Diego Cano, MBA, CFE FTI Consulting Managing Director Argentina Country Manager
Temas a tratar Introducción al Fraude Prevención del Fraude Consideraciones para una Investigación Exitosa Riesgos y dificultades suscitadas por las nuevas tendencias informáticas 2
El FRAUDE afecta dos de los activos mas importantes de cualquier compañía y en especial de un banco: Reputación Credibilidad 3
Introducción al Fraude El fraude y su investigación ha ido ganando un lugar cada vez más importante en el mundo de los negocios Según las estimaciones de la ACFE (Association of Certified Fraud Examiners), las empresas americanas pierden un monto cercano al 5% de sus ingresos anuales como consecuencia de acciones fraudulentas 4
Índice de Percepción de Corrupción 2010 5 Transparencia Internacional - www.transparency.org
Índices Según Transparencia Internacional Índice de Fuentes de Soborno 2008 Clasificación País Puntaje de IFS 19 India 6.8 20 México 6.6 21 China 6.5 22 Rusia 5.9 Sobornos a Funcionarios Públicos por Sectores 2008 Sector Industrial Contratos y construcción de obras públicas Puntaje 5.2 Desarrollo inmobiliario 5.7 Petróleo y gas 5.9 Manufactura pesada 6.0 Minería 6.0 Farmacéutica 6.2 6 FUENTE: Transparency International www.transparency.org
Índices para Latinoamérica y El Caribe 7 Percepción de Corrupción Clasificación País/Territorio Puntaje de IPC 2010 21 Chile 7.2 69 Brasil 3.7 73 El Salvador 3.6 73 Panama 3.6 78 Colombia 3.5 91 Guatemala 3.2 98 Mexico 3.1 105 Argentina 2.9 110 Bolivia 2.8 127 Ecuador 2.5 127 Nicaragua 2.5 134 Honduras 2.4 146 Paraguay 2.2 164 Venezuela 2.0 Fuentes de Soborno Clasificación País / Territorio 9 Estados Unidos 8,1 17 Brasil 7,4 20 México 6,6 Puntaje de IFS 2008 FUENTE: Transparency International www.transparency.org
Riesgos más significativos en América Latina Ataques Informáticos 42% Actividad Criminal Tradicional 18% Incidentes relacionados con la marca 12% 8 Terrorismo 7% Desastres naturales 21% FUENTE: Reporte Symantec sobre Seguridad Empresarial 2010
9 Panorama del fraude en la Fraude e Investigaciones Desde que se comenzó a intentar medir el volumen de riqueza que el fenómeno del fraude le resta a la economía privada, se hizo patente la importancia del mismo. En la última parte del siglo recién terminado, ha cobrado importancia la cuestión del buen gobierno corporativo (Corporate Governance). El Governance implica trabajar con procesos dinámicos de interacción entre distintos actores para la coordinación, control y toma de decisiones. La OCDE elaboró un conjunto de normas en la materia. Así surgieron los OECD Principles of Corporate Governance publicados en 1999 y actualizados por última vez en 2004.
Fraude e Investigaciones A partir del fortalecimiento de las regulaciones, como la FCPA y la Convención contra la Corrupción de la OCDE, el Fraude pasó representar un riesgo cierto para las empresas, a las que puede costarle grandes sumas en concepto de multas, como ya ha sucedido en los últimos años con subsidiarias de empresas internacionales en varios países de la región. 10
Mucho poder, + Bajo nivel de controles, + Poco personal + Operación de gran volumen, + Sensación de impunidad = FRAUDE 11
En esencia el fraude es una decepción, una falta contra la confianza depositada en una persona. FRAUDE Apropiación de activos Falsificación de cheques Pagos Fraudulentos Corrupción Conflictos de interés Extorsión Informes Fraudulentos Subvaluación de pasivos Subvaluación de activos 12 Robo de efectivo Sobornos Ganancias Ficticias
13 Panorama del fraude en la
TIPOS DE FRAUDE INTERNO Participación directa del empleado EXTERNO Participación indirecta del empleado 14 Dispone de mayores oportunidades Pueden ser los clientes, proveedores, criminales, etc.
