Perspectivas relacionadas

con el riesgo de TI

Un enfoque basado
en riesgos para
la segregación
de funciones
La complejidad de los sistemas empresariales
actuales conlleva un importante reto para
las organizaciones con relación al
establecimiento de control interno básico:
la segregación de funciones.
 La segregación de funciones es un tema prioritario para
muchos profesionales a nivel global, desde los responsables de
cumplimiento hasta los ejecutivos de alto nivel. El interés cada
vez mayor en la segregación de funciones se debe, en parte, a
los reglamentos impulsados con un enfoque en los controles y a
la responsabilidad a nivel ejecutivo por lograr su implementación
exitosa. Sin embargo, la razón subyacente de estos reglamentos es
aún más importante: ninguna persona debe de tener demasiado
acceso a un sistema que le permita ejecutar transacciones en todo
un proceso de negocios sin controles y autorizaciones. Permitir
este tipo de acceso representa un riesgo muy real para los negocios
y manejar este riesgo de manera pragmática y eficaz es más difícil
de lo que parece.

Si esta idea es de sentido común, ¿por qué tantas compañías

luchan para cumplir con la segregación de funciones y por qué
preocupa reiteradamente a los departamentos de Tecnologías de
la Información (TI), Auditoría Interna y Finanzas? En gran medida,
la dificultad radica en la complejidad y variedad de los sistemas
que automatizan los procesos de negocios clave, así como en la
titularidad y responsabilidad del control de dichos procesos.

La segregación de funciones es un control interno básico que busca

asegurar que ninguna persona tenga la autoridad para ejecutar dos
o más transacciones sensibles en conflicto que podrían afectar los
estados financieros. Sin una guía adecuada y un enfoque razonable,
podría parecer extremadamente difícil lograr implementar, probar,
remediar y mitigar la segregación de funciones. Sin embargo, un
enfoque basado en riesgos puede lograr que este esfuerzo sea
manejable para una compañía de cualquier tamaño.

Las empresas no necesitan crear estructuras complejas de

funciones ni realizar cambios costosos a fin de cumplir con la
segregación de funciones y el principio del mínimo privilegio.
Al enfocarse en las transacciones que presentan el mayor riesgo
para el negocio, las compañías pueden entender rápidamente
los problemas relacionados con el acceso e identificar a un
nivel que satisfaga a la administración y a aquellos involucrados
en la auditoría, si se están tomando las medidas adecuadas
para corregir y mitigar las causas raíz de los problemas de
segregación de funciones.

En este documento se plantea un enfoque práctico y basado

en riesgos del cumplimiento con la segregación de funciones.

Ernst & Young - México

 Habilitadores de negocios
y cumplimiento regulatorio
La adecuada segregación de funciones es un método que se estableció hace mucho
tiempo para evitar fraudes y mantener controles dentro de una compañía. Sin embargo,
el reciente enfoque regulatorio en las empresas públicas ha llevado a las compañías a
entender realmente qué tipo de acceso tienen sus empleados dentro de su cartera de
aplicaciones. Las regulaciones enfocadas a controles, tal como la Ley Sarbanes-Oxley, no
solo han impuesto un rigor sin precedentes en torno a éstos, sino que también subrayan
la importancia de contar con un enfoque integrado de controles de TI y financieros para
administrar los riesgos dentro de una compañía.

En todo el mundo, las regulaciones actuales y propuestas continúan llevando el tema

de la segregación de funciones y controles al primer plano de las agendas tanto de
los auditores como de los ejecutivos. Estas regulaciones incluyen la European Union’s
8th Directive, que se considera que es el equivalente en Europa de SOX; J-SOX, la
versión japonesa de Sarbanes-Oxley; y Basilea II, que aborda el método que utilizan las
instituciones financieras para calcular la suficiencia de capital y su alineación con el perfil
de riesgo de la compañía.

La lista de regulaciones sigue creciendo, y como respuesta las iniciativas para asegurar
el cumplimiento aumentan y consumen los recursos corporativos. A medida que las
compañías racionalizan sus gastos y optimizan sus presupuestos se espera que el
enfoque en cuanto al control interno sea pragmático y equilibrado. Las entidades
reguladoras han puesto atención en las necesidades de las empresas a fin de avanzar
hacia una legislación y guía que logre equilibrar el nivel de esfuerzo que se requiere
para entender el riesgo. Un ejemplo es la publicación del Standard No.5 del Public
Accounting Oversight Board (PCAOB), que obligó a las compañías y a sus auditores a
enfocarse más en los riesgos y los asuntos importantes que pudieran afectar el negocio
y los estados financieros; un mensaje claro de que la metodología basada en riesgos es
fundamental para un marco de control interno eficaz y eficiente.

En síntesis, el no implementar la segregación de funciones como parte de un marco

sólido pone a las compañías en riesgo de no cumplir con los requisitos regulatorios y de
cumplimiento. Pero éste no es el único riesgo.

El precio del fraude y de otras fallas de control interno está bien documentado en
valores monetarios, que es donde el costo comienza a sentirse como algo más real,
adicionalmente hay otros costos ocultos, tales como:

• La disminución del valor accionario, debido a que el mercado ya no tiene confianza

en la compañía.

• Las oportunidades de negocio no aprovechadas, debido a cambios en la calificación

crediticia de la empresa o a que el financiamiento es más costoso.

• Los costos incurridos para recuperarse de algún daño en la reputación de la compañía.

Un enfoque basado en riesgos permite que las empresas administren (pero no que
mitiguen por completo) estos riesgos de una manera equilibrada y eficiente que refleje
el valor que están protegiendo.

2 Un enfoque basado en riesgos para la segregación de funciones

Una metodología basada
en riesgos
Una metodología basada en riesgos, tal como la que se aborda en este documento, se
enfoca en los problemas que presentan la mayor amenaza para el negocio y sus estados
financieros. Independientemente de si los motivos para invertir en el cumplimiento de la
segregación de funciones son para asegurar el cumplimiento regulatorio, la prevención
de fraudes o un nuevo sistema ERP, una compañía no puede eliminar todos los posibles
riesgos. Más bien, el objetivo debe ser centrarse en los riesgos que amenazan los umbrales
predefinidos de valor. Generalmente, éstos se establecen al principio de la iniciativa de la
segregación de funciones. La materialidad, los umbrales de fraude o los límites financieros
importantes que cuantifican el impacto de la realización de riesgos financieros, operativos
o reputacionales, son ejemplos de los umbrales que sirven para medir la sensibilidad
financiera de los conflictos de la segregación de funciones.

La segregación de funciones establece que es posible que surjan problemas (tales

como fraude, errores importantes y manipulación de los estados financieros) cuando
una misma persona tiene autorización para ejecutar dos o más transacciones sensibles
en conflicto. Las transacciones sensibles impulsan los procesos que pudieran afectar
los estados financieros, actividades operativas o la reputación de una compañía en el
mercado. Muchas empresas se esfuerzan por lograr que sus usuarios no tengan conflictos
de segregación de funciones, aunque este objetivo a menudo es inalcanzable, insostenible
y poco realista dado el número de empleados que participan en una típica función de
negocios. Dividir las responsabilidades discretas del puesto en funciones orientadas a
tareas a menudo puede dar lugar a ineficiencias y costos innecesarios.

Por último, es imperativo que la compañía entienda y evalúe el panorama de los

conflictos actuales, los reduzca en la medida de lo posible para un modelo de personal
dado (mediante iniciativas de remediación) y aplique controles mitigantes a los demás
problemas. Este enfoque no elimina por completo los conflictos en la segregación de
funciones, pero demuestra que la administración ha evaluado los conflictos existentes
y reducido el riesgo residual a un nivel aceptable a través de procesos probados y
controlados. Esta solución es generalmente aceptada por los auditores, reguladores
y partes involucradas en la presentación de información financiera, y fomenta una
conciencia sobre los riesgos que va más allá de un simple ejercicio de cumplimiento.

Glosario de segregación de funciones

• Materialidad. El umbral financiero o impacto que un posible conflicto de segregación
de funciones puede tener sobre los estados financieros de una compañía.

• Principio del mínimo privilegio. El concepto de que los usuarios del sistema
únicamente deben tener acceso a los recursos que son absolutamente necesarios
para desempeñar sus funciones.

• Segregación de funciones (SoD). Un control interno que busca evitar que

una misma persona tenga control sobre dos o más transacciones sensibles
e incompatibles.

• Transacción sensible. Una transacción de negocios que tiene el potencial de afectar

los estados financieros de una compañía.

• Conflicto de segregación de funciones. La combinación de dos transacciones o

actividades de negocios sensibles e incompatibles.

Ernst & Young - México 3

 Hoja de ruta de la segregación de funciones
Las iniciativas más exitosas de la segregación de funciones constan de cinco fases:

Fase 1 Fase 2 Fase 3 Fase 4 Fase 5

Pruebas Mitigación Remediación

Fase 1: Definición a nivel de negocio

El objetivo de esta fase es lograr entender el alcance de las transacciones sensibles y los conflictos que existen en los procesos de
negocios clave de la compañía. Estas transacciones son las que presentan el mayor riesgo de fraude para la organización cuando
alguien cuenta con acceso excesivo a los sistemas. Durante esta fase, los umbrales se determinan con base en el riesgo e impacto para
la compañía por cada posible conflicto de segregación de funciones

Debido a que este paso sienta las bases para las fases siguientes
es crucial que se ejecute de manera adecuada. Muchas empresas
fracasan en esta etapa inicial porque se ocupan de demasiados
conflictos que no cumplen con el umbral de riesgo, dando como
resultado requisitos onerosos que a fin de cuentas no se pueden
cumplir o que son excesivamente costosos para los riesgos que
están intentando administrar. Por ejemplo, una compañía podría
estar muy atenta para evitar que una misma persona pueda
crear una orden de compra a un proveedor y modificar el archivo
maestro de precios del cliente. Sin embargo, la combinación de
estas dos actividades podría representar un riesgo tan bajo que
no amerita ser incluido en la matriz de conflictos de la empresa.
Podría ser más adecuado incorporar los conflictos potenciales
para un usuario que pudiera modificar el archivo maestro de
proveedores, crear una orden de compra a un proveedor y emitir
el pago a los proveedores, ya que esta combinación representa
un riesgo más alto para la compañía.
Matriz de conflictos
El resultado de la fase de definición a nivel de negocio es una
matriz de posibles conflictos, independiente de la aplicación
de TI que procesa cada transacción, pero que incluye la
correspondiente declaración de riesgo relacionada con cada
conflicto. Esta declaración responde a la pregunta: “¿Por qué nos
preocupa este par o combinación de transacciones?”, y muestra
lo que puede salir mal si una persona tiene suficiente acceso o
autoridad para generar un conflicto.
La declaración de riesgo podría decir: “Un usuario podría crear
un proveedor ficticio o hacer cambios no autorizados a los
datos maestros de los proveedores, realizar compras con este
proveedor y emitir el pago correspondiente a éste”. En tal caso, el
proveedor podría ser un empleado cometiendo fraude que cuenta
con un nivel de acceso al sistema excesivo e inadecuado.
Por lo general, la matriz y las declaraciones de riesgo
correspondientes son diferentes entre compañías, industrias,
modelos de negocio e incluso ubicaciones dentro de la misma
empresa, dependiendo de los procesos que son importantes. Es
muy común que una gran compañía global tenga más de una
matriz, debido a las diferencias en los procesos de negocios
por ubicación o unidad de negocio. Por ejemplo, una empresa
podría tener una unidad de negocio de manufactura con una gran
cantidad de inventario que requiera de una matriz de segregación
de funciones que se enfoque en transacciones específicas de
inventario. También podría tener una unidad de negocio de
servicios que requiere un enfoque sobre la contabilidad de
proyectos y necesita una matriz de segregación de funciones
diferente. Aunque el hecho de tener conocimiento de negocios
e industrias similares puede ayudar a elaborar la matriz de
conflictos, cada unidad de negocio debe realizar un análisis
personalizado de sus transacciones en conflicto a fin de encontrar
el riesgo real de ese modelo de negocio en particular.

4 Un enfoque basado en riesgos para la segregación de funciones

Fase 2: Definición técnica
La definición técnica utiliza la matriz de conflictos elaborada como una herramienta para ayudar a responder la pregunta: “¿Qué
aplicaciones soportan la ejecución de las transacciones sensibles definidas y cómo se ejecutan en el sistema?”. La compañía o
unidad de negocio debe mapear cada transacción sensible con sus derechos de acceso relacionados en la aplicación que ejecuta
dicha transacción. Este paso crítico alimenta el análisis de datos cuando se configura el acceso durante la implementación o arroja
los resultados de las pruebas en ambientes reales. Si bien esta labor de mapear las tareas podría parecer insignificante, en este paso
muchas compañías enfrentan a menudo problemas debido a que no entienden cómo se puede ejecutar una transacción en
una aplicación específica.

Mapeo de aplicaciones y exclusiones

El mapeo de aplicaciones es la identificación de reglas mediante las Las exclusiones se refieren a los identificadores de usuario (user ID) y
cuales las transacciones sensibles se llevan a cabo en los sistemas. menús o derechos de acceso intencionalmente omitidos en el análisis
Por ejemplo, los derechos de actualizaciones del proveedor se pueden de la segregación de funciones. No todos los identificadores de usuario
ejecutar mediante una serie de menús en una aplicación dada. que aparecen en el análisis representan un conflicto real. A menudo,
Se debe mapear, recorrer y documentar la presencia de estos menús las cuentas de sistema o de proceso, los administradores de TI, las
asignados a usuarios específicos, a fin de que la compañía pueda operaciones de TI y el personal de soporte tienen acceso a varios menús
aplicar pruebas adecuadas en busca de algún conflicto en particular. El en conflicto. Es posible que esto no represente un problema real, si es
reto es que en la mayoría de las aplicaciones modernas existe más de que la meta es solo captar los usuarios de negocios con conflictos de
una sola manera de ejecutar la misma transacción. Por ejemplo, podría segregación de funciones.
haber 20 formas en una aplicación de realizar el pago a un proveedor,
pero la compañía podría utilizar únicamente cinco de ellas. Además,
la empresa no suele tener conocimiento de las otras 15 maneras y en

Conteo de derechos de
general no restringe el acceso ni controla estos otros métodos para Aplicación de pruebas para la segregación de funciones

acceso mapeados
Cuadro de aplicabilidad (continua)

Application 1

Application 2

Application 3

Application 4
ejecutar el pago a un proveedor.
Grupo de

El proceso de la segregación de funciones basado en riesgos requiere segregación

de funciones
Ventas y cuentas por cobrar

que una compañía descubra todos los métodos posibles para ejecutar 1 14 0 0 31

una transacción, a fin de entender todas las posibilidades de fraude y 2 0 0 6 14

no solo la visión limitada de los métodos conocidos. Mapear todas las 3 0 0 5 19

0 0 13 0
maneras en que un usuario pudiera ejecutar una transacción es crucial 4 Registrar las entradas de efectivo y aplicarlas a las cuentas de los clientes

5 2 0 9 7
para describir adecuadamente la segregación de funciones existente.
6 4 0 5 24

7 1 0 0 0
Compras
Mapeo de la segregación de funciones
es
nt

0 0 6 0
lie

8
c
los
r

de
ra

as
b

nt
co

9 0 0 3 0
ue
r

sc
po

a la
s
ta

las
en

ar

10 Aprobar órdenes de compra 0 0 2 0

lic
cu

ap
y

oy
as

tiv
fec
nt

Datos maestros de inventarios

ee
Ve

sd
da
tra

as
en

0 0 0 7
pr

11
las

Crear/cambiar la determinación de costos estándar o real

m
rar

Co
ist
g
Re

1 2 3 4 5 6 7 8 12 Crear/cambiar datos del maestro de materiales 2 0 1 7

# de
segregación Ventas y cuentas por cobrar
Transacciones de inventario
de funciones

1 X X X X
2 X X X
13 Registrar movimientos de inventario o producción 0 0 0 32
3 X X
4 Registrar las entradas de efectivo y aplicarlas a las cuentas de los clientes X X 14 1 0 0 0
5 X
X

8
De lo contrario, a fin de facilitar el monitoreo continuo de los controles,
Una de las falacias clave en el mapeo de menús (o de acceso) es que las compañías incluyen con frecuencia a los usuarios de TI en los
solo se deben mapear las transacciones que realmente se utilizan informes sobre el uso normal de transacciones sensibles y de
en la aplicación. Si bien este método capta en general muchas de las conflictos de segregación de funciones. Por lo general se debe excluir
transacciones ejecutadas, no identificará los menús que los usuarios la funcionalidad de solo lectura o de consulta, ya que no permite
de negocios no utilizan pero que podrían usar para ejecutar una la ejecución de transacciones sensibles. Independientemente del
transacción en particular. Aunque los menús se pueden deshabilitar o tratamiento de la exclusión de transacciones es de suma importancia
no estar disponibles para un grupo de usuarios de negocios, éstos se documentar todas las omisiones y la justificación de las mismas, así
deben mapear para poder demostrar que han sido considerados y es como comunicar esta información a los reguladores y partes interesadas
posible ver todo el grupo de reglas a través del cual se están probando respecto al cumplimiento.
los conflictos de segregación de funciones.

