REFLEXIONES SOX, SoD, GRC

Por

Jess Sandoval Cuesta

Las empresas y organizaciones surgen a partir de la necesidad de desarrollar

un negocio o servicio priorizando, como no podra ser de otra manera, en aquellos

aspectos que impulsan y generan beneficios para seguir creciendo. Durante este

crecimiento y desarrollo se generan flujos y estructuras de trabajo improvisadas,

buscando sobre todo la eficiencia dirigida a resultados sin pensar en los riesgos,

o preparar estructuras de trabajo adecuadas a cada una de las fases de crecimiento

de las empresas.

Fruto de lo anterior, nos encontramos con empresas que han cimentado su

CORE de negocio sobre unas personas concretas y flujos de trabajo con sus

procesos empresariales basados en estructuras organizativas improvisadas. En otras

palabras, un tejido organizativo basado en personas que han ido cubriendo parcelas

del negocio basndose en la inmediatez y necesidad en unos casos y las

preferencias personales en otras. Evidentemente, cuando el negocio funciona y

ofrece los resultados esperados, nadie la pone en duda. Los problemas surgen cuando

se manifiestan los riesgos y/o cuando se hace necesaria una reorganizacin de la

empresa sobre unas estructuras de trabajo anrquicas para adaptarse a nuevas

situaciones.

Existen dos clases de riesgos. Por un lado los riesgos graves que pueden

afectar de manera determinante a la continuidad de la empresa, por ejemplo

aquellos que permiten a determinadas personas manipular los resultados de la

empresa, o aquellos que ponen en riesgo pilares fundamentales de la misma tales

como problemas de seguridad de la informacin, de los sistemas, patentes, fraudes

financieros a gran escala etc. Por otro lado los riesgos que podemos considerar ms

leves a nivel individual, pero que por su frecuencia y volumen pueden afectar de

manera importante a la organizacin.

Los riesgos graves tienden a concentrarse en determinadas personas de

confianza de la organizacin (que concentran el mayor porcentaje de incidencia en el

fraude). Los riesgos leves se suelen producir en toda la empresa. Ambos deben ser

tenidos en cuenta en la medida que afectan a la cuenta de resultados y continuidad de

la empresa.

Adems de los riesgos anteriores, hay otro no menos importante, se trata del

riesgo de disponer de flujos de trabajo obsoletos, poco flexibles y que no responden a

las necesidades del negocio, sino ms bien a preferencias de las personas. Estas

estructuras organizativas son un riesgo en s mismas, ya que suponen un lastre para

poner en marcha cualquier iniciativa de cambio o reestructuracin del negocio.

Es habitual encontrarse con empresas que tienen estructuras organizativas

descentralizadas, y totalmente anrquicas donde resulta imposible poner en comn

tareas de puestos similares, con lo que se ve afectada la flexibilidad y eficiencia de la

organizacin. En muchas ocasiones se confunde la polivalencia con la eficiencia.

La polivalencia se debe referir siempre a las personas y no a los puestos de trabajo,

pero con frecuencia se traslada a los puestos generando de manera indirecta anarqua

y caos en las organizaciones.

En base a lo anterior podramos diferenciar tres grandes grupos de riesgos a los

que nos iremos refiriendo a lo largo del presente documento:

Riesgos directivos

Riesgos operacionales

Riesgos estructurales

Una de las medidas ms eficaces que podemos adoptar para mitigar estos

riesgos es la segregacin de funciones (SoD = Segregation of Duties ) que se trata

de un control interno bsico que busca asegurar que ninguna persona tenga autoridad

para ejecutar dos o ms transacciones que en s mismas supongan un riesgo

catalogado en la empresa, sin la supervisin necesaria por algn otro cauce u otras

personas ( Workflows, portafirmas etc). De esta manera nos aseguramos que sera

necesaria la participacin de al menos dos personas para cometer fraude.

Esta segregacin de funciones puede parecer que va en contra de la

productividad en las empresas, pero nada ms lejos de la realidad. Una correcta

segregacin de funciones aporta mejores niveles de productividad ya que

racionaliza los flujos de trabajo en base a procesos y no tanto a personas.

Evidentemente la implantacin de un sistema SoD requiere un periodo de adaptacin

de las personas a los nuevos flujos de trabajo y responsabilidades. Adems la

implantacin de un sistema SoD no tiene por qu suponer un cambio total, nicamente

hay que cambiar las autorizaciones de las personas que tienen riesgos otorgndoselas

a otras. No obstante, y como recomendacin es conveniente aprovechar la

implantacin del SoD para realizar y aplicar optimizaciones de procesos, o

viceversa, realizar un estudio de optimizacin de flujos de trabajo y procesos con los

lmites de riesgos SoD.

Como principio bsico en la segregacin de funciones se establece que los

usuarios del sistema deben tener acceso a los recursos que son absolutamente

imprescindibles y necesarios para el desarrollo de funciones, poniendo los

mecanismos necesarios para asegurar que siempre habr una opcin dentro de SoD

que permita abordar imprevistos sin necesidad de dotar a personas de exceso de

autorizaciones por si acaso. Para esto es muy recomendable de disponer de

sistemas de soporte que permitan paliar este riesgo.

La implantacin de estos sistemas debe venir apoyada de manera decidida por la

alta direccin y asumir sus consecuencias. La tibieza en las decisiones durante la

implantacin puede derivar en graves consecuencias para el proyecto y la empresa.

Otra ventaja importante en la implantacin de un sistema SoD es que permite relajar

otro tipo de controles y evitar ambientes sper controlados.

Fases de proyecto de implantacin de SoD:

1.- Implantacin de una herramienta GRC en quin recae las labores de polica y

control de las normas que evitan riesgos. Esta herramienta contendr la

informacin de las transacciones o tareas que asignadas a la misma persona pueda

suponer riesgo. Por tanto, se deben adaptar todas las existentes a la normativa GRC

establecida y debe actuar de polica para que se mantenga dicho control en el tiempo.

Una adecuada y racional matriz de riesgos es fundamental para el buen fin del

proyecto. Es necesario calibrar y ponderar cada uno de los riesgos adaptndose a las

particularidades de la empresa. Una matriz de riesgos de una empresa no tiene por

qu servir para otra. Las herramientas de GRC suelen ofrecer una matriz con las

mejores prcticas que habr que ajustar a las necesidades de cada empresa.

2.- Una vez conocidas las personas que tienen riesgos es necesario poner en marcha

una estrategia que permita corregir estos riesgos sin afectar al normal

funcionamiento de la organizacin. En un alto porcentaje de los casos el gran

volumen de las personas con riesgos obliga a poner en marcha actuaciones

conjuntas, complejas y planificadas. Esta es la parte que denominamos

propiamente SoD (segregacin de funciones), es decir debemos realizar en la prctica

una reingeniera de procesos y asignacin de personas para asegurarnos que el

nuevo esquema organizativo responde a las necesidades de la empresa. Para

ello es muy importante disponer de informacin de los hbitos y tareas que vienen

realizando habitualmente las personas, para tenerlas como referente y mantener lo

ms posible las mismas tareas que se vienen realizando.

3.- Estrategia de cambio: una vez determinada la nueva estructura de trabajo que

vamos a implantar hay que tener en cuenta los siguientes aspectos:

o Que las personas que asumen nuevas tareas tienen formacin

suficiente

o Que se han abordado los cambios organizativos necesarios

o Que las personas afectadas y sus responsables disponen de

informacin suficiente

o Que se les d un tiempo razonable de solape y transicin en el

cambio que les permita a las personas adaptarse al cambio

4.- Mantenimiento y soporte del sistema SoD: de nada servir el esfuerzo realizado en

la costosa implantacin de un sistema SoD si no somos capaces de mantener estas

estructuras de trabajo en el tiempo. Es decir, necesitamos mantener los criterios

organizativos que utilizamos en el proceso SoD y mantenerlo en el tiempo,

permitindose adaptaciones a nuevos escenarios desde el punto de vista estructural

pero nunca adaptarse a las personas, ya que al cabo de poco tiempo terminaramos

con un problema similar al inicial: caos y anarqua.

Cuestiones a tener en cuenta:

Se debe de permitir cierto nivel de flexibilidad, tanto en la Matriz de Riesgos

como en la aplicacin de la estructura organizativa. Lo bueno es enemigo de lo

mejor, es decir, no podemos establecer en la organizacin una normativa que la

ahogue. Siempre ser mejor una segregacin de funciones un poco ms

permisiva que una inexistente.

Una estrategia de razonable de implantacin de SoD debe priorizar en los

riesgos importantes, dejando a un lado los que menos afecten por gravedad o

frecuencia.

Razones para implantar un sistema de segregacin de funciones, herramientas,

coste y retorno de la inversin.

Los sistemas GRC y SoD estn muy de moda, impulsados fundamentalmente por la

Ley Sarbane Oxley americana y la tendencia cada vez mayor de todos los pases de

poner en marcha regulaciones de este tipo que protejan la continuidad de las

empresas y a sus inversores. Adems existe una clara tendencia de los consejos de

administracin de las empresas a implantar estos sistemas de control.

Por qu poner en marcha e invertir en un proyecto SoD? Qu ventajas obtengo?

Cules son las empresas candidatas? Cunto cuesta y en cuanto tiempo recupero

la inversin?.

Vamos a intentar responder a todas estas cuestiones de manera objetiva para ayudar

en el proceso de decisin de la implantacin de este sistema y las herramientas que lo

soportan.

Las empresas idneas para implantar estos sistemas de gestin son aquellas

que tengan un volumen importante de personas que intervienen en los procesos

productivos y/o financieros. Las pequeas empresas, u otras con un volumen

importante de facturacin pero que disponen de estructuras pequeas no se les

recomienda la implantacin de estos sistemas. En estos casos es preferible la

supervisin directa por parte de los responsables con auditoras externas. Debemos

tener en cuenta que estas empresas suelen disponer de puestos que necesariamente

son muy polivalentes y por tanto la implantacin de un sistema SoD tendr como

consecuencia generar incrementos de plantilla y costes no asumibles. Se trata de

optimizar la organizacin y evitar riesgos, no de incrementar los costes y reducir la

productividad.

Para decidir la implantacin de estos sistemas es muy importante averiguar

cul es el coste de oportunidad, es decir estimar lo que nos va a costar implantar

estos sistemas y el beneficio terico que vamos a obtener. Salvo en los casos que

se establece por imperativo legal. En el presente artculo vamos a intentar profundizar

y ayudar a estimar el coste de oportunidad, para ello debemos tener en cuenta los

siguientes aspectos:

Coste en servicios y licencias en la implantacin de SoD.

Afectacin econmica en la organizacin durante el proceso de

implantacin.

Ahorro terico que se genera al impedir fraude:

o Identificacin de los riesgos operacionales aplicables y clculo

estadstico de los ahorros tericos. Es necesario hacer una

estimacin realista y argumentada de estos costes. No se debe

hacer sobre estadsticas reales de fraude detectados en la

compaa, ya que estos fraudes raramente se detectan y la

muestra no es vlida. Es preferible acudir a ratios estadsticos

sectoriales que proporcionan auditoras y organismos oficiales o

de control de fraude.

o Identificacin de los riesgos directivos, desglose de los mismos.

No es posible determinar un coste real y se basa en la

probabilidad de que derivado de las actividades fraudulentas

de sus administradores se ponga en peligro la viabilidad de

la empresa. Cualquiera de estos riesgos puede suponer en s

mismo una causa razonable para valorar positivamente la

implantacin del sistema SoD.

o Materialidad de los riesgos que se define como el umbral

financiero o impacto que algn conflicto de la segregacin de

funciones puede tener sobre los estados financieros de la

empresa.

Mejoras organizativas al implantar sistema SoD que dotan a la

organizacin de mayor nivel de control y flexibilidad. Habitualmente se

producen ahorros directos al eliminar puestos duplicados y

obsoletos mejorando los flujos de trabajo. Es conveniente

analizarlos y cuantificarlos.

Si las herramientas SoD implantadas disponen de automatizacin de

procesos de gestin de autorizaciones es necesario estimar el

ahorro de coste anual que generan al evitar el mantenimiento manual

de las mismas.

Diferencia de valor accionarial por falta/incremento de confianza de los

inversores en la empresa.

Oportunidades de negocio no aprovechadas debido a los cambios

de calificacin crediticia o financiamiento ms costoso

Los costos incurridos para la recuperacin de algn dao en la

reputacin de la empresa.

La implantacin de un sistema SoD en ocasiones permite reducir

controles que se venan haciendo por resultar innecesarios. Si

hemos evitado el riesgo de raz ya no sern necesarios. Valorar el

ahorro

En base a lo anterior y para tomar la decisin de invertir en un sistema SoD habra que

tener en cuenta lo siguiente:

ROI (Retorno de la inversin) que es la diferencia entre la inversin

inicial y costes recurrentes derivados de la misma menos los ahorros y

oportunidades valorados econmicamente detallados con anterioridad.

Si existe una regulacin que nos obliga a implantar este sistema

Si la implantacin de estos sistemas nos permiten afrontar nuevos retos

futuros

Si ofrece confianza al inversor

Claves de un sistema de Segregacin de funciones eficiente:

- Debe tener un coste y tiempo de implantacin razonable.

- Debe disponer de mejores prcticas y aceleradores basados en

experiencia que permitan acelerar el proceso de implantacin.

- Debe ser flexible para permitir excepciones controladas pero sin perder la

fiabilidad y control.

- Debe ser auditable en s mismo. Es decir, debe de disponer de un sistema de

trazabilidad que permita a auditores externos asegurarse de la fiabilidad y

estabilidad de la herramienta.

- Debe tener una rpida respuesta en la gestin de autorizaciones

- Debe permitir escalabilidad para responder a distintas situaciones de la

empresa

- Que todas las herramientas estn integradas y residan en un mismo sistema

informtico

- Debe permitir documentar la matriz de riesgos y las particularidades de la

empresa para realizar seguimiento

- Debe ayudar en la identificacin de transacciones similares o propias de

negocio que evidencien riesgos similares evitando agujeros de seguridad

- Debe tener la posibilidad de integrar y valorar los riesgos de todos los

sistemas informticos y de control.

- Que facilite la gestin y la comprensin de los roles a los usuarios finales

con capacidad de decisin en la gestin de roles.

Muchas gracias por su atencin.

Jess Sandoval Cuesta.

CEO/Socio fundador Aplirh S.L

Si eres cliente de SAP, existen herramientas que cumplen con estas premisas.

Visita www.aplirh.es

Demo en video de 12 minutos

https://dl.dropboxusercontent.com/u/24937031/Planteamiento_SOX_es.html

info@aplirh.es

https://dl.dropboxusercontent.com/u/24937031/Planteamiento_SOX_es.html