La segregación de funciones, un pilar clave en el modelo de control interno
Ya sea por la creciente presión regulatoria, derivada de los casos de fraude que salpican a las organizaciones, o por una concienciación mayor de éstas por mejorar su control interno, la segregación de funciones se ha convertido en una prioridad. Durante la segunda sesión del II Foro de Seguridad Avanzada, organizado por Ernst & Young y ComputerWorld, se analizaron los aspectos claves de la segregación de funciones en los procesos de negocio.
El evento, centrado en la segregación de funciones en los procesos de negocio de las organizaciones, se celebró en Madrid y contó con la presencia de responsables de sistemas de información, de seguridad y directores de auditoría de sistemas de información de las principales compañías de los sectores energéticos, seguros, construcción y servicios, entre otros, lo cual puso de manifiesto que la segregación de funciones es un aspecto que despierta gran preocupación entre las organizaciones, independientemente de su sector.
Base del control interno
En el foro, se destacó cómo, toda iniciativa de definición e implantación de una correcta segregación de funciones tiene que adoptarse como base de una mejora en el modelo de control interno de las organizaciones. Los asistentes coincidieron en que no existe un único modelo de segregación de funciones aplicable a todas las compañías. Cada modelo debe partir de una robusta política de seguridad de la información, junto con una clara definición de las funciones y responsabilidades de los puestos de trabajo para, a partir de modelos básicos, seguir profundizando y adaptándolos a los procesos de negocio de cada organización, apoyándose en herramientas como SAP GRC, que permiten la automatización del modelo de segregación de funciones desarrollado.
Quién es quién en un proyecto de segregación
Cualquier proyecto de definición e implementación de un modelo de segregación de funciones tiene que tener un claro apoyo de la dirección, ya que se trata de iniciativas que requieren un grado de implicación importante de todas las áreas afectadas. Precisamente en el foro fue motivo de debate el grado de implicación necesario de los responsables de los procesos de negocio, asumiendo que tiene que ser muy alto, ya que son los principales conocedores de sus procesos y de las actividades críticas.
Por otro lado, fue muy discutido el papel que deben adoptar frente a este tipo de proyectos las áreas de sistemas y de seguridad, ya que éstos son encargados a estas áreas de forma sistemática. Una de las principales conclusiones a las que se llegó en este aspecto fue que las áreas de sistemas o seguridad deben servir como apoyo, ya que serán las que configuren e implanten la herramienta seleccionada, pero quien realmente debe liderar este tipo de iniciativas y coordinar la implicación de cada una de las áreas en las distintas fases debe ser el departamento de control interno. Donde no hubo tanto consenso fue sobre quién debe mantener el sistema de segregación de funciones una vez definido e implantado.
Cambios en los procesos de negocio
Uno de los problemas presentados por los representantes de las empresas del sector de la construcción a la hora de la adopción de un modelo de segregación de funciones común dentro de sus entidades es la diferencia existente entre los procesos de negocio en las diversas organizaciones que forman sus grupos, así como la divergencia cultural existente en organizaciones de ámbito internacional, surgidos a partir de las adquisiciones. Tal y como exponían, el principal reto al que se enfrentaban las compañías no es la definición de un modelo de segregación de funciones común, que puede que ya exista, sino el cambio en los procesos de negocio de aquellas compañías no alineadas con ese modelo común. Estos cambios en los procesos de negocio, que pueden haber estado vigentes durante años, son difíciles de implantar, principalmente por la resistencia al cambio mostrada por las compañías. En estos casos, tal y como fue comentado por los asistentes, una buena estrategia de comunicación basada en presentar los cambios como una mejora real será clave para conseguir vencer esa reticencia inicial.
Concesión de privilegios
Uno de los aspectos que más preocupan en la administración de los sistemas ERP, y en concreto en SAP, es el uso que se realiza de los privilegios críticos del sistema.
La granularidad del modelo de seguridad en SAP, y una falta de conocimiento del mismo por parte de los administradores de sistemas, se presentan como dos de los aspectos esenciales a cubrir a la hora de controlar el uso de usuarios con privilegios críticos, especialmente desde el punto de vista de la auditoría.
