domingo, 30 de abril de 2017

miércoles, 26 de abril de 2017

¿Qué elemento mitigador del Fraude es más eficaz?

Albert Salvador La Fuente

Existen diferentes elementos mitigadores del Fraude:

·         Canal de denuncias
·         Auditorías externas
·         Auditorías internas
·         Auditorias sorpresa
·         Formación
·         Controles antifraude
·         Políticas y protocolos
·         Sistema disciplinario
·         Código ético
·         Difusión y Comunicación

Pero ¿cuál de ellos es más eficaz?

Para calcular la eficacia, hay que tener en cuenta, como mínimo, los siguientes factores:

·         Recursos humanos dedicados
·         Recursos técnicos dedicados
·         Expertis del personal encargado
·         Metodología en el tratamiento
·         Cultura ética de la organización
·         Autonomía

Establecer una fórmula matemática es algo complejo y seguramente inexacto. A pesar de ello, bajo mi punto de vista, la coexistencia de elementos mitigadores es un factor exponencial en el grado de mitigación:


Por lo tanto, crear un “red” de elementos mitigadores, relacionados entre sí, gestionados por un equipo humano con el mayor grado de expertis en materia de gestión de riesgos, independiente y con autonomía suficiente, y trabajando bajo una metodología rigurosa, es la mayor garantía para una gestión eficaz de los riesgos de Fraude:


Y recuerda:

·         NO EXISTE EL RIESGO CERO
·         ALGÚN CONTROL ES MEJOR QUE NINGUNO
·         TODAS LAS EMPRESAS SON SUSCEPTIBLES DE RECIBIR FRAUDES
·         TODOS LOS EMPLEADOS SON SUSCEPTIBLES DE COMETER FRAUDE
·         NO HABER DETECTADO NINGÚN FRAUDE NO SIGNIFICA QUE NO EXISTAN
·         DEDICAR RECURSOS A EVITAR EL FRAUDE NO ES UN GASTO, ES UNA INVERSIÓN

Este artículo fue publicado en su Blog Fraude Interno, el cual es un Blog creado con el objetivo de compartir conocimientos e inquietudes relacionados con el fraude interno, tanto con profesionales de la auditoria interna como con cualquier empresario o directivo que no disponga de un departamento de auditoria interna en su organización. Para mayor información debes visitar: https://fraudeinterno.wordpress.com/.


¿Te ha gustado la información? ¡Compártela con otro auditor interno!

martes, 25 de abril de 2017

lunes, 24 de abril de 2017

25 Formas probadas para convertirte en un asesor cibernético de confianza

¿Cómo puede un auditor interno convertirse en un asesor cibernético de confianza?

El Instituto de Auditores Internos Global establece en la 4ta. Edición de su Guía Percepciones y Perspectiva Globales, que los auditores internos para poder convertirse en asesores cibernéticos deben dar un paso más allá en las siguientes áreas:

 Concientización y prevención

1.    Expandir las capacidades de auditoría de TI actuales para proporcionar perspectivas proactivas y prácticas sobre seguridad cibernética.
2.    Mantener un conocimiento operativo sólido de los próximos cambios en la normativa, nuevos requisitos de cobertura de seguro, nuevas demandas colectivas y otras tendencias.
3.    Asegurarse de que los programas de auditoría consideres estas tendencias.
4.    Proporcionar asesoramiento estratégico a los líderes funcionales sobre sus roles y responsabilidades cibernéticos.
5.    Garantizar las competencias en seguridad cibernética para el DAI y el personal por medio de programas eficaces de desarrollo profesional o gestión de talentos.
6.    Aprovechar estratégicamente la tercerización para asegurarse de que el talento y la competencia adecuados están disponibles en la medida necesaria.

Gestión de riesgos

7.    Permanecer al corriente con la frecuencia y magnitud de los fallos en la seguridad cibernética.
8.    Comprender el impacto total de las amenazas cibernéticas en la organización e integrarlo en el plan de auditoría.
9.    Identificar de forma proactiva los riesgos emergentes de seguridad cibernética.
10. Comprender la postura de riesgo de la organización para combatir las amenazas cibernéticas.
11. Realizar una auditoría continua sobre los controles de la seguridad cibernética de la dirección para evaluar la adecuación y eficacia.
12. Colaborar con el CIO o CISO para evaluar a los candidatos externos.
13. Contribuir con los perfiles de riesgo de los candidatos externos.
14. Asesorar sobre la compatibilidad de terceros con la estrategia o filosofía de seguridad cibernética.