Ernst & Young - México 5

 Hoja de ruta de la segregación de funciones

Fase 3: Pruebas
En la fase de pruebas se utilizan los datos obtenidos de las fases de definición del negocio y definición técnica para preparar un análisis
de usuarios con conflictos de segregación de funciones. Los resultados destacan estos conflictos de varias maneras –por ejemplo,
por usuario y por función o por grupo– y muestran la gravedad de los problemas entre la población de usuarios de la compañía.
Este análisis, junto con la definición a nivel de negocio y la definición técnica, generalmente sirve como el paquete de pruebas de
cumplimiento que se revela a la administración, a aquellos involucrados en la auditoría y a los reguladores

Pruebas dentro de la aplicación vs. pruebas entre aplicaciones
Pocas empresas cuentan con un solo sistema o una sola
plataforma para ejecutar las transacciones sensibles clave. Las
transacciones y los estados financieros a menudo se procesan
a través de una cartera interrelacionada de aplicaciones y
procesos de negocios automatizados. Por lo general, los
usuarios tienen acceso a varios sistemas cuando ejecutan una
función de trabajo específica. Este acceso a múltiples sistemas
a menudo genera la posibilidad de fraude y problemas
de control. En consecuencia, es de suma importancia que la
compañía no solo realice pruebas dentro de una aplicación
sino también entre aplicaciones (es decir, entre dos o más
aplicaciones), para identificar el riesgo subyacente de un
conflicto de segregación de funciones.
Invariablemente surge la pregunta sobre qué sistemas deben
incluirse en el alcance de las pruebas. Se debe considerar
cualquiera de los sistemas que ejecute transacciones sensibles
definidas en la matriz de conflictos de segregación de funciones.
Por ejemplo, identificar todos los lugares que pueden modificar
el archivo maestro de los proveedores dará como resultado el
alcance de las aplicaciones que se deberán incluir en las pruebas
para esa transacción en particular. Si esta capacidad reside en
múltiples aplicaciones, la compañía debe incluir a todas éstas
en las pruebas.
Procesamiento de punta a punta
Cuando una sola persona puede ejecutar un proceso de punta
a punta, esto indica que hay una falta de control sobre los
diferentes pasos dentro de un solo proceso de negocio. Por lo
general, bajo este escenario un usuario puede concluir todo un
proceso (desde el inicio y autorización hasta la aprobación y
ejecución) sin que se ejecuten controles.
Este tipo de problema puede ocurrir en plantillas o
departamentos con poco personal donde se comparten las
responsabilidades laborales (es decir, cualquier persona puede
fungir como reemplazo de otra). El análisis de datos puede
detectar los mismos usuarios en múltiples pruebas de conflicto
dentro de un proceso de negocios en particular. Si se presenta
esta situación, es posible que la compañía necesite prestar mucha
atención en el uso de controles mitigantes o considerar remediar
totalmente el problema al rediseñar el proceso por completo.
Este conflicto es especialmente importante cuando existen
recortes de personal en una empresa. Cuando los empleados
que están a cargo de procesos clave son despedidos (y no
reemplazados), las funciones laborales a menudo se combinan.
Lo que alguna vez fue un modelo de acceso segregado, ahora se
convierte en una población de usuarios con problemas de control
importantes.
Las compañías inteligentes evalúan el impacto de la segregación
de funciones por el despido de empleados y, por consiguiente,
elaboran planes antes de realizar los despidos. Cuando se
tienen que combinar los procesos que anteriormente estaban
segregados se deben aplicar y monitorear controles sólidos de
mitigación en el intervalo.
Calificaciones del riesgo de conflicto
No existen dos conflictos de segregación de funciones iguales.
Cada problema presenta un riesgo diferente para el negocio
e idóneamente cada conflicto debe ser calificado de acuerdo
con la probabilidad e impacto de que un usuario ejecute
las transacciones en conflicto. Las empresas han adoptado
muchos esquemas y anotaciones para calificar el riesgo de
sus conflictos. También han definido niveles altos, medianos y
bajos con base en el resultado de su cálculo de riesgo. Es muy
común que existan conflictos considerados “prohibidos” dentro
de un criterio de riesgos, lo cual indica que son conflictos
para los que incondicionalmente se prohíbe el acceso. Estas
son transacciones que por lo general, cuando se ejecutan
conjuntamente, no pueden ser mitigadas o no existe una
justificación de negocios para asignar derechos de acceso en
conflicto. Cualquiera que sea la anotación de la clasificación es
importante que las compañías prioricen los conflictos, para que
la remediación y administración de la población de usuarios se
pueda enfocar en la solución de conflictos que tengan la mayor
probabilidad de poder reducir riesgos.
Evaluar y definir adecuadamente cómo manejar cada
calificación de riesgo son factores clave para obtener los
beneficios del enfoque basado en riesgos.

6 Un enfoque basado en riesgos para la segregación de funciones

Consideraciones relacionadas con las pruebas

• El ejemplo de los altos ejecutivos impulsa el nivel de compromiso de • La segregación de funciones no es un proyecto sino un proceso y
todo el personal. Muchas compañías fracasan porque le prestan debe continuar en el futuro. Emprenderlo a más largo plazo
poca atención a la segregación de funciones, dando lugar a es mucho más fácil si las tareas se llevan a cabo de manera adecuada
inquietudes importantes o, peor aún al fraude y fallas en desde el inicio. Por lo tanto, hacer una inversión en prácticas
los controles. y procesos firmes hoy en día, inevitablemente producirá ahorros
más adelante.
• Las áreas de TI y Finanzas, así como otras partes interesadas de la
administración, deben ser copropietarios del proceso de segregación • Cuando una fecha límite de cumplimiento específica es la que impulsa
de funciones. El área de Finanzas entiende el impacto financiero a una compañía a abordar la segregación de funciones, el periodo de
asociado con los procesos de negocio, riesgos y controles mitigantes tiempo para las pruebas es de suma importancia. Una empresa no
mejor que cualquier otra área. La administración del negocio tendrá se debe esperar hasta el último minuto para llevar a cabo las
la visión más clara del impacto operativo. El área de TI entiende cómo actividades. Contar con un plazo de tiempo adecuado puedeser útil
traducir eso en datos de sistema, informes y remediación técnica. De cuando se necesita corregir o volver a probar los controles,
cualquier manera, una compañía no puede señalar a otra o transferir o cuando el acceso de los usuarios se tiene que modificar en el
la responsabilidad a la otra parte. sistema. El cronograma para las pruebas se debe definir con el
apoyo de las partes interesadas clave del negocio y de TI, y
• En nuestra experiencia, cuando el impulsor de una iniciativa de con el (los) equipo(s) de auditoría. La participación proactiva de
segregación de funciones es un hallazgo de auditoría, se vuelve los auditores ayuda a evitar honorarios de auditoría innecesarios y
extremadamente importante que la empresa trabaje con sus permite que las pruebas y la información sean óptimas y eficientes.
auditores de manera regular. Éstos a menudo pueden proporcionar
asesoría y retroalimentación, lo que ayuda a mantener el proceso
enfocado en riesgos en lugar de tener un ambiente sobrecontrolado.

