Subido por Roberto Bravo

Segregación de Funciones Dentro y Fuera de los Sistemas Lo que un Auditor Interno no puede dejar de ver

Anuncio
10º ENAI | ConocimientoGlobalizado
|
21 y 22 de Mayo | Buenos Aires | Argentina
Segregación de Funciones
Dentro y Fuera de los Sistemas
Lo que un Auditor Interno no puede dejar de ver…
Luis Romero
Director
(GRC – Governance, Risk & Compliance)
BDO Argentina
Luis Romero
• BDO Argentina, Director en GRC| Governance, Risk & Compliance.
• Contador Público, Universidad Nacional de La Matanza
• Master en Auditoria de Sistemas, Universidad del Salvador
• CEC – Profesional con Certificación Internacional en Ética y
Compliance, (Asociación Argentina de Ética y Compliance –
Universidad del CEMA).
• Se desempeña desde hace más de diez años en servicios de Auditoría Interna, Control Interno
y Reingeniería de Procesos.
• Especialista en Auditoría Continua y análisis de Segregación de Funciones a través de
plataformas BI.
• Referente en proyectos de Control Interno para la implementación de nuevos negocios,
incluyendo el análisis de incompatibilidad de funciones y definición de controles mitigantes.
Capacitador para BDO a nivel regional sobre los temas de su especialidad.
10º ENAI | ConocimientoGlobalizado | 21 y 22 de Mayo | Buenos Aires | Argentina
3
Un caso de la vida real........
3
2
Se puede
demostrar que los
privilegios de Juan
Pérez son los
apropiados?
CSO
Auditor
Podrías
verificar si el
perfil asignado
a Juan Pérez es
el adecuado?
4
Puedo decirte qué permisos tiene
JP en este momento, pero no se
si son los apropiados
5
Podrías verificar si el perfil
asignado a JP (de tu gerencia)
es el correcto?
Administrador
1
Estamos
cumpliendo con los
requerimientos de
la Legislación SOX?
6
CFO
¡?¡?, Aguarden
que haga un
curso de SAP
para
comprender qué
son estos
códigos
Gerente de
área de
negocio
EL DESAFÍO:
 Visibilidad a los decisores
 Incorporar un proceso
continuo
10º ENAI | ConocimientoGlobalizado | 21 y 22 de Mayo | Buenos Aires | Argentina
4
Agenda
Conceptos.
SoD. Roles,
Perfiles,
Permisos
Peligros.
Riesgos de
errores,
omisiones,
irregularidade
s y fraudes
Cómo
abordar un
proyecto de
revisión
“spot” y una
reingeniería
10º ENAI | ConocimientoGlobalizado | 21 y 22 de Mayo | Buenos Aires | Argentina
5
Agenda
Conceptos.
SoD. Roles,
Perfiles,
Permisos
Peligros.
Riesgos de
errores,
omisiones,
irregularidade
s y fraudes
Cómo
abordar un
proyecto de
revisión
“spot” y una
reingeniería
10º ENAI | ConocimientoGlobalizado | 21 y 22 de Mayo | Buenos Aires | Argentina
6
Conceptos. SoD, Roles, Perfiles, Permisos
Segregación de funciones (SoD)
Es un control interno básico que busca asegurar que ninguna persona tenga la
autoridad para ejecutar dos o más transacciones sensibles en conflicto que podrían:
•
Afectar la información de los EECC
•
Facilitar el fraude en una organización
Limitaciones
Inherentes
Controles
Compensatorios
10º ENAI | ConocimientoGlobalizado | 21 y 22 de Mayo | Buenos Aires | Argentina
Conceptos. SoD, Roles, Perfiles, Permisos
Iniciar una
transacción
Aprobar una
transacción
Registrar
una
transacción
Conciliar
saldos
Custodiar
activos
7
10º ENAI | ConocimientoGlobalizado | 21 y 22 de Mayo | Buenos Aires | Argentina
Conceptos. SoD, Roles, Perfiles, Permisos
 PERFILES: Requerimientos o requisitos que necesita una persona para que se le
asigne un rol.
 ROL: Vinculado a la función o papel que cumple alguien o algo. En un sistema
informático un rol es una colección de permisos definida para todo el sistema que
puede asignar a usuarios específicos en contextos específicos.
