fbpx
Saltear al contenido principal

segregación de tareasLa segregación de tareas es un concepto comercial un poco abstracto, pero la verdad que uno lo ve todos los días, quizás sin darse cuenta. Formalmente, la segregación de tareas (SdT) es un conjunto de controles y políticas destinadas a garantizar la precisión y hacer que las empresas cumplan con las regulaciones como Sarbanes Oxley. Sin embargo, en términos simples, la SdT se trata de garantizar que los controles estén donde se supone que deben estar y de evitar combinaciones específicas de roles que podrían facilitar el fraude o la malversación, por ejemplo, al evitar que una sola persona genere y pague a un proveedor.

¿Qué es la segregación de tareas?

¿Alguna vez, en una tienda, le pidió al cajero que llame al gerente para que haga una «anulación» en la caja registradora para anular su transacción? Ese es un ejemplo cotidiano de SdT. Las tareas del cajero le impiden a él o ella anular las transacciones de la caja registradora. Esa es la tarea exclusiva del gerente. Si el cajero pudiera anular una transacción, la tienda estaría en riesgo de robo por parte de los empleados.

Las personas no son perfectas, cometen errores, usan el mal juicio y ceden a la tentación. Pero cuando las personas tienen acceso a ERP, las consecuencias pueden ser enormes. Los empleados pueden estafar a inversionistas por millones, poner en peligro la seguridad de los consumidores con errores no detectados, y exponer a los empleadores a responsabilidades civiles y penales.

Su política de segregación de tareas divide las transacciones, tanto para hacer más difícil que los errores pasen desapercibidos, como para responsabilizar a los trabajadores y al liderazgo. Aunque no es agradable contemplarlo, el riesgo de fraude es real y la «confianza» no es un control. Las empresas responsables se encargan de mitigar estos riesgos con SdT en los sistemas ERP y otros controles.

El objetivo de la SdT es evitar combinaciones de funciones que puedan facilitar el fraude o la malversación. En contabilidad corporativa, la SdT se manifiesta como separaciones entre personas que deben delegar los pasos en una transacción determinada para garantizar que se complete con precisión. Por ejemplo:

  • La persona que aprueba nuevos proveedores no puede autorizar una orden de compra a los proveedores
  • La persona que aprueba las órdenes de compra no puede autorizar que se expidan cheques
  • La persona que prepara las facturas tampoco puede ingresar transacciones de ventas en el libro mayor

Política de Segregación de Tareas en Cumplimiento

La SdT ocupa un lugar destacado en el cumplimiento de Sarbanes Oxley (SOX). SOX exige que las empresas que cotizan en bolsa documenten y certifiquen sus controles sobre la información financiera, incluida la SdT. Tras una minuciosa auditoría, el Director Ejecutivo y el Director Financiero de la empresa pública deben firmar una certificación de los controles. Se les puede responsabilizar por inexactitudes en estas declaraciones. Si se determina que falsificaron voluntariamente la SdT, ¡incluso podrían ir a la cárcel!

La norma 21 CFR Parte 11 del gobierno federal (CFR significa «Código de Regulación Federal») también depende de la SdT para el cumplimiento. Afecta la investigación médica y otras industrias, donde las vidas pueden depender de mantener registros e informes sobre los controles. La SdT garantiza que solo personas autorizadas creen y editen los registros.

Matriz de la segregación de tareas

La matriz de la segregación de tareas

Hay muchas maneras de diseñar e implementar la segregación de tareas. En los viejos tiempos, se trataba de papel, por ejemplo, la copia rosada de un recibo de compra era para la persona A mientras que la copia amarilla para la persona B. Si las copias amarilla y rosa no coincidían, había un problema. Hemos recorrido un largo camino.

Ahora, la SdT se ejecuta a través de permisos de acceso vinculados a roles de usuario en sistemas SAP. Si el empleado de cuentas por pagar no debe autorizar un cheque, su rol hará que sea imposible acceder al cheque que autoriza parte de la solución ERP.

Esto suena bastante simple, pero hacerlo puede complicarse bastante rápido. En las organizaciones modernas, puede tener docenas de roles en múltiples ubicaciones y unidades de negocios. Para mantener las cosas en orden, cuando trabajamos con un cliente para establecer sus reglas de SdT, muchas se incluyen «fuera de la caja» con ControlPanelGRC. La premisa sigue lo que se conoce como una «Matriz de segregación de tareas». Las reglas están estandarizadas y generalmente siguen un enfoque de matriz, como el que se muestra aquí, para identificar partes incompatibles de transacciones comerciales.

Cómo verificar los conflictos de SdT en SAP

La cuadrícula expone posibles conflictos de roles, mientras que muestra qué roles son complementarios al completar transacciones. Al seguir la matriz, puede ver a quién se le debe permitir o denegar el acceso a las funciones del sistema. Puede usar la cuadrícula para detectar conflictos de SdT en su entorno SAP. Por ejemplo, el rol «Entrada de comprobante de AP» no puede tener acceso a la funcionalidad ERP configurada para el rol de «Pagos de AP», etc.

Controles de compensación en SdT

En algunos casos, una auditoría de segregación de tareas revela un conflicto que simplemente no se puede abordar a través de controles. Para resolver este problema, la empresa puede establecer un control de compensación. Esto sirve para reducir los riesgos creados por el conflicto. Por ejemplo, si una empresa tiene un solo empleado que administra a los proveedores y les paga, un control de compensación puede implicar tener una revisión semanal de las transacciones de los proveedores.

SAP GRC como una necesidad para la SdT

SAP GRC proporciona una funcionalidad básica para implementar controles de SdT. Sin embargo, dado que los controles solo serán confiables si se prueban, revisan y auditan de manera regular, el software SAP GRC automatiza estas tareas que requieren mucho tiempo. También centraliza los controles de SdT. Nuestro paquete ControlPanelGRC lo lleva más lejos, con el Análisis de riesgos de SdT de SAP que detecta los riesgos potenciales antes de que ocurran.

ControlPanelGRC monitorea continuamente los conflictos de SdT en tiempo real. De esa manera, usted puede detectar y remediar conflictos a medida que surgen. El paquete de software crea automáticamente informes de auditoría completos y los enruta para su aprobación en la organización.

Las capacidades específicas de ControlPanelGRC incluyen:

  • Análisis de riesgos de segregación de tareas (SdT) de SAP: define la segregación de tareas a través del análisis de riesgos de SAP en tiempo real, al determinar la autorización sensible y evitar el acceso excesivo del usuario.
  • Análisis del uso de la transacción de SAP: agiliza los procesos comerciales con los datos de uso de transacciones de SAP GRC, corrige los riesgos de cumplimiento y ahorra tiempo y dinero al realizar actualizaciones de alcance maximizando, al mismo tiempo, el uso de la licencia de SAP.
  • Control del acceso en caso de emergencia de SAP: mantiene un estado continuo de preparación para la auditoría al registrar todas las actividades de los usuarios durante una sesión de acceso de emergencia de SAP.
  • Aprovisionamiento de usuarios y gestión de roles de SAP: acelera la administración diaria de la seguridad de SAP y mantiene el estado listo para la auditoría.
  • Automatización de la revisión del acceso del usuario de SAP: proporciona una solución automatizada para las revisiones de certificación de roles y acceso de usuarios.
  • Gestión de auditoría de SAP: reduce el tiempo y el esfuerzo requeridos para la preparación de la auditoría al automatizar la ejecución, entrega y validación del informe de auditoría de SAP.
  • Automatización de la seguridad de RR. HH. de SAP: permite a los usuarios de SAP Human Capital Management (HCM) abordar las necesidades de seguridad de los recursos humanos, como el monitoreo y la protección de datos confidenciales de recursos humanos, y la actualización segura de los archivos de recursos humanos.

Conozca cómo los controles automáticos de ControlPanelGRC de Symmetry pueden ayudarlo a lograr una mejor SdT y, al mismo tiempo, reducir sus costos de cumplimiento.

Scott Goolik - VP, Compliance and Security Services

Scott Goolik is VP of Compliance and Security Services at Symmetry. A recognized expert in the field of SAP security and compliance, Scott has over 20 years of expertise in SAP security and is a regular presenter at SAP industry tradeshows and ASUG events. His experience includes working for one of the Big Four accounting firms and developing auditing tools, including those for segregation of duties (SOD). Scott is also responsible for architecting the ControlPanelGRC® solution which provides audit automation and acceleration of security and control processes.