Segregación de Funciones: Un candado abierto para un posible fraude.

Según el último informe de la ACFE (Association of Certified Fraud Examiners) denominado "ACFE's 2016 Global Fraud Study" las compañías pierden el 5% de sus ingresos al año debido al fraude ocupacional. La pérdida promedio de una compañía que es víctima de fraude es de USD 174,000 dólares y en aquellas empresas que no tienen implementados controles internos esta cífra se duplica.

Una herramienta que ayuda a mitigar eventos de fraude es el sistema de información (ERP), que si bien está enfocado en dar soporte a los procesos de negocio de la empresa, también considera en su diseño buenas prácticas de control interno (autorizaciones, pistas de auditoria, control de accesos, entre otros) que permiten prevenir situaciones no deseadas.

Sin embargo, en la gran mayoría de proyectos de implementación de estas soluciones tecnológicas no se considera la definición de una adecuada segregación de funciones (SOD, por sus siglas en inglés). La segregación de funciones es la separación de responsabilidades en distintos actores que participan en un mismo proceso de negocio, a fin de evitar una concentración excesiva (y sin control) en un solo individuo; este diseño organizacional de funciones debe ser trasladado al sistema de información de manera oportuna.

Para contar con una óptima segregación de funciones se deben definir reglas SOD aplicables al negocio, que son el par de actividades incompatibles y que no pueden ser realizadas por un solo individuo por el riesgo de irregularidades. Por ejemplo, si un individuo puede registrar un proveedor y además efectuarle pagos, existe el riesgo de que pueda crear proveedores ficticios y realizar pagos fraudulentos. En este caso, si el mismo individuo cuenta con los accesos en el sistema de información para realizar ambas actividades (registro de proveedor y pago) existe un conflicto de segregación de funciones.

Una organización demuestra que cuenta con un control sobre la segregación de funciones cuando tiene identificado los conflictos SOD existentes por proceso de negocio y viene desarrollando iniciativas para su mitigación. Las auditorias financieras cada vez ponen más énfasis en la evaluación de la segregación de funciones. Sin embargo, esta debería ser una práctica obligatoria y permanente, exista o no una observación de auditoria. Las gerencias de riesgos y auditoria interna de las organizaciones tienen la misión de sensibilizar a la organización para la adopción de prácticas de segregación de funciones, siendo fundamental el apoyo de la Dirección.