Auditoría Forense - cytg.nl.gob.mx · Auditoria Auditoria Forense Prevenir ... Peritaje judicial Nivel de habilidad del auditor ... y el conjunto de los planes,

DIRECCIÓN DE AUDITORÍA

Un proyecto ambicioso …

Auditoría Forense Riesgos y Control Interno para

mitigar el riesgo de Fraude

CPC Carlos Alejandro León González MA, MEPP, CFE, CRMA, CGAP, PCCA, CFP.

El Control Interno en la Auditoría Forense

Querétaro Está en nosotros

CPC Carlos Alejandro León González MA, MEPP, CFE, CRMA, CGAP, PCCA, CFP.

4

Auditoria Forense Paradigma empresarial

Auditoria Auditoria ForensePrevenir – Impedir - Detectar Investigar – resolver - litigar

Banderas Rojas

Banderas Rojas

Banderas RojasBanderas

Rojas

Banderas Rojas

Banderas Rojas

Banderas Rojas

Banderas Rojas

Banderas Rojas

Fraude no descubierto

Sospecha de Fraude

Actual Futuro Ceder

Investigar sospecha de fraudes

Aprobar o desaprobar

las acusaciones

Litigar, procesar, concluir

Peritaje judicial

Nivel de habilidad del auditor

Asunto al Auditor Forense

Ámbito Judicial

Fuente: Adaptación del Autor al esquema 12.1 Tapp y Henderson (2006) – Traducción libre

Auditoria Auditoria ForensePrevenir – Impedir - Detectar Investigar – resolver - litigar

Banderas Rojas

Banderas Rojas

Banderas RojasBanderas

Rojas

Banderas Rojas

Banderas Rojas

Banderas Rojas

Banderas Rojas

Banderas Rojas

Fraude no descubierto

Sospecha de Fraude

Actual Futuro Ceder

Investigar sospecha de fraudes

Aprobar o desaprobar

las acusaciones

Litigar, procesar, concluir

Peritaje judicial

Nivel de habilidad del auditor

Asunto al Auditor Forense

Ámbito Judicial

Fuente: Adaptación del Autor al esquema 12.1 Tapp y Henderson (2006) – Traducción libre

1. Investigación exhaustiva 2. Análisis de información técnica específica

(financiera, legal, de ingeniería, etc) 3. Técnica criminalística 4. Recopilación de pruebas y evidencias legales 5. Declaraciones juradas y testimonios certificados 6. Preparación y habilitación de pruebas para presentar ante la corte civil o criminal.

Auditoria Forense Caracterís8cas

6

Metodología de Inves>gación Forense

Definición y >pificación del hecho

Recopilación de indicios y evidencias

Evaluación del Sistema de Control Interno

Evaluación de evidencias e indicios

Determinación de la cadena causal

Elaboración del Informe de Hallazgos

Planificación

Auditoria Forense Proceso

ROL DE LOS MARCOS El control interno se define como el proceso que efectúa el consejo direc>vo, la dirección y otro personal designado de una en>dad establecido para proporcionar un aseguramiento razonable respecto del logro de obje>vos en las siguientes categoría:

Controles de operaciones-‐relacionados con el uso eficaz y eficiente de los recursos de la

en8dad.

Controles de presentación de informes financieros-‐relacionados con la elaboración y publicación de estados contables y confiables.

Controles de cumplimiento-‐relacionados con el cumplimiento de las leyes y los reglamentos aplicables por parte de una

en8dad.


UN SISTEMA DE CONTROL INTERNO

EFICAZ PROPORCIONA:

INFORMACIÓN Y COMUNICACIÓN

OPORTUNAS Y RELEVANTES.

APLICACIÓN DE LOS MARCOS


10

• Marco Estructurado de Control Interno publicado en 1992. • Committee of Sponsoring Organizations of the Treadway

Commission. COSO

• Marco de Gestión Integral de Riesgo “COSO II” o ERM “Enterprise Risk Management” , Publicado en 2004.

•  Committee of Sponsoring Organizations of the Treadway Commission. COSO ERM

• Marco Integrado de Control Interno para Latinoamérica, publicado en 2004.

•  Federación Latinoamericana de Auditores Internos (FLAI) y Asociación Interamericana de Contabilidad (AIC)

MICIL

• Modelo Estándar de Control Interno (Colombia) publicado en 2005. •  Desarrollado por la Agencia de los Estados Unidos para el desarrollo

internacional y donado a Colombia. MECI

Modelos de Control Interno / Comparativo

11

AMBIENTE DE CONTROL

EVALUACIÓN DE RIESGOS

ACTIVIDADES DE CONTROL


SUPERVISIÓN O MONITOREO

AMBIENTE INTERNO

ESTABLECIMIENTO DE OBJETIVOS

IDENTIFICACIÓN DE EVENTOS


RESPUESTA A LOS RIESGOS




AMBIENTE DE CONTROL Y TRABAJO

INSTITUCIONAL





AMBIENTE DE CONTROL

DIRECCIONAMIENTO ESTRATEGICO




PÚBLICA

EVALUACIÓN DE CONTROL

COSO COSO II ERM MICIL MECI


12

COSO I

•  Las actividades del C. Admón o J.D. y el Comité de Auditoría

•  La mentalidad y estilo de operación de la gerencia

•  La integridad y los valores éticos

•  El compromiso a ser competente

•  La estructura de la organización

•  La asignación de autoridad y responsabilidades

•  Las políticas y prácticas de recursos humanos

COSO II ERM

•  Filosofía de la gestión de riesgos

• Cultura del riesgo

• Consejo de administración o J.D.

• Alta Gerencia

•  Integridad y valores éticos

• Compromiso de competencia

•  Estructura Organizativa

• Asignación de Autoridad y responsabilidad

• Políticas y prácticas en materia de recursos humanos

MICIL

• Consejo de administración y Comités

•  Filosofía y estilo de operación

•  Integridad y valores éticos

• Competencia profesional y evaluación del desempeño individual

•  Estructura organizativa

• Autoridad asignada y responsabilidad asumida

• Administración de Recursos Humanos

• Rendición de Cuentas y Transparencia.

