Escolar Documentos
Profissional Documentos
Cultura Documentos
con el riesgo de TI
Un enfoque basado
en riesgos para
la segregacin
de funciones
Habilitadores de negocios
y cumplimiento regulatorio
La adecuada segregacin de funciones es un mtodo que se estableci hace mucho
tiempo para evitar fraudes y mantener controles dentro de una compaa. Sin embargo,
el reciente enfoque regulatorio en las empresas pblicas ha llevado a las compaas a
entender realmente qu tipo de acceso tienen sus empleados dentro de su cartera de
aplicaciones. Las regulaciones enfocadas a controles, tal como la Ley Sarbanes-Oxley, no
solo han impuesto un rigor sin precedentes en torno a stos, sino que tambin subrayan
la importancia de contar con un enfoque integrado de controles de TI y financieros para
administrar los riesgos dentro de una compaa.
En todo el mundo, las regulaciones actuales y propuestas continan llevando el tema
de la segregacin de funciones y controles al primer plano de las agendas tanto de
los auditores como de los ejecutivos. Estas regulaciones incluyen la European Unions
8th Directive, que se considera que es el equivalente en Europa de SOX; J-SOX, la
versin japonesa de Sarbanes-Oxley; y Basilea II, que aborda el mtodo que utilizan las
instituciones financieras para calcular la suficiencia de capital y su alineacin con el perfil
de riesgo de la compaa.
La lista de regulaciones sigue creciendo, y como respuesta las iniciativas para asegurar
el cumplimiento aumentan y consumen los recursos corporativos. A medida que las
compaas racionalizan sus gastos y optimizan sus presupuestos se espera que el
enfoque en cuanto al control interno sea pragmtico y equilibrado. Las entidades
reguladoras han puesto atencin en las necesidades de las empresas a fin de avanzar
hacia una legislacin y gua que logre equilibrar el nivel de esfuerzo que se requiere
para entender el riesgo. Un ejemplo es la publicacin del Standard No.5 del Public
Accounting Oversight Board (PCAOB), que oblig a las compaas y a sus auditores a
enfocarse ms en los riesgos y los asuntos importantes que pudieran afectar el negocio
y los estados financieros; un mensaje claro de que la metodologa basada en riesgos es
fundamental para un marco de control interno eficaz y eficiente.
En sntesis, el no implementar la segregacin de funciones como parte de un marco
slido pone a las compaas en riesgo de no cumplir con los requisitos regulatorios y de
cumplimiento. Pero ste no es el nico riesgo.
El precio del fraude y de otras fallas de control interno est bien documentado en
valores monetarios, que es donde el costo comienza a sentirse como algo ms real,
adicionalmente hay otros costos ocultos, tales como:
La disminucin del valor accionario, debido a que el mercado ya no tiene confianza
en la compaa.
Las oportunidades de negocio no aprovechadas, debido a cambios en la calificacin
crediticia de la empresa o a que el financiamiento es ms costoso.
Los costos incurridos para recuperarse de algn dao en la reputacin de la compaa.
Un enfoque basado en riesgos permite que las empresas administren (pero no que
mitiguen por completo) estos riesgos de una manera equilibrada y eficiente que refleje
el valor que estn protegiendo.
Fase 2
Fase 3
Fase 4
Pruebas
Mitigacin
Fase 5
Remediacin
Application 2
Application 3
Application 4
Application 1
Conteo de derechos de
acceso mapeados
14
31
14
19
13
24
Grupo de
segregacin
de funciones
7
Compras
lic
ar
las
cu
en
ta
s
a la
po
co
b
ra
r
sc
ue
nt
as
de
los
c
lie
nt
es
12
32
Re
g
ist
rar
Co
m
las
en
pr
as
tra
da
sd
Ve
nt
as
ee
fec
tiv
oy
ap
10
1
# de
segregacin
de funciones
2
3
Transacciones de inventario
13
X
14
X
X
Fase 3: Pruebas
En la fase de pruebas se utilizan los datos obtenidos de las fases de definicin del negocio y definicin tcnica para preparar un anlisis
de usuarios con conflictos de segregacin de funciones. Los resultados destacan estos conflictos de varias maneras por ejemplo,
por usuario y por funcin o por grupo y muestran la gravedad de los problemas entre la poblacin de usuarios de la compaa.
Este anlisis, junto con la definicin a nivel de negocio y la definicin tcnica, generalmente sirve como el paquete de pruebas de
cumplimiento que se revela a la administracin, a aquellos involucrados en la auditora y a los reguladores
Pruebas dentro de la aplicacin vs. pruebas entre aplicaciones
Pocas empresas cuentan con un solo sistema o una sola
plataforma para ejecutar las transacciones sensibles clave. Las
transacciones y los estados financieros a menudo se procesan
a travs de una cartera interrelacionada de aplicaciones y
procesos de negocios automatizados. Por lo general, los
usuarios tienen acceso a varios sistemas cuando ejecutan una
funcin de trabajo especfica. Este acceso a mltiples sistemas
a menudo genera la posibilidad de fraude y problemas
de control. En consecuencia, es de suma importancia que la
compaa no solo realice pruebas dentro de una aplicacin
sino tambin entre aplicaciones (es decir, entre dos o ms
aplicaciones), para identificar el riesgo subyacente de un
conflicto de segregacin de funciones.
Invariablemente surge la pregunta sobre qu sistemas deben
incluirse en el alcance de las pruebas. Se debe considerar
cualquiera de los sistemas que ejecute transacciones sensibles
definidas en la matriz de conflictos de segregacin de funciones.
Por ejemplo, identificar todos los lugares que pueden modificar
el archivo maestro de los proveedores dar como resultado el
alcance de las aplicaciones que se debern incluir en las pruebas
para esa transaccin en particular. Si esta capacidad reside en
mltiples aplicaciones, la compaa debe incluir a todas stas
en las pruebas.
Procesamiento de punta a punta
Cuando una sola persona puede ejecutar un proceso de punta
a punta, esto indica que hay una falta de control sobre los
diferentes pasos dentro de un solo proceso de negocio. Por lo
general, bajo este escenario un usuario puede concluir todo un
proceso (desde el inicio y autorizacin hasta la aprobacin y
ejecucin) sin que se ejecuten controles.
Este tipo de problema puede ocurrir en plantillas o
departamentos con poco personal donde se comparten las
responsabilidades laborales (es decir, cualquier persona puede
fungir como reemplazo de otra). El anlisis de datos puede
detectar los mismos usuarios en mltiples pruebas de conflicto
dentro de un proceso de negocios en particular. Si se presenta
esta situacin, es posible que la compaa necesite prestar mucha
atencin en el uso de controles mitigantes o considerar remediar
totalmente el problema al redisear el proceso por completo.
Fina
nz
a
TI
Cumplimiento con el
control de acceso
Existe un
esquema de
gobernabilidad
exitoso de
segregacin de
funciones como
una sociedad
entre TI
y Finanzas
Reglas de
negocio y
definicin del
proceso
Auditora interna
Verificar internamente el
desempeo y eficacia del
Auditora externa
Atestiguar externamente el
desempeo y eficacia del control
Fase 4: Mitigacin
Tal como su nombre lo indica, la mitigacin es el siguiente paso para limitar el posible impacto de una violacin en materia de conflicto
de segregacin de funciones. Esta fase se puede realizar conjuntamente con la de remediacin, o dependiendo de los objetivos y el
plazo de tiempo para el cumplimiento se puede llevar a cabo al ltimo, cuando los conflictos se han reducido al mnimo. La mitigacin
analiza cada uno de los conflictos de segregacin de funciones identificados y responde a la pregunta: Qu control se encuentra en
operacin para reducir el riesgo residual de un conflicto de segregacin de funciones en particular, de tal forma que no represente un
riesgo importante para el negocio?. En otras palabras, la compaa puede identificar cualquier control existente que evite o detecte
alguna actividad no autorizada o fraudulenta? Muchas empresas elegirn mitigar cada posible conflicto a fin de contar con una red de
proteccin de controles implementada en caso de que surja algn problema. Esta es una estrategia sana y prctica para las compaas
que buscan controlar riesgos imprevistos e imprevisibles.