El fraude interno constituye un importante riesgo en un sector como el bancario, donde se manipula información sensible de los clientes. Dicha información puede ser utilizada como insumo fundamental para generar una Ingeniería social sobre los clientes y producir engaños más creíbles. El empleado puede reconocer las debilidades de los controles o la ausencia de estos, y perjudicar tanto al Banco como al cliente. La imagen del Banco atacado resulta afectada en cualquier caso de fraude, sin importar que el infractor sea interno o externo. Los clientes buscan seguridad, instituciones que garanticen la inviolabilidad de sus cuentas 15
Prevención del Fraude Los controles fundamentales en la prevención y la lucha contra el FRAUDE son: Responsabilidades Todas y cada una de las personas que forman parte de la institución son responsables, en diferente grado del efectivo funcionamiento del sistema de control interno para mitigar el fraude. 16
Código de Ética Se debe crear e implementar, bajo la debida aprobación de los responsables un Código de Ética, que incluya como mínimo valores relacionados con la integridad, la honestidad, la responsabilidad y la confidencialidad, todo de acuerdo con los valores y principios de la organización. Políticas y Prácticas de Recursos Humanos Se debe crear políticas, manuales o instructivos relacionados con los criterios necesarios para contratar personal, en especial para aquellas áreas que se consideran claves dentro de una organización. 17
Cumplimiento Crear e implementar manuales operativos y de procedimientos que describan los pasos mínimos a seguir para cada operación y que indiquen cómo tratar las contingencias. Establecer las líneas de autoridad y especificar los indicadores de alerta (orientados a detectar posibles fraudes). Los manuales deberán estar acordes a la normativa externa, interna y contractual. Diseñar procedimientos que establezcan una adecuada segregación de funciones. 18 Acuerdos de Confidencialidad en el manejo de la información entre el empleado y la institución.
Revisión de Cumplimiento Creación de procedimientos rutinarios de verificación, tendientes a comprobar la integridad de los flujos de efectivo (entradas y salidas), integridad de registros operativos y contables y su adecuada incorporación en los reportes o informes. Realizar Auditorías a los Sistemas Informáticos, con el fin de establecer, entre otras cosas, que la información no sea manipulada o modificada sin la respectiva autorización, que cualquier modificación pueda ser fácilmente rastreada. 19
Control de operaciones Adoptar parámetros a los efectos de detectar señales de alerta tanto internas como externas. Detectar operaciones inusuales y determinación de operaciones sospechosas. Capacitación Se debe desarrollar programas de capacitación dirigidos a todos los empleados, con el objeto de instruirlos en el cumplimiento de la normativa en materia de Prevención de Lavado de Dinero y prevención de fraudes, para indicarles los mecanismos de control, su aplicación y cumplimiento. 20
Sistema de Información Establecimiento de controles de acceso a los programas y datos, mediante el uso de claves y software especializado de control de acceso, controles de programación (para prevenir o detectar cambios no autorizados o no apropiados a los programas) y registro de transacciones (crear un rastro de auditoría para cada transacción en línea). Fraude En caso de detectarse fraudes, debe precisarse quién y cómo se realizarán las investigaciones tendientes a establecer cómo se cometió el fraude, quiénes lo cometieron, qué usuarios pueden estar afectados o comprometidos y cuánto puede ser el detrimento patrimonial para la entidad. Se recomienda que dichas investigaciones sean realizadas por personal ajeno al área de auditoría interna para no desviarlo de su plan de trabajo. 21
Las dos herramientas fundamentales en la lucha contra el FRAUDE son: Realización de Due Dilligences sobre nuestros clientes, en base a lo establecido en los reglamentos internos y la legislación local. La Auditoría y Control Permanente de los Puntos Críticos de Control 22
Investigación Exitosa Por más recaudos que se tomen, en ocasiones algunos empleados logran burlar los controles Cuando existe la sospecha de que se podría estar desarrollando una actividad riesgosa para el patrimonio de la empresa, o existen dudas acerca de la efectividad de los controles, una investigación resulta imprescindible 23
El trabajo de un investigador es cualitativamente distinto del de un auditor Su forma de afrontar la situación está basada no sólo en la información contenida en el sistema contable de la empresa, sino en toda la que pueda conseguir de distintas fuentes Ambos trabajos son distintos en sustancia, forma y contenido. Las técnicas utilizadas no son las mismas, los objetivos que persiguen tampoco y la forma en que se concretan sus productos presenta diferencias importantes. 24
Una comparación simple presentada por Golden, Skalak y Clayton (2006) en su obra A guide to Forensic Accounting Investigation identifica la tarea de los auditores con las realizadas por un vigilante que patrulla las calles observando que nada anormal esté sucediendo en ellas, y la del investigador con un detective, alguien que interviene cuando se ha cometido un crimen que hay que esclarecer. 25
El Investigador Corporativo: Es el responsable de conducir y determinar qué especialidades son las necesarias para lograr los objetivos planteados por el cliente. Es quien establece la estrategia y quien convoca a los Peritos, en las áreas pertinentes, para luego realizar el análisis correspondiente. El / Los Peritos: Es un analista, un técnico especializado en un área determinada. Por su carácter de experto puede establecer las causas, los efectos, las consecuencias e incluso los móviles que ha tenido un hecho específico. 26
A las investigaciones de Fraudes Corporativos deben sumarse las que surgen de la legislación norteamericana Foreign Corrupt Practices Act (FCPA) SEC Regulatory Compliance Anti-Money Laundering Estas investigaciones implican el relevamiento de enormes cantidades de información 27
Tecnología y Seguridad 28 Consideraciones sobre el futuro presente: IT Forensics en la nube Actualmente es muy común que las empresas tengan tercerizados sus sistemas y servidores con proveedor en la nube. Esto quiere decir que la información se almacena de manera permanente en servidores virtuales en la red y no en los clásicos servidores físicos. Esto impacta directamente en la capacidad de la empresa de llevar adelante investigaciones internas, comunes en casos de fraude.
Pongamos un ejemplo: La empresa X contrata a un proveedor en la nube como host de su sistema de contabilidad. Es muy probable que ese proveedor a su vez subcontrate a otro para que se encargue del almacenamiento de la información. Ese subcontratista es una empresa en la India. Imaginemos la cantidad de posibles problemas con los que debería lidiar con el solo fin de compatibilizar sus estándares internos con la legislación de la India. 29
Y esto por no hablar de las dificultades para llevar adelante una investigación interna, como podemos hacernos de nuestra información si ni siquiera se encuentra físicamente en nuestras oficinas y si para acceder a ella debemos cumplir con las políticas de nuestro proveedor y la legislación local de su país. 30
Otros Riesgos en Seguridad Bancaria Amenazas a la seguridad informática tanto a través de PC como de nuevos canales de banca móvil Manipulación y alteración de canales electrónicos (e-mails Phishing códigos maliciosos) Suplantación y robo de identidad Lavado de activos 31
Diego Cano, MBA CFE Managing Director Argentina Country Manager Migueletes 1646 PB Buenos Aires, Argentina C1426BUZ Tel/Fax: +5411 4785-9007 Diego.Cano@FTIConsulting.com Diego Cano es Country Manager de FTI Argentina. Tiene más de 15 años de experiencia en consultoría en investigación. Administra y supervisa complejas investigaciones de fraude corporativo que involucran aspectos financieros, incluyendo el cumplimiento del FCPA (Práctica de Actos Corruptos en el Extranjero) en toda América Latina. Además de dirigir directamente el área de Investigaciones, gerenció casos de contabilidad forense, identificó fraudes financieros y administrativos, fraudes perpetrados por créditos, compras y por departamentos contables de empresas objeto de investigación. Antes de incorporarse a FTI en enero de 2007, el Sr. Cano fue Managing Director de Holder Internacional. De 2001 a 2005, fue jefe de investigaciones para Kroll Inc. Argentina. De 1999 a 2001, fue Director de Investigaciones de Kroll Inc en Brasil. Su carrera incluye trabajos como consultor a miembros del Congreso Nacional de Argentina. Es profesor de Ciencia Política en la Universidad de Salvador y de Economía Política en la Universidad de Buenos Aires. El Sr. Diego Cano posee un Master en Administración de Empresas de la Universidad de Sao Paulo, Brasil; es candidato a Master en Análisis y Gerenciamiento de Información Estadística y es Licenciado en Ciencia Política de la Universidad del Salvador. Habla fluidamente en castellano, inglés y portugués. 32