El área de control interno mostró especial preocupación en los procesos de migración e implantación de nuevos sistemas, ya que en esta cuestión, se ha optado por una práctica extensiva en la concesión de privilegios, anteponiendo las necesidades operativas a las necesidades de control a la hora de otorgar privilegios a los usuarios. Frecuentemente, éstos no son retirados con posterioridad, por lo que se siguen manteniendo usuarios con privilegios críticos que no son precisos.
Por ello, además de establecer un modelo de segregación de funciones adecuado, es necesario dotar a las áreas de control de las organizaciones de herramientas que permitan controlar el uso de los privilegios críticos sobre el sistema, como pueden ser las acciones de cierres o inicios de periodos contables o pagos de las nóminas, cuya ejecución debe estar restringida a usuarios concretos dentro de las organizaciones y ejecutadas en momentos puntuales.
Gestión de roles: hacia el cumplimiento continuo
Sin excepción entre los participantes, todos coincidieron en que la implantación de un modelo de segregación de funciones es algo costoso para las organizaciones, tanto económicamente como en recursos y tiempo, por lo que no debe ser ‘flor de un día’, sino que tiene que mantenerse a lo largo del tiempo.
Ejemplos de esta situación fueron presentados por compañías del sector energético, que habrán finalizado proyectos de redefinición de roles que no vieron continuidad a lo largo del proceso, lo que provocó que pasado el tiempo la situación volviera a ser la inicial.
Es necesaria una evolución en los procesos de gestión de privilegios, de forma que pasemos de sistemas de provisión de usuarios, donde a cada uno se le asignaban dichos privilegios de acceso individualmente, a un proceso de gestión de roles, que nos permita mantener la segregación de funciones a lo largo del tiempo. El uso de herramientas automatizadas, como SAP GRC, que permitan la detección temprana de conflictos de segregación de funciones antes de la provisión de los accesos a los usuarios, unidos a procedimientos robustos para el mantenimiento del modelo definido frente a cambios en los procesos de negocio de las organizaciones, se presentaron como los aspectos clave en todas las organizaciones para el mantenimiento en el tiempo de la segregación de funciones.
Principales conclusiones
El establecimiento de una adecuada segregación de funciones se ha convertido en uno de los pilares básicos del modelo de control interno de las organizaciones, y por tanto, debe considerarse dentro del plan de gestión de riesgos de las mismas, tal y co
El evento, centrado en la segregación de funciones en los procesos de negocio de las organizaciones, se celebró en Madrid y contó con la presencia de responsables de sistemas de información, de seguridad y directores de auditoría de sistemas de información de las principales compañías de los sectores energéticos, seguros, construcción y servicios, entre otros, lo cual puso de manifiesto que la segregación de funciones es un aspecto que despierta gran preocupación entre las organizaciones, independientemente de su sector.
Base del control interno
En el foro, se destacó cómo, toda iniciativa de definición e implantación de una correcta segregación de funciones tiene que adoptarse como base de una mejora en el modelo de control interno de las organizaciones. Los asistentes coincidieron en que no existe un único modelo de segregación de funciones aplicable a todas las compañías. Cada modelo debe partir de una robusta política de seguridad de la información, junto con una clara definición de las funciones y responsabilidades de los puestos de trabajo para, a partir de modelos básicos, seguir profundizando y adaptándolos a los procesos de negocio de cada organización, apoyándose en herramientas como SAP GRC, que permiten la automatización del modelo de segregación de funciones desarrollado.
Quién es quién en un proyecto de segregación
Cualquier proyecto de definición e implementación de un modelo de segregación de funciones tiene que tener un claro apoyo de la dirección, ya que se trata de iniciativas que requieren un grado de implicación importante de todas las áreas afectadas. Precisamente en el foro fue motivo de debate el grado de implicación necesario de los responsables de los procesos de negocio, asumiendo que tiene que ser muy alto, ya que son los principales conocedores de sus procesos y de las actividades críticas.
