evolución de la auditoría forense - felaban.net contraloria caja los... · auditorÍa forense -...

Evolución de la Auditoría Forense De un enfoque manual a uno automatizado

11 de Marzo del 2015 Contraloría de CCAF Los Andes - Chile

Hernán Vergara V. - Alexis Cifuentes B. – Marco Fuenzalida M.

Contraloría Caja Los Andes - Chile Página 2

"Ensayo sobre Cambios Metodológicos del Proceso

Integral de Auditoría Forense, basado en la Tecnología"


CAPITULO I

INTRODUCCIÓN

El presente ensayo, describe la correlación que existe entre la Auditoría Interna, el

Fraude Corporativo y la Auditoría Forense. Plasmando un enfoque sistémico en el

trabajo de esta última, como una herramienta especializada y sofisticada con que

deben contar las organizaciones como apoyo a la función de la Auditoría Interna,

ya sea de Bancos, Instituciones Financieras y/o de otros sectores de la economía.

Destacamos la importancia y la necesidad de contar con auditores forenses

especializados, que sean capaces de integrar sus labores con las de la auditoría

interna, utilizando herramientas sistémicas inteligentes para la búsqueda,

procesamiento e interpretación de incidentes y/o excepciones que sean indicativos

de potenciales fraudes y/o irregularidades.

Además, nos permitimos entregar un perfil de las capacidades técnicas y

personales que debe exhibir un auditor forense, el que hemos definido como

“Perfil Profesional Ideal”, el que permitirá a una organización introducir los cambios

metodológicos que proponemos en este trabajo. Cambios, que han sido

ampliamente probados en su posibilidad de implementación y efectividad en su

puesta en marcha y funcionamiento.

Nuestra experiencia, la que deseamos compartir en este ensayo, es a partir del

desarrollo “in-house” de diversas herramientas y tecnologías basadas en un

relacionamiento de registros, datos y comportamientos transaccionales en los


sistemas computacionales de la organización, que permiten mejorar la capacidad

analítica de los auditores forense, aumentando en forma significativa su eficiencia

y efectividad preventiva en la identificación de irregularidades, apoyando incluso a

la mejora continua a través de la identificación de errores repetitivos que deben

ser resueltos en los procesos, entre otros.

Estas herramientas, entregan un valioso aporte a la identificación temprana de

fraudes, permitiendo mitigar dicho riesgo a penas un hecho anómalo y/o irregular a

ocurrido, lo que permite prevenir en forma temprana los fraudes, “cuando ellos

recién comienzan y no cuando éstos están tan arraigados que han afectado

significativamente el patrimonio de la compañía”.

Por otra parte, la difusión de estas herramientas al interior de la compañía, permite

contar con un elemento “disuasivo” en materia de prevención de fraudes,

observándose una disminución notable en la cantidad de casos y/o incidencias

que se producen a los pocos meses de estar implementados los sistemas de

monitoreo.

Los sistemas implementados y casos que detallaremos en el presente ensayo,

corresponden a un proyecto de Auditoría Forense real, que ha sido implementado

en Caja Los Andes de Chile, con la participación de Auditores Computacionales,

Auditores Forenses y sus respectivas Jefaturas, quienes en forma conjunta han

realizado un trabajo multidisciplinario, colocando en producción un sistema de

monitoreo, análisis y alerta temprana que en un período muy corto ha permitido

identificar situaciones de fraude, que no hubiesen sido identificados en forma


manual debido al alto número de transacciones que deben ser analizadas en los

flujos diarios.

En el Capítulo II de este Ensayo, se entregan algunos antecedentes del tamaño de

la empresa, volúmenes y complejidades del negocio, describiéndose los pasos

seguidos en la implementación de esta herramientas que cambia la forma de

trabajar del auditor forense.


CAPITULO II

RESUMEN - ANTECEDENTES DE LA EMPRESA

En 1953 se formó la Caja Los Andes, una corporación de derecho privado, sin

fines de lucro, cuyo objetivo es la administración de prestaciones de seguridad

social. Nació al alero de la Comisión de Acción Social de la Cámara Chilena de la

Construcción. Se encuentra supervisada y fiscalizada por la Superintendencia de

Seguridad Social (SUSESO) y es regida por la Ley 18.833 de Chile, por sus

reglamentos y su respectivo estatuto.

Actualmente, CCAF Los Andes, como emisora de bonos de oferta pública en el

mercado chileno, también es fiscalizada por la Superintendencia de Valores y

Seguros (SVS) de Chile.

Caja Los Andes, es la Caja de Compensación de Asignación Familiar más grande

de Chile, con el 52% de participación del mercado respectivo. Se ha convertido en

un aliado estratégico de las empresas públicas y privadas del país, entregando

beneficios sociales a los afiliados activos y pensionados, generando un impacto

positivo en su bienestar y calidad de vida. Caja Los Andes mantiene cobertura en

todo el territorio nacional con 120 sucursales y 23 centros recreacionales y/o

turísticos (hoteles) con una dotación de empleados directos de 4.028 personas y

más 1.500 trabajadores subcontratados (indirectos). A diciembre del 2014,

registraba 48.140 empresas adheridas y 3,5 millones de afiliados, equivalente al

19,66% de la población chilena a Dic-2014 (total población 17,8 millones).


Las principales líneas de negocio de las Cajas de Compensación, normadas por la

Ley 18.833 de Chile, son: Administración de Prestaciones de Seguridad Social,

tales como Prestaciones Familiares (Asignación Familiar), Subsidio de Cesantía,

Subsidio de Incapacidad Laboral (Licencias Médicas), Crédito Social para

consumo, educación, microempresarios, vivienda y contingencias sociales

(enfermedad); Ahorro, Planes de Salud, Operativos Médicos, Educación,

Bienestar, Seguros, Turismo y Recreación, entre otros.