Aseguramiento

15. Proporcionar una revisión independiente de la estrategia de seguridad cibernética antes de que se desarrollen las políticas y los procedimientos.
16. Ser parte de los equipos de implementación de proyectos tecnológicos para asegurarse de que se están abordando e integrando los riesgos cibernéticos, en lugar de agregarlos más adelante.
17. Realizar una evaluación comparativa y probar la adecuación y eficacia de las políticas y los procedimientos en comparación con los marcos correspondientes.
18. Evaluar los resultados de la formación y la retención de los conocimientos.
19. Proporcionar perspectivas sobre cómo alinear la formación con la estrategia de seguridad cibernética.
20. Aprovechar las capacidades de auditoría interna con resistencia existente en la primera y segunda líneas de defensa sin dejar de mantener la objetividad.
21. Liderar los esfuerzos colaborativos de seguridad cibernética en las tres líneas de defensa.
22. Proporcionar perspectivas sobre la coordinación de planes y la alineación con la estrategia de la empresa.
23. Según corresponda, prepararse para que el personal de auditoría interna pueda intervenir y ayudar cuando sea necesario durante una crisis.
24. Involucrar a la dirección y al comité de auditoría o el consejo de administración en los debates sobre el futuro, ayudándolos a considerar las vulnerabilidades cibernéticas que enfrenta la organización.
25. Facilitar o asesorar sobre un proceso para establecer el grado de aceptación de riesgos de seguridad cibernética de la organización.

¿Te ha gustado la información? ¡Compártela con otro auditor interno!

domingo, 23 de abril de 2017

sábado, 22 de abril de 2017

jueves, 20 de abril de 2017

miércoles, 19 de abril de 2017

Ponencias en español del “Global Anti-Corruption & Integrity Forum” 2017

Albert Salvador La Fuente

A continuación, presentamos un hipervínculo donde se puede visualizar todo el evento internacional “Global Anti-Corruption & Integrity Forum” de la Organization for Economic Co-operation and Development, de forma gratuita.

Ver secciones de los días 30 y 31 de marzo del 2017 aquí.

Este artículo fue publicado en su Blog Fraude Interno, el cual es un Blog creado con el objetivo de compartir conocimientos e inquietudes relacionados con el fraude interno, tanto con profesionales de la auditoria interna como con cualquier empresario o directivo que no disponga de un departamento de auditoria interna en su organización. Para mayor información debes visitar: https://fraudeinterno.wordpress.com/.


¿Te ha gustado la información? ¡Compártela con otro auditor interno!

domingo, 16 de abril de 2017

Esfuérzate al límite

                 
                        ¿Te ha gustado la frase? ¡Compártela con otro auditor interno!

sábado, 15 de abril de 2017

jueves, 13 de abril de 2017

10 Principios de Thomas Jefferson (Repetición)

El día de hoy se celebra el natalicio de Thomas Jefferson, por tal razón compartimos nuevamente sus diez principios para la vida:
          ¿Te han gustado los principios? ¡Compártelos con otro auditor interno!


miércoles, 12 de abril de 2017

Debate: ¿Es válido un canal de denuncias mediante un correo electrónico?

Albert Salvador La Fuente

Si navegamos por la “red” observaremos que un gran número de empresas tienen instrumentado su canal de denuncias mediante una dirección de correo electrónico, incluso empresas que tienen externalizado este servicio.

El debate que se plante es el siguiente:

Dada la falta de privacidad de los correos electrónicos,
¿cómo se puede garantizar la confidencialidad del denunciante?


INFORMACIÓN acerca de la Privacidad de los correos electrónicos:

El simple hecho de que usemos un servicio de correo electrónico que es gratuito, donde no se paga por un espacio seguro, cifrado y único del servidor, permitiría que ellos puedan acceder a tu cuenta cuando quieran. La única razón por la que no lo harían sería por cuestiones éticas, pero no porque la ley se los prohíba.

