Identificarse


0
Comparte:

Ratio: 5 / 5

Inicio activadoInicio activadoInicio activadoInicio activadoInicio activado
 

Encontrarán en este artículo una breve descripción de los aspectos fundamentales que deben ser considerados al momento de encarar un proceso de análisis de Segregación de Funciones.

Uno de los temas más comprometidos al momento de encarar una revisión de control interno es el capítulo relacionado con Segregación de funciones; este aspecto es no menor a la hora de considerar el marco de control interno de una compañía, básicamente por el carácter “pervasivo” que tiene la definición de Segregación de funciones dentro de todo el esquema de control. ¿Que significa esto?, que la segregación de funciones no tiene un impacto directo sobre un control y/o sector en particular, sino que su impacto es Cross-Ciclo.

No obstante ello, es necesario tener en consideración algunos aspectos iniciales de comprensión, antes de encarar el tema.Cuando hablamos de Segregación de Funciones muchas veces tendemos a considerar dos conceptos, relacionados entre si, pero no similares:


Accesos críticos: Al realizar un análisis de accesos críticos, estamos considerando determinadas actividades, las cuales dado su importancia o impacto (operativo y/o financiero), justifican que se encuentren restringidas y asignadas a un número reducido de usuarios con conocimientos del proceso en el cual estas actividades impactan.

Pongamos un ejemplo para entender el concepto. Una compañía entre sus varias actividades dentro del ciclo contable, tiene una relacionada con apertura/cierre del período contable, esta actividad puede estar traducida en cualquier sistema de gestión, como una transacción en particular o menú de sistema que permiten ejecutar la misma.

Esta actividad tiene un gran impacto contable para la compañía, dado que si un usuario inexperto abriera los períodos contables y permitiera por ejemplo, realizar contabilizaciones en un mes anterior al actual o bien un año distinto al actual, como riesgo asociado tendríamos la posibilidad de contabilizar operaciones en períodos incorrectos. Contablemente este riesgo está impactando en la aserción de Corte. Por esta razón la actividad de Apertura/Cierre de períodos contables debería encontrarse restringida a un número limitado de usuarios, asociados al sector de contabilidad (en principio) y relacionados con el proceso.

Por lo tanto los accesos críticos es un aspecto importante cuando consideramos el esquema de segregación de funciones de una compañía, pero su impacto no está directamente relacionados con posibles acciones de fraude, sino más bien, a errores (intencionales o no) cuyo impacto igualmente puede ser contable o bien operativo.

Segregación de Funciones: Comúnmente cuando hablamos de definir un esquema de segregación de funciones, el concepto que viene la mente es el análisis de determinadas actividades que deben encontrarse segregadas de otras actividades dado el riesgo que implica que una misma persona concentre ambas.

El principio básico al momento de definir este esquema, es que las actividades relacionadas con un ciclo en particular deberían encontrarse asignadas a la mayor cantidad de personas posibles, de tal forma que en principio ninguna persona pudiera ejecutar el ciclo completo o bien la mayoría de las actividades asociadas a ese ciclo. Un ejemplo de este razonamiento sería el siguiente:

Supongamos que tenemos que encarar el análisis y diseño de segregación de funciones para el ciclo de Compras/ Cuentas a Pagar. Dentro de este ciclo podemos estar definiendo las siguientes actividades:

-   Generación de la Orden de Compra
-   Aprobación de la Orden de Compra
-   Recepción de los Bienes Servicios
-   Recepción de las Facturas de los Proveedores
-   Aprobación de las Facturas de los Proveedores

Bajo un esquema estricto de segregación de funciones todas estas actividades deberían encontrarse asignadas a usuarios distintos, de tal forma de impedir cualquier tipo de acción que redunde en un fraude para la compañía.

Ahora bien, al momento de definir los pares de incompatibilidades a ser analizadas, también tenemos que tener en cuenta la criticidad del par analizado, esto significa que dentro del análisis de segregación de funciones hay casos de incompatibilidades mucho más importantes que otros, y debemos tener entonces ponderados los mismos, dado que el potencial impacto de una determinada incompatibilidad puede diferir dado su criticidad.

Supongamos que hemos definido dos tipos de pares de incompatibilidad:

-   El que genera la orden de Compra no puede aprobarla
-   El que genera la orden de Compra no puede recibir las facturas

Ambos pares son relevantes, pero si hacemos un análisis más en profundidad el primer par tiene una mayor criticidad que el segundo.

En el primer caso, dos actividades del ciclo que están relacionadas, dado que una es precedente de la otra están asociadas al mismo usuario. Si una persona tuviera la posibilidad de Generar las Órdenes de Compra y también aprobarlas; la posibilidad de detectar que las compras realizadas son correctas, se vería muy comprometida, debido a que las actividades siguiente lo único que aseguran es que la recepción se haya realizado por las cantidades correctas o bien que el proveedor facture las cantidades y precios acordados. Pero en este esquema el cuestionamiento de si la compra ha sido realizada al proveedor correcto, que lo que se pide realmente se necesita o bien que los precios acordados son apropiados, no se estaría detectando.

En el segundo par de incompatibilidad, un usuario podría estar generando Ordenes de Compra (supongamos a un proveedor amigo) y finalmente ingresando la factura del mismo en el sistema, y tal vez evitando chequeos de razonabilidad (precio cantidad) propios de la función de Cuentas a Pagar. Ahora bien, lo que dicen los libros con respecto a un apropiado esquema de segregación de funciones, es que la función de Compras no debe estar asociada con otras funciones, como ser Cuentas a Pagar. Por el otro lado Cuentas a Pagar no debería estar realizando actividades operativas como ser Generar Órdenes de Compra. Pero si analizamos este par de incompatibilidad vemos algunos controles asociados que, en el caso que sean realizados por otro usuario, impedirían la realización de cualquier fraude, veamos cuales son los mismos:

-  La función de aprobación de las Ordenes de Compra se encuentra asignada en otra persona, o bien existe una cadena de aprobación: De esta forma por más que un comprador genere una Orden de Compra en principio no autorizada, debería ser detectada en esta instancia de aprobación;

-  La función de recepción de Bienes y Servidos se encuentra asignada a otro usuario: De esta forma las cantidades recibidas deberían ser las exactas o convenidas en la Orden de Compra. Dado la lógica utilizada por la mayoría de los ERP actuales, es casi seguro que si se ingresara una Factura por una cantidad facturada mayor a la recibida, esta factura se bloquearía, requiriendo de esta forma algún tipo de aprobación (a través de una cadena de liberación, etc.);

-  La función de Aprobación de facturas se encuentra asignada a otro usuario: de esta forma por más que el usuario pueda ingresar la factura al sistema existirá una instancia posterior de análisis y aprobación de la misma.

Como vemos en el ejemplo anterior la definición de pares de incompatibilidades debe estar acompañada de un análisis de criticidad a los fines de enfocar nuestro esfuerzo de análisis en los pares considerados “critico” los cuales tienen un impacto relevante en el marco de control interno.

Otro de los aspectos importantes a considerar, es que hacer una vez detectada la incompatibilidad. Es importante destacar que la identificación de una incompatibilidad de por si no implica que el riesgo se haya materializado, es más, uno de los aspectos a considerar una vez detectada la incompatibilidad es verificar si efectivamente la actividad fue ejecutada o no.

En algunos ERP esto es posible a través de la verificación de la tabla de Log de transacciones en la cuales podemos verificar si el usuarios, con independencia de poseer acceso a realizar una determinada actividad, efectivamente la realizó. Esto es un aspecto importante a considerar, dado que con este análisis estamos comprobando si el riesgo potencial descripto efectivamente se materializó. Pero con independencia de este análisis, existen otros factores que deben ser considerados, como por ejemplo la existencia de controles manuales dentro del proceso que pueden eliminar el riesgo descripto o bien mitigarlo – Por control mitigante entendemos al control que no elimina en su totalidad el riesgo detectado, pero que lo acota de tal forma que los efectos sean limitados; por ejemplo un control de razonabilidad o análisis de Ordenes de Compra por encima de un determinado monto, precisamente cumple esta función. No evita que se generen Órdenes de Compra de forma no autorizada, pero acota el riesgo, dado que las Órdenes de Compra de un monto superior tendrán un análisis manual de un superior, a través un reporte o instrumento similar.

Como resumen de todo lo expuesto, en un análisis del esquema de segregación de funciones de una compañía debemos tener en cuenta los siguientes aspectos:

-  Tener en consideración no solo Segregación de Funciones sino también el acceso a Transacciones críticas;
-  Debemos definir la criticidad de los pares de incompatibilidades a fin de centralizar nuestro esfuerzo y análisis en las más críticas;
-  Finalmente, a los fines de concluir de forma cierta sobre una incompatibilidad, debemos estar analizando si la incompatibilidad efectivamente se materializó y el grado de cobertura de los controles manuales identificados.

Javier Fernando Klus

Gerente de Consultoría de PricewaterhouseCoopers – Buenos Aires – Argentina

Licenciado en Administración de Empresas – MBA - CIA 

www.portalcontar.com.ar 


Regístrese para que pueda comentar este documento

Auditool.org

Como miembro de Auditool accedes a Cursos Virtuales de Auditoría y Control Interno CPE, y a una completa Caja de Herramientas de Auditoría, permitiendo mejorar las habilidades de los Auditores, ahorrando tiempo y recursos, y creando y protegiendo valor en las organizaciones.

lateralG3.2