DETECCIÓN Y PREVENCIÓN DE FRAUDE

INTERNO

EN EL MARCO DEL PROCESO DE

GESTIÓN DEL

RIESGO OPERACIONAL

Lic. MBA José Antonio Sivilá Peñaranda

Octubre 2012

ELEMENTOS CLAVES EN LA

PREVENCIÓN DEL FRAUDE

INTERNO !!!

1. GOBIERNO CORPORATIVO

2. CONTROL INTERNO

GOBIERNO CORPORATIVO

Se define como un sistema de pesos y

contrapesos que promueven un balance

sano de riesgo y crédito.

Facilita la existencia de instituciones

financieras eficientes, seguras y sanas.

¿QUÉ ES EL GOBIERNO CORPORATIVO?

Es un juego de relaciones entre:

a) La administración

b) La junta directiva, o consejos (ADM , VIG)

c) Los accionistas, socios, asociados

d) Reguladores

e) Otros grupos de control

f) Auditores Internos, externos

Promueve disciplina de mercado

CLAVES DEL GOBIERNO CORPORATIVO

EFECTIVO

Directorio o su equivalente independiente y

efectivo

Comité de auditoría fuerte y muy capacitado

Un marco sólido de control interno

Código de Ética

Políticas y procedimientos claros

Gestión de riesgo efectivo

Función de auditoría interna independiente,

eficiente y con recursos adecuados

Auditoría externa independiente y efectiva

Transparencia (Exposición), comunicación

efectiva, sistemas para asegurar una medición

y asignación de responsabilidad efectiva

El control interno es un procedimiento efectuado

por la alta dirección y demás personal

designado para ofrecer una seguridad razonable

con respecto a 3 objetivos y 5 componentes (8

en COSO II).

(Definición según COSO (Commitee of Sponsoring

Organizations of the Treadway Commission)

CONTROL INTERNO

Efectividad y eficiencia de las operaciones

(incluyendo salvaguarda de los activos)

Confiabilidad de los reportes financieros

Cumplir con las leyes y regulaciones que

apliquen.

TRES OBJETIVOS DEL CONTROL INTERNO

CONTROL INTERNO (COSO I)

AMBIENTE GENERAL DE CONTROL

• Fija pautas de la organización que ejercen influencia

(Directores y Ejecutivos)

• Integridad, valores éticos, transmisión de la filosofía,

capacidad y competencia

MONITOREO

• Evaluación contínua SCI.

• Monitoreo de riesgos

• Función de Auditoría Interna

INFORMACION Y

COMUNICACIÓN

•Acceso a información interna

y externa

• Canales de comunicación

efectivos

ACTIVIDADES CONTROL

• Políticas y procedimientos que

aseguran que se cumplen las

directrices .

• Verificar que dichas políticas y

procedimientos se cumplan

• Segregación de Funciones

EVALUACION DE RIESGOS

Identificar y evaluar riesgos riesgos

signifcativos relacionados con

factores internos y externos.

OPERACIONES

REPORTES

FINANCIEROS

CUMPLIMIENTO

SISTEMA DE CONTROL INTERNO COSO II

AMBIENTE DE CONTROL INTERNO

ESTABLECIMIENTO DE OBJETIVOS

IDENTIFICACIÓN DE RIESGOS Y

ACONTECIMIENTOS

EVALUACIÓN DE RIESGOS

RESPUESTA A LOS RIESGOS

ACTIVIDADES DE CONTROL Y

SEGREGACIÓN DE FUNCIONES

INFORMACIÓN Y COMUNICACIÓN

ACTIVIDADES DE MONITOREO Y SUPERVISIÓN

AVANCES NORMATIVOS

Avances normativos relacionados a la gestión del riesgo

operativo vinculados al FRAUDE INTERNO

Control sobre Lavado de Dinero (Ley 1768 de 10 de marzo de 1997 y

Decreto Supremo 24771 de 31 de julio de 1997) EN FORMA COLATERAL

Control Interno y Auditores Internos SB/463/2004, de 23 de marzo de 2004

DE MANERA DIRECTA

Requisitos Mínimos de Seguridad Informática para la Administración de

Sistemas de Información y Tecnologías Relacionadas SB/466/2004, de 29

de abril de 2004 DE MANERA DIRECTA

El riesgo operativo es el más extendido y al mismo tiempo el más elusivo que enfrentan las EIF

Es inherente a toda actividad en la que intervengan personas,

procesos y sistemas.

Es un riesgo complejo, dada la gran diversidad de causas que lo

originan.

La combinación de varios riesgos operativos tiene un efecto

multiplicador sobre el riesgo total resultante por lo que puede resultar

en pérdidas substanciales.

Las grandes pérdidas que ha ocasionado a la banca y otras empresas

demuestran, tanto el desconocimiento que de él se tiene, como la falta

de herramientas de gestión para hacerle frente.

GESTIÓN DEL RIESGO OPERATIVO

CONSIDERACIONES

Lo que ha llevado a una nueva configuración del riesgo operativo

La percepción de que los riesgos operativos se han incrementado

sustancialmente en los últimos años Ej. A partir del 11S.

La conclusión de que los enfoques actuales de evaluación de

riesgo de mercado y crediticio dejan de considerar áreas clave,

tales como el riesgo operativo.

La incorporación del riesgo operativo en la gestión integral de

riesgos.

La creación de áreas formales de gestión del riesgo operativo con

una clara identificación de competencias y responsabilidades de las

áreas de negocio en cada EIF.

El renovado interés de las autoridades supervisoras en el riesgo

operativo, expresado en el nuevo acuerdo de capital de Basilea II.

GESTIÓN DEL RIESGO OPERATIVO

CONSIDERACIONES

Los riesgos operativos son de un orden muy diferente a los riesgos crediticios y de mercado

El asumir riesgo operativo no lleva a mayores rendimientos y los riesgos

no son proporcionales al volumen de negocios, diferencias con crédito y

mercado.

Los análisis de causas, prevención, sistemas de alerta temprana y

medidas de emergencia son más importantes que la cuantificación,

diversificación y cobertura de riesgos Ej. La experiencia del 11S dice

que hubiera sido mejor prevenir, otra diferencia con riesgo de

crédito y mercado.

CARACTERIZACIÓN DEL RIESGO

OPERATIVO

El riesgo operativo puede generar riesgo crediticio y de mercado

(traslape de riesgos), por lo que, para identificarlo, hay que ir a las

causas: deficiencias en procesos, sistemas o persona Ej. En el

caso boliviano la norma sobre previsiones genéricas por riesgo

adicional.

Para el riesgo de crédito y el de mercado, la combinación de varios

riesgos tiende a reducir el riesgo por EL BENEFICIO DE LA

DIVERSIFICACIÓN. La combinación de varios riesgos operativos no

diversifican sino multiplican las pérdidas potenciales, Ej.

Terrorismo + fraude interno + caída en sistemas = SUMA DE

LAS PÉRDIDAS + α.

I. RIESGO DE CRÉDITO (Principles for the Management of Credit Risk, Comité de

Basilea Pág.1)

Es la posibilidad de pérdida debido al incumplimiento del prestatario o la contraparte en

operaciones directas, indirectas o de derivados que conlleva el no pago, el pago parcial o la

falta de oportunidad en el pago de las obligaciones pactadas.

II. RIESGO OPERATIVO (Basilea II – NAC Parágrafo 644)

Riesgo de pérdida resultante de una falta de adecuación o de un fallo de los procesos, el

personal, y los sistemas internos, o bien de acontecimientos externos. Incluye el riesgo legal,

excluye el estratégico y reputacional.

III. RIESGO DE LIQUIDEZ (Norma de Liquidez Ecuador)

Se entiende por riesgo de liquidez, cuando la institución enfrenta una escasez de fondos

para cumplir sus obligaciones y que por ello, tiene la necesidad de conseguir recursos

alternativos o vender activos en condiciones desfavorables, esto es, asumiendo un alto

costo financiero o una elevada tasa de descuento, incurriendo en pérdidas de valorización.

DEFINICIONES

IV. RIESGO DE MERCADO (Basilea II – NAC Parágrafo 683)

Posibilidad de incurrir en pérdidas ya sea en: 1) Ingresos (Margen Financiero) ó 2)

Valor económico (Patrimonio), debido a variaciones adversas en los precios o tasas en

los mercados financieros nacionales o internacionales.

a) RIESGO DE TASAS DE INTERES (Basilea II – NAC)

Se entiende por riesgo de tasa de interés al riesgo de que la EIF incurra en

pérdidas como consecuencia de movimientos adversos o fluctuaciones en tasas

de interés, sean estas fijas o variables.

Trading book (Parágrafo 685 del NAC), Pilar 1 – Requerimiento de capital.

Banking book (Parágrafo 739 del NAC): Pilar 2 – A discreción Nacional.

b) RIESGO DE TIPO DE CAMBIO (Norma Boliviana)

Riesgo de pérdidas por fluctuaciones en los tipos de cambio de monedas

extranjeras y/o unidad de cuenta en los que están denominados los activos, pasivos y

operaciones fuera de balance.

“Todo aquello que no es Riesgo de

Crédito o de Mercado”

DEFINICIÓN DE RIESGO OPERACIONAL

Comité de Basilea (2001)

“Riesgo de pérdida resultante de una falta de adecuación o de

un fallo de los procesos, el personal, y los sistemas internos, o

bien de acontecimientos externos”

Casos:

• Barings

• Sumitomo

• Otros

Papers:

• BBA (98)

• ISDA (99)

• IIF (00)

TIPOS DE RIESGO OPERATIVO

• Personas: Fraude interno, fraude externo.

• Procesos: Excesos de limites, contratos defectuosos,

falta de controles, reclamos de clientes.

• Sistemas: Interrupción del negocio, pérdida de datos,

fallos en outsourcing.

• Factores externos: Terrorismo, vandalismo, ataques

informáticos, catástrofes naturales.

CLASIFICACIÓN DE LOS FACTORES DE RIESGO OPERATIVO

E V E N T O S

D E P E R D I D A S

Procesos

Transaccionales

Fraudes

Actividades no autorizadas

Administración del Proceso

Desastres

Proveedores

Regulatorios

Externos

Sistemas Tecnología & Sistemas

Personas RRHH

Procesos/ Personas

Prácticas de Venta

C L A S E

D E P E R D I D A S

C A T E G O R I A S

D E P E R D I D A S

FACTORES DE RIESGO OPERATIVO TIPOS DE RIESGO OPERATIVO

CATEGORIZACIÓN DEL RIESGO OPERATIVO

CLASE DE PÉRDIDA

EVENTOS DE PÉRDIDA

RIESGO

OPERATIVO

• Procesos Internos

• Personas

• Sistemas

• Eventos Externos

Fraude Interno

Fraude Externo

Relaciones y Seguridad Laboral

Clientes, Productos y Pr á cticas Comerciales

Da ñ os o P é rdidas de Activos

Interrupci ó n del Negocio y Sistemas

Ejecuci ó n, Entrega y Gesti ó n de Procesos

TIPO DE RIESGO

OPERATIVO

CATEGORÍAS DE

PÉRDIDA

El fraude interno es una realidad que no puede obviarse en las

organizaciones, especialmente en un momento de crisis económica.

Existen estudios “Informe sobre delitos económicos y fraude

empresarial en España” (Informe PWC) y el Estudio Global sobre

delitos económicos” y publicados en su Web, documentos a los que

también se puede acceder a través de portal www.de-fensa.es.

FRAUDE INTERNO

En el Estudio PWC se analizan los datos obtenidos mediante una

encuesta realizada durante el año 2009 a más de 3.000 empresas

pertenecientes a 54 países, en la que se pudo constatar que el

fraude interno, en sus numerosas modalidades (apropiación de

activos, soborno y corrupción, manipulación contable, blanqueo de

dinero, robo de información, fraude fiscal, abuso de mercado, etc.),

ha sufrido un empeoramiento en todo el mundo a causa de la crisis

económica, constituyendo en la actualidad una amenaza que afecta

a todas las compañías, por lo que su prevención resulta necesario

abordarla.

ESQUEMATIZACIÓN DEL FRAUDE INTERNO –

ESQUEMA BASILEA II

Categoría de pérdida Clase de pérdida Evento de pérdida

1 Uso indebido de poderes notariales

2 Operaciones concretadas pero no contabilizadas intencionalmente

3 Operaciones no reportadas

4 Fraude crediticio

5 Hurto / extorsión / malversación / robo

6 Apropiación indebida de activos

7 Destrucción dolosa de activos

8 Falsificación de documentos

9 Utilización dolosa de cheques sin autorización

10 Incumplimiento / evasión de impuestos (intencional)

11 Soborno / cohecho

12 Utilización de información privilegiada sin autorización a favor de terceros

13 Daños por ataques informáticos internos

14 Robo de información (con pérdidas monetarias)

15 Abuso de Información privilegiada

16 Divulgación de claves confidenciales

17Transacciones sin segregación de funciones (diversas operaciones

realizadas por una misma persona)

1. Actividades no autorizadas

2. Hurto y fraude

3. Seguridad de los sistemas de

información

1. Fraude Interno

5 ÓPTICAS:

Primera: EL CONCEPTO; lo que hemos de entender como fraude

interno.

Segunda: LAS MOTIVACIONES; que hacen posible su existencia.

Tercera: LOS EFECTOS; que produce dentro de las empresas: tanto

los medibles, como los no medibles.

Cuarta: LA DETECCIÓN; las herramientas organizacionales y

tecnológicas para encontrarlo.

Quinta: EL CONTROL; para su prevención y represión.

VISIÓN DEL FRAUDE INTERNO

FRAUDE INTERNO – EL CONCEPTO

Manipulación contable

Obtención fraudulenta de financiación

Aplicaciones fraudulentas de crédito

Transacciones no autorizadas

Apropiación indebida de activos

Soborno y corrupción

Blanqueo de dinero

Robo de información y violación de IP

Abuso de información privilegiada

Fraude fiscal

Abuso de mercado

Espionaje a favor de los competidores

Otros; cajón de sastre en el que introduciremos

otros delitos del Código Penal que no aparecen

en el listado.

Las motivaciones se sintetizan en un esquema denominado

TRIÁNGULO DEL FRAUDE, y cuyo conocimiento debe

servirnos para prever sus riesgos.

• Vértice a): Incentivo/Presión (Inadecuado ambiente de

control, crisis económica)

• Vértice b): Actitud/Racionalización (Ética, profesionalismo)

• Vértice c): Oportunidad (Débil control)

FRAUDE INTERNO – LA MOTIVACIÓN

Tiene que ver con la cuantificación de las pérdidas:

En los países de la zona Euro se han hecho

estudios de cuantificación de las pérdidas.

En nuestro países no se tiene datos globales.

FRAUDE INTERNO – EFECTO

• Evaluaciones de riesgo de fraude

• Auditoría interna

• Auditoría externa

• Controles anti-fraude

• Gestión de Riesgos y monitorización de operaciones

sospechosas

• Cultura anti-fraude

• Procedimientos de denuncia

• Controles sobre el personal Ej.: Cambio o rotación

• Por accidente

FRAUDE INTERNO – LA DETECCIÓN

ESTABLECIMIENTO DE UN SISTEMA EFECTIVO DE

CONTROL INTERNO – AMBIENTE DE CONTROL

Establecer unos sólidos procedimientos de gestión del riesgo del

fraude ARTICULADO A LA GESTIÓN DEL RIESGO

OPERACIONAL.

Enviar unos claros mensajes sobre esta materia a todos los

miembros de la organización.

Actuar de forma ejemplar, tanto en la prevención como en la

reacción.

FRAUDE INTERNO – EL CONTROL

TIPOS DE RIESGO OPERACIONAL

Frecuencia

(%)

Severidad

(%)

Fraude Interno 2.72 10.66

Fraude Externo 36.39 20.32

Clientes, productos y prácticas comerciales 6.39 27.51

Prácticas de empleo y seguridad laboral 2.71 2.92

Daños a activos físicos 4.48 3.02

Interrupción de operaciones o fallos del sistema

5.32 0.82

Ejecución, entrega y gestión de procesos 41.99 34.76

Baja Alta

Acción de Control y

Plan de

Contingencia

Acción de Control

Inmediata

Revisión Periódica

PROBABILIDAD DE OCURRENCIA

Acción de Control

ESTRATEGIAS DE GESTIÓN

• Errores humanos y fraudes

– Integridad y buen juicio

– Recursos humanos

– Fraude y conflicto de intereses

• Fallos en los sistemas informáticos

– Origen:

• Exógeno (desastres naturales, huelgas, virus informáticos,

atentados terroristas)

• Endógeno (fallos programación, etc.)

IDENTIFICACIÓN DEL RIESGO OPERATIVO

• Deficiencias de control interno

Estructura organizativa. Riesgo generado por la inexistencia de una

adecuada desagregación de funciones, a dos niveles:

• Primario: Entre las áreas de negocio y las áreas de control

• Secundario: Entre las funciones de procesamiento,

confirmación, conciliación, liquidación y valoración

de las operaciones

• Autorizaciones

Riesgo de realizar operaciones no autorizadas completamente en todos sus

extremos (instrumento, mercado, moneda, contrapartida, etc) y de forma

explícita.

