Segregación de Funciones Dentro y Fuera de Los Sistemas Lo Que Un Auditor Interno No Puede Dejar de Ver PDF

10º ENAI | ConocimientoGlobalizado | 21 y 22 de Mayo | Buenos Aires | Argentina
Segregación de Funciones
Dentro y Fuera de los Sistemas
Lo que un Auditor Interno no puede dejar de ver…
Luis Romero
Director
(GRC – Governance, Risk & Compliance)
BDO Argentina
Luis Romero
• BDO Argentina, Director en GRC| Governance, Risk & Compliance.
• Contador Público, Universidad Nacional de La Matanza
• Master en Auditoria de Sistemas, Universidad del Salvador
• CEC – Profesional con Certificación Internacional en Ética y

Compliance, (Asociación Argentina de Ética y Compliance –
Universidad del CEMA).
• Se desempeña desde hace más de diez años en servicios de Auditoría Interna, Control Interno
y Reingeniería de Procesos.
• Especialista en Auditoría Continua y análisis de Segregación de Funciones a través de

plataformas BI.
• Referente en proyectos de Control Interno para la implementación de nuevos negocios,

incluyendo el análisis de incompatibilidad de funciones y definición de controles mitigantes.
Capacitador para BDO a nivel regional sobre los temas de su especialidad.
10º ENAI | ConocimientoGlobalizado | 21 y 22 de Mayo | Buenos Aires | Argentina 3
Un caso de la vida real........

2 3
Se puede 4
Podrías
demostrar que los verificar si el Puedo decirte qué permisos tiene
privilegios de Juan perfil asignado JP en este momento, pero no se
Pérez son los a Juan Pérez es si son los apropiados
apropiados? CSO
el adecuado?
Auditor 5
Podrías verificar si el perfil
asignado a JP (de tu gerencia)
es el correcto? Administrador
Estamos
cumpliendo con los 6
¡?¡?, Aguarden
requerimientos de
que haga un
la Legislación SOX?
curso de SAP
para
comprender qué
son estos EL DESAFÍO:
códigos Gerente de
CFO área de  Visibilidad a los decisores
negocio
 Incorporar un proceso
continuo
Agenda
Peligros.
Conceptos. Riesgos de Cómo
SoD. Roles, errores, abordar un
Perfiles, omisiones, proyecto de
Permisos irregularidade revisión
s y fraudes “spot” y una
reingeniería
Agenda
Peligros.
reingeniería
Conceptos. SoD, Roles, Perfiles, Permisos
Segregación de funciones (SoD)
Es un control interno básico que busca asegurar que ninguna persona tenga la
autoridad para ejecutar dos o más transacciones sensibles en conflicto que podrían:
• Afectar la información de los EECC
• Facilitar el fraude en una organización
Limitaciones Controles
Inherentes Compensatorios
Iniciar una Aprobar una

transacción transacción
Registrar
Conciliar
una
saldos
transacción
Custodiar
activos
 PERFILES: Requerimientos o requisitos que necesita una persona para que se le

asigne un rol.
 ROL: Vinculado a la función o papel que cumple alguien o algo. En un sistema

informático un rol es una colección de permisos definida para todo el sistema que
puede asignar a usuarios específicos en contextos específicos.
 PERMISOS: son las acciones concretas que se asignan sobre uno o más
recursos/transacciones del sistema.
Perfil Rol Permisos

Agenda
Peligros.
reingeniería
Distintos Sistemas. Un enfoque que trasciende el ERP
P2P O2C R2R

ABM Datos Maestros
ABM Datos Maestros Conciliación Bancaria
Procesamiento
Solicitudes Conciliacion P&C
Procesamiento OV
Procesamiento OC
Contabilidad AAFF
Procesamiento
Facturas Despacho
Contabilidad
Administración de Intercompany
pagos
Facturación
Impuestos
Gastos y Rendiciones
Cobranzas Reportes
Inventarios
HR Administration
IT Infraestructure
Trans 1
Asignación Asignación Control de

Proceso Trans 2
Usuario - Rol Rol - Permiso Acceso
Trans 3
ROL “A”
Trans 1
Control de
Proceso Trans 2
Acceso
ROL “B” Trans 3
Trans 1
Control de
Proceso Trans 2
Acceso
ROL “C”
Trans 1
Control de
Proceso
Acceso
Trans 2
Trans 1
Administración de Control de
Proceso Trans 2
Permisos y Accesos Acceso
Trans 3
Enfoque USUARIOS RECURSOS

RBAC

VENTAJAS
 Mejor control de los accesos sobre los recursos.
 Las reglas del negocio controlan los accesos sobres los recursos.
 Reduce los tiempos de Administración.
 Incrementa la productividad y eficiencia
 Rápida respuesta ante cambios en la organización

