Segregación de Funciones Dentro y Fuera de los Sistemas Lo que un Auditor Interno no puede dejar de ver

Transcripción

1 10º ENAI ConocimientoGlobalizado 21 y 22 de Mayo Buenos Aires Argentina Segregación de Funciones Dentro y Fuera de los Sistemas Lo que un Auditor Interno no puede dejar de ver Luis Romero Director (GRC Governance, Risk & Compliance) BDO Argentina

2 Luis Romero BDO Argentina, Director en GRC Governance, Risk & Compliance. Contador Público, Universidad Nacional de La Matanza Master en Auditoria de Sistemas, Universidad del Salvador CEC Profesional con Certificación Internacional en Ética y Compliance, (Asociación Argentina de Ética y Compliance Universidad del CEMA). Se desempeña desde hace más de diez años en servicios de Auditoría Interna, Control Interno y Reingeniería de Procesos. Especialista en Auditoría Continua y análisis de Segregación de Funciones a través de plataformas BI. Referente en proyectos de Control Interno para la implementación de nuevos negocios, incluyendo el análisis de incompatibilidad de funciones y definición de controles mitigantes. Capacitador para BDO a nivel regional sobre los temas de su especialidad.

3 10º ENAI ConocimientoGlobalizado 21 y 22 de Mayo Buenos Aires Argentina 3 Un caso de la vida real... 2 Se puede demostrar que los privilegios de Juan Pérez son los apropiados? CSO 3 Podrías verificar si el perfil asignado a Juan Pérez es el adecuado? 4 Puedo decirte qué permisos tiene JP en este momento, pero no se si son los apropiados Auditor 5 Podrías verificar si el perfil asignado a JP (de tu gerencia) es el correcto? Administrador 1 Estamos cumpliendo con los requerimientos de la Legislación SOX? CFO 6??, Aguarden que haga un curso de SAP para comprender qué son estos códigos Gerente de área de negocio EL DESAFÍO: Visibilidad a los decisores Incorporar un proceso continuo

4 10º ENAI ConocimientoGlobalizado 21 y 22 de Mayo Buenos Aires Argentina 4 Agenda Conceptos. SoD. Roles, Perfiles, Permisos Peligros. Riesgos de errores, omisiones, irregularidade s y fraudes Cómo abordar un proyecto de revisión spot y una reingeniería

5 10º ENAI ConocimientoGlobalizado 21 y 22 de Mayo Buenos Aires Argentina 5 Agenda Conceptos. SoD. Roles, Perfiles, Permisos Peligros. Riesgos de errores, omisiones, irregularidade s y fraudes Cómo abordar un proyecto de revisión spot y una reingeniería

6 10º ENAI ConocimientoGlobalizado 21 y 22 de Mayo Buenos Aires Argentina 6 Conceptos. SoD, Roles, Perfiles, Permisos Segregación de funciones (SoD) Es un control interno básico que busca asegurar que ninguna persona tenga la autoridad para ejecutar dos o más transacciones sensibles en conflicto que podrían: Afectar la información de los EECC Facilitar el fraude en una organización Limitaciones Inherentes Controles Compensatorios

7 10º ENAI ConocimientoGlobalizado 21 y 22 de Mayo Buenos Aires Argentina 7 Conceptos. SoD, Roles, Perfiles, Permisos Iniciar una transacción Aprobar una transacción Registrar una transacción Conciliar saldos Custodiar activos

8 10º ENAI ConocimientoGlobalizado 21 y 22 de Mayo Buenos Aires Argentina 8 Conceptos. SoD, Roles, Perfiles, Permisos PERFILES: Requerimientos o requisitos que necesita una persona para que se le asigne un rol. ROL: Vinculado a la función o papel que cumple alguien o algo. En un sistema informático un rol es una colección de permisos definida para todo el sistema que puede asignar a usuarios específicos en contextos específicos. PERMISOS: son las acciones concretas que se asignan sobre uno o más recursos/transacciones del sistema. Perfil Rol Permisos

