Implementar el Plan Estratégico Antifraude en las organizaciones debe considerar para cada principio las correspon

guía de implementación tiene como objetivo orientar en cómo gestionar los puntos críticos y cuáles son los potencia

Guía para implementar el Plan

Marco COSO
Principio: Gobierno C
Responsable Drivers - Puntos Críticos

Junta Directiva
Estar comprometidos en la administración el riesgo de
Alta Gerencia
fraude a través de la implementación de medidas
Directores
para disuadir, prevenir y detectar fraudes
Junta Directiva
Respaldar y respetar la gobernabilidad del riesgo de
Alta Gerencia
fraude como un elemento clave del gobierno
Directores
corporativo

Junta Directiva
Establecer exhaustivas y rigurosas políticas para
Alta Gerencia
proveer sólidas bases en administración del riesgo de
Directores
fraude

Junta Directiva
Establecer roles y responsabilidades relacionadas
Alta Gerencia
con la gobernabilidad del riesgo de fraude que
Directores
incluyen todo el personal

Junta Directiva
Asegurar que el programa de administración del
Alta Gerencia
riesgo de fraude está debidamente documentado y
Directores
permanentemente actualizado
Junta Directiva Comunicar el programa de administración del riesgo
Alta Gerencia de fraude y soportar las actividades que garantizan la
Directores afectividad de disuasión prevención y detección en
todos los niveles de la organización

Marco COSO
Principio: Evalu
Responsable Drivers - Puntos Críticos

Alta Gerencia
Directores Equipo de Evaluación de Riesgos
Comité de Auditoria

Alta Gerencia
Incluir entidades, filiales, divisiones, unidades,
Directores
funciones
Comité de Auditoria

Alta Gerencia
Directores Analizar factores internos y externos
Comité de Auditoria

Alta Gerencia
Directores Tipologías de Riesgos de Fraude
Comité de Auditoria

Alta Gerencia
Considerar el riesgo de anulación de controles por la
Directores
administración
Comité de Auditoria

Alta Gerencia
Estimar la probabilidad y significancia de cada tipo y
Directores
riesgo de fraude
Comité de Auditoria

Alta Gerencia
Directores Triángulo del Fraude
Comité de Auditoria

Alta Gerencia
Directores Identificar los controles actuales y su efectividad
Comité de Auditoria

Gerencia
Directores Determinar como responder a los fraudes
Comité de Auditoria
Alta Gerencia
Directores
Analítica de datos – Técnicas
Comité de Auditoría
TI

Alta Gerencia
Directores Reevaluar los riesgos periódicamente
Comité de Auditoria

Alta Gerencia
Directores Documentar la evaluación de riesgos
Comité de Auditoria

Marco COSO
Principio: Activi
Responsable Drivers - Puntos Críticos

Junta Directiva
Comité de Auditoría
Promover la disuasión del fraude a través de
Auditoría Interna
actividades de control preventivas y detectivas
Alta Gerencia - Directores
Administración

Junta Directiva
Comité de Auditoría
Auditoría Interna Integrar la evaluación del riesgo de fraude
Alta Gerencia - Directores
Administración

Junta Directiva
Comité de Auditoría
Considerar los factores de riesgos asociados y
Auditoría Interna
específicos a la organización
Alta Gerencia - Directores
Administración

Junta Directiva
Comité de Auditoría
Considerar la aplicación de actividades de control en
Auditoría Interna
todos los niveles de la organización
Alta Gerencia - Directores
Administración
Junta Directiva
Comité de Auditoría
Auditoría Interna Combinar diferentes actividades de control
Alta Gerencia - Directores
Administración
Junta Directiva
Comité de Auditoría
Considerar la anulación de controles por la
Auditoría Interna
administración
Alta Gerencia - Directores
Administración

Junta Directiva
Comité de Auditoría
Auditoría Interna
Usar procedimientos proactivos de analítica de datos
Alta Gerencia - Directores
Administración
TI

Junta Directiva
Comité de Auditoría
Auditoría Interna Desplegar las actividades de control a través de
Alta Gerencia - Directores políticas y procedimientos
Administración

Marco COSO: In
Principio: Investigació
 Responsable Drivers - Puntos Críticos

Junta Directiva
Comité de Auditoría
Auditoría Interna Establecer protocolos de respuesta e investigación
Alta Gerencia
Directores
Administración
Líder de investigación Conducir investigaciones
Equipo de investigación