MECI

• Acuerdos, compromisos o Protocolos éticos

• Desarrollo del Talento Humano

•  Estilo de Dirección


13

COSO I

• Análisis de riesgos y su proceso

• Manejo de cambios

• Objetivos de cumplimiento

• Objetivos de Operación

• Objetivos de Información

COSO II ERM

• Riesgo Inherente

• Riesgo Residual

• Probabilidad

•  Impacto

•  Fuentes de datos

•  Técnicas de evaluación

• Correlación entre acontecimientos

MICIL

• Objetivos Estratégicos

• Objetivos Específicos

• Análisis de los riesgos

• Gestiones dirigidas al cambio

• Objetivos de cumplimiento legal

• Objetivos de Operación

• Objetivos de Información y operativas

•  Identificación de riesgos internos y externos

•  Salvaguarda de los recursos

MECI

• Contexto estratégico

• Análisis de Riesgos

•  Identificación de Riesgos

• Valoración de Riesgos


14

COSO I

• Detectivos, preventivos y correctivos

• Políticas, sistemas y procedimientos

•  Indicadores de rendimiento

•  Salvaguarda de recursos

•  Segregación de funciones

•  Supervisión y

•  Entrenamiento adecuado

COSO II ERM

•  Integración de la respuesta al riesgo (evitar, reducir, compartir o aceptar)

•  Tipos de actividades de control

• Políticas y procedimientos

• Controles de los sistemas de información

• Controles específicos de la entidad

MICIL

• Análisis de la dirección

• Proceso de la información,

•  Indicadores de rendimiento

• Disposiciones legales puntuales

• Criterios técnicos de control interno

•  Estándares específicos

•  Información generada y

• Rendimientos esperados

MECI

• Políticas de operación

• Procedimientos

• Manual de operación

•  Indicadores

• Controles


15

COSO I

• Controles generales en los sistemas de información

• Controles de aplicación internos

•  Sistemas de información (interna y externa)

• Comunicación formal

• Comunicación informal

• Canales de comunicación abiertos

COSO II ERM

• Datos internos

• Datos externos

•  Salidas informativas

•  Fluidez eficaz en todas las direcciones de la organización

• Mensajes claros de la Dirección a todos

• Medios efectivos de información

MICIL

• Comunicación de los objetivos de la organización (interna y externa)

• Herramientas para la supervisión, datos fundamentales en los estados financieros.

•  Información en todos los niveles

•  Información adicional y detallada

MECI

•  Sistemas de Información

• Comunicación Informativa y Medios de Comunicación

•  Información Primaria

• Comunicación organizacional

•  Información Secundaria


16

COSO I

•  Supervisión sistemática de los componentes – On going (autocontrol

• Auditoría interna, externa,

•  Sistema de información gerencial por análisis y seguimiento.

•  Evaluaciones independientes

•  Informes de las deficiencias, excepciones o inconsistencias

COSO II ERM

• Actividades permanentes de supervisión

•  Evaluaciones independientes

• Comunicación de deficiencias

MICIL

• Monitoreo continuo por la administración

•  Evaluaciones externas

•  Informes de control interno

MECI

• Autoevaluación del Control y de Gestión

•  Evaluación del Sistema de Control Interno y de Gestión

•  Informes de Auditoría Interna.

• Planes de mejoramientos Institucional, Funcional e Individual

Los cinco componentes deben implementarse para lograr un control

Efectivo Sarbanes Oxley Act - 2002

INTOSAI GOV 9100 - Componentes

Fuente: www.intosai.org

Entorno de Control

•  Fija las pautas de la organización que ejercen influencia sobre la conciencia de la gente.

•  Elementos: integridad, valores éticos, competencia, autoridad, responsabilidad.

Evaluación de riesgos

•  Importante para determinar una respuesta apropiada (actividades de control).

Actividades de control

•  Se dan en toda la organización, en todos los niveles y en todas las funciones.

•  Incluyen una gama de actividades de control de detección y prevención.

Información y Comunicación

•  La comunicación debe elevar la conciencia sobre la importancia y la relevancia de un CI efectivo, Comunicar la tolerancia al riesgo de la entidad, y hacer que el personal esté consciente de su rol y responsabilidades.

Seguimiento (Monitoreo)

•  Evaluación del funcionamiento del sistema de control en el tiempo. Combinación de evaluaciones puntuales y recurrentes.

Modelo de Control Interno / INTOSAI

Modelo de Control Interno / INTOSAI

18

Para la INTOSAI el control interno puede ser definido como el plan de organización y el conjunto de los planes, métodos, procedimientos y otras medidas de una institución para ofrecer una garantía razonable de que se cumplan los objetivos generales:

•  Ejecución ordenada, ética, económica, eficiente y efectiva de las operaciones

•  Cumplimiento de las obligaciones de responsabilidad

•  Cumplimiento de las leyes y regulaciones aplicables

•  Salvaguarda de los recursos para evitar pérdidas, mal uso y daño.

Fuente: www.intosai.org

Ambas definiciones (COSO e INTOSAI) se complementan y conforman una versión amplia del Control Interno: 1.  enfatizando respecto a su carácter de proceso constituido por

una cadena de acciones integradas a la gestión,

2.  atendiendo fundamentalmente a sus objetivos.

19

Control Interno según COSO se en>ende como el proceso que ejecuta la administración con el fin de evaluar operaciones especificas con seguridad razonable en tres principales categorías: Efec>vidad y eficiencia operacional, confiabilidad de la información financiera y cumplimiento de polí>cas, leyes y normas.

Ambas definiciones (COSO e INTOSAI) se complementan y conforman una versión amplia del control interno: la primera enfa>zando respecto a su carácter de proceso cons>tuido por una cadena de acciones integradas a la ges>ón, y la segunda atendiendo fundamentalmente a sus obje>vos.

Según la Comisión de Normas de Control Interno de la Organización Internacional de En>dades Fiscalizadoras Superiores (INTOSAI), el control interno puede ser definido como el plan de organización, y el conjunto de planes, métodos, procedimientos y otras medidas de una ins>tución, tendientes a ofrecer una garanUa razonable.

Modelo de Control Interno

Componentes de los controles internos


21

Modelo de Control Interno (COSO)

El marco integrado de control que plantea el informe COSO consta de cinco componentes interrelacionados y tres Obje8vos.

