Segregación de deberes (SOD) en la auditación es la idea de requerir que más de una persona complete ciertas tareas clave para evitar fraudes y errores.
La separación de funciones es un elemento fundamental de los controles internos. El principio básico que subyace a la separación de funciones es que ninguna persona o grupo de empleados debe estar en condiciones de cometer y ocultar errores o fraudes en sus trabajos cotidianos.
Dependiendo del tamaño y la naturaleza de una empresa, los títulos de trabajo reales y las estructuras organizativas pueden variar mucho entre las empresas.
Bajo el concepto de SOD, las tareas que son críticas para el negocio se pueden clasificar en cuatro tipos de funciones:
- Autorización
- Custodia
- Mantenimiento de registros
- Reconciliación
En un sistema perfecto, ninguna persona debe manejar más de un tipo de función.
El concepto general de SOD es impedir que una persona tenga acceso a los activos, así como la responsabilidad de mantener la rendición de cuentas de esos activos. Esencialmente, SOD promueve las responsabilidades compartidas de un proceso clave que dispersa las funciones críticas de ese proceso a más de una persona, departamento o empresa.
La separación de funciones es una cuestión clave para que las organizaciones garanticen el cumplimiento de las leyes y reglamentos. La importancia de SOD se deriva de la consideración de que dar a una persona el control completo de un proceso de negocio o un activo puede exponer a una empresa a riesgos.
Por lo tanto, la aplicación del SOD es un elemento de control importante para apoyar el logro de una estrategia eficaz de gestión de riesgos.
Aunque no existe una norma de auditoría de control interno ni un precepto contable que prescriba requisitos específicos de SOD, mantener un sistema de controles internos eficaces requiere la separación adecuada de funciones.
Para que los controles internos sean eficaces, tiene que haber una división adecuada de responsabilidades entre las personas que manejan activos y las que realizan actividades de control o procedimientos contables.
En general, las organizaciones deben diseñar el trabajo de procesamiento de transacciones y las tareas relacionadas de manera que el trabajo de una persona sea independiente del trabajo de otra o sirva para verificar el trabajo de otra.
Hacerlo reduce los riesgos de errores no detectados y limita las oportunidades de apropiarse indebidamente de activos u ocultar declaraciones erróneas intencionales en los estados financieros de una empresa. SOD actúa para disuadir el fraude y evitar que una persona oculte errores porque esa persona tendría que asegurar la cooperación de otra persona para ocultar esas actividades.
SOD es bien conocido en sistemas de contabilidad financiera. Las organizaciones de todos los tamaños entienden que no deben combinar funciones, como recibir pagos de cuentas y aprobar cancelaciones, depositar efectivo y conciliar estados de cuenta bancarios, etc.
Aunque SOD es bastante nuevo para la mayoría de los departamentos de tecnología de la información (TI), muchos problemas de auditoría interna de Sarbanes-Oxley (SOX) provienen de ÉL. SOX, que se aprobó en 2002, ayuda a proteger a los inversores de los informes financieros fraudulentos de las corporaciones.
En los sistemas de información, la separación de funciones ayuda a reducir el daño potencial de las acciones de una persona. De acuerdo con la Matriz de Control de Segregación de Funciones de ISACA, las empresas no deben combinar algunas funciones en un solo puesto.
Sin embargo, la matriz no es un estándar de la industria, sino más bien una guía general que indica qué posiciones deben separarse y cuáles requieren controles de compensación cuando se combinan. Los controles compensatorios son controles internos destinados a reducir el riesgo de una deficiencia de control existente o potencial.
Cuando una organización no puede separar sus funciones, debe establecer controles compensatorios. Si una persona puede llevar a cabo y ocultar errores y/o irregularidades en su trabajo diario, se le han asignado tareas que no son compatibles con SOD. Hay varios mecanismos de control interno que pueden ayudar a una empresa a hacer cumplir la segregación de funciones:
- Los registros de auditoría permiten a los auditores recrear el flujo de transacción real desde su origen hasta su existencia en un archivo de auditoría actualizado. Una buena pista de auditoría debe proporcionar información sobre quién inició la transacción, la hora del día y la fecha de entrada, el tipo de entrada, qué campos de información contenía y qué archivos actualizó.
- Los supervisores deben tramitar los informes de excepciones, respaldados por pruebas que indiquen que las excepciones se tramitan de manera adecuada y oportuna. En general, se requiere la firma de la persona que prepara el informe.
- Una organización debe mantener un sistema manual o automatizado o registros de transacciones de aplicaciones que registren todos los comandos del sistema procesados o las transacciones de aplicaciones.
- Una empresa debe contratar a alguien para que realice una revisión independiente, lo que puede ayudar a detectar errores e irregularidades en los estados financieros, por ejemplo.
Las organizaciones deben aplicar el SOD adecuado exigiendo la separación de funciones entre individuos o grupos de individuos. Hay varios niveles diferentes de separación de funciones:
- SOD por individuos (SOD a nivel individual) : Este es el nivel tradicional y más básico de separación de funciones. En este caso, el CÉSPED se logra haciendo que diferentes personas realicen diferentes tareas. Por ejemplo, un gerente autoriza a un trabajador a hacer un pago.
- SOD por funciones o unidades organizativas( SOD a nivel de unidad): En este nivel, diferentes funciones, es decir, departamentos, realizan las tareas separadas. Por ejemplo, el departamento de ventas podría preparar una oferta y la función de gestión de riesgos la firma.
- CÉSPED por empresas (césped a nivel de empresa): En este nivel, se requieren diferentes entidades jurídicas para realizar operaciones. Por ejemplo, la empresa controladora podría tener que autorizar las inversiones realizadas por una filial. Otro ejemplo de SOD a nivel de empresa es una auditoría de terceros.
Dado que el SOD es un control interno, una organización debe verlo en el marco de sus actividades de gestión de riesgos. Una empresa debe analizar a fondo los procesos de negocio y tomar decisiones sobre la detección y resolución de posibles conflictos.
Si persiste algún conflicto, la organización debe establecer controles compensatorios para gestionar adecuadamente los riesgos asociados. Lo más importante, SOD requiere que una organización tenga una comprensión clara de los individuos involucrados, sus roles y cualquier conflicto potencial.