Fraudes y Segregación de funciones Por: José Luis Najarro, Director de Advisory de KPMG en Perú Febrero 2015 Los escándalos de fraude son por lo general la “punta del iceberg” de las fallas visibles que existen en una empresa o institución. Cuando el fraude se descubre, es probable que ya se hayan producido varias incidencias de forma recurrente y por varios años. El fraude es un fenómeno mundial que afecta a todos los continentes y a todos los sectores de la economía y se produce cuando individuos con falta de ética manipulan o influencian las actividades de un negocio con la intención de hacer dinero u obtener bienes de forma ilegal o de manera injusta. En el Perú, las empresas también son víctimas de eventos de fraude y según una encuesta realizada por la consultora KPMG el año 2012, más del 63% de los ejecutivos manifestó que sus compañías fueron víctimas de fraude. Los casos de fraude reportados con mayor frecuencia son: fraude contra los activos (43%), corrupción (30%), robo de información confidencial (14%), falsificación de informes y documentos (13%). Asimismo, los fraudes pueden ser de distintos tipos, y en la misma encuesta se determinó cuáles eran los de mayor incidencia, como se muestra en el siguiente cuadro: Ante esta realidad, las empresas buscan protegerse a través de métodos efectivos que les permitan controlar o mitigar los eventos de fraude y por eso es importante saber el origen de estos eventos. Según las estadísticas, el 60% de los casos de fraude se originan por una inadecuada o inexistente política de control interno y una limitada separación o segregación de funciones, esto significa que en procesos claves de la empresa, la concentración de poder en una sola persona para ejecutar todo tipo de tareas sin una adecuada supervisión o control, origina que el riesgo de fraude se materialice. Una empresa que es consciente de este riesgo, realiza primero una revisión de sus procesos críticos y en cada uno de ellos identifica los posibles riesgos de fraude, por ejemplo, en el proceso de compras, si los compradores tienen acceso a crear un nuevo proveedor, registrar una solicitud de compra y creación de una orden de compra, tendrían la libertad para crear un proveedor ficticio y comprar a nombre de la compañía a este proveedor. Lo mismo ocurre en finanzas, si un analista tiene acceso a registrar las facturas, aprobar el pago y ejecutar el pago, existe un riesgo alto de direccionar los pagos a facturas a un proveedor que no exista o que esté coludido con el analista para cometer un fraude. En general todo proceso podría segregarse en seis tareas principales que son: 1) El registro de los documentos 2) La aprobación de los documentos 3) La custodia de los activos o bienes 4) El monitoreo a través de la revisión de los reportes gerenciales 5) La creación de los catálogos maestros (clientes, proveedores, empleados, etc.) y 6) La parametrización o modificación de los sistemas En este punto, puede surgir la preocupación acerca si el proceso cuenta con suficiente cantidad de personas para poder asignar a cada una de ellas una responsabilidad diferente para mitigar el riesgo de fraude y la realidad es que en muchos casos no es suficiente y no se va a contratar más personas, porque esto afectaría los costos de la compañía. En este sentido, los responsables del proceso tienen que tomar una decisión acerca del riesgo que pueden asumir y los controles compensatorios que deben implementar en el proceso. En términos de riesgo, se debe analizar cuáles de las funciones se asignarán a la misma persona, por ejemplo, si la persona puede ejecutar la mayoría o todas las funciones del proceso, el riesgo es alto, pero si algunas de estas funciones, como la aprobación, la custodia del bien o la revisión permanente están delegadas en personas diferentes, el riesgo disminuye. Un método efectivo para analizar qué funciones no deberían recaer sobre la misma persona o el mismo rol, es diseñar una matriz de reglas que establece las funciones “incompatibles” o que representan un riesgo si se agrupan y asignan a una misma persona. En esta matriz se establece todas las funciones del proceso y en el cruce de cada una de ellas se marcan como conflictos aquellas que son riesgosas si recaen sobre la misma persona. Considerando que hoy todas las actividades se registran en sistemas de información y las personas tienen accesos a través de perfiles o roles para el uso del mismo, se debe seguir un protocolo o procedimiento que incluya la revisión de la matriz de segregación de funciones en el momento de la asignación del rol en el sistema. Muchas empresas han implementado sus sistemas de información llamados “ERP” sin tomar en cuenta los controles que garantizan una adecuada segregación de funciones, y en revisiones de auditoría se encuentran usuarios que tienen acceso a todas las transacciones del sistema. En el siguiente gráfico se muestra la cantidad de conflictos encontrados en compañías de diferentes sectores y que varía según el tamaño de la empresa y la cantidad de procesos que utilizan. Si la empresa es consciente que tiene un riesgo de fraude y no ha tomado acciones para mitigar este riesgo, se recomienda que realice un diagnóstico de su situación actual para conocer la cantidad de conflictos que existen en su organización y la criticidad de los mismos. Como siguiente paso, debe tomar acciones para la solución de los mismos que pueden ser algunas de las siguientes que se aplican en estos proyectos de mejora: Rediseñar los roles de acceso en el sistema Modificar la asignación de usuarios a los roles del sistema Rediseñar el proceso de negocio Reestructurar las responsabilidades por puestos de trabajo Implementar controles de mitigación Realizar controles preventivos automáticos para evitar la aparición de nuevos conflictos En un proyecto de mejora de segregación de funciones es importante el compromiso de la alta dirección y que se establezca una cultura de prevención del riesgo para que cada dueño de proceso asuma la responsabilidad y contribuya al control de los mismos.