19/04/2024

control interno

Seminario: Transformación digital y CiberFraudes 4.0

Guido Rosales 07/05/2019

Así como la digitalizacion conlleva nuevas formas de hacer negocios, también viene la transformacion digital del FRAUDE.
Desde delitos tradicionales como fraude en inventarios, transacciones, compras, pasando por manipulación informática de bases de datos hasta Ciber fraudes en servicios cloud tipo SaaS.

El Seminario tiene por objetivo demostrar la evolución de las tipologias de FRAUDE y como estas también sufren su revolución 4.0 y se transforman con todas las nuevas facilidades tecnológicas.

El evento se llevara a cabo de manera presencial en las ciudades de Sucre (23 de mayo), Santa Cruz (7 de junio), Cochabamba(14 de junio) y La Paz (9 de julio) .
El seminario tiene una duración de 3 horas y se llevara a cabo en diferentes horarios según la ciudad sede.

Dirigida a Personal de riesgos, legal, seguridad, auditoria, operaciones y TI.

La inversión es de 300Bs. Para Mayor información solicitar al correo info@yanapti.com

FRAUDE EMPRESARIAL ORGANIZADO

Guido Rosales 18/03/2019

El control interno basado en la premisa de segregación de funciones, esta considerando que las posibilidades de fraude pueden venir desde la persona, pero considera que el individuo de alguna manera es absorbido por el grupo en un contexto empresarial. Entonces todos los controles basados en una instancia superior de control pueden ser vulnerados.

Las variables Presión, conocimiento, oportunidad y justificación no se deliberan en la cabeza de una persona sino en todo el grupo. Hablamos entonces no de fraude individual, sino de estructuras de FRAUDE EMPRESARIAL O CORPORATIVO

LAS TEORÍAS

Dentro las teorías que estudian el FRAUDE como una conducta humana individual o grupal, siempre han destacado las siguientes:

  1. El triangulo del fraude del criminologo DONALD CRESSEY
  2. El Iter criminis o camino que sigue el delito desde su concepción hasta su ejecución.

En ese sentido queremos identificar al FRAUDE como una consecuencia de muchos aspectos tanto internos al individuo como característicos del grupo social, es decir vamos a analizar el fraude como acción no de una persona sino del colectivo humano empresarial.

EL GRUPO HUMANO EN LA EMPRESA

Las organizaciones mas allá de sus activos, muebles y herramientas, están compuestas por personas que si bien pueden ser conocidos de algún lugar o momento de tiempo, en general llegan de diferentes caminos encontrándose todos en el lugar de trabajo. Pero estos encuentros no son insignificantes, sino mas bien muy fuertes y cohesionados por el tiempo y vivencias que tiene ese colectivo humano. Al final las personas pasan la mayor parte de su vida laboral con ese grupo. 8 horas activas del día están con las mismas personas.

Las estructuras empresariales pueden suponer estructuras parecidas al momento de pensar en una organización para delinquir, pero no necesariamente.

EL FRAUDE POR DOQUIER

Uno de los mas grandes males se da cunado el fraude ha permeado TODA la organización. En todos los niveles se comenten acciones aisladas o integradas para cometer actos ilícitos.

 

En cada nivel el resultado varia en cuantía y modus operandi, pero acciones fraudulentas menores o mayores se conocen entre si, pero como se dice "entre bomberos no se pisan la manguera"

LA PIRÁMIDE DEL FRAUDE

Tomando como base el Triangulo del fraude, queremos conjugar mas variables

Por un lado están:

Oportunidad, presión, conocimiento y presión, pero debemos entender que esto no se esta dando únicamente en la cabeza o subconsciente de una persona sino de todo el grupo. Puede ser que haya nacido con una persona, pero rápidamente se adueño del grupo humano

 

Y por otro lado esta el ITER criminis que ha llevado desde su fase interna hasta su fase externa venciendo controles y madurado en el tiempo:

 

Bajo esta lógica debemos pensar que controles tradicionales como maker/checker, segregación de funciones y similares llegan a ser inútiles. Es el grupo humano que ha sido comprometido en la comisión de actos fraudulentos.

La respuesta y lógica de control interno y externo debe partir bajo ese enfoque "e grupo puede estar comprometido", tanto para la fase de análisis como para la fase de implementancion de sistemas antifraude.

El gran problema surge cuando las acciones fraudulentas han permeado toda la sociedad y las mismas instancias de control pueden ser contaminados para no detectar el FRAUDE.

