 

DESAFÍOS PWC
Incubando ideas desde PwC Perú

¿Por qué es importante la gestión de

accesos y la segregación de funciones
en los procesos de negocio?
 16 DICIEMBRE, 2020  AUDITORÍA / PWC / TECNOLOGÍA

105
Veces
compartid
o
Por Marlon Tello, gerente de Auditoría de PwC

Los accesos y la segregación de funciones son aspectos clave del control

interno. Su importancia radica en restringir las tareas incompatibles que
los usuarios pueden realizar dentro de un ujo de proceso. Como tareas


incompatibles tenemos, por ejemplo, que un mismo usuario no pueda
registrar una orden de compra y liberarla.

Los con ictos de segregación de funciones pueden ser de tres tipos: entre
dos funciones automáticas; entre una función automática y una manual; y
entre dos funciones manuales.

Actualmente, existen dudas respecto a quiénes son responsables de

gestionar el acceso a los sistemas. Las áreas de negocio son dueñas de la
información que se almacena en los sistemas y son las responsables de los
accesos a dicha información. Si bien el área de TI ejecuta el
aprovisionamiento y gestión de los usuarios, la de nición de qué cargos o
puestos dentro de la organización deben contar con un determinado acceso
depende del área de negocio.

El área de negocio debe intervenir en la de nición de un nuevo rol o per l

dentro de los sistemas, como principal solicitante y dueño de la
información a la cual se va a acceder. El área de TI, participa como experto
del aplicativo, debido a que conoce técnicamente los permisos con los que
cuenta cada rol o per l; y el área de seguridad de información, que revisa
que este nuevo rol o per l no genere algún con icto de segregación de
funciones con alguno ya existente. Si en alguna ocasión este con icto se
genera y por las características del negocio debe mantenerse, el con icto
deberá ser elevado como un nuevo riesgo a evaluar.

Existen controles sobre la con guración de usuarios dentro de los

aplicativos que las organizaciones implementan para mantener una
adecuada asignación de accesos y segregación de funciones. Uno de estos es
la revisión periódica de accesos, ejecutada una o dos veces por año, que
consiste en con rmar con los usuarios clave de las áreas de negocio que los
permisos asignados son autorizados de acuerdo con sus funciones actuales.
En caso existieran usuarios no autorizados, se debe veri car la fecha en que
nalizaron los permisos y si accedieron a las funcionalidades no
autorizadas desde entonces. De encontrar ocurrencias se deberá realizar
una investigación para mitigar el riesgo de cualquier acceso o modi cación
no autorizada.

Las organizaciones que cuentan con una matriz de roles/per les deben
asegurarse de que los accesos a esta se encuentren restringidos,
normalmente debe ser el área de seguridad de información la que custodie
dicha matriz. Es un error que quienes gestionan los accesos puedan
modi carla, ya que genera un con icto de segregación de funciones entre
las tareas de de nición de accesos y su otorgamiento. Asimismo, esta 
matriz de roles/per les debe contar con un log de modi caciones, que
permita veri car que cualquier cambio se encuentre aprobado por el
usuario de negocio, dueño de la información.

Es necesario contar con los conceptos claros al momento de evaluar los

controles que la organización debe implementar, para mitigar los riesgos
de acceso y segregación de funciones dentro de los procesos de negocio.
Además, es recomendable iniciar esta evaluación cuando la organización es
pequeña, debido a que a medida que crece a nivel de personas, funciones y
sistemas se vuelve más complejo mapear los roles/per les por aplicación y
su gestión. Por ello, las organizaciones contratan a terceros para el mapeo e
implementación de la matriz de roles/per les, o para que las ayuden a
diseñar el ujo adecuado de gestión y monitoreo de los accesos y
segregación de funciones.

105
Veces
compartid
o

More from my site

El sistema de “Pocas ¿Cómo alcanzar ¿Qué preocupa a

control interno y compañías la productividad las
su importancia tienen claro el en el sector aseguradoras?
en el contexto impacto nanciero?
del COVID-19 contable que
pueden
generar”

Tiempos de “Las compañías

cambio en los peruanas están
servicios muy interesadas
nancieros en invertir en
inteligencia
arti cial”

PREVIOUS POST 