La segregación de funciones en tiempos de crisis

Desde la última crisis económica mundial en 2008, se ha podido observar una progresiva concienciación y aumento de la percepción del riesgo que puede generar contar con una incorrecta segregación de funciones a consecuencia de los cambios organizacionales o la transformación tecnológica. Sin embargo, aún es frecuente encontrarse compañías en las que se ha producido un desalineamiento entre determinadas responsabilidades definidas en los job descriptions y los controles realizados a nivel proceso, y los accesos permitidos a sus usuarios y los roles configurados en los sistemas.

Es cierto que muchas compañías han incorporado medidas de segregación de funciones para reforzar el proceso de gestión de accesos a los sistemas a medida que se han ido sucediendo las distintas operaciones corporativas durante los últimos años. Sin embargo, los resultados publicados de la Encuesta de Comisiones de Auditoría Global de KPMG de 2019, muestran que el 55% de los 1.300 miembros de comisiones de auditoría encuestados consideran que el mantenimiento del control interno en periodos de expansión y cambios tecnológicos rápidos sigue siendo uno de los principales desafíos que se plantea en su supervisión.

A este respecto, las compañías deberían preguntarse si ante el elevado volumen de cambios y acciones de emergencia que están llevando a cabo por el COVID-19, se están teniendo en consideración los posibles efectos de estas sobre la segregación de funciones, para dar una respuesta adecuada a la crisis sin agravar la situación.

William D. Duhnke III, presidente del supervisor PCAOB, ha enfatizado que “la crisis del COVID-19 está teniendo un impacto significativo en inversores, emisores y auditores por igual”. Por este motivo, anticipándose a la finalización de las auditorías, el PCAOB ha publicado el documento Reminders for Audits Nearing Completion in Light of COVID-19 para recordar la relevancia de la labor del auditor en esta situación y la normativa aplicable, teniendo en cuenta que los inversores dependen ahora, más que nunca, de la integridad de los estados financieros.

El documento destaca la importancia de identificar, evaluar y responder a los riesgos y efectos que la crisis de COVID-19 pueda ocasionar sobre los procesos y controles del modelo Sarbanes Oxley (SOX) afectados por los cambios en la operativa, las restricciones de viaje o el trabajo remoto. Las deficiencias en nuevos controles implantados o modificados incrementan el riesgo, y se potencia por la falta de segregación de funciones o de supervisión.

En numerosos casos el riesgo pasa inadvertido hasta que se materializa por un fallo o ausencia de control, bien sea en el momento o en el futuro cuando se vuelve a la normalidad, repercutiendo enormemente en ese preciso instante sobre la imagen pública y la reputación de la organización, absorbiendo mayor cantidad de recursos para su subsanación posterior.

¿Cómo pude impactar el COVID-19 en la segregación de funciones de la organización?

Tal y como se describe en los IAGC publicados por las compañías españolas, todas ellas cuentan con modelos de control maduros (SCIIF) alineados con los estándares de referencia, los cuales incorporan medidas específicas de segregación de funciones. Sin embargo, ante la llegada de la crisis del COVID-19 se deberían evaluar los efectos derivados del cambio en las formas de trabajar y la nueva situación de los procesos, controles y sistemas soporte, así como la efectividad de las medidas de supervisión existentes.

A efectos de velar por un adecuado funcionamiento de la segregación de funciones durante el proceso de adaptación a la nueva situación de crisis, será clave conocer la situación y realizar seguimiento al menos de los siguientes aspectos:

• El departamento de sistemas puede haber tenido que reaccionar con excesiva rapidez para organizar y configurar los equipos y accesos en remoto para continuar la actividad mediante la modalidad de teletrabajo, pudiendo producirse errores.
• Se realizan peticiones urgentes al equipo de Sistemas para asignar roles y accesos provisionales para poder resolver situaciones de emergencia en la operativa, donde se pueden haber flexibilizado los procesos de aprobación, o no haber restableciendo la situación original una vez resuelta la emergencia.
• Ante la salida temporal o definitiva de empleados, puede que los accesos de sus usuarios no se bloqueen de forma correcta o a tiempo en los distintos sistemas, o se realice una gestión inapropiada por los compañeros que hagan de backup de otros pudiendo compartir las claves y usuarios.
• Se pueden estar produciendo cambios de proveedores de servicios externalizados o rotaciones en sus equipos, los cuales llevan a cabo la gestión de procesos críticos tales como el cierre contable o la administración contable o fiscal en los sistemas corporativos.
• Los empleados se encuentran trabajando durante semanas en remoto sin la presencia de sus responsables o alcance visual de compañeros, y la confianza y su percepción de la compañía puede cambiar ante medidas y decisiones que las compañías se ven obligadas a tomar. Tal y como defiende el profesor Muel Kaptein en el libro Why good people sometimes do bad things y diversos artículos publicados, la confianza puede dañarse severamente en momentos de crisis.

Este riesgo conductual puede ser un factor de riesgo determinante y peligroso para que se cometan casos de fraude laboral, si se combina con una incorrecta segregación de funciones en los accesos, dado que se estarán presentando en la compañía los tres factores de la teoría del Triángulo del Fraude (Incentivo, actitud y oportunidad).

En tiempos de gran incertidumbre donde los efectos de la crisis continuarán extendiéndose, se precisará la máxima resiliencia de las compañías para dar soluciones ágiles a las necesidades cambiantes. En este contexto, ahora más que nunca será crucial conocer bien las vulnerabilidades existentes y disponer de la información precisa para tomar decisiones apropiadas y proporcionales. La segregación de funciones puede jugar un papel como aliado clave para tal fin, permitiendo disponer de un mecanismo de control adicional para reducir el riesgo de realizar acciones erróneas o inapropiadas a lo largo de este proceso de adaptación a la “nueva realidad”.