Fina
nz
TI a s

Existe un
esquema de
gobernabilidad
exitoso de
Cumplimiento con el segregación de Reglas de
control de acceso funciones como negocio y
una sociedad definición del
entre TI proceso
y Finanzas

Auditoría interna
Verificar internamente el
desempeño y eficacia del

Auditoría externa
Atestiguar externamente el
desempeño y eficacia del control

Ernst & Young - México 7

 Hoja de ruta de la segregación de funciones

Fase 4: Mitigación
Tal como su nombre lo indica, la mitigación es el siguiente paso para limitar el posible impacto de una violación en materia de conflicto
de segregación de funciones. Esta fase se puede realizar conjuntamente con la de remediación, o dependiendo de los objetivos y el
plazo de tiempo para el cumplimiento se puede llevar a cabo al último, cuando los conflictos se han reducido al mínimo. La mitigación
analiza cada uno de los conflictos de segregación de funciones identificados y responde a la pregunta: “¿Qué control se encuentra en
operación para reducir el riesgo residual de un conflicto de segregación de funciones en particular, de tal forma que no represente un
riesgo importante para el negocio?”. En otras palabras, ¿la compañía puede identificar cualquier control existente que evite o detecte
alguna actividad no autorizada o fraudulenta? Muchas empresas elegirán mitigar cada posible conflicto a fin de contar con una red de
protección de controles implementada en caso de que surja algún problema. Esta es una estrategia sana y práctica para las compañías
que buscan controlar riesgos imprevistos e imprevisibles.

La mitigación no arregla ni corrige el conflicto. Más bien, permite
que el riesgo esté en el sistema y crea o identifica controles
existentes que compensan el riesgo de la existencia de usuarios
con excesivo acceso. Cuando una compañía elige mitigar un
conflicto de segregación de funciones, acepta el riesgo asociado
con dicho conflicto e intenta compensarlo a través del uso de
controles de aplicación manuales, dependientes de TI (o alguna
combinación de éstos). Por ejemplo, un control mitigante
que generalmente se observa en la actualización de los datos
maestros de los proveedores o en el pago a proveedores es
el uso de autorizaciones automatizadas para la emisión de
cheques a proveedores, o el uso de conciliaciones o revisiones
de proveedores a fin de mes. Estos controles de detección le
pueden brindar a la administración la seguridad que necesita
para permitir que exista el conflicto de segregación de funciones,
mientras identifica actividades no autorizadas de conflictos
de segregación de funciones a través de sus controles a nivel
financiero.
Al utilizar controles mitigantes, la administración debe elaborar
un análisis conflicto por conflicto para documentar la existencia
de controles clave específicos que mitiguen el riesgo relacionado
con un conflicto en particular.
La administración y los auditores pueden evaluar la eficacia de
los controles mitigantes y llegar a una conclusión con respecto
al nivel adecuado de dependencia que se debe de tener en la
capacidad de control para manejar el riesgo a un nivel aceptable.
Este aspecto importante del enfoque basado en riesgos le
permite a la administración aceptar que van a existir ciertos
conflictos dentro de sus niveles de tolerancia a los riesgos
predefinidos, determinando así el riesgo residual aceptable.

8 Un enfoque basado en riesgos para la segregación de funciones

Consideraciones relacionadas con la mitigación

• Para los riesgos financieros debe considerarse documentar las mitigante para todos los conflictos de segregación de funciones, ya
aseveraciones en los estados financieros relacionadas con el riesgo que este control es demasiado general. El nivel de granularidad de
de conflicto. En específico, las aseveraciones y objetivos abordados controles es importante cuando se intenta detectar y prevenir
por los controles mitigantes citados son: fraudes y errores materiales.

• Integridad En la matriz de conflictos se debe documentar el motivo específico
• Derechos y obligaciones por el cual cada control mitiga el riesgo de conflicto específico. Esto
• Valuación permitirá que la administración aborde el riesgo con mayor eficacia y
• Existencia u ocurrencia sirve como una justificación para los auditores y reguladores respecto
• Presentación y revelación a la razón por la que se eligió el control y su relevancia como factor
mitigante.
• Esto es importante, ya que permite a la compañía demostrar
que las aseveraciones relacionadas con los controles mitigantes ➢ Se debe elaborar una lista de las personas (nombre y puesto) que
abordan adecuadamente las aseveraciones vinculadas con el ejecutan cada uno de los controles mitigantes en la compañía, ya que es
riesgo de conflictos. El auditor externo también podría solicitar importante saber si la persona que ejecuta el control mitigante también
que los controles se mapeen a su marco o metodología de auditoría. es un usuario en conflicto. El grado hasta el cual se puede depender
Es recomendable que se trabaje con el auditor para determinar los de este tipo de controles se reduce considerablemente (si no es que
marcos de referencia relevantes a los cuales se mapean los se elimina por completo) cuando el personal que se encuentra en la
controles mitigantes. población en conflicto también ejecuta los controles mitigantes. Lo ideal
sería que esta situación se corrija reasignando el control a otro usuario
• Un conflicto puede ser atendido por más de un control mitigante. sin conflicto o al eliminar al usuario de una o ambas transacciones
Implementar tanto controles preventivos como detectivos ayuda sensibles en conflicto.
a administrar el riesgo en caso de que falle alguno y apoya el uso
de un enfoque basado en riesgos. Si bien no hay un número idóneo ➢ En algunos casos, la empresa puede mitigar toda una aplicación o
de controles, una buena regla a seguir es la siguiente: es preferible un sistema sin realizar pruebas para identificar el número de usuarios
tener más de un control, pero un control bien diseñado es mejor que en conflicto en el sistema. Si la compañía detecta que existen muy
10 controles que no compensen el riesgo del conflicto. Los controles pocos usuarios del sistema o que éste cubre un número pequeño de
mitigantes deben atender a un riesgo en específico. Por lo regular, posibles conflictos (como la actualización del archivo maestro de los
no es suficiente utilizar “revisiones de presupuesto” como un control proveedores), es posible que sea suficiente emitir un memorando
explicando el motivo por el cual no es necesario llevar a cabo pruebas.

