Detección y prevención de fraudes. En un mundo automatizado (GTAG IIA)

Detección y prevención de fraudes. En un mundo automatizado (GTAG IIA)

Introducción

El Instituto de Auditores Internos (IIA – Institute of Internal Auditors) emitió un nuevo Marco Internacional para la Práctica Profesional de Auditoria Interna (MIPP) el cual entró en vigor el 1 de enero de 2017.

Dentro de dicho Marco de Auditoría Interna (MIPP), el IIA incluye diversos lineamientos o guías recomendadas, las cuales las secciona en A) Guías de implementación y, B) Guías suplementarias.

Por su parte, las guías suplementarias proveen un mayor grado de detalle para la realización de

auditorías específicas. El IIA divide estas guías como sigue:

Guías para la práctica:

  • Generales
  • Servicios Financieros
  • Sector Público
  • Guías de Auditoría de Tecnología Global (GTAG)

Hoy en día existen 18 Guías de Tecnología. En este artículo en particular, desmenuzo la GTAG titulada Detección y Prevención de Fraudes en un Mundo Automatizado.

Detección y prevención de fraudes en un mundo automatizado (GTAG IIA)

Antes que nada, es importante preguntarse ¿qué es Fraude?:

De acuerdo a la ACFE: Por definición, el Fraude implica el acto intencional y deliberado de uno o varios individuos que con el uso de engaños busca obtener una ventaja injusta o ilegal.

De acuerdo a la IAA: Cualquier acto ilegal caracterizado por el engaño intencional, ocultación, o abuso de confianza. Los fraudes ocurren para obtener dinero, alguna propiedad o servicio; para evitar hacer un pago o la pérdida de servicios; o para asegurar una ventaja personal o de negocios.

Notarán que ambos Institutos mencionan los elementos de intención de sacar ventaja como parte fundamental del fraude.

A continuación un resumen de los principales conceptos contenidos en la Guía:

¿Qué es la Informática forense?

Es una disciplina de investigación que incluye la preservación, identificación, extracción y documentación de hardware de computadora y datos con fines probatorios y análisis de causa raíz.

Ejemplos de Actividades de la Informática Forense

  • Recuperar emails borrados.
  • Monitorear emails con información de fraude potencial.
  • Realizar investigaciones después de terminada la relación laboral con algún empleado.
  • Recuperar evidencia después de que se haya formateado un disco duro.

¿Cuál es el rol de Auditor Interno?

Debe evaluar la posibilidad de que se presente el fraude y validar si:

  1. La dirección ha realizado un estudio de riesgo de fraude
  2. Todas las áreas de la organización fueron incluidas en el estudio
  3. Los elementos clave como los controles de fraude, los riesgos y las diferencias fueron documentadas
  4. Hay un proceso establecido para esfuerzos de corrección

Pasos a seguir en un Estudio de Riesgos de Fraude de TI

  • Identificar factores de riesgo de TI relevantes
  • Identificar posibles esquemas de fraude de TI y priorizarlos de acuerdo a su impacto y posible ocurrencia
  • Hacer un diagrama de los controles existentes e identificar las fallas
  • Probar la efectividad de los controles de prevención y detección
  • Valuar la ocurrencia y posible impacto de la incidencia del fraude o un error en los controles

Ejemplo del Modelo de Estudio de Riesgos de Fraude de la IIA:

Ejemplo del Modelo de Estudio de Riesgos de Fraude de la IIA

Para analizar los posibles casos de fraude, se debe de tomar la perspectiva del defraudador, es decir pensar como el delincuente y tomar en cuenta:

  • La debilidad en los Controles: observa el potencial de cometer fraude examinando los controles clave, determinando quien podría sacar ventaja de la debilidad en algún control, y determinar como él o ella podría sacar ventaja de la falla en algún control que no esté funcionando correctamente.
  • Los campos clave: observa el potencial de cometer fraude considerando la información capturada, cuales campos pueden ser manipulados (y por quién) y cuál sería el efecto.

Los Riesgos de Fraude de TI son principalmente:

  • Acceso a los sistemas de información (Data) para uso y ganancia personal
  • Cambio a los sistemas de información para ganancia personal
  • Actividad   fraudulenta    por    parte    de    un contratista independiente
  • Conflicto de intereses con algún proveedor
  • Violación a los derechos de autor

Mejores prácticas al enfrentar los riesgos de fraude TI

A continuación enlisto una Guía de las mejores prácticas al enfrentar los riesgos de fraude TI:

  • Actualizar los estudios de riesgo de fraude de TI con periodicidad.
  • Instituir entrenamiento periódico de concientización de seguridad y fraude entre los empleados.
  • Hacer cumplir la segregación de responsabilidades.
  • Restringir el acceso a los sistemas y la información en base a las necesidades de conocimiento según el negocio.
  • Implementar políticas y prácticas estrictas sobre el manejo de identidad y contraseñas.
  • Monitorear y auditar las acciones de los empleados en las redes.
  • Implementar extra cuidados con los administradores de los sistemas y los usuarios privilegiados.
  • Usar defensas contra intrusos de la red.
  • Desarrollar un plan de respuesta efectivo para los incidentes y formar un equipo de respuesta.
  • Desactivar los accesos a los sistemas en cuanto se termine la relación laboral con un empleado.
  • Colectar y guardar la información forense para el uso en investigaciones.
  • Permitir un respaldo seguro y un proceso de recuperación.
  • Implementar un buen programa de manejo de vulnerabilidades.

