innovaciÓn y tecnologÍa para fortalecer el control interno

PREVENCIÓN, DETECCIÓN E INVESTIGACIÓN DE FRAUDES: EJERCICIOS Y CASOS PRÁCTICOSJorge Badillo Ayala
Jorge Badillo Ayala
3
(Caserones)
Es ecuatoriano, cuenta con más de 25 años de experiencia en labores de auditoría: interna, financiera, de gestión, forense, informática. Trabaja en la compañía Japonesa SCM Minera Lumina Copper Chile como Gerente de Auditoría Interna.
Tiempo atrás trabajó en la compañía minera Sierra Gorda SCM (Joint Venture: KGHM – Polonia & Sumitomo – Japón) como Gerente de Auditoría Interna con sede en Chile, también trabajó en la compañía minera canadiense Kinross Gold Corporation como Gerente Regional de Auditoría Interna para Sudamérica, con sede regional en Chile. Trabajó para la Organización de las Naciones Unidas ONU como Contralor Financiero de la Organización Internacional para las Migraciones, Misión en Ecuador; antes se desempeñó en Ecuador como Manager en Ernst & Young y también fue Director de Auditoría Interna del Servicio de Rentas Internas – SRI
Fue postulante al cargo de Contralor General del Estado de Ecuador en el año 2012
Es Doctor en Contabilidad y Auditoría - CPA; Magíster en Administración de Empresas – MBA; Diplomado en Control de Gestión; Diplomado en Gestión en la Minería
Cuenta con las certificaciones/calificaciones internacionales:
CIA – Certified Internal Auditor
CGAP – Certified Government Auditing Professional
CRMA – Certification in Risk Management Assurance
CISA – Certified Information Systems Auditor
Fue Presidente de la Fundación Latinoamericana de Auditores Internos – FLAI (2014–2017 y 2017–2021)
Fue miembro del Directorio en The Institute of Internal Auditors (The IIA Global) para el período Julio 2014 – Julio 2018. Es miembro de Comités Internacionales en The IIA (2008 – 2024)
Fue Presidente del Instituto de Auditores Internos del Ecuador (2010 – 2012); también es miembro del Directorio del Instituto de Auditores Internos de Chile (2018 – 2019).
A nivel internacional es conferencista, instructor y docente universitario en los temas de su especialidad
Noviembre – 2021Control Interno – Innovación y Tecnología Jorge Badillo
4
AGENDA
3. Controles a Nivel de Proceso
4. Matrices de Riesgo y Control (RACM)
5. Innovación y tecnología, aplicadas al control interno
6. Conclusiones
5
1. COSO 2013
• El Comité COSO desde su creación en 1985 está conformado por las siguientes organizaciones profesionales de presencia global:
– Instituto de Auditores Internos (IIA)
– Asociación Americana de Contabilidad (AAA)
– Instituto Americano de Contadores Públicos Certificados (AICPA)
– Ejecutivos Financieros Internacionales (FEI)
– Instituto de Contadores de Gestión (IMA).
• La misión de COSO es proveer liderazgo de pensamiento a través del desarrollo de marcos de trabajo y guías de orientación sobre gestión de riesgo corporativo, control interno y disuasión del fraude, diseñados para mejorar el desempeño institucional, el gobierno corporativo y reducir la presencia de fraude en las organizaciones.
6
1. COSO 2013
• En cumplimiento de su misión, COSO ha emitido, entre otros, los siguientes documentos que son parte fundamental de su valioso aporte al fortalecimiento del control interno y la gestión de riesgos en muchas organizaciones alrededor del mundo:
– Control Interno – Marco Integrado (1992)
– Gestión del Riesgo Empresarial – Marco Integrado (2004)
– Control Interno sobre la Información Financiera – Guía para pequeñas empresas cotizadas (2006)
– Guía para la Supervisión de Sistemas de Control Interno (2009)
– Control Interno – Marco Integrado (2013)
– Gestión del Riesgo de Fraude (2016)
– Gestión del Riesgo Empresarial – Integrando Estrategia y Desempeño (2017)
Numeración
7
8
COSO
9
• 5 Principios
COSO
PRINCIPIOS
Fraude
Fraude
Acciones Correctivas
5. Actividades de Monitoreo de la Gestión del Riesgo de
Fraude
COSO Gestión de Riesgos (2017)
• 5 componentes
• 20 principios
Consiste en tres volúmenes:
Marco y Apéndices
Herramientas Ilustrativas para Evaluar la Efectividad de un Sistema de Control Interno
Establece:
Requerimientos para efectividad
12
Entregable del proyecto #2 – Control Interno sobre Reporte Financiero Externo: Un Compendio....
