SEGREGACIN DE FUNCIONES

Johanna Benalczar

20 de Octubre del 2011

Lectura N05

Segregacin de Funciones
La segregacin de funciones es una de las principales actividades de control interno destinada a prevenir o reducir el riesgo de errores o irregularidades, y en especial el fraude interno en las organizaciones. Su funcin es la de asegurar que un individuo no pueda llevar a cabo todas las fases de una operacin/transaccin, desde su autorizacin, pasando por la custodia de activos y el mantenimiento de los registros maestros necesarios. Se dara una adecuada segregacin de funciones cuando para realizar una accin fraudulenta o irregularidad se requiera la confabulacin de dos o ms empleados. Ya sea por la creciente presin regulatoria, derivada de los casos de fraude que salpican a las organizaciones, o por una concienciacin mayor de stas por mejorar su control interno, la segregacin de funciones se ha convertido en una prioridad. Durante la segunda sesin del II Foro de Seguridad Avanzada, organizado por Ernst & Young y ComputerWorld, se analizaron los aspectos claves de la segregacin de funciones en los procesos de negocio. Base del control interno: Cualquier proyecto de definicin e implementacin de un modelo de segregacin de funciones tiene que tener un claro apoyo de la direccin, ya que se trata de iniciativas que requieren un grado de implicacin importante de todas las reas afectadas. Precisamente en el foro fue motivo de debate el grado de implicacin necesario de los responsables de los procesos de negocio, asumiendo que tiene que ser muy alto, ya que son los principales conocedores de sus procesos y de las actividades crticas. Por otro lado, fue muy discutido el papel que deben adoptar frente a este tipo de proyectos las reas de sistemas y de seguridad, ya que stos son encargados a estas reas de forma sistemtica. Una de las principales conclusiones a las que se lleg en este aspecto fue que las reas de sistemas o seguridad deben servir como apoyo, ya que sern las que configuren e implanten la herramienta seleccionada, pero quien realmente debe liderar este tipo de iniciativas y coordinar la implicacin de cada una de las reas en las distintas fases debe ser el departamento de control interno. Donde no hubo tanto consenso fue sobre quin debe mantener el sistema de segregacin de funciones una vez definido e implantado. Uno de los problemas presentados por los representantes de las empresas del sector de la construccin a la hora de la adopcin de un modelo de segregacin de funciones comn dentro de sus entidades es la diferencia existente entre los procesos de negocio en las diversas organizaciones que forman sus grupos, as como la divergencia cultural existente en organizaciones de mbito internacional, surgidos a partir de las adquisiciones. Tal y como exponan, el principal reto al que se enfrentaban las compaas no es la definicin de un modelo de segregacin de funciones comn, que puede que ya exista, sino el cambio en los procesos de negocio de aquellas compaas no alineadas con ese modelo comn. Estos cambios en los procesos de negocio, que pueden haber estado vigentes durante aos, son difciles de implantar, principalmente por la resistencia al cambio mostrada por las compaas. En estos casos, tal y como fue comentado por los

asistentes, una buena estrategia de comunicacin basada en presentar los cambios como una mejora real ser clave para conseguir vencer esa reticencia inicial. El rea de control interno mostr especial preocupacin en los procesos de migracin e implantacin de nuevos sistemas, ya que en esta cuestin, se ha optado por una prctica extensiva en la concesin de privilegios, anteponiendo las necesidades operativas a las necesidades de control a la hora de otorgar privilegios a los usuarios. Frecuentemente, stos no son retirados con posterioridad, por lo que se siguen manteniendo usuarios con privilegios crticos que no son precisos. Por ello, adems de establecer un modelo de segregacin de funciones adecuado, es necesario dotar a las reas de control de las organizaciones de herramientas que permitan controlar el uso de los privilegios crticos sobre el sistema, como pueden ser las acciones de cierres o inicios de periodos contables o pagos de las nminas, cuya ejecucin debe estar restringida a usuarios concretos dentro de las organizaciones y ejecutadas en momentos puntuales. Gestin de roles: Hacia el cumplimiento continuo sin excepcin entre los participantes, todos coincidieron en que la implantacin de un modelo de segregacin de funciones es algo costoso para las organizaciones, tanto econmicamente como en recursos y tiempo, por lo que no debe ser flor de un da, sino que tiene que mantenerse a lo largo del tiempo. Ejemplos de esta situacin fueron presentados por compaas del sector energtico, que habrn finalizado proyectos de redefinicin de roles que no vieron continuidad a lo largo del proceso, lo que provoc que pasado el tiempo la situacin volviera a ser la inicial. Es necesaria una evolucin en los procesos de gestin de privilegios, de forma que pasemos de sistemas de provisin de usuarios, donde a cada uno se le asignaban dichos privilegios de acceso individualmente, a un proceso de gestin de roles, que nos permita mantener la segregacin de funciones a lo largo del tiempo. El uso de herramientas automatizadas, como SAP GRC, que permitan la deteccin temprana de conflictos de segregacin de funciones antes de la provisin de los accesos a los usuarios, unidos a procedimientos robustos para el mantenimiento del modelo definido frente a cambios en los procesos de negocio de las organizaciones, se presentaron como los aspectos clave en todas las organizaciones para el mantenimiento en el tiempo de la segregacin de funciones. Bibliografa: http://www.idg.es/computerworld/La-segregacion-de-funciones,-un-pilar-clave-en-el/seccion-/articulo-189951 http://www.bsecure.com.mx/auditoriaextrema/reduzca-riesgos-con-una-segregacion-defunciones-integral/ http://www.articuloz.com/finanzas-articulos/segregacion-de-funciones-4099913.html http://www.fabricasdesoftware.es/la-segregacin-de-funciones.html