Fraudes y Segregación de funciones

Fraudes y Segregación de funciones
Por: José Luis Najarro, Director de Advisory de KPMG en Perú
Febrero 2015
Los escándalos de fraude son por lo general la “punta del iceberg” de las fallas visibles
que existen en una empresa o institución. Cuando el fraude se descubre, es probable
que ya se hayan producido varias incidencias de forma recurrente y por varios años.
El fraude es un fenómeno mundial que afecta a todos los continentes y a todos los
sectores de la economía y se produce cuando individuos con falta de ética manipulan
o influencian las actividades de un negocio con la intención de hacer dinero u obtener
bienes de forma ilegal o de manera injusta.
En el Perú, las empresas también son víctimas de eventos de fraude y según una
encuesta realizada por la consultora KPMG el año 2012, más del 63% de los
ejecutivos manifestó que sus compañías fueron víctimas de fraude. Los casos de
fraude reportados con mayor frecuencia son: fraude contra los activos (43%),
corrupción (30%), robo de información confidencial (14%), falsificación de informes y
documentos (13%).
Asimismo, los fraudes pueden ser de distintos tipos, y en la misma encuesta se
determinó cuáles eran los de mayor incidencia, como se muestra en el siguiente
cuadro:
Ante esta realidad, las empresas buscan protegerse a través de métodos efectivos que
les permitan controlar o mitigar los eventos de fraude y por eso es importante saber el
origen de estos eventos. Según las estadísticas, el 60% de los casos de fraude se
originan por una inadecuada o inexistente política de control interno y una limitada
separación o segregación de funciones, esto significa que en procesos claves de la
empresa, la concentración de poder en una sola persona para ejecutar todo tipo de
tareas sin una adecuada supervisión o control, origina que el riesgo de fraude se
materialice.
Una empresa que es consciente de este riesgo, realiza primero una revisión de sus
procesos críticos y en cada uno de ellos identifica los posibles riesgos de fraude, por
ejemplo, en el proceso de compras, si los compradores tienen acceso a crear un
nuevo proveedor, registrar una solicitud de compra y creación de una orden de
compra, tendrían la libertad para crear un proveedor ficticio y comprar a nombre de la
compañía a este proveedor. Lo mismo ocurre en finanzas, si un analista tiene acceso
a registrar las facturas, aprobar el pago y ejecutar el pago, existe un riesgo alto de
direccionar los pagos a facturas a un proveedor que no exista o que esté coludido con
el analista para cometer un fraude.
En general todo proceso podría segregarse en seis tareas principales que son:
1) El registro de los documentos
2) La aprobación de los documentos
3) La custodia de los activos o bienes
4) El monitoreo a través de la revisión de los reportes gerenciales
5) La creación de los catálogos maestros (clientes, proveedores, empleados, etc.) y
6) La parametrización o modificación de los sistemas
En este punto, puede surgir la preocupación acerca si el proceso cuenta con suficiente
cantidad de personas para poder asignar a cada una de ellas una responsabilidad
diferente para mitigar el riesgo de fraude y la realidad es que en muchos casos no es
suficiente y no se va a contratar más personas, porque esto afectaría los costos de la
compañía. En este sentido, los responsables del proceso tienen que tomar una
decisión acerca del riesgo que pueden asumir y los controles compensatorios que
deben implementar en el proceso. En términos de riesgo, se debe analizar cuáles de
las funciones se asignarán a la misma persona, por ejemplo, si la persona puede
ejecutar la mayoría o todas las funciones del proceso, el riesgo es alto, pero si algunas
de estas funciones, como la aprobación, la custodia del bien o la revisión permanente
están delegadas en personas diferentes, el riesgo disminuye.
Un método efectivo para analizar qué funciones no deberían recaer sobre la misma
persona o el mismo rol, es diseñar una matriz de reglas que establece las funciones
“incompatibles” o que representan un riesgo si se agrupan y asignan a una misma
persona. En esta matriz se establece todas las funciones del proceso y en el cruce de
cada una de ellas se marcan como conflictos aquellas que son riesgosas si recaen
sobre la misma persona.
Considerando que hoy todas las actividades se registran en sistemas de información y
las personas tienen accesos a través de perfiles o roles para el uso del mismo, se
debe seguir un protocolo o procedimiento que incluya la revisión de la matriz de
segregación de funciones en el momento de la asignación del rol en el sistema.
Muchas empresas han implementado sus sistemas de información llamados “ERP” sin
tomar en cuenta los controles que garantizan una adecuada segregación de funciones,
y en revisiones de auditoría se encuentran usuarios que tienen acceso a todas las
transacciones del sistema. En el siguiente gráfico se muestra la cantidad de conflictos
encontrados en compañías de diferentes sectores y que varía según el tamaño de la
empresa y la cantidad de procesos que utilizan.
Si la empresa es consciente que tiene un riesgo de fraude y no ha tomado acciones
para mitigar este riesgo, se recomienda que realice un diagnóstico de su situación
actual para conocer la cantidad de conflictos que existen en su organización y la
criticidad de los mismos. Como siguiente paso, debe tomar acciones para la solución
de los mismos que pueden ser algunas de las siguientes que se aplican en estos
proyectos de mejora:






Rediseñar los roles de acceso en el sistema
Modificar la asignación de usuarios a los roles del sistema
Rediseñar el proceso de negocio
Reestructurar las responsabilidades por puestos de trabajo
Implementar controles de mitigación
Realizar controles preventivos automáticos para evitar la aparición de nuevos
conflictos
En un proyecto de mejora de segregación de funciones es importante el compromiso
de la alta dirección y que se establezca una cultura de prevención del riesgo para que
cada dueño de proceso asuma la responsabilidad y contribuya al control de los
mismos.