22

Marco integrado de control interno

23

Modificación del Modelo de Control Interno (COSO)

El principal cambio presentado es la Codificación de 17 principios integrados en el Marco original:

1.   Demostrar compromiso de integridad y valores é>cos 2.   Ejercicio de funciones de supervisión 3.   Establecimiento de estructura, autoridad y responsabilidad 4.   Demostrar compromiso ala competencia 5.   Cumplimiento de la rendición de cuentas

6. Especificar obje>vos relevantes 7. Iden>ficar y analizar riesgos 8. Evaluar riesgos de fraude 9. Iden>ficar y analizar cambios significa>vos

10.Selección y desarrollo de las ac>vidades de control. 11.Selección y desarrollo de controles generales sobre tecnología 12.Despliegue a través de polí>cas y procedimientos

13. Usar información relevante 14. Comunicación internamente 15. Comunicación externamente

16. Llevar a cabo evaluaciones en curso y/o separado 17. Evaluar y comunicar deficiencias

Ambiente de control

Evaluación de riesgos

Información & Comunicación

Ac>vidades de control

Monitoreo de ac>vidades


24

Componentes de Control

Ambiente de Control

Ø  La integridad personal y profesional y los valores é>cos de la gerencia y el resto del personal, incluyendo una ac>tud de apoyo hacia el control interno todo el >empo a través de la organización;

Ø  Competencia;

Ø  El “tono de los superiores” (es decir la filosoga de la dirección y el es>lo gerencial);

Ø  Estructura organizacional;

Ø  Polí>cas y prác>cas de recursos humanos.


25


Evaluación de Riesgos

Ø  Iden>ficación del riesgo. Ø  Valoración del riesgo.

Ø  Evaluación de la tolerancia al riesgo de la organización.

Ø  Desarrollo de respuestas: Ø  Evaluación/Administración de Riesgos:


26

Evaluación/Administración de Riesgos:

Iden>ficar un conjunto de controles para protegerse por cada amenaza

Es>mar los costos y beneficios de la ins>tución de controles

Es>mar la exposición o pérdida potencial por cada amenaza

Determinar las amenazas a las que se enfrenta la compañía

Es>mar el riesgo o probabilidad de que ocurra cada uno de los riegos

¿Existe una relación costo-‐beneficio de proteger al

sistema contra dicha

amenaza?

Implementar un juego de controles para protegerse contra la amenaza Sí

No


27


Ac>vidades de Control

Ø  Proced imientos de autor i zac ión y aprobación;

Ø  Segregación de funciones (autorización, procesamiento, archivo, revisión);

Ø  Controles sobre el acceso a recursos y archivos;

Ø  Verificaciones; Ø  Conciliaciones; Ø  Revisión de desempeño opera>vo; Ø  Revisión de operaciones, procesos y

ac>vidades; Ø  Supervisión (asignaciones, revisiones y

aprobaciones, dirección y capacitación).


28


Información y Comunicación

Ø  La información per>nente debe ser iden>ficada, capturada y comunicada de una manera y en cierto límite de >empo que permita que el personal lleve a cabo su control interno y sus otras responsabilidades (comunicación puntual a la gente adecuada).

Ø  Segregación de funciones (autorización, procesamiento, archivo, revisión);

Ø  La comunicación efec>va debe fluir hacia

abajo, a través de y hacia arriba de la o r g an i z a c i ó n , t o c ando t o do s l o s componentes y la estructura entera.


29


Monitoreo / Supervisión

Ø  Seguimiento con>nuo. Ø  Evaluaciones puntuales. Ø  El seguimiento debe asegurar que los

h a l l a z g o s d e a u d i t o r í a y l a s recomendaciones sean adecuados y oportunamente resueltos.


30

CATEGORÍAS DE OBJETIVOS

• Esta categoría se dirige a los obje8vos empresariales básicos de una en8dad, incluyendo los obje8vos de rendimiento y de rentabilidad y la salvaguarda de los recursos.

Eficacia y eficiencia de las operaciones

• Esta relacionada con la elaboración y publicación de estados financieros fiables.

Fiabilidad de la información financiera

• Corresponde al cumplimiento de aquellas leyes y normas a las que está sujeta la en8dad.

Cumplimiento de las leyes y normas que sean aplicables


Objetivos de Control Interno para El Sector Público

Promover la efec>vidad, eficiencia y economía en las operaciones, programas, proyectos y calidad de los servicios que se brinden a la sociedad;

Medir la eficacia en el cumplimiento de los obje>vos ins>tucionales y prevenir desviaciones en la consecución de los mismos;

Mantener un adecuado manejo de los recursos públicos y promover que su aplicación se realice con criterios de eficiencia, economía y transparencia;

Elaborar información financiera, presupuestal y de ges>ón, veraz, confiable y oportuna,

Propiciar el cumplimiento del marco legal y norma>vo aplicable a las Dependencias y En>dades.

31

Los principales controles para establecer y mantener una estructura de control

Controles de protección de ac>vos Protegen los ac8vos contra pérdida, adquisición no autorizada, uso o disposición indebida.

Controles de presupuesto: Aseguren la ejecución de transacciones de acuerdo con la legislación presupuestal. Los controles se orientan a cada restricción relevante del presupuesto.

Controles de cumplimiento:

Aseguren el cumplimiento de las leyes y reglamento así como otras normas específicas que podrían tener un efecto directo y material sobre los estados financieros. Los controles a aplicarse deben referirse a cada disposi8vo legal significa8vo.

Controles de información financiera:

Registran apropiadamente, procesan y resumen las transacciones para permi8r la preparación de estados financieros confiables y mantener la responsabilidad por los ac8vos. La prueba de controles deberá orientarse a cada aseveración significa8va en cada ciclo importante o aplicación contable.

32


33 Fuente: www.intosai.org

Roles y responsabilidades

Gru

po 1

. Int

erno

Gru

po 2

. Ext

erno


34

MAPA SIMPLE PRIORIZACIÓN-RESPUESTA

Tipo de Control en la Administración Gubernamental

Y X 1 2 3 4 5

1 Bajo Bajo Moderado Alto Alto

2 Bajo Bajo Moderado Alto Extremo

3 Bajo Moderado Alto Extremo Extremo

4 Moderado Alto Alto Extremo Extremo

5 Alto Alto Extremo Extremo Extremo

Tipo de Control en la Administración Gubernamental

39

Riesgos-‐ Control Interno

Riesgo Posibilidad de que un evento desfavorable pueda afectar nega8vamente la habilidad de la organización para el

logro de sus obje8vos.