Agenda
Peligros.
reingeniería
Peligros. Riesgos de errores, omisiones,

irregularidades y fraudes
• Modelos distribuidos. Mayor esfuerzos
• Administración vía “CLON”
• ¿Todos son superusuarios?
• Disyuntiva habitual: Tecnología vs negocio
• Bajo nivel de registro de eventos de seguridad
• Implementación = control por oposición


• PELIGRO: roles hechos a medida del usuario
• Existencia de roles especiales que contengan estas transacciones
• Auditoria Interna: ¿Juez y Parte?
• Las decisiones de cambios SON de los dueños de la información
• Actualización adecuada
• Administrador de roles y perfiles <> mantenimiento del maestro de usuarios


• Exposición al fraude por falta de un monitoreo continuo
• SAP = 3 capas de seguridad

Agenda
Peligros.
reingeniería
Matriz SoD
Vendor Mast. Maint. CEN
AR Clear Customer Acct.

Vendor Mast. Maint. MM
Task Group Description
Vendor Mast. Maint. FI
Material Master Maint.

AP Clear Vendor Acct.
Bank Reconciliation
AR Cash Application
AP Voucher Entry
AP Payments
Task Group Description Grp a b c d e f g h i j

AP Voucher Entry a 3
X 3
X 4
X 4
X 4
X
AP Payments b 3
X 5
X 5
X 5
X 6
X
AP Clear Vendor Acct. c 3
X
Vendor Mast. Maint. FI d 4
X 5
X 7
X
Vendor Mast. Maint. MM e 4
X 5
X 7
X
Vendor Mast. Maint. CEN f 4
X 5
X
Bank Reconciliation g 6
X 6
X
AR Cash Application h 6
X
AR Clear Customer Acct. i
Material Master Maint. j
Matriz SoD
REF. RISK DESCRIPTION
1 Un usuario puede publicar o cambiar una recepción de bienes/servicios incorrecta/ficticia y

registrar documentos contables para su posterior pago. También es posible la registración de
mercaderia en defecto y registrar una nota de crédito/descuento ficticios.
2 Un usuario puede registrar o cambiar una recepción de bienes/servicios en defecto y generar una
orden de pago a fin de cancelar la factura correcta y ocultar el engaño
3 Un usuario puede registrar o cambiar una factura/nota de débito ficticia y generar el

pago/compensación a fin de cancelar el documento.
4 Un usuario puede registrar, publicar o cambiar proveedores no autorizados/ficticios/reales y

registrar documentos contables para su posterior pago. Posterior al pago el usuario podria bloquear
o borrar el mismo para ocultar el engaño.
5 Un usuario puede publicar o cambiar proveedores ficticios/reales y generar pagos. Posterior al pago
el usuario podria bloquear o borrar el mismo para ocultar el engaño.
6 Un usuario puede registrar cobros/pagos ficticios y conciliar posteriormente contra los movimientos
reales del banco ocultando el engaño.
7 Un usuario puede ingresar datos incorrectos por desconocimiento, lo cual impactaría en las
consecuentes transacciones que apliquen al mismo.
Matriz SoD
Agenda
Peligros.
reingeniería
Como abordar un proyecto

Nuevos Roles
Operativos
Construcción de nuevos roles

5
Obtención
de GAPS
Análisis de 4
Incompatibilidades
3
Análisis de Planificación
Procesos y
2 Organización
1

Nuevos Roles Planificación y Organización
Operativos
Actividades Involucradas
• Obtención de la información disponible
5 • Comprensión de los sectores / áreas /
Obtención locaciones sujetos a revisión
de GAPS • Identificación de los puestos que
requieren relevados
Análisis de 4 • Calendarización de entrevistas
Incompatibilidades • Planificación detallada
• Kick off meeting
3
Análisis de Entregables
Procesos
2
• Planificación detallada
• Documento de Lanzamiento de
1 Proyecto
23

Nuevos Roles Análisis de Procesos
Operativos
• Análisis de Procesos y funciones -
5 Autorrelevamientos y Entrevistas
Obtención • Análisis situación actual ERP/sistemas
de GAPS • Triple check
Análisis de 4
Incompatibilidades
3
Planificación Entregables
y
2 Organización • Diagnóstico de situación actual (“as
is”)
• Job description técnico
1
24

Nuevos Roles Análisis de Incompatibilidades
Operativos
• Identificación de situaciones
5 inconvenientes
Obtención • Análisis de permisos
de GAPS
3
Análisis de Planificación Entregables
Procesos y
2 Organización • Informe de avance
25

Nuevos Roles Obtención de Gaps
Operativos
• Identificación de las debilidades de
5 perfiles
• Validación y Ajustes
Análisis de 4
Incompatibilidades
3
Procesos y
2 Organización • Matriz de Roles / Perfiles /
Transacciones
• Identificación de incompatibilidades y
1 sus riesgos
• Plan de acción validado
26

Nuevos Roles Construcción de Nuevos Roles
Operativos
• Desarrollo de Nuevos Roles / Perfiles

