Guia de Control para La Segregacion de Funciones
Guia de Control para La Segregacion de Funciones
Guia de Control para La Segregacion de Funciones
Segregación de Funciones
www.auditool.org
Guía de Control de Segregación de Funciones
La Administración debe distribuir entre los diferentes cargos o puestos de trabajo las funciones
y responsabilidades, a través de la estructura organizacional. Cada puesto de trabajo debe
describirse detalladamente; esto incluye los procedimientos a llevar a cabo, así como las
responsabilidades que el empleado tiene, y los usuarios y permisos de acceso al sistema de
información de la entidad. Debido a que las operaciones están divididas por fases, lo ideal es
que existan empleados diferentes para desarrollar los procedimientos en cada una, lo que
permitirá identificar fácilmente cualquier error o intento de fraude en el momento en que se
lleve a cabo el procedimiento.
Aprobación/
Autorización Registro Reporte
Ejecución Custodia
www.auditool.org 2
Por ejemplo, en el proceso de compras, si un mismo empleado tiene acceso a las fases de
habilitar a un nuevo proveedor, realizar la orden de compra, y hacer el pago al proveedor, un
responsable realiza el proceso de punta a punta, lo que evidencia una falta de control y un
conflicto de segregación que representa un riesgo de fraude alto para la entidad. Por esto, es
necesario realizar un análisis de las funciones y responsabilidades de los empleados para
separar las actividades de aprobación, autorización, ejecución y registro de las transacciones,
en la medida de lo posible, dentro de la entidad. Una implementación inadecuada de la
segregación de funciones puede generar en la entidad dificultades como estas:
www.auditool.org 3
Para asegurar que la segregación de funciones esté implementada y funcionando
adecuadamente en la entidad, es necesario establecer el diseño del control con claridad, como
se presenta a continuación:
Diseño Elementos a tener en cuenta durante el diseño de Sí No
la segregación de funciones
Tipo de 1. La segregación de funciones es un control de
control/proceso detección y manual.
www.auditool.org 4
Diseño Elementos a tener en cuenta durante el diseño de Sí No
la segregación de funciones
6. Todas las transacciones son autorizadas por
Autorización funcionarios con la responsabilidad y autoridad
para hacerlo.
7. Las transacciones son registradas por
Registro funcionarios diferentes a los anteriores, con la
responsabilidad y autoridad para hacerlo.
8. Los activos son custodiados por funcionarios
Custodia con la responsabilidad y autoridad para hacerlo.
9. Cuando se detectan errores o irregularidades en
Detección de errores y los procesos que desarrollan los funcionarios,
análisis se realiza la correspondiente investigación para
determinar sus causas e implementar los
correspondientes correctivos.
10. Se realiza un análisis de los conflictos de
Mitigación segregación identificados, para implementar los
controles necesarios y mitigar el riesgo
asociado. Además, se cuenta con una lista de
los empleados, con nombre y puesto de trabajo,
que se encargan de ejecutar dichos controles
mitigantes, para evaluar si no representan un
nuevo conflicto de segregación.
11. Se busca corregir permanentemente los
Remediación conflictos de segregación de funciones a través
de la implementación de diferentes medidas:
- Depuración táctica de los usuarios,
- Rediseño estratégico de roles,
- Modificación de la asignación de usuarios a los
roles del sistema,
- Reestructurar las responsabilidades por puestos
de trabajo.
www.auditool.org 5
Diseño Elementos a tener en cuenta durante el diseño de Sí No
la segregación de funciones
12. La Gerencia revisa periódicamente las
Revisión de Gerencia funciones y responsabilidades de cada
funcionario, con el fin de verificar el
cumplimiento de las políticas y manuales, y
determinar si existe algún conflicto de
segregación.
www.auditool.org 6
El siguiente diagrama representa el proceso general para implementar la segregación de
funciones:
Segregación
de funciones
Identificación de las
transacciones que representan
mayor riesgo en su operación –
MATRIZ DE CONFLICTOS y
MAPEO DE APLICACIONES
Implementación de controles de
acceso al sistema de información
USUARIO - CONTRASEÑA
www.auditool.org 7
Es importante determinar si el diseño de la segregación de actividades es adecuado o si, por
el contrario, no cumple con todos los elementos esenciales del diseño y es necesario
replantear los procedimientos, teniendo en cuenta que deben ser dinámicos.
