Análisis de segregación de funciones

Los controles de segregación de funciones tienen por objetivo reducir la ventana de oportunidad del fraude al necesitar de varios intervinientes para realizar combinaciones de transacciones críticas. Un ejemplo típico es declarar incompatible la transacción de pagar a un proveedor de materia prima y la transacción que confirma la adecuada recepción de la misma.

Por otra parte, algunos requerimientos normativos, como la ley SOX, exigen que la organización disponga de ciertos controles en esta materia.road cross 200x200

Para ello, la organización debe definir una “matriz de segregación de funciones” donde se establecen aquellas combinaciones incompatibles y, a partir de ahí, analizar los roles y perfiles de los empleados para detectar posibles conflictos.

Desde ÍTACA se puede colaborar con las organizaciones en la definición de la matriz de segregación de funciones y en la revisión completa de los permisos de sus usuarios para la detección de conflictos.

Adicionalmente, desde ÍTACA se pueden implantar controles periódicos para que la organización conozca en todo momento su exposición al riesgo en esta materia. Estos controles pueden ejecutarse de forma continua o a voluntad, por ejemplo, cuando para un área determinada ha habido mucha rotación de personal, o de forma continua.

Por otra parte, la experiencia de ÍTACA nos permite también colaborar en la implantación de controles que no únicamente analizan el control de acceso a pares de transacciones, sino el control de acceso a grupos de transacciones (ciclos completos) o el acceso a las denominadas “transacciones críticas”, es decir, aquellas consideradas críticas por sí mismas, como por ejemplo, el cierre de un período contable.

Por último, ÍTACA también puede definir e implantar controles detectivos en esta materia, es decir, detectar no sólo qué usuario podría tener acceso a combinaciones incompatibles de transacciones, sino qué usuario ha ejecutado ambas.