¡Bienvenido! Trust Network Blog te da acceso a los temas de tu interés sobre tecnología y seguridad informática, donde puedes aprender y estar alerta.

15 Dec 2016

Hablemos de fraude.

Person

Por Trust Network

Se puede considerar que hay dos tipos de fraude: El primero de ellos se realiza con la intención financiera clara de malversación de activos de la empresa.

El segundo tipo de fraude, es la presentación de información financiera fraudulenta como acto intencionado encaminado a alterar las cuentas anuales.

Ambos tipos de fraude, en función de los autores del mismo, pueden a su vez clasificarse en:

• Internos: Son aquellos organizados por una o varias personas dentro de una institución, con el fin de obtener un beneficio propio.

• Externos: Son aquellos que se efectúan por una o varias personas para obtener un beneficio, utilizando fuentes externas como por ejemplo bancos, clientes y proveedores.

Prevención – Detección

Aunque se pueden considerar muchos puntos de vista, incluso el filosófico, conviene entender las razones por la que se cometen los fraudes y algunas pueden ser:

• Falta de controles adecuados.

• Personal mal capacitado.

• Poco personal

• Baja / alta rotación de puestos.

• Documentación confusa.

• Salarios bajos.

• Existencia de activos de fácil conversión: bonos, pagares, etc.

• Legislación deficiente.

• Actividades incompatibles entre sí.

Estas razones pueden clasificarse en tres grandes grupos de escenarios que constituyen la denominada pirámide del fraude:

• Se tiene la capacidad

• Se presenta la oportunidad

• Existe un Motivo

En la lucha contra el Fraude únicamente se puede luchar contra el segundo escenario, cuando se presenta la oportunidad, ya que los otros dos son intrínsecas a la naturaleza de la persona.

Fraudes ha habido siempre y siempre los habrá incrementando su volumen en épocas de crisis, pues aun suponiendo que las dos primeras variables, Capacidad y Oportunidad no varían, no ocurre lo mismo con la tercera, el Motivo, ya que por una parte existen mayores necesidades financieras, al reducirse el acceso a los préstamos, y por otro lado las reducciones de personal pueden producir un efecto justificado de la acción que se comete.

Es debido a esto que las entidades en épocas de crisis deben aumentar sus defensas en los dos ámbitos en los que pueden actuar, la Prevención y la Detección del fraude.

El problema radica en plasmar esto en la práctica, ya que en teoría la forma más sencilla de Prevención consiste en: o llámanos al 2266-0002 antes que se agoten.

• Mejorar el control administrativo.

• Implementar prácticas y políticas de control.

• Analizar los puntos que motiven a un fraude.

• Tener a los mejores profesionales existentes y bien remunerados.

Según la Association of Certified Fraud Examiners de Estados Unidos, el personal que comete los fraudes sigue la proporción de la pirámide funcional de la empresa, ya que:

- El 10% del fraude es cometido por ejecutivos de alto nivel

- El 30% del fraude es cometido por gerentes

- El 60% del fraude es cometido por el resto de los empleados

Sin embargo el volumen de pérdidas asumidas por estas labores constituye una pirámide inversa puesto que:

- Las perdidas achacables al fraude de los ejecutivos equivalen al 75% del total

- Las de los gerentes son el 20%

- Las de los empleados constituyen un 5%

Para la labor de Detección hay que tener en cuenta varios factores que pueden proporcionar indicios de que se está realizando un fraude, siendo los más útiles:

• Existencia de patrones de comportamiento irregular.

• Alertas disparadas ante determinadas acciones.

También pueden usarse otros métodos más tradicionales, como por ejemplo las “Denuncias anónimas”, pero se ha comprobado que son menos efectivas.

El problema de la Detección es que se actúa “a posteriori”, cuando el fraude ya se ha cometido al menos en parte, mientras que con la Prevención la acción se produce antes de que el fraude tenga lugar y no se produce ninguna pérdida.

Hay que tener en cuenta que las pérdidas, tanto tangibles como intangibles (en especial las de reputación) son mayores cuando el fraude se extiende, por lo que es de suma importancia la existencia de alertas tempranas.

