Como Mejorar el control

interno por medio de la

Segregación de Funciones
Mayo 2018
Agenda
• Introducción al Concepto de SoD
• Segregación de funciones y Accesos Críticos:
Importancia/diferencias
• Ejemplo de Segregación de Funciones en un Ciclo de Negocio
• Diseño de una Matriz de Incompatibilidades
• Determinación de los pares de incompatibilidades críticos.
Como actuar ante una incompatibilidad
• Preguntas
¿Porqué estoy
aquí?
 Javier Fernando Klus
• Senior Manager con más de 16 años de Experiencia en Control
Interno
• Especialista en evaluación de Riesgos, Control Interno, Auditoría
(interna y operativa) y mejora de procesos.
• Participación en diversos proyectos SoX.
• Licenciado en Administración (UADE) y MBA por la Universidad
Presentación Politécnica de Madrid.
del Exponente • Certified Internal Auditor (CIA).
• Programa de Formación Ejecutiva (PFE) dictado por la
Universidad de San Andrés y Diplomatura en Project
Management (UCA).
• Profesor de Post-grado de la USAL y profesor invitado de la
UADE.
• Posee artículos publicados en diversas publicaciones de
Argentina y España.
 Riesgo Alguna deficiencia material?
Inherente
Yes

Riesgo de Detectada por los controles?

Componentes Control
del Marco de No

Control Riesgo de Detectado por nuestro Auditor?

Detección
No

Riesgo de Opinión Errónea

Auditoría
 Activity level
Company level Gerencia controls
controls
Controles clave (por su impacto en
Conjunto de elementos que contribuyen a los reportes financieros) que se
crear una cultura de control interno dentro de encuentran insertos en los procesos
la organización. Ejemplos: de la compañía. Estos incluyen:

Proceso de

Proceso de
Compras
Finanzas

Comercial

Industrial
Proceso
Función de auditoria interna independiente

Proceso
 Autorizaciones
Políticas de contratación de personal  Conciliaciones

Componentes Políticas y Procedimientos de la Compañía

Estos elementos determinan el contexto para
el correcto funcionamiento de los Activity
 Segregación de funciones
 Verificaciones

del Marco de Level Controls y IT General Controls.

Servicios de IT
Os / Data / Telecom. / Networks
Estos controles podrán ser
automáticos (cuando sean
soportados por herramientas de IT)
manuales.

Control
Conjunto de procesos, políticas y procedimientos que contribuyen al
funcionamiento correcto y sostenido de los servicios de IT:
Ejemplos:
Desarrollo y modificación de programas
Administración de autorizaciones de acceso
Salvaguarda de las instalaciones de procesamientos de datos
IT general controls
Prácticas sólidas de IT proveen las bases para el correcto funcionamiento de
los controles al nivel de actividad.
  Es un control interno básico que busca asegurar que ninguna
persona tenga la autoridad para ejecutar dos o más transacciones
¿Que es sensibles en conflicto que podrían:

Segregación • Afectar la información de los EECC

Limitaciones
Inherentes

de funciones? • Facilitar el fraude de la organización

Ctrol.
Compensatorios
¿Que es
Segregación
¿Porque
de funciones?
Consideraciones se
sobre el Fraude comete
Un Fraude?

Actitud/ Recionalización
 • Cuando evaluamos la segregación de funciones tenemos que
tener en consideración, las distintas instancias/ acciones en la
cuales se puede dividir esa función.

• Adicionalmente considerar dos definiciones:

¿Que es
Segregación • Rol: Vinculado a la función y papel que cumple alguien o algo. En
de funciones? un sistema informático un rol es una colección de permisos
definida para todo el sistema que puede asignar a usuarios
específicos en contextos específicos.
• Permisos: Son las acciones concretas que se asignan sobre una o
más recursos/transacciones del sistema.
 Iniciar
una Trx

Aprobar
una Trx

¿Que es
Segregación Registrar
una Trx

de funciones?
Conciliar
Saldos

Custodiar
Activos
 • Accesos Críticos: al realizar un análisis de este tipo, se
consideran determinadas actividades, que, por su importancia o
impacto (operativo y/o financiero), justifican que se encuentren
restringidas y asignadas a un número reducido de usuarios con
conocimientos del proceso en el cual estas actividades impactan.

SoD y Accesos • Por ejemplo, una compañía tiene una actividad en su ciclo
Críticos contable relacionada con la apertura/cierre del período contable,
que tiene un gran impacto para la empresa, dado que si un
usuario inexperto abriera los períodos contables y realizara
contabilizaciones en un mes o año distinto del actual, como
riesgo asociado tendríamos la posibilidad de registrar
operaciones en períodos incorrectos. Además, también impacta
en la aserción de Corte.
  Por lo tanto, los accesos críticos son un aspecto importante
cuando consideramos el esquema de segregación de funciones
de una compañía, pero su impacto no está directamente
relacionado con posibles acciones de fraude, sino más bien, a
errores (intencionales o no) cuyo impacto igualmente puede ser
contable u operativo.
 Segregación de Funciones: El concepto se refiere al análisis de
determinadas actividades que deben encontrarse separadas de
SoD y Accesos otras, dado el riesgo que implica que una misma persona las
concentre.
Críticos
 El principio básico al momento de definir este esquema es que las
actividades relacionadas con un ciclo en particular deberían
encontrarse asignadas a la mayor cantidad de personas
posibles, de tal forma que ninguna pudiera ejecutar el ciclo
completo ni la mayoría de las actividades asociadas a ese proceso.
  Por ejemplo, suponiendo que hay que encarar el análisis y diseño
de segregación de funciones para el ciclo de Compras/Cuentas a
Pagar, habría que definir las siguientes actividades:
 Generación de la Orden de Compra.
 Aprobación de la Orden de Compra.
 Recepción de los Bienes Servicios.
SoD y Accesos
 Recepción de las Facturas de los Proveedores.
Críticos  Aprobación de las Facturas de los Proveedores.
 Bajo un esquema estricto de segregación de funciones todas estas
actividades deberían encontrarse asignadas a usuarios distintos,
de tal forma de impedir cualquier tipo de acción que redunde en
un fraude para la compañía.
Diseño de una
matriz de
Incompatibili-
dades
Diseño de una
matriz de
Incompatibili-
dades
 • Intentar replicar el mismo esquema de SoD del sistema anterior
al actual,.
• Considerar al momento de definir un esquema SOD a la persona
y no a su Rol,
• No realizar previamente un relevamiento de las tareas que
implica un Rol,
Errores • No realizar un monitoreo periódico de los accesos otorgados,
principalmente si existe mucha rotación,
Comunes • No documentar de forma apropiada el proyecto de SoD,
• Justificar el esquema de SoD en función del tamaño de la
empresa
• Privilegiar la implementación y que todo funcione (levantar las
barreras)
 • Procesar orden de venta + Procesamiento de entrega,
• Generar orden de compra + Procesar ingreso de
mercaderías/servicios,
• Mantenimiento de descuentos/promociones + Generar factura
de venta,
Top Ten de • Mantenimiento de datos maestros de clientes + Crear contratos,
• Mantenimiento de datos maestros de materiales + Generar
Problemas solicitud de pedido,
SoD • Ingresar asientos contables + Abrir períodos contables,
• Procesamiento manual de cheques + conciliación bancaria,
• Realizar movimiento de mercaderías + ajuste de inventarios,
• Procesar orden de venta + Generar factura de venta.
¿Preguntas?
Javier.Klus@Gmail.com