10º ENAI | ConocimientoGlobalizado | 21 y 22 de Mayo | Buenos Aires | Argentina Segregación de Funciones Dentro y Fuera de los Sistemas Lo que un Auditor Interno no puede dejar de ver… Luis Romero Director (GRC – Governance, Risk & Compliance) BDO Argentina Luis Romero • BDO Argentina, Director en GRC| Governance, Risk & Compliance. • Contador Público, Universidad Nacional de La Matanza • Master en Auditoria de Sistemas, Universidad del Salvador • CEC – Profesional con Certificación Internacional en Ética y Compliance, (Asociación Argentina de Ética y Compliance – Universidad del CEMA). • Se desempeña desde hace más de diez años en servicios de Auditoría Interna, Control Interno y Reingeniería de Procesos. • Especialista en Auditoría Continua y análisis de Segregación de Funciones a través de plataformas BI. • Referente en proyectos de Control Interno para la implementación de nuevos negocios, incluyendo el análisis de incompatibilidad de funciones y definición de controles mitigantes. Capacitador para BDO a nivel regional sobre los temas de su especialidad. 10º ENAI | ConocimientoGlobalizado | 21 y 22 de Mayo | Buenos Aires | Argentina 3 Un caso de la vida real........ 3 2 Se puede demostrar que los privilegios de Juan Pérez son los apropiados? CSO Auditor Podrías verificar si el perfil asignado a Juan Pérez es el adecuado? 4 Puedo decirte qué permisos tiene JP en este momento, pero no se si son los apropiados 5 Podrías verificar si el perfil asignado a JP (de tu gerencia) es el correcto? Administrador 1 Estamos cumpliendo con los requerimientos de la Legislación SOX? 6 CFO ¡?¡?, Aguarden que haga un curso de SAP para comprender qué son estos códigos Gerente de área de negocio EL DESAFÍO: Visibilidad a los decisores Incorporar un proceso continuo 10º ENAI | ConocimientoGlobalizado | 21 y 22 de Mayo | Buenos Aires | Argentina 4 Agenda Conceptos. SoD. Roles, Perfiles, Permisos Peligros. Riesgos de errores, omisiones, irregularidade s y fraudes Cómo abordar un proyecto de revisión “spot” y una reingeniería 10º ENAI | ConocimientoGlobalizado | 21 y 22 de Mayo | Buenos Aires | Argentina 5 Agenda Conceptos. SoD. Roles, Perfiles, Permisos Peligros. Riesgos de errores, omisiones, irregularidade s y fraudes Cómo abordar un proyecto de revisión “spot” y una reingeniería 10º ENAI | ConocimientoGlobalizado | 21 y 22 de Mayo | Buenos Aires | Argentina 6 Conceptos. SoD, Roles, Perfiles, Permisos Segregación de funciones (SoD) Es un control interno básico que busca asegurar que ninguna persona tenga la autoridad para ejecutar dos o más transacciones sensibles en conflicto que podrían: • Afectar la información de los EECC • Facilitar el fraude en una organización Limitaciones Inherentes Controles Compensatorios 10º ENAI | ConocimientoGlobalizado | 21 y 22 de Mayo | Buenos Aires | Argentina Conceptos. SoD, Roles, Perfiles, Permisos Iniciar una transacción Aprobar una transacción Registrar una transacción Conciliar saldos Custodiar activos 7 10º ENAI | ConocimientoGlobalizado | 21 y 22 de Mayo | Buenos Aires | Argentina Conceptos. SoD, Roles, Perfiles, Permisos PERFILES: Requerimientos o requisitos que necesita una persona para que se le asigne un rol. ROL: Vinculado a la función o papel que cumple alguien o algo. En un sistema informático un rol es una colección de permisos definida para todo el sistema que puede asignar a usuarios específicos en contextos