 

 

 

PARTE 2: EL EFECTO PARI EN EL CONTROL INTERNO

Guido Rosales 27/11/2017

Bien continuando con el análisis de los efectos que trae consigo esta situación sui generis podemos recapitular las ideas vertidas en el primer artículo de la siguiente forma:

  1. Las políticas, normas y procedimientos ya no pueden ser escritos con el enfoque al pasado. Pensando en que los instrumentos de control son personas con mucha experiencia o criterio. El control interno debe ser diseñado pensando que los tiempos han cambiado y los instrumentos de control deben ser acordes a la magnitud de información e inmediatez propia de las tecnologías de información. Mientras vuelve una ronda de control rutinario, la cantidad de datos e información que se ha generado, procesado y transmitida es inmensa. La brecha generacional tiene que ser reducida de cualquier manera. El mundo de atamos se controla físicamente, el mundo virtual tiene sus propias características.
  2. Los instrumentos de control interno tienen que ser proporcionales al activo protegido. Por un lado, se puede pensar en más personas en tareas de control, pero la posición más acertada será implementar más herramientas automatizadas con controles de detección oportuna ante el cambio de patrones. Ya no se deberá poder priorizar únicamente áreas de negocio donde la inversión esta compensada con la utilidad o retorno. En este caso la inversión en control deberá ser compensada en función del activo que se protege. Y debe ser normativo, no un tema de decisión estratégica del negocio como factor de ventaja competitiva, sino como garantía de brindar seguridad al sistema donde la entidad existe.
  3. El control interno debe estar en el mismo proceso. Se tienen capas de autocontrol, control cruzado, control independiente. Todos estos como complementos a las tareas de auditoria que tiene un nivel mayor, como control independiente, pero puede estar muy alejado del mismo proceso llegando a ser INOPORTUNO.
  4. Los sistemas tendrán que ser implementados con la finalidad de agregar o desagregar la información para los diferentes niveles, operativos, tácticos o estratégicos. Si bien la Dirección no tiene esa capacidad de control sobre temas operativos, deberá instrumentar indicadores para conocer de manera continua como se desarrollan las actividades en el negocio. La ALTA DIRECCION tendrá que inmiscuirse más a fondo en la definición de indicadores de alerta oportuna. Esto tendrá dos sentidos. Grupos de directores con mas conocimiento sobre control Interno o Directores con Asesores especializados en esta disciplina que puedan apoyarles en esta sensible tarea. Sin duda tendremos equipos de Dirección mas técnicos que políticos o solamente de Negocios.
  5. Finalmente, el efecto se verá en las áreas operativas, donde a veces se aceptan tareas por añadidura y se cumple por algún criterio no documentado o formalizado. Se debe lograr la comprensión sobre la responsabilidad por acción u omisión y formalizar la relación en todo sentido.
    1. De arriba abajo, las ordenes deben seguir un conducto regular y estar basadas en políticas, normas, procedimientos formalmente establecidos.
    2. Relación de pares. Este tipo de relación debe ser también formal. Al final el trabajo no es un club de caridad o de amigos donde las relaciones están basadas en el grado de amistad. Los controles de hacen para los cargos y no las personas. Debe primar la relación formal.
    3. De abajo arriba. Igualmente, como el resto de relaciones, debe ser formal. Solicitudes por conductos regulares. Oportunidad y pertinencia en la detección de debilidades de control.

En conclusión, el EFECTO PARI debe ayudarnos a aprender en piel ajena. Es un caso que está generando mucho impacto a todo nivel. Su cobertura mediática hace conocer muchos detalles que siendo una investigación en curso se podrán analizar en algún momento que no perjudique este proceso legal.

Termino con estos pensamientos:

  • El control se hace pensando en los cargos, no en las personas.
  • Esperamos lo mejor, pero nos preparamos para lo peor.
  • Pensar mal para vivir bien.
  • El control es propio de cada tarea y TODOS son responsables.

 

Te pueden interesar

portada curso NMSI NETHO

Curso: Nivel de madurez con NETHO e ISO 27001:2022

Guido Rosales 05/02/2024
perito informatico

Pericias: Lecciones aprendidas

Guido Rosales 02/11/2023
hack banking

Seminario Presencial Tarija: Banca digital ciber riesgos, estafas y pericias forenses

Guido Rosales 28/10/2023
criptolavanderia

Seminario: PREVENCION DEL LAVADO DE CRIPTOACTIVOS

Guido Rosales 05/10/2023
ciberguerra rusia ucrania

Por qué la Ciberguerra Rusia-Ucrania debe preocuparnos como Pais?

Guido Rosales 03/09/2023