Transcript of INNOVACIÓN Y TECNOLOGÍA PARA FORTALECER EL CONTROL INTERNO ...
PREVENCIÓN, DETECCIÓN E INVESTIGACIÓN DE FRAUDES: EJERCICIOS Y
CASOS PRÁCTICOSJorge Badillo Ayala
Jorge Badillo Ayala
3
(Caserones)
Es ecuatoriano, cuenta con más de 25 años de experiencia en labores
de auditoría: interna, financiera, de gestión, forense,
informática. Trabaja en la compañía Japonesa SCM Minera Lumina
Copper Chile como Gerente de Auditoría Interna.
Tiempo atrás trabajó en la compañía minera Sierra Gorda SCM (Joint
Venture: KGHM – Polonia & Sumitomo – Japón) como Gerente de
Auditoría Interna con sede en Chile, también trabajó en la compañía
minera canadiense Kinross Gold Corporation como Gerente Regional de
Auditoría Interna para Sudamérica, con sede regional en Chile.
Trabajó para la Organización de las Naciones Unidas ONU como
Contralor Financiero de la Organización Internacional para las
Migraciones, Misión en Ecuador; antes se desempeñó en Ecuador como
Manager en Ernst & Young y también fue Director de Auditoría
Interna del Servicio de Rentas Internas – SRI
Fue postulante al cargo de Contralor General del Estado de Ecuador
en el año 2012
Es Doctor en Contabilidad y Auditoría - CPA; Magíster en
Administración de Empresas – MBA; Diplomado en Control de Gestión;
Diplomado en Gestión en la Minería
Cuenta con las certificaciones/calificaciones
internacionales:
CIA – Certified Internal Auditor
CGAP – Certified Government Auditing Professional
CRMA – Certification in Risk Management Assurance
CISA – Certified Information Systems Auditor
Fue Presidente de la Fundación Latinoamericana de Auditores
Internos – FLAI (2014–2017 y 2017–2021)
Fue miembro del Directorio en The Institute of Internal Auditors
(The IIA Global) para el período Julio 2014 – Julio 2018. Es
miembro de Comités Internacionales en The IIA (2008 – 2024)
Fue Presidente del Instituto de Auditores Internos del Ecuador
(2010 – 2012); también es miembro del Directorio del Instituto de
Auditores Internos de Chile (2018 – 2019).
A nivel internacional es conferencista, instructor y docente
universitario en los temas de su especialidad
Noviembre – 2021Control Interno – Innovación y Tecnología Jorge
Badillo
4
AGENDA
3. Controles a Nivel de Proceso
4. Matrices de Riesgo y Control (RACM)
5. Innovación y tecnología, aplicadas al control interno
6. Conclusiones
5
1. COSO 2013
• El Comité COSO desde su creación en 1985 está conformado por las
siguientes organizaciones profesionales de presencia global:
– Instituto de Auditores Internos (IIA)
– Asociación Americana de Contabilidad (AAA)
– Instituto Americano de Contadores Públicos Certificados
(AICPA)
– Ejecutivos Financieros Internacionales (FEI)
– Instituto de Contadores de Gestión (IMA).
• La misión de COSO es proveer liderazgo de pensamiento a través
del desarrollo de marcos de trabajo y guías de orientación sobre
gestión de riesgo corporativo, control interno y disuasión del
fraude, diseñados para mejorar el desempeño institucional, el
gobierno corporativo y reducir la presencia de fraude en las
organizaciones.
