Tendencias internacionales de control interno y prácticas antifraude 5 de Noviembre PricewaterhouseCoopers

Transcripción

1 Tendencias internacionales de control interno y prácticas antifraude 5 de Noviembre 2009 P w C

2 Agenda 1. Leyes SOX en el mundo una visión globalizada 2. Algunas consideraciones y estadísticas sobre fraude 3. Introducción a Sarbanes-Oxley 4. COSO Aplicado a Sarbanes Oxley 5. El Ambiente de control y COSO 6. Mejores prácticas para establecer un Regimen Antifraude

3 1. Leyes SOX en el mundo - una visión globalizada Canada: Bill 198 de abril de 2003 "Keeping the Promise for a Strong Economy Act (Budget Measures), 2002" Japón: J-SOX de junio de 2006 Financial Instruments and Exchange Law Alemania: Deutsche Corporate Governance Kodex de agosto de 2002 Australia: CLERP9 de enero de 2005 Corporate Law Economic Reform Program (Audit Reform and Corporate Disclosure Francia: LSF de agosto de 2003 Financial Security Law of France ("Loi sur la Sécurité Financière") Italia: publicada en diciembre de 2005 equivalente a Sarbanes Oxley para empresas de servicios financieros ("Disposizioni per la tutela del risparmio e la disciplina dei mercati finanziari") Sudáfrica: King II de marzo de 2002 King Report on Corporate Governance for South Africa 2002 Colombia: Circular Externa 014 de la SFC de mayo de 2009 Instrucciones relativas a la revisión y adecuación del Sistema de Control Interno (SCI) Slide 3

4 2. Algunas consideraciones y estadísticas sobre fraude Encuesta Global sobre Crimen Económico 2007 Los datos que verán a continuación fueron obtenidos de la Encuesta Global sobre Crimen Económico Esta encuesta se realizó entrevistando a 5,400 compañías localizadas en 40 países, incluyendo los EEUU. Cerca de la mitad de las compañías entrevistadas reportaron haber sido víctimas de fraude en los dos años anteriores y haber sufrido pérdidas en promedio de US$2.4 millones. Esto representa un 40% de incremento respecto de la última encuesta realizada en el año Slide 4

5 Compañía que reportaron fraude Slide 5

6 Tipos de fraude Slide 6

7 Daños colaterales y el nivel del perpetrador en la compañía Slide 7

8 Perfil del perpetrador Slide 8

9 Métodos de detección Global Latinoamérica Slide 9

10 Razones del Fraude Estilo de vida costoso(37%) Incentivo / Necesidad Oportunidad Justificación Controles internos insuficientes (42%) Ausencia de valores y de conciencia ética (66%) Slide 10

11 Acciones en contra de los perpetradores Slide 11

12 3. Introducción a Sarbanes-Oxley La ley Sarbanes-Oxley de 2002 fue creada para restaurar la confianza en el mercado público de valores de Estados Unidos, la cual fue devastada por los escándalos en algunos negocios y los descuidos en el gobierno corporativo. Adicionalmente, rescribió las normas para contabilización, revelación y reporte, bajo la premisa de buen gobierno corporativo y negocios éticos. Se origina a raíz de los escándalos financieros como ENRON, World Com, entre otros, los cuales generaron pérdida de la confianza por parte de los inversionistas. La Ley Sarbanes Oxley es la reforma más importante a la regulación del Mercado de Valores Americano desde La ley fue promulgada por el Congreso de los Estados Unidos en julio de Slide 12

13 Objetivos de la ley Prevenir la ocurrencia de problemas contables y de reporte. Reestablecer la confianza pública en los reportes corporativos y sus prácticas. Definir un mayor nivel de transparencia y responsabilidad sobre los reportes financieros. Proveer estándares nuevos o mejorados para la generación de reportes contables y establecer penas para quienes no lo cumplan. Desarrollar nuevas prácticas de Gobierno Corporativo y de reporte financiero. Hacer responsable a la compañía y su administración por el control interno. Fortalecer el Sistema de Control Interno con el propósito de: Dar cumplimiento a la ley y a las regulaciones expedidas por la SEC (Comisión de Valores de U.S.A.) y afianzar la Estructura de Control Interno Corporativo en las organizaciones. Establecer y mantener una adecuada estructura de control interno y evaluar su efectividad cada año. Slide 13