Ilustra enfoques y ejemplos de como los principios son aplicados en la preparación de los estados financieros
Considera los cambios en los ambientes de negocios y de operaciones durante las dos décadas pasadas
Provee ejemplos de una variedad de entidades – publica, privada, sin fines de lucro, y gobierno
Alineado con el Marco actualizado
13
La actualización articula los principios de un efectivo control interno
1. Demostrar compromiso con la integridad y los valores éticos
2. Ejercer la responsabilidad de supervisión
3. Establecer la estructura, la autoridad y la responsabilidad
4. Demostrar compromiso con las competencias
5. Aplicar la rendición de cuentas
6. Especificar objetivos adecuados
10. Seleccionar y desarrollar actividades de control
11. Seleccionar y desarrollar controles generales sobre la tecnología
12. Implementación a través de políticas y procedimientos
13. Utilizar información pertinente
17. Evaluar y comunicar las deficiencias
14
La actualización describe importantes características de los principios, por ejemplo,
• Puntos de enfoque pueden no ser adecuado o pertinentes, y otros pueden ser identificados
• Puntos de enfoque pueden facilitar el diseño, la implementación y la realización de control interno
• No hay requisito de evaluar por separado si los puntos de enfoque se han establecido
Ambiente de Control 1. La organización demuestra un compromiso con la integridad y los valores éticos.
Puntos de Enfoque: • Establecer el Tono en lo Alto • Establecer Normas de Conducta • Evaluar el Cumplimiento de las Normas de Conducta • Manejar las Desviaciones en Forma Oportuna
15
16
17
18
19
20
21
22
23
24
25
En el 2020 el anterior “Modelo de las Tres Líneas de Defensa – M3LD” fue reemplazo por el nuevo “Modelo de las 3 Líneas – M3L”
3. Controles a nivel de proceso
26
27
Fuente: ISACA
0 - Inexistente: No se aplica una administración de los procesos
1 - Inicial/Ad Hoc: Procesos son ad hoc y desorganizados
2 – Repetible pero Intuitivo: Procesos siguen un patrón regular
3 - Definido: Procesos son documentados y comunicados
4 – Administrado y Medible: Procesos son monitoreados y medidos
5 – Optimizado: Buenas prácticas son seguidas y automatizadas
Nivel mínimo para un adecuado
control interno
28
Objetivos
ControlesRiesgos
Controles para mitigar / evitar los riesgos
• Algunas organizaciones (en el sector privado y en el sector público) creen que los controles solo existen para “evitar lo que no se quiere”, perdiéndose la mitad del potencial de los “controles”
29
30
Un riesgo podría impactar uno o más objetivos (R2)
Un control podría afrontar uno o más riesgos (C1)
31
32
Matrices
Flujogramas
Auto-evaluaciones (Self-Assessment)
33
Objetivo
de
Proceso
Riesgo
Objetivo
de
Control
Descripción
Categoría: aprobar, calcular, documentar, examinar, comparar, controlar, restringir, segregar, supervisar
34
Matrices de Riesgo y Control (RACM) más «relevantes» en una organización en general: DB – Desembolsos
AF – Activos fijos & CAPEX
IB – Inventarios de bodega
IP – Inventarios de producción
FV – Facturación y ventas
NE – Nivel de entidad
35
• Flujograma Integral (gestión, riesgo y control): Se grafica la gestión de un determinado proceso a través de sus actividades / tareas, y complementariamente se indica de manera gráfica los riesgos y los controles existentes.
n
Cn
= Hallazgo
= Control
36
37
NARRATIVAS
Proceso asociados Políticas asociadas
Riesgos
Observaciones
38
39
Autorización (aprobaciones)
Documentación (rigurosa y exhaustiva)
Actividades de control de las aplicaciones de TI (entrada, procesamiento, salida)
Verificaciones y conciliaciones independientes
Según la aplicación de las actividades de control, se las puede clasificar de diversas maneras y pueden corresponder a múltiples clasificaciones simultáneamente
Fuente: IIA
40
Actividades de control
A nivel de toda la entidad (entorno o ambiente de la Organización)
Imagen de la gerencia
Políticas y procedimientos coherentes
Cierres de período Fuente: IIA
41
Actividades de control
A nivel de proceso
Reducen el riesgo relativo a un grupo o variedad de actividades de nivel operativo (tareas) o de transacciones dentro de la organización
Aprobación de transacciones
Verificación de transacciones
Recalculo de transacciones
Confirmación de transacciones
Comprobaciones de integridad y validación del sistema
Actividades de control a nivel de entidad y a nivel de proceso deben funcionar conjuntamente
Fuente: IIA
42
A nivel de entidad
A nivel de proceso
Control secundario (refuerzan / respaldan)
Control compensatorio (controles redundantes para complementar controles clave que no puedan mitigar un riesgo hasta un nivel aceptable)
Control complementario (no están directamente asociados con el riesgo que afrontan, no son suficientes por sí solos pero sí en conjunto con otros controles)
Control preventivo
Control detectivo
Control directivo
Control correctivo
43
“La confianza no es un control”
“El control no es para ir más lento, es para poder ir rápido pero seguro”
“Un buen control no
garantiza el éxito … pero
fracaso”
control”
44
45
Proceso (Objetivo, Riesgo, Control) Descripción del Control Descripción de la Evaluación (testeo)
N° Lo ca
46
N° Lo ca
47
Descripción del control Matriz de Riesgo y Control - RACM (ESQUEMA)
N° Lo ca
48
Matriz de Riesgo y Control - RACM (ESQUEMA)
N° Lo ca
49
50
INNOVACIÓN
Innovación
1. f. Acción y efecto de innovar.
2. f. Creación o modificación de un producto, y su introducción en un mercado.
Innovar
2. tr. desus. Volver algo a su anterior estado.
51
TECNOLOGÍA
Del gr. τεχνολογα technología, de τεχνολγος technológos, de τχνη téchn 'arte' y λγος lógos 'tratado'.
1. f. Conjunto de teorías y de técnicas que permiten el aprovechamiento práctico del conocimiento científico.
2. f. Tratado de los términos técnicos.
3. f. Lenguaje propio de una ciencia o de un arte.
4. f. Conjunto de los instrumentos y procedimientos industriales de un determinado sector o producto.
52
53
Clientes
Proveedores
Empleados
Conflicto de intereses
54
Gastos de viaje
Tarjetas de crédito
55
Uso de inteligencia artificial para validar información en tiempo real (por ejemplo firmas de cheques)
Análisis de comportamientos y tendencias para validaciones en tiempo real (por ejemplo hábitos de compra en tarjetas de crédito)
Tableros de control (dashboard) y centros de inteligencia (control rooms) con alertas en tiempo real
Análisis de reconocimiento facial como señal de alerta (pilotos en retail)
Lentes inteligentes para visitas presenciales o en remoto
56
Multicanal (e-mail, website, call-center)
Tipos de usuario
Registro de denuncias
Gestión de casos
57
Enfoque
Efectividad del control KPI
Ejemplo de KRIs: factura 1, fraccionamiento de compras, cambios en archivos maestros, cotejar archivos maestros, incremento inusual de precio unitario, incremento inusual de sueldo base
Ejemplo ilustrativo
58
59
Análisis de comunicaciones sospechosas (en base al triángulo del fraude)
Ejemplo ilustrativo
60
Sistemas de gestión de riesgos, aplicados a gestión de riesgos de fraude
Auditorías sorpresa
61
62
63
Análisis de comportamiento de flotas en base a GPSs con alertas en tiempo real (minería)
Vigilancia con drones industriales (instalaciones, inventarios)
Sistemas de control de consumo de combustible (anillos, configuraciones, restricciones, alertas, reportes)
Cámaras de vigilancia
64
Cronómetro
Temperatura
Altímetro
GPS
65
66
Fuente: https://ww
67
Fuente: https://ww
• Comprender donde se está y donde se quiere estar
• Crear una cultura • Evaluación del Riesgo de Fraude
• Pensar como un defraudador • Descubrir lo que no se conoce
• Actividades de Control de Fraude • Usar datos para descubrir fraude • Conocer es poder
• Investigación de Fraude y Acción Correctiva • Establecer las bases para las
investigaciones • Realizar las investigaciones
• Actividades de Monitoreo de la Gestión del Riesgo de Fraude
• Monitorear los avances • Reportar los avances
68
Fuente: https://www.acfe.com/frau
Noviembre – 202169
Fuente: https://www.acfe.com/fr
chequeo) interactiva • Biblioteca de pruebas de análisis
de datos anti-fraude • Plantillas de evaluación de
riesgos y seguimiento de acciones
• Plantillas de documentación de puntos de enfoque
6. Conclusiones
70
71
72
1. Para un adecuado diseño e implementación de controles a nivel de proceso es necesario considerar la «trilogía»: objetivo, riesgo, control
2. Si se diseña/implementa controles en un proceso sin considerar los objetivos/riesgos del mismo, el resultado puede ser un sobre-control o un sub- control del proceso
3. Si no se documentan (caracterizan) los controles a nivel de proceso (matrices RACM principalmente) es muy difícil esperar un riguroso diseño/implementación y evaluación de los mismos; pues si los «controles» no están documentados se vuelven “intangibles”
4. Los controles a nivel de proceso deben tener claramente definido su diseño e implementación, su descripción, pero además su “dueño” (control owner) que a veces pero no siempre es el “dueño del proceso” (process owner)
5. Los controles a nivel de proceso deben además tener claramente definido cómo serán evaluados (testeados), esto incluye identificar el tamaño de la muestra y la evidencia que sustentará la existencia y efectividad de un control
6. La innovación y la tecnología son fundamentales para mantener, fortalecer y optimizar el control interno en las organizaciones
73
Jorge Badillo Ayala
@jbadillo1975
[email protected]
“Hay tres grupos de personas: los que hacen que las cosas sucedan, los que miran las cosas que suceden, y aquellos que se preguntan qué sucedió”
Nicholas Murray Butler
74

innovaciÓn y tecnologÍa para fortalecer el control interno

Documents