Control Interno Es un proceso diseñado para proveer seguridad razonable con respecto al logro de los obje8vos de negocios. • La efec8vidad y eficiencia de las operaciones • Confiabilidad de la información financiera • Cumplimiento de las leyes y regulaciones aplicables

Administración de riesgos Es el proceso para incrementar la confianza en la

habilidad de una organización para an8cipar, priorizar y superar obstáculos para alcanzar metas.

40

Riesgos-‐ Control Interno

Controles

Riesgos

Análisis de

riesgos

• Auditoría basada en controles • Auditoría de cumplimiento y evaluación • Parte del costo opera8vo

• Auditoría basada en el entendimiento del negocio y los riegos de control • Evaluación de riesgos sin conexión con el resto del proceso de auditoría • Orientada por proceso

• Basada en los procesos crí8cos y el análisis de los riesgos del negocio • Enlace entre las pruebas de auditoría y el proceso de control de riesgos. • Visión integral de negocios (ciclos) • Auditoría del negocio • Innovadora • Valor Agregado • Orientada a resultados

80´s

90´s

Hoy

Limitaciones del Control Interno


El control interno no soluciona t o d o s l o s p r o b l ema s y d e fi c i e n c i a s d e u n a organización, es decir que no representa la "garan`a total" sobre la consecución de los obje8vos.

En el caso de los obje8vos operacionales el control interno no puede proporcionar ni siquiera una seguridad r a z o n a b l e d e q u e s e conseguirás los obje8vos.

El control interno no puede proporcionar una seguridad "absoluta" con respecto a cualquiera de las categorías de obje8vos (Operacionales, Información Financiera y Cumplimiento).

41


Dentro de la naturaleza de las decisiones que afectan al control, basadas en el juicio humano, podemos describir las siguientes:

Disfunciones del sistema

Elusión de los controles por la dirección

Confabulación

Relación costes/beneficios

42

¿Cómo se que debo Controlar? Establecer objetivos

Identificar Riesgos

Medir y Analizar

Implementar Actividades de Control

Monitorear Actividades de Control

1

2

3

4

5

MAPA GENERAL DE RIESGOS

Agua Potable y San.

Obra Pública

Distritos de Riego

Pago de viáticos

Dictámenes técnicos

Fiscalización

Consejos de Cuenca

Aguas Subterráneas

Adquisiciones

Admón. Del Agua

Almacenes

Activos Fijos

10 M

9

8

7

6

5

4

3

2

1

0 1 2 3 4 5

III.-‐ De seguimiento IV.-‐ Controlados

II.-‐ Atención periódica I.-‐ Atención inmediata

Los controles deben dejarse por escrito, deben ser constantes y de aplicación generalizada, no debe dejarse al criterio de las personas que lo implementen. Debe estar autorizado por la autoridad competente. Debe ser público, es decir, de conocimiento de todos los empleados, de los auditores externos, y de ameritarlo, de conocimiento de la población. Es importante que los controles vayan regulados de acuerdo a las diferentes leyes y normatividades. Y que éstos permitan el uso eficiente, transparente y oportuno de los recursos públicos.

EN CUALQUIER ORGANIZACIÓN DE PERSONAS, LA ESENCIA DEL CONTROL ES LA COMBINACIÓN

DE PROPÓSITO, DEL COMPROMISO Y DE LA

CAPACIDAD, ASÍ COMO DE LA SUPERVISIÓN Y EL

APRENDIZAJE.

El control abarca todos los elementos de una organización que, tomados en su conjunto, apoyan a

las personas en el logro de los obje8vos de la organización.

Entre los elementos se incluyen recursos, sistemas, procesos, cultura, estructura y tareas. El estudio del control significa estudiar todos esos elementos y la manera en que se interrelacionan y alinean con los

obje8vos.

En el punto más alto, “el obje8vo” de la organización es la razón de su existencia, su misión. Ese mismo adquiere vida a través de la visión, los obje8vos

estratégicos y planes para alcanzarlos. Los obje8vos pueden describirse en tres categorías:

El última instancia, cualquier sistema de control es responsabilidad del consejo de gobierno. La publicación Guía para directores-Guía para directrices-procesos de gobernanza del Instituto Canadiense de Contadores Públicos (CICA) describe seis responsabilidades de control para los consejos: • Establecimiento y supervisión de los valores éticos de la organización;

• Aprobación y supervisión de la misión, visión y estrategia;

• Evaluación de la alta dirección

• Supervisión del sistema de control de la dirección y

• Evaluación de la eficacia del consejo.

Un proyecto ambicioso …

Auditoría Forense Riesgos y Control Interno para

mitigar el riesgo de Fraude

51 51

Ø  Otra Mirada … Ø  Conceptos básicos Ø  Convergencia – Sinergia e Independencia Ø  El desafío de Gerenciar el Riesgo Ø  Secuencia del Proceso Ø  Limitaciones del CI Ø  Claves del Éxito Ø  Principales Logros

Temática

52

Introducción

Ø Mirada diferente de la Auditoría Forense –  Unidad que aporta al Negocio. –  Proactiva. –  Independiente. –  Experta. –  Metodológica. –  Socio estratégico. –  Herramienta valiosa para la Dirección. –  Líder en mejora de procesos de control. Auditoría Forense

Conceptos básicos ….

52

53

Comité de Supervisión Bancaria de Basilea

v  Fraude Interno: Pérdidas derivadas de algún tipo de actuación encaminada a defraudar, apropiarse de bienes indebidamente o soslayar leyes o políticas en las que participa, al menos, una parte interna a la empresa o entidad.

•  Actividades No Autorizadas: Ej. Operaciones no reveladas; valoración errónea de posiciones (intencional).

•  Hurto y Fraude: Ej.: Créditos, hurto / malversación / robo / extorsión; destrucción dolosa activos; abuso de información privilegiada (en contra de la Entidad.)

“Fraude” es un evento de pérdida contenido en el Riesgo Operativo que debe ser mitigado y se clasifica en:

v  Fraude Externo: Pérdidas derivadas de algún tipo de actuación encaminada a defraudar, apropiarse de bienes indebidamente o soslayar la legislación por parte de un tercero.

¨  Seguridad de los Sistemas: Ej.: daños por ataques informáticos; robo de información (con pérdidas pecuniarias).”

