Вы находитесь на странице: 1из 48

El Fraude en las organizaciones Herramientas de

deteccin y prevencin
Prevencin del fraude corporativo considerando aspectos informticos, de procesos y
control internos, documentales y cientficos.
Expositores:

Dr. CP Santiago Altman (Contador Pblico UBA. Especialista en Investigacin Cientfica del Delito IUPFA. Senior Audit Manager del Industrial and Commercial Bank of China Argentina ICBC)

Ing. Jorge Blasco (Ingeniero en Sistemas - UBA. Magister en Auditoria Gubernamental UNSAM.
Supervisor de Auditoria Informtica del Ministerio de Seguridad de la Nacin. Ex Supervisor de
Auditoria de TI en la Ministerio de Defensa. Miembro del Foro de Responsables Informticos de la
Administracin Pblica)

Dr. CP Oscar Daz (Contador Pblico UBA. Perito en Papiloscopa y Perito en Documentologa
IUPFA. Profesor titular de Fraudes documentales - Mtodos de prevencin, en la UBA. Profesor
adjunto de Reconocimiento de Adulteraciones y Falsificaciones Documentales en el IUPFA.
Consultor de empresas. Ex Funcionario del Banco Ita Argentina S.A. - Responsable del
Departamento de Prevencin del Fraude y Actos Ilcitos)

Moderadores:
Prof. Gustavo Nievas - Prof. Toms Chahin

El fraude en las
organizaciones:
Herramientas de deteccin y
prevencin.
Aportes de la criminologa al control interno de las
organizaciones.

Lo que no revelan los auditores lo descubren las recesiones.


Frase atribuida a John Kenneth Galbraith

Midiendo en capitalizacin burstil, las diez primeras corporaciones del


mundo acumulan un volumen similar al PBI de Francia: 2,5 billones de
dlares.
La facturacin mundial de Wal-Mart Stores, Inc. equivale a
aproximadamente el 58% del PBI argentino.
El nmero de empleados de Wal-Mart Stores, Inc. a nivel global (2,2
millones) supera a la poblacin econmicamente activa (PEA) de 23
provincias, incluyendo Crdoba, Santa Fe y la Ciudad de Buenos Aires y
similar a la PEA acumulada de 9 provincias.
Cencosud S.A. emplea al equivalente del 32% de PEA de Tierra del
Fuego.

La disposicin a violar la ley en caso de creer


que se tiene razn fue elegida por el 43% de
los encuestados, mientras que el 46% dijo no
estar dispuesto, el 9% contest "depende" y
el 2% restante dijo no saber o prefiri no
contestar.
El 73% dijo estar en desacuerdo o
muy en desacuerdo con la idea de
que en la sociedad "existe consenso
sobre lo que est bien y lo que est
mal".

La percepcin sobre por qu en la Argentina se


incumplen las leyes incluye varias opciones. Para el
33%, tiene que ver con el "mal funcionamiento del
sistema judicial", el 30% lo atribuy al "mal
comportamiento humano" y otro 17% al "mal
funcionamiento del sistema de castigos".
Fuente: Diario La Nacin, Buenos Aires Argentina, 5 de abril de 2015.

Definiciones
Fraude
Accin criminal planificada que ocasiona prdidas patrimoniales o daos,
realizados mediante la utilizacin del engao y el ocultamiento como
tcnica para el no descubrimiento de la accin. Los autores tienen como
objetivo conseguir un beneficio patrimonial, o bien, vengar un hecho contra
la vctima.
Fraude corporativo
Fraude cometido por uno o ms agentes de una organizacin en el curso de
sus ocupaciones, cuyos principales medios son la autoridad, las
atribuciones y los permisos conferidos a l o ellos por la organizacin a la
que pertenecen.
Fuente: Norma IRAM 17450:2005 Sistema de gestin para la prevencin del fraude corporativo

Etapa
pre-cientfica

Evolucin de la criminologa I
1764 - Mtodo clsico

Etapa cientfica

1876 - Escuela positivista

Escuela de Lyn

1882 - Escuelas Eclcticas

Mtodo y/ o enfoque
Abstracto y deductivo formal
Mtodo emprico inductivo

Explicacin
El crimen como consecuencia del libre
albedro del hombre

Mtodo emprico inductivo,


enfoque antropolgico.

Predisposicin a la conducta criminal


como consecuencia de las
caractersticas antropomtricas, raza,
sexo, etc.

Enfoque sociolgico

El delito se concibe como una


contradiccin de las exigencias de la
vida social. Considera al delito como
un fenmeno despersonalizado,
dependiendo de los estados
econmicos y sociales.

Pretendi armonizar los


postulados clsicos con los
dogmas del positivismo.

No aportaron ninguna teora


criminolgica original.

Evolucin de la criminologa II
Explicacin

Biologa criminal

Emprico, antropolgico

Dato biolgico diferencial

Modelo sociolgico

Emprico

El hecho delictivo es un
fenmeno social. Teoras:

Criminologa moderna

Etapa cientfica

Mtodo y/ o enfoque

1897

Anomia

1938

Normalidad y funcionalidad del


crimen.

1939

Asociacin diferencial.
Del conflicto
Control social
Labelling

1960

Modelo psicolgico

Emprico

Procesos psquicos
anormales o vivencias
subconscientes

Jerarqua de necesidades segn Maslow


Autorrealizacin

Estima

Afiliacin

Seguridad

Fisiolgicas

El tringulo del fraude


Oportunidad

Presin (necesidad)

Racionalizacin

Perfil del defraudador


Es un transgresor de normas,
Desconoce valores morales, la
honradez, la lealtad y la
propiedad.
Es un hbil manipulador y utiliza
a los dems en su beneficio.
No aprende de la experiencia.

Estadsticas sobre la posicin jerrquica


del perpetrador

Fuente: Report to the nations on occupational fraud and abuse - 2014 global fraud study, Association of Certified Fraud Examiners

Elementos del sistema normativo


Actividades de vigilancia
(Cumplimiento)

Investigacin

Norma

Sancin de
conductas
reprochables

Control interno
A) Definicin
Proceso efectuado por la direccin y el
resto del personal de una entidad,
diseado con el fin de proporcionar un
grado de seguridad razonable en cuanto a
la consecucin de los objetivos de la
organizacin clasificados en las siguientes
categoras:
Eficacia y eficiencia de las
operaciones.
Confiabilidad de la informacin
financiera.
Cumplimiento de las leyes,
reglamentos y normas.

B) Componentes:

1.
2.
3.
4.
5.

Ambiente de control
Evaluacin de riesgos
Actividades de control
Informacin y comunicacin
Supervisin y monitoreo

Prevencin: Limitaciones del sistema de


control interno.

El sistema no garantiza el xito, ni siquiera la supervivencia de la empresa

No hace que un gerente intrnsecamente malo se convierta en uno bueno.

Existen restricciones sobre los recursos a aplicar para el diseo,


implantacin y funcionamiento de los controles

Es vulnerable cuando existe connivencia entre dos o ms empleados, o


entre un empleado y un proveedor o un cliente
Fuente: Informe COSO

Control interno: Visin lneas de defensa


4ta - Comit de disciplina?

3ra - Auditora Interna

2da - reas de apoyo al negocio


(administrativas)
Evento adverso

1ra - Unidades de negocio

Conclusiones
Entender que para abordar la problemtica del fraude corporativo se
requiere un enfoque multidisciplinario.
Tratar al fraude como un hecho de ocurrencia normal dentro de las
organizaciones. Para prevenirlo, se deben establecer polticas, normas y
procedimientos para mantener este fenmeno en niveles mnimos y
controlables.
Establecer elementos de gobierno societario conforme a la complejidad y
tamao de la organizacin. Incluso, considerar la implementacin de un
Comit disciplinario - Unidad de Investigacin dependiendo directamente
del directorio.
Definir un sistema de incentivos diferidos en el tiempo considerando la
brecha existente entre la expectativa de vida de los individuos y de las
organizaciones.

El Estado (Las corporaciones) es (son) impersonal (es): el argentino slo


concibe una relacin personal. Por eso, para l, robar dineros pblicos
(corporativos) no es un crimen. Compruebo un hecho; no lo justifico o
excuso.
Jorge Luis Borges, Buenos Aires (adaptacin)

*Evolucin de la Sociedad
*Contextualizacin de la Sociedad de la
Informacin

Alvin Toffler-Tercera Ola


1ra. Ola Agrcola (8000 a.c. hasta mediados
de 1700)
2da. Ola Revolucin Industrial desde (1700
hasta 1960).
3ra Ola Sociedad de la Informacin desde
(1960 hasta nuestros das)

*Sociedad de la
Informacin

La sociedad de la informacin es aquella en la


cual las tecnologas que facilitan la creacin,
distribucin y manipulacin de la informacin
juegan un papel esencial en las actividades
sociales, culturales y econmicas.