 PERMISOS: son las acciones concretas que se asignan sobre uno o más
recursos/transacciones del sistema.
Perfil
Rol
Permisos
8
10º ENAI | ConocimientoGlobalizado | 21 y 22 de Mayo | Buenos Aires | Argentina
9
Agenda
Conceptos.
SoD. Roles,
Perfiles,
Permisos
Peligros.
Riesgos de
errores,
omisiones,
irregularidade
s y fraudes
Cómo
abordar un
proyecto de
revisión
“spot” y una
reingeniería
10º ENAI | ConocimientoGlobalizado | 21 y 22 de Mayo | Buenos Aires | Argentina
10
Distintos Sistemas. Un enfoque que trasciende el ERP
P2P
ABM Datos Maestros
O2C
R2R
ABM Datos Maestros
Conciliación Bancaria
Procesamiento
Solicitudes
Procesamiento OC
Procesamiento
Facturas
Administración de
pagos
Procesamiento OV
Contabilidad AAFF
Despacho
Contabilidad
Intercompany
Facturación
Gastos y Rendiciones
Inventarios
Conciliacion P&C
Cobranzas
HR Administration
IT Infraestructure
Impuestos
Reportes
10º ENAI | ConocimientoGlobalizado | 21 y 22 de Mayo | Buenos Aires | Argentina
11
Distintos Sistemas. Un enfoque que trasciende el ERP
Trans 1
Asignación
Usuario - Rol
Asignación
Rol - Permiso
Control de
Acceso
Proceso
Trans 2
Trans 3
ROL “A”
Trans 1
Control de
Acceso
Proceso
ROL “B”
Trans 2
Trans 3
Trans 1
Control de
Acceso
Proceso
Control de
Acceso
Proceso
Trans 2
ROL “C”
Trans 1
Trans 2
Trans 1
Administración de
Permisos y Accesos
Control de
Acceso
Proceso
Trans 2
Trans 3
Enfoque
RBAC
USUARIOS
RECURSOS
10º ENAI | ConocimientoGlobalizado | 21 y 22 de Mayo | Buenos Aires | Argentina
12
Distintos Sistemas. Un enfoque que trasciende el ERP
VENTAJAS
 Mejor control de los accesos sobre los recursos.
 Las reglas del negocio controlan los accesos sobres los recursos.
 Reduce los tiempos de Administración.
 Incrementa la productividad y eficiencia
 Rápida respuesta ante cambios en la organización
10º ENAI | ConocimientoGlobalizado | 21 y 22 de Mayo | Buenos Aires | Argentina
13
Agenda
Conceptos.
SoD. Roles,
Perfiles,
Permisos
Peligros.
Riesgos de
errores,
omisiones,
irregularidade
s y fraudes
Cómo
abordar un
proyecto de
revisión
“spot” y una
reingeniería
10º ENAI | ConocimientoGlobalizado | 21 y 22 de Mayo | Buenos Aires | Argentina
Peligros. Riesgos de errores, omisiones,
irregularidades y fraudes
•
Modelos distribuidos. Mayor esfuerzos
•
Administración vía “CLON”
•
¿Todos son superusuarios?
•
Disyuntiva habitual: Tecnología vs negocio
•
Bajo nivel de registro de eventos de seguridad
•
Implementación = control por oposición
14
10º ENAI | ConocimientoGlobalizado | 21 y 22 de Mayo | Buenos Aires | Argentina
Peligros. Riesgos de errores, omisiones,
irregularidades y fraudes
•
PELIGRO: roles hechos a medida del usuario
•
Existencia de roles especiales que contengan estas transacciones
•
Auditoria Interna: ¿Juez y Parte?
•
Las decisiones de cambios SON de los dueños de la información
•
Actualización adecuada
•
Administrador de roles y perfiles <> mantenimiento del maestro de usuarios
15
10º ENAI | ConocimientoGlobalizado | 21 y 22 de Mayo | Buenos Aires | Argentina
Peligros. Riesgos de errores, omisiones,
irregularidades y fraudes
•
Exposición al fraude por falta de un monitoreo continuo
•
SAP = 3 capas de seguridad
16
10º ENAI | ConocimientoGlobalizado | 21 y 22 de Mayo | Buenos Aires | Argentina
17
Agenda
Conceptos.
SoD. Roles,
Perfiles,
Permisos
Peligros.
