La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Auditoria Interna Evaluación del Riesgo de Fraude

Publicada porFelipe Olvera Modificado hace 10 años

Presentaciones similares

Presentación del tema: "Auditoria Interna Evaluación del Riesgo de Fraude"— Transcripción de la presentación:

1 Auditoria Interna Evaluación del Riesgo de Fraude
Un proyecto ambicioso …

2 Temática Otra Mirada … Conceptos básicos (Basilea; SOX; IAI)
Convergencia – Sinergia e Independencia El desafío de Gerenciar el Riesgo Secuencia del Proceso Limitaciones del CI Claves del Éxito Principales Logros 2

3 Introducción Mirada diferente de la Auditoría Interna
Unidad que aporta al Negocio. Proactiva. Independiente. Experta. Metodológica. Socio estratégico. Herramienta valiosa para la Dirección. Líder en mejora de procesos de control. Auditoría Interna lidera el cambio en convergencia Conceptos básicos …. 3

4 Comité de Supervisión Bancaria de Basilea
“Fraude” es un evento de pérdida contenido en el Riesgo Operativo que debe ser mitigado y se clasifica en: Fraude Interno: Pérdidas derivadas de algún tipo de actuación encaminada a defraudar, apropiarse de bienes indebidamente o soslayar leyes o políticas empresariales en las que participa, al menos, una parte interna a la empresa. Actividades No Autorizadas: Ej. Operaciones no reveladas; valoración errónea de posiciones (intencional). Hurto y Fraude: Ej.: Créditos, hurto / malversación / robo / extorsión; destrucción dolosa activos; abuso de información privilegiada (en contra de la Cía.) Fraude Externo: Pérdidas derivadas de algún tipo de actuación encaminada a defraudar, apropiarse de bienes indebidamente o soslayar la legislación por parte de un tercero. Seguridad de los Sistemas: Ej.: daños por ataques informáticos; robo de información (con pérdidas pecuniarias).” Hurto y Fraude: Ej. Robo; falsificación de cheques o firmas, etc..

5 Ley Sarbanes Oxley (SOX)
Contiene rigurosas disposiciones para combatir el fraude financiero y las inadecuadas prácticas de negocio en las organizaciones. Es de cumplimiento obligatorio. Alcanza a todas las compañías que cotizan en la Bolsa de Valores de USA, subsidiarias y afiliadas. Hace referencia a : Responsabilidad de la Compañía por Fraude Penal (Título VIII) Responsabilidad penal por alteración de documentos (sec. 802). Deudas no deducibles con violación de leyes de fraude de valores (sec. 803). Estatuto de limitaciones por fraude de valores (sec. 804). Pautas por obstrucción de la justicia y fraude penal (sec. 805) Responsabilidad Penal de Empleados (Título IX) Intentos y conspiraciones para cometer fraude (sec. 902). Responsabilidad penal por violaciones al Employee Retirement Income Security Act de 1974 (sec. 904). Responsabilidad de la compañía por los informes financieros (sec. 906).

6 IAI - NEPAI 1210 – “Pericia”, El Glosario de las NEPAI define al fraude como: “Cualquier acto ilegal caracterizado por engaño, ocultación o violación de confianza. Estos actos no requieren la aplicación de amenaza de violencia o fuerza física. Los fraudes son perpetrados por individuos y organizaciones para obtener dinero, bienes o servicios, para evitar pagos o pérdidas de servicios, o para asegurarse ventajas personales o de negocio” El auditor interno al realizar su trabajo puede encontrar indicadores o casos de fraude, quedando delimitada su responsabilidad de detección por cuanto: “El auditor interno debe tener suficientes conocimientos para identificar los indicadores de fraude, pero no es de esperar que tenga conocimientos similares a los de aquellas personas cuya responsabilidad principal es la detección e investigación del fraude.” y, Los procedimientos de auditoría por sí solos, incluso cuando se llevan a cabo con el debido cuidado profesional, no garantizan que el fraude será detectado. Independencia Norma Básica para el Ejercicio Profesional Dependencia del responsable del área responde de un nivel jerárquico que le permita emitir opiniones imparciales y equilibradas. Función que permite estar libre de injerencias al momento de determinar el alcance, durante la ejecución y al comunicar sus resultados. Distinguir las tareas de consultoría, admitiendo que los auditores internos puedan proveer tales servicios …