Por otro lado, fue muy discutido el papel que deben adoptar frente a este tipo de proyectos las áreas de sistemas y de seguridad, ya que éstos son encargados a estas áreas de forma sistemática. Una de las principales conclusiones a las que se llegó en este aspecto fue que las áreas de sistemas o seguridad deben servir como apoyo, ya que serán las que configuren e implanten la herramienta seleccionada, pero quien realmente debe liderar este tipo de iniciativas y coordinar la implicación de cada una de las áreas en las distintas fases debe ser el departamento de control interno. Donde no hubo tanto consenso fue sobre quién debe mantener el sistema de segregación de funciones una vez definido e implantado.
Cambios en los procesos de negocio
Uno de los problemas presentados por los representantes de las empresas del sector de la construcción a la hora de la adopción de un modelo de segregación de funciones común dentro de sus entidades es la diferencia existente entre los procesos de negocio en las diversas organizaciones que forman sus grupos, así como la divergencia cultural existente en organizaciones de ámbito internacional, surgidos a partir de las adquisiciones. Tal y como exponían, el principal reto al que se enfrentaban las compañías no es la definición de un modelo de segregación de funciones común, que puede que ya exista, sino el cambio en los procesos de negocio de aquellas compañías no alineadas con ese modelo común. Estos cambios en los procesos de negocio, que pueden haber estado vigentes durante años, son difíciles de implantar, principalmente por la resistencia al cambio mostrada por las compañías. En estos casos, tal y como fue comentado por los asistentes, una buena estrategia de comunicación basada en presentar los cambios como una mejora real será clave para conseguir vencer esa reticencia inicial.
Concesión de privilegios
Uno de los aspectos que más preocupan en la administración de los sistemas ERP, y en concreto en SAP, es el uso que se realiza de los privilegios críticos del sistema.
La granularidad del modelo de seguridad en SAP, y una falta de conocimiento del mismo por parte de los administradores de sistemas, se presentan como dos de los aspectos esenciales a cubrir a la hora de controlar el uso de usuarios con privilegios críticos, especialmente desde el punto de vista de la auditoría.
El área de control interno mostró especial preocupación en los procesos de migración e implantación de nuevos sistemas, ya que en esta cuestión, se ha optado por una práctica extensiva en la concesión de privilegios, anteponiendo las necesidades operativas a las necesidades de control a la hora de otorgar privilegios a los usuarios. Frecuentemente, éstos no son retirados con posterioridad, por lo que se siguen manteniendo usuarios con privilegios críticos que no son precisos.
Por ello, además de establecer un modelo de segregación de funciones adecuado, es necesario dotar a las áreas de control de las organizaciones de herramientas que permitan controlar el uso de los privilegios críticos sobre el sistema, como pueden ser las acciones de cierres o inicios de periodos contables o pagos de las nóminas, cuya ejecución debe estar restringida a usuarios concretos dentro de las organizaciones y ejecutadas en momentos puntuales.
Gestión de roles: hacia el cumplimiento continuo
Sin excepción entre los participantes, todos coincidieron en que la implantación de un modelo de segregación de funciones es algo costoso para las organizaciones, tanto económicamente como en recursos y tiempo, por lo que no debe ser ‘flor de un día’, sino que tiene que mantenerse a lo largo del tiempo.
Ejemplos de esta situación fueron presentados por compañías del sector energético, que habrán finalizado proyectos de redefinición de roles que no vieron continuidad a lo largo del proceso, lo que provocó que pasado el tiempo la situación volviera a ser la inicial.
Es necesaria una evolución en los procesos de gestión de privilegios, de forma que pasemos de sistemas de provisión de usuarios, donde a cada uno se le asignaban dichos privilegios de acceso individualmente, a un proceso de gestión de roles, que nos permita mantener la segregación de funciones a lo largo del tiempo. El uso de herramientas automatizadas, como SAP GRC, que permitan la detección temprana de conflictos de segregación de funciones antes de la provisión de los accesos a los usuarios, unidos a procedimientos robustos para el mantenimiento del modelo definido frente a cambios en los procesos de negocio de las organizaciones, se presentaron como los aspectos clave en todas las organizaciones para el mantenimiento en el tiempo de la segregación de funciones.
Principales conclusiones
El establecimiento de una adecuada segregación de funciones se ha convertido en uno de los pilares básicos del modelo de control interno de las organizaciones, y por tanto, debe considerarse dentro del plan de gestión de riesgos de las mismas, tal y co