Los términos y condiciones

Además de que no existen leyes que nos protejan y que hagan que nuestros datos compartidos por correo electrónico sean realmente privados, también aceptamos condiciones, términos y un contrato completo cuando creamos una cuenta de Outlook, Gmail o cualquier otra. Cada empresa puede decidir qué irá en este contrato que la mayoría de las personas no leen, pero si se le hace una revisión rápida se puede ver que ellos te advierten que entrarán en tu cuenta si les parece necesario.

Este artículo fue publicado en su Blog Fraude Interno, el cual es un Blog creado con el objetivo de compartir conocimientos e inquietudes relacionados con el fraude interno, tanto con profesionales de la auditoria interna como con cualquier empresario o directivo que no disponga de un departamento de auditoria interna en su organización. Para mayor información debes visitar: https://fraudeinterno.wordpress.com/.


¿Te ha gustado la información? ¡Compártela con otro auditor interno!

domingo, 9 de abril de 2017

viernes, 7 de abril de 2017

Nueva Guía Suplementaria del IIA Global: Modelo Estatuto Auditoría Interna

Si necesitas desarrollar un estatuto para tu departamento de auditoría interna, a continuación encontraras un enlace al modelo sugerido por el IIA Global, actualizado con las Normas vigentes a partir de enero del 2017.

Esta nueva guía está diseñada para ilustrar las prácticas comunes usadas, típicamente, para desarrollar una estatuto para la actividad de auditoría interna. Tienes que tener presente que este documento ha sido redactado de manera genérica y puede no reflejar todos los requisitos legales o reglamentarios que existen en la organización para la cual trabajas. Además, las expectativas de las partes interesadas pueden influir en la inclusión o eliminación de ciertas prácticas, por lo que debes ejercerse debido cuidado profesional al adaptar este modelo genérico, con el fin de asegurarte que todos los elementos necesarios fueron incluidos en el documento final.

Los componentes de un estatuto de auditoría interna de acuerdo a esta nueva guía son los siguientes:

Propósito y misión
Autoridad
Independencia y objetividad
Alcance actividades auditoría interna
Responsabilidad
Programa aseguramiento y mejora calidad
Autorización/Firmas

Esta publicación técnica representa una pauta para ayudar al director de auditoría interna en el cumplimiento de la Norma 1000: Propósito, Autoridad y Responsabilidad y de la Norma 1010: Reconocimiento de los elementos obligatorios en el estatuto de auditoría interna. Si eres miembro del IIA puedes descargar la guía completa aquí.

¿Te ha gustado la información? ¡Compártela con otro auditor interno!

miércoles, 5 de abril de 2017

Fichas de fraude (Segunda Parte)

Albert Salvador LaFuente

Un buen ejercicio profesional frente al Fraude Interno, sería la realización de una ficha de fraude una vez realizadas las auditorias y forensics correspondientes.

Las ventajas de las fichas son:

·         Tener un historial con todos los fraudes cometidos en la empresa.

·         Posibilidad de realizar estudios y evoluciones:
o   Causas/motivaciones
o   Perfil defraudador
o   Importes
o   Focos de riesgo
o   Debilidades de los sistemas de control

·         Disponer de un repositorio de fraudes para la formación de nuevos expertos en gestión de fraude.

·         Guía para el tratamiento de cualquier fraude:

o   ¿Qué medidas existían?,
o   ¿Qué medidas hemos implementado para evitar nuevos fraudes de las mismas características?
o   ¿Existen fraudes análogos dentro de la organización?

Adjunto, a nivel de ejemplo, algunas fichas de fraude del sector financiero:



Este artículo fue publicado en su Blog Fraude Interno, el cual es un Blog creado con el objetivo de compartir conocimientos e inquietudes relacionados con el fraude interno, tanto con profesionales de la auditoria interna como con cualquier empresario o directivo que no disponga de un departamento de auditoria interna en su organización. Para mayor información debes visitar: https://fraudeinterno.wordpress.com/.


          ¿Te ha gustado la información? ¡Compártela con otro auditor interno!