¨  Hurto y Fraude: Ej. Robo; falsificación de cheques o firmas, etc..

54

IAI - NEPAI 1210 – “Pericia”,

El auditor interno al realizar su trabajo puede encontrar indicadores o casos de fraude, quedando delimitada su responsabilidad de detección por cuanto:

•  “El auditor interno debe tener suficientes conocimientos para identificar los indicadores de fraude, pero no es de esperar que tenga conocimientos similares a los de aquellas personas cuya responsabilidad principal es la detección e investigación del fraude.” y,

•  Los procedimientos de auditoría por sí solos, incluso cuando se llevan a cabo con el debido cuidado profesional, no garantizan que el fraude será detectado.

El Glosario de las Normas Básicas para el Ejercicio Profesional del IIA define al fraude como:

“Cualquier acto ilegal caracterizado por engaño, ocultación o violación de confianza. Estos actos no requieren la aplicación de amenaza de violencia o fuerza física. Los fraudes son perpetrados por individuos y organizaciones para obtener dinero, bienes o servicios, para evitar pagos o pérdidas de servicios, o para asegurarse ventajas personales o de negocio”

55

IAI – NEPAI Consejos Ø  El AI respecto del fraude (posible o existente), debe:

•  Poseer los conocimientos y habilidades suficientes que le permitan, reconocer los indicios / indicadores de fraude existente (presente).

•  Permanecer siempre alerta ante cualquier oportunidad; es decir, reconocer los fraudes potenciales que podrían presentarse en la empresa (futuro).

•  Evaluar los indicadores que señalen la posibilidad de un fraude comunicando a la dirección los casos en que ha concluido: 1.  Que hay suficientes indicios que se ha cometido un fraude; y, 2.  Que, por lo tanto, amerita el inicio de una investigación (auditoría forense).

Cuanto mayor es el riesgo de fraude (vulnerabilidad) que presenta una organización, mayor será la necesidad de auditores forenses a

la altura de las circunstancias.

Ø  Nada impide y es necesario que la Auditoría Interna: n  Incorpore un área con habilidades especiales para asumir con mayor fortaleza

esta responsabilidad frente al fraude, n  Colabore para implementar un modelo consistente de administración del riesgo. n  Valide que la organización en sus diversos procesos contemplen esta amenaza

para su identificación con canales o esquemas de respuesta coordinados.

56 56

Ø Aspectos regulatorios en materia de Gestión Integral de Riesgos; Ø El incremento de las regulaciones y requerimientos de información; Ø Una mayor sofisticación en productos y tecnología aplicada; Ø Inversionistas atentos a la administración de empresas y sus riesgos; Ø Tratamiento de los riesgos sin burocratizar los procesos; Ø Conjugar esfuerzos hacia focos comunes.

Desafíos – Gerenciamiento de los Riesgos

•  Profundizar la Política de Gestión de Riesgos contemplando:

Objetivos Comunes

Gobierno Corporativo

Supervisión consolidada

Evaluación y documentación de Procesos

Identificar y documentar Riesgos y Controles

Determinar el apetito de riesgo

Herramientas para el monitoreo de los riesgos

Auto evaluaciones y Auto Testeos

Seguimiento incidencias y acciones correctivas

Aspectos Regulatorios

Administración de Riesgos

Basilea

SOX

UIF

Seguridad IT

Habeas Data

Transparencia

BCRA

57

En que podemos ayudar … ?

Ambiente de control

• Validar la existencia de políticas y procedimientos antifraude. • Verificar su alineación con el código de ética / conducta y políticas de contratación • Complementar y re-pensar las funciones de AI en el nuevo contexto • Incorporar un esquema de aprendizaje que derrame en diseños y capacitaciones • Implantar políticas y metodológicas de investigación • Revisar eventos, alertas y trx sospechosas de fraude • Delimitar responsabilidades y comunicar resultados

Evaluación de riesgos de

fraude

• Validar evaluaciones de procesos que contemplen el riesgo de fraude • Incorporar el riesgo de fraude a las matrices de riesgos y controles existentes • Converger en la documentación, actualización y certificación de los procesos

Actividades de control de

fraude

• Colaborar en la definición de controles mitigantes de riegos identificados • Asistir para mejorar controles preventivos y detectivos. • Ayudar a generar Planes anti-fraude con rotación de énfasis aprobados por la Dirección • Incorporar al Plan Anual de Auditoría actividades de control anti-fraude

Información y

comunicación

• Consensuar con RRHH programas corporativos de comunicación • Asistir en la implementación de capacitaciones • Fomentar el uso de programas de denuncia anónima

Monitoreo • Realizar evaluaciones periódicas de controles fraude • Aprovechar las herramientas de análisis de datos • Implementar un modelo de monitoreo continuo

58

Ø  Enfoque efectivo para la administración del fraude dirigido a: §  Prevenir - Detectar - Responder §  Converger exigencias normativas y tendencias, concentrando e integrando

auto - evaluaciones (SOX / RO) y auditorías, al riesgo de fraude. §  Crear el área específica (AI) y desarrollo de metodología/ programa. §  Delimitar las responsabilidades de los integrantes de la EF. §  Implementar un proceso continuo dentro de la evaluación del CI.

Objetivo Organizacional

Alcance Participantes Gap y

cierre de brecha

Implementación Estrategia, Estructura,

Comunicación, Recursos

Monitoreo Pistas y Alertas

Protocolos de análisis

Feed Back En base a eventos

de fraude y auditoría forense

Diseño Identificar riesgos y controles mitigantes

59

Prevención - Roles

Ø La organización es responsable de: – Identificar riesgos de fraude y mitigar con controles sus efectos. – Asegurar que los controles de fraude sean efectivos. – La responsabilidad del enfoque de administración del riesgo es

compartida por los niveles más altos de la organización.

Ø Requiere contar con socios estratégicos como: n  Productos, PLD, Seguridad, Legales y RRHH.

Ø Auditoría Interna asume la responsabilidad de: n  Validar que se estipulen políticas y normas con evaluación y

cobertura aceptable del riesgo o aprobación superior.(controles) n  Planificar y monitorear la eficiencia del modelo en base a matriz. n  Informar al Comité los resultados de las actividades. n  Colaborar en la implementación de programas de ARFI.

60

Detección de Fraude

Ø  Requiere del Conocimiento del: •  Negocio •  Sistemas de control •  Entorno •  Motivaciones para cometer fraude •  Oportunidades para que se cometa fraude •  Técnicas básicas de detección de fraude

Ø  Objetivo ¨  Generar indicadores que alerten de la posible existencia de fraude ¨  Proveer evidencias ante la existencia de fraude ¨  Identificar al culpable ¨  Obtener pruebas válidas ¨  Utilizar Métodos automáticos que ayuden a su identificación

(Ley de Benford; Análisis digital; Análisis úl8mos dígitos; Lógica difusa)

Ø  Requisito básico para establecer un sistema de detección de fraude

¨  Razonable creencia que existe o puede existir fraude en la organización ¨  Existencia de Activos atractivos a ser obtenidos por medios fraudulentos

61

HITOS PREVENCION DETECCION RESPUESTA

Estructu

ra Supervisión del Comité de AI

Obje

tivos Evaluación del modelo a fin de

identificar y reducir el riesgo de ocurrencia de hechos de fraude y

conductas irregulares.

Investigación de eventos y evaluación tendiente a descubrir el

fraude o potenciales conductas irregulares mediante monitoreo de

los riesgos relevantes.

Adoptar acciones correctivas y cambios al modelo o al apetito

de riesgo a fin de mitigar el daño provocado por el fraude o

conducta irregular.

Forta

leza

s

Código de conducta, RCI y normas de Tratamiento de Irregularidades

Políticas de Evaluación de Riesgos (RO) abarcativas

Procedimientos de Alta de empleados y Proveedores

Herramienta de Adm. de Riesgos y Controles

PCR RRHH - Sistema de Alertas ACM Plus

Alertas e informes de gestión (Varias Areas).

Auditoría Casos Especiales (forense). Coordinación con áreas específicas

Paneles de Control RRHH y evaluación antecedentes

Auto- evaluación de Procesos Críticos de controles mitigantes

Esquema de Informes con responsabilidades y Sanciones

Línea de Denuncia

Esquema y Metodología para la ejecución de Investigaciones

(Pruebas, informes, responsabilidades, actuación

adminitrativa, etc.)

Propender a la adopción de mejoras al proceso.

Revisión de normas, procesos y evaluación de nivel de tolerancia.

Aspe

ctos

a M

ejor

ar

Profundizar la evaluación del riesgo en convergencia

Identificar y clasificar (ocurrencia / impacto) de algunos riesgos

declarados - ACM Risk

Desarrollar Plan Integral de Prevención de Riesgo Fraude

Mejorar la Comunicación y Capacitación en técnicas de

prevención

Eficientizar la gestión de resultados e indicadores de tolerancia

Evaluar el uso de otras herramientas de detección (Ej. Datamining mails)

Profundizar esquema de Comunicación de casos detectados y resultados.

Difundir el uso de la Línea de denuncia

Revisiones orientadas a incumplimientos normativos.

Generar protocolos de investigación de fraudes.

Revisar Monitoreos y procedimeintos orientando revisión basados en Plan

Anti-fraude

Formalizar esquema de resguardo y conservación de pruebas utilizadas

en investigación.

Incluir a seguimiento las deficiencias de diseño detectadas en investigación o eventos de fraude.

Estructu

ra Supervisión del Comité de AIFunciones de gerentes de 1ra línea

Funciones de Areas de Cumplimiento y ControlFunciones de AI, cumplimiento normativo y monitoreo

Fortalezas / Debilidades del Programa de PDFI

62

Diferencias en Enfoque de AI

•  Procedimientos programados. •  Orientada al control diseñado. •  Foco en fortalezas del control

interno, errores y omisiones. •  Énfasis en materialidad. •  Evaluación del diseño y su

cumplimiento. •  Trabajo sobre muestras. •  Basada en lógica contable y

auditoría.

•  Aleatoria- no programada. •  Apunta a:

•  Pensamiento defraudador; •  Prácticas no habituales; • Uso abusivo de excepciones; • Cambios conducta emocional;

•  Foco en debilidades de CI, excepciones y conductas.

•  Trabaja sobre universos e indicadores (excepciones)

Detección de Fraude Auditoría Tradicional

Implica la creación de un área de AI con habilidades específicas

63

Reformulación Estructura AI

Los Analistas tienen las siguientes responsabilidades:

Asistencia en evaluación de riesgos de fraude. Plan Prevención Fraude

Ejecución de actividades de Monitoreo - PCR

Investigación de Sospechas y casos

de fraude

Asistencia en planes de capacitación

AUDITORIA INTERNA

Jefe RIESGOS NEGOCIO

Jefe AREAS

CENTRALES

Jefe RED DE

SUCURSALES

PANEL DE CONTROL DE RIESGOS (3)

Procesos Centralizados

JefeSI – TI y

Automatización

Procesos Descentralizados

Planeamiento y Control de Gestión

ASISTENTE – Control Calidad

Monitoreo y Adm. Riesgo Fraude

Interno

ADM. RIESGO DE FRAUDE (2)

64

Hitos del Proyecto Ø  Alcance de las tareas de Prevención

–  Elaborar Plan de Prevención basado en Matriz de Riesgos. –  Solicitar aprobación del Plan al Comité de AI. –  Implementar evaluación conjunta de procesos críticos.

•  Definir socios estratégicos, esquemas de evaluación y comunicación de resultados •  Identificar brechas y generar un proceso continuo de validación •  Desarrollar planes de acción y capacitación en la materia

–  Identificar riesgos de fraude no cubiertos al participar en proyectos, normas y productos.

–  Monitorear controles críticos. •  Asistencia Crediticia (facultades delegadas vs. sistema) •  Trx. cursadas por empleados en beneficio propio.

–  Profundizar los resultados de la Auditoría Continua. •  PCR Sucursales; PCR Clientes; PCR RRHH (Calibrar información). •  Monitoreo centralizado basado en la herramienta. •  Indicadores de funcionamiento en controles centralizados. •  Crear nuevas alertas de monitoreo.

Etapa I

Etapa II

65

Hitos del Proyecto (cont.) Ø  Testeo e Investigación

–  Evaluar mejoras el proceso actual para la emisión de Informes Especiales –  Delimitar participación de AI en resultados de PCR RRHH, Antecedentes e

incumplimientos.

