1. Instituto de Censores Jurados
de Cuentas de Españade Cuentas de España
MAPAS DE RIESGO EN LA MAPAS DE RIESGO EN LA
AUDITORÍAAUDITORÍA
‐‐RESUMENRESUMEN‐‐
Ponente: Carlos Alberto Barrios L.Ponente: Carlos Alberto Barrios L.
Moore Stephens Madrid
Asesoramiento en Procesos de Gestión Asesoramiento en Procesos de Gestión
EmpresarialEmpresarial
Zaragoza, OctubreZaragoza, Octubre, 2017, 2017
Reservados todos los derechos. El contenido de esta presentación esta protegida por la Ley y es propiedad de Carlos Alberto Barrios ‐ MSMADRID
3. El fraude y su impacto en la organizacióny p g
LaLa evoluciónevolución deldel estudioestudio sobresobre
fraudefraude haha incluidoincluido nuevosnuevos
f tf t dd llfactoresfactores queque coadyuvancoadyuvan enen elel
mismomismo
3
4. El fraude y su impacto en la organizaciónEl fraude y su impacto en la organización
El fraude es complejo y difícil de detectar:
C l t i l•Conocen el entorno empresarial,
•Conocen el movimiento de la empresa,
•Se familiarizan con los sistemas de gestión y como procesarlas•Se familiarizan con los sistemas de gestión y como procesarlas,
•Conocen las debilidades internas de control,
•Pueden manipular las evidencias,p ,
•Pueden incriminar enmascarándose en terceras personas,
•Es compleja su trazabilidad,
•Es costoso demostrarlo y evidenciarlo.
4
5. La tecnología como elemento de riesgo y fraudeLa tecnología como elemento de riesgo y fraude
De acuerdo a encuestas sobre delitos económicos, en España se subestima este
tipo de delito, su impacto y su nivel de exposición, otorgándole más importancia al
control externo de redes, que el interno, cuando las estadísticas indican que sobre
el 60% de los ataques a redes provienen de los propios empleados.
l f á h d á lEl crimen informático tiene una estructura mucho menos pesada y jerárquica que el
crimen tradicional, es flexible, rápido e inteligente en la utilización y disponibilidad
de recursos para su ataque y ocultamiento y requiere de una habilidad intuitiva ede recursos para su ataque y ocultamiento y requiere de una habilidad intuitiva e
innata para su ejecución. El 24% de los fraudes se realizan a través de elementos
tecnológicostecnológicos.
5
6. La tecnología como elemento de riesgo y fraudeLa tecnología como elemento de riesgo y fraude
De que estamos hablando:
I i ió il l i d d d ( i hi h i )•Ingreso e intercepción ilegal a sistemas y redes de datos (pisching, pharming),
redes de telefonía (smishing, vishing),
•Interferencias y daños en la data e información (borrado deterioro alteración•Interferencias y daños en la data e información (borrado, deterioro, alteración,
malversación, violación, difusión),
•Chantajes y extorsión (sextorsion, dating, ciberacoso),Chantajes y extorsión (sextorsion, dating, ciberacoso),
•Fraude electrónico, ataques a sistemas (malware, spyware, ransomware),
•Descargas no autorizada de archivos protegidos por derechos de autor, deg p g p
privacidad o de confidencialidad,
•Desbloqueo ilegal (cracking) de archivos protegidos,
•Distribución y venta de material clasificado, (pornografia)
6
7. Estrategias efectivas contra el fraudeEstrategias efectivas contra el fraude
Luces rojas:
Gerenciar en crisis constante; ventas, fusiones y adquisiciones sin sentido o análisis
estratégico que lo soporte; transacciones no comunes, fuera de tiempo, sin sentido
lógico, no ejecutado por el usuario normal; reversos y anulaciones por cantidades o
montos individuales inmateriales; reportes y explicaciones inconsistentes,
b l l ó í d d bambiguas y complejas; alteración o extravío constante de documentos; cambios en
la actitud, conducta y nivel de vida de los empleados, pueden ser indicativos que un
fraude se puede estar cometiendofraude se puede estar cometiendo.
.
7
8. Estrategias efectivas contra el fraudeEstrategias efectivas contra el fraude
Valores Éticos Corporativos
•Comportamiento ético de la Dirección, código de ética y conducta;
•Prácticas comerciales y laborales éticas;•Prácticas comerciales y laborales éticas;
•Cumplimiento de leyes nacionales e internacionales;
•Cumplimiento de políticas y normas internas corporativas;Cumplimiento de políticas y normas internas corporativas;
•Estructura organizacional definida, roles y cargos;
•Prácticas anti soborno, corrupción y blanqueo de capitales;p y q p
•Prácticas contra el acoso, abuso y la discriminación;
•Prácticas de incentivos, remuneración comercial y laborales realista.
