Perspectivas relacionadas

con el riesgo de TI

Un enfoque basado
en riesgos para
la segregacin
de funciones

La complejidad de los sistemas empresariales

actuales conlleva un importante reto para
las organizaciones con relacin al
establecimiento de control interno bsico:
la segregacin de funciones.

La segregacin de funciones es un tema prioritario para

muchos profesionales a nivel global, desde los responsables de
cumplimiento hasta los ejecutivos de alto nivel. El inters cada
vez mayor en la segregacin de funciones se debe, en parte, a
los reglamentos impulsados con un enfoque en los controles y a
la responsabilidad a nivel ejecutivo por lograr su implementacin
exitosa. Sin embargo, la razn subyacente de estos reglamentos es
an ms importante: ninguna persona debe de tener demasiado
acceso a un sistema que le permita ejecutar transacciones en todo
un proceso de negocios sin controles y autorizaciones. Permitir
este tipo de acceso representa un riesgo muy real para los negocios
y manejar este riesgo de manera pragmtica y eficaz es ms difcil
de lo que parece.
Si esta idea es de sentido comn, por qu tantas compaas
luchan para cumplir con la segregacin de funciones y por qu
preocupa reiteradamente a los departamentos de Tecnologas de
la Informacin (TI), Auditora Interna y Finanzas? En gran medida,
la dificultad radica en la complejidad y variedad de los sistemas
que automatizan los procesos de negocios clave, as como en la
titularidad y responsabilidad del control de dichos procesos.
La segregacin de funciones es un control interno bsico que busca
asegurar que ninguna persona tenga la autoridad para ejecutar dos
o ms transacciones sensibles en conflicto que podran afectar los
estados financieros. Sin una gua adecuada y un enfoque razonable,
podra parecer extremadamente difcil lograr implementar, probar,
remediar y mitigar la segregacin de funciones. Sin embargo, un
enfoque basado en riesgos puede lograr que este esfuerzo sea
manejable para una compaa de cualquier tamao.
Las empresas no necesitan crear estructuras complejas de
funciones ni realizar cambios costosos a fin de cumplir con la
segregacin de funciones y el principio del mnimo privilegio.
Al enfocarse en las transacciones que presentan el mayor riesgo
para el negocio, las compaas pueden entender rpidamente
los problemas relacionados con el acceso e identificar a un
nivel que satisfaga a la administracin y a aquellos involucrados
en la auditora, si se estn tomando las medidas adecuadas
para corregir y mitigar las causas raz de los problemas de
segregacin de funciones.
En este documento se plantea un enfoque prctico y basado
en riesgos del cumplimiento con la segregacin de funciones.

Ernst & Young - Mxico

Habilitadores de negocios
y cumplimiento regulatorio
La adecuada segregacin de funciones es un mtodo que se estableci hace mucho
tiempo para evitar fraudes y mantener controles dentro de una compaa. Sin embargo,
el reciente enfoque regulatorio en las empresas pblicas ha llevado a las compaas a
entender realmente qu tipo de acceso tienen sus empleados dentro de su cartera de
aplicaciones. Las regulaciones enfocadas a controles, tal como la Ley Sarbanes-Oxley, no
solo han impuesto un rigor sin precedentes en torno a stos, sino que tambin subrayan
la importancia de contar con un enfoque integrado de controles de TI y financieros para
administrar los riesgos dentro de una compaa.
En todo el mundo, las regulaciones actuales y propuestas continan llevando el tema
de la segregacin de funciones y controles al primer plano de las agendas tanto de
los auditores como de los ejecutivos. Estas regulaciones incluyen la European Unions
8th Directive, que se considera que es el equivalente en Europa de SOX; J-SOX, la
versin japonesa de Sarbanes-Oxley; y Basilea II, que aborda el mtodo que utilizan las
instituciones financieras para calcular la suficiencia de capital y su alineacin con el perfil
de riesgo de la compaa.
La lista de regulaciones sigue creciendo, y como respuesta las iniciativas para asegurar
el cumplimiento aumentan y consumen los recursos corporativos. A medida que las
compaas racionalizan sus gastos y optimizan sus presupuestos se espera que el
enfoque en cuanto al control interno sea pragmtico y equilibrado. Las entidades
reguladoras han puesto atencin en las necesidades de las empresas a fin de avanzar
hacia una legislacin y gua que logre equilibrar el nivel de esfuerzo que se requiere
para entender el riesgo. Un ejemplo es la publicacin del Standard No.5 del Public
Accounting Oversight Board (PCAOB), que oblig a las compaas y a sus auditores a
enfocarse ms en los riesgos y los asuntos importantes que pudieran afectar el negocio
y los estados financieros; un mensaje claro de que la metodologa basada en riesgos es
fundamental para un marco de control interno eficaz y eficiente.
En sntesis, el no implementar la segregacin de funciones como parte de un marco
slido pone a las compaas en riesgo de no cumplir con los requisitos regulatorios y de
cumplimiento. Pero ste no es el nico riesgo.
El precio del fraude y de otras fallas de control interno est bien documentado en
valores monetarios, que es donde el costo comienza a sentirse como algo ms real,
adicionalmente hay otros costos ocultos, tales como:
La disminucin del valor accionario, debido a que el mercado ya no tiene confianza
en la compaa.
Las oportunidades de negocio no aprovechadas, debido a cambios en la calificacin
crediticia de la empresa o a que el financiamiento es ms costoso.
Los costos incurridos para recuperarse de algn dao en la reputacin de la compaa.
Un enfoque basado en riesgos permite que las empresas administren (pero no que
mitiguen por completo) estos riesgos de una manera equilibrada y eficiente que refleje
el valor que estn protegiendo.

Un enfoque basado en riesgos para la segregacin de funciones

Una metodologa basada

en riesgos
Una metodologa basada en riesgos, tal como la que se aborda en este documento, se
enfoca en los problemas que presentan la mayor amenaza para el negocio y sus estados
financieros. Independientemente de si los motivos para invertir en el cumplimiento de la
segregacin de funciones son para asegurar el cumplimiento regulatorio, la prevencin
de fraudes o un nuevo sistema ERP, una compaa no puede eliminar todos los posibles
riesgos. Ms bien, el objetivo debe ser centrarse en los riesgos que amenazan los umbrales
predefinidos de valor. Generalmente, stos se establecen al principio de la iniciativa de la
segregacin de funciones. La materialidad, los umbrales de fraude o los lmites financieros
importantes que cuantifican el impacto de la realizacin de riesgos financieros, operativos
o reputacionales, son ejemplos de los umbrales que sirven para medir la sensibilidad
financiera de los conflictos de la segregacin de funciones.
La segregacin de funciones establece que es posible que surjan problemas (tales
como fraude, errores importantes y manipulacin de los estados financieros) cuando
una misma persona tiene autorizacin para ejecutar dos o ms transacciones sensibles
en conflicto. Las transacciones sensibles impulsan los procesos que pudieran afectar
los estados financieros, actividades operativas o la reputacin de una compaa en el
mercado. Muchas empresas se esfuerzan por lograr que sus usuarios no tengan conflictos
de segregacin de funciones, aunque este objetivo a menudo es inalcanzable, insostenible
y poco realista dado el nmero de empleados que participan en una tpica funcin de
negocios. Dividir las responsabilidades discretas del puesto en funciones orientadas a
tareas a menudo puede dar lugar a ineficiencias y costos innecesarios.
Por ltimo, es imperativo que la compaa entienda y evale el panorama de los
conflictos actuales, los reduzca en la medida de lo posible para un modelo de personal
dado (mediante iniciativas de remediacin) y aplique controles mitigantes a los dems
problemas. Este enfoque no elimina por completo los conflictos en la segregacin de
funciones, pero demuestra que la administracin ha evaluado los conflictos existentes
y reducido el riesgo residual a un nivel aceptable a travs de procesos probados y
controlados. Esta solucin es generalmente aceptada por los auditores, reguladores
y partes involucradas en la presentacin de informacin financiera, y fomenta una
conciencia sobre los riesgos que va ms all de un simple ejercicio de cumplimiento.

Glosario de segregacin de funciones

Materialidad. El umbral financiero o impacto que un posible conflicto de segregacin
de funciones puede tener sobre los estados financieros de una compaa.
Principio del mnimo privilegio. El concepto de que los usuarios del sistema
nicamente deben tener acceso a los recursos que son absolutamente necesarios
para desempear sus funciones.
Segregacin de funciones (SoD). Un control interno que busca evitar que
una misma persona tenga control sobre dos o ms transacciones sensibles
e incompatibles.
Transaccin sensible. Una transaccin de negocios que tiene el potencial de afectar
los estados financieros de una compaa.
Conflicto de segregacin de funciones. La combinacin de dos transacciones o
actividades de negocios sensibles e incompatibles.

Ernst & Young - Mxico

Hoja de ruta de la segregacin de funciones

Las iniciativas ms exitosas de la segregacin de funciones constan de cinco fases:
Fase 1

Fase 2

Fase 3

Fase 4

Pruebas

Mitigacin

Fase 5
Remediacin

Fase 1: Definicin a nivel de negocio

El objetivo de esta fase es lograr entender el alcance de las transacciones sensibles y los conflictos que existen en los procesos de
negocios clave de la compaa. Estas transacciones son las que presentan el mayor riesgo de fraude para la organizacin cuando
alguien cuenta con acceso excesivo a los sistemas. Durante esta fase, los umbrales se determinan con base en el riesgo e impacto para
la compaa por cada posible conflicto de segregacin de funciones
Debido a que este paso sienta las bases para las fases siguientes
es crucial que se ejecute de manera adecuada. Muchas empresas
fracasan en esta etapa inicial porque se ocupan de demasiados
conflictos que no cumplen con el umbral de riesgo, dando como
resultado requisitos onerosos que a fin de cuentas no se pueden
cumplir o que son excesivamente costosos para los riesgos que
estn intentando administrar. Por ejemplo, una compaa podra
estar muy atenta para evitar que una misma persona pueda
crear una orden de compra a un proveedor y modificar el archivo
maestro de precios del cliente. Sin embargo, la combinacin de
estas dos actividades podra representar un riesgo tan bajo que
no amerita ser incluido en la matriz de conflictos de la empresa.
Podra ser ms adecuado incorporar los conflictos potenciales
para un usuario que pudiera modificar el archivo maestro de
proveedores, crear una orden de compra a un proveedor y emitir
el pago a los proveedores, ya que esta combinacin representa
un riesgo ms alto para la compaa.
Matriz de conflictos
El resultado de la fase de definicin a nivel de negocio es una
matriz de posibles conflictos, independiente de la aplicacin
de TI que procesa cada transaccin, pero que incluye la
correspondiente declaracin de riesgo relacionada con cada
conflicto. Esta declaracin responde a la pregunta: Por qu nos
preocupa este par o combinacin de transacciones?, y muestra
lo que puede salir mal si una persona tiene suficiente acceso o
autoridad para generar un conflicto.

La declaracin de riesgo podra decir: Un usuario podra crear

un proveedor ficticio o hacer cambios no autorizados a los
datos maestros de los proveedores, realizar compras con este
proveedor y emitir el pago correspondiente a ste. En tal caso, el
proveedor podra ser un empleado cometiendo fraude que cuenta
con un nivel de acceso al sistema excesivo e inadecuado.
Por lo general, la matriz y las declaraciones de riesgo
correspondientes son diferentes entre compaas, industrias,
modelos de negocio e incluso ubicaciones dentro de la misma
empresa, dependiendo de los procesos que son importantes. Es
muy comn que una gran compaa global tenga ms de una
matriz, debido a las diferencias en los procesos de negocios
por ubicacin o unidad de negocio. Por ejemplo, una empresa
podra tener una unidad de negocio de manufactura con una gran
cantidad de inventario que requiera de una matriz de segregacin
de funciones que se enfoque en transacciones especficas de
inventario. Tambin podra tener una unidad de negocio de
servicios que requiere un enfoque sobre la contabilidad de
proyectos y necesita una matriz de segregacin de funciones
diferente. Aunque el hecho de tener conocimiento de negocios
e industrias similares puede ayudar a elaborar la matriz de
conflictos, cada unidad de negocio debe realizar un anlisis
personalizado de sus transacciones en conflicto a fin de encontrar
el riesgo real de ese modelo de negocio en particular.

Un enfoque basado en riesgos para la segregacin de funciones

Fase 2: Definicin tcnica

La definicin tcnica utiliza la matriz de conflictos elaborada como una herramienta para ayudar a responder la pregunta: Qu
aplicaciones soportan la ejecucin de las transacciones sensibles definidas y cmo se ejecutan en el sistema?. La compaa o
unidad de negocio debe mapear cada transaccin sensible con sus derechos de acceso relacionados en la aplicacin que ejecuta
dicha transaccin. Este paso crtico alimenta el anlisis de datos cuando se configura el acceso durante la implementacin o arroja
los resultados de las pruebas en ambientes reales. Si bien esta labor de mapear las tareas podra parecer insignificante, en este paso
muchas compaas enfrentan a menudo problemas debido a que no entienden cmo se puede ejecutar una transaccin en
una aplicacin especfica.

Mapeo de aplicaciones y exclusiones

Application 2

Application 3

Application 4

Aplicacin de pruebas para la segregacin de funciones

Cuadro de aplicabilidad (continua)

Application 1

El proceso de la segregacin de funciones basado en riesgos requiere

que una compaa descubra todos los mtodos posibles para ejecutar
una transaccin, a fin de entender todas las posibilidades de fraude y
no solo la visin limitada de los mtodos conocidos. Mapear todas las
maneras en que un usuario pudiera ejecutar una transaccin es crucial
para describir adecuadamente la segregacin de funciones existente.

Las exclusiones se refieren a los identificadores de usuario (user ID) y

mens o derechos de acceso intencionalmente omitidos en el anlisis
de la segregacin de funciones. No todos los identificadores de usuario
que aparecen en el anlisis representan un conflicto real. A menudo,
las cuentas de sistema o de proceso, los administradores de TI, las
operaciones de TI y el personal de soporte tienen acceso a varios mens
en conflicto. Es posible que esto no represente un problema real, si es
que la meta es solo captar los usuarios de negocios con conflictos de
segregacin de funciones.

Conteo de derechos de
acceso mapeados

El mapeo de aplicaciones es la identificacin de reglas mediante las

cuales las transacciones sensibles se llevan a cabo en los sistemas.
Por ejemplo, los derechos de actualizaciones del proveedor se pueden
ejecutar mediante una serie de mens en una aplicacin dada.
Se debe mapear, recorrer y documentar la presencia de estos mens
asignados a usuarios especficos, a fin de que la compaa pueda
aplicar pruebas adecuadas en busca de algn conflicto en particular. El
reto es que en la mayora de las aplicaciones modernas existe ms de
una sola manera de ejecutar la misma transaccin. Por ejemplo, podra
haber 20 formas en una aplicacin de realizar el pago a un proveedor,
pero la compaa podra utilizar nicamente cinco de ellas. Adems,
la empresa no suele tener conocimiento de las otras 15 maneras y en
general no restringe el acceso ni controla estos otros mtodos para
ejecutar el pago a un proveedor.

14

31

14

19

13

24

Grupo de
segregacin
de funciones

Ventas y cuentas por cobrar

Registrar las entradas de efectivo y aplicarlas a las cuentas de los clientes

7
Compras

lic
ar

las

cu
en
ta
s

a la

po

co
b

ra
r

sc
ue
nt
as
de
los
c

lie
nt
es

Mapeo de la segregacin de funciones

Aprobar rdenes de compra

Datos maestros de inventarios

11

Crear/cambiar la determinacin de costos estndar o real

12

Crear/cambiar datos del maestro de materiales

32

Re
g

ist

rar

Co
m

las

en

pr
as

tra

da
sd

Ve
nt
as

ee
fec
tiv
oy

ap

10

1
# de
segregacin
de funciones

2
3

Ventas y cuentas por cobrar

Registrar las entradas de efectivo y aplicarlas a las cuentas de los clientes

Transacciones de inventario
13
X

14

Registrar movimientos de inventario o produccin

X
X

Una de las falacias clave en el mapeo de mens (o de acceso) es que

solo se deben mapear las transacciones que realmente se utilizan
en la aplicacin. Si bien este mtodo capta en general muchas de las
transacciones ejecutadas, no identificar los mens que los usuarios
de negocios no utilizan pero que podran usar para ejecutar una
transaccin en particular. Aunque los mens se pueden deshabilitar o
no estar disponibles para un grupo de usuarios de negocios, stos se
deben mapear para poder demostrar que han sido considerados y es
posible ver todo el grupo de reglas a travs del cual se estn probando
los conflictos de segregacin de funciones.

Ernst & Young - Mxico

De lo contrario, a fin de facilitar el monitoreo continuo de los controles,

las compaas incluyen con frecuencia a los usuarios de TI en los
informes sobre el uso normal de transacciones sensibles y de
conflictos de segregacin de funciones. Por lo general se debe excluir
la funcionalidad de solo lectura o de consulta, ya que no permite
la ejecucin de transacciones sensibles. Independientemente del
tratamiento de la exclusin de transacciones es de suma importancia
documentar todas las omisiones y la justificacin de las mismas, as
como comunicar esta informacin a los reguladores y partes interesadas
respecto al cumplimiento.

