miércoles, 31 de octubre de 2018

EL ACCESO A LA EVIDENCIA DIGITAL EN LOS FRAUDES EMPRESARIALES

Estándar
31 OCTUBRE 2018
El acceso a la evidencia digital es la actividad dentro de muchos modelos de investigación forense que pretende preparar a los peritos forenses en el acceso a las localidades donde se podría encontrar la evidencia. En este artículo revisaremos algunos puntos claves a tener en cuenta antes de que nuestro cliente nos ponga hora y día para realizar el decomiso y/o adquisición.
Ir al sitio y recolectar la evidencia, dos pasos que deben ser analizados con lupa para no cometer errores que se paguen en juicio
El primer paso a verificar en esta actividad se encuentra en diferenciar si la localidad es:
  • Un espacio privado: si hace hace parte de una organización y si está correctamente delimitado el espacio como privado para acceso al público ene general o solamente para personal autorizado.
  • Un espacio público: si hace parte de una entidad de gobierno de carácter público, con o sin acceso restringido.
Una vez determinada la clase de localidad se procede a evaluar las características del espacio en cuanto a:
  • Tamaño: para determinar qué tan esparcida puede estar la evidencia en el lugar de trabajo del perito forense al momento del decomiso.
  • Cantidad de personas alrededor: para determinar cuál puede ser el impacto y la reacción de las personas que están a su lado al momento del decomiso de la evidencia.
  • Salidas de emergencia: para determinar las posibles vías de escape ante una eventual presión descontrolada por parte de la persona a la que se le hace el decomiso de la evidencia.
  • Protección: para determinar si es posible atender por parte del equipo de seguridad un evento de violencia al momento del decomiso.
  • Vigilancia: para determinar si la zona donde se llevará a cabo el decomiso de la evidencia cuenta con cámaras de seguridad y si estas están dando cobertura al espacio de trabajo donde se encuentra la persona objetivo del decomiso.
  • Conectividad: para determinar si el espacio objeto del decomiso tiene tomas de corriente, conexión wifi o por cable para poder proporcionarle al perito forense la conectividad necesaria para sus equipos de cómputo forense y herramientas de software.
Cuando se tienen en consideración los puntos anteriores, se está anticipando el momento en el cual se requiere hacer la adquisición de dicha evidencia, poniendo en frente todo el conocimiento de la escena del crimen para dejar menos posibilidad a que se presenten hechos no planeados.

Autorización para el acceso a los activos

Una vez identificados los posibles activos a los que se tendrá acceso, antes de realizar el proceso de adquisición, se deberá tramitar la autorización para el proceso de decomiso y acceso a los mismos.
Un activo de información como un SSD contiene no solo datos de la organización sino que también podría contener datos personales de la persona a cargo de su operación. Los investigadores, por lo general externos, deben haber completado primero estos pasos antes de acceder a cualquier activo:
  • Registro del investigador como proveedor: invitar a todos los terceros a que diligencien el formulario de registro como proveedor, permitiendo así el análisis de cumplimiento de requisitos legales del comerciante para ejercer su actividad en el mercado.
  • Firma de documento de confidencialidad: para que los investigadores tengan la obligación de guardar secreto sobre los datos encontrados en los activos de información y no pasarlos a terceros o hacer uso indebido de los mismos para propósitos personales.
  • Firma de documento de retorno y destrucción de datos: los peritos forenses e investigadores, para su trabajo, necesitan realizar copias de las evidencias originales. Es importante que exista un documento firmado donde estos terceros se comprometan a entregar un certificado de destrucción de datos y de retornar cualquier activo físico que hallan usado para la labor y que sea propiedad de la compañía.
  • Firma de documento de uso legal de software y hardware: un documento que permita asegurarse de que la compañía tiene intensiones de respetar el uso del software y hardware y que propende por que todos en el proyecto usen herramientas correctamente licenciadas y legales para la labor. A este documento se debe añadir el certificado de cada licencia.
  • Firma de documento de seguridad social: todos los terceros deben tener un seguro adecuado para la prestación de sus servicios que permita cubrirlos ante un accidente laboral.
Adicionalmente la organización deberá proactivamente realizar estas actividades al momento de conocer quiénes atenderán el incidente, antes de dejarles tener acceso a los activos de información:
  • Debida diligencia: donde la compañía investigue el listas públicas y a través de terceros a cada persona involucrada en la investigación. Si la empresa no lo hace, la contraparte lo hará y encontrará cualquier impedimento o elemento que permita desacreditar al equipo de investigadores.
  • Conflictos de interés: cada persona debe declarar que no tiene ningún conflicto de interés ni alguna relación personal o familiar con el objetivo investigado.
Una vez completadas las actividades se podrá proceder con la aproximación estratégica a la evidencia digital en la escena identificada en pasos anteriores

Aproximación estratégica

Esta fase fue diseñada para maximizar la adquisición de evidencia al mismo tiempo que se minimiza su contaminación. Consiste en anticiparse a la situación de decomiso y adquisición de la evidencia identificando previamente en qué momento se puede encontrar evidencia de calidad, por ejemplo, suponiendo que el caso investigado trata de colusión en la contratación de bienes y servicios, el mejor momento para hacer un decomiso de activos de información es precisamente cuando acabe de terminar la negociación de un bien o servicio que se sospeche pudo haber sido afectado por el fraude de la colusión entre proveedores y el cliente contratante.
Otras técnicas de aproximación estratégica consisten en realizar investigaciones preliminares, indagando a través de una auditoría sorpresiva y poniendo atención en los puntos donde puede encontrarse evidencia de calidad para que después de ello se proceda a realizar el proyecto de investigación forense.

Referencias

(Auditool, 2018) Curso de Auditoría Forense Digital

Acerca de Julián

Julián Ríos, certificado en materia de Antifraude y Seguridad de la Información, es el fundador de la firma internacional NF, con base en la ciudad de Medellín, Colombia. También es el creador del software antifraude The Fraud Explorer DRIFR y apoya a personas y empresas a enfrentar y solucionar sus retos en materia de Ciberseguridad y combate del fraude.
Para conocer más acerca de Julián Ríos y su empresa, por favor visite el sitio web de la firma NF o consulte su perfil público en el enlace de LinkedIn.

FRAUDE INTERNO: TABLA PERIÓDICA DE LOS ELEMENTOS DE FRAUDE

Estándar
QUIERES CONOCER CUALES SON LOS ELEMENTOS DE FRAUDE INTERNO DE TU EMPRESA?
Clika aquí y obten el diagnostico y recomendaciones:
Publicado por albertsalvadorlafuente
Licenciado en CC Económicas y Empresariales y Auditor Interno Certificado por el IIA (The Institute of Internal Auditors), especialista en Fraude Interno, Forensic y Prevención de Blanqueo de Capitales. Cuenta con veinte años de experiencia en empresas líderes del sector bancario implantando el modelo de Corporate Assurance y mejores prácticas bancarias propuestas por el IAI (Instituto de Auditores Interno). Director de proyectos en el ámbito del fraude interno, forensic y prevención de blanqueo de capitales, implantación de modelos de auditorías normativas (CNMV, Ley de transparencia, SEPBLAC, políticas antisoborno etc) y comerciales. Ponente, profesor y colaborador en diversas publicaciones relacionados con la Auditoría, Fraude Interno, Gestión de riesgos y Compliance. Es secretario general y miembro de la Junta Directiva de la World Compliance Association Autor de dos blogs sobre la detección y prevención del fraude interno, la profesión de auditoría interna y el compliance en general: – Fraude Interno: http://www.fraudeinterno.wordpress.com – Compliance: http://www.prevenciondedelitos.wordpress.com Autor de los libros: – Fraude Interno; prevención, detección y tratamiento. (Amazon) – Actualidad Compliance 2018 (Thomson Reuters – Aranzadi) 

