Perspectivas relacionadas con el riesgo de TI
Un enfoque basado en riesgos para la segregación de funciones
La complejidad de los sistemas empresariales actuales conlleva un importante reto para las organizaciones con relación al establecimiento de control interno básico: la segregación de funciones.
La segregación de funciones es un tema prioritario para muchos profesionales a nivel global, desde los responsables de cumplimiento hasta los ejecutivos de alto nivel. El interés cada vez mayor en la segregación de funciones se debe, en parte, a los reglamentos impulsados con un enfoque en los controles y a la responsabilidad a nivel ejecutivo por lograr su implementación exitosa. Sin embargo, la razón subyacente de estos reglamentos es aún más importante: ninguna persona debe de tener demasiado acceso a un sistema que le permita ejecutar transacciones en todo un proceso de negocios sin controles y autorizaciones. Permitir este tipo de acceso representa un riesgo muy real para los negocios y manejar este riesgo de manera pragmática y eficaz es más difícil de lo que parece. Si esta idea es de sentido común, ¿por qué tantas compañías luchan para cumplir con la segregación de funciones y por qué preocupa reiteradamente a los departamentos de Tecnologías de la Información (TI), Auditoría Interna y Finanzas? En gran medida, la dificultad radica en la complejidad y variedad de los sistemas que automatizan los procesos de negocios clave, así como en la titularidad y responsabilidad del control de dichos procesos. La segregación de funciones es un control interno básico que busca asegurar que ninguna persona tenga la autoridad para ejecutar dos o más transacciones sensibles en conflicto que podrían afectar los estados financieros. Sin una guía adecuada y un enfoque razonable, podría parecer extremadamente difícil lograr implementar, probar, remediar y mitigar la segregación de funciones. Sin embargo, un enfoque basado en riesgos puede lograr que este esfuerzo sea manejable para una compañía de cualquier tamaño. Las empresas no necesitan crear estructuras complejas de funciones ni realizar cambios costosos a fin de cumplir con la segregación de funciones y el principio del mínimo privilegio. Al enfocarse en las transacciones que presentan el mayor riesgo para el negocio, las compañías pueden entender rápidamente los problemas relacionados con el acceso e identificar a un nivel que satisfaga a la administración y a aquellos involucrados en la auditoría, si se están tomando las medidas adecuadas para corregir y mitigar las causas raíz de los problemas de segregación de funciones. En este documento se plantea un enfoque práctico y basado en riesgos del cumplimiento con la segregación de funciones.
Ernst & Young - México
Habilitadores de negocios y cumplimiento regulatorio La adecuada segregación de funciones es un método que se estableció hace mucho tiempo para evitar fraudes y mantener controles dentro de una compañía. Sin embargo, el reciente enfoque regulatorio en las empresas públicas ha llevado a las compañías a entender realmente qué tipo de acceso tienen sus empleados dentro de su cartera de aplicaciones. Las regulaciones enfocadas a controles, tal como la Ley Sarbanes-Oxley, no solo han impuesto un rigor sin precedentes en torno a éstos, sino que también subrayan la importancia de contar con un enfoque integrado de controles de TI y financieros para administrar los riesgos dentro de una compañía. En todo el mundo, las regulaciones actuales y propuestas continúan llevando el tema de la segregación de funciones y controles al primer plano de las agendas tanto de los auditores como de los ejecutivos. Estas regulaciones incluyen la European Union’s 8th Directive, que se considera que es el equivalente en Europa de SOX; J-SOX, la versión japonesa de Sarbanes-Oxley; y Basilea II, que aborda el método que utilizan las instituciones financieras para calcular la suficiencia de capital y su alineación con el perfil de riesgo de la compañía. La lista de regulaciones sigue creciendo, y como respuesta las iniciativas para asegurar el cumplimiento aumentan y consumen los recursos corporativos. A medida que las compañías racionalizan sus gastos y optimizan sus presupuestos se espera que el enfoque en cuanto al control interno sea pragmático y equilibrado. Las entidades reguladoras han puesto atención en las necesidades de las empresas a fin de avanzar hacia una legislación y guía que logre equilibrar el nivel de esfuerzo que se requiere para entender el riesgo. Un ejemplo es la publicación del Standard No.5 del Public Accounting Oversight Board (PCAOB), que obligó a las compañías y a sus auditores a enfocarse más en los riesgos y los asuntos importantes que pudieran afectar el negocio y los estados financieros; un mensaje claro de que la metodología basada en riesgos es fundamental para un marco de control interno eficaz y eficiente. En síntesis, el no implementar la segregación de funciones como parte de un marco sólido pone a las compañías en riesgo de no cumplir con los requisitos regulatorios y de cumplimiento. Pero éste no es el único riesgo. El precio del fraude y de otras fallas de control interno está bien documentado en valores monetarios, que es donde el costo comienza a sentirse como algo más real, adicionalmente hay otros costos ocultos, tales como: • La disminución del valor accionario, debido a que el mercado ya no tiene confianza en la compañía. • Las oportunidades de negocio no aprovechadas, debido a cambios en la calificación crediticia de la empresa o a que el financiamiento es más costoso. • Los costos incurridos para recuperarse de algún daño en la reputación de la compañía. Un enfoque basado en riesgos permite que las empresas administren (pero no que mitiguen por completo) estos riesgos de una manera equilibrada y eficiente que refleje el valor que están protegiendo.