5 • Elaboración de procedimiento ABM
Obtención • Validación
de GAPS • Capacitación
Análisis de 4
Incompatibilidades
3
Procesos y
2 Organización • Documentación nuevos roles para su
construcción en ERP
• Procedimientos mejorados
1
27
Agenda
Peligros.
reingeniería
Metodología – La tecnología mas terrenal
SOLUCIONES OFICIALES
 APLICACIONES ALTERNATIVAS
 HERRAMIENTAS BI
 HERRAMIENTAS BPM + DESARROLLO A MEDIDA
 OFIMÁTICA + “ISSUE TRACKER OPEN SOURCE”

Top Ten de Problemas SoD
 Procesar orden de venta + Procesamiento de entrega
 Generar orden de compra + Procesar ingresos de mercaderías/servicios
 Mantenimiento de descuentos/promociones + Generar factura de venta
 Mantenimiento de datos maestros de clientes + Crear contratos
 Mantenimiento de datos maestros de materiales + Generar solicitud de pedido

Top Ten de Problemas SoD
 Ingresar asientos contables + Abrir períodos contables
 Procesamiento manual de cheques + Conciliación bancaria
 Realizar movimiento de mercaderías + Ajustes de inventarios
 Procesar orden de venta + Generar factura de venta
 Usuarios del área de IT “transaccionando” en producción

¡Muchas Gracias
por su atención!
Email: luisromero@bdoargentina.com
Teléfono: (54 11) 4106 7000 / 5274-5100
Página web: www.bdoargentina.com

Segregación de Funciones Dentro y Fuera de Los Sistemas Lo Que Un Auditor Interno No Puede Dejar de Ver PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Segregación de Funciones Dentro y Fuera de Los Sistemas Lo Que Un Auditor Interno No Puede Dejar de Ver PDF

Cargado por

Copyright:

Formatos disponibles

10º ENAI | ConocimientoGlobalizado | 21 y 22 de Mayo | Buenos Aires | Argentina

• Contador Público, Universidad Nacional de La Matanza

• Master en Auditoria de Sistemas, Universidad del Salvador

• CEC – Profesional con Certificación Internacional en Ética y

• Especialista en Auditoría Continua y análisis de Segregación de Funciones a través de

• Referente en proyectos de Control Interno para la implementación de nuevos negocios,

Un caso de la vida real........

Conceptos. SoD, Roles, Perfiles, Permisos

Segregación de funciones (SoD)

• Afectar la información de los EECC

• Facilitar el fraude en una organización

Conceptos. SoD, Roles, Perfiles, Permisos

Iniciar una Aprobar una

Conceptos. SoD, Roles, Perfiles, Permisos

 PERFILES: Requerimientos o requisitos que necesita una persona para que se le

 ROL: Vinculado a la función o papel que cumple alguien o algo. En un sistema

Perfil Rol Permisos

Distintos Sistemas. Un enfoque que trasciende el ERP

P2P O2C R2R

Distintos Sistemas. Un enfoque que trasciende el ERP

Asignación Asignación Control de

ROL “B” Trans 3

Enfoque USUARIOS RECURSOS

Distintos Sistemas. Un enfoque que trasciende el ERP

 Mejor control de los accesos sobre los recursos.

 Reduce los tiempos de Administración.

 Incrementa la productividad y eficiencia

 Rápida respuesta ante cambios en la organización

Peligros. Riesgos de errores, omisiones,

• Modelos distribuidos. Mayor esfuerzos

• Administración vía “CLON”

• ¿Todos son superusuarios?

• Disyuntiva habitual: Tecnología vs negocio

• Bajo nivel de registro de eventos de seguridad

• Implementación = control por oposición

Peligros. Riesgos de errores, omisiones,

• PELIGRO: roles hechos a medida del usuario

• Existencia de roles especiales que contengan estas transacciones

• Auditoria Interna: ¿Juez y Parte?

• Las decisiones de cambios SON de los dueños de la información

• Administrador de roles y perfiles <> mantenimiento del maestro de usuarios

Peligros. Riesgos de errores, omisiones,

• SAP = 3 capas de seguridad

Vendor Mast. Maint. CEN

AR Clear Customer Acct.

Vendor Mast. Maint. FI

Material Master Maint.

Task Group Description Grp a b c d e f g h i j

1 Un usuario puede publicar o cambiar una recepción de bienes/servicios incorrecta/ficticia y

3 Un usuario puede registrar o cambiar una factura/nota de débito ficticia y generar el

4 Un usuario puede registrar, publicar o cambiar proveedores no autorizados/ficticios/reales y

Como abordar un proyecto

Construcción de nuevos roles

Como abordar un proyecto

Como abordar un proyecto

Como abordar un proyecto

Como abordar un proyecto

Como abordar un proyecto

• Desarrollo de Nuevos Roles / Perfiles

Metodología – La tecnología mas terrenal

 HERRAMIENTAS BPM + DESARROLLO A MEDIDA

 OFIMÁTICA + “ISSUE TRACKER OPEN SOURCE”

Top Ten de Problemas SoD