Ø  Comunicación de Resultados –  Definición de indicadores de fraude y ranking de procesos –  Informes por Testeos e Investigaciones –  Esquema de asunción de apetito de riesgo basado en el actual de RO

Ø  Fundar las bases del área. –  Colaborar en el esquema de evaluación integral del modelo de CI. –  Ayudar en la integración de tareas de auditoria que aporten al proceso. –  Generar Manuales de Procedimientos y Proveer de listas de Alertas viables a

implementar. –  Aportar en capacitación de los recursos de auditoría. –  Generar Procedimientos para la recepción, registración y clasificación de denuncias /

eventos / hechos irregulares

Premisa “Eficientizar lo que ya tenemos”

66 66

Eficientizar lo que tenemos ….

Objetivos Ø  Implementar una metodología con mayor convergencia operativa entre

las distintas Áreas de la Organización. Ø  Liderar en sinergia con Riesgo Operacional y Auditoría interna. Ø  Explotar herramientas que eficienticen el proceso.

Funcionalidades del Admón Riesgo

Ø  Administración de riesgos y controles de los Procesos (Negocios y IT). Ø  Permite a dueños de procesos gestionar riesgos de manera integral y

homogénea, aislando aquellos relativos al riesgo de fraude.

Funcionalidades del Admón Riesgos Plus

Ø  Base de análisis de datos para el desarrollo de alertas de excepción. Ø  Muestra desvíos y tendencias sobre riesgos monitoreados. Ø  Facilita interactuar con los dueños de procesos a los fines de justificar,

analizar y evaluar los resultados.

67

Herramienta para la administración de riesgos y la obtención del mapa

de controles.

Funcionalidades Generación de una base de riesgos. Asociación a procesos y productos. Relación con controles mitigantes.

Estimación de impacto y ocurrencia. Incorporación de planes de

mitigación.

Generación de indicadores. Relación con Normas y Políticas. Administración Testeos y Auto-

testeos.

Obtención de Reportes de Gestión. Obtención de Reportes de

Incidencias.

Planes de Acción y Seguimiento. Emisión de Certificaciones.

Estandarización de Narrativos.

ACM Rsk

68

Acm Plus “El que no sabe lo que busca, no se da cuenta

cuando lo encuentra”

Ø  Considerar los distintos tipos de fraude que pueden existir y que pueden aparecer en la organización

Ø  Formular una teoría de fraude: “Serie de circunstancias y sucesos que deben coexistir para que un fraude concreto ocurra”

Ø  La detección de Fraude es una Ciencia Empírica –  Para probar o rechazar una teoría hay que realizar experimentos –  Análisis de los datos para identificar patrones de excepción (Alertas)

Ø  Al ponderar las excepciones, se obtiene una calificación y un resultado acorde al tipo de riesgo a evaluar.

Ø  Las alertas calificadas se integran en Tableros de Control siendo valorizadas en forma individual y/o combinadas.

Ø  Los Tableros ofrecen información sobre niveles de riesgo y tendencia.

Teoría Perfil Ru>na de Detección

69

A modo de síntesis …..

RIESGO

a analizar

ALCANCE de la

revisión

Fijar EXCEPCIONES

Definir PARÁMETROS,

FILTROS Y COMBINACIONES

Definir

MATRIZ DE RESULTADOS

Obtener RESULTADOS

Gestión y Análisis

de

Resultados

Retroalimentación

para futuras mediciones

CORRIDA

- Proceso Continuo -

70


Ø  Un buen sistema no garantiza eliminar el fraude –  Alguien que es malo, no se convierte en bueno. –  Siempre hay restricciones sobre recursos para controles. –  Controles pueden ser vulnerables (connivencia) –  Los modelos de CI son perfectibles.

Ø  Requiere de Programas de Prevención n  Disminuye probabilidad de ocurrencia. n  Minimiza su gravedad cuando ocurre. n  Permite mayor rapidez en la detección.

Ø  Los riesgos no son únicos ni estáticos … n  Debemos percibir y estar atentos a los cambios tecnológicos que

representan nuevas amenazas y oportunidades tales como: ¨  Cloud computing - Cyber security. ¨  Redes Sociales como medio de venta. ¨  Los dispositivos inteligentes y su nueva tecnología. ¨  Proveedores de servicios (poseen planes de gestión anti- fraude?)

71 71

Claves del ÉXITO Ø  Apoyo de la Dirección y Alta Gerencia. Ø  Firme decisión de cambio CULTURAL. Ø  Participación Activa de los diferentes actores. Ø  Adopción de herramientas tecnológicas. Ø  Coordinación y trabajo interdisciplinario. Ø  Flexibilidad del modelo. Ø  Foco objetivo, con soluciones alcanzables. Ø  Diseño y ejecución de un plan de capacitación. Ø  Implementación en etapas para evaluar avance.

Requiere identificar procesos afectados, así como que toda la Organización avance dirigiendo esfuerzos y mirada hacia:

“La gestión del Riesgo de Fraude”

72 72

Principales Logros

Ø  Construir pilares básicos de Prevención y Control del Fraude.

Ø  Focalizar el monitoreo de productos y procesos vulnerables.

Ø  Generar programas basados en matriz de vulnerabilidades.

Ø  Enriquecer Matriz de Riesgos y controles con visión de Fraude.

Ø  Implementar esquemas de monitoreo centralizado.

Ø  Profundizar el diseño de Pistas / Alertas / Programa de CI.

Ø  Promover la especialización integradora del negocio.

Ø  Desarrollo de capacitaciones en la materia.

Ø  Impulsar Talleres en prevensión destinados a establecer estándares para la detección y prevención del Riesgo de Fraude. (Comisión AI)

Difusión del MICI aportando Metodología en un marco de Calidad y Convergencia con sinergia e Independencia

Auditoria Forense Proceso

Tipos de Pruebas

Proceso

Los atributos personales de un auditor forense deben incluir: seguridad en si mismo, persistencia, compromiso con la honestidad y el juego limpio, creativo, curioso, independiente, objetivo, con instinto para saber qué esta fuera de lugar y balance, con buena presentación, con comunicación clara, sensible a la conducta humana, con sentido común y capacidad para poner las piezas en un rompecabezas sin fuerza y sin invención.

Atributos del Auditor Forense

•  EL PERFIL DEL AUDITOR FORENSE: En adición a los conocimientos de contabilidad y auditoría habituales, para la formación del auditor forense se debe incluir aspectos de investigación legal y formación jurídica, con énfasis en la recolección de pruebas y evidencias.