Su estructura de Gobierno Corporativo considera un Directorio integrado por 7

Directores, 9 Comités Especializados del Directorio, tales como Comité de

Auditoría; Ética; Riesgo; Finanzas; Productos y Servicios Financieros;

Compensaciones (RRHH); Asuntos Corporativos; Infraestructura y Beneficios

Sociales (propio de la industria). Cuenta con un Contralor Corporativo y Un Fiscal,

ambos independientes y con línea de reporte directa al Directorio. Por otra parte,

la Administración está integrada por el Gerente General y 11 Gerencias de primera

línea.

Algunas Cifras a Diciembre del 2014: La cartera de crédito social, ascendía a

1.111.789 créditos por MM$1.069.669, con la siguiente composición: Consumo por

MM$1.031.378; Hipotecario por MM$16.296; Educación Superior por MM$9.059;

Cupo Controlado por MM$4.622; Crédito de Emergencia (I-MED) por MM$4.318;

Microempresario por MM$3.242 y Línea de Crédito por MM$754 con un

crecimiento promedio mensual de 12% en el transcurso del año recién pasado.


La cartera crediticia presenta provisiones por riesgo de crédito de MM$48.833,

asociadas a un índice de riesgo y de mora de 4,40% y 12,5%, respectivamente.

Cabe hacer presente, que Caja Los Andes es la 5ta institución comercializadora

de créditos del país, con un 7,87% del total de créditos de consumo del sistema

financiero de Chile a Dic. 2014.

La cartera de ahorro registra 315.379 cuentas con un saldo administrado por

MM$157.791.- La cartera de seguros otorgados por cuenta de las compañías de

seguro registra 59.268 pólizas vigentes. El total de Subsidios de incapacidad

laboral tramitados y pagados durante el año, ascendieron a 1.206.361 por

MM$146.894.-

Otros servicios prestados, dicen relación con: Recaudación de Cotizaciones

Previsionales por MM$649.239 y Pago de Beneficios Sociales y Descuentos

asociados a Reservas de Turismo por MM$52.020 en total.

Respecto los resultados del año 2014, la corporación registró ingresos por

MM$289.917 y gastos por MM$209.126, generando excedentes (utilidades) antes

de beneficios por MM$80.790.-

Las Clasificadoras de Riesgo, Feller-Rate y Humphreys (asociada de Moody´s)

otorgaron clasificación de riesgo A+ y AA-, respectivamente, destacándose los

siguientes atributos: Bajo endeudamiento relativo, medido en relación a su

patrimonio o con su stock de colocaciones; Su posición de liderazgo dentro las

Cajas de Compensación; La calidad de los activos de la sociedad; Canales


expeditos para acceder a sus clientes; y La mantención de ingresos provenientes

de negocios de bajo riesgo y acceso a distintas fuentes de financiamiento (Bancos

y Mercado a través de la Emisión de Bonos Corporativos); entre otros.


CAPITULO III

AUDITORÍA FORENSE - RAMA ESPECIALIZADA DE AUDITORIA INTERNA

Según lo define la Norma Internacional para el Ejercicio Profesional de la Auditoría

Interna en su Glosario, el Fraude es cualquier acto ilegal caracterizado por

engaño, ocultación o violación de confianza. Estos actos no requieren la aplicación

de amenaza de violencia o de fuerza física. Los fraudes son perpetrados por

individuos y por organizaciones para obtener dinero, bienes o servicios, para evitar

pagos o pérdidas de servicios o para asegurarse ventajas personales o de

negocio.

A su vez, el Instituto de Auditores Internos ha definido la Auditoría Interna como

“…una actividad independiente y objetiva de aseguramiento y consulta, concebida

para agregar valor y mejorar las operaciones de una organización. Ayuda a una

organización a cumplir sus objetivos aportando un enfoque sistemático y

disciplinado para evaluar y mejorar la eficacia de los procesos de gestión de

riesgos, control y gobierno.”

En esta materia, si bien la Norma Internacional (1210-Pericia) establece que el

Auditor Interno debe tener suficientes conocimientos para identificar indicadores

de fraude al realizar sus labores de aseguramiento (en la evaluación de un

proceso o sistema) y/o de consulta (asesoría o consejería), no es de esperar que

éste posea conocimientos similares a los de aquellas personas especialistas en la

prevención, detección e investigación del fraude (Auditor Forense).


Conforme lo anterior, la mayor responsabilidad ante la identificación de

potenciales fraudes recae sobre el Auditor Forense, quién hoy en día se ve en

gran desventaja para ejercer su labor preventiva debido al alto volumen de las

transacciones que las compañías realizan con ayuda de sistemas y plataformas

computacionales. Por otra parte, sin bien se podrían potenciar las unidades de

auditoría interna, incorporando en ellas auditores forenses especializados, éstos

enfrentarían la misma problemática que los primeros, ¿cómo enfrentar el análisis

de miles de transacciones diarias, para identificar potenciales irregularidades?

En esta materia es fundamental, además de poseer los conocimientos necesarios

para identificar indicadores de fraude en los procesos auditados, contar con

herramientas de búsqueda, análisis y detección temprana de incidentes y/o

excepciones. Con la utilización de ellas, podemos asumir con mayor fortaleza la

responsabilidad frente al fraude organizacional en los términos que nos impone las

recomendaciones y estándares de la profesión.

No hay que olvidar, que mientras más alto sea el riesgo de fraude (vulnerabilidad)

en una organización, mayor será la necesidad de contar con herramientas de

auditoría forense, que en forma preventiva permitan mitigar dicho riesgo. Por otra

parte, también entendemos como una necesidad, que la Auditoría Interna cuente

con personal técnicamente capaz de enfrentar situaciones de identificación de

fraudes y pueda desdoblarse en su función, asumiendo labores forenses de ser

necesario, sobre todo en aquellos equipos de trabajo pequeños donde cada

integrante debe contar con variadas capacidades. Pues bien, para dichos equipos


es fundamental el desarrollar herramientas como las que comentaremos en este

ensayo.