Ernst & Young - México 9

 Hoja de ruta de la segregación de funciones

Fase 5: Remediación
El objetivo de esta fase es la corrección permanente de los conflictos de segregación de funciones. Las técnicas de remediación
incluyen rediseñar y depurar los roles, revisar la idoneidad de los usuarios e implementar la herramienta de segregación de funciones.
El conjunto de cambios de personal, procesos y tecnología podría ayudar a sustentar la eficacia del control y del cumplimiento. No
existe práctica o método líder proscrito para remediar los conflictos. Cada situación es única, basada en el nivel de complejidad y
alcance de los conflictos en un ambiente determinado.

Las iniciativas de remediación generalmente se dividen en dos categorías: la depuración táctica de la población de usuarios y el
rediseño estratégico de roles. El componente táctico representa los elementos que se pueden abordar rápidamente, mientras que el
desarrollo de roles generalmente implica grandes cambios organizacionales en la gente, procesos y tecnología. La elección del método
táctico o estratégico no es una propuesta para elegir entre uno u otro; la mayoría de las compañías combinan enfoques en un lapso de
tiempo gradual. La decisión de continuar con un método de remediación en particular depende de la complejidad y nivel de gravedad
de los conflictos de segregación de funciones y del plazo de tiempo obligatorio.

Depuración táctica de la población de usuarios
La depuración táctica de la población de usuarios se refiere al
proceso de revisar el rol o modelo de seguridad para evaluar si se
requieren ambos lados de las transacciones en conflicto para que
un usuario en particular desempeñe su trabajo. Este proceso de
depuración requiere que la compañía analice un rol en particular
y los conflictos que existen dentro de éste, a fin de establecer un
rol o modelo de seguridad depurado y libre de conflictos.
Los roles por sí solos no se pueden utilizar para realizar pruebas
en busca de conflictos de segregación de funciones; más bien,
una compañía debe buscar el nivel de seguridad más bajo (por
ejemplo, el elemento del menú, pantalla, ejecutable, código
de transacción) que comprende el rol en particular, a fin de
entender cuáles son las transacciones que un usuario puede
ejecutar. Sin embargo, los roles se pueden utilizar para corregir
los conflictos de segregación de funciones creando un modelo
de funciones cuya eficacia es conocida, y estableciendo por
ende la ejecución constante del modelo a través de los controles
de seguridad de la aplicación. Con frecuencia, este rediseño
táctico de roles a corto plazo puede corregir fácilmente muchos
conflictos, mientras deja que los conflictos más difíciles de
usuarios sean manejados a través de un enfoque estratégico.
Una vez concluida la remediación, se debe establecer un
esquema de gobernabilidad de gente, procesos y tecnología para
ayudar a garantizar que no vuelva a presentarse la situación.
Es de suma importancia asignar la responsabilidad de las
tareas de mantenimiento de roles, administración de usuarios y
definición de las reglas de segregación de funciones. Las pruebas
periódicas y verificación de conflictos se deben incluir en los
procesos para otorgar permisos. Un factor crítico para el éxito
es apoyar los procesos de rediseño con la tecnología adecuada.
Para las compañías pequeñas con aplicaciones muy sencillas esto
se puede administrar con una solución básica, como una hoja de
cálculo en la que se capturen las actividades en conflicto y donde
se pueda realizar un análisis básico para determinar si el acceso
del usuario dará pie a problemas relacionados con la segregación
de funciones. Sin embargo, para las empresas medianas y
grandes (más de 500 usuarios) con aplicaciones más complejas
(por ejemplo, ERP como SAP y Oracle), definitivamente se
necesitará una herramienta de control de acceso que permita
una solución eficiente y sustentable. Dicho lo anterior, si bien
hay varias aplicaciones de terceros que facilitan la aplicación de
pruebas, la mitigación y algunas actividades de remediación,
éstas no sustituyen la necesidad de contar con una metodología
sana basada en el riesgo de negocio de la compañía.

Rediseño estratégico de roles

El rediseño estratégico de roles busca definir lo que compone
un acceso libre de conflictos de segregación de funciones en Rendimiento de la inversión en la
una compañía. Mapea la función y responsabilidad laboral en el
negocio con los derechos de acceso requeridos en cada sistema. remediación
Este enfoque generalmente se utiliza cuando un modelo de roles
existente cuenta con muchos conflictos y no se puede rescatar La inversión inicial en gente, procesos y tecnología que
utilizando las iniciativas de depuración. gobiernan el proceso de segregación de funciones podría
dar como resultado lo siguiente:
El diseño estratégico de roles crea capacidades y procesos
sustentables que sirven para mantener “limpia” la estructura • Reducción en el riesgo de negocio
de roles. • Menor incidencia de aplicación de controles
• Evitar multas por incumplimiento reglamentario
• Ahorro en horas de consultoría
• Un mejor ambiente de control