El auditor forense debe tener amplios conocimientos en el campo a auditar. Los principios y las disposiciones legales vigentes, las normas internacionales de auditoría (y de Contabilidad), técnicas y procedimientos de auditoría a emplearse y experiencia en la realización de estas labores.

El auditor debe estar altamente calificado para manejar la información y las técnicas de análisis y revisar el proceso de control designado por la administración.

Asimismo, entre las principales competencias para asumir el compromiso de una auditoría forense, tenemos:

Perfil del Auditor Forense

•  Ser perspicaz, •  Conocimiento de Psicología, •  Mentalidad investigadora, •  Mucha auto motivación, •  Trabajo bajo presión, •  Mente creativa, •  Habilidades de comunicación y persuasión, •  Habilidad de comunicar en las condiciones de ley, •  Habilidades de mediación y negociación, •  Habilidades analíticas, •  Creatividad para poder adaptarse a las nuevas situaciones, •  Experiencia en el campo de la auditoría.

Perfil del Auditor Forense

•  Debe difundirse la práctica de la Auditoria Forense y

capacitar a los profesionales que la ejercen. •  Se requiere de conocimientos interdisciplinarios y de

profesionales con perfiles más exigentes que una auditoría tradicional.

•  No se cuenta con normas propias que regulen la actuación de la Auditoría Forense.

•  No se puede estandarizar los procedimientos de Auditoría Forense, debido a que existen un sin número de formas de hacer fraude y corrupción, situaciones que exigen al auditor apelar a su experiencia y juicio profesional al preparar los procedimientos de auditoría efectivos que determinen y cuantifiquen los fraudes.

www.ideaf.org 79

•  El Auditor Forense es quién recaba y/o evalúa pruebas para presentar o presentarlas en el ámbito judicial y que permitan establecer o esclarecer las circunstancias en el cual se cometió o no un acto contra legem, así como sus implicaciones económicas y/o financieras.

•  Desde que existen los juicios y la necesidad de recabar

y examinar pruebas, existe el Auditor Forense y por ende la Auditoria Forense

•  El Auditor Forense es un profesional integral con una

preparación hollística en diferentes materias y disciplinas, con habilidades y destrezas personales y en el manejo de herramientas y metodologias que le permitan realizar con objetividad su trabajo de recolección y análisis de pruebas

EL INFORME

El informe del auditor forense debe cumplir con las siguientes caracterís5cas:

•  Claro, Preciso y Oportuno

•  Exhaus8vo e Imparcial

•  Relevante y Completo

•  Numerado y firmado en todas sus páginas

•  Ní8do (no borradura)

INFORME DE AUDITORÍA FORENSE

a)  Título b)  Des8natario c)  Párrafo introductorio: ü  Iden8ficación de la información acumulada. ü  Declaración de responsabilidad de la

administración y del auditor.

d)  Párrafo de alcance (describiendo la naturaleza de la auditoría).

ü  Referencia de NIA. ü  Descripción del trabajo que el auditor

desempeña.

e)  Párrafo de opinión

f)  Fecha del dictamen

g)  Dirección del auditor.

h)  Firma del auditor.

PRIMERA CONCLUSIÓN

•  Hay una relación entre pifia y fraude.

•  Hay una relación entre fraude y corrupción.

•  Hay una relación entre la forma en que actúan las personas y los valores que poseen tales personas.

•  Si una empresa quiere buenos controles debe contratar y mantener buenos empleados.

•  Hay diferencia entre error e irregularidad.

•  Hay diferencia entre inmoralidad e ilegalidad.

• El papel de los administradores y los gerentes es prevenir el fraude, descubrirlo, inves8garlo y tratarlo.

• El fraude se previene con control, se descubre con supervisión, se inves8ga integrando un equipo y se trata con acciones ejemplares.

•  Un auditor interno, un auditor externo, un examinador de fraude o un auditor forense no pone control, lo evalúa.

•  Un auditor interno o exyerno no es experto en fraude pero lo inves8ga como apoyo a la gerencia.

•  Un auditor externo no es experto en fraude pero sabe si su informe está afectado por fraude .

•  Un examinador de fraude es experto en fraude y puede informar obje8vamente.

•  Un auditor forense es experto en fraude e inves8gación y puede evaluar e informar con obje8vidad.

•  El informe del auditor interno en materia de fraude solo 8ene valor frente a la dirección y la gerencia.

•  El informe de el auditor externo 8ene valor informa8vo frente al usuario.

•  El informe del examinador de fraude y del auditor forense 8ene valor frente al foro.

91

92

No somos los famosos detectives de la literatura,

ni de las renombradas series de TV …

Simplemente Auditores … Atentos a los cambios.

Proactivos y calificados. Acompañando la

implementación de un adecuado sistema de

Administración del Riesgo de fraude…..

Bibliograna y Fuentes consultadas

•  Libro: FISCALIZACIÓN Y RENDICIÓN DE CUENTAS. Dr. René Márquez Arcila, editado por la Universidad Autónoma de Yucatán.

•  www.coso.org (página en inglés consultado el día 13/junio /2015) •  www.instosai.org (Consultado el 13/junio/2015) •  hsp://www.asf.gob.mx/Publica8on/171_Control_interno_riesgos_e_integridad (Consultado el 13/junio/

2015) •  hsp://www.asofis.org.mx/libros_mejores_prac8cas/informecoso/index.html (Consultado el 13/junio/

2015) •  hsp://www.asofis.org.mx/libros_mejores_prac8cas/guianormasci/index.html (Consultado el 13/junio de

2015) •  Libro: AUDITORÍA AL DESEMPEÑO. Dr. René Márquez Arcila, editado por la Universidad Autónoma de

Yucatán.

93

C.P.C. Carlos Alejandro León González MBA, MEPP, CFE, PCCA, CRMA, CGAP, CFP

Director de Auditoría de la Secretaría de la Contraloría del Poder Ejecu>vo del Estado de Querétaro


Secretaría de la Contraloría Dirección de Auditoría

Documents

Auditoría Forense - cytg.nl.gob.mx · Auditoria Auditoria Forense Prevenir ... Peritaje judicial Nivel de habilidad del auditor ... y el conjunto de los planes,