Repetición
Inspección
Indagación
www.auditool.org 8
En el siguiente cuadro se presentan los principales elementos a tener en cuenta para la
evaluación de la efectividad del control:
www.auditool.org 9
A partir de toda la información recolectada con respecto al control de segregación de
funciones, el auditor puede presentar su informe con los resultados, determinando según
dicha información los siguientes aspectos:
www.auditool.org 10
Fase Descripción
www.auditool.org 11
Órganos directivos
Cada cargo o puesto de trabajo de la entidad debe contar con una descripción detallada de
los deberes, funciones y responsabilidades que comprende. Así mismo, se deben determinar
las competencias, habilidades, conocimientos y experiencia que se necesita para desempeñar
dicho cargo.
www.auditool.org 12
Control de segregación de funciones Sí No
www.auditool.org 13
ROLES
USUARIOS PERMISOS RECURSOS
FUNCIONALES
www.auditool.org 14
Según los procesos llevados a cabo en la entidad, en el sistema de información el
departamento de TI debe documentar todos los procedimientos, dando a conocer a los
usuarios la manera de manejar las aplicaciones.
Existe una serie de actividades y funciones que se consideran incompatibles y, por ende, no
debe llevarlas a cabo un mismo empleado, porque pueden representar un riesgo de fraude o
error. El siguiente cuadro presenta algunas de dichas funciones:
Sucede
Actividades y funciones incompatibles en la segregación de funciones
Sí No
1. La custodia de activos, el registro contable y la aprobación de venta y/o
enajenación de activos es posible que lo ejecute el mismo funcionario o
departamento.
2. El registro de operaciones y su conciliación son realizadas por el mismo
funcionario.
3. Recibo de pagos en efectivo, registros contables y conciliaciones
bancarias están adscritas a distintas personas.
4. Ídem en el desarrollo y administración de aplicaciones, y registro de
transacciones.
5. Ídem en aprobación y registro de transacciones en el sistema.
6. Ídem en solicitud y aprobación de compra.
7. Ídem en el ajuste y registro de operaciones.
www.auditool.org 15
Sucede
Actividades y funciones incompatibles en la segregación de funciones
Sí No
8. Registro de información en los datos maestros, registro de operaciones,
aprobación de compras, pagos o facturas.
9. Recibo de mercancía y aprobación de facturas de los proveedores.
10. Aprobación de facturas de proveedores y pago a proveedores.
11. Elaboración de facturas de los clientes y registro de pagos de clientes.
12. Aprobación de pagos, preparación de pagos, y aprobación de
conciliaciones bancarias.
13. Administración de información de empleados, aprobación de
contratación de empleados, asignación de salarios, y aprobación de
pagos a empleados.
14. Custodia de inventario y realización de ajustes al inventario.
15. Custodia de inventario y conteo físico de inventario.
Uno de los conflictos de segregación más comunes en las entidades se presenta cuando son
despedidos empleados o estos renuncian, y sus puestos no son reemplazados, con lo que se
traslada esta carga de trabajo a otro u otros empleados, y se les da accesos a información y
el desarrollo de más de un proceso de una misma transacción, lo que eleva el riesgo de fraude.
Por esta razón, las entidades deben evaluar este riesgo de disminución de empleados y
elaborar planes que les permitan controlar las transacciones sin generar conflicto (ver anexo
1).
Una vez analizada la matriz de conflictos, se debe realizar un mapeo de cada transacción,
especificando cómo se lleva a cabo la transacción en el sistema, la asignación de usuarios y
cuáles son los accesos autorizados. Este mapeo permite reconocer todos los métodos
posibles, en el sistema o los sistemas de la entidad, para realizar una transacción y, de esta
manera, determinar todas las posibilidades de fraude y realizar una segregación de funciones
adecuada.
www.auditool.org 16
Mapeo de aplicaciones
Usuario /
Transacción Proceso Encargado Permisos de Riesgo Control
acceso
Como hemos señalado, la segregación de funciones es un control interno que permite dividir
las fases de las operaciones entre los empleados, lo que permite efectuar un control sobre
cada proceso que se realiza y, por ende, disminuir el riesgo de fraude. Sin embargo, no todas
las entidades cuentan con varios empleados para que cada uno lleve a cabo un proceso de
la operación o transacción, por lo que se puede presentar el caso, sobre todo en entidades
pequeñas, de que un mismo empleado tiene la responsabilidad de llevar a cabo dos o más
procesos de una misma transacción y puede acceder y manipular la información.
Para evitar que se presenten errores o irregularidades dentro de los procesos, la entidad debe
diseñar su propio control de segregación de funciones, de acuerdo con sus características y
teniendo en cuenta los siguientes elementos:
• Selección rigurosa de personal, orientada a una contratación de personas con valores
éticos y morales, y con los conocimientos y la experiencia necesarios para los cargos que
vayan a desempeñar en la entidad.
www.auditool.org 17
• Determinar perfiles para los cargos o puestos de trabajo en la entidad, con el fin de elegir
al personal con los conocimientos necesarios para desempeñar las funciones y
responsabilidades del cargo.
• La entidad debe establecer metas y objetivos realistas, con respecto a ventas, recaudos y
crecimiento en el mercado.
• Los controles establecidos no pueden ser eliminados o sobrepasados por ningún
empleado, por más confianza que se le tenga; las políticas, procedimientos y lineamientos
deben ser cumplidos por todo el personal.
• Los controles establecidos deben ser sencillos y ejecutados en tiempo real.
• Se deben desarrollar auditorías que permitan evaluar los procesos y determinar si existe
cualquier error, irregularidad o desviación.
• Las directivas deben actuar de forma ejemplar ya que, si son modelo de buenos principios
y valores, eso lo transmitirán a todos los empleados de la entidad.
www.auditool.org 18
ANEXO 1: MATRIZ DE CONFLICTOS
1
Anexo 2: Riesgos
www.auditool.org 19
MATRIZ DE CONFLICTOS DE LA SEGREGACIÓN DE FUNCIONES
www.auditool.org 20
MATRIZ DE CONFLICTOS DE LA SEGREGACIÓN DE FUNCIONES
Autorización de la compra
Autorización del ingreso de la compra
Manipulación de los inventarios físicos
Verificación, en el sistema, de la orden de
compra y comparación con la factura.
Comprobación del ingreso de la mercancía
Inventarios
Registrar en el sistema el ingreso de la
mercancía
Realizar conteo físico / inventario
Registrar en el sistema resultados del inventario
Aprobación de ajustes a inventarios
Conciliaciones de inventarios
Selección de personal
Nómina
Contratación y promoción de personal
www.auditool.org 21
MATRIZ DE CONFLICTOS DE LA SEGREGACIÓN DE FUNCIONES
www.auditool.org 22
MATRIZ DE CONFLICTOS DE LA SEGREGACIÓN DE FUNCIONES
www.auditool.org 23
ANEXO 2: RIESGOS ASOCIADOS A UNA INADECUADA SEGREGACIÓN DE FUNCIONES
RIESGOS ASOCIADOS POR UNA INADECUADA SEGREGACIÓN DE FUNCIONES
TRANSACCIÓN RIESGOS BAJO MEDIO ALTO
Accesos no autorizados al sistema
Generales Ingreso de datos incompletos o incorrectos
Registro de transacciones incompletas o incorrectas
Creación de proveedores ficticios
Realizar compras y pagos a proveedores ficticios
Compras
Compras a proveedores con precios más altos del mercado
No pago a los proveedores y no cumplimiento de créditos
Creación de clientes falsos
Ventas ficticias
Ventas
Cambio en los precios de productos
No registro de las ventas realizadas
Ajustes en inventarios para ocultar faltantes de mercancía
Inventarios
Ajustes en inventarios para ocultar la entrada de mercancía
Creación de personal no existente en la entidad
Pago de sueldos a empleados no existentes o retirados
Nómina Pagos incorrectos a los empleados
No pago de prestaciones sociales
Aumentos de sueldos y pagos de comisiones sin razón ni soportes
No registro de transacciones en el sistema
Tesorería
Gastos sin soportes
www.auditool.org 24