específicos. PERMISOS: son las acciones concretas que se asignan sobre uno o más recursos/transacciones del sistema. Perfil Rol Permisos 8 10º ENAI | ConocimientoGlobalizado | 21 y 22 de Mayo | Buenos Aires | Argentina 9 Agenda Conceptos. SoD. Roles, Perfiles, Permisos Peligros. Riesgos de errores, omisiones, irregularidade s y fraudes Cómo abordar un proyecto de revisión “spot” y una reingeniería 10º ENAI | ConocimientoGlobalizado | 21 y 22 de Mayo | Buenos Aires | Argentina 10 Distintos Sistemas. Un enfoque que trasciende el ERP P2P ABM Datos Maestros O2C R2R ABM Datos Maestros Conciliación Bancaria Procesamiento Solicitudes Procesamiento OC Procesamiento Facturas Administración de pagos Procesamiento OV Contabilidad AAFF Despacho Contabilidad Intercompany Facturación Gastos y Rendiciones Inventarios Conciliacion P&C Cobranzas HR Administration IT Infraestructure Impuestos Reportes 10º ENAI | ConocimientoGlobalizado | 21 y 22 de Mayo | Buenos Aires | Argentina 11 Distintos Sistemas. Un enfoque que trasciende el ERP Trans 1 Asignación Usuario - Rol Asignación Rol - Permiso Control de Acceso Proceso Trans 2 Trans 3 ROL “A” Trans 1 Control de Acceso Proceso ROL “B” Trans 2 Trans 3 Trans 1 Control de Acceso Proceso Control de Acceso Proceso Trans 2 ROL “C” Trans 1 Trans 2 Trans 1 Administración de Permisos y Accesos Control de Acceso Proceso Trans 2 Trans 3 Enfoque RBAC USUARIOS RECURSOS 10º ENAI | ConocimientoGlobalizado | 21 y 22 de Mayo | Buenos Aires | Argentina 12 Distintos Sistemas. Un enfoque que trasciende el ERP VENTAJAS Mejor control de los accesos sobre los recursos. Las reglas del negocio controlan los accesos sobres los recursos. Reduce los tiempos de Administración. Incrementa la productividad y eficiencia Rápida respuesta ante cambios en la organización 10º ENAI | ConocimientoGlobalizado | 21 y 22 de Mayo | Buenos Aires | Argentina 13 Agenda Conceptos. SoD. Roles, Perfiles, Permisos Peligros. Riesgos de errores, omisiones, irregularidade s y fraudes Cómo abordar un proyecto de revisión “spot” y una reingeniería 10º ENAI | ConocimientoGlobalizado | 21 y 22 de Mayo | Buenos Aires | Argentina Peligros. Riesgos de errores, omisiones, irregularidades y fraudes • Modelos distribuidos. Mayor esfuerzos • Administración vía “CLON” • ¿Todos son superusuarios? • Disyuntiva habitual: Tecnología vs negocio • Bajo nivel de registro de eventos de seguridad • Implementación = control por oposición 14 10º ENAI | ConocimientoGlobalizado | 21 y 22 de Mayo | Buenos Aires | Argentina Peligros. Riesgos de errores, omisiones, irregularidades y fraudes • PELIGRO: roles hechos a medida del usuario • Existencia de roles especiales que contengan estas transacciones • Auditoria Interna: ¿Juez y Parte? • Las decisiones de cambios SON de los dueños de la información • Actualización adecuada • Administrador de roles y perfiles <> mantenimiento del maestro de usuarios 15 10º ENAI | ConocimientoGlobalizado | 21 y 22 de Mayo | Buenos Aires | Argentina Peligros. Riesgos de errores, omisiones, irregularidades y fraudes • Exposición al fraude por falta de un monitoreo continuo • SAP = 3 capas de seguridad 16 10º ENAI | ConocimientoGlobalizado | 21 y 22 de Mayo | Buenos Aires | Argentina 17 Agenda Conceptos. SoD. Roles, Perfiles, Permisos Peligros. Riesgos de errores, omisiones, irregularidade s y fraudes Cómo abordar un proyecto de revisión “spot” y una