Para una mejor comprensión del término “Forense”, cabe hacer mención a la

definición de la Real Academia Española (RAE), que establece: Proveniente del

latín forensis, como el "perteneciente o relativo al foro" (fórum), es decir, lo relativo

o perteneciente a las cortes o a lo público. Es decir, hacer público un hecho,

comportamiento irregular y/o delito a partir de la evidencia analizada.

Basados en la definición precedente, nos atrevemos señalar que la auditoría

forense corresponde a una auditoría especializada, de alta sofisticación en su

quehacer, donde debe existir alto entendimiento de los procesos de la compañía,

de los potenciales “modus operandis” del delito y/o de la casuística a que puede

verse enfrentado en la amplia creatividad utilizada en la perpetración de los delitos

financieros y/u operacionales. Cada vez más, nos convencemos que la mejor

Auditoría Forense es aquella que es capaz de prevenir los hechos delictuales y/o

detectarlos en sus inicios, más que reaccionar ante hechos consumados y de alto

impacto monetario para la compañía, donde por lo general se realiza un trabajo de

diagnóstico de los hechos, se establecen responsabilidades y posteriormente se

adoptan acciones disciplinarias, legales y de mejora de procesos, entre otras.

Para que una Auditoría Forense sea efectiva, debe considerar en su quehacer dos

enfoques, uno “Preventivo/Detectivo” y otro “Investigativo”. Para ejercer el

primero de ellos, es necesario contar con herramientas de análisis de datos, que


sean capaces de efectuar en forma automática parte del razonamiento analítico

del auditor, a fin de entregarle a éste previamente analizados potenciales casos de

fraude que sean ciertos, desechando los casos denominados “falsos positivos”.

El contar con esta información le permitirá anticiparse a los hechos y/o intervenir

en ellos en el momento en que están ocurriendo o a los pocos minutos de ocurrido

los hechos. Pensar que este trabajo puede ser efectuado en forma manual es un

gran error, ya que por los volúmenes transaccionales y la complejidad de las

operaciones, se hace muy difícil poder relacionar información de distintos sistemas

y cotejar sus transacciones en un tiempo tal que le permita a la auditoría

reaccionar a tiempo, “antes que el daño monetario y de imagen sea de magnitud

considerable”.

Por otra parte, tal como comentábamos en párrafos precedentes, el solo hecho de

que la compañía esté informada de la utilización de herramientas de monitoreo

transaccional, que le permiten a los auditores intervenir una transacción en el

momento en que ésta está ocurriendo, causa un efecto disuasivo de alto impacto

en la ocurrencia de fraudes internos.

Si tuviésemos que entregar una definición de este tipo de rol, definiríamos:

Auditoría Forense Preventiva / Detectiva: Está orientada a proporcionar

aseguramiento (análisis/evaluación) de la calidad de las transacciones y negocios

de la compañía, proporcionando capacidad de disuasión y prevención en materia


de fraude. Además, entrega asesoría y entrenamiento a las diversas áreas de la

compañía (incluida la propia Auditoría Interna) en materia de prevención de

fraudes, asegurando una red de prevención en los procesos críticos y en los

negocios estratégicos. Su trabajo, está basado en la utilización de herramientas

inteligentes de análisis de datos y alerta temprana, que permiten un trabajo

continuo sobre los registros, datos y sistemas de la organización.

Por otra parte, si bien es un objetivo irrenunciable el anticiparse lo más posible a la

ocurrencia de los hechos de fraude, no siempre será posible hacerlo en todos los

casos, por lo que siempre nos veremos enfrentados a tener que investigar casos

de fraude y/o irregularidades ocurridas en la organización, respecto las cuales no

es factible desarrollar herramientas de monitoreo transaccional y/o dichos hechos

han sido identificados en un monitoreo transaccional manual, pero necesitan

análisis profundo en el lugar de los hechos. Para enfrentar estos casos, hemos

conformado un equipo especializado en la investigación, que es complementario al

equipo de prevención, el que ha sido denominado como Auditoría Forense

Investigativa, cuyo rol es el siguiente:

Auditoría Forense Investigativa: Tomado conocimiento de un hecho con

característica de potencial irregularidad, que requiere trabajo de terreno para

establecer “modus operandi”, cuantificar daños y/o ramificaciones en la

organización, se cuenta con Auditores especializados en materia Forense,

capaces de establecer a través del cotejo de información, indagaciones, análisis


de procesos, transacciones y documentación, entre otros, la forma en que han

ocurrido los hechos (modus operandi), las personas que han intervenido, las

irregularidades cometidas, la cuantía de los perjuicios, efectos directos e indirectos

de los hechos, tipificación de los eventos conforme normativa penal aplicable;

determinación de cómplices y/o encubridores; entre otros. Este enfoque de

trabajo, es reactivo y es la forma de trabajo más habitual de los equipos de

prevención de fraudes, el que siempre deberá continuar aportando en la tarea de

prevención e investigación, pero que a partir de la labor del equipo de prevención,

puede complementar fuertemente su labor haciéndola más efectiva.

Ambas metodologías de trabajo, se entrecruzan en su quehacer e intercambio de

información, logrando mayor eficiencia y efectividad en la terea de prevención de

fraudes.

Diagrama de Auditoría Forense Integral

Audfitoría Forense Investigativa

Audfitoría Forense Preventiva/Detectiva


Sin lugar a dudas la Auditoría Forense, es una rama especializada de la Auditoría

Interna, que requiere de personal altamente entrenado y conocedor de los

procesos de la compañía y sus diversas líneas de negocio. Formar un buen

Auditor Forense, toma años de trabajo ya que su entrenamiento es lento, sobre

todo cuando los sistemas e información de la organización y sus negocios esta

disgregada en múltiples servidores, bases de datos, sistemas departamentales,

con diversas estructuras en los registros, etc. Una ventaja de contar con un

sistema integrado de monitoreo transaccional de prevención, como el que

mostraremos en este ensayo, acelera considerablemente la formación de los

equipos de Auditores Forenses, ya que la interrelación de los datos y de los

sistemas es más fácil de comprender, generando un mejor entendimiento del

negocio y la forma en que las operaciones son procesadas.