9 10º ENAI ConocimientoGlobalizado 21 y 22 de Mayo Buenos Aires Argentina 9 Agenda Conceptos. SoD. Roles, Perfiles, Permisos Peligros. Riesgos de errores, omisiones, irregularidade s y fraudes Cómo abordar un proyecto de revisión spot y una reingeniería

10 10º ENAI ConocimientoGlobalizado 21 y 22 de Mayo Buenos Aires Argentina 10 Distintos Sistemas. Un enfoque que trasciende el ERP P2P O2C R2R ABM Datos Maestros Procesamiento Solicitudes Procesamiento OC Procesamiento Facturas Administración de pagos Gastos y Rendiciones Inventarios ABM Datos Maestros Procesamiento OV Despacho Facturación Cobranzas Conciliación Bancaria Conciliacion P&C Contabilidad AAFF Contabilidad Intercompany Impuestos Reportes HR Administration IT Infraestructure

11 10º ENAI ConocimientoGlobalizado 21 y 22 de Mayo Buenos Aires Argentina 11 Distintos Sistemas. Un enfoque que trasciende el ERP Trans 1 Asignación Usuario - Rol Asignación Rol - Permiso Control de Acceso Proceso Trans 2 ROL A Trans 3 Trans 1 Control de Acceso Proceso Trans 2 ROL B Trans 3 Trans 1 Control de Acceso Proceso Trans 2 ROL C Control de Acceso Proceso Trans 1 Trans 2 Trans 1 Administración de Permisos y Accesos Control de Acceso Proceso Trans 2 Trans 3 Enfoque RBAC USUARIOS RECURSOS

12 10º ENAI ConocimientoGlobalizado 21 y 22 de Mayo Buenos Aires Argentina 12 Distintos Sistemas. Un enfoque que trasciende el ERP VENTAJAS Mejor control de los accesos sobre los recursos. Las reglas del negocio controlan los accesos sobres los recursos. Reduce los tiempos de Administración. Incrementa la productividad y eficiencia Rápida respuesta ante cambios en la organización

13 10º ENAI ConocimientoGlobalizado 21 y 22 de Mayo Buenos Aires Argentina 13 Agenda Conceptos. SoD. Roles, Perfiles, Permisos Peligros. Riesgos de errores, omisiones, irregularidade s y fraudes Cómo abordar un proyecto de revisión spot y una reingeniería

14 10º ENAI ConocimientoGlobalizado 21 y 22 de Mayo Buenos Aires Argentina 14 Peligros. Riesgos de errores, omisiones, irregularidades y fraudes Modelos distribuidos. Mayor esfuerzos Administración vía CLON Todos son superusuarios? Disyuntiva habitual: Tecnología vs negocio Bajo nivel de registro de eventos de seguridad Implementación = control por oposición

15 10º ENAI ConocimientoGlobalizado 21 y 22 de Mayo Buenos Aires Argentina 15 Peligros. Riesgos de errores, omisiones, irregularidades y fraudes PELIGRO: roles hechos a medida del usuario Existencia de roles especiales que contengan estas transacciones Auditoria Interna: Juez y Parte? Las decisiones de cambios SON de los dueños de la información Actualización adecuada Administrador de roles y perfiles <> mantenimiento del maestro de usuarios

16 10º ENAI ConocimientoGlobalizado 21 y 22 de Mayo Buenos Aires Argentina 16 Peligros. Riesgos de errores, omisiones, irregularidades y fraudes Exposición al fraude por falta de un monitoreo continuo SAP = 3 capas de seguridad

17 10º ENAI ConocimientoGlobalizado 21 y 22 de Mayo Buenos Aires Argentina 17 Agenda Conceptos. SoD. Roles, Perfiles, Permisos Peligros. Riesgos de errores, omisiones, irregularidade s y fraudes Cómo abordar un proyecto de revisión spot y una reingeniería

