ISO 37001 – Controles Financieros – Parte 1

El presente artículo tiene como finalidad la explicación de los controles financieros listados en el anexo de la norma ISO 37001 Sistemas de Gestión Antisoborno, con el objetivo de identificar los controles que ya existen en una organización, así como la manera en cómo implementarlos. Empecemos por la definición, los controles financieros son:

“Sistemas de gestión y procesos que implementa la organización para gestionar sus transacciones financieras correctamente y para registrar estas transacciones con precisión, de forma completa y de manera oportuna”

Notas preliminares:

  1. En una empresa, regularmente ya vamos a encontrar controles financieros implementados de manera orgánica , así que estos deben ser considerados como controles existentes a la hora de evaluar los riesgos, es responsabilidad del consultor tener la capacidad de identificarlos.
  2. Personalmente clasifico los controles en dos grupos (i) Prevención: aquellos que sirven para disminuir la probabilidad o el impacto de los riesgos. Son considerados más proactivos (ii) Detección: suelen servir para disuadir o detectar fallas en los controles o en el sistema, pero una vez ocurrido el suceso. Se le considera más reactiva.
  3. Estos son los controles más básicos posibles, el articulo esta creado para aquellas organizaciones que desean implementar por primera vez el sistema de gestión, así como aquellas que quieran reforzar en la identificación de controles existentes.

La norma nos da 9 ejemplos de controles financieros, en este articulo se desarrollaran los 3 primeros haciendo comentarios donde se considere pertinente:

I. SEPARACIÓN DE FUNCIONES

Este control es el más sencillo y más lógico de implementar, la norma nos habla de que en una empresa no debería existir la posibilidad de que una misma persona programe, apruebe y ejecute los pagos (hay que recordar que para que un soborno se materialice, debe haber un beneficio para el sobornado, que suele ser monetario y lo que se busca en los controles financieros es controlar el egreso del efectivo de la empresa). Nota: Los sistemas de gestión tradicionales no suelen entrar a este campo, a lo más modelan procedimientos para cotizar servicios o productos; o seleccionar proveedores, pero no suelen entrar a procedimientos de pago.

En una organización mediana-grande suele ya existir por default este control; asumamos que los medios para efectuar pagos son los tres (3) siguientes, desarrollemos cada una:

                    I.       Transferencias por medio de bancos

La transferencia por medio de bancos se refiere a la transferencia del dinero de una cuenta bancaria a otra, sin necesidad de retirarla. Todos los bancos usan para tal fin “tokens” pero con distintos “perfiles” de acceso. Empezando por el hecho que la solicitud de los “tokens” no lo puede hacer cualquier trabajador, sino alguno que tenga poderes o representación bancaria para tal fin (dicho sea de paso, el régimen de poderes es otro control para este sistema de gestión) y adicionalmente se suelen solicitar dos o más “tokens” con roles o “perfiles” distintos, uno para programar pagos, otro para revisarlos y otro para efectuarlos. Se debe tener cuidado ya que hay situaciones en las que se puede operar con un solo “token”, esto se da en organizaciones pequeñas.

Debemos de considerar que, de todas maneras, el grupo de personas que manejan los distintos “token” se pueden organizar para defraudar a la organización cometiendo un soborno o que la(s) persona(s) que se supone están autorizadas de usar el token no sea(n) el(las) que lo opere, por lo que se sugiere colocar un control adicional (es una sugerencia ya que su sola existencia ya es un control a considerar).

Si la organización tiene claro el procedimiento no hay problema, si no lo tiene claro, se sugiere documentar y socializar con los involucrados.

                    II.       Cheques (todos sus tipos)

Existen diversos tipos de cheques y modalidades (negociables, diferidas, al portador, de gerencia, etc.), si bien, siempre se sugieren las transferencias, es posible que en algunas circunstancias se den pagos mediante cheque (los contratos indiquen este método de pago, o el beneficiario no tiene cuentas en bancos, entre otras).

En el caso de requerir usar un cheque para efectuar un pago, se sugieren las siguientes acciones:

  •  No colocar “al portador”, siempre colocar quien es el beneficiario.
  • Sea NO NEGOCIABLE. Sello que se le coloca al cheque para que no se pueda endosar a otra persona distinta a la beneficiaria original.
  • Llevar un registro sobre los cheques que se emiten (en los estados de cuenta de los bancos no se suele colocar el detalle de lo indicado en el cheque, sino solamente el número de instrumento).
  • Dos o más personas deben de firmar el cheque para que se pueda cobrar (esto también está en el régimen de poderes de la empresa. El banco, para poder abrir una cuenta corriente o de ahorros, siempre solicitará este documento y se pondrán las reglas del juego) ¿Quiénes deben de firmar? Bueno, se sugiere que el responsable de tesorería y/o contador y/o gerente de Administración y Finanzas y/o el Gerente General; en resumen: lo define la organización.
                   III.       Efectivo

Como regla general solo se sugiere el uso de efectivo en cajas chicas (donde el monto es muy pequeño) para estos casos el responsable de la caja chica debería de contar con un procedimiento formal para poder otorgarlo, este procedimiento debería considerar:

  • Como es que el beneficiario puede acceder a caja chica.
  • Quienes aprueban la solicitud (distinto al responsable de la caja chica).
  • Situaciones especiales para el uso de la caja chica, (emergencias, transporte urbano, compras de menor cuantía), es decir, un listado de situaciones aprobadas, caso contrario deberá solicitar o un cheque o una transferencia con el debido sustento detrás.
  • Montos máximos para la caja chica
  • Montos máximos por cada operacion

En resumenla separación de funciones, se puede aplicar en la modalidad que sea, suele ya estar implementada en las organizaciones, pero en su defecto es deber del consultor o responsable, definir quiénes son las personas que podrán solicitar y aprobar las solicitudes dependiendo del caso. El control debe ser implementado considerando que cada persona debe tener un rol en el proceso, es decir, debe revisar cada uno de los pagos, sino, no se estaría controlando nada; en todo caso, las personas que intervengan en el proceso deben ser conscientes que, de suceder “algo”, son todas responsables, de manera que tomen la revisión en serio. Evaluar documentarlo.

II. NIVELES DE ASCENSO

Este control también es bastante básico y se suele encontrar en grandes organizaciones. El espíritu de este control es, principalmente, poner el ojo donde más relevante sea; si tú eres el Gerente General de una organización mediana o grande, no vas a autorizar los pagos de montos de S/ 10.00 soles, te concentras en los montos “importantes”.

Consiste en tener definidos montos de aprobación para cada nivel. Por ejemplo, si queremos autorizar un pago de S/ 1,000.00 soles la jefatura del área usuaria podrá autorizarlo a sola firma, sin embargo si el monto es de S/ 2,000.00 el tesorero no podrá efectuar el pago a sola indicación de la jefatura del área usuaria, sino que también tendrá que estar aprobado por el Gerente del Área, ahora bien, para montos mayores a S/ 5,000.00 tendrá que tener la aprobación del jefe del área usuaria, gerente del área usuaria y gerente de administración para poder efectuar el pago. Así podemos seguir hasta, inclusive, llegar a los mismos accionistas. De igual manera que el control anterior, carece de sentido implementar, si los involucrados no son conscientes de la importancia de revisar antes de aprobar. Se sugiere documentar y que el área usuaria sea el responsable del área de pagos. Nota: como te podrás imaginar, se pueden combinar este control y el anterior sin problemas. Este control claramente es preventivo.

III. VERIFICACION DEL BENEFICIARIO Y SU TRABAJO HAYAN SIDO APROBADOS

Este control puede parecer inclusive demasiado obvio, pero con algunas situaciones (no tan extremas) podremos verificar su relevancia. Este control refiere a que la organización debería contar con un procedimiento (mecanismo) para aprobar la ejecución de un gasto, es decir, no imponer un gasto a la organización que no ha sido previamente estudiado y aprobado por las personas relevantes y además, que el beneficiario (persona jurídica o natural) también haya sido aprobado. Desarrollemos.

Existen casos en los que en una organización (algo desordenada) el área de pagos (o quien haga sus veces) sea un área transaccional es decir, no verifique nada ni indague un poco; sucede que hay situaciones en las que se presenta una orden de pago y el área correspondiente simplemente verifica la aprobaciones (control anterior) y procede con el pago; el control que estamos desarrollando aquí nos pide que también tengamos una orden de compra u orden de servicio o contrato es decir, para proceder con el pago, el área responsable de esta tendría que tener:

  • Orden de compra / servicios / contrato y
  • Orden de Pago

La orden de compra / servicio es un documento con el cual obligas a la organización, antes de si quiera adquirir el bien o servicio, a pasa por un proceso de aprobación (con todo lo que esto involucra, tres cotizaciones, aprobaciones por dos niveles, revisión de presupuesto, ver si estaba presupuestado o lo que se te ocurra). De esta manera el área responsable de pagos, ya sabe (desde un inicio) que debe hacerse el pago y presupuestarlo o mapearlo.

La otra parte del control sugerido es que el beneficiario sea quien realice el trabajo, es decir, si se contrata a la empresa “A”, sea la empresa “A” quien desarrolle el trabajo y a la empresa “A” a quien se le pague (medio evidente, aunque a veces, no se cumplen estas premisas). Este control también es preventivo