2
Un enfoque basado en riesgos para la segregación de funciones
Una metodología basada en riesgos Una metodología basada en riesgos, tal como la que se aborda en este documento, se enfoca en los problemas que presentan la mayor amenaza para el negocio y sus estados financieros. Independientemente de si los motivos para invertir en el cumplimiento de la segregación de funciones son para asegurar el cumplimiento regulatorio, la prevención de fraudes o un nuevo sistema ERP, una compañía no puede eliminar todos los posibles riesgos. Más bien, el objetivo debe ser centrarse en los riesgos que amenazan los umbrales predefinidos de valor. Generalmente, éstos se establecen al principio de la iniciativa de la segregación de funciones. La materialidad, los umbrales de fraude o los límites financieros importantes que cuantifican el impacto de la realización de riesgos financieros, operativos o reputacionales, son ejemplos de los umbrales que sirven para medir la sensibilidad financiera de los conflictos de la segregación de funciones. La segregación de funciones establece que es posible que surjan problemas (tales como fraude, errores importantes y manipulación de los estados financieros) cuando una misma persona tiene autorización para ejecutar dos o más transacciones sensibles en conflicto. Las transacciones sensibles impulsan los procesos que pudieran afectar los estados financieros, actividades operativas o la reputación de una compañía en el mercado. Muchas empresas se esfuerzan por lograr que sus usuarios no tengan conflictos de segregación de funciones, aunque este objetivo a menudo es inalcanzable, insostenible y poco realista dado el número de empleados que participan en una típica función de negocios. Dividir las responsabilidades discretas del puesto en funciones orientadas a tareas a menudo puede dar lugar a ineficiencias y costos innecesarios. Por último, es imperativo que la compañía entienda y evalúe el panorama de los conflictos actuales, los reduzca en la medida de lo posible para un modelo de personal dado (mediante iniciativas de remediación) y aplique controles mitigantes a los demás problemas. Este enfoque no elimina por completo los conflictos en la segregación de funciones, pero demuestra que la administración ha evaluado los conflictos existentes y reducido el riesgo residual a un nivel aceptable a través de procesos probados y controlados. Esta solución es generalmente aceptada por los auditores, reguladores y partes involucradas en la presentación de información financiera, y fomenta una conciencia sobre los riesgos que va más allá de un simple ejercicio de cumplimiento.
Glosario de segregación de funciones • Materialidad. El umbral financiero o impacto que un posible conflicto de segregación de funciones puede tener sobre los estados financieros de una compañía. • Principio del mínimo privilegio. El concepto de que los usuarios del sistema únicamente deben tener acceso a los recursos que son absolutamente necesarios para desempeñar sus funciones. • Segregación de funciones (SoD). Un control interno que busca evitar que una misma persona tenga control sobre dos o más transacciones sensibles e incompatibles. • Transacción sensible. Una transacción de negocios que tiene el potencial de afectar los estados financieros de una compañía. • Conflicto de segregación de funciones. La combinación de dos transacciones o actividades de negocios sensibles e incompatibles.
Ernst & Young - México
3
Hoja de ruta de la segregación de funciones Las iniciativas más exitosas de la segregación de funciones constan de cinco fases: Fase 1
Fase 2
Fase 3
Fase 4
Pruebas
Mitigación
Fase 5 Remediación
Fase 1: Definición a nivel de negocio El objetivo de esta fase es lograr entender el alcance de las transacciones sensibles y los conflictos que existen en los procesos de negocios clave de la compañía. Estas transacciones son las que presentan el mayor riesgo de fraude para la organización cuando alguien cuenta con acceso excesivo a los sistemas. Durante esta fase, los umbrales se determinan con base en el riesgo e impacto para la compañía por cada posible conflicto de segregación de funciones Debido a que este paso sienta las bases para las fases siguientes es crucial que se ejecute de manera adecuada. Muchas empresas fracasan en esta etapa inicial porque se ocupan de demasiados conflictos que no cumplen con el umbral de riesgo, dando como resultado requisitos onerosos que a fin de cuentas no se pueden cumplir o que son excesivamente costosos para los riesgos que están intentando administrar. Por ejemplo, una compañía podría estar muy atenta para evitar que una misma persona pueda crear una orden de compra a un proveedor y modificar el archivo maestro de precios del cliente. Sin embargo, la combinación de estas dos actividades podría representar un riesgo tan bajo que no amerita ser incluido en la matriz de conflictos de la empresa. Podría ser más adecuado incorporar los conflictos potenciales para un usuario que pudiera modificar el archivo maestro de proveedores, crear una orden de compra a un proveedor y emitir el pago a los proveedores, ya que esta combinación representa un riesgo más alto para la compañía. Matriz de conflictos El resultado de la fase de definición a nivel de negocio es una matriz de posibles conflictos, independiente de la aplicación de TI que procesa cada transacción, pero que incluye la correspondiente declaración de riesgo relacionada con cada conflicto. Esta declaración responde a la pregunta: “¿Por qué nos preocupa este par o combinación de transacciones?”, y muestra lo que puede salir mal si una persona tiene suficiente acceso o autoridad para generar un conflicto.
4
La declaración de riesgo podría decir: “Un usuario podría crear un proveedor ficticio o hacer cambios no autorizados a los datos maestros de los proveedores, realizar compras con este proveedor y emitir el pago correspondiente a éste”. En tal caso, el proveedor podría ser un empleado cometiendo fraude que cuenta con un nivel de acceso al sistema excesivo e inadecuado. Por lo general, la matriz y las declaraciones de riesgo correspondientes son diferentes entre compañías, industrias, modelos de negocio e incluso ubicaciones dentro de la misma empresa, dependiendo de los procesos que son importantes. Es muy común que una gran compañía global tenga más de una matriz, debido a las diferencias en los procesos de negocios por ubicación o unidad de negocio. Por ejemplo, una empresa podría tener una unidad de negocio de manufactura con una gran cantidad de inventario que requiera de una matriz de segregación de funciones que se enfoque en transacciones específicas de inventario. También podría tener una unidad de negocio de servicios que requiere un enfoque sobre la contabilidad de proyectos y necesita una matriz de segregación de funciones diferente. Aunque el hecho de tener conocimiento de negocios e industrias similares puede ayudar a elaborar la matriz de conflictos, cada unidad de negocio debe realizar un análisis personalizado de sus transacciones en conflicto a fin de encontrar el riesgo real de ese modelo de negocio en particular.
Un enfoque basado en riesgos para la segregación de funciones
Fase 2: Definición técnica La definición técnica utiliza la matriz de conflictos elaborada como una herramienta para ayudar a responder la pregunta: “¿Qué aplicaciones soportan la ejecución de las transacciones sensibles definidas y cómo se ejecutan en el sistema?”. La compañía o unidad de negocio debe mapear cada transacción sensible con sus derechos de acceso relacionados en la aplicación que ejecuta dicha transacción. Este paso crítico alimenta el análisis de datos cuando se configura el acceso durante la implementación o arroja los resultados de las pruebas en ambientes reales. Si bien esta labor de mapear las tareas podría parecer insignificante, en este paso muchas compañías enfrentan a menudo problemas debido a que no entienden cómo se puede ejecutar una transacción en una aplicación específica.
Mapeo de aplicaciones y exclusiones
Application 2
Application 3
Application 4
Aplicación de pruebas para la segregación de funciones Cuadro de aplicabilidad (continua)
Application 1
El proceso de la segregación de funciones basado en riesgos requiere que una compañía descubra todos los métodos posibles para ejecutar una transacción, a fin de entender todas las posibilidades de fraude y no solo la visión limitada de los métodos conocidos. Mapear todas las maneras en que un usuario pudiera ejecutar una transacción es crucial para describir adecuadamente la segregación de funciones existente.
Las exclusiones se refieren a los identificadores de usuario (user ID) y menús o derechos de acceso intencionalmente omitidos en el análisis de la segregación de funciones. No todos los identificadores de usuario que aparecen en el análisis representan un conflicto real. A menudo, las cuentas de sistema o de proceso, los administradores de TI, las operaciones de TI y el personal de soporte tienen acceso a varios menús en conflicto. Es posible que esto no represente un problema real, si es que la meta es solo captar los usuarios de negocios con conflictos de segregación de funciones.
Conteo de derechos de acceso mapeados
El mapeo de aplicaciones es la identificación de reglas mediante las cuales las transacciones sensibles se llevan a cabo en los sistemas. Por ejemplo, los derechos de actualizaciones del proveedor se pueden ejecutar mediante una serie de menús en una aplicación dada. Se debe mapear, recorrer y documentar la presencia de estos menús asignados a usuarios específicos, a fin de que la compañía pueda aplicar pruebas adecuadas en busca de algún conflicto en particular. El reto es que en la mayoría de las aplicaciones modernas existe más de una sola manera de ejecutar la misma transacción. Por ejemplo, podría haber 20 formas en una aplicación de realizar el pago a un proveedor, pero la compañía podría utilizar únicamente cinco de ellas. Además, la empresa no suele tener conocimiento de las otras 15 maneras y en general no restringe el acceso ni controla estos otros métodos para ejecutar el pago a un proveedor.
1
14
0
0
31
2
0
0
6
14
3
0
0
5
19
0
0
13
0
5
2
0
9
7
6
4
0
5
24
1
0
0
0
8
0
0
6
0
9
0
0
3
0
0
0
2
0
Grupo de segregación de funciones
4
Ventas y cuentas por cobrar
Registrar las entradas de efectivo y aplicarlas a las cuentas de los clientes
7 Compras
lic ar
las
cu en ta s
a la
po
r
co b
ra r
sc ue nt as de los c
lie nt es
Mapeo de la segregación de funciones
Aprobar órdenes de compra
Datos maestros de inventarios 11
Crear/cambiar la determinación de costos estándar o real
0
0
0
7
12
Crear/cambiar datos del maestro de materiales
2
0
1
7
0
0
0
32
1
0
0
0
Re g
ist
rar
Co m
las
en
pr as
tra
da sd
Ve nt as
ee fec tiv oy
y
ap
10
1 # de segregación de funciones
2 3
5
3
4
5
6
X
X
X
X
X
X
X
X
X
7
8
Ventas y cuentas por cobrar
1
4
2
Registrar las entradas de efectivo y aplicarlas a las cuentas de los clientes
X
Transacciones de inventario 13 X
14
Registrar movimientos de inventario o producción
X X
8
Una de las falacias clave en el mapeo de menús (o de acceso) es que solo se deben mapear las transacciones que realmente se utilizan en la aplicación. Si bien este método capta en general muchas de las transacciones ejecutadas, no identificará los menús que los usuarios de negocios no utilizan pero que podrían usar para ejecutar una transacción en particular. Aunque los menús se pueden deshabilitar o no estar disponibles para un grupo de usuarios de negocios, éstos se deben mapear para poder demostrar que han sido considerados y es posible ver todo el grupo de reglas a través del cual se están probando los conflictos de segregación de funciones.
Ernst & Young - México
De lo contrario, a fin de facilitar el monitoreo continuo de los controles, las compañías incluyen con frecuencia a los usuarios de TI en los informes sobre el uso normal de transacciones sensibles y de conflictos de segregación de funciones. Por lo general se debe excluir la funcionalidad de solo lectura o de consulta, ya que no permite la ejecución de transacciones sensibles. Independientemente del tratamiento de la exclusión de transacciones es de suma importancia documentar todas las omisiones y la justificación de las mismas, así como comunicar esta información a los reguladores y partes interesadas respecto al cumplimiento.