Siendo una realidad lo señalado en el párrafo precedente, respecto los procesos,

la información y la forma en que son procesadas las transacciones, no debemos

olvidar que hay otras materias en que los Auditores Forenses deben ser instruidos

y capacitados, tales como: Legislación que rige el negocio, Lineamientos éticos,

Sociología (entender el comportamiento de las personas), Método de Entrevistas,

etc.

Si tuviésemos que entregar el perfil ideal de un Auditor Forense, diríamos que al

menos debe contar con las siguientes habilidades y capacidades:


1) Conocimiento Avanzado en: Contabilidad (IFRS), Auditoría, Control interno

(COSO), Administración y Gestión de Riesgos, Tributación, Finanzas

Corporativa; Sistemas de Información; Capacidad de programación base (SQL;

PL-SQL, Uso de Herramientas de Auditoría como ACL); Técnicas de

Investigación Forense y Entrevistas, Legislación Penal y otras materias a fines

al negocio.

2) En cuanto a su formación personal, debe ser: Objetivo, Independiente, Justo,

Honesto, Emocionalmente Inteligente, Analítico, Astuto, Sagaz, Escéptico; Buen

Planificador, Prudente, Persuasivo y Precavido, entre otros.

Como vemos, lograr que un profesional cuente con un alto número de ésta

capacidades no es fácil. Entrenarlo toma mucho tiempo, es costoso y requiere de

gran dedicación.

El contar con sistemas de monitoreo automatizados, que sean capaces de hacer

parte del trabajo analítico de los Auditores Forenses, nos entregan mayor

flexibilidad en la conformación de los equipos de trabajo y nos entregan una mayor

independencia (blindaje) frente a potenciales pérdidas de miembros del equipo o

rotación que se genere por fuerzas del mercado.


CAPITULO IV

SISTEMA DE MONITOREO Y ALERTA TEMPRANA DE FRAUDES

A través de la experiencia profesional de varios años, desarrollada en compañías

nacionales e internacionales, hemos constatado que el trabajo de Auditoría

Forense continua siendo realizado con un bajo nivel de soporte de las tecnologías.

Ello por lo costoso que resulta la adquisición de herramientas con inteligencia

neuronal, que ofrecen grandes compañías en el mercado, las que además muchas

veces no reúnen las características y funcionalidades que necesitamos como

Auditoría Forense. Otra dificultad no menor, es lo difícil que resultan los

desarrollos internos (“in house”) cuando no se cuenta con un equipo de desarrollo

que sea entendido en materia de auditoría. Muchas veces intervienen en los

desarrollos solicitados, programadores y jefes de proyecto de las áreas de

tecnología de la compañía donde no existe experiencia en materia de prevención

de fraudes y se hace difícil que las especificaciones funcionales sean

interpretadas correctamente, haciéndose un desarrollo lento, engorroso y con

muchas etapas de prueba y error, lo que finalmente desgasta al equipo y consume

el presupuesto (tiempo y recursos monetarios), fracasándose en los objetivos

trazados en un alto porcentaje de los casos.


Estas complejidades, muchas veces limita el uso de la tecnología en materia de

prevención y detección de fraudes, al uso de extractores de datos y pareo de

tablas de sistemas a través de herramientas como ACL, IDEA u otras similares, a

fin de construir “Scripts” que permitan al Auditor contar con la información y/o con

la evidencia que le permita efectuar análisis de los casos a investigar. Esta

metodología es utilizada por la mayoría de los equipos de prevención de fraudes,

tanto en algunas empresas de gran tamaño, como en la mayoría de las empresas

medianas y pequeñas.

¿Cómo salvar estos inconvenientes y Cambiar la metodología de trabajo?

A fin de disminuir el trabajo manual y el consumo de horas hombre en los análisis

de casos, es fundamental contar con herramientas automatizadas que efectúen

esta labor. No será fácil, ni rápido logar esto, pero si es posible hacerlo.

¿Cuáles debiesen ser los pasos a seguir para un Líder de equipo de Auditoria?

1.- Primero asegúrese de contar con un equipo entrenado en materia de Auditoría

Forense y conocedor de los procesos y sistemas de la compañía. “No podrá trotar

y/o correr, si primero no ha aprendido a caminar”.

2.- Involucre a todo el equipo de Auditoría en las materias de prevención de

fraudes. Ideal que todos los Auditores, sin importar al equipo que pertenezcan,


conozcan de prevención e investigación de fraudes. Esto le permitirá mejorar la

rotación entre los equipos y recoger ideas de cómo enfrentar los futuros

desarrollos.

3.- Capacite y entrene técnicamente al equipo en el uso de herramientas de

extracción y análisis de datos. Inicialmente en ACL, SQL, IDEA, etc.

Posteriormente, desarrolle capacitación avanzada en herramientas como PL-SQL,

JAVA, etc. y sobre todo con aquellos recursos (colaboradores – auditores) que

han demostrado mayores habilidades en materia de desarrollo y/o preparación de

extractores.

4.- Innove y evolucione junto con el equipo. Motive a que existan propuestas de

mejora de metodologías de trabajo, que impacten positivamente en la eficiencia y

la efectividad del equipo. Logrado esto en forma efectiva, usted estará en

condiciones de abordar una etapa de desarrollo de herramientas de monitoreo

preventivo, que son de alta complejidad y requieren compromiso del equipo como

un todo.