La mitigacin no arregla ni corrige el conflicto. Ms bien, permite
que el riesgo est en el sistema y crea o identifica controles
existentes que compensan el riesgo de la existencia de usuarios
con excesivo acceso. Cuando una compaa elige mitigar un
conflicto de segregacin de funciones, acepta el riesgo asociado
con dicho conflicto e intenta compensarlo a travs del uso de
controles de aplicacin manuales, dependientes de TI (o alguna
combinacin de stos). Por ejemplo, un control mitigante
que generalmente se observa en la actualizacin de los datos
maestros de los proveedores o en el pago a proveedores es
el uso de autorizaciones automatizadas para la emisin de
cheques a proveedores, o el uso de conciliaciones o revisiones
de proveedores a fin de mes. Estos controles de deteccin le
pueden brindar a la administracin la seguridad que necesita
para permitir que exista el conflicto de segregacin de funciones,
mientras identifica actividades no autorizadas de conflictos
de segregacin de funciones a travs de sus controles a nivel
financiero.
Integridad
Derechos y obligaciones
Valuacin
Existencia u ocurrencia
Presentacin y revelacin
Esto es importante, ya que permite a la compaa demostrar
que las aseveraciones relacionadas con los controles mitigantes
abordan adecuadamente las aseveraciones vinculadas con el
riesgo de conflictos. El auditor externo tambin podra solicitar
que los controles se mapeen a su marco o metodologa de auditora.
Es recomendable que se trabaje con el auditor para determinar los
marcos de referencia relevantes a los cuales se mapean los
controles mitigantes.
Un conflicto puede ser atendido por ms de un control mitigante.
Implementar tanto controles preventivos como detectivos ayuda
a administrar el riesgo en caso de que falle alguno y apoya el uso
de un enfoque basado en riesgos. Si bien no hay un nmero idneo
de controles, una buena regla a seguir es la siguiente: es preferible
tener ms de un control, pero un control bien diseado es mejor que
10 controles que no compensen el riesgo del conflicto. Los controles
mitigantes deben atender a un riesgo en especfico. Por lo regular,
no es suficiente utilizar revisiones de presupuesto como un control
Fase 5: Remediacin
El objetivo de esta fase es la correccin permanente de los conflictos de segregacin de funciones. Las tcnicas de remediacin
incluyen redisear y depurar los roles, revisar la idoneidad de los usuarios e implementar la herramienta de segregacin de funciones.
El conjunto de cambios de personal, procesos y tecnologa podra ayudar a sustentar la eficacia del control y del cumplimiento. No
existe prctica o mtodo lder proscrito para remediar los conflictos. Cada situacin es nica, basada en el nivel de complejidad y
alcance de los conflictos en un ambiente determinado.
Las iniciativas de remediacin generalmente se dividen en dos categoras: la depuracin tctica de la poblacin de usuarios y el
rediseo estratgico de roles. El componente tctico representa los elementos que se pueden abordar rpidamente, mientras que el
desarrollo de roles generalmente implica grandes cambios organizacionales en la gente, procesos y tecnologa. La eleccin del mtodo
tctico o estratgico no es una propuesta para elegir entre uno u otro; la mayora de las compaas combinan enfoques en un lapso de
tiempo gradual. La decisin de continuar con un mtodo de remediacin en particular depende de la complejidad y nivel de gravedad
de los conflictos de segregacin de funciones y del plazo de tiempo obligatorio.
10
Rendimiento de la inversin en la
remediacin
La inversin inicial en gente, procesos y tecnologa que
gobiernan el proceso de segregacin de funciones podra
dar como resultado lo siguiente:
Reduccin en el riesgo de negocio
Menor incidencia de aplicacin de controles
Evitar multas por incumplimiento reglamentario
Ahorro en horas de consultora
Un mejor ambiente de control
Consideraciones relacionadas con la mitigacin
Roles. Los roles son tiles para administrar cualquier sistema, ya que
optimizan la asignacin de los derechos de acceso y permisos
al alinear el acceso al sistema con la responsabilidad o funcin
laboral. Esta lgica integrada permite que el personal que no
pertenece al rea de TI pueda asignar el acceso requerido cuando se
contrata a un empleado. Pero para muchos negocios, el concepto de
los roles es sumamente complejo y polmico. Ya sea que una
compaa elija definir sus roles dentro de un sistema o en muchos
sistemas, la segregacin de funciones se debe considerar ms all del
nivel del rol y cuenta para varios derechos de acceso discretos.
Muchas compaas se detienen en el nivel del rol y no buscan
entender los derechos de seguridad y acceso que comprende ese rol,
aunque a menudo se identifican conflictos dentro del mismo.
La administracin no podr identificar estos problemas con solo
probar los roles.
Revisiones. Las revisiones de razonabilidad de accesos de los
usuarios ofrecen una manera fcil y eficaz de reducir el nmero de
conflictos de segregacin de funciones que se identifiquen durante
el proceso de prueba. Resulta difcil para las empresas definir
los niveles adecuados de acceso para los usuarios con base en las
actividades de los mismos, sin la autorizacin adecuada y
accesos documentados. Frecuentemente, las compaas notan que al
paso del tiempo se les otorgan a los usuarios accesos adicionales
en la medida que cambian sus responsabilidades o funciones
laborales, pero no siempre se restringen los accesos innecesarios (o
inadecuados), lo cual agrava an ms el problema de la segregacin
Conclusin
La segregacin de funciones contina siendo una parte integral del control interno de
las compaas. Si bien se debe establecer el nivel adecuado de esfuerzo y atencin al
cumplimiento de la segregacin de funciones, las empresas tambin deben buscar que la
ejecucin de sus controles sea sencilla y precisa. La segregacin de funciones representa
un reto nico en cuanto al cumplimiento con los controles, ya que requiere de una
alineacin estrecha entre el negocio y las partes interesadas de TI para evaluar, mitigar,
reducir y monitorear el riesgo de fraude o de errores materiales.
La inversin en aplicaciones y herramientas no va a solucionar en s los procesos
deficientes. Asimismo, esperar una mejora con el paso del tiempo sin tener un enfoque
continuo sobre los riesgos que estn abordando o el valor que se est protegiendo no es
una estrategia sostenible de cumplimiento o de TI. La administracin debe dar un paso
atrs y preguntar qu es lo que la compaa busca lograr a travs de la segregacin de
funciones. Una iniciativa de segregacin de funciones bien diseada y basada en riesgos
puede facilitar el cumplimiento, as como demostrar un valor de negocios real al mejorar
los controles mientras se desarrollan, optimizan y redisean, de manera eficiente, los
procesos clave de negocio y de TI.
12
Un
Unenfoque
enfoquebasado
basadoen
enriesgos
riesgospara
parala
lasegregacin
segregacinde
defunciones
funciones
Contactos:
LI Carlos Chalico
Socio Asesora en TI
Tel: (55) 1101 6414
carlos.chalico@mx.ey.com
Monterrey
Pilar Pliego
Gerente de Asesora
Tel. (818) 152 1815
pilar.pliego@mx.ey.com
Eva Gutirrez
Gerente Asesora en TI
Tel. (55) 1101 6457
eva.gutierrez@mx.ey.com
Ernst & Young - Mxico
13