[La matriz de segregación de funciones SOX

Los escándalos financieros protagonizados por varias empresas estadounidenses a principios de la década de 2000 (Enron es la más conocida) llevaron a Estados Unidos a reformar la contabilidad de las empresas que cotizan en bolsa para proteger a los inversores. Esta ley de 2002, aprobada por el Congreso estadounidense y conocida como Ley Sarbacanes-Oxley (o SOX), impone nuevas normas financieras a las empresas con vistas a mejorar la fiabilidad de la información financiera. Una de estas normas es la matriz SOX.
Hablaremos de la matriz SOX dentro de un momento, pero antes permítanme responder a una pregunta de uno de nuestros lectores.

Ni que decir tiene que agradezco todos los comentarios, incluido uno reciente sobre mi artículo Segregación de funciones y su papel en el cumplimiento de la ley Sarbanes-Oxley:

Hankewicz se refirió a la Sección 404 en su artículo "Segregation of Duties and its Role in Sarbanes-Oxley Compliance Issues". Afirmó que "esta sección (404) es una lista exhaustiva de controles internos aceptados que las empresas deben tener para que se las considere conformes con la SOX. La lista se centra en los controles internos dentro de la aplicación y destaca las áreas en las que es probable que se produzcan informes fraudulentos." Nos encantaría que se tratara de una "lista exhaustiva". De hecho, la adecuación de los controles está sujeta a la interpretación individual. NO HAY "orientación clave en esta sección [para] la segregación de funciones".

Creo que la introducción de la SOX y de la Sección 404 (Evaluación del Control Interno) fue un intento de restablecer la confianza de los inversores en las organizaciones cotizadas en bolsa tras los sonados incidentes de actividad informativa fraudulenta. La Sección 404 establece que un informe de control interno debe incluir los informes financieros de todas las organizaciones que cotizan en bolsa. Estoy de acuerdo en que la Sección 404 deja mucho margen a la interpretación individual al afirmar en términos bastante generales que la dirección de la empresa es responsable de establecer una "estructura de control interno adecuada" y que todos los auditores deben poder dar fe del nivel de "control interno" de la organización.

Está claro que la Sección 404 era la parte más difícil de la SOX. Sin embargo, el Public Company Accountability Oversight Boardle (PCAOB) ha intentado desmitificar los elementos más ambiguos de la sección. En 2004, el PCAOB publicó su Norma de Auditoría nº 2 y, en 2007, publicó su informe orientativo sobre la norma AS 5.

Estos informes de orientación se inspiraron en las normas establecidas por el Comité de Organizaciones Patrocinadoras de la Comisión Treadway (COSO) (desde 1965).

Entre las principales disposiciones figuran

1. identificar los elementos clave del informe financiero
2. identificar los riesgos asociados a los elementos significativos de la información financiera en estas cuentas o divulgaciones
3. determinar qué controles a nivel de transacción abordarán estos riesgos en ausencia de controles con el nivel de precisión adecuado
4. determinar los controles a nivel de transacción que harían frente a esos riesgos en ausencia de controles específicos a nivel de la entidad
5. determinar la naturaleza, el alcance y el calendario de las pruebas recopiladas para completar la evaluación de los controles internos.

Para más información, consúltense los sitios web del COSO y del PCAOB.

Ver todos los software Conformidad

La matriz de segregación de funciones SOX

Ver todos los software Conformidad

Un elemento fundamental del control interno es la segregación de determinadas tareas clave. La idea básica que subyace a la segregación de funciones es que ningún empleado o grupo debe estar en condiciones de cometer errores sistémicos o fraudes en el curso normal de los negocios. En general, las principales tareas incompatibles que deben segregarse son :

• custodia de activos
• autorizar o aprobar transacciones relacionadas que afecten a dichos activos
• registro o notificación de transacciones relacionadas
• ejecución de la transacción o transacciones

Una característica esencial de la segregación de funciones/responsabilidades dentro de una organización es que ningún empleado o grupo de empleados de una empresa estadounidense tenga un control ilimitado sobre ninguna transacción o grupo de transacciones.

Basándome en los criterios anteriores, he elaborado una matriz para destacar las tareas realizadas por una persona o grupo de personas que podrían dar lugar a una inadecuada segregación de funciones.

La matriz se divide en tres partes:

1. Contabilidad y control de existencias
2. Gastos y control financiero
3. Organización e infraestructura informática

Cada pestaña tiene cuatro áreas principales:

• De izquierda a derecha, cada sección enumera un conjunto de actividades, con un total de 98 actividades en las tres pestañas.
• La columna del extremo izquierdo enumera las funciones individuales de las personas que suelen desempeñar los criterios de la actividad.
• He marcado las celdas en las que las funciones coinciden con las actividades, lo que permite identificar fácilmente posibles áreas de conflicto.
• En la parte inferior de cada pestaña, he resumido el número total de responsabilidades que se solapan y he asignado un factor de riesgo:

Alto: 0-4 responsabilidades solapadas
Medio: 5-9 responsabilidades solapadas
Bajo: más de 9 responsabilidades solapadas

Los factores de riesgo se basan en principios contables generalmente aceptados, así como en los principios SOX de la Sección 404. Están concebidos como una guía para evaluar las organizaciones y poner de relieve las áreas que requieren más ajustes.

Cuantas más personas observen una actividad, menor será el riesgo de actividad fraudulenta para su organización. He creado una sección (azul oscuro) en la que puede calificar a su propia organización.

El objetivo es garantizar una separación de funciones suficiente y la existencia de una serie de controles y equilibrios para minimizar el riesgo de fraude.