Dinero vs. Informacin

* Dicen en Wall Street: El dinero se mueve


a la velocidad de la luz. Debemos mover
la informacin mas rpido.

* Personas Jurdicas y Fsicas


* La Tecnologa ha afectado tanto a:
Personas Jurdicas: En su forma de desarrollar sus
actividades comerciales.

Personas Fsicas: En su forma de desarrollar su


actividad social.

*Personas Jurdicas
*

Mediante las Redes de Prxima Generacin .Es un amplio trmino


que se refiere a la evolucin de la actual infraestructura de
redes de telecomunicacin y acceso telefnico con el objetivo de
lograr la convergencia tecnolgica de los nuevos servicios
multimedia (voz, datos, video...)

*Personas Fsicas
* Uso intensivo de Redes sociales.
* Ejemplos Facebook es utilizada por el 26,22% de
la poblacin Mundial.

* Twitter en 2012 tenia mas de 200 M de usuarios


* Linkedin tiene 100 M de usuarios.
* El 62% de los Argentinos con acceso a internet son
Usuarios de Redes sociales ubicndose en el 5to
puesto a nivel mundial (Fuente TNS consultora)

* Seguridad
Ausencia de peligro, dao o riesgo.
En un concepto mas preciso podramos
afirmar que se trata de minimizar
peligros, daos o riesgos.

* Buenas

Prcticas en
Seguridad de la Informacin
*

La norma BS 7799 de BSI apareci por primera


vez en 1995, con objeto de proporcionar a
cualquier empresa -britnica o no- un conjunto
de buenas prcticas para la gestin de la
seguridad de su informacin.
LA Norma ISO/IEC 27001 fue publicada el 15 de
Octubre de 2005, revisada el 25 de Septiembre
de 2013. Es la norma principal de la serie y
contiene los requisitos del sistema de gestin de
seguridad de la informacin.
BSI:British Standard Institution
ISO: International Standards Organization
IEC: International Electrotechnical Commision

*Contenido
* Contenidos:
Organizacin: Administrar la SI en la organizacin y establecer un marco de control
Gestin de Activos: Garantizar que los activos de informacin reciben un apropiado nivel de
proteccin.
Recursos Humanos: Reducir los riesgos de error humano, comisin de ilcitos, uso
inadecuado de instalaciones y recursos, y manejo autorizado de la informacin
Seguridad Fsica y Ambiental: Prevenir e impedir accesos no autorizados, daos e
interferencia a las sedes, instalaciones e informacin institucional.
Gestin de las comunicaciones y Operaciones: Garantizar el funcionamiento correcto y
seguro de las instalaciones de procesamiento de la informacin y comunicaciones
Gestin de accesos: Impedir el acceso no autorizado a los sistemas de informacin, bases
de datos y servicios de informacin.
Adquisicin, desarrollo y mantenimiento de sistemas: Asegurar la inclusin de controles
de seguridad y validacin de datos en la adquisicin y el desarrollo de sistemas de
informacin.
Gestin de Incidentes de Seguridad: Garantizar que los eventos de seguridad de la
informacin y las debilidades asociadas a los sistemas sean comunicadas a fin de que se
apliquen las acciones correctivas.
Gestin de la Continuidad: Minimizar los efectos de posibles interrupciones a las
actividades normales por acciones naturales o deliberadas.
Cumplimiento: Cumplir con las disposiciones normativas y contractuales a fin de evitar
sanciones a la organizacin y a los empleados.

*Responsabilidades
*

El responsable de seguridad: Es quien se encarga de que tengamos una


poltica de seguridad definida con sus riesgos, controles, e inventario de
los diferentes datos a proteger.

El propietario de los datos: Este es quien conoce el dato y su funcin y


sensibilidad en la empresa y por tanto es quien tiene que decir qu nivel
de servicio y garantas requiere cada tipo de datos y cul podra ser la
afectacin al negocio en caso de perdida

El custodio de los datos: Es quien se encarga de aplicar lapolticade


seguridad en los datos. Responsable del rea Informtica.

El usuario de los datos: Personas/equipos que utilizan los datos para su


trabajo diario.