7 IAI – NEPAI Consejos El AI respecto del fraude (posible o existente), debe: Poseer los conocimientos y habilidades suficientes que le permitan, reconocer los indicios / indicadores de fraude existente (presente). Permanecer siempre alerta ante cualquier oportunidad; es decir, reconocer los fraudes potenciales que podrían presentarse en la empresa (futuro). Evaluar los indicadores que señalen la posibilidad de un fraude comunicando a la dirección los casos en que ha concluido: Que hay suficientes indicios que se ha cometido un fraude; y, Que, por lo tanto, amerita el inicio de una investigación (auditoría forense). Nada impide y es necesario que la Auditoría Interna: Incorpore un área con habilidades especiales para asumir con mayor fortaleza esta responsabilidad frente al fraude, Colabore para implementar un modelo consistente de administración del riesgo. Valide que la organización en sus diversos procesos contemplen esta amenaza para su identificación con canales o esquemas de respuesta coordinados. Cuanto mayor es el riesgo de fraude (vulnerabilidad) que presenta una organización, mayor será la necesidad de auditores internos a la altura de las circunstancias.

8 Desafíos – Gerenciamiento de los Riesgos
Profundizar la Política de Gestión de Riesgos contemplando: Aspectos regulatorios en materia de Gestión Integral de Riesgos; El incremento de las regulaciones y requerimientos de información; Una mayor sofisticación en productos y tecnología aplicada; Inversionistas atentos a la administración de empresas y sus riesgos; Tratamiento de los riesgos sin burocratizar los procesos; Conjugar esfuerzos hacia focos comunes. Convergencia Aspectos Regulatorios Administración de Riesgos Basilea SOX UIF Seguridad IT Habeas Data Transparencia BCRA Objetivos Comunes Gobierno Corporativo Supervisión consolidada Evaluación y documentación de Procesos Identificar y documentar Riesgos y Controles Determinar el apetito de riesgo Herramientas para el monitoreo de los riesgos Auto evaluaciones y Auto Testeos Seguimiento incidencias y acciones correctivas Capitalizar inversión, esfuerzos y beneficios de certificar SaOx y aplicar GIR Establecer una metodología que reduzca las actividades redundantes y elimine tareas que afecten el proceso / unidades de negocio. Aunar esfuerzos para que cada jugador aporte su óptica a fin de establecer un enfoque común tendiente a la eficacia de los controles Coordinar actividades en las unidades de control corporativas. Aplicar mejores prácticas y detectar oportunidades que den eficiencia a los Procesos de Negocio. Dar mayor cobertura de riesgos y evaluación de controles. Obtener información consolidada para la toma de decisión. Lograr que la organización cumpla sus objetivos aportando un enfoque sistemático y disciplinado que le permita evaluar y mejorar la efectividad de los procesos de gestión de riesgos, control y dirección 8

9 En que podemos ayudar … ?

10 Objetivo Organizacional
Talking Points Provide high-level overview of Sections 302 and 404 including effective dates. Enfoque efectivo para la administración del fraude dirigido a: Prevenir - Detectar - Responder Converger exigencias normativas y tendencias, concentrando e integrando auto - evaluaciones (SOX / RO) y auditorías, al riesgo de fraude. Crear el área específica (AI) y desarrollo de metodología/ programa. Delimitar las responsabilidades de los integrantes de la EF. Implementar un proceso continuo dentro de la evaluación del CI. Key Points Only cover this slide if overview discussion of Section 302 is required.

11 La organización es responsable de:
Prevención - Roles La organización es responsable de: Identificar riesgos de fraude y mitigar con controles sus efectos. Asegurar que los controles de fraude sean efectivos. La responsabilidad del enfoque de administración del riesgo es compartida por los niveles más altos de la organización. Requiere contar con socios estratégicos como: Productos, RO, OYP, PLD, Seguridad, Legales y RRHH. Auditoría Interna asume la responsabilidad de: Validar que se estipulen políticas y normas con evaluación y cobertura aceptable del riesgo o aprobación superior.(controles) Planificar y monitorear la eficiencia del modelo en base a matriz. Informar al Comité los resultados de las actividades. Colaborar en la implementación de programas de ARFI.

12 Detección de Fraude Requiere del Conocimiento del:
Negocio Sistemas de control Entorno Motivaciones para cometer fraude Oportunidades para que se cometa fraude Técnicas básicas de detección de fraude Requisito básico para establecer un sistema de detección de fraude Razonable creencia que existe o puede existir fraude en la organización Existencia de Activos atractivos a ser obtenidos por medios fraudulentos Objetivo Generar indicadores que alerten de la posible existencia de fraude Proveer evidencias ante la existencia de fraude Identificar al culpable Obtener pruebas válidas Utilizar Métodos automáticos que ayuden a su identificación (Ley de Benford; Análisis digital; Análisis últimos dígitos; Lógica difusa)

13 Fortalezas / Debilidades del Programa de PDFI

14 Diferencias en Enfoque de AI
Auditoría Tradicional Detección de Fraude Procedimientos programados. Orientada al control diseñado. Foco en fortalezas del control interno, errores y omisiones. Énfasis en materialidad. Evaluación del diseño y su cumplimiento. Trabajo sobre muestras. Basada en lógica contable y auditoría. Aleatoria- no programada. Apunta a: Pensamiento defraudador; Prácticas no habituales; Uso abusivo de excepciones; Cambios conducta emocional; Foco en debilidades de CI, excepciones y conductas. Trabaja sobre universos e indicadores (excepciones) Implica la creación de un área de AI con habilidades específicas

15 Reformulación Estructura AI
Los Analistas tienen las siguientes responsabilidades: Asistencia en evaluación de riesgos de fraude. Plan Prevención Fraude Ejecución de actividades de Monitoreo - PCR Investigación de Sospechas y casos de fraude Asistencia en planes de capacitación

16 Hitos del Proyecto Alcance de las tareas de Prevención
Etapa I Alcance de las tareas de Prevención Elaborar Plan de Prevención basado en Matriz de Riesgos (ACM Rsk). Solicitar aprobación del Plan al Comité de AI. Implementar evaluación conjunta de procesos críticos. Definir socios estratégicos, esquemas de evaluación y comunicación de resultados Identificar brechas y generar un proceso continuo de validación Desarrollar planes de acción y capacitación en la materia Identificar riesgos de fraude no cubiertos al participar en proyectos, normas y productos. Monitorear controles críticos. Asistencia Crediticia (facultades delegadas vs. sistema) Trx. cursadas por empleados en beneficio propio. Profundizar los resultados de la Auditoría Continua (ACM Plus). PCR Sucursales; PCR Clientes; PCR RRHH (Calibrar información). Monitoreo centralizado basado en la herramienta. Indicadores de funcionamiento en controles centralizados. Crear nuevas alertas de monitoreo. Etapa II

17 Hitos del Proyecto (cont.)
Testeo e Investigación Evaluar mejoras el proceso actual para la emisión de Informes Especiales Delimitar participación de AI en resultados de PCR RRHH, Antecedentes e incumplimientos. Comunicación de Resultados Definición de indicadores de fraude y ranking de procesos Informes por Testeos e Investigaciones Esquema de asunción de apetito de riesgo basado en el actual de RO Fundar las bases del área. Colaborar en el esquema de evaluación integral del modelo de CI. Ayudar en la integración de tareas de auditoria que aporten al proceso. Generar Manuales de Procedimientos y Proveer de listas de Alertas viables a implementar. Aportar en capacitación de los recursos de auditoría. Generar Procedimientos para la recepción, registración y clasificación de denuncias / eventos / hechos irregulares Premisa “Eficientizar lo que ya tenemos”