Líder de investigación
Junta Directiva
Alta Gerencia
Directores Comunicar los resultados de las investigaciones
Comité de Auditoría
Auditoría Externa
Revisoría Fiscal
Líder de investigación
Junta Directiva
Alta Gerencia
Directores Comunicar los resultados de las investigaciones
Comité de Auditoría
Auditoría Externa
Revisoría Fiscal

Junta Directiva
Tomar acciones correctivas
Alta Gerencia Directores
Administración

Líder de investigación
Junta Directiva Evaluar el desarrollo de las investigaciones
Alta Gerencia Directores
Administración

Marco COSO:
Principio: Activid
 Responsable Drivers - Puntos Críticos

Junta Directiva
Considerar una combinación de evaluaciones
Comité de Auditoría
continuas e independientes
Auditoría Externa
Revisoría Fiscal

Junta Directiva
Comité de Auditoría Considerar factores para establecer el alcance y la
Auditoría Externa frecuencia de las evaluaciones
Revisoría Fiscal

Junta Directiva
Comité de Auditoría
Establecer criterios de medición apropiados
Auditoría Externa
Revisoría Fiscal

Junta Directiva
Comité de Auditoría Considerar esquemas de fraude conocidos y nuevos
Auditoría Externa casos de fraude
Revisoría Fiscal

Junta Directiva
Comité de Auditoría
Evaluar, comunicar y remediar las deficiencias
Auditoría Externa
Revisoría Fiscal

Autora: Marta.Cadavid@CamaleonRisk.com
 iones debe considerar para cada principio las correspondientes acciones y entregables, direccionados hacia cada uno de los p
mo gestionar los puntos críticos y cuáles son los potenciales entregables. Cada organización lo debe revisar y ajustar de acuerd

implementar el Plan Estratégico Antifraude bas

Marco COSO: Ambiente de Control
Principio: Gobierno Corporativo y Riesgo de Fraud
Posibles acciones o contenido

• El impacto de la ética crea un entorno de actitud férrea

• Tomar la decisión correcta es lo correcto. Filosofía de lo correcto
• Tono a la cabeza: Nivel de compromiso & perfil de riesgos de fraude
• Fuerte cultura de la honestidad, alta integridad, y ética
• Medidas disciplinarias y ejemplares para toda la organización
• Trato ético a todas las contrapartes
• Tener acceso a las agendas y flujos de información de junta directiva
• Comprender que actos constituyen fraude y corrupción
• Establecer el tono de la Dirección General (CEO) a través de descripciones del cargo, contratación, evaluación y
procesos de planificación de sucesión
• Supervisar la evaluación del riesgo de fraude
• Supervisar los controles internos para reportes financieros
• Evaluar el riesgo de anular los controles
• Evaluar la capacidad de los controles para disuadir, prevenir, detectar fraude
• Respaldar el programa anual de auditoría interna
• Asegurar que auditoría interna tenga acceso a recursos, empleados e información local y foránea
• Asegurar que auditoría interna tenga pleno acceso a la junta directiva y comité de auditoría
• Asegurar que los empleados tenga acceso a la justa directiva, comité de auditoría y auditoría interna
• Supervisar los reportes de la gerencia, políticas y actividades de control
• Establecer mecanismos sobre la oportunidad y precisión de la información acerca de posibles incidencias de fraude
Estar plenamente informado acerca de los incidentes de fraude en especial aquellos que involucran el personal de
alto nivel directivo o miembros de la junta directiva
• Tener la capacidad de contratar, conservar y pagar a expertos externos

• Políticas enfatizan la ética y honestidad

• Políticas y entrenamiento articulan la supervisión y el control
• No se toleran actividades antiéticas o fraudulentas
• No importa la posición, nivel de educación o situación de la empresa
• Procesos para direccionar violaciones y posibles violaciones
• Comunicaciones dentro de la organización
• Determinar conflictos entre las políticas y comportamientos
• Determinar si hay acciones disciplinarias o despidos
• Determinar acciones legales

