Guía para la implementación de controles compensatorios en empresas

Estimados todos,

En este documento me gustaría compartir cómo se pueden definir controles de mitigación/compensación desde un punto de vista empresarial. La mitigación solo conduce a resultados deseados cuando un riesgo potencial está adecuadamente segregado o controlado.

Debido a un número casi ilimitado de posibles conflictos de segregación de funciones, es necesario definir los conflictos importantes (para su empresa) y diseñar y construir reglas para identificar los riesgos dentro de GRC. Además, es necesario abordar los conflictos SOD seleccionados a través de la segregación de funciones o controles compensatorios.

Además, es importante tener en cuenta que la segregación de funciones solo se logra plenamente cuando tanto la implementación de la segregación dentro de los procesos (Usuario A crea un registro, mientras que el Usuario B lo revisa) como la restricción adecuada de los derechos de acceso dentro de las aplicaciones SAP están presentes simultáneamente.

En caso de que la segregación de funciones no se pueda lograr debido a la falta de personal u otras razones, se deben implementar controles compensatorios (controles alternativos) para minimizar los riesgos de acumulación de funciones. Estos controles de detección son menos deseables que la segregación de funciones, que es un control preventivo. A continuación se enumeran los diversos tipos de controles compensatorios que la dirección debería considerar implementar cuando exista una segregación inadecuada de funciones incompatibles:

• Segunda firma: por ejemplo, se requieren dos firmas para autorizar pagos bancarios, inicio de transferencias de salario, órdenes de compra, etc.
• Revisión por un supervisor: por ejemplo, el informe diario de entradas en el diario revisado y firmado por el supervisor de la persona responsable de ingresar las entradas en el diario.
• Informes de excepción: estos informes deben revisarse de manera oportuna, verificarse con documentos de respaldo que evidencien la autorización y firmarse por el supervisor. Algunos ejemplos de informes (preferiblemente informes estándar de SAP y generados por el sistema):
  • Informe de cambios realizados en cuentas de G/L -> informe de cuentas de GL actualizadas/abiertas
  • Informe de registros contabilizados en cuentas de provisiones
  • Informe sobre partidas pendientes resultantes de conciliaciones (por ejemplo, conciliación bancaria, conciliaciones de G/L y submayores, etc.)
  • Lista de ajustes a un período anterior
  • Informe de pagos por encima de un umbral dado
  • Informe de cambios realizados en datos maestros de clientes
  • etc. etc.
• Revisión detallada e independiente de transacciones para el departamento o función. Por ejemplo, cuando un usuario puede realizar todas las actividades clave de una transacción sin una segregación adecuada de funciones, se debe realizar una revisión independiente de las transacciones detalladas para el departamento de manera regular para identificar, investigar y corregir transacciones impropias/erróneas. Esto definitivamente debe ser realizado por una segunda persona independiente.
• Revisión aleatoria de transacciones: la dirección debería revisar periódicamente una muestra de transacciones y compararlas con los documentos de respaldo.

Además, se recomienda encarecidamente que los controles compensatorios sean revisados y verificados periódicamente por una persona independiente (por ejemplo, auditoría interna) para garantizar que los controles alternativos estén funcionando correctamente.

Espero sus aportes al respecto para obtener también otras opiniones de personas involucradas en el diseño de procesos para controles compensatorios.

Gracias por leer.

Saludos cordiales,

Alessandro