Noviembre – 2021Control Interno – Innovación y Tecnología Jorge
Badillo
6
1. COSO 2013
• En cumplimiento de su misión, COSO ha emitido, entre otros, los
siguientes documentos que son parte fundamental de su valioso
aporte al fortalecimiento del control interno y la gestión de
riesgos en muchas organizaciones alrededor del mundo:
– Control Interno – Marco Integrado (1992)
– Gestión del Riesgo Empresarial – Marco Integrado (2004)
– Control Interno sobre la Información Financiera – Guía para
pequeñas empresas cotizadas (2006)
– Guía para la Supervisión de Sistemas de Control Interno
(2009)
– Control Interno – Marco Integrado (2013)
– Gestión del Riesgo de Fraude (2016)
– Gestión del Riesgo Empresarial – Integrando Estrategia y
Desempeño (2017)
Numeración
7
8
COSO
9
• 5 Principios
COSO
PRINCIPIOS
Fraude
Fraude
Acciones Correctivas
5. Actividades de Monitoreo de la Gestión del Riesgo de
Fraude
COSO Gestión de Riesgos (2017)
• 5 componentes
• 20 principios
Consiste en tres volúmenes:
Marco y Apéndices
Herramientas Ilustrativas para Evaluar la Efectividad de un Sistema
de Control Interno
Establece:
Requerimientos para efectividad
12
Entregable del proyecto #2 – Control Interno sobre Reporte
Financiero Externo: Un Compendio....
Ilustra enfoques y ejemplos de como los principios son aplicados en
la preparación de los estados financieros
Considera los cambios en los ambientes de negocios y de operaciones
durante las dos décadas pasadas
Provee ejemplos de una variedad de entidades – publica, privada,
sin fines de lucro, y gobierno
Alineado con el Marco actualizado
Noviembre – 2021Control Interno – Innovación y Tecnología Jorge
Badillo
13
La actualización articula los principios de un efectivo control
interno
1. Demostrar compromiso con la integridad y los valores
éticos
2. Ejercer la responsabilidad de supervisión
3. Establecer la estructura, la autoridad y la
responsabilidad
4. Demostrar compromiso con las competencias
5. Aplicar la rendición de cuentas
6. Especificar objetivos adecuados
10. Seleccionar y desarrollar actividades de control
11. Seleccionar y desarrollar controles generales sobre la
tecnología
12. Implementación a través de políticas y procedimientos
13. Utilizar información pertinente
17. Evaluar y comunicar las deficiencias
Noviembre – 2021Control Interno – Innovación y Tecnología Jorge
Badillo
14
La actualización describe importantes características de los
principios, por ejemplo,
• Puntos de enfoque pueden no ser adecuado o pertinentes, y otros
pueden ser identificados
• Puntos de enfoque pueden facilitar el diseño, la implementación y
la realización de control interno
• No hay requisito de evaluar por separado si los puntos de enfoque
se han establecido
Ambiente de Control 1. La organización demuestra un compromiso con
la integridad y los valores éticos.
Puntos de Enfoque: • Establecer el Tono en lo Alto • Establecer
Normas de Conducta • Evaluar el Cumplimiento de las Normas de
Conducta • Manejar las Desviaciones en Forma Oportuna
Noviembre – 2021Control Interno – Innovación y Tecnología Jorge
Badillo
15
Noviembre – 2021Control Interno – Innovación y Tecnología Jorge
Badillo
16
Noviembre – 2021Control Interno – Innovación y Tecnología Jorge
Badillo
17
Noviembre – 2021Control Interno – Innovación y Tecnología Jorge
Badillo
18
Noviembre – 2021Control Interno – Innovación y Tecnología Jorge
Badillo
19
Noviembre – 2021Control Interno – Innovación y Tecnología Jorge
Badillo
20