IDENTIFICACIÓN DEL RIESGO OPERATIVO

Procedimientos inadecuados

Nuevas actividades y productos. Riesgo de iniciar una nueva actividad, o

comenzar a operar en un nuevo producto, sin que exista en la entidad un

conocimiento suficiente y una estructura operativa y de control de riesgos

adecuada

Procesamiento

• Registro • Cálculo de la posición de riesgo

• Confirmación • Liquidación de posiciones

• Acceso físico • Acceso a los sistemas (password)

• Financiación (costos) • Valoración de activos

• Contabilización

IDENTIFICACIÓN DEL RIESGO OPERATIVO

Dentro de los mecanismos de prevención es importante definir el

PERFIL

EJEMPLO:

Varón, joven que reside en barrios de clase alta, con formación y

alto conocimiento de finanzas y banca, que cuenta con la

oportunidad de defraudar, normalmente por falta de controles y la

confianza excesiva de la alta Gerencia y Dirección.

IDENTIFICACIÓN DEL PERFIL DE FUNCIONARIO –

FRAUDE INTERNO

Es uno de los elementos críticos del Marco de Gestión del Riesgo Operacional y de Prevención del FRAUDE INTERNO.

Se puede definir como el proceso por el cual las unidades de negocio, de forma subjetiva, identifican los riesgos inherentes a sus actividades, evalúan el nivel de control existente y determinan los puntos de mejora.

Los inputs más utilizados son:

- Reuniones de trabajo - Información de pérdidas recopiladas

- Cuestionarios - Revisión de cambios efectuados

- Mapas de procesos - Comunicación de riesgos y acciones

mitigadoras

- Análisis de riesgos y controles - Revisar los cambios planteados

PREVENCIÓN AUTOEVALUACIÓN

La definición de una clara política que asigne responsabilidades y que

permite las mejoras en la gestión del riesgo.

El desarrollo de una cultura de apertura y transparencia que suponga

un entorno adecuado para la discusión y resolución de los problemas.

La implantación de un proceso proactivo de gestión del riesgo a través

del cual se puedan anticipar los problemas y corregirlos antes de que

ocurran.

Establecimiento de interrelaciones entre las distintas áreas de la

organización, que van a representar la base para un proceso eficaz de

Auto-evaluación.

PREVENCIÓN AUTOEVALUACIÓN

Esta herramienta está compuesta por 4 elementos:

• Informe Pre ocupacional

• Informe Confidencial

• Informe Laboral

• Informe Socio Ambiental

• Análisis de Personalidad y Evaluaciones Psicotécnicas

• Auditorías Patrimoniales

• Investigaciones Financieras

PREVENCIÓN DE FRAUDE INTERNO

INTELIGENCIA FINANCIERA

Son normalmente usados por los gestores del Riesgo Operacional como sistemas de predicción y seguimiento para definir los niveles de RO asumidos. Ejemplos de indicadores son:

• Reclamos de clientes

• Incidentes operativos

• Litigios con clientes

• Errores en ejecución

• Ajustes en cta. de resultados

• Horas invertidas en resolución de expedientes

• Número de expedientes

• Sanciones recibidas

Áreas de Créditos

Área de Operaciones

Área Legal

INDICADORES DE RIESGO Y ALERTAS

• Identificación de problemas operacionales

• Fijación de alertas

• Seguimiento de la calidad del servicio

• Análisis de las competencias

• Propósitos regulatorios

• Toma de decisiones estratégicas

• Input de planes de remuneración

• Cuantificación y asignación de capital

• Toma diaria de decisiones

INDICADORES DE RIESGO Y ALERTAS

Principales objetivos de los Indicadores de Riesgo:

Su implantación supone:

• Definición de los niveles para cada área.

• Definición de los niveles de calidad y límites de riesgo,

asumido para cada uno de los indicadores implantados.

• Definición de niveles de alerta que deben ser reportados.

• Definición de procedimientos ante situaciones de alerta.

• Simulación del sistema de indicadores y alertas.

INDICADORES DE RIESGO Y ALERTAS

MUCHAS GRACIAS!!!

Lic. MBA José Antonio Sivilá Peñaranda

www.microfin-bolivia.com