* Formas de penetracin
*Ingeniera Social: apertura de archivos no conocidos.
*Xploits:es un fragmento de software, fragmento de datos o secuencia de comandos y/o

acciones, utilizada con el fin de aprovechar una vulnerabilidad de seguridad de un sistema


de informacin para conseguir un comportamiento no deseado del mismo.

*Troyanos: software malicioso que se presenta al usuario como un programa aparentemente


legtimo e inofensivo, pero que, al ejecutarlo, le brinda a un atacante acceso remoto al
equipo infectado

*Keyloggers:Es un tipo de software o un dispositivo hardware especfico que se encarga de

registrar las pulsaciones que se realizan en el teclado, para posteriormente memorizarlas en


un fichero o enviarlas a travs de internet.

*Pregunta secreta: Usa la pregunta secreta para recuperar clave.


*Fuerza Bruta:Forma de recuperar una clave probando todas las combinaciones posibles hasta
encontrar aquella que permite el acceso.

*Sniffers: Es un analizador de paquetes es un programa de captura de las tramas de una


red de computadoras.

*Phishing: suplantacin de identidad es un trmino informtico que denomina un modelo de


abuso informtico y que se comete mediante el uso de un tipo de ingeniera social
caracterizado por intentar adquirir informacin confidencial de forma fraudulenta

*Spywares: Software que recopila informacin de un ordenador y despus transmite esta

informacin a una entidad externa sin el conocimiento o el consentimiento del propietario


del ordenador.

*Malware: distribucin de

software malintencionado (tambin conocido como malware) que


puede convertir su equipo en un bot (tambin conocido como zombie).Cuando esto sucede,
un equipo puede realizar tareas automatizadas a travs de Internet sin que lo sepa.

*Casos Emblemticos
* Caso Supermercado target.
* Robaron acreditaciones a un proveedor para

acceder a los sistemas de Target y robar unos


40 millones de nmeros de tarjetas de dbito y
crdito, as como la informacin personal de
otros 70 millones de personas, dijo el mircoles
la cadena minorista.
aso Supermercados Target.

(Proveedor de AA)

*Casos Emblemticos
* Monster.com
*

Fecha: Agosto 2007

* Impacto: Robo de informacin confidencial de 1.3 millones de personas que


buscan empleo. Misma que fue utilizada en una estafa masiva de phishing.
Lo peor: La tarda difusin de la noticia.

Piratas informticos entraron en la biblioteca del sitio de EE.UU. de


contratacin en lnea Monster Worldwide Inc. El portal dijo tras el robo de
datos que el ataque fue lanzado con dos servidores en una empresa de
alojamiento Web en Ucrania.
La compaa dijo que la informacin robada se limit a los nombres,
direcciones, nmeros de telfono y direcciones de correo electrnico y
otros detalles, incluyendo nmeros de cuentas bancarias.
El problema era que Monster se enter de la violacin el 17 de agosto, pero
no lo hizo pblico durante cinco das, haciendo que la informacin robada
fuera utilizada para hacer un efectivo ataque de phishing, pues los usuarios
no saban que sus cuentas haban sido robadas.

*Casos Emblemticos
* . Gawker Media
*
Fecha: Diciembre 2010

Impacto: Comprometidas las direcciones de correo electrnico y contraseas de


aproximadamente 1.3 millones de blogueros, adems del robo del cdigo fuente
de Gawker.

* Lo

peor:

El

propio

sitio

web

fue

perjudicado.

Los foros en lnea y los blogs son uno de los objetivos ms populares de los
piratas informticos. Un grupo que se autodenomina Gnosis se atribuy la
responsabilidad del ataque, diciendo que lo haba puesto en marcha por la
"arrogancia absoluta" de Gawker hacia la comunidad hacker.
"Gawker no tena la seguridad necesaria para enfrentar a prcticamente ningn
hacker. No estaba a la altura de otros sitios ms grandes", dijo el director del
Proyecto KNOS, Kevin McAleavey, quien agreg que el principal problema era
que las contraseas almacenadas en Gawker tenan un formato que fue muy
fcil para los hackers entender. "Algunos usuarios utilizan la misma contrasea
para el correo electrnico y Twitter, y era slo cuestin de horas antes de que
los piratas secuestraran a sus cuentas y comenzaran a utilizarlas para enviar
Spam.