10 Un enfoque basado en riesgos para la segregación de funciones


Consideraciones relacionadas con la mitigación

• Fuente de registros maestros. Cuando una compañía establece una de funciones. Una revisión detallada de la población de usuarios (en
fuente de registros maestros ha dado el primer paso para entender la que se identifica si los usuarios deben tener acceso a un
los derechos de acceso en conflicto del sistema. Una fuente de rol o grupo en particular) puede corregir esta situación. Una
registros maestros es una visión sencilla de la población de simple verificación de la población de usuarios, en el contexto de
usuarios y de todos los derechos de acceso asociados a éstos. puesto o función, se puede utilizar para identificar tales conflictos
Debido a que muchas empresas conservan bases de datos de segregación de funciones. Una vez identificados éstos se
de usuarios diferentes y separadas, esta tarea a menudo pueden eliminar.
es más difícil de lo que parece. Es más fácil llevar a cabo esta labor
cuando se cuenta con el apoyo de políticas tales como convenciones • Identificaciones atípicas. Las identificaciones y cuentas de usuario
de nomenclatura estándar para los identificadores de usuarios atípicas son indicadores de desviaciones en las convenciones
(user ID). Esto hace que sea menos difícil comparar un ID de nomenclatura estándar para los ID de la compañía. Estas
de usuario para encontrar accesos en conflicto en múltiples sistemas. cuentas deben ser investigadas en busca de accesos inadecuados,
De lo contrario, los ID de usuario con una característica común de y de ser posible deben ser cambiadas para cumplir con la política de
identificación (como el número de empleado, dirección de correo convenciones de nomenclatura de los ID de usuarios de la
electrónico e identificación de usuario) deberán estar vinculados en empresa. Por ejemplo, si la convención de nomenclatura estándar
varios sistemas. Para una compañía con miles de empleados es la inicial del primer nombre y el apellido (es decir, Juan Pérez
y muchos sistemas este proceso puede ser tedioso, pero es necesario sería jperez), se debe prestar mucha atención a las convenciones de
para obtener una visión precisa de los conflictos. nomenclatura que se encuentren fuera de esta política. Por lo tanto,
si en lugar de ver “jperez” aparece “juan.perez”, esto debe encender
• Acceso predeterminado. El acceso predeterminado (conocido con focos rojos y se debe investigar si existe algún acceso inadecuado. El
diferentes nombres dependiendo del sistema) proporciona el riesgo es que este usuario podría contar con varias cuentas que,
conjunto estándar de derechos de acceso para todos los usuarios cuando se utilizan de manera conjunta, pueden generar un acceso
registrados en esa aplicación. Este acceso le proporciona al usuario la inapropiado de conformidad con la definición de segregación
funcionalidad mínima estándar del sistema. Por ejemplo, todos de funciones.
los usuarios de un sistema en particular deben poder ver la pantalla
para iniciar sesión, el menú de ayuda y la pantalla con el banner • Exempleados. Aunque las cuentas de usuarios que ya caducaron o
de la política. Estas tres pantallas o menús se considerarían como de exempleados deben estar controladas dentro del proceso de
acceso predeterminado. Los riesgos surgen cuando las compañías acceso lógico, es de suma importancia estudiar la población de
asignan accesos predeterminados a menús, transacciones o niveles usuarios actuales para identificar a los exempleados de la lista de
de seguridad sensibles. El acceso predeterminado se debe asignar Recursos Humanos. Este paso no solo reduce el número de usuarios
con mesura y tener sumo cuidado con los menús o niveles de que se analizarán, sino que también establece la población
seguridad a los que ha sido asignado. sobre la cual se basarán las pruebas de la segregación de funciones
e incluso podría ayudar a reducir los costos de licencias.
• Roles. Los roles son útiles para administrar cualquier sistema, ya que
optimizan la asignación de los derechos de acceso y permisos • Acceso al sistema. Los usuarios con acceso directo al nivel más
al alinear el acceso al sistema con la responsabilidad o función bajo de seguridad (por ejemplo, menús, pantallas, códigos de
laboral. Esta lógica integrada permite que el personal que no transacciones) se deben analizar detalladamente. Esto representa
pertenece al área de TI pueda asignar el acceso requerido cuando se una posible laguna de seguridad, ya que los usuarios podrían
contrata a un empleado. Pero para muchos negocios, el concepto de obtener derechos de acceso sin seguir el proceso estándar de
los roles es sumamente complejo y polémico. Ya sea que una administración de usuarios. El problema generalmente ocurre
compañía elija definir sus roles dentro de un sistema o en muchos cuando los consultores, contratistas o especialistas requieren acceso
sistemas, la segregación de funciones se debe considerar más allá del a una funcionalidad específica del sistema y omiten los roles, a fin de
nivel del rol y cuenta para varios derechos de acceso discretos. asignar elementos específicos del menú o pantallas fuera del proceso
Muchas compañías se detienen en el nivel del rol y no buscan normal de permisos.
entender los derechos de seguridad y acceso que comprende ese rol,
aunque a menudo se identifican conflictos dentro del mismo. • Cuentas del sistema. Las cuentas del sistema genéricas,compartidas
La administración no podrá identificar estos problemas con solo y poderosas (en las que los usuarios pueden iniciar una sesión)
probar los roles. presentan un reto, ya que es imposible saber con certeza quién ha
utilizado esa cuenta específica. Debido a que el análisis de la
• Revisiones. Las revisiones de razonabilidad de accesos de los segregación de funciones tiene que ver con los usuarios que pueden
usuarios ofrecen una manera fácil y eficaz de reducir el número de ejecutar transacciones sensibles, las cuentas genéricas o
conflictos de segregación de funciones que se identifiquen durante compartidas (especialmente las cuentas compartidas de súper
el proceso de prueba. Resulta difícil para las empresas definir usuarios) invalidan el objetivo del análisis. Las cuentas de sistema
los niveles adecuados de acceso para los usuarios con base en las poderosas son problemáticas solo cuando no están restringidas
actividades de los mismos, sin la autorización adecuada y y los usuarios del sistema pueden iniciar una sesión. Estas cuentas
accesos documentados. Frecuentemente, las compañías notan que al inseguras limitan la capacidad para monitorear quién está
paso del tiempo se les otorgan a los usuarios accesos adicionales ejecutando qué transacción sensible. Lo único de lo que se tiene
en la medida que cambian sus responsabilidades o funciones conocimiento es del responsable de la cuenta, no del usuario en sí.
laborales, pero no siempre se restringen los accesos innecesarios (o Para evitar actividades no autorizadas, la compañía debe asegurarse
inadecuados), lo cual agrava aún más el problema de la segregación de que el usuario no pueda iniciar una sesión en el sistema ni
procesar cuentas.

