10 de octubre del 2012

AI-065-2012

Señoras
Integrantes
Junta Directiva
Instituto Nacional de las Mujeres

Título: Segregación de Funciones en las Tecnologías de Información

Tipo de oficio: Asesoría

Adjunto se remite la revisión de normativa y buenas prácticas en cuanto a la

segregación de funciones de las Tecnologías de Información.
Con toda consideración.

Ema Rebeca Alfaro Araya

Auditoría Interna

 Presidencia Ejecutiva
 Asesoría Legal
 Dirección Administrativa Financiera
 Unidad de Informática
 Archivo

La Auditoría Interna es una actividad independiente y objetiva de aseguramiento y consulta, concebida para agregar valor y mejorar las opera-
ciones de una organización. Ayuda a una organización a cumplir sus objetivos aportando un enfoque sistemático y disciplinado para evaluar y
mejorar la eficacia de los procesos de gestión de riesgos, control y gobierno. (IIA Global)
Oficio: Document1
Página 1 de 6
Email: auditoría@inamu.go.cr, Dirección Auditoría, detrás de Spoon Los Yoses, teléfono fax auditoría 2253-2706
 Contenido
1. ORIGEN ..........................................................................................................................2
2. SEGREGACIÓN DE FUNCIONES .................................................................................2
3. NORMATIVA ACTUAL ...................................................................................................2
4. ACLARACIÓN ADICIONAL ............................................................................................3
4.1. Matriz de Segregación de Funciones en TI ISACA ......................................................................... 4
5. CONCLUSIÓN ................................................................................................................6

1. ORIGEN
Este oficio se emite en cumplimiento de la solicitud verbal que hiciera la Junta
Directiva en la Sesión celebrada el 3 de octubre del 2011

2. SEGREGACIÓN DE FUNCIONES
La segregación de funciones es una de las principales actividades de control
interno destinada a prevenir o reducir el riesgo de errores o irregularidades, y en
especial el fraude interno en las organizaciones. Su función es la de asegurar que
un individuo no pueda llevar a cabo todas las fases de una operación/transacción,
desde su autorización, pasando por la custodia de activos y el mantenimiento de los
registros maestros necesarios. Se daría una adecuada segregación de funciones
cuando para realizar una acción fraudulenta o irregularidad se requiera la confabu-
lación de dos o más empleados. (Ricardo Martínez Martínez Gerente de ERS-En-
terprise Risk Services- Deloitte)
Un ejemplo de segregación de funciones, se encuentra presente en la
Reforma al Reglamento sobre el Refrendo de las Contrataciones de la
Administración Pública, emitido por la Contraloría General de la República,
mediante resolución R-DC-31-2012:
Cuando la aprobación interna esté a cargo de la asesoría jurídica institucional,
esa unidad no tendrá impedimento alguno para brindar asesoría durante las etapas
del procedimiento de contratación previas al trámite de aprobación aquí referido, ya
que por el contrario esa asesoría es fundamental para asegurar la calidad jurídica de
los procesos de adquisición de bienes y servicios. Sí debe procurarse, en la medida
en que se cuente con los recursos necesarios, que el funcionario que participa en las
actividades de asesoría jurídica relativas a un procedimiento de contratación
concreto, no sea el mismo que tenga a cargo el análisis de legalidad tendiente a
otorgar la aprobación interna.

3. NORMATIVA ACTUAL
La segregación de funciones es parte del sistema de control interno y por lo
tanto parte de las responsabilidades de la Administración Activa, tal y como lo dis-
pone la Ley de Control Interno:
Artículo 10.—Responsabilidad por el sistema de control interno. Serán responsabili-
dad del jerarca y del titular subordinado establecer, mantener, perfeccionar y evaluar el
sistema de control interno institucional. Asimismo, será responsabilidad de la administra-
ción activa realizar las acciones necesarias para garantizar su efectivo funcionamiento.

La Auditoría Interna es una actividad independiente y objetiva de aseguramiento y consulta, concebida para agregar valor y mejorar las opera-
ciones de una organización. Ayuda a una organización a cumplir sus objetivos aportando un enfoque sistemático y disciplinado para evaluar y
mejorar la eficacia de los procesos de gestión de riesgos, control y gobierno. (IIA Global)
Oficio: Document1
Página 2 de 6
Email: auditoría@inamu.go.cr, Dirección Auditoría, detrás de Spoon Los Yoses, teléfono fax auditoría 2253-2706
 Las Normas Técnicas para la Gestión y el Control de las Tecnologías de In-
formación, emitidas por la Contraloría General de la República (N-2-2007-CO-
DFOE) establecen:
2.1 Independencia y El jerarca debe asegurar la independencia de la Función de TI res-
recurso humano de la pecto de las áreas usuarias y que ésta mantenga la coordinación y
Función de TI comunicación con las demás dependencias tanto internas y como
externas.

Además, debe brindar el apoyo necesario para que dicha Función

de TI cuente con una fuerza de trabajo motivada, suficiente, com-
petente y a la que se le haya definido, de manera clara y formal, su
responsabilidad, autoridad y funciones.

Por su parte las Normas de control interno para el sector público (N-2-2009-
CO-DFOE) Emitidas con resolución R-CO-9-2009 del 26 de enero de 2009, publi-
cada en el Diario Oficial "La Gaceta" Nº 26 del 6 de febrero de 2009 establece
2.5.3 Separación de El jerarca y los titulares subordinados, según sus competencias, de-
funciones ben asegurarse de que las funciones incompatibles, se separen y
incompatibles y del distribuyan entre los diferentes puestos; así también, que las fases
procesamiento de de autorización, aprobación, ejecución y registro de una transac-
transacciones ción, y la custodia de activos, estén distribuidas entre las unidades
de la institución, de modo tal que una sola persona o unidad no
tenga el control por la totalidad de ese conjunto de labores.
Cuando por situaciones excepcionales, por disponibilidad de recur-
sos, la separación y distribución de funciones no sea posible debe
fundamentarse la causa del impedimento. En todo caso, deben im-
plantarse los controles alternativos que aseguren razonablemente
el adecuado desempeño de los responsables.

4. ACLARACIÓN ADICIONAL
Aún cuando el Manual Sobre Normas Técnicas de Control Interno Relativas
a Los Sistemas de Información Computadorizados, emitido por la Contraloría Ge-
neral de la República en 1997, ya fue derogado, consideramos que algunas de las
explicaciones que hacen con respecto a la Segregación de funciones en el área de
Tecnologías de Información son útiles para este caso
302.07 Segregación de funciones incompatibles dentro de la organización

Se mantendrá una segregación efectiva de las funciones de iniciación, autorización, ejecución y

registro de transacciones dentro de la organización.

Declaración interpretativa
Las funciones incompatibles son aquellas que colocan a cualquier persona en una situación en
la que pueda cometer y ocultar errores o irregularidades en el curso normal de sus obligaciones.
Consecuentemente, los controles dependen en gran grado de la eliminación de la oportunidad de

La Auditoría Interna es una actividad independiente y objetiva de aseguramiento y consulta, concebida para agregar valor y mejorar las opera-
ciones de una organización. Ayuda a una organización a cumplir sus objetivos aportando un enfoque sistemático y disciplinado para evaluar y
mejorar la eficacia de los procesos de gestión de riesgos, control y gobierno. (IIA Global)
Oficio: Document1
Página 3 de 6
Email: auditoría@inamu.go.cr, Dirección Auditoría, detrás de Spoon Los Yoses, teléfono fax auditoría 2253-2706
 encubrimientos, de manera que los procedimientos diseñados para detectar errores o irregulari-
dades, deben desempeñarse por personas distintas de aquellas que están en posición de come-
terlos, esto es, por personas que no realicen funciones incompatibles.
De conformidad con lo anterior, la Unidad de Informática en su condición de servidora o de apoyo
a las otras unidades de la organización, se limitará al registro y procesamiento de los datos. Como
regla, no deberá originar ni autorizar transacciones, ejecutar la preparación inicial de los datos
para su procesamiento y tener autoridad para iniciar los cambios en los sistemas computadoriza-
das, con excepción de las actividades necesarias para cumplir con su competencia. Tampoco
deberá tener acceso a los registros contables preparados manualmente, excepto a los documen-
tos fuente que serán necesarios para la entrada y el procesamiento de los datos.
302.08 Segregación de funciones dentro de la Unidad de Informática

Se segregarán las funciones de análisis y diseño de sistemas, programación, operación del

equipo, control de los datos y manejo de la cintoteca.

Declaración interpretativa

El control interno se verá fortalecido si dentro de la estructura de la organización de la Unidad de

Informática, existe una segregación adecuada de funciones incompatibles, lo cual también dará
como resultado, una mayor eficiencia operacional debido al diferente nivel de entrenamiento, co-
nocimiento y habilidad requeridos en cada función.
Con el propósito de mantener la segregación requerida, el análisis de los sistemas y el diseño de
éstos, hasta donde sea posible lo realizarán personas diferentes, quienes no intervendrán en la
programación y en la operación del equipo; estas dos últimas funciones también deberán estar
segregadas. Los grupos de control de datos pueden formar parte de la unidad usuaria, pero con
frecuencia son parte integrante de la Unidad de Informática, en cuyo caso deberán ser indepen-
dientes de los grupos de análisis de sistemas, programación y operación.
El acceso a la biblioteca de discos, cintas y otros archivos magnéticos y de otra naturaleza, de-
berá estar permitido sólo al personal autorizado. La disposición de los archivos magnéticos por
parte de los operadores del computador para la ejecución de sus funciones, se realizará respe-
tando procedimientos formales de control.
En forma adicional, es necesario establecer otros procedimientos apropiados como la rotación
de tareas y el disfrute de vacaciones anuales.
La segregación de tareas en una organización pequeña puede ser difícil de ponerse en práctica
en razón del poco personal que labora dentro de la Unidad de Informática, en cuyo caso debe-
rán implantarse controles compensatorios.

Por su parte el Instituto de Auditores Internos (Global) en su Guía de Auditoría de

Tecnología Global que:
La separación tradicional de funciones en el entorno de TI se divide entre desarrollo de sistemas
y operaciones. El área de Operaciones y Explotación debe ser responsable de ejecutar los sis-
temas de producción, a excepción de la distribución de los cambios, y debe tener poco o ningún
contacto con el proceso de desarrollo. … De igual manera, el personal de desarrollo de sistemas
debe tener poco contacto con los sistemas en producción. Durante la implementación y los
cambios de procesos, al asignar funciones específicas al personal responsable de los sistemas
de aplicación y a los responsables de operaciones, se puede impulsar la correcta separación de
funciones.

A pesar de las definiciones y normativa expuestas, no existe un modelo que

nombre expresamente las funciones incompatibles en la Función de Tecnologías de

La Auditoría Interna es una actividad independiente y objetiva de aseguramiento y consulta, concebida para agregar valor y mejorar las opera-
ciones de una organización. Ayuda a una organización a cumplir sus objetivos aportando un enfoque sistemático y disciplinado para evaluar y
mejorar la eficacia de los procesos de gestión de riesgos, control y gobierno. (IIA Global)
Oficio: Document1
Página 4 de 6
Email: auditoría@inamu.go.cr, Dirección Auditoría, detrás de Spoon Los Yoses, teléfono fax auditoría 2253-2706
 información. Sin embargo la ISACA (anteriormente conocida como Asociación De
Sistemas de Información de Auditoría y Control, pero ahora sólo conocida como
ISACA) ha hecho un esfuerzo en hacer una evaluación de las posibles funciones
incompatibles.

4.1. Matriz de Segregación de Funciones en TI ISACA

La ISACA en su manual para la Certificación internacional CISA 2011(Auditor
Certificado de Sistemas de Información) ha indicado que aunque la siguiente matriz
no es un “estándar en la industria, sino una directriz que indica cuales posiciones se
deben separar”, “la matriz describe posibles problemas de segregación de funciones
y no se debe ver o usar como una verdad absoluta”, sin embargo esta matriz puede
orientar a la Administración Activa del INAMU para realizar una adecuada
segregación de funciones o establecer los controles compensatorios necesarios
para mitigar el riesgo.

Matriz de segregación de funciones (Manual certificación CISA 2011, Figura 2.12)

Gerente de Soporte

Aseguramiento de
Mesa de ayuda y

Administrador de
Grupo de control

Ingreso de datos
Programador de

Programador de
Base de datos
computadores
Usuario Final

Operador de
aplicaciones
Analista de

Seguridad

la calidad
Sistemas
sistemas

sistemas
Red
Grupo de Control X X X X X X X X X
Analista de
X X X X X X
sistemas
Programador de
X X X X X X X X X X X
aplicaciones
Mesa de ayuda y
Gerente de X X X X X X X X X
Soporte
Usuario Final X X X X X X X X
Ingreso de datos X X X X X X X X X
Operador de
X X X X X X X X X X
computadoras
Administrador de
X X X X X X X X X
la base de datos
Administrador de
X X X X X X X
redes
Administrador de
X X X X X X X
Sistemas
Administrador de
X X X X X
la Seguridad
Programador de
X X X X X X X X X X
Sistemas
Aseguramiento de
X X X X
la calidad
X- La combinación de estas funciones puede crear una posible debilidad de control

La Auditoría Interna es una actividad independiente y objetiva de aseguramiento y consulta, concebida para agregar valor y mejorar las opera-
ciones de una organización. Ayuda a una organización a cumplir sus objetivos aportando un enfoque sistemático y disciplinado para evaluar y
mejorar la eficacia de los procesos de gestión de riesgos, control y gobierno. (IIA Global)
Oficio: Document1
Página 5 de 6
Email: auditoría@inamu.go.cr, Dirección Auditoría, detrás de Spoon Los Yoses, teléfono fax auditoría 2253-2706
 5. CONCLUSIÓN
La Administración Activa es la responsable del Sistema de Control Interno, la
cual incluye una adecuada separación de funciones incompatibles que incluyen el
Área de Tecnologías de Información, para lo cual deberá asegurarse
razonablemente que no hay concentración de funciones que pongan en riesgo a la
Institución, o se realicen las medidas alternativas para mitigar esos riesgos, para lo
cual puede hacer uso de instrumentos como los que provee ISACA o el IIA.

La Auditoría Interna es una actividad independiente y objetiva de aseguramiento y consulta, concebida para agregar valor y mejorar las opera-
ciones de una organización. Ayuda a una organización a cumplir sus objetivos aportando un enfoque sistemático y disciplinado para evaluar y
mejorar la eficacia de los procesos de gestión de riesgos, control y gobierno. (IIA Global)
Oficio: Document1
Página 6 de 6
Email: auditoría@inamu.go.cr, Dirección Auditoría, detrás de Spoon Los Yoses, teléfono fax auditoría 2253-2706