14 Responsabilidades de la Administración Responsabilidad Corporativa - Titulo III - Sección 302 Requiere una certificación trimestral y/o anual del CEO / CFO de todas las compañías que realizan reportes periódicos; certificando que dichos reportes son completos y exactos así como la efectividad del control interno que soporta la calidad de la información incluida en dichos reportes. Los reportes emitidos a la SEC han sido revisados. Los reportes no contienen ninguna información falsa u omite cualquier hecho material. Se diseñaron y establecieron Disclosure Controls and Procedures que se mantienen y operan efectivamente. Los estados financieros representan legítimamente la posición financiera, resultante de la operación y los flujos de efectivo. Slide 14

15 Responsabilidades de la Administración (Cont.) Las deficiencias y debilidades materiales de control interno han sido comunicadas al Comité de Auditoría y a los auditores externos. Los cambios en el control interno han sido reportados. Son responsables por los controles y los procedimientos de revelación de información. Han diseñado o supervisado el diseño de los controles para asegurar que tienen toda la información material. Han evaluado la efectividad de los controles y presentado conclusiones sobre la misma. Han informado al Comité de Auditoría y los auditores externos (Revisor Fiscal) debilidad material o acto de fraude que involucre a la administración o a cualquier otro empleado que tenga un papel significativo en el control interno. Slide 15

16 Responsabilidades de la Administración (Cont.) Fortalecer las Revelaciones Financieras - Titulo IV - Sección 404 Requiere un reporte anual de la gerencia en relación con el control interno y los procedimientos para la información financiera, y una opinión por parte de los auditores externos sobre la efectividad del control interno. La gerencia es responsable de: Establecer y mantener una adecuada estructura de control interno y procedimientos para realizar el reporte de estados financieros. Evaluar la efectividad de la estructura de control interno y de los procedimientos. El marco de trabajo utilizado por la administración para evaluar la efectividad del control interno sobre reportes financieros (COSO). Committe of Sponsoring Organizations of the Treadway Comission. Slide 16

17 Sanciones Certificaciones: La Ley consagra sanciones para quienes certifiquen información falsa o engañosa contenida en los reportes remitidos a la SEC. Responsabilidad derivada de la Certificación con efectos penales (Sección 906): Certificación falsa o engañosa: Penas hasta de US$1 millón y 10 años de prisión (o ambas). Certificación intencionalmente falsa o engañosa: Penas hasta de US$5 millones y 20 años de prisión (o ambas) Consecuencias derivadas de la Certificación con efectos civiles (Sección 302): Tanto la empresa como las personas que certifiquen pueden ser sujetos de demandas que los obliguen a resarcir los perjuicios ocasionados. Sanciones pecuniarias / multas. Slide 17

18 4. COSO aplicado a SOX COSO es un marco de referencia reconocido en todo el mundo (utilizado como guía para SOX) por proveer guía en los aspectos críticos de gobierno corporativo, ética en los negocios, control interno, riesgo empresarial, fraude, y reportes financieros. COSO es la sigla para su nombre en inglés Committee of Sponsoring Organizations of the Treadway Commission que en españól se traduce como Comité de Organizaciones Patrocinadoras de la Comisión Treadway COSO fue fundado en 1985 para patrocinar al National Commission on Fraudulent Financial Reporting. Sus miembros son las 5 asociaciones profesionales más importantes de EEUU: la American Accounting Association (AAA), la American Institute of Certified Public Accountants (AICPA), la Financial Executives International (FEI), el Institute of Internal Auditors (IIA), y el Institute of Management Accountants (IMA). Además tiene miembros independientes de estas organizaciones, representantes de la industria, firmas de auditoría, firmas de inversión, y de la Bolsa de New York (NYSE). Agosto 2009 Slide 18

