La segregación de funciones (SoD) es un elemento crucial en las estrategias de gestión de riesgos de una organización.

Un informe de 2022 de la Asociación de Examinadores de Fraude Certificados (ACFE) destaca que las empresas soportan pérdidas de aproximadamente 1.783.000 dólares por fraude de empleados por caso.

Esto explica por qué las empresas modernas necesitan contar con una gestión de riesgos sostenible en esta era de crecientes fraudes, estafas y errores.

Y el SoD pretende controlar, gestionar e incluso mitigar estos riesgos para tener mejores controles organizativos con una mayor seguridad y concienciación.

En este artículo, hablaré sobre qué es la SoD, su importancia y otras terminologías clave asociadas a ella.

Así que, ¡comencemos y aprendamos a recuperar el control!

¿Qué es la segregación de funciones?

La Segregación de Funciones (SoD) es un concepto importante de la gestión de riesgos y los controles internos de una organización en la que más de un individuo se hace responsable de completar las diferentes partes de una tarea. Se aplica para evitar el uso indebido de la información, el fraude, el robo y otros riesgos relacionados con la seguridad.

Segregation-of-Duties-2

La tarea, sin embargo, puede ser completada por una sola persona, pero está dividida en partes. Esto ayuda a garantizar que ningún individuo tenga el control exclusivo de la tarea o controles excesivos, lo suficiente como para hacer un uso indebido de la misma con fines no autorizados o actividades fraudulentas. En su lugar, será compartido por al menos dos individuos.

Hoy en día, la SoD se aplica en diversos ámbitos, como la contabilidad, las finanzas, las nóminas, la administración, etc. En política, se convierte en la separación de poderes en las democracias en las que el gobierno se divide en un poder judicial, un poder ejecutivo y un poder legislativo.

SoD en la gestión de riesgos

La SoD funciona sobre el principio de las responsabilidades compartidas y de que dirigir una organización o una empresa no debe ser tarea de un solo individuo. No debe confiarse a una sola persona el control total para llevar a cabo una tarea que puede conducir potencialmente al fraude, a errores o a dañar la reputación de su empresa.

De hecho, la SoD es un elemento vital de la gestión de riesgos y del cumplimiento empresarial de normativas como la Ley Sarbanes-Oxley (SOX) de 2002.

Risk-Management

La segregación de funciones entre varios responsables reduce las posibilidades de que un empleado o un tercero

  • Utilizar indebidamente información confidencial de la organización
  • Robar fondos
  • Falsificar registros (como los financieros) para engañar a las partes interesadas o inflar los precios de las acciones
  • Lanzar una campaña de venganza tras recibir un supuesto maltrato
  • Involucrarse en espionaje corporativo

Y si no emplea una estrategia segura como la SoD, podría ocasionar importantes daños a su organización en términos financieros, de sanciones basadas en el cumplimiento y de imagen de marca. Por eso se recomienda implantar la SoD en toda la empresa, desde la contabilidad y las nóminas hasta los departamentos de tecnología de la información (TI) y ciberseguridad.

Ejemplos de SoD

Veamos algunos de los ejemplos en los que puede aplicar SoD.

Contabilidad

En contabilidad, las organizaciones pueden prohibir que una sola persona adquiera un poder excesivo para ocultar activos y errores financieros.

La SoD le exigirá que analice a fondo todas las funciones contables de su organización y segregue los deberes para que una misma persona no pueda poseer el control total de una función determinada. Por ejemplo, no se debe permitir que la misma persona reciba los cheques y registre los cheques recibidos.

TI y ciberseguridad

IT-and-Cybersecurity-2

Las políticas SoD pueden ayudar a prevenir los riesgos de control de acceso en el departamento de TI. Segregan las tareas del flujo de trabajo, garantizando que el mismo grupo o personas no reciban múltiples permisos de acceso.

Si una sola persona obtiene acceso al poder más allá de sus funciones, puede hacer un mal uso de él y exponer la información a una persona ajena o concederle permiso de acceso. Al mismo tiempo, nadie más tiene ni idea de ello.

