Javier Fernando Klus – Argentina – Colaborador de www.auditool.org
Para poder realmente ponderar este impacto, es necesario tener en consideración que al hablar de la Segregación de Funciones muchas veces se consideran dos conceptos, relacionados entre sí, pero no similares:
Accesos críticos: al realizar un análisis de este tipo, se consideran determinadas actividades, que, por su importancia o impacto (operativo y/o financiero), justifican que se encuentren restringidas y asignadas a un número reducido de usuarios con conocimientos del proceso en el cual estas actividades impactan.
Por ejemplo, una compañía tiene una actividad en su ciclo contable relacionada con la apertura/cierre del período contable, que tiene un gran impacto para la empresa, dado que si un usuario inexperto abriera los períodos contables y realizara contabilizaciones en un mes o año distinto del actual, como riesgo asociado tendríamos la posibilidad de registrar operaciones en períodos incorrectos. Además, también impacta en la aserción de Corte.
Por esta razón, la actividad de apertura/cierre de períodos contables debería encontrarse restringida a un número limitado de usuarios, asociados al sector de contabilidad o relacionados con el proceso.
Por lo tanto, los accesos críticos son un aspecto importante cuando consideramos el esquema de segregación de funciones de una compañía, pero su impacto no está directamente relacionado con posibles acciones de fraude, sino más bien, a errores (intencionales o no) cuyo impacto igualmente puede ser contable u operativo.
Segregación de Funciones: el concepto se refiere al análisis de determinadas actividades que deben encontrarse separadas de otras, dado el riesgo que implica que una misma persona las concentre.
El principio básico al momento de definir este esquema es que las actividades relacionadas con un ciclo en particular deberían encontrarse asignadas a la mayor cantidad de personas posibles, de tal forma que ninguna pudiera ejecutar el ciclo completo ni la mayoría de las actividades asociadas a ese proceso.
Por ejemplo, suponiendo que hay que encarar el análisis y diseño de segregación de funciones para el ciclo de Compras/Cuentas a Pagar, habría que definir las siguientes actividades:
– Generación de la Orden de Compra.
– Aprobación de la Orden de Compra.
– Recepción de los Bienes Servicios.
– Recepción de las Facturas de los Proveedores.
– Aprobación de las Facturas de los Proveedores.
Bajo un esquema estricto de segregación de funciones todas estas actividades deberían encontrarse asignadas a usuarios distintos, de tal forma de impedir cualquier tipo de acción que redunde en un fraude para la compañía.
La criticidad de los pares incompatibles
Ahora bien, al momento de definir las incompatibilidades, hay que tener en cuenta la criticidad del par analizado. En otras palabras, dentro del análisis de segregación de funciones hay casos de incompatibilidades mucho más importantes que otros, por lo que es importante tenerlos ponderados.
En este sentido, en el ejemplo anterior se pueden definir dos tipos de pares de incompatibilidad:
– El que genera la orden de Compra no puede aprobarla.
– El que genera la orden de Compra no puede recibir las facturas.
Ambos pares son relevantes pero, al analizar más en profundidad, el primer par tiene una mayor criticidad que el segundo ya que se trata de dos actividades del ciclo que están relacionadas, porque una es precedente de la otra.
Entonces, si una persona tuviera la posibilidad de generar las órdenes de compra y también aprobarlas; la posibilidad de detectar que las compras realizadas son correctas, se vería muy comprometida, debido a que las actividades siguientes lo único que aseguran es que la recepción se haya realizado por las cantidades correctas o bien que el proveedor facture las cantidades y precios acordados. Pero el cuestionamiento de si la compra ha sido realizada al proveedor correcto, si se pidió algo que realmente se necesita o si los precios acordados son apropiados, no se estaría realizando.
Controles asociados para prevenir el fraude
En cuanto al segundo par de incompatibilidad, aunque en teoría, en un apropiado esquema de segregación de funciones, la función de Compras no debería estar asociada con otras como la de Cuentas a Pagar, ni ésta debería realizar actividades operativas como generar Órdenes de Compra, existen algunos controles asociados que, en el caso que sean realizados por otro usuario, impedirían la realización de cualquier fraude, veamos cuales son los mismos:
– Asignar la función de aprobación de las órdenes de compra en otra persona, o bien en una cadena de aprobación: de esta forma, por más que un comprador genere una orden de compra en principio no autorizada, debería ser detectada en esta instancia.
– Asignar la función de recepción de Bienes y Servicios a otro usuario: así las cantidades recibidas deberían ser las exactas o convenidas en la Orden de Compra. Dada la lógica utilizada por la mayoría de los ERP (Enterprise Resource Planning) actuales, es casi seguro que si se ingresara una factura por una cantidad mayor a la recibida, ésta se bloquearía, requiriendo algún tipo de aprobación (a través de una cadena de liberación, etc.).
– Asignar la función de Aprobación de facturas a otro usuario: por más que el usuario pudiera ingresar la factura al sistema, existirá así una instancia posterior de análisis y aprobación de la misma.
¿Cómo actuar frente a una incompatibilidad?
La identificación de una incompatibilidad de por sí no implica que el riesgo se haya materializado. Sin embargo, ante esta situación hay que verificar si efectivamente la actividad fue ejecutada o no.
En algunos ERP esto es posible a través de la verificación de la tabla de Log de transacciones en la cuales podemos verificar si el usuario, con independencia de poseer acceso a realizar una determinada actividad, efectivamente la llevó a cabo.
Pero además hay que considerar otros factores como la existencia de controles manuales dentro del proceso que pueden eliminar el riesgo descripto o mitigarlo.
Del Autor: Javier Fernando Klus (Buenos Aires – Argentina), Gerente de Auditoría de una firma internacional de auditoría, especialista en Auditoría Interna, Control Interno, Auditoría, Evaluación de Riesgos, Riesgo Financiero, SOX, Gestión de Riesgo, Gestión de Proyectos, Riesgo Operacional. (Universidades Pontificia Universidad Católica Argentina, Instituto de Auditores Internos, Universidad Politécnica de Madrid, Universidad Argentina de la Empresa). Colaborador de Auditool
Tomado de: https://www.portafolio.co/opinion/blogs/buenas-practicas-auditoria-y-control-interno-las-organizaciones/como-mejorar-el-cont-0