5.- Asegúrese de contar con los recursos humanos y tecnológicos necesarios

(hardware, software, ambiente de desarrollo y prueba, base de datos, etc.).

Obtenga independencia del área de tecnología para desarrollar “in house”,

manteniendo la debida coordinación con dicha área, sobre todo para los pasos a

producción.


6.- Escoja el equipo adecuado para iniciar los desarrollos, al menos debe contar

con: Una persona que conozca los sistemas de la organización y sepa programar

utilizando PL-SQL y JAVA. Otra que conozca bien los procesos críticos y sus

registros. Y finalmente una que entregue la visión y lineamientos de lo que desea

lograr con los desarrollos, estableciendo sus funcionalidades y metodología de

trabajo.

Lineamientos para el Desarrollo:

Entre los objetivos que al menos debiese cubrir con los desarrollos, debe

considerar obtener: Monitoreo automático permanente sobre las transacciones

seleccionadas (24*7*365); Obtener resultados reales y en forma oportuna (eliminar

los falsos positivos); Capacidad de análisis sistémico de potenciales

irregularidades; Generación de alertas y asignación de casos; Establecer orden de

prioridad en la atención de casos críticos; Definir estándares de servicio y/o

atención de casos (SLA); Reportar riesgos emergentes; Permitir seguimiento de

situaciones sospechosas, entre otros.

A partir del trabajo del equipo seleccionado, establezca las funcionalidades de la

herramienta a alto nivel y posteriormente, detalle las especificaciones técnicas y

funcionales de cada proceso forense, partiendo por un caso de análisis sencillo,


conocido o dominado por el equipo, a fin de facilitar su desarrollo y posterior

prueba, obteniendo un punto de éxito que motive y comprometa al equipo.

Recomendamos efectuar una integración de los diversos patrones de

comportamiento de fraude y sus estructuras en las base de datos de la

organización utilizando un sistema de redes neuronales de las relaciones lógicas y

excepcionales que hayan sido identificadas en los distintos procesos de negocio

de la compañía. A través de la programación de “DAEMON” (D.A.E.MON - Disk

And Execution Monitor), realicen en tiempo real monitoreo transaccional sin

limitaciones (datos, volumen, horario, tiempo, etc.), que le permita detectar en

forma temprana operaciones irregulares o fuera del patrón normal de

comportamiento definido. Identificada una alerta, el sistema debe ser capaz de

canalizarla a través de un workflow a los Auditores Forenses para su

investigación, resolución y prevención. Desarrolle un panel gráfico de las alertas,

que le permita monitorear visualmente el comportamiento de los diversos sistemas

y procesos críticos.

(DAEMON - Nomenclatura usada en sistemas UNIX y UNIX-like: Es un tipo especial de proceso

informático no interactivo, es decir, que se ejecuta en segundo plano en vez de ser controlado

directamente por el usuario. Este tipo de programas continua en el sistema, es decir, que puede

ser ejecutado en forma persistente o reiniciado si se intenta matar el proceso dependiendo de

configuración del demonio y políticas del sistema.)


A continuación, detallaremos algunas de las alertas que hemos desarrollado y que

hoy se encuentran en uso en el equipo de Auditoría Forense de Caja Los Andes,

modificándose la forma de trabajo (de análisis manual a monitoreo automático), lo

que ha logrado una mayor eficiencia y efectividad.

¡¡No olvide, seguir estos consejos!!

1) Basado en los riesgos de fraude que usted haya identificado de los procesos

(matriz de riesgo de auditoría), establezca la actividad a monitorear en tiempo real.

2) Construya la rutina de análisis, de monitoreo de datos y el código de alerta en

PL-SQL de Oracle. Escoja correctamente el paquete de datos necesario y defina

bien las funciones y procedimientos de Auditoría Forense (inteligencia de

búsqueda, filtros, lógica y selección de datos, etc.).

3) Pruebe y depure la inteligencia de análisis forense de la transacción o

negocio. Verifique el funcionamiento del “DAEMON” (chron/servicio), revise y

discrimine lo que está ocurriendo en vivo en las bases de datos transaccionales

(base producción espejada). Una vez este seguro que el dato es correcto y que

han sido eliminado los falsos positivos, automatice y otorgue prioridad de proceso

y distribución de alertas. Un ejemplo de alerta recibida por el auditor es la

siguiente:


Reporte de la Alerta


Un ejemplo de un panel gráfico de control de alertas, que espeja las alertas

despachadas para análisis y permite mejor control de los casos, es el siguiente:

Panel de Control Central con 3 alertas

Este panel de control, muestra 3 alertas graficas (barras, dispersión, spider web,

acelerómetro, etc.) que rotan en forma dinámica cada 1 minuto. En la actualidad

contamos con un set de 9 alertas en producción que son mostradas en estos

paneles gráficos en las Áreas de Auditoría Interna que deben intervenir en los

casos reportados.


Otros ejemplos de cómo ha sido instalado el sistema son los siguientes:

Panel de Control Central - otras 3 alertas

Ejemplo de la Ubicación del Panel de Control Central


Otra Toma de la Ubicación del Panel de Control Central

Es necesario destacar que, como se ha comentado, el sistema de alerta remite al

auditor forense el caso cuando éste cumple con los parámetros de búsqueda y

extracción definidos, aplicando previamente el mismo análisis lógico que hubiese

utilizado el Auditor para tomar la decisión de investigar dicho caso.

Como una medida de apoyo, el sistema además entrega al Auditor información

complementaria del caso, tales como: Análisis de concentración de transacciones

por usuario; Alerta visual (pop-up) destellante de color rojo y de voz “en off”, cuyo


objetivo es que dichos casos sean inmediatamente atendidos debido a la

importancia que a ellos se les ha asignado.

Dichas alertas e información, están conectadas con un middleware/controlador

programado en lenguaje Java, siguiendo el patrón MVC y que utiliza el framework

Icefaces para generar la visualización del usuario (Auditor Forense).