Noviembre – 2021Control Interno – Innovación y Tecnología Jorge
Badillo
21
Noviembre – 2021Control Interno – Innovación y Tecnología Jorge
Badillo
22
Noviembre – 2021Control Interno – Innovación y Tecnología Jorge
Badillo
23
Noviembre – 2021Control Interno – Innovación y Tecnología Jorge
Badillo
24
Noviembre – 2021Control Interno – Innovación y Tecnología Jorge
Badillo
25
En el 2020 el anterior “Modelo de las Tres Líneas de Defensa –
M3LD” fue reemplazo por el nuevo “Modelo de las 3 Líneas –
M3L”
3. Controles a nivel de proceso
Noviembre – 2021Control Interno – Innovación y Tecnología Jorge
Badillo
26
Noviembre – 2021Control Interno – Innovación y Tecnología Jorge
Badillo
27
Fuente: ISACA
0 - Inexistente: No se aplica una administración de los
procesos
1 - Inicial/Ad Hoc: Procesos son ad hoc y desorganizados
2 – Repetible pero Intuitivo: Procesos siguen un patrón
regular
3 - Definido: Procesos son documentados y comunicados
4 – Administrado y Medible: Procesos son monitoreados y
medidos
5 – Optimizado: Buenas prácticas son seguidas y automatizadas
Nivel mínimo para un adecuado
control interno
Noviembre – 2021Control Interno – Innovación y Tecnología Jorge
Badillo
28
Objetivos
ControlesRiesgos
Controles para mitigar / evitar los riesgos
• Algunas organizaciones (en el sector privado y en el sector
público) creen que los controles solo existen para “evitar lo que
no se quiere”, perdiéndose la mitad del potencial de los
“controles”
3. Controles a nivel de proceso
Noviembre – 2021Control Interno – Innovación y Tecnología Jorge
Badillo
29
Noviembre – 2021Control Interno – Innovación y Tecnología Jorge
Badillo
30
Un riesgo podría impactar uno o más objetivos (R2)
Un control podría afrontar uno o más riesgos (C1)
3. Controles a nivel de proceso
Noviembre – 2021Control Interno – Innovación y Tecnología Jorge
Badillo
31
Noviembre – 2021Control Interno – Innovación y Tecnología Jorge
Badillo
32
Matrices
Flujogramas
Auto-evaluaciones (Self-Assessment)
3. Controles a nivel de proceso
Noviembre – 2021Control Interno – Innovación y Tecnología Jorge
Badillo
33
Objetivo
de
Proceso
Riesgo
Objetivo
de
Control
Descripción
Categoría: aprobar, calcular, documentar, examinar, comparar,
controlar, restringir, segregar, supervisar
3. Controles a nivel de proceso
Noviembre – 2021Control Interno – Innovación y Tecnología Jorge
Badillo
34
Matrices de Riesgo y Control (RACM) más «relevantes» en una
organización en general: DB – Desembolsos
AF – Activos fijos & CAPEX
IB – Inventarios de bodega
IP – Inventarios de producción
FV – Facturación y ventas
NE – Nivel de entidad
Noviembre – 2021Control Interno – Innovación y Tecnología Jorge
Badillo
35
• Flujograma Integral (gestión, riesgo y control): Se grafica la
gestión de un determinado proceso a través de sus actividades /
tareas, y complementariamente se indica de manera gráfica los
riesgos y los controles existentes.
n
Cn
= Hallazgo
= Control
Noviembre – 2021Control Interno – Innovación y Tecnología Jorge
Badillo
36
Noviembre – 2021Control Interno – Innovación y Tecnología Jorge
Badillo
37
NARRATIVAS
Proceso asociados Políticas asociadas
Riesgos
Observaciones
Noviembre – 2021Control Interno – Innovación y Tecnología Jorge
Badillo
38
Noviembre – 2021Control Interno – Innovación y Tecnología Jorge
Badillo
39
Autorización (aprobaciones)
Documentación (rigurosa y exhaustiva)
Actividades de control de las aplicaciones de TI (entrada,
procesamiento, salida)
Verificaciones y conciliaciones independientes
Según la aplicación de las actividades de control, se las puede
clasificar de diversas maneras y pueden corresponder a múltiples
clasificaciones simultáneamente
Fuente: IIA
Noviembre – 2021Control Interno – Innovación y Tecnología Jorge
Badillo
40
Actividades de control
A nivel de toda la entidad (entorno o ambiente de la
Organización)
Imagen de la gerencia
Políticas y procedimientos coherentes
Cierres de período Fuente: IIA
3. Controles a nivel de proceso
Noviembre – 2021Control Interno – Innovación y Tecnología Jorge
Badillo
41
Actividades de control
A nivel de proceso
Reducen el riesgo relativo a un grupo o variedad de actividades de
nivel operativo (tareas) o de transacciones dentro de la
organización
Aprobación de transacciones
Verificación de transacciones
Recalculo de transacciones
Confirmación de transacciones
Comprobaciones de integridad y validación del sistema
Actividades de control a nivel de entidad y a nivel de proceso
deben funcionar conjuntamente
Fuente: IIA
Noviembre – 2021Control Interno – Innovación y Tecnología Jorge
Badillo
42
A nivel de entidad
A nivel de proceso
Control secundario (refuerzan / respaldan)
Control compensatorio (controles redundantes para complementar
controles clave que no puedan mitigar un riesgo hasta un nivel
aceptable)
Control complementario (no están directamente asociados con el
riesgo que afrontan, no son suficientes por sí solos pero sí en
conjunto con otros controles)
Control preventivo
Control detectivo
Control directivo
Control correctivo
Noviembre – 2021Control Interno – Innovación y Tecnología Jorge
Badillo
43
“La confianza no es un control”
“El control no es para ir más lento, es para poder ir rápido pero
seguro”
“Un buen control no
garantiza el éxito … pero
fracaso”
control”
Noviembre – 2021Control Interno – Innovación y Tecnología Jorge
Badillo
44
Noviembre – 2021Control Interno – Innovación y Tecnología Jorge
Badillo
45
Proceso (Objetivo, Riesgo, Control) Descripción del Control
Descripción de la Evaluación (testeo)
N° Lo ca
Noviembre – 2021Control Interno – Innovación y Tecnología Jorge
Badillo
46
Proceso (Objetivo, Riesgo, Control) Descripción del Control
Descripción de la Evaluación (testeo)
N° Lo ca
Noviembre – 2021Control Interno – Innovación y Tecnología Jorge
Badillo
47
Descripción del control Matriz de Riesgo y Control - RACM
(ESQUEMA)
Proceso (Objetivo, Riesgo, Control) Descripción del Control
Descripción de la Evaluación (testeo)
N° Lo ca
Noviembre – 2021Control Interno – Innovación y Tecnología Jorge
Badillo
48
Matriz de Riesgo y Control - RACM (ESQUEMA)
Proceso (Objetivo, Riesgo, Control) Descripción del Control
Descripción de la Evaluación (testeo)
N° Lo ca
49
50
INNOVACIÓN
Innovación
1. f. Acción y efecto de innovar.
2. f. Creación o modificación de un producto, y su introducción en
un mercado.
Innovar
2. tr. desus. Volver algo a su anterior estado.
5. Innovación y tecnología, aplicadas al control interno
Noviembre – 2021Control Interno – Innovación y Tecnología Jorge
Badillo
51
TECNOLOGÍA
Del gr. τεχνολογα technología, de τεχνολγος technológos, de τχνη
téchn 'arte' y λγος lógos 'tratado'.
1. f. Conjunto de teorías y de técnicas que permiten el
aprovechamiento práctico del conocimiento científico.
2. f. Tratado de los términos técnicos.
3. f. Lenguaje propio de una ciencia o de un arte.
4. f. Conjunto de los instrumentos y procedimientos industriales de
un determinado sector o producto.
5. Innovación y tecnología, aplicadas al control interno
Noviembre – 2021Control Interno – Innovación y Tecnología Jorge
Badillo
52
53
Clientes
Proveedores
Empleados
Conflicto de intereses
5. Innovación y tecnología, aplicadas al control interno
Noviembre – 2021Control Interno – Innovación y Tecnología Jorge
Badillo
54
Gastos de viaje
Tarjetas de crédito
55
Uso de inteligencia artificial para validar información en tiempo
real (por ejemplo firmas de cheques)
Análisis de comportamientos y tendencias para validaciones en
tiempo real (por ejemplo hábitos de compra en tarjetas de
crédito)
Tableros de control (dashboard) y centros de inteligencia (control
rooms) con alertas en tiempo real
Análisis de reconocimiento facial como señal de alerta (pilotos en
retail)
Lentes inteligentes para visitas presenciales o en remoto
5. Innovación y tecnología, aplicadas al control interno
Noviembre – 2021Control Interno – Innovación y Tecnología Jorge
Badillo
56
Multicanal (e-mail, website, call-center)
Tipos de usuario
Registro de denuncias
Gestión de casos
57
Enfoque
Efectividad del control KPI
Ejemplo de KRIs: factura 1, fraccionamiento de compras, cambios en
archivos maestros, cotejar archivos maestros, incremento inusual de
precio unitario, incremento inusual de sueldo base
Ejemplo ilustrativo
58
5. Innovación y tecnología, aplicadas al control interno
Noviembre – 2021Control Interno – Innovación y Tecnología Jorge
Badillo
59
Análisis de comunicaciones sospechosas (en base al triángulo del
fraude)
Ejemplo ilustrativo
60
Sistemas de gestión de riesgos, aplicados a gestión de riesgos de
fraude
Auditorías sorpresa
5. Innovación y tecnología, aplicadas al control interno
Noviembre – 2021Control Interno – Innovación y Tecnología Jorge
Badillo
61
5. Innovación y tecnología, aplicadas al control interno
Noviembre – 2021Control Interno – Innovación y Tecnología Jorge
Badillo
62
5. Innovación y tecnología, aplicadas al control interno
Noviembre – 2021Control Interno – Innovación y Tecnología Jorge
Badillo
63
Análisis de comportamiento de flotas en base a GPSs con alertas en
tiempo real (minería)
Vigilancia con drones industriales (instalaciones,
inventarios)
Sistemas de control de consumo de combustible (anillos,
configuraciones, restricciones, alertas, reportes)
Cámaras de vigilancia
64
Cronómetro
Temperatura
Altímetro
GPS
65
66
Fuente: https://ww
67
Fuente: https://ww
• Comprender donde se está y donde se quiere estar
• Crear una cultura • Evaluación del Riesgo de Fraude
• Pensar como un defraudador • Descubrir lo que no se conoce
• Actividades de Control de Fraude • Usar datos para descubrir
fraude • Conocer es poder
• Investigación de Fraude y Acción Correctiva • Establecer las
bases para las
investigaciones • Realizar las investigaciones
• Actividades de Monitoreo de la Gestión del Riesgo de Fraude
• Monitorear los avances • Reportar los avances
68
Fuente: https://www.acfe.com/frau
Noviembre – 202169
Fuente: https://www.acfe.com/fr
chequeo) interactiva • Biblioteca de pruebas de análisis
de datos anti-fraude • Plantillas de evaluación de
riesgos y seguimiento de acciones
• Plantillas de documentación de puntos de enfoque
6. Conclusiones
70
71
72
1. Para un adecuado diseño e implementación de controles a nivel de
proceso es necesario considerar la «trilogía»: objetivo, riesgo,
control
2. Si se diseña/implementa controles en un proceso sin considerar
los objetivos/riesgos del mismo, el resultado puede ser un
sobre-control o un sub- control del proceso
3. Si no se documentan (caracterizan) los controles a nivel de
proceso (matrices RACM principalmente) es muy difícil esperar un
riguroso diseño/implementación y evaluación de los mismos; pues si
los «controles» no están documentados se vuelven
“intangibles”
4. Los controles a nivel de proceso deben tener claramente definido
su diseño e implementación, su descripción, pero además su “dueño”
(control owner) que a veces pero no siempre es el “dueño del
proceso” (process owner)
5. Los controles a nivel de proceso deben además tener claramente
definido cómo serán evaluados (testeados), esto incluye identificar
el tamaño de la muestra y la evidencia que sustentará la existencia
y efectividad de un control
6. La innovación y la tecnología son fundamentales para mantener,
fortalecer y optimizar el control interno en las
organizaciones
Noviembre – 2021Control Interno – Innovación y Tecnología Jorge
Badillo
73
Jorge Badillo Ayala
@jbadillo1975
jgba1975@hotmail.com
“Hay tres grupos de personas: los que hacen que las cosas sucedan,
los que miran las cosas que suceden, y aquellos que se preguntan
qué sucedió”
Nicholas Murray Butler
74