18 Eficientizar lo que tenemos ….
Objetivos Implementar una metodología con mayor convergencia operativa entre las distintas Áreas de la Organización. Liderar en sinergia con Riesgo Operacional y Auditoría interna. Explotar herramientas que eficienticen el proceso. Funcionalidades del ACM Rsk Administración de riesgos y controles de los Procesos (Negocios y IT). Permite a dueños de procesos gestionar riesgos de manera integral y homogénea, aislando aquellos relativos al riesgo de fraude. Funcionalidades del ACM Plus Base de análisis de datos para el desarrollo de alertas de excepción. Muestra desvíos y tendencias sobre riesgos monitoreados. Facilita interactuar con los dueños de procesos a los fines de justificar, analizar y evaluar los resultados. Para quienes no nos conocen, es menester señalar que El Banco Macro SA además posee 2 EF – Banco Bisel y Banco del tucumán – con una red de 450 sucursales activos consolidados por y en la organización trabajan 7500 empleados. Con una gran dispersión geográfica de La Quiaca a Ushuaia y con un crisol de entidades incorporadas de diverso origen, inclusive de organismos públicos. En este contexto es que la auditoría fue delineando un esquema de trabajo que en la medida que se consolidan las Políticas, se alinean los procedimientos y se Es así que el proyecto de convergencia tiene dos caras, una que mira a la auditoría y la otra que apunta a la organización en sí misma y todos sus procesos. 18 18

19 ACM Rsk Funcionalidades
Herramienta para la administración de riesgos y la obtención del mapa de controles. Funcionalidades Generación de una base de riesgos. Asociación a procesos y productos. Relación con controles mitigantes. Estimación de impacto y ocurrencia. Incorporación de planes de mitigación. Generación de indicadores. Relación con Normas y Políticas. Administración Testeos y Auto-testeos. Obtención de Reportes de Gestión. Obtención de Reportes de Incidencias. Planes de Acción y Seguimiento. Emisión de Certificaciones. Estandarización de Narrativos.

20 “El que no sabe lo que busca, no se da cuenta cuando lo encuentra”
Acm Plus “El que no sabe lo que busca, no se da cuenta cuando lo encuentra” Considerar los distintos tipos de fraude que pueden existir y que pueden aparecer en la organización Formular una teoría de fraude: “Serie de circunstancias y sucesos que deben coexistir para que un fraude concreto ocurra” La detección de Fraude es una Ciencia Empírica Para probar o rechazar una teoría hay que realizar experimentos Análisis de los datos para identificar patrones de excepción (Alertas) Al ponderar las excepciones, se obtiene una calificación y un resultado acorde al tipo de riesgo a evaluar. Las alertas calificadas se integran en Tableros de Control siendo valorizadas en forma individual y/o combinadas. Los Tableros ofrecen información sobre niveles de riesgo y tendencia. Rutina de Detección Teoría Perfil

21 A modo de síntesis ….. ACM Rsk + ACM Plus P C R - Proceso Continuo -
ALCANCE de la revisión RIESGO a analizar Definir MATRIZ DE RESULTADOS Retroalimentación para futuras mediciones ACM Rsk + ACM Plus P C R - Proceso Continuo - Fijar EXCEPCIONES Gestión y Análisis de Resultados Definir PARÁMETROS, FILTROS Y COMBINACIONES Obtener RESULTADOS CORRIDA

