Auditando la Segregación de Funciones en los Sistemas.

Este tópico resulta sumamente interesante en las empresas con muchos empleados. En primer lugar, nunca se encuentra un diseño de la segregación de funciones que debía implementar el sistema. Luego, nadie revisa si se están creando faltas a la segregación de funciones. Por último, hasta los auditores tienen problemas para identificar el tamaño del problema de segregación de funciones existentes. Lo que normalmente ocurre, es que producto de una investigación o hallazgo se deduce que un usuario tenía privilegios que impactaban en el criterio de segregación de funciones, pero no se pasa a investigar si había más usuarios en la misma situación, con las mismas transacciones o con otras.

La segregación de funciones es una característica de control interno que busca no permitir que un usuario pueda iniciar, procesar, finalizar y hasta eliminar sus acciones, sin la necesidad de que un segundo o tercero intervengan a manera de control. Por ejemplo, el proceso de adquisición de bienes debería de segregar las funciones siguientes: la requisición o solicitud, la recepción de bienes y la autorización del pago del bien. Si permitimos que estas actividades sean desarrolladas por una misma persona, esta podría autorizar pagos, para bienes que no se han recibido o ni siquiera solicitado, montando un esquema de fraude para la empresa. Este tipo de casos, por la misma naturaleza humana, pasan en todas las organizaciones, grandes o pequeñas, llevando a vacíos de control. Por supuesto, el problema se aborda de manera diferente de acuerdo al tamaño de la organización. Estas funciones podrían no estar separadas en una empresa pequeña, pero precisamente por la característica de ser pequeña, es fácil para los propietarios, realizar una revisión total de todas las operaciones e identificar si se ha cometido algún tipo de error. En organizaciones grandes, la segregación de funciones es un poco más difícil de implementar, pero más necesaria. No solo problemas de fraude se pueden dar por falta de una adecuada segregación de funciones. Por ejemplo, producto de la gran cantidad de transacciones realizadas por la misma persona se puede dar el cruce de pagos, procesando el pago de una factura similar, tal vez del mismo proveedor y con productos similares, en lugar de otra. Con esto concluimos, que también hay situaciones de control interno que requieren de la Segregación de Funciones como mecanismo de control.

Es importante, al momento de auditar la Segregación de Funciones, identificar el nivel de segregación de funciones que se ha diseñado, para conocer si la administración esta conscientemente organizando este control. La mejor evidencia, es la matriz de segregación de funciones, que establece “a priori” las operaciones que no se permite sean realizadas por la misma persona. Establecida esta fuente de información, se procede a verificar que efectivamente se está cumpliendo con el diseño de segregación de funciones objetivo. Si la organización es grande, se tendrá que pasar toda la información a una base de datos, en la cual se buscarán personas que cumplan con el criterio de tener privilegios para las operaciones excluyentes. En estos casos, la principal labor del auditor es la identificación de las fuentes de información para crear la base de datos. Este tipo de labores hace de la tarea de auditar sistemas una actividad retadora, debido a que no siempre la información está disponible de la mejor manera para ser procesada. Si el sistema utilizado no asigna privilegios a nivel de transacciones, probablemente habrá que crear la base de datos a partir de los históricos que indiquen quién hizo cada transacción, es decir, el usuario que hizo las solicitudes de bienes, el usuario que hizo las recepciones y el usuario que autorizó los pagos. Al menos este mínimo de pistas de auditoría debe de existir en el sistema de una organización grande, para tener recursos para realizar el análisis. Definitivamente, esto exige gran creatividad de parte de quién audita los sistemas.

Acerca de Luis Cruz

Luis Cruz es un consultor en Gestión y Auditoría de TI, basado en El Salvador. Se dedica a realizar proyectos de implementación, mejora, revisión, asesoría y auditoría de la gestión de TI. Es Ingeniero Industrial y master en Ciencias de la Computación, Auditor de Sistemas Certificado, CISA, ITIL V3 Foundation e ISO 27001 implementer, con amplios conocimientos sobre riesgos y seguridad informática. Tiene una experiencia de más de 20 años en el uso de las Tecnologías de la Información en organizaciones grandes, realizando desde la planificación, hasta la ejecución, evaluación y revisión de los resultados obtenidos. Luis ha ocupado cargos de Dirección de TI y ha sido gerente de servicios de asesoría de TI para una de las 4 firmas de auditoría más grandes en el mundo.

Publicado el 8 de octubre de 2012 en Auditoría de TI y etiquetado en , , . Guarda el enlace permanente. Deja un comentario.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

w

Conectando a %s

A %d blogueros les gusta esto: