La Prevención y Control como Medida de Disminución del Robo y Fraude Corporativo

Transcripción

1

2 La Prevención y Control como Medida de Disminución del Robo y Fraude Corporativo Los bancos, las compañías de seguros, las instituciones privadas y las entidades gubernamentales están viviendo un incremento en la incidencia y sofisticación del fraude, robo y abuso de los recursos de las empresas. Para combatir dichas condiciones las organizaciones deben mejorar sus sistemas de monitoreo interno y externo, combinando tecnologías, reglas de negocios, detección de anomalías, modelos y análisis predictivos.

3

4 Introduction 4

5 The Cost of Occupational Fraud 5

6 How Occupational Fraud is Committed 6

7 Asset Misappropriation Sub-Schemes 7

8 Corruption Cases by Region 8

9 Duration of Fraud Schemes 9

10 Control Weaknesses That Contributed to Fraud 10

11 The Impact of Collusion 11

12 Civil Suits 12

13 Recovery of Losses 13

14 El triángulo del Fraude. Por desempeño o motivos personales Controles internos ineficaces o ausencia de reglamentos y revisiones. Racionalización Justificación para cometer el fraude

15 Tipos de presión Presiones relacionadas con el crecimiento Por desempeño Por proporción de crecimiento Inexperiencia de empleados clave Ejemplo Ejecutivos piensan que el fallar en sus objetivos pone en riesgo su estatus o compensación. Pueden traspasar límites para no fallar a sus objetivos. Las plantas de producción. Canales de distribución o productos crecen tan rápido que la infraestructura se sobrecarga. Se puede renunciar a verificar los antecedentes y experiencia de nuevos empleados por la presión de reemplazos o creación de puestos urgentes o críticas.

16 Tipos de presión Presiones relacionadas con la cultura empresarial. Recompensas excesivas por tomar riesgos Resistencia de los ejecutivos a las malas noticias Competencia Interna. Ejemplo Ejecutivos invierten en negocios de riesgos grandes buscando maximizar sus ganancias. Los ejecutivos ridiculizan las discusiones pesimistas por lo que terminan siendo los últimos en enterarse de los riesgos emergentes. Ejecutivos que tienen una visión de promoción de suma-cero retienen información importante acerca de clientes o procesos del conocimiento de sus compañeros.

17 Tipos de presión Presiones relacionadas con la Información de management. Complejidad y velocidad de la operación Indicadores de performance y diagnóstico inexactos. Toma de decisiones descentralizada Ejemplo Ejecutivos pueden tener falta de tiempo o herramientas para analizar riesgo potenciales en negocios complicados Sistemas de reporte e información no actualizados. Ejecutivos locales operando autónomamente pueden sin saber tomar decisiones y riesgos importantes.

18 Principios Clave Principio No. 1: Como parte de la organización de gobierno corporativo, debe haber implementado un programa de evaluación y manejo de riesgo por fraude, que incluya una política escrita, que defina la expectativa de la dirección y la alta dirección acerca del manejo de fraude. Principio 2: La exposición al riesgo debe ser evaluada y monitoreada periódicamente por la organización, para identificar condiciones o eventos potenciales que la empresa deba mitigar.

19 Principios Clave Principio No. 3: Deben implementarse técnicas de prevención para mitigar los posibles impactos en la organización. Principio No. 4: Establecer técnicas de descubrimiento de fraudes cuando las medidas de prevención ha fallado. Principio No. 5: Debe haber reportes formales con el fin de informar a la dirección y coordinar la forma más eficiente de implementar acciones correctivas.

20 El proceso. Tono desde Arriba Evaluación de Riesgo Respuesta y Remediación Monitoreo Estructura y programas de control Tono desde Arriba Evaluación del riesgo Estructura de Control Monitoreo. Respuesta y remediación Soporte de la dirección y presidente del consejo de administración Comunicación Auditoría y canal de denuncia Identificar factores de riesgo Evaluación de probabilidades e impacto Foco en la estructura de riesgos clave. Revisión de la eficacia operacional Desarrollo de nuevos controles y mejora de los existentes. Monitoreo de los factores de riesgo clave. Examinar puntos de atención. Evaluar la eficacia de los controles. Investigación Análisis de causa Mejorar controles.

21 El control en la era del Empowerment. Hoy en día los directores enfrentan el problema fundamental de cómo establecer adecuadamente el tono de la organización cuando las corporaciones demandan cada vez más flexibilidad, innovación y creatividad. Sin embargo la búsqueda de algunas oportunidades puede exponer a las empresas a riesgos excesivos o invitar a comportamientos que pueden dañar la integridad de la compañía si es que no hay un enfoque adecuado por parte de la alta dirección.

22 Escándalos Corporativos.

23 Sistema de control estratégico. Riesgos a tener en cuenta Valores Clave Variables criticas de desempeño Estrategia de negocio Salvaguarda del patrimonio Incertidumbre estratégica

24 Sistema de control estratégico. Sistema de límites Sistema de valores Sistema de diagnóstico Riesgos a tener en cuenta Valores Clave Variables criticas de desempeño Estrategia de negocio Salvaguarda del patrimonio Incertidumbre estratégica Sistema de control Interno Sistemas de controles interactivos

25 Sistema de límites. Son reglas formalmente establecidas, límites, prohibiciones junto con sanciones establecidas y castigos creíbles. Sirven para permitir a los individuos la creatividad dentro de ciertos parámetros establecidos. Pueden ser códigos de conducta, sistemas de planeación estratégica, manuales y guías.

26 Sistema de valores. Valores explícitos de la organización, el propósito, dirección inclusive la manera de cómo generar valor, nivel de desempeño deseado y relaciones humanas. Sirven para dar fuerza y guiar hacia la búsqueda de nuevas oportunidades en la organización. Se establecen a través de la declaración de la misión, visión y creencias en la organización. La dirección redacta los valores, el staff los transmite.

27 Sistema de Diagnóstico. Sistemas de retroalimentación para monitorear el desempeño de la organización para corregir desviaciones del estándar preestablecido. Aseguran la eficiencia en el uso de los recursos, metas y objetivos. Fijan estándares de desempeño, miden el desempeño y ligan los resultados con incentivos y castigos. La dirección negocia y fija las metas, recibe y revisa los reportes. El staff mide, recopila información y prepara los reportes.

28 Sistema de Controles interactivos. Los que utiliza la dirección para involucrarse en las decisiones de los subordinados, sirven para encaminar la atención hacia la incertidumbre estratégica y provocar el surgimiento de nuevas iniciativas. Funcionan asegurando que la información generada por los sistemas se convierten en puntos a discutir en las agendas de la alta dirección. La dirección los utiliza activamente para asignar evaluaciones subjetivas y recompensas basadas en el esfuerzo.

29 Por qué se necesitan los controles? Si no se hace nada para proteger a la organización contra la posible presentación de un comportamiento indeseable, o de la omisión de un comportamiento deseable causada por las limitaciones personales y problemas motivacionales se pueden presentar graves consecuencias. Un buen control tiene las siguientes características: 1. Debe estar orientado hacia el futuro. 2. Debe ser multi-dimensional. 3. Un mayor control no siempre es económicamente deseable. 4. La evaluación de un buen desempeño es difícil y subjetiva.

30 Por qué se necesitan los controles? El control hace que las cosas sigan su curso, y que la gente haga lo que se pretende que haga. Raíces de un problema de control: a) No sabe b) No quiere c) No puede.

31 Evaluación del riesgo. Identificar y evaluar los riesgos inherentes de la empresa permite poner atención en aquellos críticos e importantes, sin embargo la evaluación de la efectividad de dichos controles nos ayuda a entender el nivel de exposición de riesgo de la empresa. Esta exposición que queda después de tomar en cuenta los controles existentes se llama riesgo residual. Una correcta evaluación del riesgo tiene que ser hecha tomando en cuenta dos dimensiones: Impacto y Probabilidad

32 Calculando el riesgo La calculadora de exposición al riesgo es un mecanismo usado para medir la probabilidad que una empresa tiene de ser sorprendida por errores o fracasos que puedan amenazar la empresa o su estrategia.

33 Lectura del Score obtenido I. 9 a 20 Zona de seguridad: Las compañías que tienen este score tan bajo están probablemente a salvo de eventos y errores inesperados que amenacen la empresa y salud del negocio. II. 21 a 34 Zona de precaución: La mayoría de las empresas pueden caer en este score; la empresa debe prestar atención a las causas de este alto nivel y poner medidas que remedien la condición. III. 35 a 45 Zona de peligro: Si encuentras que la empresa tiene este score deben encenderse alarmas que pongan acciones inmediatas al riesgo ya que de no hacerlo la empresa corre un importante peligro.

34 Qué es un riesgo alto? Existen muchas formas de determinar el nivel de riesgo una de las generalmente aceptadas para medir los niveles de riesgo e identificar la prioridad es la siguiente: 1. Se mide el riesgo inherente cuantificando el impacto y probabilidad en alguna escala (0 a 10 o 0 a 5) 2. Se combina el impacto y la probabilidad para determinar un solo score de riesgo (puede ser tan simple como: impacto multiplicado por la probabilidad) 3. Se define un umbral arriba de cual el riesgo de nivel debe ser considerado como alto. Estos serán los que se deben de cuidar. 4. Identificar un nivel de control para cada riesgo alto. 5. En una escala del 1 al 5, donde 1 significa efectivos y 5 que no lo son o que no hay control, se califica la efectividad del control para cada riesgo. 6. Si el control no cumple con un mínimo de efectividad, luego la organización debe mejorarlos.