8
9. Estrategias efectivas contra el fraudeEstrategias efectivas contra el fraude
Planificación y alineación estratégica
•Plan estratégico medible, consistente y factible;
•Modelo de comisiones y bonificaciones realista;Modelo de comisiones y bonificaciones realista;
•Niveles de apetito y tolerancia al riesgo comedidas y fundamentadas;
•Involucramiento de la gerencia operativa top‐down, botton‐up;
•Responsable de cumplimiento con acceso al más alto nivel directivo;
•Sistemas de remuneración por evaluaciones por desempeño;
9
10. Estrategias efectivas contra el fraudeEstrategias efectivas contra el fraude
Modelo de gestión, prevención y control interno
•Procesos empresariales definidos y documentados;
l ó d h l d d l í•Evaluación de riesgos inherentes a los procesos, actividades y tecnología;
•Modelo de gestión de control y gestión de riesgos;
•Monitoreo y auditorias de controles internos;•Monitoreo y auditorias de controles internos;
•Capacitación sobre riesgo y prevención;
•Políticas y normas de sanciones disciplinarias internas;Políticas y normas de sanciones disciplinarias internas;
•Información valida, consistente, oportuna e integra.
10
11. Estrategias efectivas contra el fraudeEstrategias efectivas contra el fraude
Seguimiento de hechos irregulares y denuncias
•Canal de denuncias anónimo y confidencial;
•Procedimientos de investigación de clientes y proveedores –backgroundg y p g
screening;
•Investigación de antecedentes y eventos –pre‐employment screening;
•Pruebas de personalidad y comportamiento delictivo a empleados ‐employment
background;
•Evaluaciones y confirmación de nivel de vida y gastos;
•Remuneración acorde al nivel profesional y laboral;
•Evaluaciones y mediciones de satisfacción y clima laboral.
11
12. Estrategias efectivas contra el fraudeEstrategias efectivas contra el fraude
Revisiones y auditorias financieras y de tecnologías
•Estados financieros y de resultados acordes a la práctica de la organización;
•Desviaciones e inconsistencias contables reveladas y adecuadamente ajustadas;
•Debilidades e inconsistencias contables solventadas;
•Trazabilidad de transacciones inusuales;
•Volumen y trazabilidad de transacciones de acuerdo a la práctica;
A áli i lit ti i d d t dit i d IT•Análisis cualitativos y masivos de datos, ‐ auditoria de IT;
•Sistemas de gestión integrados con interfaces automáticas;
•Análisis y evaluaciones de seguridad de plataformas y sistemas de gestión•Análisis y evaluaciones de seguridad de plataformas y sistemas de gestión
(ethical hacking , seguridad perimetral, portscanning);
•Sistemas de detección de virus, filtrado y detección (firewalls/IDS/IPS).Sistemas de detección de virus, filtrado y detección (firewalls/IDS/IPS).
12
13. Conceptualización y diseño del Mapa de Riesgo
Establecer los objetivos de la evaluación:
Entender en contexto de la organización, su razón y mercado;
Cómo está estructurada formal e informalmente la organización;g ;
Debemos conocer las particularidades del negocio y sus estrategias;
Qué unidades de negocio debemos evaluar y revisar (UEN/UEA);
Identificar responsables por unidades y quién ejecuta el proceso.
13
14. Conceptualización y diseño del Mapa de Riesgo
Mapeo de procesos: Matriz de riesgos.
Identificar los riesgos teóricos factibles internos y externos a que está expuesto
el proceso:el proceso:
•Corroborar y documentar cómo el riesgo es controlado y la frecuencia,
•Identificar el tipo de riesgo: fraude, cohecho, ABC, Gobernabilidad, BC/FT, etc.Identificar el tipo de riesgo: fraude, cohecho, ABC, Gobernabilidad, BC/FT, etc.
•Identificar qué impacto tendrá en caso de suceder,
14
16. Conceptualización y diseño del Mapa de Riesgo
Mapeo de procesos: Matriz de riesgos
Conocidas las debilidades y los niveles de exposición, debemos entender como
mitigarlo, ya sea solventándolo, aceptándolo o trasladándolo.
•Qué controles se implementan, adecuan o eliminan;
D t i l iti id d i id d•Determinar la criticidad vs prioridad;
•Qué controles requerimos reforzar o simplemente eliminar;
•Cómo vamos a controlar y monitorear•Cómo vamos a controlar y monitorear.