19 Marco de control COSO Monitoreo Evaluación del funcionamiento del sistema de control en el tiempo. Combinación de evaluaciones puntuales y recurrentes. Actividades de dirección y supervisión. Actividades de auditoría interna. Información y comunicación Se identifica, captura y comunica la información adecuada en forma oportuna. Acceso a información generada interna y externamente. Flujo de información que permite acciones de control exitosas, que van desde instrucciones relacionadas con responsabilidades hasta resúmenes de observaciones de las acciones de la dirección. Ambiente general de control Fija las pautas de la organización que ejercen influencia sobre la conciencia de la gente. Los factores incluyen integridad, valores éticos, competencia, autoridad, responsabilidad. Base de los demás componentes de control. Los cinco componentes deben implementarse para lograr un control efectivo Actividades de control Políticas y procedimientos que aseguran que se cumplen las directivas de la dirección. Rango de actividades que incluyen aprobaciones, autorizaciones, verificaciones, recomendaciones, revisiones de desempeño, salvaguarda de activos y segregación de funciones. Evaluación de riesgos La evaluación de riesgos es la identificación y análisis de los riesgos significativos para lograr los objetivos del ente y formar la base para determinar las actividades de control. Slide 19

20 5. Ambiente de control y COSO Factores del ambiente de control Objetivos Integridad y valores éticos Compromiso con la competencia Comités de Auditoria Filosofía y estilo operativo de la gerencia Estructura de la Organización Componentes MONITOREO INFORMACIÓN Y COMUNICACIÓN ACTIVIDADES DE CONTROL EVALUACIÓN DE RIESGOS UNIDAD A UNIDAD B ACTIVIDAD 2 ACTIVIDAD 1 Unidades de negocio AMBIENTE DE CONTROL Slide 20

21 5. Ambiente de control y COSO (Cont.) El ambiente de control establece el tono de la alta gerencia, influenciando la consciencia de control de todo el personal en la Compañía. Es la base para los otros componentes del control interno y provee estructura y disciplina. El ambiente de control incluye los siguientes factores que debemos entender y evaluar: Comunicación y obligatoriedad de integridad y observación de valores éticos Compromiso con la competitividad Involucramiento de aquellos encargados del Gobierno Corporativo Filosofía de la gerencia y estilo operativo Estructura organizacional Asignación de autoridad y responsabilidades Políticas de Recurso Humanos Agosto 2009 Slide 21

22 6. Mejores prácticas para establecer un régimen antifraude Los 8 elementos clave Los 6 pasos de la evaluación de riesgos de Fraude, FRA Identificación de los esquemas de Fraude Roles y actores clave Slide 22

23 I - Los 8 elementos clave del régimen antifraude 1. Gobernabilidad vigilancia por parte del comité de auditoria y de la junta directiva 2. Evaluación de Riesgos de Fraude - FRA 3. Código de conducta y ética de negocios 4. Mecanismos de reporte de incidentes 5. Protocolo Investigativo 6. Protocolo de Remediación 7. Políticas y procedimientos de contratación y ascenso 8. Evaluación y aplicación de pruebas por parte de la gerencia Slide 23

24 1. Gobernabilidad La vigilancia del comité de auditoria y de la junta directiva debe extenderse a: Programas antifraude incluyendo el proceso de evaluación del riesgo de fraude (FRA). Mecanismos de reporte de incidentes para que los empleados puedan reportar sus inquietudes. Revisión de reportes periódicos de posibles fraudes o faltas de conducta denunciados. Plan de auditoría interna que aborde los riesgos de fraude. Participación de otros expertos para investigar cualquier caso sospechoso de mala conducta. Slide 24

25 2. FRA - Evaluación de Riesgo de Fraude Una evaluación de riesgo de fraude: Es un esquema basado en escenarios mas que basado en controles de riesgo o riesgo inherente. Es realizada de manera integral y recurrente mas que de manera informal o fortuita. Considera las diversas formas en que el fraude puede ocurrir dentro y en contra de la compañía. Considera la vulnerabilidad de omisión por parte de la gerencia. Considera la vulnerabilidad de fraude y su posible impacto en el reporte financiero. Considera el riesgo de fraude por parte de la alta gerencia o la junta directiva (personas con influencia) Considera los incentivos y presiones sobre la gerencia para cometer fraude Evalúa si los controles para mitigar el riesgo existen o no y si son efectivos. Slide 25

26 3. Código de conducta y ética de negocios El código de conducta aborda lo siguiente: Conflictos de interés. Protección y uso apropiado de los activos corporativos y de oportunidades. Confidencialidad de información corporativa. Trato justo con los accionistas, clientes, proveedores, competidores y empleados. Cumplimiento con las normas y leyes. Reporte de cualquier tipo de comportamiento ilegal o no ético. La efectividad del código de conducta debe incluir: Plan de comunicaciones Antifraude Confirmación anual Capacitación y educación Antifraude Participación y vigilancia de la gerencia y del comité de auditoria Slide 26

27 4. Mecanismos de reporte de incidentes El comité de auditoria debe establecer procedimientos para: Recibir y retener información sobre presuntos incidentes La denuncia confidencial y anónima de las inquietudes de los empleados. Las compañías usan una variedad de mecanismos de reporte. Algunos ejemplos incluyen: Reporte directo al comité de auditoria o a la gerencia o al oficial de cumplimiento. Usar un apartado postal Usar sitios web o s. Usar una línea telefónica gratuita de denuncias Slide 27

28 5. Protocolo Investigativo Un protocolo investigativo debe abordar los siguientes asuntos para la revisión de un incidente: Objetivos Fuente de acusaciones Tiempo de respuesta esperado Retroalimentación al denunciante Estándares de documentación Tipo de reporte Estilo investigativo Responsabilidad legal Derechos del acusado Requerimientos de expertos externos Slide 28

29 6. Protocolo de Remediación Para demostrar a los empleados que el comportamiento no ético no será tolerado, un protocolo de remediación debe incluir: Tomar acción legal y disciplinaria contra quienes presenten conductas incorrectas. Recuperación de pérdidas y daños Aprendizaje de los incidentes para evitar su recurrencia. Comunicación con el comité de auditoria y auditores externos sobre las razones de falla de los controles y sobre las acciones que se han tomado para prevenir la recurrencia. Es de vital importancia observar consistencia en el manejo de fraude cuando se detecte, sin importar a que nivel ocurra. La falta de acción frente a los cargos superiores puede desmoralizar al resto del personal y generar conflictos mayores. Slide 29

30 7. Políticas y procedimientos de contratación y ascensos Establecer estándares de evaluación de inteligencia demuestra el compromiso de la Compañía con la contratación de gente competente y confiable. Se debe incluir lo siguiente: Verificación de antecedentes criminales Verificación de antecedentes civiles Verificación de referencias Calificaciones académicas Empleos anteriores Verificación de antecedentes de crédito Slide 30

31 8. Evaluación y aplicación de pruebas por parte de la gerencia Determinar la frecuencia de las y evaluaciones independientes es un asunto de juicio que debe tener en cuenta: la naturaleza, los riesgos, la competencias y la experiencia de los individuos que implementan los controles. Slide 31

32 II - Los 6 pasos del Fraud Risk Assessment (FRA) 1. Identificación de personal clave; 2. Identificación de esquemas de fraude relevantes para la Compañía; 3. Evaluación de los riesgos inherentes a los esquemas de fraude; 4. Evaluación de los riesgos residuales de los esquemas de fraude después de haber sido considerados por el ambiente de control de la Compañía; 5. Validación por parte de la gerencia; 6. Mantenimiento constante de la FRA. Slide 32

33 1. Identificación de individuos La gerencia es la principal responsable de la realización de la FRA y el Comité de Auditoria de la Junta Directiva debe tener un papel activo en el proceso de vigilancia. Como tal, los representantes de la gerencia y el comité de auditoría deben participar en la FRA y su participación debe ser documentada. La gerencia debe identificar al individuo(s) responsable(s) de asegurarse que la FRA sea llevada a cabo y documentada de manera sistemática. Además, la gerencia debe identificar al personal clave adecuado teniendo pleno conocimiento de los potenciales riesgos de fraude que implica la FRA en las más importantes unidades de negocio y niveles de responsabilidad. La cantidad de personas que participan dependerá del tamaño de la Compañía y de la naturaleza de sus operaciones. Slide 33

34 2. Identificación de esquemas de fraude relevantes La gerencia debe considerar los esquemas de fraude relevantes para la Compañía que surjan a partir de la industria, las operaciones, la ubicación geográfica, el tamaño, la estructura organizacional y el ambiente económico general de la compañía. La Compañía debe considerar los esquemas de fraude ya identificados y documentados en su programa antifraude. Esto resulta especialmente útil cuando la gerencia ya ha estudiado extensamente los riesgos de fraude para la Compañía. La revisión del programa antifraude existente debe estar acompañada por discusiones con el personal clave identificado para debatir la relevancia de los esquemas de fraude anteriormente documentados así como para considerar riesgos de fraude adicionales. Slide 34

35 3. Evaluación de los riesgos inherentes al esquema de fraude Después de identificar los esquemas de fraude relevantes para la Compañía, se debe realizar una evaluación de cada esquema de fraude con base en: La probabilidad de ocurrencia del evento; y El impacto que tenga la ocurrencia del evento sobre los estados financieros. Slide 35

36 4. Evaluación de los riesgos residuales de los esquemas de fraude Después de la evaluación de los esquemas de fraude relevantes para la Compañía, ésta debe considerar los controles aplicables para mitigar esos esquemas de fraude de modo que se pueda examinar el riesgo residual asociado con cada esquema. La Compañía debe considerar si las actividades de control están operando efectivamente y están diseñadas adecuadamente para prevenir y detectar el fraude antes de la ocurrencia de errores materiales. Slide 36

37 5. Validación de la Gerencia La gerencia es la principal responsable de la realización de la FRA y el Comité de Auditoria o la Junta Directiva debe tener un papel activo en la vigilancia del proceso. Como tal, los resultados de la FRA deben ser validados por representantes de la Gerencia y del Comité de Auditoría y esta validación debe ser documentada para demostrar su participación y vigilancia del proceso. Este paso también puede servir como una revisión de la integridad de la FRA y usualmente es mas efectiva si es conducida por alguien que tenga un alto conocimiento en esquemas de fraude. Slide 37

38 6. Mantenimiento permanente de la FRA Una FRA efectiva es un proceso dinámico y constante con evidencia documental de su revisión y actualización de forma regular y sistemática. La gerencia debe delegar responsabilidades claras para asegurar que la FRA sea revisada regularmente, por lo menos una vez al año, para considerar cualquier cambio en el negocio (por ejemplo, adquisiciones, entrada/salida en mercados) o en sistemas (como procesos de seguimiento a gastos revisados) que puedan afectar la totalidad de los esquemas de fraude en la matriz FRA de la Compañía o la evaluación de los riesgos inherentes o residuales de los esquemas identificados. Slide 38

39 III - Identificación de esquemas de fraude 1.Manipulación de los estados financieros 2.Recibos y gastos no autorizados 3.Complicidad y encubrimiento 4.Malversación de activos 5.Fraude en revelaciones Slide 39

40 1. Manipulación de estados financieros Reconocimiento inapropiado de ingresos Sobreestimación de activos/ subestimación de pasivos Estimados significativos de la gerencia Cuentas entre compañías Cuentas transitorias Transacciones significativas/inusuales Slide 40

41 2. Recibos & gastos no autorizados Obtener ingresos y activos por medio de fraude Evadir costos y gastos por medio de fraude Egresos y pasivos no autorizados e inapropiados Slide 41

42 3. Complicidad y encubrimiento Ser cómplice y encubrir a otros para participar en un fraude o una conducta no adecuada con respecto a los requerimientos locales estipulados en los acuerdos relacionados con operaciones en jurisdicciones extranjeras. Slide 42