Esta situación puede ser catastrófica. Por ejemplo, no se debe permitir que la misma persona reciba alertas de los sistemas de seguridad y gestione los permisos de acceso de ese sistema.

Cumplimiento y controles

Aplicar estrategias sólidas de SOD puede ayudar a eliminar los errores de los empleados, intencionados o no. También puede detectar las declaraciones fraudulentas, si las hubiera. De este modo, puede mantener a su organización a salvo de las infracciones de cumplimiento. Por ejemplo, debe hacer que la misma persona sea responsable de archivar la información financiera y de auditarla.

Otros ejemplos

La misma persona no debe ser responsable de

  • Crear y aprobar requisiciones
  • Crear y aprobar facturas de proveedores
  • Preparar la factura e introducir las transacciones de venta en el libro mayor
  • Pagar salarios y contratar empleados
  • Registrar el efectivo recibido y crear abonos
  • Negociar existencias y gestionar fusiones y adquisiciones
  • Establecer compradores y aprobar solicitudes u órdenes de compra

Ventajas de SoD

Algunas de las ventajas de aplicar SoD en su organización son:

#1. Prevención y detección del fraude

fraudprevention

Las organizaciones son víctimas del fraude más que nunca. Se trata de actividades fraudulentas como la manipulación de cheques, el robo de efectivo, la apropiación indebida de activos, la falsificación de documentos, la falsificación de recibos y facturas, los errores en los registros contables, etc.

Con SoD, puede asegurarse de que ninguna persona o grupo sea responsable de realizar todas las funciones de una tarea determinada. Esto disuadirá la oportunidad de cometer fraude y ocultarlo. Tener más ojos en una tarea significa que cualquiera puede detectar, informar y ayudar a prevenir el fraude externo o interno.

#2. Reducción de los errores humanos

Si implementa correctamente el SoD en su organización, probablemente verá una reducción significativa de los errores humanos y los riesgos relacionados en sus procesos financieros críticos. Puede tratarse de errores como una documentación insuficiente de las transacciones, poca mano de obra en contabilidad, errores en la introducción de datos, auditorías descuidadas, etc.

Emplear a varias personas en las transacciones críticas aumenta esencialmente la posibilidad de que una persona se dé cuenta de cualquier error que se haya producido y lo resuelva.

#3. Auditorías mejoradas

Improved-Audits

Reducir las posibilidades de riesgos y errores mejorará el mantenimiento de registros de su departamento de finanzas, nóminas, contabilidad, TI o ciberseguridad. SoD le ayudará a asegurarse de que los registros están ordenados correctamente, eliminando problemas como la duplicación, los retrasos, los riesgos de cumplimiento, etc.

De este modo, estará mejor preparado para las auditorías, ya sean anuales, semestrales o trimestrales. También se sentirá más seguro ante el cumplimiento de la normativa y evitará sanciones.

#4. Aumenta la eficacia

Algunos pueden pensar que añadir más funciones provocará ineficacia y mayores costes. Sin embargo, si planifica bien el SoD, fomentará la eficiencia. Se debe a que está dividiendo una tarea en múltiples subtareas, cada una de ellas realizada por una persona adecuada y especializada con mayor precisión y rapidez.

Esto no sólo reduce los riesgos, sino que también proporciona una mayor eficiencia en comparación con el caso en el que una sola persona tiene que realizar toda la tarea. Además, el coste de los daños para la empresa en ausencia de SoD es mucho mayor que lo que se invierte en contratar más personal.

Algunas terminologías de SoD

Para entender mejor la SoD, debe conocer las siguientes terminologías:

#1. Conflictos de DdS

Un conflicto de SoD puede surgir cuando una persona actúa en contra de los intereses de la organización y a favor de sus propios intereses. Esto significa que han adquirido múltiples roles para desempeñar múltiples funciones importantes en un proceso. Hacer esto podría afectar tanto a la integridad del proceso como a la empresa.

sodconflict

Los conflictos de SoD pueden producirse en distintos ámbitos de una organización, como del pedido al cobro (O2C) o de la compra al pago (P2P). Para mitigar los conflictos SoD, hay que analizar y evaluar este tipo de incidentes. Las organizaciones también deben implantar controles sólidos y salvaguardarse de la participación de los empleados en actividades ilegales.

Una buena estrategia para prevenir los conflictos de SoD podría ser aplicar controles de acceso basados en roles (RBAC) en toda su organización. RBAC garantiza que los permisos y controles de acceso se otorguen a los usuarios en función de sus funciones y responsabilidades en la organización, no más que eso.

De este modo, puede asignar a una persona autorizada para que analice cada función y cada permiso de acceso que se le haya asignado para detectar solapamientos de SoD tanto entre funciones como dentro de ellas.

Sin embargo, cada conflicto no significa causar daños o dar lugar a acciones ilegales. Un usuario podría hacerlo accidentalmente, por descuido, o realizar una función requerida por la empresa que necesite más permisos.

Por eso, las empresas deben examinar a fondo el caso y evaluar sus políticas de violación de SoD para asegurarse de que los conflictos no se conviertan en fraude o actividad ilegal.

#2. Violación de SoD

Las violaciones de SoD pueden ocurrir si el empleado de una organización se aprovecha de su función asignada y accede intencionadamente a información o realiza una actividad prohibida. Esto significa que están violando la política interna de la organización o las regulaciones externas.

Los empleados pueden llevar a cabo una violación de SoD cuando han obtenido el control sobre múltiples pasos del proceso, excediendo los pasos permitidos. A continuación, hacen un uso indebido del acceso en su beneficio.

sodviolation

Ejemplo: Una empresa puede establecer una política según la cual la persona que contrata a los empleados no puede también distribuir los cheques de pago. Esto se debe a que si realizan ambas actividades, pueden aprovecharlo en su propio beneficio y orquestar un fraude o una actividad ilegal. Así, esto se convertirá en una violación del SoD.

Así es como se ve una violación interna de SoD; entendamos cómo puede ocurrir una violación externa de SoD. Por ejemplo, un alto responsable de la toma de decisiones, como el director general de una organización, se entrega a la manipulación de los estados financieros, violando la normativa SOX.

Puede acarrear tremendas multas para la organización, y el empleado también puede cumplir una pena de prisión. Esto perjudica a la organización en términos de reputación y costes.

Para mitigar las violaciones de SoD, una organización debe supervisar sus violaciones y la actividad de cada empleado. También deben seguir actualizando sus políticas con la evolución del espacio tecnológico.

#3. Matriz SoD

La matriz SoD es un enfoque que adoptan los directivos para reducir las complejidades de SoD. Permite a los directivos distinguir las diferentes responsabilidades, funciones y riesgos en una organización.

Además, la matriz SoD puede detectar conflictos potenciales en toda la organización y ayudar a resolverlos a tiempo, al tiempo que proporciona seguridad frente a daños graves.

Las matrices SoD se generan automáticamente en las empresas modernas que confían en el software ERP. Una matriz SoD generada se basa en las tareas y funciones de un usuario definidas en su software ERP.

Aquí, cada tarea debe coincidir con un proceso en un flujo de trabajo de transacción determinado con el fin de agrupar las tareas y los roles, asegurando que a ningún usuario se le permite ejecutar más de un paso en el flujo de trabajo.

Además, una matriz SoD puede representarse mediante un gráfico en el que los roles de usuario se mantienen en ambos ejes – X e Y que significan conflictos SoD. Además, asigna los deberes y las actividades a los roles en un flujo de trabajo para permitir a los equipos de cumplimiento segregar las responsabilidades incompatibles.

Puede crear una matriz SoD utilizando un software como MS Excel o manualmente en una hoja de papel. También se pueden crear utilizando una herramienta ERP.

Ejemplo: He aquí un ejemplo de cómo puede crear una matriz SoD para la nómina de un empleado. Puede utilizar cualquier significante como sí/no, banderas o flechas de colores, una marca de verificación, etc. para las funciones y responsabilidades. Utilicemos S/N en el siguiente gráfico.

ProcesoEmpleadoIncorporación de empleadosCreación de nóminasCompensación de pagosGestión de prestaciones
Incorporación de empleados1YNNN
Creación de nóminas2NYYN
Compensación de pagos3NYYN
Gestión de los beneficios4NNNY

En el cuadro anterior, se muestra que el empleado 2 tiene autorización para crear cheques de pago y compensarlos. Por lo tanto, no debe modificar las prestaciones ni contratar empleados. Si lo hacen, puede surgir un conflicto de SoD. Del mismo modo, el empleado 1 es responsable de la contratación de nuevos empleados. Por lo tanto, no deben crear nóminas, gestionar prestaciones ni compensar pagos. De lo contrario, puede producirse un conflicto de SoD.

Cómo implantar SoD

Así pues, si está pensando en implantar la SoD pero no sabe por dónde empezar, estos son los pasos que puede seguir:

#1. Defina los procesos y las políticas de la organización

organizational-policies

En primer lugar, debe definir todos los procesos organizativos clave de los que son responsables los empleados. Puede basarse en el tamaño de su organización y en el tipo de industria. Una vez que defina cada proceso y tarea, enumere también sus políticas. Defina políticas para sus empleados internos, proveedores externos y otras entidades con las que trate.

Por ejemplo, en su departamento de RR.HH., puede que desee enumerar tareas como la contratación y la incorporación de empleados, la creación de beneficios y compensaciones, la compensación de pagos, el mantenimiento de registros, etc. Del mismo modo, en el departamento de contabilidad, puede enumerar tareas como la confirmación de entrega de productos, la revisión de facturas, la firma de cheques, el pago de facturas, etc.

Además, tendrá que esbozar las políticas que ha establecido para sus departamentos y empleados. Por ejemplo, un empleado que emita un pago no debe ser también el que firme los cheques. Otro ejemplo de política podría ser: el empleado responsable de vender un producto no debe confirmar también su entrega.

#2. Cree una matriz SoD

Después de definir sus tareas y políticas, debe crear una matriz SoD para enumerar todas las funciones y tareas. Le ayudará a comprender qué empleados son responsables de qué tareas y si existe alguna posibilidad de conflicto o violación de la DdS.

creatematrix

El cuadro anterior le ayudará a crear una matriz de SoD para su organización. Pero a veces resulta difícil detectar los conflictos de DdS, sobre todo cuando las representaciones no se ajustan adecuadamente a las tareas. Para ello, puede adoptar dos enfoques al crear una matriz de DdS:

Definir claramente todas las tareas y etiquetar cada conflicto de SoD: crea una matriz grande pero ofrece una mayor precisión en la representación visual de las tareas y los roles.

Omita algunas tareas o agrúpelas: Le proporcionará una matriz condensada, fácil de analizar y de centrarse en los conflictos de SoD. Sin embargo, podría dar lugar a falsos positivos y a errores que afecten a los resultados y conflictos de la DdS.

#3. Asigne tareas

Una vez que haya detectado todos los conflictos de DdS, empiece a asignar tareas y subtareas a los empleados, aprovechando el concepto de segregación de funciones. Si se encuentra con un escenario en el que no puede aplicar la SoD, busque una forma sólida de controlar y supervisar al empleado que realiza la tarea para disuadir cualquier riesgo.

#4. Gestionar y revisar

manageandreview

Es vital que controle y revise sus tareas y funciones para asegurarse de que la DdS está bien aplicada y de que no existe ningún conflicto o violación potencial. Y si detecta alguno, gestione sus funciones y tareas reasignándolas de nuevo. Siga supervisando para prevenir riesgos.

Conclusión

La segregación de funciones (SoD) constituye una forma excelente de gestionar los controles internos y prevenir el fraude y los errores. Ayudará a garantizar la seguridad de la organización para que nadie adquiera un control excesivo, suficiente para causar daños a su organización en términos de filtración de datos, fraude o actividades ilegales. Así pues, implante la SoD en su organización y manténgase seguro y vigilante.

También puede explorar algunas herramientas de detección y prevención de fraudes para negocios en línea.