A continuación se presenta un ejemplo del aviso por concentración que genera el

sistema en forma automática.

Alerta por Concentración

Cuando el Auditor recibe el aviso de alerta, se autentica en el sistema de gestión

de alerta temprana de fraude, a través de una cuenta de acceso individual y una

password, donde podrá visualizar el listado de sus alertas e información de gestión

asociada a ellas (fecha de asignación, tiempo de resolución, carga de trabajo, etc.)

Esta información es exportable a Excel, permitiendo su uso en forma local en un

PC o notebook.

Recibida la Alerta, el auditor selecciona la alerta respectiva y toda la evidencia que

tiene sobre el monitoreo (registros, fotos, documentos y archivos en general),


ingresa sus comentarios y conclusiones del análisis efectuado, clasificando el caso

según proceda (potencial fraude, error operacional, etc.). Dicho registro generara

una acción del tipo investigativo, correctiva, de mejora de procesos, etc.

Para finalizar un ciclo de revisión de un caso o alerta, el sistema requiere que la

Jefatura del equipo de Auditoría Forense revise el caso y proceda a su cierre

definitivo en el sistema.

A continuación se muestra en imágenes, la pantalla que utiliza el auditor para

ingresar al sistema y trabajar sobre cada una de las alertas.

Ingreso al Sistema


Menú de Gestión (para ingresar comentarios y evidencia de un caso seleccionado)

Información de las Transacciones Reportadas


Información de Gestión Dinámico de las Transacciones Reportadas

Dado que el sistema necesita adaptabilidad y flexibilidad para incorporar cambios

de requerimientos (ello debido a que se trabajaba con operaciones fraudulentas,

cuya estructura cambia en el tiempo y que requieren atención inmediata), se

diseñaron entregables periódicos del progreso del funcionamiento del software.

Como metodología de desarrollo de software, se utilizó “Scrum”, la que adopta

buenas prácticas para trabajar colaborativamente en equipo y obtener el mejor

resultado en un proyecto. Esta metodología, está especialmente recomendada

para proyectos complejos, donde se necesita obtener resultados rápidamente e


incrementales, con requisitos cambiantes en el tiempo y donde la innovación,

flexibilidad y productividad son fundamentales.

Para la toma de requerimientos por parte del Ingeniero de Sistemas (Auditor

Computacional), éste trabajó en conjunto con el Auditor Forense y para la

estimación de los tiempos de desarrollo se utilizó juicio experto y planning poker

(técnica para calcular una estimación basada en el consenso, en su mayoría

utilizada para estimar el esfuerzo o el tamaño relativo de las tareas de desarrollo

de software).

Se ejecutó un sprint cada 10 días, donde se entregaban pequeñas piezas de

software funcionando, con la conformidad respectiva del Auditor Forense. Se

aplicaron reuniones constantes de no más de 10 minutos por día, para hablar

sobre dudas y entendimientos claros por parte del desarrollador, basados en la

metodología de desarrollo de proyecto aplicada (scrum).

La documentación del sistema, fue preparada al final del proyecto a fin de

privilegiar su funcionalidad. Ello, debido a que la prioridad fue contar con al menos

6 alertas o monitoreo en el plazo de 6 meses.

Para un mejor entendimiento del funcionamiento del sistema desarrollado, a

continuación se presenta su respectivo diagrama de flujo de actividades.


Diagrama de Actividades


Diagrama de Actividades (cont.)


ALERTAS IMPLEMENTADAS

A la fecha se han implementado 9 alertas tempranas o monitoreo automatizados

de transacciones críticas. Algunas de ellas, son: Giros en Cuentas de Ahorro;

Ajustes de Varios Acreedores de Créditos por Aplicar; Venta de Seguros; Pagos

por Caja; Procesamiento y Pago de Licencias Médicas; Generación de Beneficios

y Bonificaciones de Reservas de Turismo; entre otros.

A continuación, describiremos el funcionamiento de 4 alertas que son aplicables a

transacciones cotidianas de la industria bancaria o financiera. Ello, con el

propósito de ejemplificar de mejor forma la naturaleza de los análisis

automatizados que realiza el sistema en apoyo de los Auditores Forenses,

otorgando mayor eficiencia a la labor de Auditoría.

1) Desbloqueo y Giro Indebido de Saldos Inmovilizados: Cada un minuto el

sistema monitorea a nivel nacional el 100% de los desbloqueos de saldos

inmovilizados de cuentas de ahorro de los clientes, verifica en forma automatizada

si el desbloqueo cuenta con un nivel de aprobación de una Jefatura y luego

analiza si el giro que se pretende efectuar, luego del desbloqueo de la cuenta,

tiene relación con el comportamiento de giro demostrado históricamente por el

cliente (ahorrante). Si la transacción no cumple con los parámetros de normalidad

establecidos por auditoría, la transacción es reportada por el sistema de alerta

temprana, activándose la operación en un menú gráfico y remitiéndose por mail el


caso a un Auditor Forense para su análisis final y resolución inmediata de la alerta

en el sistema. Además, dicha alerta considera un nivel de riesgo adicional cuando

identifica automáticamente que no existe segregación de función entre el usuario

que desbloquea un saldo inmovilizado y éste además es quien efectuará el giro de

los montos del cliente, generándose una marca de mayor riesgo en la información

de la alerta que recibe el Auditor Forense. Su objetivo es proteger los ahorros de

los clientes, prevenir que indebidamente se giren sus saldos inmovilizados,

detectando oportunamente potenciales fraudes e irregularidades en el manejo de

dichos montos.