Riesgos de
errores,
omisiones,
irregularidade
s y fraudes
Cómo
abordar un
proyecto de
revisión
“spot” y una
reingeniería
10º ENAI | ConocimientoGlobalizado | 21 y 22 de Mayo | Buenos Aires | Argentina
18
3
X
3
X
4
X
4
X
4
X
5
X
5
X
5
X
AP Voucher Entry
a
AP Payments
b
3
X
AP Clear Vendor Acct.
c
3
X
Vendor Mast. Maint. FI
d
4
X
5
X
Vendor Mast. Maint. MM
e
4
X
5
X
Vendor Mast. Maint. CEN
f
4
X
5
X
Bank Reconciliation
g
AR Cash Application
h
AR Clear Customer Acct.
i
Material Master Maint.
j
h
6
X
7
X
7
X
6
X
6
X
6
X
Material Master Maint.
g
AR Cash Application
f
Vendor Mast. Maint. MM
e
Vendor Mast. Maint. FI
d
AP Clear Vendor Acct.
c
AP Payments
b
AR Clear Customer Acct.
a
Bank Reconciliation
Grp
Vendor Mast. Maint. CEN
Task Group Description
AP Voucher Entry
Task Group Description
Matriz SoD
i
j
10º ENAI | ConocimientoGlobalizado | 21 y 22 de Mayo | Buenos Aires | Argentina
Matriz SoD
REF.
RISK DESCRIPTION
1 Un usuario puede publicar o cambiar una recepción de bienes/servicios incorrecta/ficticia y
registrar documentos contables para su posterior pago. También es posible la registración de
mercaderia en defecto y registrar una nota de crédito/descuento ficticios.
2 Un usuario puede registrar o cambiar una recepción de bienes/servicios en defecto y generar una
orden de pago a fin de cancelar la factura correcta y ocultar el engaño
3 Un usuario puede registrar o cambiar una factura/nota de débito ficticia y generar el
pago/compensación a fin de cancelar el documento.
4 Un usuario puede registrar, publicar o cambiar proveedores no autorizados/ficticios/reales y
registrar documentos contables para su posterior pago. Posterior al pago el usuario podria bloquear
o borrar el mismo para ocultar el engaño.
5 Un usuario puede publicar o cambiar proveedores ficticios/reales y generar pagos. Posterior al pago
el usuario podria bloquear o borrar el mismo para ocultar el engaño.
6 Un usuario puede registrar cobros/pagos ficticios y conciliar posteriormente contra los movimientos
reales del banco ocultando el engaño.
7 Un usuario puede ingresar datos incorrectos por desconocimiento, lo cual impactaría en las
consecuentes transacciones que apliquen al mismo.
19
10º ENAI | ConocimientoGlobalizado | 21 y 22 de Mayo | Buenos Aires | Argentina
Matriz SoD
20
10º ENAI | ConocimientoGlobalizado | 21 y 22 de Mayo | Buenos Aires | Argentina
21
Agenda
Conceptos.
SoD. Roles,
Perfiles,
Permisos
Peligros.
Riesgos de
errores,
omisiones,
irregularidade
s y fraudes
Cómo
abordar un
proyecto de
revisión
“spot” y una
reingeniería
10º ENAI | ConocimientoGlobalizado | 21 y 22 de Mayo | Buenos Aires | Argentina
Como abordar un proyecto
Nuevos Roles
Operativos
Construcción de nuevos roles
5
Obtención
de GAPS
Análisis de
Incompatibilidades
4
3
2
Análisis de
Procesos
Planificación
y
Organización
1
22
10º ENAI | ConocimientoGlobalizado | 21 y 22 de Mayo | Buenos Aires | Argentina
23
Como abordar un proyecto
Nuevos Roles
Operativos
Planificación y Organización
Actividades Involucradas
Construcción de nuevos roles
• Obtención de la información disponible
• Comprensión de los sectores / áreas /
locaciones sujetos a revisión
• Identificación de los puestos que
requieren relevados
• Calendarización de entrevistas
• Planificación detallada
• Kick off meeting
5
Obtención
de GAPS
Análisis de
Incompatibilidades
4
3
2
Entregables
Análisis de
Procesos
1
23
• Planificación detallada
• Documento de Lanzamiento de
Proyecto
10º ENAI | ConocimientoGlobalizado | 21 y 22 de Mayo | Buenos Aires | Argentina
24
Como abordar un proyecto
Nuevos Roles
Operativos
Análisis de Procesos
Actividades Involucradas
Construcción de nuevos roles
• Análisis de Procesos y funciones Autorrelevamientos y Entrevistas
• Análisis situación actual ERP/sistemas
• Triple check
5
Obtención
de GAPS
Análisis de
Incompatibilidades
4
3
2
Planificación
y
Organización
1
24
Entregables
• Diagnóstico de situación actual (“as
is”)
• Job description técnico
10º ENAI | ConocimientoGlobalizado | 21 y 22 de Mayo | Buenos Aires | Argentina
25
Como abordar un proyecto
Nuevos Roles
Operativos
Análisis de Incompatibilidades
Actividades Involucradas
Construcción de nuevos roles
• Identificación de situaciones
inconvenientes
• Análisis de permisos
5
Obtención
de GAPS
4
3
2
Análisis de
Procesos
Planificación
y
Organización
1
25
Entregables
• Informe de avance
10º ENAI | ConocimientoGlobalizado | 21 y 22 de Mayo | Buenos Aires | Argentina
26
Como abordar un proyecto
Nuevos Roles
Operativos
Obtención de Gaps
Actividades Involucradas
Construcción de nuevos roles
• Identificación de las debilidades de
perfiles
• Validación y Ajustes
5
Análisis de
Incompatibilidades
4
3
2
Análisis de
Procesos
Planificación
y
Organización
1
26
Entregables
• Matriz de Roles / Perfiles /
Transacciones
• Identificación de incompatibilidades y
sus riesgos
• Plan de acción validado
10º ENAI | ConocimientoGlobalizado | 21 y 22 de Mayo | Buenos Aires | Argentina
27
Como abordar un proyecto
Nuevos Roles
Operativos
Construcción de Nuevos Roles
Actividades Involucradas
•
•
•
•
5
Obtención
de GAPS
Análisis de
Incompatibilidades
Desarrollo de Nuevos Roles / Perfiles
Elaboración de procedimiento ABM
Validación
Capacitación
4
3
2
Análisis de
Procesos
Planificación
y
Organización
1
27
Entregables
• Documentación nuevos roles para su
construcción en ERP
• Procedimientos mejorados
10º ENAI | ConocimientoGlobalizado | 21 y 22 de Mayo | Buenos Aires | Argentina
28
Agenda
Conceptos.
SoD. Roles,
Perfiles,
Permisos
Peligros.
Riesgos de
errores,
omisiones,
irregularidade
s y fraudes
Cómo
abordar un
proyecto de
revisión
“spot” y una
reingeniería
10º ENAI | ConocimientoGlobalizado | 21 y 22 de Mayo | Buenos Aires | Argentina
Metodología – La tecnología mas terrenal
SOLUCIONES OFICIALES
 APLICACIONES ALTERNATIVAS
 HERRAMIENTAS BI
 HERRAMIENTAS BPM + DESARROLLO A MEDIDA
 OFIMÁTICA + “ISSUE TRACKER OPEN SOURCE”
29
10º ENAI | ConocimientoGlobalizado | 21 y 22 de Mayo | Buenos Aires | Argentina
Top Ten de Problemas SoD
 Procesar orden de venta + Procesamiento de entrega
 Generar orden de compra + Procesar ingresos de mercaderías/servicios
 Mantenimiento de descuentos/promociones + Generar factura de venta
 Mantenimiento de datos maestros de clientes + Crear contratos
 Mantenimiento de datos maestros de materiales + Generar solicitud de pedido
30
10º ENAI | ConocimientoGlobalizado | 21 y 22 de Mayo | Buenos Aires | Argentina
Top Ten de Problemas SoD
 Ingresar asientos contables + Abrir períodos contables
 Procesamiento manual de cheques + Conciliación bancaria
 Realizar movimiento de mercaderías + Ajustes de inventarios
 Procesar orden de venta + Generar factura de venta
 Usuarios del área de IT “transaccionando” en producción
31
10º ENAI | ConocimientoGlobalizado | 21 y 22 de Mayo | Buenos Aires | Argentina
32
¡Muchas Gracias
por su atención!
Email: luisromero@bdoargentina.com
Teléfono: (54 11) 4106 7000 / 5274-5100
Página web: www.bdoargentina.com
Descargar