• Todo el personal es responsable de disuadir, prevenir y detectar

• Responsable del programa que reporte directamente a la junta directiva
• Conocimiento de riesgos y diseño de controles, cumplimiento, reportar, investigar
• Documentar las responsabilidades del personal con respecto al programa
• Compromiso en todos los niveles

• Proceso independiente para documentar el programa

• Integración con otras políticas de la organización
• Guías y resúmenes prácticos sobre actividades de control para disuadir, prevenir y detectar
• Mantener archivos del programa y comunicaciones
• Análisis de datos
• Supervisar los reportes de la gerencia, políticas y actividades de control
• Establecer mecanismos sobre la oportunidad y precisión de la información acerca de posibles incidencias de fraude
• Canales para reportar fraude están apropiadamente implementados
• Protección a denunciantes - No retaliación

Marco COSO: Evaluación de Riesgo

Principio: Evaluación del riesgo de fraude
Posibles acciones o contenido

• Diferentes niveles administrativos

• Diferentes conocimientos, habilidades, perspectivas
• Combinación Recursos internos – externos
• Revisar mapas de procesos, estrategia organizacional, cambios internos y externos
• Brainstorming Riesgo de fraude

• Visualizar micro evaluaciones de riesgo tamaño de la organización, tipos de fraude, exposición

• Identificar y evaluar el riesgo de cada unidad de negocio, filial, función

• Factores de riesgo

• Árbol del fraude

• Evaluar los empleados de alto nivel y la capacidad de anular los controles

• Probabilidad: Remota – Razonablemente posible - Probable

• Significancia: No significante – significante - material

• Oportunidad, Justificación, Incentivo

• Identificar los riesgos de fraude

• Identificar las actividades de control
• Evaluar la efectividad de los controles
• Determinar los riesgos residuales

• Relación Costo-Beneficio de los controles

• Aceptación del riesgo
• Aumento de los controles
• Diseño de procedimientos
• Estratificación de la data
• Risk Scoring
• Análisis de Analítica de Fluctuaciones
• Visualización de la data
• Estadística Modelo predictivo
• Recursos Externos

• Cambios externos a la organización

• Cambios operacionales
• Cambios de liderazgo

Marco COSO: Actividades de Control

Principio: Actividades del control de fraude
Drivers - Puntos Críticos

Actividades de Detección
•Medida proactiva para contra el fraude
•Continua comunicación y refuerzo
•Controles visibles
Actividades de Prevención
•Fortalecen las medidas preventivas
•Mejoran el entendimiento de los riesgos de fraude
•Controles no visibles - Confidenciales

•Tipo A Controles Actuales

Esquemas de fraudes identificados
•Tipo B Controles adicionales
Riesgo residual de fraude

•Contraparte
•Jurisdicción
•Producto - Servicio
•Canal de distribución

•Socio - Accionista
•Junta Directiva
•Comité de Auditoría y Auditoría Interna
•Alta Gerencia
•Administración
•Empleados
Actividades de Detección

Actividades de Prevención
 Procedimientos en HHRR

Fraude cometidos por dueños, directores, gerentes o administradores

• Estratificación de la data
• Risk Scoring
• Análisis de Analítica de Fluctuaciones
• Visualización de la data
• Estadística Modelo predictivo
• Recursos Externos

Documentos

Responsabilidades

Implementación

Re-evaluación

Marco COSO: Información & Comunicación

Principio: Investigación de fraude y acciones correctiva
 Drivers - Puntos Críticos
•Cultura ¨Si ves algo, di algo¨
•Fomentar la identificación de fraudes
•Mecanismos de comunicación

Protocolos de respuesta a las denuncias

Factores de éxito

Mínimos procedimientos de investigación

Mínimos procedimientos para documentar la investigación

Reportes: Usuarios
Reportes: Elementos

Reportes: Distribución

Reportes: Denuncias

Persecución Penal

Acciones Civiles

Acciones disciplinarias

Reclamación Seguros

Investigación extendida

Reingeniería de procesos

Entrenamiento

Control interno

Factores de medición
Costo & Beneficio

Marco COSO: Actividades de Monitoreo

Principio: Actividades de monitoreo de fraude
 Posibles acciones o contenido
•Procesos rutinarios para monitorear controles en tiempo real
•Actividades de control & actividades de monitoreo
•5? Por que? Quien? Que? Donde? Cómo? •Que sigue?
•Analítica de datos

•Evaluaciones aseguran que el programa funciona como fue diseñado

•Plan, enfoque alcance
•Auditoría Interna – Outsourcing

Considerar los factores que afectan el alcance cada evaluación

•Cambios en los riesgos de fraude

•Ambiente de operación
•Cumplimiento & Reguladores
•Nuevas actividades & nuevos fraudes

•Criterios de medición
•Comparaciones

•Probabilidad de ocurrencia de nuevos fraudes

•Benchmarks
•Estudios, análisis de casos
•Entorno internacional

•Evaluar los resultados de las evaluaciones continuas e independientes

•Tomar acciones correctivas o de remediación
direccionados hacia cada uno de los puntos críticos que pueden afectar su puesta en marcha. La siguiente
ón lo debe revisar y ajustar de acuerdo con sus objetivos.

Antifraude basado en COSO

e Control
Riesgo de Fraude
Entregable
• Código de ética
• Código de conducta específico para el personal directivo
• Código de conducta para la organización
• General de fraude (Stand-alone)
• Contratación de personal
• Políticas salariales
• Toma de vacaciones
• Empleados & familiares
• Administración de vehículos
• Ventas a empleados
• Uso de las instalaciones
• Abuso
 • Encuesta anual a contrapartes
• Hot line
• Website para denuncias
• Campañas antifraudes

de Riesgo
go de fraude
Entregable
 Modelo de analítica de datos:
Diseño, Recolección, Organización y
Cálculos, Análisis, Hallazgos, Observación, Remediación

Matrix de evaluación de riesgos

de Control
trol de fraude
Posibles acciones o contenido Entregable

• Establecer un visible y riguroso proceso de gobiernos de fraude

• Crear un transparente y fuerte cultura antifraude
• Conducir evaluaciones de riesgo periódicamente
• Diseñar, implementar y mantener procesos y procedimientos preventivos t
detectives de fraude
• Tomar rápidas acciones y respuestas a los casos de fraude y sus
perpetradores

• Árbol del fraude

• Banderas rojas de fraude
• Riesgos de Fraude - Esquemas
• Actividades de Controles -Técnicas
• Responsables
•Control de los procesos del negocio
-Estructura y administración de las operaciones
-Delegación de autoridad y responsabilidad
-Centralización y descentralización de procesos
-Tercerizar o mantener los procesos in-house
-Subcontratar
•Control al acceso físico
-Instalaciones físicas
-Activos – Recursos físicos
-Sistemas de información de control a las transacciones
•Manuales o automáticas
-Chequeos razonables
-Documentos requeridos
-Supervisión - Aprobación
•Control al acceso lógico de TI
-Derechos de uso
-Passwords
-Niveles de acceso - Permisos
•Control tecnológico de soporte
-Debida Diligencia
-Crédito
-Sanciones - Restricciones

•Ocurren en el Diario vivir del negocio - Rutina Corporativa

•Usan información externa para apoyo de información interna
•Rutinariamente y automáticamente comunican deficiencias y excepciones
detectadas a los nivel apropiado
•Usan los resultados para mejorar y modificar otros controles
•Proporcionan evidencia de que los controles preventivos están
funcionando
•Identifican fraudes adecuada y oportunamente
 •Investigaciones pre-empleo • Reglamento Interno de Trabajo
•Evaluación de competencias y plan de compensación • Código de Ética para empleados
•Entrevistas de salida • Manuales de funciones
•Limites en responsabilidades y autoridad • Encuestas a empleados
•Sistema de denuncia • Entrevistas
•Entrenamiento Anti-Fraude • Exámenes a los empleados
•Encuesta anual a empleados
•Segregación de funciones
•Control a las transacciones

•Manipulación de estados financieros

•Aplicación inapropiada de normas contables
•Transacciones contables ficticias
•Presión a los subordinados

•Diseño
•Recolección
•Organización - Cálculos • Metodología aplicada
•Análisis
•Hallazgos - Observación - Remediación

•Actividades de Detección
•Técnicas, herramientas
•Monitoreo y testeo
•Acceso restringido
•Confidencialidad

•Personal y roles
•Diseño planeación del proceso de prevención y detección
•Monitoreo
•Recepción y respuesta de los reportes
•Investigar los reportes y casos oportunamente
•Comunicar y confirmar los casos oportunamente
•Evaluar y actualizar periódicamente debido a cambios • Manuales de procesos

•Tiempo
•Seguimiento
•Actividades correctivas

•Asegurar que tos los controles diseñados fueron implementados y

funcionan
•Buscar deficiencias y vacíos
•Rediseñar actividades de control
•Direccionar los cambios internos y externos

omunicación
cciones correctivas
Posibles acciones o contenido Entregable
•Mantener anonimato o confidencialidad
Excepto: investigaciones
•Evaluar las quejas para determinar la urgencia
•Notificar a los empleados sobre la preservación de documentos y
seguridad de los datos •Repositorio – Base de datos para quejas y
Incluir personal forense denuncias
•Investigar mientras se controla y custodia la evidencia •Cadena de custodia de la evidencia
•Reportar los resultados apropiadamente •Políticas de retención de documentos, papeles de
•Evaluación de raíces del problema, procesos de mitigación y controles trabajo

Recibir la denuncia:

•Fuentes de quejas o reclamos: Como se conoció el fraude?

•Protección del anonimato
•Impactos sobre la publicación del fraude
•Animar y agradecer por informar
•Asegurar que la organización investiga las quejas

Evaluar la denuncia:

•Designación de personal calificado para atender la denuncia

•Acciones a seguir
•Violaciones a políticas y regulaciones
•Implicados
•Equipo consultor
•Auditoría Externa – Revisoría Fiscal
•Fraude Cuello blanco
•Aislamiento de los implicados

Desarrollar protocolos de investigación:

•Plan de respuesta de fraude para mitigar pérdidas rápidamente Cadena de custodia de la evidencia
•Junta Directiva – Plan de investigación
•Investigador líder
•Equipo de investigación independiente
•Autorizados para investigar
•Accesos a la información, áreas, empleados, documentos
•Presupuesto económico y contratación
Valores
Integridad y Objetividad
Relacionamiento social
Preparación Profesional
Certificaciones
Estándares Profesionales
Códigos de Conducta
Experiencia Profesional
Project Management – Líder de proyectos
Plan de trabajo de la investigación
Habilidades comunicativas
Equipo de investigación
Diversidad
Disciplinas académicas - profesionales
Tecnología

Recoger evidencia:

•Revisar y clasificar
•Análisis de datos
•Desarrollar y testear hipótesis

Recoger datos externos :

•Registros públicos
•Social media

Aplicar técnicas Forenses:

•Clonación de drivers
•Análisis de dispositivos digitales
•Análisis accesos físicos

Entrevistar: Técnica periférica:

•Testigos neutrales
•Testigos de corroboración
•Posibles cómplices
•Posible perpetrador

Memorandos de entrevistas
Ítems mantenidos bajo confidencialidad
Análisis de documentos, datos, entrevistas y conclusiones

Requerimientos de documentos, datos electrónicos e información

•Equipo de investigación
•Líder de investigación
•Consultores & expertos
 •Resume ejecutivo
•Antecedentes del hecho investigado
•Hallazgos basados en hechos contundentes
Reporte de la investigación
•Recomendaciones
•Remediación
•Apéndices

•Depende del Objetivo - Legal

•Difamación & Retaliación
•Declaraciones públicas

•Autoridades (Fiscalía)
•Reguladores
•Aseguradores
•Estados Judiciales

•Obligatoria o voluntaria
•Sujetos Obligados
•Medida de disuasión

•Perseguir a los perpetradores para recuperar pérdidas y gastos de

investigación

•Advertencias a los perpetradores.

•Terminación, suspensión o llamados de atención

•Recuperar pérdidas
•Indemnizaciones

•Root Causes
•Réplica en otra área

•Costo beneficio para reducir la probabilidad de fraude

•Educación sobre políticas y procedimientos

•Conciencia ética

•Mejorar - reforzar controles internos para reducir riesgos de fraudes

•Tiempo de investigación
•Costo investigación
•Repetición de incidentes en períodos pasados
•Lugar del incidente
•Valor de las pérdidas
•Valor de lo recuperado
•Valor de la prevención
•Acciones correctivas
•Remediación e implementación

e Monitoreo
oreo de fraude
 Entregable

KPIs
Key performance Indicators