reingeniería 10º ENAI | ConocimientoGlobalizado | 21 y 22 de Mayo | Buenos Aires | Argentina 18 3 X 3 X 4 X 4 X 4 X 5 X 5 X 5 X AP Voucher Entry a AP Payments b 3 X AP Clear Vendor Acct. c 3 X Vendor Mast. Maint. FI d 4 X 5 X Vendor Mast. Maint. MM e 4 X 5 X Vendor Mast. Maint. CEN f 4 X 5 X Bank Reconciliation g AR Cash Application h AR Clear Customer Acct. i Material Master Maint. j h 6 X 7 X 7 X 6 X 6 X 6 X Material Master Maint. g AR Cash Application f Vendor Mast. Maint. MM e Vendor Mast. Maint. FI d AP Clear Vendor Acct. c AP Payments b AR Clear Customer Acct. a Bank Reconciliation Grp Vendor Mast. Maint. CEN Task Group Description AP Voucher Entry Task Group Description Matriz SoD i j 10º ENAI | ConocimientoGlobalizado | 21 y 22 de Mayo | Buenos Aires | Argentina Matriz SoD REF. RISK DESCRIPTION 1 Un usuario puede publicar o cambiar una recepción de bienes/servicios incorrecta/ficticia y registrar documentos contables para su posterior pago. También es posible la registración de mercaderia en defecto y registrar una nota de crédito/descuento ficticios. 2 Un usuario puede registrar o cambiar una recepción de bienes/servicios en defecto y generar una orden de pago a fin de cancelar la factura correcta y ocultar el engaño 3 Un usuario puede registrar o cambiar una factura/nota de débito ficticia y generar el pago/compensación a fin de cancelar el documento. 4 Un usuario puede registrar, publicar o cambiar proveedores no autorizados/ficticios/reales y registrar documentos contables para su posterior pago. Posterior al pago el usuario podria bloquear o borrar el mismo para ocultar el engaño. 5 Un usuario puede publicar o cambiar proveedores ficticios/reales y generar pagos. Posterior al pago el usuario podria bloquear o borrar el mismo para ocultar el engaño. 6 Un usuario puede registrar cobros/pagos ficticios y conciliar posteriormente contra los movimientos reales del banco ocultando el engaño. 7 Un usuario puede ingresar datos incorrectos por desconocimiento, lo cual impactaría en las consecuentes transacciones que apliquen al mismo. 19 10º ENAI | ConocimientoGlobalizado | 21 y 22 de Mayo | Buenos Aires | Argentina Matriz SoD 20 10º ENAI | ConocimientoGlobalizado | 21 y 22 de Mayo | Buenos Aires | Argentina 21 Agenda Conceptos. SoD. Roles, Perfiles, Permisos Peligros. Riesgos de errores, omisiones, irregularidade s y fraudes Cómo abordar un proyecto de revisión “spot” y una reingeniería 10º ENAI | ConocimientoGlobalizado | 21 y 22 de Mayo | Buenos Aires | Argentina Como abordar un proyecto Nuevos Roles Operativos Construcción de nuevos roles 5 Obtención de GAPS Análisis de Incompatibilidades 4 3 2 Análisis de Procesos Planificación y Organización 1 22 10º ENAI | ConocimientoGlobalizado | 21 y 22 de Mayo | Buenos Aires | Argentina 23 Como abordar un proyecto Nuevos Roles Operativos Planificación y Organización Actividades Involucradas Construcción de nuevos roles • Obtención de la información disponible • Comprensión de los sectores / áreas / locaciones sujetos a revisión • Identificación de los puestos que requieren relevados • Calendarización de entrevistas • Planificación detallada • Kick off meeting 5 Obtención de GAPS Análisis de Incompatibilidades 4 3 2 Entregables Análisis de Procesos 1 23 • Planificación detallada • Documento de Lanzamiento de Proyecto 10º ENAI | ConocimientoGlobalizado | 21 y 22 de Mayo | Buenos Aires | Argentina 