EL IMPACTO DEL FRAUDE INTERNO EN LA GESTIÓN DE GASTOS DE LAS EMPRESAS

Estándar
Captio presenta su informe anual  sobre el alcance del fraude interno en la gestión de los gastos profesionales. En él se desprende que el fraude interno en las empresas asciende a 62.754 euros anuales de media y que el coste por trabajador alcanza los 709 euros anuales.
Los gastos ocultos son los que en más de una ocasión pueden decidir el éxito o fracaso de un proyecto empresarial. Entre éstos, los gastos por fraude interno muchas veces no cuentan con la debida importancia por parte de las compañías. Con el objetivo de lograr que las empresas sean más eficientes y eliminar los efectos negativos del fraude interno, Captio ha presentado su Informe anual sobre el fraude interno en el que ha analizado una muestra de 1,4 millones de gastos de desplazamientos profesionales realizados durante el año 2017 y recogidos de las hojas reportadas de más de 10.000 trabajadores en movilidad de 130 empresas europeas.
El estudio muestra que el 77% de las empresas tiene configuradas diferentes alertas para detectar el fraude interno y que teniendo en cuenta los 1,4 millones de gastos analizados, el 12% de los mismos son potencialmente fraudulentos por no cumplir con las políticas establecidas por las empresas
Entre las conclusiones más destacadas, el informe señala que el coste total de la suma de todas las empresas analizadas es de 8,158.085,92€, lo que representa una media de 62.754,51€ anuales por empresa. Otra cifra destacada es el coste medio de fraude interno por trabajador, que esta edición asciende a 709 euros anuales, lo que representa un aumento del 1,3% respecto a la última edición.
En esta línea, los casos más habituales de fraude entre los trabajadores son: pasar gastos antiguos (18%), pasar el mismo tique varias veces (12%) y superar el importe máximo autorizado por gasto (17%), seguidos por otros casos como efectuar gastos en fin de semana (8%) o editar la información del justificante (7%).
Otra conclusión que aborda el informe es el aumento del fraude interno detectado en las pequeñas empresas (menos de 50 trabajadores) y en las empresas grandes (de más de 251 trabajadores), mientras que en las empresas medianas  (entre 51 y 250 trabajadores) se ha reflejado un pequeño descenso.
A parte de las consecuencias económicas para las empresas, el Informe de Captio también explica otros efectos que puede generar el fraude interno en las empresas como la reducción de la competitividad, la dificultad en la toma de decisiones, el empeoramiento del clima laboral o el prejuicio en la reputación de la empresa.
Si quieres saber más sobre el alcance del fraude interno en las empresas y cómo evitarlo, puedes descargarte a continuación el Informe Captio: El impacto del fraude interno en la gestión de gastos de las empresas. En él encontrarás información exclusiva sobre:
  • ¿Qué pérdidas económicas representa el fraude interno para las empresas?
  • ¿Qué tipos de fraude son más habituales?
  • ¿Qué consecuencias tiene para la empresa?
  • Medidas para evitar el fraude interno
  • Comparación con las dos ediciones anteriores.
borrar1.jpg
Publicado por albertsalvadorlafuente
Licenciado en CC Económicas y Empresariales y Auditor Interno Certificado por el IIA (The Institute of Internal Auditors), especialista en Fraude Interno, Forensic y Prevención de Blanqueo de Capitales. Cuenta con veinte años de experiencia en empresas líderes del sector bancario implantando el modelo de Corporate Assurance y mejores prácticas bancarias propuestas por el IAI (Instituto de Auditores Interno). Director de proyectos en el ámbito del fraude interno, forensic y prevención de blanqueo de capitales, implantación de modelos de auditorías normativas (CNMV, Ley de transparencia, SEPBLAC, políticas antisoborno etc) y comerciales. Ponente, profesor y colaborador en diversas publicaciones relacionados con la Auditoría, Fraude Interno, Gestión de riesgos y Compliance. Es secretario general y miembro de la Junta Directiva de la World Compliance Association Autor de dos blogs sobre la detección y prevención del fraude interno, la profesión de auditoría interna y el compliance en general: – Fraude Interno: http://www.fraudeinterno.wordpress.com – Compliance: http://www.prevenciondedelitos.wordpress.com Autor de los libros: – Fraude Interno; prevención, detección y tratamiento. (Amazon) – Actualidad Compliance 2018 (Thomson Reuters – Aranzadi) 

martes, 30 de octubre de 2018

POR QUÉ ES IMPORTANTE LA SEGURIDAD INFORMÁTICA

Estándar
martes, 30 de octubre de 2018
      
Blog:
Nahun Frett, MBA, CIA, CCSA, CRMA, CPA, CFE
AUDITOR INTERNO – INSTRUCTOR – CONSULTOR – CONFERENCISTA

lunes, 29 de octubre de 2018

RIESGOS PROPIOS EN AUDITORÍA INTERNA

Estándar
29 de marzo de 2018
Christian Manzano Pincay
Gerente de Auditoria en Consorcio Puerto
Tal como lo indica la Guía de Implementación IG-2120 a la Norma Internacional 2120 – Gestión de Riesgos, la actividad de Auditoría Interna debe evaluar la eficiencia y contribuir a la mejora de los procesos de gestión de riesgos. Auditoría Interna entonces tiene una gran responsabilidad que debe analizarse en dos vertientes: 1) evaluación el proceso de gestión de riesgos de la organización; y 2) gestionar sus propios riesgos. Analicemos brevemente el segundo.
¿Que implica gestionar sus propios riesgos? No es más que identificarlos, evaluarlos, calificarlos y tomar acciones o mecanismos que eviten un impacto significativo. La misma Guía de Implementación 2120 indica que los riesgos del Unidad de Auditoría Interna son: 1) auditorías fallidas; 2) falso aseguramiento; y, 3) riesgos reputacional de la marca “Auditoría Interna”.
Es de suma importancia que la DAI analice estos riesgos y los mitigue, evitando o afrontando oportunamente cualquier situación peligrosa que desvanezca la imagen de Auditoría Interna, la cual se basa en la probidad, solvencia y profesionalismo en el desarrollo de las tareas de aseguramientos y consulta.

ENFOQUE COSO ERM 2017 IDENTIFICACIÓN DE RIESGOS Y SU ADECUADA REDACCIÓN

Estándar
26 de octubre de 2018
Christian Manzano Pincay
Gerente de Auditoria en Consorcio Puerto
El enfoque COSO ERM 2017, que integra la evaluación de riesgos con la gestión empresarial, establece 5 componentes, cada uno con sus respectivos principios que guían la acción del evaluador.
 Uno de estos es el componente del DESEMPEÑO que es el momento en el cual una entidad identifica y evalúa los riesgos que afectarían al logro de las metas establecidas y los objetivos del negocio.
 Los principios que involucran el DESEMPEÑO son:
 –         Identificar el riesgo
–         Evaluar la severidad del riesgo
–         Priorizar riesgos.
–         Implementar respuestas ante los riesgos
–         Desarrollar una visión de cartera o sea a nivel de entidad.
 En esta ocasión, nos centraremos el principio de “Identificar el riesgo”. Bajo este aspecto analizaremos cómo se deben redactar los riesgos.
En todo este proceso, el riesgo debe ser definido con precisión; es decir, se redacta en un marco comprensible y conciso. El enfoque COSO ERM 2017, alienta a que las organizaciones describen los riesgos utilizando una estructura estandarizada. Los enfoques posibles que vierte COSO ERM son:
 o  ENFOQUE 1: Indicando la frase “La posibilidad de” y luego describir la circunstancia o el potencial acontecimiento. Luego, incluir la frase “y los impactos asociados sobre” pasando a detallar los objetivos del negocio o específicos de un área que se ve comprometida.
 Ejemplo: La posibilidad de que exista una corrida masiva de efectivo y su impacto asociados con la disponibilidad de efectivo y percepción de solvencia financiera
 o  ENFOQUE 2: Iniciando con la frase “El riesgo de/para”; luego describir la categoría definida por la organización, seguido de la frase “en relación con”, continúa con la circunstancia o suceso potencial. Finalmente la conjunción “y” que da paso a la descripción del impacto relacionado.
Ejemplo: El riego de liquidez en relación con la posibilidad de corrida masiva de efectivo y su impacto en la disponibilidad de efectivo y percepción de solvencia financiera.
La redacción adecuada de los riesgos es de suma importancia porque permite:
 –         Hacer una gestión eficiente del catastro de riesgos y asociarlos mentalmente con la estrategia y objetivos.
–        Evaluar con precisión la severidad del riesgo enmarcado a los objetivos del negocio.
–         Identificar la causa raíz e impacto, esto permite establecer medios de acción contundente frente al evento.
–         Aclarar las interdependencias riesgo – objetivos.
La redacción de los riesgos no es solamente una actividad que se desarrolla en un escritorio y circunscrito al área de Auditoría Interna. Este es un proceso de mucha actividad conjunta con todas las áreas que se activan en talleres, reuniones y discusiones con lluvias de ideas.

LOS AUDITORES INTERNOS DEBEN VIVIR EN UNA CASA INASTILLABLE

Estándar
Ia casa en linea
Durante mucho tiempo he creído que los auditores internos tienen un desafío más difícil que muchos otros en una organización. Es difícil mantener una reputación de objetividad cuando vivimos y trabajamos en el mismo entorno donde realizamos nuestras responsabilidades de auditoría, a veces durante algunos años, a veces durante toda una carrera. Todo el mundo está viendo la auditoría interna para ver si estamos caminando la charla. He oído hablar de nosotros como “creadores de ejemplos para una organización”, y que somos “evaluados constantemente por aquellos a los que auditamos”. Lo llamo tener un objetivo en la espalda. Si la auditoría interna no está siguiendo las políticas de la organización, o  parece  que no las está siguiendo, las consecuencias afectarán la confianza en el departamento y en cada auditor interno. 
Nadie espera que los auditores internos sean impecables. Somos humanos, después de todo. Sin embargo, si las fallas hacen que otros cuestionen nuestra ética, perderemos una ventaja significativa que probablemente socavará nuestra capacidad de ser percibidos como asesores de confianza. Si la administración es consciente incluso de transgresiones éticas menores, su respuesta cuando ofrecemos consejos o recomendaciones al final de nuestros compromisos probablemente sea: “¿Por qué debería escucharlo? Se toma días de vacaciones sin cobrarles”. O bien, “Ella presentó un informe de gastos defectuoso y tuvo que reembolsar a la compañía”.
Los auditores internos no pueden permitirse el lujo de ser vulnerables. Nuestro comportamiento debe estar por encima de cualquier reproche, si queremos brindar consejo a los demás. Y no se sorprenda si, la primera vez que llama a un gerente senior por una grave infracción ética, de repente, cada infracción menor que haya cometido se le devolverá.
La auditoría interna tampoco puede fallar en cumplir con sus compromisos. Un director ejecutivo de auditoría altamente respetado recientemente me señaló que los auditores internos deben comprender que tienen un compromiso tanto con la organización en la que trabajan como con un grupo amplio y diverso de partes interesadas. “Tenemos que caminar en una línea fina, entendiendo las necesidades de la empresa, las necesidades de la junta directiva, las necesidades de la administración y las necesidades de los inversores”, explicó. “Si no somos confiables, y si las personas con las que trabajamos no son confiables, dejamos la puerta abierta al fraude”.
Creo que la mayoría de los auditores internos actúan consistentemente de manera ética. Pero suceden lapsos ocasionales, y cuando lo hacen, a menudo son las noticias. Muchos de nosotros recordamos demasiado bien ciertos casos de alto perfil. Por cada caso altamente publicitado de un auditor interno que se mete en problemas por transgresiones éticas, es probable que haya más puntajes cuyas transgresiones se trataron fuera de la vista del público. Las acciones de los auditores internos no éticos constituyen una traición masiva, no solo de sus empleadores y antiguos colegas, sino también de su profesión. La auditoría interna tiene muchas responsabilidades, una de las cuales es como supervisor ético. En esa capacidad, como la esposa de César, debe estar por encima de toda sospecha.
Para verlo de otra manera, todos hemos escuchado la sabiduría común de que aquellos que viven en casas de vidrio no deben tirar piedras. Pero a veces, como auditores internos, nuestro trabajo es lanzar una piedra o dos. Entonces, si vamos a tirar piedras y, por supuesto, lo estamos haciendo, será mejor que nos aseguremos de que nuestra propia casa sea a prueba de golpes. Un compromiso firme con el comportamiento ético, junto con un programa de mejora y garantía de calidad sólido y eficaz, ayudará a evitar que se produzcan lesiones por el hecho de volar cristales.
Una forma de romper la función de auditoría interna es asegurarse de que haya las personas adecuadas en ella. Debemos examinar cuidadosamente a aquellos que se incorporan a bordo para asegurarnos de que no haya esqueletos que puedan indicar una brújula moral que no apunte hacia el norte. Todos deberíamos responsabilizarnos mutuamente para estar a la altura de los más altos niveles de conducta ética.
El IIA reconoce que el comportamiento ético es crucial para la trama de nuestra profesión. Todos los miembros de IIA de todo el mundo, junto con aquellos que poseen una certificación de IIA, deben cumplir con el Código de ética de IIA  . Al promulgar su código, el IIA declara: “El propósito del Código de ética del Instituto es promover una cultura ética en la profesión de auditoría interna”. Recientemente, el IIA fue un paso más allá al especificar que “las personas certificadas deben completar dos horas de CPE (cada año) centradas en el tema de la ética”.
Como señalé anteriormente, no creo que la profesión de auditoría interna tenga un “problema de ética”. Trabajemos duro para asegurarnos de que siga siendo así.
El Auditor Interno se complace en brindarle la oportunidad de compartir sus opiniones sobre estas publicaciones de blog. Algunos comentarios pueden ser reimpresos en otros lugares, en línea o fuera de línea.
SOBRE EL AUTOR
Richard Chambers
Richard F. Chambers, CIA, QIAL, CGAP, CCSA, CRMA, es presidente y CEO de The IIA. En Chambers on the Profession , comparte sus reflexiones y puntos de vista personales sobre la base de sus 40 años de experiencia en la profesión de auditor interno.