Hablando del “Análisis de la Data”, la primera prueba a la data debería ser el verificar que esté completa e íntegra. El que la data esté completa e integra es de suprema importancia cuando se está tratando con un posible fraude, porque la ausencia de records o campos en blanco pueden falsamente indicar un fraude o causar que posibles fraudes no se descubran.

Técnicas analíticas usando la tecnología para detectar el fraude

  1. Cálculo de parámetros estadísticos (ej: promedios, desviaciones,   estándares, valores máximos y mínimos) para identificar transacciones aisladas que pudiesen indicar actividad fraudulenta.
  2. Clasificado; para encontrar patrones y asociaciones entre la data.
  3. Estratificación de los valores numéricos; para identificar valores inusuales (ej: excesivamente altos o bajos).
  4. Análisis digital usando la Ley de Benford; para identificar estadísticamente las incidencias poco probables para datos específicos en grupos de información que ocurren al azar.
  5. Unificar diferentes fuentes de datos; para identificar valores que encajen inapropiadamente como nombres, direcciones y números de cuenta en sistemas dispares.
  6. Pruebas de Duplicados; para identificar duplicados simples o complejos de transacciones del negocio como pagos, nómina, reclamos o reportes de gastos.
  7. Pruebas de huecos; para identificar números faltantes en la información secuencial.
  8. Suma de valores numéricos; como chequeo de control viendo si el total no ha sido falsificado.
  9. Validación de las fechas de captura de datos; para identificar publicaciones o captura de datos en fechas que son inapropiadas o sospechosas.

Ley de Benford

La Ley de Benford o también conocida como Ley del Primer Dígito dice que en gran variedad de conjuntos de datos numéricos que existen en la vida real, la primera cifra es 1 con mucha más frecuencia que el resto de los números.

Ley de Benford

Componentes de un programa de auditoría de fraude de TI

  • Construir un perfil de fraudes potenciales a ser aprobados
  • Analizar la data buscando posibles indicadores de fraude
  • Automatizar el proceso de detección a través de la auditoría / monitoreo continuo de las funciones comerciales de alto riesgo para mejorar los controles.
  • Investigar y profundizar en patrones emergentes.
  • Expandir el alcance y repetir según sea necesario
  • Reportar

La detección con la ayuda tecnológica implica

  • 1) Desarrollar programas en tiempo real de prevención de fraudes y,
  • 2) aprovechar las herramientas avanzadas de detección de fraudes.

Para maximizar la efectividad del análisis de data, la tecnología empleada debe permitirle al auditor interno:

  1. Comparar la data y las transacciones de diversos sistemas de IT (y se encargue de las diferencias que usualmente existen entre los sistemas)
  2. Trabajar con un grupo completo de indicadores de fraude
  3. Analizar todas las transacciones dentro del área de enfoque
  4. Realizar pruebas de detección de fraude con regularidad y proveer a tiempo notificaciones sobre tendencias, patrones y excepciones

Adicionalmente la Guía sugiere una lista de tipos de fraude y las correlaciona con las pruebas de tecnologías de información que se pueden aplicar para descubrirlos. Cito como ejemplo el fraude por pagos duplicados, donde se sugiere hacer pruebas de búsqueda de pagos con cifras similares,

números de facturas similares, pagos similares a proveedores distintos y analizar la existencia de solicitudes recurrentes por devolución de pagos duplicados.

Finalmente, la Guía enlista veinte preguntas sobre fraude de TI que el auditor debe preguntar, las cuales por limitación de espacio no transcribo aquí, pero podrán encontrarlas en dicha Guía.

Conclusión

¿Cómo abordar el riesgo de fraude dentro de una organización de manera efectiva y eficiente? es un tema de gran preocupación para consejos directivos, gerentes, dueños de negocios, auditores, autoridades, etc.

Por su parte, se espera que los profesionales de la auditoría tomen un papel proactivo en el combate del fraude; es por esto que dichos profesionistas requieren habilidades apropiadas y usar las herramientas tecnológicas disponibles que les ayuden a mantener exitosamente un programa de administración de fraude que abarque su prevención, detección e investigación.

El Instituto de Auditores Internos (IIA) ofrece diversas Guías muy valiosas que ayudan al desarrollo del trabajo del Auditor Interno, y en particular, la Guía “GTAG – Detección y Prevención de Fraudes en un Mundo Automatizado” representa una poderosa herramienta que los Auditores podemos usar en nuestros esfuerzos contra el fraude de Tecnologías de Información.

Bibliografía: 

Global Technology Audit Guide – Fraud Prevention and Detection in an Automated World – Institute of Internal Auditors – IIA 

Fraud Examiners Manual – International Edition – 

Association of Certified Fraud Examiners – ACFE
Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *