Artículos de Interés

Segregación de funciones: Aspectos para un esquema apropiado
Segregación de funciones: Aspectos para un esquema apropiado

Segregación de funciones: Aspectos para un esquema apropiado

Fecha:24/03/2014 | Revista: Info Pluss | Edición: MAR/2014

Un adecuado control interno en las organizaciones favorece el desarrollo de las actividades y procedimientos garantizando de esta manera que los procesos se realicen de manera eficaz y eficiente. Ahora bien, uno de los temas más comprometidos al momento de encarar una revisión de control interno es el capítulo relacionado con la segregación de funciones.

Este aspecto no es menor a la hora de considerar el marco de control interno de una compañía, básicamente por el carácter general que tiene la definición de segregación de funciones dentro de todo el esquema de control. ¿Qué significa esto? Que la segregación de funciones no tiene un impacto directo sobre un control y/o sector en particular, sino que afecta múltiples ciclos del negocio.

Cuando hablamos de segregación de funciones muchas veces tendemos a considerar dos conceptos, relacionados entre sí, pero no similares:

-Accesos críticos: al realizar un análisis de accesos críticos (físicos o lógicos), estamos considerando determinadas actividades cuya importancia o impacto, justifican que se encuentren restringidas y asignadas a un número reducido de usuarios con conocimientos del proceso en que tales actividades impactan.

Pongamos un ejemplo para entender el concepto. Una compañía, entre sus varias actividades dentro del ciclo contable, tiene una relacionada con apertura/cierre del período contable. Esta actividad puede registrarse en un sistema de gestión, como una transacción en particular o menú de sistema que permiten ejecutar la misma.

Esta actividad tiene un gran impacto contable para la compañía, dado que si un usuario inexperto abriera los períodos contables y permitiera, por ejemplo, realizar contabilizaciones en un mes anterior al actual, o bien en un año distinto al actual, como riesgo asociado tendríamos la posibilidad de contabilizar operaciones en períodos incorrectos. Contablemente este riesgo está impactando en la aserción de corte. Por esta razón, la actividad de apertura/cierre de períodos contables debería encontrarse restringida a un número limitado de usuarios, asociados al sector de contabilidad (en principio) y relacionados con el proceso.

Por lo tanto los accesos críticos un aspecto importante cuando consideramos el esquema de segregación de funciones de una compañía, pero su impacto no está directamente relacionado con posibles acciones de fraude, sino más bien con errores (intencionales o no) cuyo impacto podría ser tanto financiero como operativo.

-Segregación de Funciones: comúnmente, cuando hablamos de definir un esquema de segregación de funciones, el concepto que viene a la mente es el análisis de determinada actividad que debe encontrarse separada de otra, dado el riesgo que implica que una misma persona concentre ambas.

El principio básico al momento de definir este esquema, es que las actividades relacionadas con un ciclo en particular deberían encontrarse asignadas a la mayor cantidad de personas posibles, de tal forma que en principio ninguna persona pudiera ejecutar el ciclo completo, o bien la mayoría de las actividades asociadas a ese ciclo. Un ejemplo de este razonamiento sería el siguiente:

Supongamos que tenemos que encarar el análisis y diseño de segregación de funciones para el ciclo de compras /cuentas a pagar. Dentro de este ciclo podemos estar definiendo las siguientes actividades:

- Generación de la orden de compra

- Aprobación de la orden de compra

- Recepción de los bienes servicios

- Recepción de las facturas de los proveedores

- Aprobación de las facturas de los proveedores

Bajo un esquema estricto de segregación de funciones todas estas actividades deberían encontrarse asignadas a usuarios distintos, de manera de impedir cualquier tipo de acción que redunde en un fraude para la compañía.

Ahora bien, al momento de definir los pares de incompatibilidades a ser analizadas, también tenemos que tener en cuenta la criticidad de cada par analizado. Esto significa que, dentro del análisis de segregación de funciones, hay casos de incompatibilidades mucho más importantes que otros, y debemos tener entonces ponderados los mismos, dado que el potencial impacto de una determinada incompatibilidad puede diferir dada su criticidad.

Supongamos que hemos definido dos tipos de pares de incompatibilidad:

- El que genera la orden de compra no puede aprobarla

- El que genera la orden de compra no puede recibir las facturas

Ambos pares son relevantes, pero si hacemos un análisis más profundo el primer par tiene una mayor criticidad que el segundo.

En el primer caso, dos actividades del ciclo que están relacionadas, dado que una es precedente de la otra, están asociadas al mismo usuario. Si una persona tuviera la posibilidad de generar las órdenes de compra y también aprobarlas, la posibilidad de detectar que las compras realizadas sean correctas, se vería muy comprometida, debido a que las actividades siguiente lo único que aseguran es que la recepción se haya realizado por las cantidades correctas o bien que el proveedor facture las cantidades y precios acordados. Pero en este esquema, el cuestionamiento de si la compra haya sido realizada al proveedor correcto, que lo que se pide realmente se necesite, o bien que los precios acordados sean apropiados, no se estaría detectando.

En el segundo par de incompatibilidad, un usuario podría estar generando órdenes de compra y finalmente ingresando la factura del mismo en el sistema, y tal vez evitando chequeos de razonabilidad (precio, cantidad) propios de la función de cuentas a pagar. Ahora bien, lo que dicen los libros con respecto a un apropiado esquema de segregación de funciones, es que la función de compras no debe estar asociada con otras funciones, como ser cuentas a pagar. Por otra parte, cuentas a pagar no debería estar realizando actividades operativas como ser generar órdenes de compra. Pero si analizamos este par de incompatibilidad vemos algunos controles asociados que, en caso de que sean realizados por otro usuario, impedirían la realización de cualquier fraude. Veamos cuales son los mismos:

- La función de aprobación de las órdenes de compra se encuentra asignada a otra persona, o bien existe una cadena de aprobación: De esta forma, por más que un comprador genere una orden de compra en principio no autorizada, debería ser detectada en esta instancia de aprobación;

- La función de recepción de bienes y servidos se encuentra asignada a otro usuario: de esta forma las cantidades recibidas deberían ser las exactas o convenidas en la orden de compra. Dado la lógica utilizada por la mayoría de los ERP actuales, es casi seguro que si se ingresara una Factura por una cantidad facturada mayor que la recibida, esta factura se bloquearía, requiriendo de esta forma algún tipo de aprobación (a través de una cadena de liberación, etc.);

- La función de aprobación de facturas se encuentra asignada a otro usuario: de esta forma, por más que el usuario pueda ingresar la factura al sistema, existirá una instancia posterior de análisis y aprobación de la misma.

Como vemos en el ejemplo anterior, la definición de pares de incompatibilidades debe estar acompañada de un análisis de criticidad a los fines de enfocar nuestro esfuerzo de análisis en los pares considerados “críticos”, los cuales tienen un impacto relevante en el marco de control interno.

Otro de los aspectos importantes a considerar, es qué hacer una vez detectada la incompatibilidad. Es importante destacar que la identificación de una incompatibilidad de por sí, no implica que el riesgo se haya materializado. Es más, uno de los aspectos a considerar una vez detectada la incompatibilidad es verificar si efectivamente la actividad fue ejecutada o no. En algunos ERP esto es posible a través de la verificación de las tablas de Log de transacciones, en la cuales podemos verificar si el usuario, con independencia de poseer acceso a realizar una determinada actividad, efectivamente la realizó. Esto es un aspecto importante a considerar, dado que con este análisis estamos comprobando si el riesgo potencial descripto efectivamente se materializó. Pero con independencia de este análisis, existen otros factores que deben ser considerados, como por ejemplo la existencia de controles manuales dentro del proceso que puedan eliminar el riesgo descripto o bien mitigarlo – Por control mitigante entendemos al control que no elimina en su totalidad el riesgo detectado, pero que lo acota de tal forma que los efectos sean limitados. Por ejemplo, un control de razonabilidad o análisis de órdenes de compra por encima de un determinado monto, precisamente cumple esta función. No evita que se generen órdenes de compra de forma no autorizada, pero acota el riesgo, dado que las órdenes de compra de un monto mayor tendrán un análisis manual de un superior, a través un reporte o instrumento similar.

Como resumen de lo expuesto, en un análisis del esquema de segregación de funciones de una compañía debemos tener en cuenta los siguientes aspectos:

- Tener en consideración no sólo la segregación de funciones sino también el acceso a transacciones críticas;

- Debemos definir la criticidad de los pares de incompatibilidades a fin de concentrar nuestro esfuerzo y análisis en las más críticas;

- Finalmente, a los fines de concluir de forma cierta sobre una incompatibilidad, debemos analizar si la misma efectivamente se materializó, y el grado de cobertura de los controles manuales identificados.

Fuente: Guadalupe Quiroga

Ultimas revistas

VER TODOS LOS ARTICULOS

Servicios ofrecidos