18 Task Group Description AP Voucher Entry AP Payments AP Clear Vendor Acct. Vendor Mast. Maint. FI Vendor Mast. Maint. MM Vendor Mast. Maint. CEN Bank Reconciliation AR Cash Application AR Clear Customer Acct. Material Master Maint. 10º ENAI ConocimientoGlobalizado 21 y 22 de Mayo Buenos Aires Argentina 18 Matriz SoD Task Group Description Grp a b c d e f g h i j AP Voucher Entry a 3 X 3 X 4 X 4 X 4 X AP Payments b 3 X 5 X 5 X 5 X 6 X AP Clear Vendor Acct. c 3 X Vendor Mast. Maint. FI d 4 X 5 X 7 X Vendor Mast. Maint. MM e 4 X 5 X 7 X Vendor Mast. Maint. CEN f 4 X 5 X Bank Reconciliation g 6 X 6 X AR Cash Application h 6 X AR Clear Customer Acct. i Material Master Maint. j

19 10º ENAI ConocimientoGlobalizado 21 y 22 de Mayo Buenos Aires Argentina 19 Matriz SoD REF. RISK DESCRIPTION 1 Un usuario puede publicar o cambiar una recepción de bienes/servicios incorrecta/ficticia y registrar documentos contables para su posterior pago. También es posible la registración de mercaderia en defecto y registrar una nota de crédito/descuento ficticios. 2 Un usuario puede registrar o cambiar una recepción de bienes/servicios en defecto y generar una orden de pago a fin de cancelar la factura correcta y ocultar el engaño 3 Un usuario puede registrar o cambiar una factura/nota de débito ficticia y generar el pago/compensación a fin de cancelar el documento. 4 Un usuario puede registrar, publicar o cambiar proveedores no autorizados/ficticios/reales y registrar documentos contables para su posterior pago. Posterior al pago el usuario podria bloquear o borrar el mismo para ocultar el engaño. 5 Un usuario puede publicar o cambiar proveedores ficticios/reales y generar pagos. Posterior al pago el usuario podria bloquear o borrar el mismo para ocultar el engaño. 6 Un usuario puede registrar cobros/pagos ficticios y conciliar posteriormente contra los movimientos reales del banco ocultando el engaño. 7 Un usuario puede ingresar datos incorrectos por desconocimiento, lo cual impactaría en las consecuentes transacciones que apliquen al mismo.

20 10º ENAI ConocimientoGlobalizado 21 y 22 de Mayo Buenos Aires Argentina 20 Matriz SoD

21 10º ENAI ConocimientoGlobalizado 21 y 22 de Mayo Buenos Aires Argentina 21 Agenda Conceptos. SoD. Roles, Perfiles, Permisos Peligros. Riesgos de errores, omisiones, irregularidade s y fraudes Cómo abordar un proyecto de revisión spot y una reingeniería

22 10º ENAI ConocimientoGlobalizado 21 y 22 de Mayo Buenos Aires Argentina 22 Como abordar un proyecto Nuevos Roles Operativos Construcción de nuevos roles Obtención de GAPS 5 Análisis de Incompatibilidades Análisis de Procesos Planificación y Organización 1

23 10º ENAI ConocimientoGlobalizado 21 y 22 de Mayo Buenos Aires Argentina 23 Como abordar un proyecto Nuevos Roles Operativos Planificación y Organización Análisis de Incompatibilidades Construcción de nuevos roles 3 Obtención de GAPS Análisis de Procesos 1 Actividades Involucradas Obtención de la información disponible Comprensión de los sectores / áreas / locaciones sujetos a revisión Identificación de los puestos que requieren relevados Calendarización de entrevistas Planificación detallada Kick off meeting Entregables Planificación detallada Documento de Lanzamiento de Proyecto 23

24 10º ENAI ConocimientoGlobalizado 21 y 22 de Mayo Buenos Aires Argentina 24 Como abordar un proyecto Nuevos Roles Operativos Análisis de Procesos Construcción de nuevos roles Obtención de GAPS 5 Actividades Involucradas Análisis de Procesos y funciones - Autorrelevamientos y Entrevistas Análisis situación actual ERP/sistemas Triple check Análisis de Incompatibilidades Planificación y Organización 1 Entregables Diagnóstico de situación actual ( as is ) Job description técnico 24

25 10º ENAI ConocimientoGlobalizado 21 y 22 de Mayo Buenos Aires Argentina 25 Como abordar un proyecto Construcción de nuevos roles Obtención de GAPS 4 5 Nuevos Roles Operativos Análisis de Incompatibilidades Actividades Involucradas Identificación de situaciones inconvenientes Análisis de permisos 3 2 Análisis de Procesos Planificación y Organización Entregables Informe de avance 1 25

26 10º ENAI ConocimientoGlobalizado 21 y 22 de Mayo Buenos Aires Argentina 26 Como abordar un proyecto Construcción de nuevos roles 5 Nuevos Roles Operativos Obtención de Gaps Actividades Involucradas Identificación de las debilidades de perfiles Validación y Ajustes Análisis de Incompatibilidades Análisis de Procesos Planificación y Organización 1 Entregables Matriz de Roles / Perfiles / Transacciones Identificación de incompatibilidades y sus riesgos Plan de acción validado 26

27 10º ENAI ConocimientoGlobalizado 21 y 22 de Mayo Buenos Aires Argentina 27 Como abordar un proyecto Nuevos Roles Operativos Construcción de Nuevos Roles Actividades Involucradas Obtención de GAPS 5 Desarrollo de Nuevos Roles / Perfiles Elaboración de procedimiento ABM Validación Capacitación Análisis de Incompatibilidades Análisis de Procesos Planificación y Organización 1 Entregables Documentación nuevos roles para su construcción en ERP Procedimientos mejorados 27

28 10º ENAI ConocimientoGlobalizado 21 y 22 de Mayo Buenos Aires Argentina 28 Agenda Conceptos. SoD. Roles, Perfiles, Permisos Peligros. Riesgos de errores, omisiones, irregularidade s y fraudes Cómo abordar un proyecto de revisión spot y una reingeniería

29 10º ENAI ConocimientoGlobalizado 21 y 22 de Mayo Buenos Aires Argentina 29 Metodología La tecnología mas terrenal SOLUCIONES OFICIALES APLICACIONES ALTERNATIVAS HERRAMIENTAS BI HERRAMIENTAS BPM + DESARROLLO A MEDIDA OFIMÁTICA + ISSUE TRACKER OPEN SOURCE

30 10º ENAI ConocimientoGlobalizado 21 y 22 de Mayo Buenos Aires Argentina 30 Top Ten de Problemas SoD Procesar orden de venta + Procesamiento de entrega Generar orden de compra + Procesar ingresos de mercaderías/servicios Mantenimiento de descuentos/promociones + Generar factura de venta Mantenimiento de datos maestros de clientes + Crear contratos Mantenimiento de datos maestros de materiales + Generar solicitud de pedido

31 10º ENAI ConocimientoGlobalizado 21 y 22 de Mayo Buenos Aires Argentina 31 Top Ten de Problemas SoD Ingresar asientos contables + Abrir períodos contables Procesamiento manual de cheques + Conciliación bancaria Realizar movimiento de mercaderías + Ajustes de inventarios Procesar orden de venta + Generar factura de venta Usuarios del área de IT transaccionando en producción

32 10º ENAI ConocimientoGlobalizado 21 y 22 de Mayo Buenos Aires Argentina 32 Muchas Gracias por su atención! luisromero@bdoargentina.com Teléfono: (54 11) / Página web: