Upload
jesus-sandoval-cuesta
View
12
Download
0
Embed Size (px)
DESCRIPTION
Segregación de funciones
Citation preview
REFLEXIONES SOX, SoD, GRC
Por
Jess Sandoval Cuesta
Las empresas y organizaciones surgen a partir de la necesidad de desarrollar
un negocio o servicio priorizando, como no podra ser de otra manera, en aquellos
aspectos que impulsan y generan beneficios para seguir creciendo. Durante este
crecimiento y desarrollo se generan flujos y estructuras de trabajo improvisadas,
buscando sobre todo la eficiencia dirigida a resultados sin pensar en los riesgos,
o preparar estructuras de trabajo adecuadas a cada una de las fases de crecimiento
de las empresas.
Fruto de lo anterior, nos encontramos con empresas que han cimentado su
CORE de negocio sobre unas personas concretas y flujos de trabajo con sus
procesos empresariales basados en estructuras organizativas improvisadas. En otras
palabras, un tejido organizativo basado en personas que han ido cubriendo parcelas
del negocio basndose en la inmediatez y necesidad en unos casos y las
preferencias personales en otras. Evidentemente, cuando el negocio funciona y
ofrece los resultados esperados, nadie la pone en duda. Los problemas surgen cuando
se manifiestan los riesgos y/o cuando se hace necesaria una reorganizacin de la
empresa sobre unas estructuras de trabajo anrquicas para adaptarse a nuevas
situaciones.
Existen dos clases de riesgos. Por un lado los riesgos graves que pueden
afectar de manera determinante a la continuidad de la empresa, por ejemplo
aquellos que permiten a determinadas personas manipular los resultados de la
empresa, o aquellos que ponen en riesgo pilares fundamentales de la misma tales
como problemas de seguridad de la informacin, de los sistemas, patentes, fraudes
financieros a gran escala etc. Por otro lado los riesgos que podemos considerar ms
leves a nivel individual, pero que por su frecuencia y volumen pueden afectar de
manera importante a la organizacin.
Los riesgos graves tienden a concentrarse en determinadas personas de
confianza de la organizacin (que concentran el mayor porcentaje de incidencia en el
fraude). Los riesgos leves se suelen producir en toda la empresa. Ambos deben ser
tenidos en cuenta en la medida que afectan a la cuenta de resultados y continuidad de
la empresa.
Adems de los riesgos anteriores, hay otro no menos importante, se trata del
riesgo de disponer de flujos de trabajo obsoletos, poco flexibles y que no responden a
las necesidades del negocio, sino ms bien a preferencias de las personas. Estas
estructuras organizativas son un riesgo en s mismas, ya que suponen un lastre para
poner en marcha cualquier iniciativa de cambio o reestructuracin del negocio.
Es habitual encontrarse con empresas que tienen estructuras organizativas
descentralizadas, y totalmente anrquicas donde resulta imposible poner en comn
tareas de puestos similares, con lo que se ve afectada la flexibilidad y eficiencia de la
organizacin. En muchas ocasiones se confunde la polivalencia con la eficiencia.
La polivalencia se debe referir siempre a las personas y no a los puestos de trabajo,
pero con frecuencia se traslada a los puestos generando de manera indirecta anarqua
y caos en las organizaciones.
En base a lo anterior podramos diferenciar tres grandes grupos de riesgos a los
que nos iremos refiriendo a lo largo del presente documento:
Riesgos directivos
Riesgos operacionales
Riesgos estructurales
Una de las medidas ms eficaces que podemos adoptar para mitigar estos
riesgos es la segregacin de funciones (SoD = Segregation of Duties ) que se trata
de un control interno bsico que busca asegurar que ninguna persona tenga autoridad
para ejecutar dos o ms transacciones que en s mismas supongan un riesgo
catalogado en la empresa, sin la supervisin necesaria por algn otro cauce u otras
personas ( Workflows, portafirmas etc). De esta manera nos aseguramos que sera
necesaria la participacin de al menos dos personas para cometer fraude.
Esta segregacin de funciones puede parecer que va en contra de la
productividad en las empresas, pero nada ms lejos de la realidad. Una correcta
segregacin de funciones aporta mejores niveles de productividad ya que
racionaliza los flujos de trabajo en base a procesos y no tanto a personas.
Evidentemente la implantacin de un sistema SoD requiere un periodo de adaptacin
de las personas a los nuevos flujos de trabajo y responsabilidades. Adems la
implantacin de un sistema SoD no tiene por qu suponer un cambio total, nicamente
hay que cambiar las autorizaciones de las personas que tienen riesgos otorgndoselas
a otras. No obstante, y como recomendacin es conveniente aprovechar la
implantacin del SoD para realizar y aplicar optimizaciones de procesos, o
viceversa, realizar un estudio de optimizacin de flujos de trabajo y procesos con los
lmites de riesgos SoD.
Como principio bsico en la segregacin de funciones se establece que los
usuarios del sistema deben tener acceso a los recursos que son absolutamente
imprescindibles y necesarios para el desarrollo de funciones, poniendo los
mecanismos necesarios para asegurar que siempre habr una opcin dentro de SoD
que permita abordar imprevistos sin necesidad de dotar a personas de exceso de
autorizaciones por si acaso. Para esto es muy recomendable de disponer de
sistemas de soporte que permitan paliar este riesgo.
La implantacin de estos sistemas debe venir apoyada de manera decidida por la
alta direccin y asumir sus consecuencias. La tibieza en las decisiones durante la
implantacin puede derivar en graves consecuencias para el proyecto y la empresa.
Otra ventaja importante en la implantacin de un sistema SoD es que permite relajar
otro tipo de controles y evitar ambientes sper controlados.
Fases de proyecto de implantacin de SoD:
1.- Implantacin de una herramienta GRC en quin recae las labores de polica y
control de las normas que evitan riesgos. Esta herramienta contendr la
informacin de las transacciones o tareas que asignadas a la misma persona pueda
suponer riesgo. Por tanto, se deben adaptar todas las existentes a la normativa GRC
establecida y debe actuar de polica para que se mantenga dicho control en el tiempo.
Una adecuada y racional matriz de riesgos es fundamental para el buen fin del
proyecto. Es necesario calibrar y ponderar cada uno de los riesgos adaptndose a las
particularidades de la empresa. Una matriz de riesgos de una empresa no tiene por
qu servir para otra. Las herramientas de GRC suelen ofrecer una matriz con las
mejores prcticas que habr que ajustar a las necesidades de cada empresa.
2.- Una vez conocidas las personas que tienen riesgos es necesario poner en marcha
una estrategia que permita corregir estos riesgos sin afectar al normal
funcionamiento de la organizacin. En un alto porcentaje de los casos el gran
volumen de las personas con riesgos obliga a poner en marcha actuaciones
conjuntas, complejas y planificadas. Esta es la parte que denominamos
propiamente SoD (segregacin de funciones), es decir debemos realizar en la prctica
una reingeniera de procesos y asignacin de personas para asegurarnos que el
nuevo esquema organizativo responde a las necesidades de la empresa. Para
ello es muy importante disponer de informacin de los hbitos y tareas que vienen
realizando habitualmente las personas, para tenerlas como referente y mantener lo
ms posible las mismas tareas que se vienen realizando.
3.- Estrategia de cambio: una vez determinada la nueva estructura de trabajo que
vamos a implantar hay que tener en cuenta los siguientes aspectos:
o Que las personas que asumen nuevas tareas tienen formacin
suficiente
o Que se han abordado los cambios organizativos necesarios
o Que las personas afectadas y sus responsables disponen de
informacin suficiente
o Que se les d un tiempo razonable de solape y transicin en el
cambio que les permita a las personas adaptarse al cambio
4.- Mantenimiento y soporte del sistema SoD: de nada servir el esfuerzo realizado en
la costosa implantacin de un sistema SoD si no somos capaces de mantener estas
estructuras de trabajo en el tiempo. Es decir, necesitamos mantener los criterios
organizativos que utilizamos en el proceso SoD y mantenerlo en el tiempo,
permitindose adaptaciones a nuevos escenarios desde el punto de vista estructural
pero nunca adaptarse a las personas, ya que al cabo de poco tiempo terminaramos
con un problema similar al inicial: caos y anarqua.
Cuestiones a tener en cuenta:
Se debe de permitir cierto nivel de flexibilidad, tanto en la Matriz de Riesgos
como en la aplicacin de la estructura organizativa. Lo bueno es enemigo de lo
mejor, es decir, no podemos establecer en la organizacin una normativa que la
ahogue. Siempre ser mejor una segregacin de funciones un poco ms
permisiva que una inexistente.
Una estrategia de razonable de implantacin de SoD debe priorizar en los
riesgos importantes, dejando a un lado los que menos afecten por gravedad o
frecuencia.
Razones para implantar un sistema de segregacin de funciones, herramientas,
coste y retorno de la inversin.
Los sistemas GRC y SoD estn muy de moda, impulsados fundamentalmente por la
Ley Sarbane Oxley americana y la tendencia cada vez mayor de todos los pases de
poner en marcha regulaciones de este tipo que protejan la continuidad de las
empresas y a sus inversores. Adems existe una clara tendencia de los consejos de
administracin de las empresas a implantar estos sistemas de control.
Por qu poner en marcha e invertir en un proyecto SoD? Qu ventajas obtengo?
Cules son las empresas candidatas? Cunto cuesta y en cuanto tiempo recupero
la inversin?.
Vamos a intentar responder a todas estas cuestiones de manera objetiva para ayudar
en el proceso de decisin de la implantacin de este sistema y las herramientas que lo
soportan.
Las empresas idneas para implantar estos sistemas de gestin son aquellas
que tengan un volumen importante de personas que intervienen en los procesos
productivos y/o financieros. Las pequeas empresas, u otras con un volumen
importante de facturacin pero que disponen de estructuras pequeas no se les
recomienda la implantacin de estos sistemas. En estos casos es preferible la
supervisin directa por parte de los responsables con auditoras externas. Debemos
tener en cuenta que estas empresas suelen disponer de puestos que necesariamente
son muy polivalentes y por tanto la implantacin de un sistema SoD tendr como
consecuencia generar incrementos de plantilla y costes no asumibles. Se trata de
optimizar la organizacin y evitar riesgos, no de incrementar los costes y reducir la
productividad.
Para decidir la implantacin de estos sistemas es muy importante averiguar
cul es el coste de oportunidad, es decir estimar lo que nos va a costar implantar
estos sistemas y el beneficio terico que vamos a obtener. Salvo en los casos que
se establece por imperativo legal. En el presente artculo vamos a intentar profundizar
y ayudar a estimar el coste de oportunidad, para ello debemos tener en cuenta los
siguientes aspectos:
Coste en servicios y licencias en la implantacin de SoD.
Afectacin econmica en la organizacin durante el proceso de
implantacin.
Ahorro terico que se genera al impedir fraude:
o Identificacin de los riesgos operacionales aplicables y clculo
estadstico de los ahorros tericos. Es necesario hacer una
estimacin realista y argumentada de estos costes. No se debe
hacer sobre estadsticas reales de fraude detectados en la
compaa, ya que estos fraudes raramente se detectan y la
muestra no es vlida. Es preferible acudir a ratios estadsticos
sectoriales que proporcionan auditoras y organismos oficiales o
de control de fraude.
o Identificacin de los riesgos directivos, desglose de los mismos.
No es posible determinar un coste real y se basa en la
probabilidad de que derivado de las actividades fraudulentas
de sus administradores se ponga en peligro la viabilidad de
la empresa. Cualquiera de estos riesgos puede suponer en s
mismo una causa razonable para valorar positivamente la
implantacin del sistema SoD.
o Materialidad de los riesgos que se define como el umbral
financiero o impacto que algn conflicto de la segregacin de
funciones puede tener sobre los estados financieros de la
empresa.
Mejoras organizativas al implantar sistema SoD que dotan a la
organizacin de mayor nivel de control y flexibilidad. Habitualmente se
producen ahorros directos al eliminar puestos duplicados y
obsoletos mejorando los flujos de trabajo. Es conveniente
analizarlos y cuantificarlos.
Si las herramientas SoD implantadas disponen de automatizacin de
procesos de gestin de autorizaciones es necesario estimar el
ahorro de coste anual que generan al evitar el mantenimiento manual
de las mismas.
Diferencia de valor accionarial por falta/incremento de confianza de los
inversores en la empresa.
Oportunidades de negocio no aprovechadas debido a los cambios
de calificacin crediticia o financiamiento ms costoso
Los costos incurridos para la recuperacin de algn dao en la
reputacin de la empresa.
La implantacin de un sistema SoD en ocasiones permite reducir
controles que se venan haciendo por resultar innecesarios. Si
hemos evitado el riesgo de raz ya no sern necesarios. Valorar el
ahorro
En base a lo anterior y para tomar la decisin de invertir en un sistema SoD habra que
tener en cuenta lo siguiente:
ROI (Retorno de la inversin) que es la diferencia entre la inversin
inicial y costes recurrentes derivados de la misma menos los ahorros y
oportunidades valorados econmicamente detallados con anterioridad.
Si existe una regulacin que nos obliga a implantar este sistema
Si la implantacin de estos sistemas nos permiten afrontar nuevos retos
futuros
Si ofrece confianza al inversor
Claves de un sistema de Segregacin de funciones eficiente:
- Debe tener un coste y tiempo de implantacin razonable.
- Debe disponer de mejores prcticas y aceleradores basados en
experiencia que permitan acelerar el proceso de implantacin.
- Debe ser flexible para permitir excepciones controladas pero sin perder la
fiabilidad y control.
- Debe ser auditable en s mismo. Es decir, debe de disponer de un sistema de
trazabilidad que permita a auditores externos asegurarse de la fiabilidad y
estabilidad de la herramienta.
- Debe tener una rpida respuesta en la gestin de autorizaciones
- Debe permitir escalabilidad para responder a distintas situaciones de la
empresa
- Que todas las herramientas estn integradas y residan en un mismo sistema
informtico
- Debe permitir documentar la matriz de riesgos y las particularidades de la
empresa para realizar seguimiento
- Debe ayudar en la identificacin de transacciones similares o propias de
negocio que evidencien riesgos similares evitando agujeros de seguridad
- Debe tener la posibilidad de integrar y valorar los riesgos de todos los
sistemas informticos y de control.
- Que facilite la gestin y la comprensin de los roles a los usuarios finales
con capacidad de decisin en la gestin de roles.
Muchas gracias por su atencin.
Jess Sandoval Cuesta.
CEO/Socio fundador Aplirh S.L
Si eres cliente de SAP, existen herramientas que cumplen con estas premisas.
Visita www.aplirh.es
Demo en video de 12 minutos
https://dl.dropboxusercontent.com/u/24937031/Planteamiento_SOX_es.html
https://dl.dropboxusercontent.com/u/24937031/Planteamiento_SOX_es.html