesta Apropiada
ACFE es la principal y mayor organización an@-‐fraude en el mundo, con cerca de 75,000 miembros en más de 150 países, que agrupa a especialistas, inves@gadores, auditores, académicos, abogados, contadores, peritos, consultores y profesionales interesados en el tema. El obje@vo de la ACFE es servir a la comunidad a través de la expansión del conocimiento y la educación con@nua en temas vinculados a la prevención, detección, inves@gación y disuasión de fraudes y el combate a la corrupción.
• Checkup de alto nivel de los procesos de prevención de fraude de la entidad
• Check-list detallado disponible en www.ACFE.com • Identifica principales falencias/debilidades • Provee puntaje final
Checkup del analista para la Prevención de Fraude
Herramienta muy útil para las entidades
• Los 7 elementos: – Monitoreo del Riesgo de Fraude (20 pts) – Responsabilidad sobre el Riesgo de Fraude (10 pts) – Evaluación del Riesgo de Fraude (10 pts) – Tolerancia al Riesgo de Fraude y Política de
Gerenciamiento de Riesgo (10 pts) – Controles a Nivel de Procesos/Reingeniería anti-
fraude (10 pts) – Ambiente de Control (30 pts) – Detección Proactiva de Fraude (10 pts)
Checkup de Prevención del Fraude
• Provee información interna que la Gerencia Administrativa, la Junta Directiva y el Comité de Auditoría valorará.
• Puede salvar a la entidad de catastróficas pérdidas financieras y reputacionales.
• Puede ayudar a consolidar la confianza tanto interna como externamente.
• Es simple y sus costos son insignificantes.
Beneficios para las Entidades que Utilicen esta Herramienta
Elementos importantes en la Prevención del Fraude
1. Procedimientos de Recursos Humanos: • Ejecución de investigación de historiales • Entrenamiento Anti-fraude • Evaluación los programas de desempeño y compensaciones • Conducción de entrevistas de salidas (terminación de empleados)
2. Límites de autoridad: • La ausencia de actividades de control • Falta de segregación de funciones
3. Procedimientos de nivel transaccional: • Revisión de transacciones de terceros y transacciones de partes
relacionadas. 4. Documentación de las técnicas de prevención del fraude
Regla No. 1: Nunca sobreestime
Regla No. 2: Nunca reemplace la debida diligencia con la automatización Regla No. 3: El sabor local es importante Regla No. 4: Las noticias locales son una fuente de conocimiento Regla No. 5: Realice entrevistas
10 Reglas de oro para la prevención y erradicación del fraude
Regla No. 6: Practique el arte de observar y escuchar
Regla No. 7: Alerta con las distracciones Regla No. 8: Alcance el sentido común lo mejor que se pueda Regla No. 9: La causa raíz es la teoría del análisis Regla No. 10: Reducir lapsos en los procesos
10 Reglas de oro para la prevención y erradicación del fraude
http://www.acfe.com/uploadedFiles/ACFE_Website/
Content/documents/Sample_Fraud_Policy.pdf
Ejemplo de una política de fraude
El Gobierno de TI es “el sistema mediante el cual se dirige y
controla el uso actual y futuro de la TI”. El Gobierno de TI es un subconjunto del gobierno corpora8vo. Un subconjunto integrado en toda la estructura y ac8vidades del gobierno corpora8vo; no un subconjunto segregado y exento, como si fuera una isla colonial o una sucursal. Es ‘gobierno corpora8vo de TI’.
Gobierno corporativo de TI
COBIT 5
COBIT5 es un marco de referencia en TI, proporciona un marco integral que ayuda a las Organizaciones a lograr su metas y entregar v a l o r med i an te un gob i e rno y una administración efec8vos de la TI de la Organización.
Gobierno Corpora@vo de TI
COBIT 5
Gobierno de TI
COBIT4.0/4.1
Administración
COBIT3
Control
COBIT2
Un Marco Empresarial de ISACA, en www.isaca.org/cobit
Auditoría
COBIT1
COBIT 5: Ahora un único Marco Empresarial Completofor
2005/7 2000 1998
Evo
luci
ón d
el A
lcan
ce
1996 2012
Val IT 2.0 (2008)
Risk IT (2009)
33
© 2012 ISACA® Todos los derechos reservados.
Los principios de COBIT 5
Principios de COBIT 5
1. Satisfacer las
necesidades de las partes interesadas
2. Cubrir la Organización de
forma integral
3. Aplicar un solo marco integrado
4. Habilitar un enfoque
holistico
5. Separar el Gobierno de la Administración
El sistema de Gobierno deberá considerar a todas las partes interesadas al tomar decisiones con respecto a la evaluación de riesgos, los beneficios y el manejo de recursos. Para cada decisión se puede, y se debe, hacer las siguientes preguntas: - ¿Quién recibe los beneficios? - ¿Quién asume el riesgo? - ¿Qué recursos se necesitan? Las necesidades de las Partes Interesadas deben ser transformadas en una estrategia accionable para la Organización. Las metas en cascada de COBIT 5 traducen las necesidades de las Partes Interesadas en metas específicas, accionables y personalizadas dentro del contexto de la Organización, de las metas relacionadas con la TI y de las metas habilitadoras.
36 Fuente: COBIT® 5, Figura 4. © 2012 ISACA® Todos los derechos reservados
Pasan a
Influencian
Pasan a
Impulsadores de las Partes Interesadas (Medio Ambiente, Evolución Tecnológica, …)
Metas de la Organización
Metas Relacionadas con TI
Metas Habilitadoras
Realización de Beneficios
Optimización de Riesgos
Optimización de Recursos
Necesidades de las Partes Interesadas
Principio 1: Sa@sfacer las necesidades
de las partes interesadas
Principio 2: Cubrir la Compañía de Forma Integral
Los Componentes Claves de un Sistema
de Gobierno
Fuente COBIT® 5, Figura 9. © 2012 ISACA® Todos los derechos reservados.
Fuente COBIT® 5, Figura 8. © 2012 ISACA® Todos los derechos reservados.
Objec8vo del Gobierno: Creación de Valor Realización
de Beneficios Optimización de Riesgos
Optimización de Recursos
Habilitadores de Gobierno
Alcance del Gobierno
Roles, Actividades y Relaciones
Dueños y Partes
Interesadas
Ente Regulador
Administración Operaciones
y Ejecución
Roles, Actividades y Relaciones
Delegan Fijar Directivas
Monitorear Rendición de Cuentas
Informar
Instruir y Alinear
• COBIT 5 está alineado con los úl8mos marcos y normas
relevantes usados por las organizaciones: – Corpora8vo: COSO, COSO ERM, ISO/IEC 9000, ISO/IEC 31000
– Relacionado con TI: ISO/IEC 38500, ITIL, la serie ISO/IEC 27000, TOGAF, PMBOK/PRINCE2, CMMI
– Etc. • Así se permite a la Organización u8lizar COBIT 5 como
integrador macro en el marco de gobierno y administración.
38
Principio 3. Aplicar un único Marco Integrado
Fuente: COBIT® 5, Figura 12. © 2012 ISACA® Todos derechos reservados.
1. Principios, Políticas y Marcos
2. Procesos 3. Estructuras Organizacionales
4. Cultura, Ética y Comportamiento
5. Información 6. Servicios,
Infraestructura y Aplicaciones
7. Personas, Habilidades
y Competencias
RECURSOS
Principio 4. Habilitar un Enfoque Holís@co
39
Principio 4. Habilitar un Enfoque Holís@co. 1. Procesos – Describen una serie organizada de prác8cas y ac8vidades para lograr
determinados obje8vos y producir una serie de resultados como apoyo al logro de las metas globales relacionadas con la TI.
2. Estructuras Organizacionales – Cons8tuyen las en8dades claves para la toma de decisiones en una organización.
3. Cultura, É@ca y Comportamiento – De los individuos así como de la organización; se subes8ma frecuentemente como factor de éxito en las ac8vidades de gobierno y administración.
4. Principios, Polí@cas y Marcos – Son los vehículos para traducir el comportamiento deseado en una orientación prác8ca para la administración diaria.
5. Información – Se encuentra presente en todo el ambiente de cualquier organización; o sea se trata de toda la información producida y usada por la Organización. La información es requerida para mantener la organización andando y bien gobernada, pero a nivel opera8vo, la información frecuentemente es el producto clave de la organización en si.
6. Servicios, Infraestructura y Aplicaciones – Incluyen la infraestructura, la tecnología y las aplicaciones que proporcionan servicios y procesamiento de tecnología de la información a la organización.
7. Personas, Habilidades y Competencias – Están vinculadas con las personas y son requeridas para completar exitosamente todas las ac8vidades y para tomar las decisiones correctas, así como para llevar a cabo las acciones correc8vas.
40
Principio 4. Habilitar un Enfoque Holís@co Las Dimensiones Habilitadores de COBIT 5: • Todos los habilitadores 8enen una serie de dimensiones comunes. Dicha
serie de dimensiones comunes: – Proporciona una manera común, sencilla y estructurada para tratar los habilitadores – Permite a una en8dad manejar sus interacciones complejas – Facilita resultados exitosos de los habilitadores
Fuente: COBIT® 5, Figura 13. © 2012 ISACA® Todos derechos reservados.
Métricas para el Logro de las Metas (Indicadores de Resultados)
Métricas para la Aplicación de Prácticas (Indicadores de Desempeño)
¿Se aplican Buenas Prácticas?
¿Se administra el Ciclo de Vida?
¿Se Logran las Metas de los Habilitadores?
¿Se atienden las Necesidades de las Partes Interesadas?
Dim
ensi
ón d
e H
abili
tado
res
Adm
inis
traci
ón d
el
Des
empe
ño d
e lo
s H
abili
tado
res
Partes Interesadas
Metas Ciclo de Vida Buenas Prácticas
• Internas • Externas
• Calidad Intrínseca • Calidad Contextual (Relevancia, Efec8vidad) • Accesabilidad y Seguridad
• Planificar • Diseñar • Construir/Adquirir/ Crear/Implementar • Usar/Operar • Evaluar/Monitorear • Actualizar/Disponer
• Prác8cas • Productos de Trabajo (Entradas/Salidas)
Principio 5. Separar el Gobierno de la Administración. COBIT 5 no es obligatorio, pero propone que las organizaciones implementen los procesos de gobierno y administración de tal manera que las áreas claves queden cubiertas, tal como se muestra a con8nuación:
42
Fuente: COBIT® 5, Figura 15. © 2012 ISACA® Todos derechos reservados.
Administración
Gobierno
Necesidades del Negocio
Retroalimentación Gerencial Monitorear Dirijir
Evaluar
Planificar (APO)
Construir (BAI)
Operar (DSS)
Monitorear (MEA)
Top Related