Ernst & Young - México 11

 Conclusión
La segregación de funciones continúa siendo una parte integral del control interno de
las compañías. Si bien se debe establecer el nivel adecuado de esfuerzo y atención al
cumplimiento de la segregación de funciones, las empresas también deben buscar que la
ejecución de sus controles sea sencilla y precisa. La segregación de funciones representa
un reto único en cuanto al cumplimiento con los controles, ya que requiere de una
alineación estrecha entre el negocio y las partes interesadas de TI para evaluar, mitigar,
reducir y monitorear el riesgo de fraude o de errores materiales.

La inversión en aplicaciones y herramientas no va a solucionar en sí los procesos

deficientes. Asimismo, esperar una mejora con el paso del tiempo sin tener un enfoque
continuo sobre los riesgos que están abordando o el valor que se está protegiendo no es
una estrategia sostenible de cumplimiento o de TI. La administración debe dar un paso
atrás y preguntar qué es lo que la compañía busca lograr a través de la segregación de
funciones. Una iniciativa de segregación de funciones bien diseñada y basada en riesgos
puede facilitar el cumplimiento, así como demostrar un valor de negocios real al mejorar
los controles mientras se desarrollan, optimizan y rediseñan, de manera eficiente, los
procesos clave de negocio y de TI.

12 Un
Unenfoque
enfoquebasado
basadoen
enriesgos
riesgospara
parala
lasegregación
segregaciónde
defunciones
funciones
Acerca de Ernst & Young
En Ernst & Young, nuestros servicios se enfocan en las necesidades y asuntos específicos del negocio
de cada uno de nuestros clientes, porque reconocemos que cada necesidad y problema es exclusivo de
ese negocio.
Con un mayor escrutinio sobre la protección de datos personales,
no sorprende que la profesión de privacidad evolucione más
allá del puesto del director de seguridad. Las organizaciones
que tienen oficinas de privacidad reclutan y capacitan a
profesionales de privacidad para enfocarse en áreas específicas
del negocio. Además, más allá de ser una función sin futuro con
una trayectoria profesional poco clara, los puestos de privacidad
adoptan una función fundamental dentro de la organización.
En 2011, las organizaciones contratarán a más profesionales
de privacidad, de esa manera revertirán la disminución de
personal que las oficinas de privacidad experimentaron durante
la crisis económica. Las organizaciones entenderán mejor la
naturaleza compleja de la protección de datos personales y sus
necesidades para administrar mejor los riesgos y obligaciones de
cumplimiento relacionados.
Varias compañías mejoran la privacidad al fusionar la seguridad
de la información, privacidad y otras funciones (recursos
humanos, legal, sourcing) con las organizaciones de gobierno
de riesgos de información virtual, las cuales adoptan un enfoque
más holístico en cuanto a la protección de datos. Esto también
fomenta un cumplimiento más proactivo con los requisitos de
privacidad de la información.
Contactos:
LI Carlos Chalico
Socio Asesoría en TI
Tel: (55) 1101 6414
carlos.chalico@mx.ey.com
Eva Gutiérrez
Gerente Asesoría en TI
Tel. (55) 1101 6457
eva.gutierrez@mx.ey.com
Ernst & Young - México
Más allá de los profesionales que solo se enfocan en la privacidad
de la información, muchas funciones que se relacionan con el
tratamiento de datos personales por parte de las organizaciones
obtendrán más conocimientos acerca de los temas de riesgos
y cumplimiento. En 2011, veremos cómo las personas que
trabajan en las áreas de TI, auditoría, legal, recursos humanos y
mercadotecnia agregarán la protección de datos personales a sus
conjuntos de habilidades.
Para dar cabida a este crecimiento, en 2011 aumentará la
cantidad de personas que buscan obtener certificaciones de
privacidad. Por ejemplo, Ernst & Young desde hace algunos
años agregó la certificación de Profesional de Privacidad de la
Información (CIPP, por sus siglas en inglés) como una de las
certificaciones profesionales que un colaborador debe obtener
para ser promovido en nuestro grupo de Servicios de Asesoría.
En 2011, esta certificación y otras se volverán más profesionales,
y permitirán que las personas las reciban en áreas específicas,
como reglamentación jurídica, TI o requisitos de privacidad
específicos de la industria.
Monterrey
Pilar Pliego
Gerente de Asesoría
Tel. (818) 152 1815
pilar.pliego@mx.ey.com
13
Ernst & Young

Aseguramiento | Asesoría | Fiscal | Transacciones

Acerca de los Servicios de Asesoría de Ernst & Young
La relación entre la mejora en el desempeño y los riesgos es un reto cada
vez más complejo y primordial para los negocios, ya que su desempeño está
directamente relacionado con el reconocimiento y manejo eficaz del riesgo.
Ya sea que su enfoque sea en la transformación del negocio o en mantener
los logros, contar con los asesores adecuados puede marcar la diferencia.
Nuestros 18,000 profesionales en asesoría forman una de las redes globales
más extensas de cualquier organización profesional, la cual integra a equipos
multidisciplinarios y experimentados que trabajan con nuestros clientes
para brindarles una experiencia poderosa y de gran calidad. Utilizamos
metodologías comprobadas e integrales para ayudarles a alcanzar sus
prioridades estratégicas y a efectuar mejoras que sean sostenibles durante un
mayor plazo. Entendemos que para alcanzar su potencial como organización
requiere de servicios que respondan a sus necesidades específicas; por
lo tanto, le ofrecemos una amplia experiencia en el sector y profundo
conocimiento sobre el tema para aplicarlos de manera proactiva y objetiva.
Nos comprometemos a medir las ganancias e identificar en dónde la estrategia
está proporcionando el valor que su negocio necesita. Así es como Ernst &
Young marca la diferencia.

Para mayor información por favor visite

www.ey.com/mx/asesoria

© 2011 Mancera, S.C.

Integrante de Ernst & Young Global
Derechos reservados
Clave SOD001

Ernst & Young se refiere a la organización global de firmas miembro conocida

como Ernst & Young Global Limited, en la que cada una de ellas actúa como una entidad
legal separada. Ernst & Young Global Limited no provee servicios a clientes.