Hojaderutadelasegregacindefunciones

Lasiniciativasmsexitosasdelasegregacindefuncionesconstandecincofases:

Fase1:Definicinaniveldenegocio
El objetivo de esta fase es lograr entender el alcance de las transacciones sensibles y los conflictos que
existen en los procesos de negocios clave de la compaa. Estas transacciones son las que presentan el
mayor riesgo de fraude para la organizacin cuando alguien cuenta con acceso excesivo a los sistemas.
Durante esta fase, los umbrales se determinan con base en el riesgo e impacto para la compaa por cada
posible conflicto de segregacin de funciones

Fase2:Definicintcnica
La definicin tcnica utiliza la matriz de conflictos elaborada como una herramienta para ayudar a
responder la pregunta: Qu aplicaciones soportan la ejecucin de las transacciones sensibles definidas y
cmo se ejecutan en el sistema?. La compaa o unidad de negocio debe mapear cada transaccin
sensible con sus derechos de acceso relacionados en la aplicacin que ejecuta dicha transaccin. Este paso
crtico alimenta el anlisis de datos cuando se configura el acceso durante la implementacin o arroja los
resultados de las pruebas en ambientes reales. Si bien esta labor de mapear las tareas podra parecer
 insignificante, en este paso muchas compaas enfrentan a menudo problemas debido a que no entienden
cmo se puede ejecutar una transaccin en una aplicacin especfica.

Ejemplo
SF Funcin 1 Funcin 2 Riesgo F1 SAP F2 SAP
XK01 Crear Proveedor (centralmente)
Un usuario podra crear un proveedor ficticio o
Mantenimiento fichero Aprobacin pedidos / FK01 Crear Proveedor (contablemente) ME28 Liberar pedido de forma colectiva
1 crear uno no autorizado y hacer una compra
maestro de proveedores compras MK01 Crear Proveedor (compras) ME29N Liberar pedido individual
indebida.
FK02, MK02, XK02 , modificar proveed.
MIRO, Introducir factura
XK01 Crear Proveedor (centralmente) FB60 Contabilizar factura
Un usuario podra crear un proveedor ficticio o
Mantenimiento fichero FK01 Crear Proveedor (contablemente) FB65 Contabilizar abonos
2 Contabilizacin de facturas cambiar la cuenta de un proveedor existente y
maestro de proveedores MK01 Crear Proveedor (compras) MRBR Liberar facturas bloqueadas
tramitar una factura ficticia.
FK02, MK02, XK02 , modificar proveed. (FB01,FB02, F26, F43, FB01, FB10,
MR01, MRHR)
F-110 Pagos automticos
XK01 Crear Proveedor (centralmente)
Un usuario podra crear un proveedor ficticio o F-111 Pagos
Mantenimiento fichero FK01 Crear Proveedor (contablemente)
3 Pagos cambiar la cuenta de un proveedor existente y F-31 Pagos
maestro de proveedores MK01 Crear Proveedor (compras)
dirigir a ella el pago de una factura existente. F-48 Anticipo
FK02, MK02, XK02 , modificar proveed.
F-53 Pagos
No debe permitirse crear y autorizar (liberar) el ME21N Crear pedido
Creacin del pedido de Aprobacin pedidos / mismo documento de compra ya que podra ME22N Modificar pedido ME28 Liberar pedido de forma colectiva
4
compra compras producirse la aprobacin indebida de ME21 ME29N Liberar pedido individual
documentos de compra. ME22
MB1C Entrada mercancas
MB11 Movimiento de mercancas
Se puede aprobar una compra y realizar una MIGO Entrada de mercancas
Aprobacin pedido / ME28 Liberar pedido de forma colectiva
5 Recepcin recepcin ficticia o apropiarse indebidamente (MB01 Entrada de materiales Pedido
compras ME29N Liberar pedido individual
de la misma. de compra conocido
MB0A Entrada de materiales Pedido
de compra desconocido)
6 Aprobacin pedido / Pagos Un usuario puede aprobar compras no ME28 Liberar pedido de forma colectiva
compras autorizadas y realizar su pago sin mayor ME29N Liberar pedido individual F-110 Pagos automticos
aprobacin de la direccin. F-111 Pagos
F-31 Pagos
SF Funcin 1 Funcin 2 Riesgo F1 SAP F2 SAP
F-48 Anticipo
F-53 Pagos

Fase3:Pruebas
En la fase de pruebas se utilizan los datos obtenidos de las fases de definicin del negocio y definicin
tcnica para preparar un anlisis de usuarios con conflictos de segregacin de funciones. Los resultados
destacan estos conflictos de varias maneras por ejemplo,por usuario y por funcin o por grupo y
muestran la gravedad de los problemas entre la poblacin de usuarios de la compaa.Este anlisis, junto
con la definicin a nivel de negocio y la definicin tcnica, generalmente sirve como el paquete de pruebas
de cumplimiento que se revela a la administracin, a aquellos involucrados en la auditora y a los
reguladores

Fase4:Mitigacin
Tal como su nombre lo indica, la mitigacin es el siguiente paso para limitar el posible impacto de una
violacin en materia de conflicto de segregacin de funciones. Esta fase se puede realizar conjuntamente
con la de remediacin, o dependiendo de los objetivos y el plazo de tiempo para el cumplimiento se puede
llevar a cabo al ltimo, cuando los conflictos se han reducido al mnimo. La mitigacin analiza cada uno de
los conflictos de segregacin de funciones identificados y responde a la pregunta: Qu control se
encuentra en operacin para reducir el riesgo residual de un conflicto de segregacin de funciones en
particular, de tal forma que no represente un riesgo importante para el negocio?. En otras palabras, la
compaa puede identificar cualquier control existente que evite o detecte alguna actividad no autorizada
o fraudulenta? Muchas empresas elegirn mitigar cada posible conflicto a fin de contar con una red de
proteccin de controles implementada en caso de que surja algn problema. Esta es una estrategia sana y
prctica para las compaas que buscan controlar riesgos imprevistos e imprevisibles.
Fase5:Remediacin
El objetivo de esta fase es la correccin permanente de los conflictos de segregacin de funciones. Las
tcnicas de remediacin incluyen redisear y depurar los roles, revisar la idoneidad de los usuarios e
implementar la herramienta de segregacin de funciones. El conjunto de cambios de personal, procesos y
tecnologa podra ayudar a sustentar la eficacia del control y del cumplimiento. No existe prctica o mtodo
lder proscrito para remediar los conflictos. Cada situacin es nica, basada en el nivel de complejidad y
alcance de los conflictos en un ambiente determinado.