9 MEDIDAS PARA DESARROLLAR EL TALENTO DEL EQUIPO DE AUDITORÍA INTERNA

Estándar
lunes, 29 de octubre de 2018

domingo, 28 de octubre de 2018

EL COMITÉ DE AUDITORÍA SUPERVISA LAS ACTIVIDADES DE LA AUDITORÍA INTERNA…

Estándar
Ana Cristina Zambrano
President and Chief Executive Officer at IIA Colombia
28.10.18
El Comité de auditoría supervisa las actividades de la auditoría interna. La Norma internacional 1111 establece que el Director Ejecutivo de Auditoría debe comunicarse e interactuar directamente con el Consejo.

LA IMAGINACIÓN

Estándar
domingo, 28 de octubre de 2018

sábado, 27 de octubre de 2018

7 TIPS PARA TRATAR CON PERSONAS TÓXICAS

Estándar
sábado, 27 de octubre de 2018
      
Blog:
Nahun Frett, MBA, CIA, CCSA, CRMA, CPA, CFE
AUDITOR INTERNO – INSTRUCTOR – CONSULTOR – CONFERENCISTA

viernes, 26 de octubre de 2018

EL COMITÉ DE AUDITORÍA ES UNA PARTE DEL CONSEJO…

Estándar

Resultado de imagen para IMAGENES INSTITUTO DE AUDITORES INTERNOS

26.10.18
Diseñado para supervisar la efectividad del control interno sobre las operaciones de la Corporación y sobre la información financiera.