Hoja de ruta de la segregacin de funciones

Fase 3: Pruebas
En la fase de pruebas se utilizan los datos obtenidos de las fases de definicin del negocio y definicin tcnica para preparar un anlisis
de usuarios con conflictos de segregacin de funciones. Los resultados destacan estos conflictos de varias maneras por ejemplo,
por usuario y por funcin o por grupo y muestran la gravedad de los problemas entre la poblacin de usuarios de la compaa.
Este anlisis, junto con la definicin a nivel de negocio y la definicin tcnica, generalmente sirve como el paquete de pruebas de
cumplimiento que se revela a la administracin, a aquellos involucrados en la auditora y a los reguladores
Pruebas dentro de la aplicacin vs. pruebas entre aplicaciones
Pocas empresas cuentan con un solo sistema o una sola
plataforma para ejecutar las transacciones sensibles clave. Las
transacciones y los estados financieros a menudo se procesan
a travs de una cartera interrelacionada de aplicaciones y
procesos de negocios automatizados. Por lo general, los
usuarios tienen acceso a varios sistemas cuando ejecutan una
funcin de trabajo especfica. Este acceso a mltiples sistemas
a menudo genera la posibilidad de fraude y problemas
de control. En consecuencia, es de suma importancia que la
compaa no solo realice pruebas dentro de una aplicacin
sino tambin entre aplicaciones (es decir, entre dos o ms
aplicaciones), para identificar el riesgo subyacente de un
conflicto de segregacin de funciones.
Invariablemente surge la pregunta sobre qu sistemas deben
incluirse en el alcance de las pruebas. Se debe considerar
cualquiera de los sistemas que ejecute transacciones sensibles
definidas en la matriz de conflictos de segregacin de funciones.
Por ejemplo, identificar todos los lugares que pueden modificar
el archivo maestro de los proveedores dar como resultado el
alcance de las aplicaciones que se debern incluir en las pruebas
para esa transaccin en particular. Si esta capacidad reside en
mltiples aplicaciones, la compaa debe incluir a todas stas
en las pruebas.
Procesamiento de punta a punta
Cuando una sola persona puede ejecutar un proceso de punta
a punta, esto indica que hay una falta de control sobre los
diferentes pasos dentro de un solo proceso de negocio. Por lo
general, bajo este escenario un usuario puede concluir todo un
proceso (desde el inicio y autorizacin hasta la aprobacin y
ejecucin) sin que se ejecuten controles.
Este tipo de problema puede ocurrir en plantillas o
departamentos con poco personal donde se comparten las
responsabilidades laborales (es decir, cualquier persona puede
fungir como reemplazo de otra). El anlisis de datos puede
detectar los mismos usuarios en mltiples pruebas de conflicto
dentro de un proceso de negocios en particular. Si se presenta
esta situacin, es posible que la compaa necesite prestar mucha
atencin en el uso de controles mitigantes o considerar remediar
totalmente el problema al redisear el proceso por completo.

Este conflicto es especialmente importante cuando existen

recortes de personal en una empresa. Cuando los empleados
que estn a cargo de procesos clave son despedidos (y no
reemplazados), las funciones laborales a menudo se combinan.
Lo que alguna vez fue un modelo de acceso segregado, ahora se
convierte en una poblacin de usuarios con problemas de control
importantes.
Las compaas inteligentes evalan el impacto de la segregacin
de funciones por el despido de empleados y, por consiguiente,
elaboran planes antes de realizar los despidos. Cuando se
tienen que combinar los procesos que anteriormente estaban
segregados se deben aplicar y monitorear controles slidos de
mitigacin en el intervalo.
Calificaciones del riesgo de conflicto
No existen dos conflictos de segregacin de funciones iguales.
Cada problema presenta un riesgo diferente para el negocio
e idneamente cada conflicto debe ser calificado de acuerdo
con la probabilidad e impacto de que un usuario ejecute
las transacciones en conflicto. Las empresas han adoptado
muchos esquemas y anotaciones para calificar el riesgo de
sus conflictos. Tambin han definido niveles altos, medianos y
bajos con base en el resultado de su clculo de riesgo. Es muy
comn que existan conflictos considerados prohibidos dentro
de un criterio de riesgos, lo cual indica que son conflictos
para los que incondicionalmente se prohbe el acceso. Estas
son transacciones que por lo general, cuando se ejecutan
conjuntamente, no pueden ser mitigadas o no existe una
justificacin de negocios para asignar derechos de acceso en
conflicto. Cualquiera que sea la anotacin de la clasificacin es
importante que las compaas prioricen los conflictos, para que
la remediacin y administracin de la poblacin de usuarios se
pueda enfocar en la solucin de conflictos que tengan la mayor
probabilidad de poder reducir riesgos.
Evaluar y definir adecuadamente cmo manejar cada
calificacin de riesgo son factores clave para obtener los
beneficios del enfoque basado en riesgos.

Un enfoque basado en riesgos para la segregacin de funciones

Consideraciones relacionadas con las pruebas

El ejemplo de los altos ejecutivos impulsa el nivel de compromiso de

todo el personal. Muchas compaas fracasan porque le prestan
poca atencin a la segregacin de funciones, dando lugar a
inquietudes importantes o, peor an al fraude y fallas en
los controles.

Las reas de TI y Finanzas, as como otras partes interesadas de la

administracin, deben ser copropietarios del proceso de segregacin
de funciones. El rea de Finanzas entiende el impacto financiero
asociado con los procesos de negocio, riesgos y controles mitigantes
mejor que cualquier otra rea. La administracin del negocio tendr
la visin ms clara del impacto operativo. El rea de TI entiende cmo
traducir eso en datos de sistema, informes y remediacin tcnica. De
cualquier manera, una compaa no puede sealar a otra o transferir
la responsabilidad a la otra parte.

En nuestra experiencia, cuando el impulsor de una iniciativa de

segregacin de funciones es un hallazgo de auditora, se vuelve
extremadamente importante que la empresa trabaje con sus
auditores de manera regular. stos a menudo pueden proporcionar
asesora y retroalimentacin, lo que ayuda a mantener el proceso
enfocado en riesgos en lugar de tener un ambiente sobrecontrolado.

La segregacin de funciones no es un proyecto sino un proceso y

debe continuar en el futuro. Emprenderlo a ms largo plazo
es mucho ms fcil si las tareas se llevan a cabo de manera adecuada
desde el inicio. Por lo tanto, hacer una inversin en prcticas
y procesos firmes hoy en da, inevitablemente producir ahorros
ms adelante.

Cuando una fecha lmite de cumplimiento especfica es la que impulsa

a una compaa a abordar la segregacin de funciones, el periodo de
tiempo para las pruebas es de suma importancia. Una empresa no
se debe esperar hasta el ltimo minuto para llevar a cabo las
actividades. Contar con un plazo de tiempo adecuado puedeser til
cuando se necesita corregir o volver a probar los controles,
o cuando el acceso de los usuarios se tiene que modificar en el
sistema. El cronograma para las pruebas se debe definir con el
apoyo de las partes interesadas clave del negocio y de TI, y
con el (los) equipo(s) de auditora. La participacin proactiva de
los auditores ayuda a evitar honorarios de auditora innecesarios y
permite que las pruebas y la informacin sean ptimas y eficientes.

