Cerrar Menú
Las opiniones de los blogueros son de su estricta responsabilidad y no representan la opinión de este portal.
Profile image

Ingrese o regístrese acá para seguir este blog.

Seguir este blog

Por: Javier Fernando Klus  – Licenciado en Administración de Empresas – MBA – CIA – Buenos Aires – Argentina

La Segregación de Funciones es uno de los temas más comprometidos al momento de encarar una revisión de control interno; básicamente por el carácter “pervasivo” del que reviste este concepto dentro del esquema existente en la organización.

Para poder realmente ponderar este impacto, es necesario tener en consideración que al hablar de la Segregación de Funciones muchas veces se consideran dos conceptos, relacionados entre sí, pero no similares:

Accesos críticos: al realizar un análisis de este tipo, se consideran determinadas actividades, que, por su importancia o impacto (operativo y/o financiero), justifican que se encuentren restringidas y asignadas a un número reducido de usuarios con conocimientos del proceso en el cual estas actividades impactan.

Por ejemplo, una compañía tiene una actividad en su ciclo contable relacionada con la apertura/cierre del período contable, que tiene un gran impacto para la empresa, dado que si un usuario inexperto abriera los períodos contables y realizara contabilizaciones en un mes o año distinto del actual, como riesgo asociado tendríamos la posibilidad de registrar operaciones en períodos incorrectos. Además, también impacta en la aserción de Corte.

Por esta razón, la actividad de apertura/cierre de períodos contables debería encontrarse restringida a un número limitado de usuarios, asociados al sector de contabilidad o relacionados con el proceso.

Por lo tanto, los accesos críticos son un aspecto importante cuando consideramos el esquema de segregación de funciones de una compañía, pero su impacto no está directamente relacionado con posibles acciones de fraude, sino más bien, a errores (intencionales o no) cuyo impacto igualmente puede ser contable u operativo.

Segregación de Funciones: el concepto se refiere al análisis de determinadas actividades que deben encontrarse separadas de otras, dado el riesgo que implica que una misma persona las concentre.

El principio básico al momento de definir este esquema es que las actividades relacionadas con un ciclo en particular deberían encontrarse asignadas a la mayor cantidad de personas posibles, de tal forma que ninguna pudiera ejecutar el ciclo completo ni la mayoría de las actividades asociadas a ese proceso.

Por ejemplo, suponiendo que hay que encarar el análisis y diseño de segregación de funciones para el ciclo de Compras/Cuentas a Pagar, habría que definir las siguientes actividades:

1) Generación de la Orden de Compra.

2) Aprobación de la Orden de Compra.

3) Recepción de los Bienes Servicios.

4) Recepción de las Facturas de los Proveedores.

5) Aprobación de las Facturas de los Proveedores.

Bajo un esquema estricto de segregación de funciones todas estas actividades deberían encontrarse asignadas a usuarios distintos, de tal forma de impedir cualquier tipo de acción que redunde en un fraude para la compañía.

La criticidad de los pares incompatibles

Ahora bien, al momento de definir las incompatibilidades, hay que tener en cuenta la criticidad del par analizado. En otras palabras, dentro del análisis de segregación de funciones hay casos de incompatibilidades mucho más importantes que otros, por lo que es importante tenerlos ponderados.

En este sentido, en el ejemplo anterior se pueden definir dos tipos de pares de incompatibilidad:

– El que genera la orden de Compra no puede aprobarla.

– El que genera la orden de Compra no puede recibir las facturas.

Ambos pares son relevantes pero, al analizar más en profundidad, el primer par tiene una mayor criticidad que el segundo ya que se trata de dos actividades del ciclo que están relacionadas, porque una es precedente de la otra.

Entonces, si una persona tuviera la posibilidad de generar las órdenes de compra y también aprobarlas; la posibilidad de detectar que las compras realizadas son correctas, se vería muy comprometida, debido a que las actividades siguientes lo único que aseguran es que la recepción se haya realizado por las cantidades correctas o bien que el proveedor facture las cantidades y precios acordados. Pero el cuestionamiento de si la compra ha sido realizada al proveedor correcto, si se pidió algo que realmente se necesita o si los precios acordados son apropiados, no se estaría realizando.

Controles asociados para prevenir el fraude

En cuanto al segundo par de incompatibilidad, aunque en teoría, en un apropiado esquema de segregación de funciones, la función de Compras no debería estar asociada con otras como la de Cuentas a Pagar, ni ésta debería realizar actividades operativas como generar Órdenes de Compra, existen algunos controles asociados que, en el caso que sean realizados por otro usuario, impedirían la realización de cualquier fraude, veamos cuales son los mismos:

Asignar la función de aprobación de las órdenes de compra en otra persona, o bien en unacadena de aprobación: de esta forma, por más que un comprador genere una orden de compra en principio no autorizada, debería ser detectada en esta instancia.

Asignar la función de recepción de Bienes y Servicios a otro usuario: así las cantidades recibidas deberían ser las exactas o convenidas en la Orden de Compra. Dada la lógica utilizada por la mayoría de los ERP (Enterprise Resource Planning) actuales, es casi seguro que si se ingresara una factura por una cantidad mayor a la recibida, ésta se bloquearía, requiriendo algún tipo de aprobación (a través de una cadena de liberación, etc.).

Asignar la función de Aprobación de facturas a otro usuario: por más que el usuario pudiera ingresar la factura al sistema, existirá así una instancia posterior de análisis y aprobación de la misma.

¿Cómo actuar frente a una incompatibilidad?

La identificación de una incompatibilidad de por sí no implica que el riesgo se haya materializado. Sin embargo, ante esta situación hay que verificar si efectivamente la actividad fue ejecutada o no.

En algunos ERP esto es posible a través de la verificación de la tabla de Log de transacciones en la cuales podemos verificar si el usuario, con independencia de poseer acceso a realizar una determinada actividad, efectivamente la llevó a cabo.

Pero además hay que considerar otros factores como la existencia de controles manuales dentro del proceso que pueden eliminar el riesgo descripto o mitigarlo.

(Visited 11 times, 1 visits today)

Etiquetas

PERFIL
Profile image

Auditool.org, es una red de conocimientos especializada en temas de auditoría y control interno, creada para permitir la transferencia de conocimiento de buenas prácticas a profesionales que laboran en estas áreas.

    Siga a este bloguero en sus redes sociales:

Más posts de este Blog

Ver más

Lo más leído en Blogs

1

Construir tu propio ordenador a partir de componentes individuales de PC tiene(...)

2

Cada día reafirmó la idea de que el poder habita dentro de(...)

3

Continuando con nuestro estudio del análisis fundamental, seguimos con el tema de(...)

0 Comentarios
Ingrese aquí para que pueda comentar este post
Reglamento de comentarios

PORTAFOLIO no se responsabiliza por el uso y tratamiento que los usuarios le den a la información publicada en este espacio de recomendaciones, pero aclara que busca ser la sombrilla de un espacio donde el equilibrio y la tolerancia sean el eje. En ese camino, disponemos de total libertad para eliminar los contenidos que:

  1. Promuevan mensajes tipo spam.
  2. El odio ante una persona o comunidad por su condición social, racial, sexual, religiosa o de situación de discapacidad.
  3. Muestren o impulsen comportamientos o lenguajes sexualmente explícitos, violentos o dañinos.
  4. Vulneren o atenten contra los derechos de los menores de edad.

Además, tenga en cuenta que:

  • - El usuario registrado solo podrá hacer un voto por comentario.
Acepto
¿Encontró un error?

Para PORTAFOLIO las observaciones sobre su contenido son importantes. Permítanos conocerlas para, si es el caso, tomar los correctivos necesarios, o darle trámite ante las instancias pertinentes dentro de nuestra compañía.


Debes escribir el comentario
¡Gracias! Tu comentario ha sido guardado
Su calificación ha sido registrada.
Su participación ya fue registrada.
Haga su reporte
Cerrar
Debe escribir su reporte.
Su reporte ha sido enviado con éxito.
Debe ser un usuario registrado para poder reportar este comentario. Cerrar