35 Ejemplo riesgo inherente Existen dos riesgos, A y B que fueron calificados 8 en el impacto y 7 en la probabilidad así como 10 en impacto y 9 en probabilidad respectivamente. A - Riesgo total 8 x 7 = 56 B Riesgo total 10 x 9 = 90

36 Ejemplo determinación riesgo residual. Efectividad en control: A 4 B 1 Umbral de control: ningún riesgo inherente de 40 o mayor debe tener controles calificados en su efectividad como menos de 2

37 Estructura y Programas de Control. Antecedentes: La sección 302 de la lay Sarbanes Oxley (SOX) Act del 2002, llamada Responsabilidad corporativa sobre los reportes financieros requiere que el CEO (Chief Executive Officer) y el CFO (Chief Financial Officer) tomen responsabilidad personal de establecer y mantener controles internos corporativos y además certificar que la información financiera es exacta y que presenta una imagen real y actual de la compañía. De acuerdo al la sección 404, el sistema COSO cumple con los requerimientos para aplicar evaluaciones sobre la efectividad de los controles internos así como lo requiere SOX

38 Marco de control Interno COSO. Definición: Committee Of Sponsoring Organizations (of the Treadway Commission) Formado por: Instituto Americano de Contadores Públicos. Asociación Americana de Contadores. Instituto de Auditores. Instituto de Gerentes de Contabilidad. Adoptado por Wordwide Audit. Permite una estructura standard y lenguaje común.

39 Definición: Marco de control Interno COSO. El sistema COSO define los controles internos como un proceso efectuado por el grupo de dirección de una empresa, mandos gerenciales y otros, designado para proveer confiabilidad relativa en relación al logro de los objetivos de la empresa en las siguientes categorías: I. Efectividad y eficiencia de las operaciones. II. Confiabilidad del Reporte Financiero. III.Cumplimiento de las leyes y reglamentos aplicables..

40 Comprendiendo el modelo. El sistema de control debe incorporarse de manera armónica con las actividades operativas de la organización. Esto ayuda a que se fomente la calidad de la delegación de poderes, se eviten pérdidas y haya una respuesta rápida ante los cambios.

41 Componentes del control interno. Cinco Componentes Inter-relacionados: I. Ambiente de Control. II. Evaluación del Riesgo. III. Actividades del Control. IV. Información y Comunicación. V. Monitoreo.

42 Componentes del control interno. 1. Ambiente de Control. Es la base en la cual se fundamentan los otros componentes del Control Interno. 2. Evaluación del Riesgo. Efectuada después de establecer los objetivos. Es la identificación y análisis de los riesgos relevantes para el logro de los objetivos. 3. Actividades del Control. Aseguran el cumplimiento de las políticas y Procedimientos en toda la Organización; ayudan a asegurar que se están tomando las acciones necesarias para dirigir los riesgos hacia el logro de los objetivos de la Organización.

43 Componentes del control interno. 4. Información y Comunicación. Información debe ser identificada, recogida y comunicada en forma y en un marco de tiempo que haga posible a la gente asumir sus responsabilidades. Es necesaria no solamente con datos internos sino también con información acerca de actividades y condiciones externas. Comunicación debe fluir a través, hacia abajo, y hacia arriba de la Organización. 5. Monitoreo. Proceso que evalúa la calidad y desempeño de los sistemas en el tiempo. Se logra por medio del funcionamiento de las actividades de Monitoreo, evaluaciones separadas o una combinación de ambas.

44 Tácticas de control. I. Evitar el problema del control. (No hay mejor problema que el que no se tiene) a) Automatización de actividades b) Centralización de actividades o decisiones c) Compartir riesgos con un elemento externo (seguros y fianzas) II. Control de acciones especificas. Pretende asegurarse de que los individuos desempeñen (o no desempeñen) ciertas acciones que se sabe que son deseables (o indeseables) a) Restricción de comportamientos (claves, perfiles de seguridad) b) Revisión pre - operativa.

45 Tácticas de control. III. Control por resultados. a) Definir las dimensiones de los resultados esperados. b) Medir el resultado c) Proporcionar recompensas (o castigos) d) Orientados hacia el futuro. IV. Control de persona. a) Mejorar la capacidad del personal b) Mejorar las comunicaciones para ayudar a los individuos. c) Motivar el control entre iguales o de subordinados, estableciendo grupos de trabajo coherentes con objetivos comunes.

46 Factibilidad de tácticas I. Control por resultados. a) Conocer los resultados deseados b) Que sean controlables c) Que sean medibles II. Control de acción. a) Conocer las acciones necesarias b) Poder asegurarse de que se lleven a cabo

47 Preguntas?...