Fina
nz
a

TI

Cumplimiento con el
control de acceso

Existe un
esquema de
gobernabilidad
exitoso de
segregacin de
funciones como
una sociedad
entre TI
y Finanzas

Reglas de
negocio y
definicin del
proceso

Auditora interna
Verificar internamente el
desempeo y eficacia del

Auditora externa
Atestiguar externamente el
desempeo y eficacia del control

Ernst & Young - Mxico

Hoja de ruta de la segregacin de funciones

Fase 4: Mitigacin
Tal como su nombre lo indica, la mitigacin es el siguiente paso para limitar el posible impacto de una violacin en materia de conflicto
de segregacin de funciones. Esta fase se puede realizar conjuntamente con la de remediacin, o dependiendo de los objetivos y el
plazo de tiempo para el cumplimiento se puede llevar a cabo al ltimo, cuando los conflictos se han reducido al mnimo. La mitigacin
analiza cada uno de los conflictos de segregacin de funciones identificados y responde a la pregunta: Qu control se encuentra en
operacin para reducir el riesgo residual de un conflicto de segregacin de funciones en particular, de tal forma que no represente un
riesgo importante para el negocio?. En otras palabras, la compaa puede identificar cualquier control existente que evite o detecte
alguna actividad no autorizada o fraudulenta? Muchas empresas elegirn mitigar cada posible conflicto a fin de contar con una red de
proteccin de controles implementada en caso de que surja algn problema. Esta es una estrategia sana y prctica para las compaas
que buscan controlar riesgos imprevistos e imprevisibles.
La mitigacin no arregla ni corrige el conflicto. Ms bien, permite
que el riesgo est en el sistema y crea o identifica controles
existentes que compensan el riesgo de la existencia de usuarios
con excesivo acceso. Cuando una compaa elige mitigar un
conflicto de segregacin de funciones, acepta el riesgo asociado
con dicho conflicto e intenta compensarlo a travs del uso de
controles de aplicacin manuales, dependientes de TI (o alguna
combinacin de stos). Por ejemplo, un control mitigante
que generalmente se observa en la actualizacin de los datos
maestros de los proveedores o en el pago a proveedores es
el uso de autorizaciones automatizadas para la emisin de
cheques a proveedores, o el uso de conciliaciones o revisiones
de proveedores a fin de mes. Estos controles de deteccin le
pueden brindar a la administracin la seguridad que necesita
para permitir que exista el conflicto de segregacin de funciones,
mientras identifica actividades no autorizadas de conflictos
de segregacin de funciones a travs de sus controles a nivel
financiero.

Al utilizar controles mitigantes, la administracin debe elaborar

un anlisis conflicto por conflicto para documentar la existencia
de controles clave especficos que mitiguen el riesgo relacionado
con un conflicto en particular.
La administracin y los auditores pueden evaluar la eficacia de
los controles mitigantes y llegar a una conclusin con respecto
al nivel adecuado de dependencia que se debe de tener en la
capacidad de control para manejar el riesgo a un nivel aceptable.
Este aspecto importante del enfoque basado en riesgos le
permite a la administracin aceptar que van a existir ciertos
conflictos dentro de sus niveles de tolerancia a los riesgos
predefinidos, determinando as el riesgo residual aceptable.

Un enfoque basado en riesgos para la segregacin de funciones

Consideraciones relacionadas con la mitigacin

Para los riesgos financieros debe considerarse documentar las

aseveraciones en los estados financieros relacionadas con el riesgo
de conflicto. En especfico, las aseveraciones y objetivos abordados
por los controles mitigantes citados son:

Integridad
Derechos y obligaciones
Valuacin
Existencia u ocurrencia
Presentacin y revelacin


Esto es importante, ya que permite a la compaa demostrar
que las aseveraciones relacionadas con los controles mitigantes
abordan adecuadamente las aseveraciones vinculadas con el
riesgo de conflictos. El auditor externo tambin podra solicitar
que los controles se mapeen a su marco o metodologa de auditora.
Es recomendable que se trabaje con el auditor para determinar los
marcos de referencia relevantes a los cuales se mapean los
controles mitigantes.

Un conflicto puede ser atendido por ms de un control mitigante.
Implementar tanto controles preventivos como detectivos ayuda
a administrar el riesgo en caso de que falle alguno y apoya el uso
de un enfoque basado en riesgos. Si bien no hay un nmero idneo
de controles, una buena regla a seguir es la siguiente: es preferible
tener ms de un control, pero un control bien diseado es mejor que
10 controles que no compensen el riesgo del conflicto. Los controles
mitigantes deben atender a un riesgo en especfico. Por lo regular,
no es suficiente utilizar revisiones de presupuesto como un control

Ernst & Young - Mxico

mitigante para todos los conflictos de segregacin de funciones, ya

que este control es demasiado general. El nivel de granularidad de
controles es importante cuando se intenta detectar y prevenir
fraudes y errores materiales.

En la matriz de conflictos se debe documentar el motivo especfico
por el cual cada control mitiga el riesgo de conflicto especfico. Esto
permitir que la administracin aborde el riesgo con mayor eficacia y
sirve como una justificacin para los auditores y reguladores respecto
a la razn por la que se eligi el control y su relevancia como factor
mitigante.
Se debe elaborar una lista de las personas (nombre y puesto) que
ejecutan cada uno de los controles mitigantes en la compaa, ya que es
importante saber si la persona que ejecuta el control mitigante tambin
es un usuario en conflicto. El grado hasta el cual se puede depender
de este tipo de controles se reduce considerablemente (si no es que
se elimina por completo) cuando el personal que se encuentra en la
poblacin en conflicto tambin ejecuta los controles mitigantes. Lo ideal
sera que esta situacin se corrija reasignando el control a otro usuario
sin conflicto o al eliminar al usuario de una o ambas transacciones
sensibles en conflicto.
En algunos casos, la empresa puede mitigar toda una aplicacin o
un sistema sin realizar pruebas para identificar el nmero de usuarios
en conflicto en el sistema. Si la compaa detecta que existen muy
pocos usuarios del sistema o que ste cubre un nmero pequeo de
posibles conflictos (como la actualizacin del archivo maestro de los
proveedores), es posible que sea suficiente emitir un memorando
explicando el motivo por el cual no es necesario llevar a cabo pruebas.

Hoja de ruta de la segregacin de funciones

Fase 5: Remediacin
El objetivo de esta fase es la correccin permanente de los conflictos de segregacin de funciones. Las tcnicas de remediacin
incluyen redisear y depurar los roles, revisar la idoneidad de los usuarios e implementar la herramienta de segregacin de funciones.
El conjunto de cambios de personal, procesos y tecnologa podra ayudar a sustentar la eficacia del control y del cumplimiento. No
existe prctica o mtodo lder proscrito para remediar los conflictos. Cada situacin es nica, basada en el nivel de complejidad y
alcance de los conflictos en un ambiente determinado.
Las iniciativas de remediacin generalmente se dividen en dos categoras: la depuracin tctica de la poblacin de usuarios y el
rediseo estratgico de roles. El componente tctico representa los elementos que se pueden abordar rpidamente, mientras que el
desarrollo de roles generalmente implica grandes cambios organizacionales en la gente, procesos y tecnologa. La eleccin del mtodo
tctico o estratgico no es una propuesta para elegir entre uno u otro; la mayora de las compaas combinan enfoques en un lapso de
tiempo gradual. La decisin de continuar con un mtodo de remediacin en particular depende de la complejidad y nivel de gravedad
de los conflictos de segregacin de funciones y del plazo de tiempo obligatorio.

Depuracin tctica de la poblacin de usuarios

La depuracin tctica de la poblacin de usuarios se refiere al
proceso de revisar el rol o modelo de seguridad para evaluar si se
requieren ambos lados de las transacciones en conflicto para que
un usuario en particular desempee su trabajo. Este proceso de
depuracin requiere que la compaa analice un rol en particular
y los conflictos que existen dentro de ste, a fin de establecer un
rol o modelo de seguridad depurado y libre de conflictos.
Los roles por s solos no se pueden utilizar para realizar pruebas
en busca de conflictos de segregacin de funciones; ms bien,
una compaa debe buscar el nivel de seguridad ms bajo (por
ejemplo, el elemento del men, pantalla, ejecutable, cdigo
de transaccin) que comprende el rol en particular, a fin de
entender cules son las transacciones que un usuario puede
ejecutar. Sin embargo, los roles se pueden utilizar para corregir
los conflictos de segregacin de funciones creando un modelo
de funciones cuya eficacia es conocida, y estableciendo por
ende la ejecucin constante del modelo a travs de los controles
de seguridad de la aplicacin. Con frecuencia, este rediseo
tctico de roles a corto plazo puede corregir fcilmente muchos
conflictos, mientras deja que los conflictos ms difciles de
usuarios sean manejados a travs de un enfoque estratgico.
Rediseo estratgico de roles
El rediseo estratgico de roles busca definir lo que compone
un acceso libre de conflictos de segregacin de funciones en
una compaa. Mapea la funcin y responsabilidad laboral en el
negocio con los derechos de acceso requeridos en cada sistema.
Este enfoque generalmente se utiliza cuando un modelo de roles
existente cuenta con muchos conflictos y no se puede rescatar
utilizando las iniciativas de depuracin.
El diseo estratgico de roles crea capacidades y procesos
sustentables que sirven para mantener limpia la estructura
de roles.

10

Una vez concluida la remediacin, se debe establecer un

esquema de gobernabilidad de gente, procesos y tecnologa para
ayudar a garantizar que no vuelva a presentarse la situacin.
Es de suma importancia asignar la responsabilidad de las
tareas de mantenimiento de roles, administracin de usuarios y
definicin de las reglas de segregacin de funciones. Las pruebas
peridicas y verificacin de conflictos se deben incluir en los
procesos para otorgar permisos. Un factor crtico para el xito
es apoyar los procesos de rediseo con la tecnologa adecuada.
Para las compaas pequeas con aplicaciones muy sencillas esto
se puede administrar con una solucin bsica, como una hoja de
clculo en la que se capturen las actividades en conflicto y donde
se pueda realizar un anlisis bsico para determinar si el acceso
del usuario dar pie a problemas relacionados con la segregacin
de funciones. Sin embargo, para las empresas medianas y
grandes (ms de 500 usuarios) con aplicaciones ms complejas
(por ejemplo, ERP como SAP y Oracle), definitivamente se
necesitar una herramienta de control de acceso que permita
una solucin eficiente y sustentable. Dicho lo anterior, si bien
hay varias aplicaciones de terceros que facilitan la aplicacin de
pruebas, la mitigacin y algunas actividades de remediacin,
stas no sustituyen la necesidad de contar con una metodologa
sana basada en el riesgo de negocio de la compaa.

Rendimiento de la inversin en la
remediacin
La inversin inicial en gente, procesos y tecnologa que
gobiernan el proceso de segregacin de funciones podra
dar como resultado lo siguiente:
Reduccin en el riesgo de negocio
Menor incidencia de aplicacin de controles
Evitar multas por incumplimiento reglamentario
Ahorro en horas de consultora
Un mejor ambiente de control

Un enfoque basado en riesgos para la segregacin de funciones


Consideraciones relacionadas con la mitigacin

Fuente de registros maestros. Cuando una compaa establece una

fuente de registros maestros ha dado el primer paso para entender
los derechos de acceso en conflicto del sistema. Una fuente de
registros maestros es una visin sencilla de la poblacin de
usuarios y de todos los derechos de acceso asociados a stos.
Debido a que muchas empresas conservan bases de datos
de usuarios diferentes y separadas, esta tarea a menudo
es ms difcil de lo que parece. Es ms fcil llevar a cabo esta labor
cuando se cuenta con el apoyo de polticas tales como convenciones
de nomenclatura estndar para los identificadores de usuarios
(user ID). Esto hace que sea menos difcil comparar un ID
de usuario para encontrar accesos en conflicto en mltiples sistemas.
De lo contrario, los ID de usuario con una caracterstica comn de
identificacin (como el nmero de empleado, direccin de correo
electrnico e identificacin de usuario) debern estar vinculados en
varios sistemas. Para una compaa con miles de empleados
y muchos sistemas este proceso puede ser tedioso, pero es necesario
para obtener una visin precisa de los conflictos.

Acceso predeterminado. El acceso predeterminado (conocido con

diferentes nombres dependiendo del sistema) proporciona el
conjunto estndar de derechos de acceso para todos los usuarios
registrados en esa aplicacin. Este acceso le proporciona al usuario la
funcionalidad mnima estndar del sistema. Por ejemplo, todos
los usuarios de un sistema en particular deben poder ver la pantalla
para iniciar sesin, el men de ayuda y la pantalla con el banner
de la poltica. Estas tres pantallas o mens se consideraran como
acceso predeterminado. Los riesgos surgen cuando las compaas
asignan accesos predeterminados a mens, transacciones o niveles
de seguridad sensibles. El acceso predeterminado se debe asignar
con mesura y tener sumo cuidado con los mens o niveles de
seguridad a los que ha sido asignado.

Roles. Los roles son tiles para administrar cualquier sistema, ya que
optimizan la asignacin de los derechos de acceso y permisos
al alinear el acceso al sistema con la responsabilidad o funcin
laboral. Esta lgica integrada permite que el personal que no
pertenece al rea de TI pueda asignar el acceso requerido cuando se
contrata a un empleado. Pero para muchos negocios, el concepto de
los roles es sumamente complejo y polmico. Ya sea que una
compaa elija definir sus roles dentro de un sistema o en muchos
sistemas, la segregacin de funciones se debe considerar ms all del
nivel del rol y cuenta para varios derechos de acceso discretos.
Muchas compaas se detienen en el nivel del rol y no buscan
entender los derechos de seguridad y acceso que comprende ese rol,
aunque a menudo se identifican conflictos dentro del mismo.
La administracin no podr identificar estos problemas con solo
probar los roles.

Revisiones. Las revisiones de razonabilidad de accesos de los
usuarios ofrecen una manera fcil y eficaz de reducir el nmero de
conflictos de segregacin de funciones que se identifiquen durante
el proceso de prueba. Resulta difcil para las empresas definir
los niveles adecuados de acceso para los usuarios con base en las
actividades de los mismos, sin la autorizacin adecuada y
accesos documentados. Frecuentemente, las compaas notan que al
paso del tiempo se les otorgan a los usuarios accesos adicionales
en la medida que cambian sus responsabilidades o funciones
laborales, pero no siempre se restringen los accesos innecesarios (o
inadecuados), lo cual agrava an ms el problema de la segregacin

Ernst & Young - Mxico

de funciones. Una revisin detallada de la poblacin de usuarios (en

la que se identifica si los usuarios deben tener acceso a un
rol o grupo en particular) puede corregir esta situacin. Una
simple verificacin de la poblacin de usuarios, en el contexto de
puesto o funcin, se puede utilizar para identificar tales conflictos
de segregacin de funciones. Una vez identificados stos se
pueden eliminar.

Identificaciones atpicas. Las identificaciones y cuentas de usuario

atpicas son indicadores de desviaciones en las convenciones
de nomenclatura estndar para los ID de la compaa. Estas
cuentas deben ser investigadas en busca de accesos inadecuados,
y de ser posible deben ser cambiadas para cumplir con la poltica de
convenciones de nomenclatura de los ID de usuarios de la
empresa. Por ejemplo, si la convencin de nomenclatura estndar
es la inicial del primer nombre y el apellido (es decir, Juan Prez
sera jperez), se debe prestar mucha atencin a las convenciones de
nomenclatura que se encuentren fuera de esta poltica. Por lo tanto,
si en lugar de ver jperez aparece juan.perez, esto debe encender
focos rojos y se debe investigar si existe algn acceso inadecuado. El
riesgo es que este usuario podra contar con varias cuentas que,
cuando se utilizan de manera conjunta, pueden generar un acceso
inapropiado de conformidad con la definicin de segregacin
de funciones.

Exempleados. Aunque las cuentas de usuarios que ya caducaron o

de exempleados deben estar controladas dentro del proceso de
acceso lgico, es de suma importancia estudiar la poblacin de
usuarios actuales para identificar a los exempleados de la lista de
Recursos Humanos. Este paso no solo reduce el nmero de usuarios
que se analizarn, sino que tambin establece la poblacin
sobre la cual se basarn las pruebas de la segregacin de funciones
e incluso podra ayudar a reducir los costos de licencias.

Acceso al sistema. Los usuarios con acceso directo al nivel ms

bajo de seguridad (por ejemplo, mens, pantallas, cdigos de
transacciones) se deben analizar detalladamente. Esto representa
una posible laguna de seguridad, ya que los usuarios podran
obtener derechos de acceso sin seguir el proceso estndar de
administracin de usuarios. El problema generalmente ocurre
cuando los consultores, contratistas o especialistas requieren acceso
a una funcionalidad especfica del sistema y omiten los roles, a fin de
asignar elementos especficos del men o pantallas fuera del proceso
normal de permisos.

Cuentas del sistema. Las cuentas del sistema genricas,compartidas

y poderosas (en las que los usuarios pueden iniciar una sesin)
presentan un reto, ya que es imposible saber con certeza quin ha
utilizado esa cuenta especfica. Debido a que el anlisis de la
segregacin de funciones tiene que ver con los usuarios que pueden
ejecutar transacciones sensibles, las cuentas genricas o
compartidas (especialmente las cuentas compartidas de sper
usuarios) invalidan el objetivo del anlisis. Las cuentas de sistema
poderosas son problemticas solo cuando no estn restringidas
y los usuarios del sistema pueden iniciar una sesin. Estas cuentas
inseguras limitan la capacidad para monitorear quin est
ejecutando qu transaccin sensible. Lo nico de lo que se tiene
conocimiento es del responsable de la cuenta, no del usuario en s.
Para evitar actividades no autorizadas, la compaa debe asegurarse
de que el usuario no pueda iniciar una sesin en el sistema ni
procesar cuentas.
11

Conclusin
La segregacin de funciones contina siendo una parte integral del control interno de
las compaas. Si bien se debe establecer el nivel adecuado de esfuerzo y atencin al
cumplimiento de la segregacin de funciones, las empresas tambin deben buscar que la
ejecucin de sus controles sea sencilla y precisa. La segregacin de funciones representa
un reto nico en cuanto al cumplimiento con los controles, ya que requiere de una
alineacin estrecha entre el negocio y las partes interesadas de TI para evaluar, mitigar,
reducir y monitorear el riesgo de fraude o de errores materiales.
La inversin en aplicaciones y herramientas no va a solucionar en s los procesos
deficientes. Asimismo, esperar una mejora con el paso del tiempo sin tener un enfoque
continuo sobre los riesgos que estn abordando o el valor que se est protegiendo no es
una estrategia sostenible de cumplimiento o de TI. La administracin debe dar un paso
atrs y preguntar qu es lo que la compaa busca lograr a travs de la segregacin de
funciones. Una iniciativa de segregacin de funciones bien diseada y basada en riesgos
puede facilitar el cumplimiento, as como demostrar un valor de negocios real al mejorar
los controles mientras se desarrollan, optimizan y redisean, de manera eficiente, los
procesos clave de negocio y de TI.

12

Un
Unenfoque
enfoquebasado
basadoen
enriesgos
riesgospara
parala
lasegregacin
segregacinde
defunciones
funciones

Acerca de Ernst & Young

En Ernst & Young, nuestros servicios se enfocan en las necesidades y asuntos especficos del negocio
de cada uno de nuestros clientes, porque reconocemos que cada necesidad y problema es exclusivo de
ese negocio.
Con un mayor escrutinio sobre la proteccin de datos personales,
no sorprende que la profesin de privacidad evolucione ms
all del puesto del director de seguridad. Las organizaciones
que tienen oficinas de privacidad reclutan y capacitan a
profesionales de privacidad para enfocarse en reas especficas
del negocio. Adems, ms all de ser una funcin sin futuro con
una trayectoria profesional poco clara, los puestos de privacidad
adoptan una funcin fundamental dentro de la organizacin.
En 2011, las organizaciones contratarn a ms profesionales
de privacidad, de esa manera revertirn la disminucin de
personal que las oficinas de privacidad experimentaron durante
la crisis econmica. Las organizaciones entendern mejor la
naturaleza compleja de la proteccin de datos personales y sus
necesidades para administrar mejor los riesgos y obligaciones de
cumplimiento relacionados.
Varias compaas mejoran la privacidad al fusionar la seguridad
de la informacin, privacidad y otras funciones (recursos
humanos, legal, sourcing) con las organizaciones de gobierno
de riesgos de informacin virtual, las cuales adoptan un enfoque
ms holstico en cuanto a la proteccin de datos. Esto tambin
fomenta un cumplimiento ms proactivo con los requisitos de
privacidad de la informacin.

Ms all de los profesionales que solo se enfocan en la privacidad

de la informacin, muchas funciones que se relacionan con el
tratamiento de datos personales por parte de las organizaciones
obtendrn ms conocimientos acerca de los temas de riesgos
y cumplimiento. En 2011, veremos cmo las personas que
trabajan en las reas de TI, auditora, legal, recursos humanos y
mercadotecnia agregarn la proteccin de datos personales a sus
conjuntos de habilidades.
Para dar cabida a este crecimiento, en 2011 aumentar la
cantidad de personas que buscan obtener certificaciones de
privacidad. Por ejemplo, Ernst & Young desde hace algunos
aos agreg la certificacin de Profesional de Privacidad de la
Informacin (CIPP, por sus siglas en ingls) como una de las
certificaciones profesionales que un colaborador debe obtener
para ser promovido en nuestro grupo de Servicios de Asesora.
En 2011, esta certificacin y otras se volvern ms profesionales,
y permitirn que las personas las reciban en reas especficas,
como reglamentacin jurdica, TI o requisitos de privacidad
especficos de la industria.

Contactos:
LI Carlos Chalico

Socio Asesora en TI
Tel: (55) 1101 6414
carlos.chalico@mx.ey.com

Monterrey
Pilar Pliego

Gerente de Asesora
Tel. (818) 152 1815
pilar.pliego@mx.ey.com

Eva Gutirrez

Gerente Asesora en TI
Tel. (55) 1101 6457
eva.gutierrez@mx.ey.com
Ernst & Young - Mxico

13

Ernst & Young

Aseguramiento | Asesora | Fiscal | Transacciones
Acerca de los Servicios de Asesora de Ernst & Young
La relacin entre la mejora en el desempeo y los riesgos es un reto cada
vez ms complejo y primordial para los negocios, ya que su desempeo est
directamente relacionado con el reconocimiento y manejo eficaz del riesgo.
Ya sea que su enfoque sea en la transformacin del negocio o en mantener
los logros, contar con los asesores adecuados puede marcar la diferencia.
Nuestros 18,000 profesionales en asesora forman una de las redes globales
ms extensas de cualquier organizacin profesional, la cual integra a equipos
multidisciplinarios y experimentados que trabajan con nuestros clientes
para brindarles una experiencia poderosa y de gran calidad. Utilizamos
metodologas comprobadas e integrales para ayudarles a alcanzar sus
prioridades estratgicas y a efectuar mejoras que sean sostenibles durante un
mayor plazo. Entendemos que para alcanzar su potencial como organizacin
requiere de servicios que respondan a sus necesidades especficas; por
lo tanto, le ofrecemos una amplia experiencia en el sector y profundo
conocimiento sobre el tema para aplicarlos de manera proactiva y objetiva.
Nos comprometemos a medir las ganancias e identificar en dnde la estrategia
est proporcionando el valor que su negocio necesita. As es como Ernst &
Young marca la diferencia.

Para mayor informacin por favor visite

www.ey.com/mx/asesoria
2011 Mancera, S.C.
Integrante de Ernst & Young Global
Derechos reservados
Clave SOD001
Ernst & Young se refiere a la organizacin global de firmas miembro conocida
como Ernst & Young Global Limited, en la que cada una de ellas acta como una entidad
legal separada. Ernst & Young Global Limited no provee servicios a clientes.