43 4. Malversación de activos Efectivo (Tesorería e ingresos /relacionado con deuda) Fraude en aprovisionamientos Nómina y beneficios Activos diferentes a efectivo Slide 43

44 5. Fraude en revelaciones Revelaciones inapropiadas (tanto positivas como negativas) en los estados financieros. Falta de revelación apropiada sobre el impacto de violaciones a acuerdos de crédito para evitar un impacto negativo en las acciones de negociación pública. Revelación inapropiada (o no revelación) de temas ambientales, de salud y/o seguridad para evitar un impacto negativo en las acciones de negociación pública o evitar la identificación de posibles violaciones reglamentarias. Esta situación podría surgir como resultado de acciones de la compañía o de sus contratistas. Slide 44

45 IV - Roles y actores clave 1. Alta dirección 2. Comité de Auditoría (y Junta Directiva) 3. Auditores Internos 4. Auditores Externos Slide 45

46 1. Alta dirección Diseñar e implementar un sistema de controles internos para evitar y detectar el fraude. Trabajar con la junta directiva para promover y estimular un ambiente de honestidad y comportamiento ético. Desarrollar un código de conducta sobre el comportamiento ético de los empleados; comunicar la responsabilidad de los empleados de cumplir con lo establecido en el código; hacer explícita la política de cero tolerancia ante comportamientos no éticos, incluyendo reporte financiero fraudulento. Crear un proceso confidencial para reportar conductas sospechosas o posibles violaciones éticas (programa de delación) Proteger los intereses de los accionistas Slide 46

47 2. Comité de Auditoría (& Junta Directiva) Asegurar que la alta dirección desarrolle medidas efectivas de detección y prevención de fraude para ayudar a la protección de inversionistas, empleados y otros grupos de interés. Vigilar el reporte financiero y los procesos de control interno, con especial foco en el potencial que tenga la alta dirección para omitir los controles internos. Indagar con los auditores internos y externos sobre la capacidad de la alta gerencia de omitir los controles internos o de interferir con el proceso de reporte financiero. Revisar y aprobar el plan de auditoria de la organización. Motivar a la gerencia para ofrecer un mecanismo confidencial con el cual los empleados puedan reportar sus inquietudes sobre conductas no éticas, sospechas o conocimiento de fraudes o violaciones al código de conducta o políticas de ética de la organización (programa de delación). Marcar la pauta desde los niveles más altos sobre el comportamiento ético. Slide 47

48 3. Auditores internos Evaluar los riesgos y controles de fraude (la evaluación de riesgos sirve de base para la planeación de auditorias y la aplicación de pruebas a los controles internos) Examinar y evaluar la pertinencia y efectividad del sistema de control interno de la organización; recomendar acciones para mitigar los riesgo y mejorar los controles Determinar si la organización cuenta con las políticas, prácticas, procedimientos y reportes necesarios para monitorear las actividades y salvaguardar sus activos, especialmente en áreas de alto riesgo. Asegurar que los canales de comunicación estén en marcha para poder proporcionar a la gerencia y al comité de auditoria información adecuada y confiable. Realizar una auditoría proactiva en busca de corrupción, malversación de activos y fraude en estados financieros empleando técnicas analíticas y asistidas por computador ad hoc para realizar revisiones detalladas de cuentas y transacciones de alto riesgo. Contar con una línea abierta de comunicación con el comité de auditoria para reportar sospechas o acusaciones de fraude que impliquen a la alta dirección. Slide 48

49 4. Auditores Externos Ayudar a la gerencia y al comité de auditoría proporcionando un concepto de la forma cómo la organización identifica, evalúa y responde ante los riesgos de fraude. Mantener un diálogo abierto con el comité de auditoria sobre el proceso de evaluación de riesgos de la gerencia y el sistema de control interno de la organización. Abordar la susceptibilidad de la organización ante reporte financiero fraudulento y su exposición a malversación de activos. Slide 49

50 Gracias se refiere a las firmas colombianas que hacen parte de la organización mundial, cada una de las cuales es una entidad legal separada e independiente. Todos los derechos reservados.