24 Como abordar un proyecto Nuevos Roles Operativos Análisis de Procesos Actividades Involucradas Construcción de nuevos roles • Análisis de Procesos y funciones Autorrelevamientos y Entrevistas • Análisis situación actual ERP/sistemas • Triple check 5 Obtención de GAPS Análisis de Incompatibilidades 4 3 2 Planificación y Organización 1 24 Entregables • Diagnóstico de situación actual (“as is”) • Job description técnico 10º ENAI | ConocimientoGlobalizado | 21 y 22 de Mayo | Buenos Aires | Argentina 25 Como abordar un proyecto Nuevos Roles Operativos Análisis de Incompatibilidades Actividades Involucradas Construcción de nuevos roles • Identificación de situaciones inconvenientes • Análisis de permisos 5 Obtención de GAPS 4 3 2 Análisis de Procesos Planificación y Organización 1 25 Entregables • Informe de avance 10º ENAI | ConocimientoGlobalizado | 21 y 22 de Mayo | Buenos Aires | Argentina 26 Como abordar un proyecto Nuevos Roles Operativos Obtención de Gaps Actividades Involucradas Construcción de nuevos roles • Identificación de las debilidades de perfiles • Validación y Ajustes 5 Análisis de Incompatibilidades 4 3 2 Análisis de Procesos Planificación y Organización 1 26 Entregables • Matriz de Roles / Perfiles / Transacciones • Identificación de incompatibilidades y sus riesgos • Plan de acción validado 10º ENAI | ConocimientoGlobalizado | 21 y 22 de Mayo | Buenos Aires | Argentina 27 Como abordar un proyecto Nuevos Roles Operativos Construcción de Nuevos Roles Actividades Involucradas • • • • 5 Obtención de GAPS Análisis de Incompatibilidades Desarrollo de Nuevos Roles / Perfiles Elaboración de procedimiento ABM Validación Capacitación 4 3 2 Análisis de Procesos Planificación y Organización 1 27 Entregables • Documentación nuevos roles para su construcción en ERP • Procedimientos mejorados 10º ENAI | ConocimientoGlobalizado | 21 y 22 de Mayo | Buenos Aires | Argentina 28 Agenda Conceptos. SoD. Roles, Perfiles, Permisos Peligros. Riesgos de errores, omisiones, irregularidade s y fraudes Cómo abordar un proyecto de revisión “spot” y una reingeniería 10º ENAI | ConocimientoGlobalizado | 21 y 22 de Mayo | Buenos Aires | Argentina Metodología – La tecnología mas terrenal SOLUCIONES OFICIALES APLICACIONES ALTERNATIVAS HERRAMIENTAS BI HERRAMIENTAS BPM + DESARROLLO A MEDIDA OFIMÁTICA + “ISSUE TRACKER OPEN SOURCE” 29 10º ENAI | ConocimientoGlobalizado | 21 y 22 de Mayo | Buenos Aires | Argentina Top Ten de Problemas SoD Procesar orden de venta + Procesamiento de entrega Generar orden de compra + Procesar ingresos de mercaderías/servicios Mantenimiento de descuentos/promociones + Generar factura de venta Mantenimiento de datos maestros de clientes + Crear contratos Mantenimiento de datos maestros de materiales + Generar solicitud de pedido 30 10º ENAI | ConocimientoGlobalizado | 21 y 22 de Mayo | Buenos Aires | Argentina Top Ten de Problemas SoD Ingresar asientos contables + Abrir períodos contables Procesamiento manual de cheques + Conciliación bancaria Realizar movimiento de mercaderías + Ajustes de inventarios Procesar orden de venta + Generar factura de venta Usuarios del área de IT “transaccionando” en producción 31 10º ENAI | ConocimientoGlobalizado | 21 y 22 de Mayo | Buenos Aires | Argentina 32 ¡Muchas Gracias por su atención! Email: luisromero@bdoargentina.com Teléfono: (54 11) 4106 7000 / 5274-5100 Página web: www.bdoargentina.com