5
Hoja de ruta de la segregación de funciones
Fase 3: Pruebas En la fase de pruebas se utilizan los datos obtenidos de las fases de definición del negocio y definición técnica para preparar un análisis de usuarios con conflictos de segregación de funciones. Los resultados destacan estos conflictos de varias maneras –por ejemplo, por usuario y por función o por grupo– y muestran la gravedad de los problemas entre la población de usuarios de la compañía. Este análisis, junto con la definición a nivel de negocio y la definición técnica, generalmente sirve como el paquete de pruebas de cumplimiento que se revela a la administración, a aquellos involucrados en la auditoría y a los reguladores Pruebas dentro de la aplicación vs. pruebas entre aplicaciones Pocas empresas cuentan con un solo sistema o una sola plataforma para ejecutar las transacciones sensibles clave. Las transacciones y los estados financieros a menudo se procesan a través de una cartera interrelacionada de aplicaciones y procesos de negocios automatizados. Por lo general, los usuarios tienen acceso a varios sistemas cuando ejecutan una función de trabajo específica. Este acceso a múltiples sistemas a menudo genera la posibilidad de fraude y problemas de control. En consecuencia, es de suma importancia que la compañía no solo realice pruebas dentro de una aplicación sino también entre aplicaciones (es decir, entre dos o más aplicaciones), para identificar el riesgo subyacente de un conflicto de segregación de funciones. Invariablemente surge la pregunta sobre qué sistemas deben incluirse en el alcance de las pruebas. Se debe considerar cualquiera de los sistemas que ejecute transacciones sensibles definidas en la matriz de conflictos de segregación de funciones. Por ejemplo, identificar todos los lugares que pueden modificar el archivo maestro de los proveedores dará como resultado el alcance de las aplicaciones que se deberán incluir en las pruebas para esa transacción en particular. Si esta capacidad reside en múltiples aplicaciones, la compañía debe incluir a todas éstas en las pruebas. Procesamiento de punta a punta Cuando una sola persona puede ejecutar un proceso de punta a punta, esto indica que hay una falta de control sobre los diferentes pasos dentro de un solo proceso de negocio. Por lo general, bajo este escenario un usuario puede concluir todo un proceso (desde el inicio y autorización hasta la aprobación y ejecución) sin que se ejecuten controles. Este tipo de problema puede ocurrir en plantillas o departamentos con poco personal donde se comparten las responsabilidades laborales (es decir, cualquier persona puede fungir como reemplazo de otra). El análisis de datos puede detectar los mismos usuarios en múltiples pruebas de conflicto dentro de un proceso de negocios en particular. Si se presenta esta situación, es posible que la compañía necesite prestar mucha atención en el uso de controles mitigantes o considerar remediar totalmente el problema al rediseñar el proceso por completo.
6
Este conflicto es especialmente importante cuando existen recortes de personal en una empresa. Cuando los empleados que están a cargo de procesos clave son despedidos (y no reemplazados), las funciones laborales a menudo se combinan. Lo que alguna vez fue un modelo de acceso segregado, ahora se convierte en una población de usuarios con problemas de control importantes. Las compañías inteligentes evalúan el impacto de la segregación de funciones por el despido de empleados y, por consiguiente, elaboran planes antes de realizar los despidos. Cuando se tienen que combinar los procesos que anteriormente estaban segregados se deben aplicar y monitorear controles sólidos de mitigación en el intervalo. Calificaciones del riesgo de conflicto No existen dos conflictos de segregación de funciones iguales. Cada problema presenta un riesgo diferente para el negocio e idóneamente cada conflicto debe ser calificado de acuerdo con la probabilidad e impacto de que un usuario ejecute las transacciones en conflicto. Las empresas han adoptado muchos esquemas y anotaciones para calificar el riesgo de sus conflictos. También han definido niveles altos, medianos y bajos con base en el resultado de su cálculo de riesgo. Es muy común que existan conflictos considerados “prohibidos” dentro de un criterio de riesgos, lo cual indica que son conflictos para los que incondicionalmente se prohíbe el acceso. Estas son transacciones que por lo general, cuando se ejecutan conjuntamente, no pueden ser mitigadas o no existe una justificación de negocios para asignar derechos de acceso en conflicto. Cualquiera que sea la anotación de la clasificación es importante que las compañías prioricen los conflictos, para que la remediación y administración de la población de usuarios se pueda enfocar en la solución de conflictos que tengan la mayor probabilidad de poder reducir riesgos. Evaluar y definir adecuadamente cómo manejar cada calificación de riesgo son factores clave para obtener los beneficios del enfoque basado en riesgos.
Un enfoque basado en riesgos para la segregación de funciones
Consideraciones relacionadas con las pruebas •
El ejemplo de los altos ejecutivos impulsa el nivel de compromiso de todo el personal. Muchas compañías fracasan porque le prestan poca atención a la segregación de funciones, dando lugar a inquietudes importantes o, peor aún al fraude y fallas en los controles.
•
Las áreas de TI y Finanzas, así como otras partes interesadas de la administración, deben ser copropietarios del proceso de segregación de funciones. El área de Finanzas entiende el impacto financiero asociado con los procesos de negocio, riesgos y controles mitigantes mejor que cualquier otra área. La administración del negocio tendrá la visión más clara del impacto operativo. El área de TI entiende cómo traducir eso en datos de sistema, informes y remediación técnica. De cualquier manera, una compañía no puede señalar a otra o transferir la responsabilidad a la otra parte.
•
En nuestra experiencia, cuando el impulsor de una iniciativa de segregación de funciones es un hallazgo de auditoría, se vuelve extremadamente importante que la empresa trabaje con sus auditores de manera regular. Éstos a menudo pueden proporcionar asesoría y retroalimentación, lo que ayuda a mantener el proceso enfocado en riesgos en lugar de tener un ambiente sobrecontrolado.
• La segregación de funciones no es un proyecto sino un proceso y debe continuar en el futuro. Emprenderlo a más largo plazo es mucho más fácil si las tareas se llevan a cabo de manera adecuada desde el inicio. Por lo tanto, hacer una inversión en prácticas y procesos firmes hoy en día, inevitablemente producirá ahorros más adelante. •
Cuando una fecha límite de cumplimiento específica es la que impulsa a una compañía a abordar la segregación de funciones, el periodo de tiempo para las pruebas es de suma importancia. Una empresa no se debe esperar hasta el último minuto para llevar a cabo las actividades. Contar con un plazo de tiempo adecuado puedeser útil cuando se necesita corregir o volver a probar los controles, o cuando el acceso de los usuarios se tiene que modificar en el sistema. El cronograma para las pruebas se debe definir con el apoyo de las partes interesadas clave del negocio y de TI, y con el (los) equipo(s) de auditoría. La participación proactiva de los auditores ayuda a evitar honorarios de auditoría innecesarios y permite que las pruebas y la información sean óptimas y eficientes.
Fina nz a
TI
s
Cumplimiento con el control de acceso
Existe un esquema de gobernabilidad exitoso de segregación de funciones como una sociedad entre TI y Finanzas
Reglas de negocio y definición del proceso
Auditoría interna Verificar internamente el desempeño y eficacia del
Auditoría externa Atestiguar externamente el desempeño y eficacia del control
Ernst & Young - México
7
Hoja de ruta de la segregación de funciones
Fase 4: Mitigación Tal como su nombre lo indica, la mitigación es el siguiente paso para limitar el posible impacto de una violación en materia de conflicto de segregación de funciones. Esta fase se puede realizar conjuntamente con la de remediación, o dependiendo de los objetivos y el plazo de tiempo para el cumplimiento se puede llevar a cabo al último, cuando los conflictos se han reducido al mínimo. La mitigación analiza cada uno de los conflictos de segregación de funciones identificados y responde a la pregunta: “¿Qué control se encuentra en operación para reducir el riesgo residual de un conflicto de segregación de funciones en particular, de tal forma que no represente un riesgo importante para el negocio?”. En otras palabras, ¿la compañía puede identificar cualquier control existente que evite o detecte alguna actividad no autorizada o fraudulenta? Muchas empresas elegirán mitigar cada posible conflicto a fin de contar con una red de protección de controles implementada en caso de que surja algún problema. Esta es una estrategia sana y práctica para las compañías que buscan controlar riesgos imprevistos e imprevisibles. La mitigación no arregla ni corrige el conflicto. Más bien, permite que el riesgo esté en el sistema y crea o identifica controles existentes que compensan el riesgo de la existencia de usuarios con excesivo acceso. Cuando una compañía elige mitigar un conflicto de segregación de funciones, acepta el riesgo asociado con dicho conflicto e intenta compensarlo a través del uso de controles de aplicación manuales, dependientes de TI (o alguna combinación de éstos). Por ejemplo, un control mitigante que generalmente se observa en la actualización de los datos maestros de los proveedores o en el pago a proveedores es el uso de autorizaciones automatizadas para la emisión de cheques a proveedores, o el uso de conciliaciones o revisiones de proveedores a fin de mes. Estos controles de detección le pueden brindar a la administración la seguridad que necesita para permitir que exista el conflicto de segregación de funciones, mientras identifica actividades no autorizadas de conflictos de segregación de funciones a través de sus controles a nivel financiero.
8
Al utilizar controles mitigantes, la administración debe elaborar un análisis conflicto por conflicto para documentar la existencia de controles clave específicos que mitiguen el riesgo relacionado con un conflicto en particular. La administración y los auditores pueden evaluar la eficacia de los controles mitigantes y llegar a una conclusión con respecto al nivel adecuado de dependencia que se debe de tener en la capacidad de control para manejar el riesgo a un nivel aceptable. Este aspecto importante del enfoque basado en riesgos le permite a la administración aceptar que van a existir ciertos conflictos dentro de sus niveles de tolerancia a los riesgos predefinidos, determinando así el riesgo residual aceptable.
Un enfoque basado en riesgos para la segregación de funciones
Consideraciones relacionadas con la mitigación •
Para los riesgos financieros debe considerarse documentar las aseveraciones en los estados financieros relacionadas con el riesgo de conflicto. En específico, las aseveraciones y objetivos abordados por los controles mitigantes citados son:
• Integridad • Derechos y obligaciones • Valuación • Existencia u ocurrencia • Presentación y revelación • Esto es importante, ya que permite a la compañía demostrar que las aseveraciones relacionadas con los controles mitigantes abordan adecuadamente las aseveraciones vinculadas con el riesgo de conflictos. El auditor externo también podría solicitar que los controles se mapeen a su marco o metodología de auditoría. Es recomendable que se trabaje con el auditor para determinar los marcos de referencia relevantes a los cuales se mapean los controles mitigantes. • Un conflicto puede ser atendido por más de un control mitigante. Implementar tanto controles preventivos como detectivos ayuda a administrar el riesgo en caso de que falle alguno y apoya el uso de un enfoque basado en riesgos. Si bien no hay un número idóneo de controles, una buena regla a seguir es la siguiente: es preferible tener más de un control, pero un control bien diseñado es mejor que 10 controles que no compensen el riesgo del conflicto. Los controles mitigantes deben atender a un riesgo en específico. Por lo regular, no es suficiente utilizar “revisiones de presupuesto” como un control
Ernst & Young - México
mitigante para todos los conflictos de segregación de funciones, ya que este control es demasiado general. El nivel de granularidad de controles es importante cuando se intenta detectar y prevenir fraudes y errores materiales. En la matriz de conflictos se debe documentar el motivo específico por el cual cada control mitiga el riesgo de conflicto específico. Esto permitirá que la administración aborde el riesgo con mayor eficacia y sirve como una justificación para los auditores y reguladores respecto a la razón por la que se eligió el control y su relevancia como factor mitigante. ➢ Se debe elaborar una lista de las personas (nombre y puesto) que ejecutan cada uno de los controles mitigantes en la compañía, ya que es importante saber si la persona que ejecuta el control mitigante también es un usuario en conflicto. El grado hasta el cual se puede depender de este tipo de controles se reduce considerablemente (si no es que se elimina por completo) cuando el personal que se encuentra en la población en conflicto también ejecuta los controles mitigantes. Lo ideal sería que esta situación se corrija reasignando el control a otro usuario sin conflicto o al eliminar al usuario de una o ambas transacciones sensibles en conflicto. ➢ En algunos casos, la empresa puede mitigar toda una aplicación o un sistema sin realizar pruebas para identificar el número de usuarios en conflicto en el sistema. Si la compañía detecta que existen muy pocos usuarios del sistema o que éste cubre un número pequeño de posibles conflictos (como la actualización del archivo maestro de los proveedores), es posible que sea suficiente emitir un memorando explicando el motivo por el cual no es necesario llevar a cabo pruebas.
9
Hoja de ruta de la segregación de funciones
Fase 5: Remediación El objetivo de esta fase es la corrección permanente de los conflictos de segregación de funciones. Las técnicas de remediación incluyen rediseñar y depurar los roles, revisar la idoneidad de los usuarios e implementar la herramienta de segregación de funciones. El conjunto de cambios de personal, procesos y tecnología podría ayudar a sustentar la eficacia del control y del cumplimiento. No existe práctica o método líder proscrito para remediar los conflictos. Cada situación es única, basada en el nivel de complejidad y alcance de los conflictos en un ambiente determinado. Las iniciativas de remediación generalmente se dividen en dos categorías: la depuración táctica de la población de usuarios y el rediseño estratégico de roles. El componente táctico representa los elementos que se pueden abordar rápidamente, mientras que el desarrollo de roles generalmente implica grandes cambios organizacionales en la gente, procesos y tecnología. La elección del método táctico o estratégico no es una propuesta para elegir entre uno u otro; la mayoría de las compañías combinan enfoques en un lapso de tiempo gradual. La decisión de continuar con un método de remediación en particular depende de la complejidad y nivel de gravedad de los conflictos de segregación de funciones y del plazo de tiempo obligatorio.
Depuración táctica de la población de usuarios La depuración táctica de la población de usuarios se refiere al proceso de revisar el rol o modelo de seguridad para evaluar si se requieren ambos lados de las transacciones en conflicto para que un usuario en particular desempeñe su trabajo. Este proceso de depuración requiere que la compañía analice un rol en particular y los conflictos que existen dentro de éste, a fin de establecer un rol o modelo de seguridad depurado y libre de conflictos. Los roles por sí solos no se pueden utilizar para realizar pruebas en busca de conflictos de segregación de funciones; más bien, una compañía debe buscar el nivel de seguridad más bajo (por ejemplo, el elemento del menú, pantalla, ejecutable, código de transacción) que comprende el rol en particular, a fin de entender cuáles son las transacciones que un usuario puede ejecutar. Sin embargo, los roles se pueden utilizar para corregir los conflictos de segregación de funciones creando un modelo de funciones cuya eficacia es conocida, y estableciendo por ende la ejecución constante del modelo a través de los controles de seguridad de la aplicación. Con frecuencia, este rediseño táctico de roles a corto plazo puede corregir fácilmente muchos conflictos, mientras deja que los conflictos más difíciles de usuarios sean manejados a través de un enfoque estratégico. Rediseño estratégico de roles El rediseño estratégico de roles busca definir lo que compone un acceso libre de conflictos de segregación de funciones en una compañía. Mapea la función y responsabilidad laboral en el negocio con los derechos de acceso requeridos en cada sistema. Este enfoque generalmente se utiliza cuando un modelo de roles existente cuenta con muchos conflictos y no se puede rescatar utilizando las iniciativas de depuración. El diseño estratégico de roles crea capacidades y procesos sustentables que sirven para mantener “limpia” la estructura de roles.
10
Una vez concluida la remediación, se debe establecer un esquema de gobernabilidad de gente, procesos y tecnología para ayudar a garantizar que no vuelva a presentarse la situación. Es de suma importancia asignar la responsabilidad de las tareas de mantenimiento de roles, administración de usuarios y definición de las reglas de segregación de funciones. Las pruebas periódicas y verificación de conflictos se deben incluir en los procesos para otorgar permisos. Un factor crítico para el éxito es apoyar los procesos de rediseño con la tecnología adecuada. Para las compañías pequeñas con aplicaciones muy sencillas esto se puede administrar con una solución básica, como una hoja de cálculo en la que se capturen las actividades en conflicto y donde se pueda realizar un análisis básico para determinar si el acceso del usuario dará pie a problemas relacionados con la segregación de funciones. Sin embargo, para las empresas medianas y grandes (más de 500 usuarios) con aplicaciones más complejas (por ejemplo, ERP como SAP y Oracle), definitivamente se necesitará una herramienta de control de acceso que permita una solución eficiente y sustentable. Dicho lo anterior, si bien hay varias aplicaciones de terceros que facilitan la aplicación de pruebas, la mitigación y algunas actividades de remediación, éstas no sustituyen la necesidad de contar con una metodología sana basada en el riesgo de negocio de la compañía.
Rendimiento de la inversión en la remediación La inversión inicial en gente, procesos y tecnología que gobiernan el proceso de segregación de funciones podría dar como resultado lo siguiente: • Reducción en el riesgo de negocio • Menor incidencia de aplicación de controles • Evitar multas por incumplimiento reglamentario • Ahorro en horas de consultoría • Un mejor ambiente de control
Un enfoque basado en riesgos para la segregación de funciones
Consideraciones relacionadas con la mitigación •
Fuente de registros maestros. Cuando una compañía establece una fuente de registros maestros ha dado el primer paso para entender los derechos de acceso en conflicto del sistema. Una fuente de registros maestros es una visión sencilla de la población de usuarios y de todos los derechos de acceso asociados a éstos. Debido a que muchas empresas conservan bases de datos de usuarios diferentes y separadas, esta tarea a menudo es más difícil de lo que parece. Es más fácil llevar a cabo esta labor cuando se cuenta con el apoyo de políticas tales como convenciones de nomenclatura estándar para los identificadores de usuarios (user ID). Esto hace que sea menos difícil comparar un ID de usuario para encontrar accesos en conflicto en múltiples sistemas. De lo contrario, los ID de usuario con una característica común de identificación (como el número de empleado, dirección de correo electrónico e identificación de usuario) deberán estar vinculados en varios sistemas. Para una compañía con miles de empleados y muchos sistemas este proceso puede ser tedioso, pero es necesario para obtener una visión precisa de los conflictos.
•
Acceso predeterminado. El acceso predeterminado (conocido con diferentes nombres dependiendo del sistema) proporciona el conjunto estándar de derechos de acceso para todos los usuarios registrados en esa aplicación. Este acceso le proporciona al usuario la funcionalidad mínima estándar del sistema. Por ejemplo, todos los usuarios de un sistema en particular deben poder ver la pantalla para iniciar sesión, el menú de ayuda y la pantalla con el banner de la política. Estas tres pantallas o menús se considerarían como acceso predeterminado. Los riesgos surgen cuando las compañías asignan accesos predeterminados a menús, transacciones o niveles de seguridad sensibles. El acceso predeterminado se debe asignar con mesura y tener sumo cuidado con los menús o niveles de seguridad a los que ha sido asignado.
•
Roles. Los roles son útiles para administrar cualquier sistema, ya que optimizan la asignación de los derechos de acceso y permisos al alinear el acceso al sistema con la responsabilidad o función laboral. Esta lógica integrada permite que el personal que no pertenece al área de TI pueda asignar el acceso requerido cuando se contrata a un empleado. Pero para muchos negocios, el concepto de los roles es sumamente complejo y polémico. Ya sea que una compañía elija definir sus roles dentro de un sistema o en muchos sistemas, la segregación de funciones se debe considerar más allá del nivel del rol y cuenta para varios derechos de acceso discretos. Muchas compañías se detienen en el nivel del rol y no buscan entender los derechos de seguridad y acceso que comprende ese rol, aunque a menudo se identifican conflictos dentro del mismo. La administración no podrá identificar estos problemas con solo probar los roles.
•
Revisiones. Las revisiones de razonabilidad de accesos de los usuarios ofrecen una manera fácil y eficaz de reducir el número de conflictos de segregación de funciones que se identifiquen durante el proceso de prueba. Resulta difícil para las empresas definir los niveles adecuados de acceso para los usuarios con base en las actividades de los mismos, sin la autorización adecuada y accesos documentados. Frecuentemente, las compañías notan que al paso del tiempo se les otorgan a los usuarios accesos adicionales en la medida que cambian sus responsabilidades o funciones laborales, pero no siempre se restringen los accesos innecesarios (o inadecuados), lo cual agrava aún más el problema de la segregación
Ernst & Young - México
de funciones. Una revisión detallada de la población de usuarios (en la que se identifica si los usuarios deben tener acceso a un rol o grupo en particular) puede corregir esta situación. Una simple verificación de la población de usuarios, en el contexto de puesto o función, se puede utilizar para identificar tales conflictos de segregación de funciones. Una vez identificados éstos se pueden eliminar.
•
Identificaciones atípicas. Las identificaciones y cuentas de usuario atípicas son indicadores de desviaciones en las convenciones de nomenclatura estándar para los ID de la compañía. Estas cuentas deben ser investigadas en busca de accesos inadecuados, y de ser posible deben ser cambiadas para cumplir con la política de convenciones de nomenclatura de los ID de usuarios de la empresa. Por ejemplo, si la convención de nomenclatura estándar es la inicial del primer nombre y el apellido (es decir, Juan Pérez sería jperez), se debe prestar mucha atención a las convenciones de nomenclatura que se encuentren fuera de esta política. Por lo tanto, si en lugar de ver “jperez” aparece “juan.perez”, esto debe encender focos rojos y se debe investigar si existe algún acceso inadecuado. El riesgo es que este usuario podría contar con varias cuentas que, cuando se utilizan de manera conjunta, pueden generar un acceso inapropiado de conformidad con la definición de segregación de funciones.
•
Exempleados. Aunque las cuentas de usuarios que ya caducaron o de exempleados deben estar controladas dentro del proceso de acceso lógico, es de suma importancia estudiar la población de usuarios actuales para identificar a los exempleados de la lista de Recursos Humanos. Este paso no solo reduce el número de usuarios que se analizarán, sino que también establece la población sobre la cual se basarán las pruebas de la segregación de funciones e incluso podría ayudar a reducir los costos de licencias.
•
Acceso al sistema. Los usuarios con acceso directo al nivel más bajo de seguridad (por ejemplo, menús, pantallas, códigos de transacciones) se deben analizar detalladamente. Esto representa una posible laguna de seguridad, ya que los usuarios podrían obtener derechos de acceso sin seguir el proceso estándar de administración de usuarios. El problema generalmente ocurre cuando los consultores, contratistas o especialistas requieren acceso a una funcionalidad específica del sistema y omiten los roles, a fin de asignar elementos específicos del menú o pantallas fuera del proceso normal de permisos.