2) Uso Irregular de Ahorro (Velocidad de Giro): Al término de cada jornada laboral,

el sistema realiza un análisis del 100% de las cuentas de ahorro activas y busca

aquellos depósitos en efectivo por montos superiores a un determinado monto

(>M$500 - dato parametrizable), realizados en forma directa o a través del

empleador del ahorrante, que son girados transcurrido un máximo de 10 días de

efectuado el ingreso de los fondos, revisa que el monto de las operaciones

transadas tenga relación con el nivel de ingresos del ahorrante declarado por su

empleador en la Caja y además, si el cliente demuestra este comportamiento en

forma repetida en 3 o más oportunidades. Si luego de realizar el análisis en forma

automatizada el sistema detecta que las operaciones no cumplen los parámetros

de normalidad definidos, este levanta inmediatamente una alerta en el panel de

control y además reporta vía mail el caso a un Auditor Forense para su

investigación y resolución. El objetivo de este monitoreo es identificar


oportunamente potenciales operaciones indebidas de lavado de dinero para

reportárselas al Oficial de Cumplimiento y fraudes efectuados por los ahorrantes a

sus empleadores, utilizándose a Caja Los Andes como vehículo para cometer el

delito a través del uso indebido de las cuentas de ahorro.

3) Pago Irregular de Egresos por Caja: Monitorea cada pago efectuado por caja a

los clientes en tiempo real, identificándose aquellas partidas ($) que habiendo

estado disponible para pago a nombre de un cliente determinado, estos montos no

son rebajados del saldo de caja por el Cajero, aún cuando el cliente estuvo en la

caja realizando el cobro de otros pagos. Si los montos están disponibles para

pago, estos deben ser cancelados en su totalidad al cliente. La alerta identifica

estos casos, realiza un seguimiento de ellos y cuando están siendo girados

indebidamente por el Cajero sin que el cliente se encuentre en una sucursal, estos

son detectados por el sistema y reportados a un Auditor Forense para su

investigación. El objetivo de este monitoreo es detectar giros irregulares de

fondos de clientes por parte de los Cajeros en las sucursales.

4) Ajuste de Varios Acreedores de Crédito por Aplicar: Monitorea minuto a minuto

los ajustes que se efectúan a través de traspasos a los cuadros de pago de los

créditos, donde los montos asociados a varios acreedores de créditos por aplicar a

nombre de un clientes son utilizados indebidamente para cancelar deudas de otros

clientes y/o de personas que no tienen relación alguna con el titular del vario

acreedor por aplicar o bien estos montos son aplicados indebidamente para pagar


deudas por cobrar de otras personas. Esta alerta además considera el análisis

automático de la relación que existe entre el usuario que está realizando la

transacción irregular (ajuste por traspaso) y el cliente que está siendo beneficiado

indebidamente con el pago de dividendos de crédito o de cuentas de por cobrar. Si

se detecta relación de apellidos o de consanguineidad, el sistema otorga un nivel

de riesgo mayor a la alerta y reporta esta situación al Auditor Forense para su

investigación y resolución

Las 4 alertas preventivas individualizadas precedentemente, se presentan

gráficamente en un Panel de Control Central de Alertas, conforme lo siguiente:

Panel de Control de Alertas para la Industria Financiera


Otros monitoreo o alertas de prevención que se han desarrollado e implementado

a la fecha, propios de la industria de Cajas de Compensación, y que demuestran

la flexibilidad del sistema computacional desarrollado, dicen relación con el

Procesamiento Irregular y Pago Indebido de Licencias Médicas y que se presentan

en las siguientes pantallas sólo a modo de referencia, puesto que son propios de

una industria especifica.


Panel de Control de Otras Alertas Específicas


CAPITULO V

ARQUITECTURA TECNOLOGICA DEL SISTEMA

El Sistema de Alerta Temprana de Fraude fue desarrollado bajo la tecnología

Java, aplicando un patrón de arquitectura de 3 capas más conocido como MVC

(modelo, vista, controlador) que permite: a) Separar la lógica de negocio de la

interfaz de usuario; b) Lograr independencia de capas y facilitar las modificaciones

que se requiera realizar a una de ellas sin afectar la otra; y c) Mejorar la

reutilización del código fuente y su posterior mantenimiento.

La vista tiene una interfaz de usuario Xhtml soportada por el framework ICEfaces

que posee una serie de componentes ya fabricados que hacen estándar y rápida

la construcción y utilización de formas, colores y herramientas dentro del sistema.

También se utilizó tecnología Json, Ajax y Jquery para lograr una rápida

comunicación e intercambio de datos entre los gráficos y la base de datos.

Respecto la seguridad del sistema, se utilizó el framework de Spring spring-

security 3.0 que permite gestionar completamente la seguridad de las aplicaciones

Java en varios niveles, utilizándose además en el servicio de identificación y

acceso a los recursos de las aplicaciones. El controlador (middleware) que

comunica la vista y el modelo fue desarrollado sobre Java y mejores prácticas de

programación.


El modelo y la lógica de negocio del sistema se encuentra concentrado sobre la

base de datos Oracle 11G, cuya ventaja es que cualquier modificación y/o cambio

al negocio de la solución se efectúa sobre la base de datos y no interviniendo el

código fuente.

A continuación se presenta la arquitectura de capas del sistema y un fragmento

del modelo de datos del sistema implementado.

Arquitectura del Sistema

Base Datos Oracle Fraude

Capa de datos (negocio)

JDBC

Capa de acceso a datos

DAO – JPA – EclipseLink - Entities

Capa de control

EJB

Capa de Presentación

IceFaces

IceFaces UI

JSF 2.0

Jquery / Json

Sp

ring

Se

cu

rity 3

.0

TablasProcedimientos almacenadosFuncionesSecuencias

Base datos CCAF

StandBy Producción

Demonio Servicio

Consulta

Extrae

Ejecuta


Fragmento del Modelo de Datos del Sistema


Fragmento del Modelo de Datos del Sistema (cont.)