1616
18. Implementación y seguimiento del MGCRImplementación y seguimiento del MGCR
Que debe contener el MGPR:
l d f d bl d l•Estructura organizacional definida y vigente, responsable de cumplimiento,
•Roles y cargos definidos y vigentes de acuerdo a la estructura organizacional,
•Canal de denuncias, confidencial y de conocimiento público,
•Sistema de sanciones por incumplimiento,
•Matriz de riesgo y planes de acción vigente,
•Políticas y normas vigentes referidas a:
Gobernabilidad; Valores y conducta ética, prácticas anti blanqueo de capitales,
prácticas anti corrupción y soborno, prácticas comerciales,
í i l í d ó l í
18
Procesos críticos; Comercial, Logística, Recursos Humanos, Producción, Tecnología,
Legal.
18
19. ConclusionesConclusiones
Al margen de la normativa aprobada, la detección oportuna de eventos de
riesgos y controles contenidos dentro del Modelo de Organización y
Gestión no solo ayudará a detectar eventos riesgos, sino mejorará la
eficiencia de nuestros procesos y operaciones de gestión empresarial.
No es una receta que aplica a todos por igual
d iNo es un seguro contra todo riesgo
Es una buena práctica gerencial
19
20. Instituto de Censores Jurados
de Cuentas de España
MAPAS DE RIESGO EN LAMAPAS DE RIESGO EN LAMAPAS DE RIESGO EN LA MAPAS DE RIESGO EN LA
AUDITORÍAAUDITORÍA
Ponente: Carlos Alberto Barrios L.Ponente: Carlos Alberto Barrios L.
Moore Stephens Madrid
Asesoramiento en Procesos de Gestión Asesoramiento en Procesos de Gestión
EmpresarialEmpresarial
Email: carlos barrios@msmadrid com
Octubre, 2017Octubre, 2017
Email: carlos.barrios@msmadrid.com
URL: de.linkedin.com/pub/carlos‐barrios/1b/572/9bb
Blog: http://notas‐del‐consultor.blogspot.com
Reservados todos los derechos. El contenido de esta presentación esta protegida por la Ley y es propiedad de Carlos Alberto Barrios ‐ MSMADRID
21. Anexo 1, Fuentes de información y consulta
Avance de datos de cibercriminalidad 2013; Ministerio del Interior de España; 2013.
Global Corruption Barometer 2013; Transparency International.;2013.
Automotive Fraud Survey 2014. Moore Stephens; 2014.
Homesite; Kaspersky.
Homesite; Microsoft
Anexo 1, Fuentes de información y consulta
Homesite; Microsoft.
Homesite; Sysmantec.
Manual CISSP, SkyllSoft; 2012.
Índice de Percepción de Corrupción; Transparency International; 2013; 2014.
Informe sobre la lucha contra la corrupción en la UE; Comisión Europea; 2014.
Informe sobre delitos económicos y fraude empresarial en España; PWC; 2011, 2014, 2016.
Encuesta sobre fraude y delitos económicos Resultados en España; PWC; 2014Encuesta sobre fraude y delitos económicos. Resultados en España; PWC; 2014.
Informe sobre delitos económicos y fraude empresarial en Latinoamérica; PWC; 2011, 2014.
17th Southern African Internal Audit Conference; IIA-PWC; 2014.
Las 40 recomendaciones; Grupo de Acciones Financieras GAFI; 2007.
Manual de Prevención y control de lavado de activos; Superintendencia Financiera de Colombia; 2013.
Internal control-Integrated Framework; COSO; 2013.
COBIT Marco Referencial; COBIT; 2001COBIT- Marco Referencial; COBIT; 2001.
Management Guidelines; COBIT; 2005
TOGAF; The Open Group; 2013.
Cambios al Modelo SCI COSO 2013; Deloitte; 2013.
Practicas para implantar un Gobierno Corporativo; CAF; 2009.
Homesite; Association of Certified Fraud Examiners ACFE, 2014.
R t t th N ti O ti l F d d Ab ACFE 2012Report to the Nations on Occupational Fraud and Abuse; ACFE, 2012
Homesite; Interamerican Community Affairs, 2014.
Fraud and Risk Management; KPMG; 2010; 2013
Global Anti-bribery and Corrution Survey; KPMG; 2011; 2014.
Financial Crimes Report; FBI; 2011-2012.
The Financial Cost of Healthcare Fraud; BDO; 2010.
21
Methodology for Assesing Compliance with the FATF; Financial Action Task Force on Money Laundering FATF; 2010.
Métodos de prevención, detección e investigación de fraudes dentro de las empresas; Universidad de Palermo; 2011.
Global profiles of the fraudster; ¨KPMG;2013
Gobernance risk and assurance; MooreStephens; 2015.
Serie de cuadernos sobre cumplimiento legal N1-N12; KPMG; 2015