Labor de Auditoría

La ley Sabanes-Oxley, incluye en la Sección 103, dedicada a normas y reglas, que los informes de los auditores deben incluir:

- El alcance de las pruebas del auditor de la estructura de control interno.

- Los hallazgos con respecto a dichas pruebas.

- Una evaluación sobre la estructura de control comprobando lo siguiente:

• Que existen registros que reflejan todas las transacciones

• Que de la labor realizada se desprende la razonable seguridad de que las transacciones se registran debidamente y están autorizadas correctamente.

La entrada en vigor de los acuerdos de Basilea ha cambiado la forma de actuar de los Departamentos de Auditoría Interna, ya que en los mismos se expone:

En su Principio 5º indica que “El Control debe ser una parte integrante de la actividad diaria de la Entidad”, explicando en el punto 24 que “Las actividades de control se desarrollan en dos pasos: (1) el establecimiento de políticas y procedimientos y (2) la revisión de que las mismas se cumplen”.

Por otra parte en el Principio 10º también se indica que la monitorización de los indicadores de riesgo debe ser una actividad diaria de la Entidad, así como su periódica evaluación por parte de Auditoría Interna.

En relación con la labor de Auditoría en el Principio 11º se expone que debe realizarse una efectiva auditoría del sistema de control interno, para lo que se tiene que monitorizar los controles internos existentes.

Una encuesta realizada en 2009 por Enest&Young en relación con la efectividad de los Departamentos de la entidad que luchan contra el fraude, apoya las tesis que subyacen a los “Principios de Basilea” ya que, según la misma, el orden en el que se producen los éxitos en la lucha contra el fraude la encabezan los controles existentes en el mismo Departamento en que éstos se originan:

En la gráfica se muestra que el mayor porcentaje de éxito en la lucha contra el fraude, tanto en la Prevención como en la Detección, lo obtienen los Departamentos de Control Interno, tanto los del propio Departamento como los efectuados por otro diferente, mientras que los fraudes descubiertos “por accidente” o por denuncias anónimas son menos habituales.

Igualmente se muestra que la labor de Auditoría Interna es más efectiva que la de la Auditoría Externa.

Los resultados anteriores son coherentes con las políticas de las Empresas de situar al personal experto en su actividad en el Departamento correspondiente, ya que son ellos los que mejor conocen como desarrollar su labor.

Igualmente coincide con el incremento en el desarrollo de los manuales de procedimientos, por los que se rige la operación habitual

Por otra parte la existencia de varias estructuras de control, tiene como ventaja de que la misma actividad se observa con puntos de vista distinto, con lo que se consigue finalmente un mayor enfoque, pero a su vez tiene el inconveniente de que puede producirse un descuido en las funciones pensando que los posibles errores serán corregidos por el otro Departamento.

Por dicha razón es esencial la labor de Auditoría Interna actuando como elemento de revisión de los Departamentos que realizan los controles, tanto primarios como secundarios.

Labor de Auditoría

Actualmente no se concibe ninguna labor empresarial sin la Informática, la cual se ha convertido en la herramienta más usada. Paralelamente a ello, han proliferado los fraudes informáticos, porque para su realización es necesario tener conocimientos de informática.

De entre ellos los que más han acaparado la atención del público han sido los relacionados con los Medios de Pago tanto en su versión tradicional, utilizando tarjetas físicas, como en la más actual del fraude por Internet y últimamente los “ataques” que sufren las Empresas por los que ya se conocen como “ciberdelincuentes”.

Hay que tener en cuenta que ni las grandes empresas de Internet, donde están los mayores expertos, están exentas de estos ataques, y como muestra existe el caso de Google y su ataque que ha sido capaz de afectar las relaciones diplomáticas entre Estados Unidos y China.

Clásicos ejemplos de este tipo de fraude interno, apoyado en los sistemas informáticos aunque no de un carácter “técnico”, son:

• El método del salami que consiste en el desvío fraudulento de una pequeña cantidad de cada integrante de un conjunto que tiene muchos elementos (por ejemplo en el redondeo de céntimos).

• Los pagos de facturas a proveedores ficticios dados de alta en el proceso de facturación.

• La falsificación de registros para que figure la conformidad de pagos que no se han realizado, sobre todo en el caso de los impuestos a las diversas administraciones.

Debido a que la detección de este tipo de fraudes es muy complicada, por la gran cantidad de datos que se tienen que analizar, entra en juego la labor de Auditoría Informática para comprobar la existencia de controles que impiden la realización del fraude, o en su caso avisan de que se están produciendo situaciones anómalas que conviene investigar en profundidad.

La labor de Auditoría en la lucha contra el fraude interno es doble, por una parte debe revisar la utilidad de los controles existentes en los distintos Departamentos para prevenir el fraude y por otra debe tener sus propios métodos de control para detectarlo. Para ello debe contar con dos tipos de herramientas:

- Las que permitan manejar grandes volúmenes de información para obtener pautas o tendencias.

- Las alarmas que se disparan automáticamente cuando se produce una situación no habitual.

No hay que olvidar que es mucho más útil la Prevención que la Detección del fraude, por lo que una clasificación de la importancia de la labor de Auditoría, en función de los resultados obtenidos es:

1. Revisión de los controles internos.

2. Propuesta de mejora de los mismos.

3. Definición e instalación de alarmas en programas críticos.

4. Análisis de datos para discernir pautas de conducta.

Los dos primeros apartados pueden considerarse como una versión actualizada de “Mapas de Riesgo” en los que se incluyen acciones mitigadoras; mientras que el tercero sería la revisión de las clásicas “pistas de auditoría” que deben existir en las aplicaciones, siendo la más novedosa la última para lo que se usan técnicas estadísticas y “minería de datos”.

Podemos decir que, las dos primeras trabajan en el ámbito de la Prevención, la última en el de la Detección y la tercera es híbrida ya que por una parte todo el personal conoce de su existencia, y tiene un componente preventivo, y por otra la activación de una alarma no implica que se esté realizando una actividad ilícita.

Desde el punto de vista del Control, una simplificación de las estructuras de control de una Entidad sería:

En primer lugar se encuentran las diferentes Áreas de Negocio que son el soporte de la actividad, estas áreas necesitan el apoyo de los Servicios Informáticos para poder llevar a cabo la actividad.

A continuación, están los diferentes Departamentos que realizan las labores de Control Interno como los Departamentos de Explotación y Seguridad Informática dentro del Área Informática, el Departamento de Control de Gestión dentro del Área de Contabilidad, los Departamentos de Seguridad Física, Recursos Humanos y Control de Calidad que también realizan actividades en la lucha contra el fraude.

El Departamento de Riesgo Operacional que debe recibir informes del resto de Entidad acerca de los incidentes surgidos en la operatoria y controles existentes sobre la misma, el Departamento de Auditoría, que en este caso se ha personalizado como Auditoría Informática, que analiza la información que procesan el resto de Departamentos de Control y finalmente, cubriendo toda la actividad de la Entidad se encuentra el Departamento de Control Normativo encargado de vigilar el cumplimiento de los requisitos legales.


MÁS ARTÍCULOS

19 Sep

Los requerimientos actuales de las áreas de Tecnologías de Información se concentran en integrar sus soluciones de seguridad, buscan acelerar tareas de procesamiento para mantener segura sus redes corporativas y, por otra parte, necesitan el respaldo de un esquema riguroso de investigación y soporte que les permita cumplir sus objetivos ante un ambiente global de amenazas.
 Leer más

25 Jul

El 6 de Julio la compañía de desarrollo de software estadounidense Niantic, Inc., lanzó por primera vez en Australia y Nueva Zelanda el videojuego de aventura en realidad aumentada Pokémon Go, disponible para dispositivos iOS y Android, el cual consiste en que el jugador recorra el mundo para descubrir toda clase de Pokémon, cuyas distintas especies aparecen dependiendo de la zona visitada.  Leer más

25 Jul

La tecnología día con día avanza a pasos agigantados, y con ello también incrementa el riesgo de ser víctima de un secuestro de datos, esto debido a que estamos expuestos a personas con conocimientos tan amplios en el área informática que utilizan dichos conocimientos para crear un modelo de negocio con el robo de información. Leer más