22 4 – Generación de Tableros
Esquema conceptual Bases - Excepciones Tablas de ACM+ Crédito Captura 4 – Generación de Tableros Operativo Captura 3 – Definición de la Matriz de Gradientes RRHH Cliente 2 – Actualización de Stocks Riesgo Sucursal Adecuación del Tablero 5 – Adecuación del Tablero Definición de Tableros a incluir y Parámetros a cargar en la herramienta 1- Definición del alcance de la corrida Participación ponderada de Tableros Retroalimentación, replanteo futuras revisiones, comparación de paneles. 6 – Generación del Panel de Riesgo Sucursal 8 – Dictamen Final y Cierre de la corrida Consultas por División / Región / Cat. Crediticia Exportación a excel Visualización por pantalla 7 – Definición de la Matriz de Dictamen Niveles de Riesgo: Elevado - Alto - Medio - Bajo 22

23 PCR –corrida Riesgo Sucursal
Matriz de Resultado El valor final que resultó de la suma de los valores ponderados de cada sucursal se relaciona con la Matriz de Resultado a los efectos de definir de Dictaminar. Por División

24 Controles Centralizados
Aportar a la gestión de riesgos metodologías de auto-testeo y auto-evaluación. Mejora el modelo de Control Interno, por medio de metodologías uniformes y que garanticen monitoreos centralizados detectivos optimizando la gestión de riesgo de las áreas y el proceso de auditoría. Operatoria Procesamiento Bases y Aplicaciones Regiones Divisiones Sucursal Info. de Gestión SIGMA Gestión del Control Alertas - PCR ACM Plus Esquema CI Distribuir alertas de excepciones Gestionar resultados/ justificaciones Generar indicadores de control Otras Gerencias 24

25 Proceso de Controles Centralizados
Muestra de Alertas Proceso de Distri- bución de Alertas Alerta Suc. 1 Suc. 2 Suc. 3 Suc. n La selección muestral se distribuye a los usuarios involucrados, iniciándose el circuito de tratamiento de alertas. Se ingresan las respuestas (combo) en la herramienta, generando la actualización del ACM Plus Base ACM Plus Las respuestas registradas, acumulan información estadística y su análisis / valoración, brinda elementos objetivos: Calificar a la Sucursal y la Coordinación. Analizar situaciones repetitivas elevando a los dueños de procesos las problemáticas. Se detectan comportamientos / eventos Actualizar – Reenfocar las pistas y alertas. 25

26 Limitaciones del Control Interno
Un buen sistema no garantiza eliminar el fraude Alguien que es malo, no se convierte en bueno. Siempre hay restricciones sobre recursos para controles. Controles pueden ser vulnerables (connivencia) Los modelos de CI son perfectibles. Requiere de Programas de Prevención Disminuye probabilidad de ocurrencia. Minimiza su gravedad cuando ocurre. Permite mayor rapidez en la detección. Los riesgos no son únicos ni estáticos … Debemos percibir y estar atentos a los cambios tecnológicos que representan nuevas amenazas y oportunidades tales como: Cloud computing - Cyber security. Redes Sociales como medio de venta. Los dispositivos inteligentes y su nueva tecnología. Proveedores de servicios (poseen planes de gestión anti- fraude?)

27 “La gestión del Riesgo de Fraude”
Claves del ÉXITO Apoyo de la Dirección y Alta Gerencia. Firme decisión de cambio CULTURAL. Participación Activa de los diferentes actores. Adopción de herramientas tecnológicas. Coordinación y trabajo interdisciplinario. Flexibilidad del modelo. Foco objetivo, con soluciones alcanzables. Diseño y ejecución de un plan de capacitación. Implementación en etapas para evaluar avance. Requiere identificar procesos afectados, así como que toda la Organización avance dirigiendo esfuerzos y mirada hacia: “La gestión del Riesgo de Fraude” 27