CAPITULO V

CONCLUSIÓN

Del análisis detallado del tema presentado en este Ensayo, se concluye que no

basta que las Áreas de Auditoría Forense y/o de Auditoría Interna continúen

utilizando metodologías manuales o semi-automatizadas para efectuar análisis de

datos y desarrollar su trabajo. Con dicha forma de trabajar, les será muy difícil

lograr una identificación temprana de los fraudes y/o las irregularidades en las

organizaciones. Por consiguiente, la capacidad de mitigación de riesgos

monetarios, operacionales, de imagen y legales asociados al fraude corporativo

será baja, teniendo poco valor una unidad de Auditoria Forense.

Teniendo en cuenta dicha premisa, se hace imperativo avanzar en la

implementación de un concepto de Auditoría Continua Automatizada, en materia

Forense y Auditoría Interna, incorporando la tecnología y los sistemas de

información como parte integral del quehacer del Auditor. Hemos probado que

una buena forma de avanzar en este tema, es con desarrollos “in house” como los

que hemos detallado en este ensayo, el que esperamos sea de utilidad y guía

para aquellos que deseen dar un paso más en la profesión.


CAPITULO VI

BIBLIOGRAFÍA

1) http://www.cajalosandes.cl/quienes-somos/historia

2) http://www.ine.cl/

3) Informe Clasificación de Riesgo Feller-Rate (http://www.feller-rate.cl)

4) Informe Clasificación de Riesgo Humphreys (http://www.humphreys.cl

5) BADILLO, Jorge; “Auditoría Forense / Más que una especialidad profesional

una misión: prevenir y detectar el fraude financiero”; Quito – Ecuador; Mayo

2008

6) Norma Internacional de Auditoría NIA-11 Sección 240A; Fraude y Error.

7) Instituto de Auditores Internos - IAI; Definición de Auditoría Interna.

8) Instituto de Auditores Internos - IAI; NEPAI 1210.A2.

9) Instituto de Auditores Internos - IAI; NEPAI; Glosario.

10) http://www.proyectosagiles.org/que-es-scrum

http://www.cajalosandes.cl/quienes-somos/historia

http://www.ine.cl/

http://www.feller-rate.cl/

http://www.humphreys.cl/

http://www.proyectosagiles.org/que-es-scrum


ANEXO

RESEÑA DE LOS ENSAYISTAS

Hernán Vergara Vásquez. 54 años Contador Auditor con Posgrados en Operaciones y Servicios Financieros; Prevención, Detección e Investigación de Fraudes; Gobiernos Corporativos; y Recursos Humanos. Certificaciones: CIA, CCSA, CRMA, CRISC, CAMS. Actualmente desempeña el Cargo de Contralor Corporativo de CCAF Los Andes (Chile).

Profesional con más de 20 años de experiencia en Auditoría Interna, Auditoría Computacional, Prevención de Fraudes, Gestión de Riesgos, Operaciones Financieras, entre otros. Amplia experiencia en dirección y formación de equipos de auditoría especializados y multidisciplinarios, planificación y dirección de programas de auditorías y proyectos de certificación internacional de áreas de auditoría interna (IIA-Global), entre otros. Profesor y Relator en temas como: Auditoría Aplicada, Auditoría Financiera, Prevención de Lavado de Activos, Prevención de Fraudes, entre otros. Otros temas de formación técnica: Cursos de especialización en temas contables (IFRS); Finanzas Corporativas; COSO; COBIT; Riesgo Operacional; ACL; Lavado de Dinero; Participación en seminarios tales como CAMS, CLAIN, CLAI, CONAI; Gestión de Riesgos; Oficial de Cumplimiento; entre otros.


Alexis Cifuentes Bruna 35 años Contador Público y Auditor con Posgrados en Auditoría a Mesas de Dineros; en Gestión de Riesgo Financiero y en Prevención, Detección e Investigación de Fraudes. Actualmente se desempeña en el Cargo de Subgerente de Prevención de Fraudes e Investigaciones en el Área de Contraloría de CCAF Los Andes (Chile).

Profesional con más de 10 años de experiencia en Auditoría Interna, con sólidos conocimientos en la planificación y ejecución de auditorías de riesgo operacional, de sucursales, de riesgo crediticio y financiero y en auditoría forense. Tiene experiencia en el liderazgo y formación de equipos de auditoría especializados, planificación, control de gestión y ejecución de programas de trabajo de auditorías, administración y control de proyectos de auditoría, y coordinación de certificaciones internacionales de áreas de auditoría interna (IIA-Global), entre otros. Entre su formación técnica, destaca su participación en seminarios como el CLAIN de la FELABAN, en el CONAI del IIA-Chile y en cursos o talleres especializados en materias Contables (IFRS); de Auditoría Interna; de Gestión de Riesgos, de Control Interno, de Lavado de Dinero y Financiamiento del Terrorismo, Compliance Corporativo; Hacking; Fraude Corporativo, Electrónico y Aspectos Legales asociados; Investigaciones; Pericia de Documentos y Grafología, entre otros.-


Marco Fuenzalida Maripangui 30 años Ingeniero Ejecución en Informática con Posgrado en Gestión Informática. Actualmente se desempeña en el Cargo de Auditor Computacional en el Área de Contraloría de CCAF Los Andes (Chile).

Profesional con 7 años de experiencia en el desarrollo de diversos sistemas computacionales en lenguaje JAVA y otros de similar nivel, con activa participación en el desarrollo e implementación de más de 10 proyectos informáticos relacionados con las siguientes materias: Control Presupuestario; Auditoría de Sucursales; Cajas; Control de Clientes; Alerta Temprana de Fraudes; entre otros. En los últimos 2 años ha participado en el desarrollo de un sistema computacional para la ejecución de auditoría de sucursales y en el sistema de alerta temprana de fraudes e irregularidades, descrito en el presente ensayo.

evolución de la auditoría forense - felaban.net contraloria caja los... · auditorÍa forense -...

Documents