•
Cuentas del sistema. Las cuentas del sistema genéricas,compartidas y poderosas (en las que los usuarios pueden iniciar una sesión) presentan un reto, ya que es imposible saber con certeza quién ha utilizado esa cuenta específica. Debido a que el análisis de la segregación de funciones tiene que ver con los usuarios que pueden ejecutar transacciones sensibles, las cuentas genéricas o compartidas (especialmente las cuentas compartidas de súper usuarios) invalidan el objetivo del análisis. Las cuentas de sistema poderosas son problemáticas solo cuando no están restringidas y los usuarios del sistema pueden iniciar una sesión. Estas cuentas inseguras limitan la capacidad para monitorear quién está ejecutando qué transacción sensible. Lo único de lo que se tiene conocimiento es del responsable de la cuenta, no del usuario en sí. Para evitar actividades no autorizadas, la compañía debe asegurarse de que el usuario no pueda iniciar una sesión en el sistema ni procesar cuentas. 11
Conclusión La segregación de funciones continúa siendo una parte integral del control interno de las compañías. Si bien se debe establecer el nivel adecuado de esfuerzo y atención al cumplimiento de la segregación de funciones, las empresas también deben buscar que la ejecución de sus controles sea sencilla y precisa. La segregación de funciones representa un reto único en cuanto al cumplimiento con los controles, ya que requiere de una alineación estrecha entre el negocio y las partes interesadas de TI para evaluar, mitigar, reducir y monitorear el riesgo de fraude o de errores materiales. La inversión en aplicaciones y herramientas no va a solucionar en sí los procesos deficientes. Asimismo, esperar una mejora con el paso del tiempo sin tener un enfoque continuo sobre los riesgos que están abordando o el valor que se está protegiendo no es una estrategia sostenible de cumplimiento o de TI. La administración debe dar un paso atrás y preguntar qué es lo que la compañía busca lograr a través de la segregación de funciones. Una iniciativa de segregación de funciones bien diseñada y basada en riesgos puede facilitar el cumplimiento, así como demostrar un valor de negocios real al mejorar los controles mientras se desarrollan, optimizan y rediseñan, de manera eficiente, los procesos clave de negocio y de TI.
12
Un Unenfoque enfoquebasado basadoen enriesgos riesgospara parala lasegregación segregaciónde defunciones funciones
Acerca de Ernst & Young En Ernst & Young, nuestros servicios se enfocan en las necesidades y asuntos específicos del negocio de cada uno de nuestros clientes, porque reconocemos que cada necesidad y problema es exclusivo de ese negocio. Con un mayor escrutinio sobre la protección de datos personales, no sorprende que la profesión de privacidad evolucione más allá del puesto del director de seguridad. Las organizaciones que tienen oficinas de privacidad reclutan y capacitan a profesionales de privacidad para enfocarse en áreas específicas del negocio. Además, más allá de ser una función sin futuro con una trayectoria profesional poco clara, los puestos de privacidad adoptan una función fundamental dentro de la organización. En 2011, las organizaciones contratarán a más profesionales de privacidad, de esa manera revertirán la disminución de personal que las oficinas de privacidad experimentaron durante la crisis económica. Las organizaciones entenderán mejor la naturaleza compleja de la protección de datos personales y sus necesidades para administrar mejor los riesgos y obligaciones de cumplimiento relacionados. Varias compañías mejoran la privacidad al fusionar la seguridad de la información, privacidad y otras funciones (recursos humanos, legal, sourcing) con las organizaciones de gobierno de riesgos de información virtual, las cuales adoptan un enfoque más holístico en cuanto a la protección de datos. Esto también fomenta un cumplimiento más proactivo con los requisitos de privacidad de la información.
Más allá de los profesionales que solo se enfocan en la privacidad de la información, muchas funciones que se relacionan con el tratamiento de datos personales por parte de las organizaciones obtendrán más conocimientos acerca de los temas de riesgos y cumplimiento. En 2011, veremos cómo las personas que trabajan en las áreas de TI, auditoría, legal, recursos humanos y mercadotecnia agregarán la protección de datos personales a sus conjuntos de habilidades. Para dar cabida a este crecimiento, en 2011 aumentará la cantidad de personas que buscan obtener certificaciones de privacidad. Por ejemplo, Ernst & Young desde hace algunos años agregó la certificación de Profesional de Privacidad de la Información (CIPP, por sus siglas en inglés) como una de las certificaciones profesionales que un colaborador debe obtener para ser promovido en nuestro grupo de Servicios de Asesoría. En 2011, esta certificación y otras se volverán más profesionales, y permitirán que las personas las reciban en áreas específicas, como reglamentación jurídica, TI o requisitos de privacidad específicos de la industria.
Contactos: LI Carlos Chalico
Socio Asesoría en TI Tel: (55) 1101 6414
[email protected]
Monterrey Pilar Pliego
Gerente de Asesoría Tel. (818) 152 1815
[email protected]
Eva Gutiérrez
Gerente Asesoría en TI Tel. (55) 1101 6457
[email protected] Ernst & Young - México
13
Ernst & Young Aseguramiento | Asesoría | Fiscal | Transacciones Acerca de los Servicios de Asesoría de Ernst & Young La relación entre la mejora en el desempeño y los riesgos es un reto cada vez más complejo y primordial para los negocios, ya que su desempeño está directamente relacionado con el reconocimiento y manejo eficaz del riesgo. Ya sea que su enfoque sea en la transformación del negocio o en mantener los logros, contar con los asesores adecuados puede marcar la diferencia. Nuestros 18,000 profesionales en asesoría forman una de las redes globales más extensas de cualquier organización profesional, la cual integra a equipos multidisciplinarios y experimentados que trabajan con nuestros clientes para brindarles una experiencia poderosa y de gran calidad. Utilizamos metodologías comprobadas e integrales para ayudarles a alcanzar sus prioridades estratégicas y a efectuar mejoras que sean sostenibles durante un mayor plazo. Entendemos que para alcanzar su potencial como organización requiere de servicios que respondan a sus necesidades específicas; por lo tanto, le ofrecemos una amplia experiencia en el sector y profundo conocimiento sobre el tema para aplicarlos de manera proactiva y objetiva. Nos comprometemos a medir las ganancias e identificar en dónde la estrategia está proporcionando el valor que su negocio necesita. Así es como Ernst & Young marca la diferencia.
Para mayor información por favor visite www.ey.com/mx/asesoria © 2011 Mancera, S.C. Integrante de Ernst & Young Global Derechos reservados Clave SOD001 Ernst & Young se refiere a la organización global de firmas miembro conocida como Ernst & Young Global Limited, en la que cada una de ellas actúa como una entidad legal separada. Ernst & Young Global Limited no provee servicios a clientes.