28 Principales Logros Construir pilares básicos de Prevención y Control del Fraude. Focalizar el monitoreo de productos y procesos vulnerables. Generar programas basados en matriz de vulnerabilidades. Enriquecer Matriz de Riesgos y controles con visión de Fraude. Implementar esquemas de monitoreo centralizado. Profundizar el diseño de Pistas / Alertas / PCR. Promover la especialización integradora del negocio. Desarrollo de capacitaciones en la materia. Impulsar Talleres en ADEBA destinados a establecer estándares para la detección y prevención del Riesgo de Fraude. (Comisión AI) Difusión de la ARFI aportando Metodología en un marco de Calidad y Convergencia con sinergia e Independencia 28

29 Que esperan de nosotros ????

30 Simplemente Auditores Internos … Proactivos y calificados.
No somos los famosos detectives de la literatura, ni de las renombradas series de TV … Simplemente Auditores Internos … Atentos a los cambios. Proactivos y calificados. Acompañando la implementación de un adecuado sistema de Administración del Riesgo de fraude…..

31 Muchas Gracias !!! Carmen Estévez

Descargar ppt "Auditoria Interna Evaluación del Riesgo de Fraude"

Presentaciones similares

Segmentación, Definición de Público Objetivo y Posicionamiento

Segmentación, Definición de Público Objetivo y Posicionamiento
ESTRATEGIA E-BUSINESS

ESTRATEGIA E-BUSINESS
Desarrollo de Soluciones para la Continuidad Operativa* Agosto 2005 *connectedthinking.

Desarrollo de Soluciones para la Continuidad Operativa* Agosto 2005 *connectedthinking.
Auditoría a Distancia de Sucursales Bancarias

Auditoría a Distancia de Sucursales Bancarias
Módulo N° 7 – Introducción al SMS

Módulo N° 7 – Introducción al SMS
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
COSO I y COSO II.

COSO I y COSO II.
Control Interno Informático. Concepto

Control Interno Informático. Concepto
NORMALIZACIÓN ISO 9000: GESTION DE LA CALIDAD.

NORMALIZACIÓN ISO 9000: GESTION DE LA CALIDAD.
MUESTREO (NAGA´s) BOLETÍN 5020

MUESTREO (NAGA´s) BOLETÍN 5020
Evaluaciones de Sistemas de Administración de la Seguridad SMSA

Evaluaciones de Sistemas de Administración de la Seguridad SMSA
Logística Socialmente Responsable

Logística Socialmente Responsable
LA PLANIFICACIÓN DE LA AUDITORÍA TEMA 4

LA PLANIFICACIÓN DE LA AUDITORÍA TEMA 4
Conceptos generales metodología levantamiento de procesos

Conceptos generales metodología levantamiento de procesos
INDICADORES DE GESTIÓN Y MEJORAMIENTO CONTINUO

INDICADORES DE GESTIÓN Y MEJORAMIENTO CONTINUO
PLAN ESTRATÉGICO GESTIÓN ESTRATÉGICA

PLAN ESTRATÉGICO GESTIÓN ESTRATÉGICA
“8 Principios de la Gestión Administrativa”

“8 Principios de la Gestión Administrativa”
AUDITORIA DE LA ADMINISTRACIÓN DE RECURSOS HUMANOS

AUDITORIA DE LA ADMINISTRACIÓN DE RECURSOS HUMANOS
SISTEMA DE GESTIÓN PARA LA CONTINUIDAD DEL NEGOCIO QUE GARANTICE A LA COOPERATIVA DE AHORRO Y CRÉDITO “ATUNTAQUI LTDA.” LA CAPACIDAD DE OPERAR EN FORMA.

SISTEMA DE GESTIÓN PARA LA CONTINUIDAD DEL NEGOCIO QUE GARANTICE A LA COOPERATIVA DE AHORRO Y CRÉDITO “ATUNTAQUI LTDA.” LA CAPACIDAD DE OPERAR EN FORMA.
Auditoria en Informatica Lic. Enrique Hernandez H.

Auditoria en Informatica Lic. Enrique Hernandez H.

Presentaciones similares

Anuncios Google