1
00:00:00,990 --> 00:00:02,610
Segregación de funciones.

2
00:00:03,570 --> 00:00:08,950
Muy bien, en este módulo vamos a aprender cómo auditar la segregación de funciones de un sistema.

3
00:00:09,810 --> 00:00:12,780
Pero antes vamos a ver que dice este caso de estudio.

4
00:00:13,350 --> 00:00:20,250
Una planta de manufactura de perfumes de gran tamaño ha tenido pérdidas económicas significativas por

5
00:00:20,250 --> 00:00:22,050
fraudes en sus operaciones.

6
00:00:22,530 --> 00:00:29,610
Se identificaron irregularidades que se sospecha fueron producidas en alguno de los procesos indispensables

7
00:00:30,090 --> 00:00:33,660
y que representan una etapa crítica a la manufactura de la planta.

8
00:00:35,130 --> 00:00:38,940
Estos procesos son gestionados por medio de un sistema RR.PP.

9
00:00:39,750 --> 00:00:45,390
Que es un sistema de planificación de recursos empresariales, por lo que le solicitan al auditores

10
00:00:45,390 --> 00:00:48,300
sistemas evaluar la segregación de funciones.

11
00:00:48,930 --> 00:00:56,220
Sabiendo esto, como nosotros como auditores, podemos evaluar la segregación funcional de esta planta

12
00:00:56,850 --> 00:00:58,950
y evitar que sigan ocurriendo fraudes.

13
00:01:00,240 --> 00:01:06,870
En este módulo vamos a aprender paso a paso como resolver este problema y proponer soluciones que impidan

14
00:01:06,870 --> 00:01:09,420
que sigan ocurriendo fraudes dentro de la planta.

15
00:01:10,650 --> 00:01:15,750
Pero antes es bueno que veamos un poco acerca de la teoría sobre segregación de funciones.

16
00:01:17,480 --> 00:01:24,050
La segregación de funciones se basa en el principio de que un usuario o persona no debe de encontrarse

17
00:01:24,110 --> 00:01:28,490
en posición, de poder iniciar y autorizar sus propias transacciones.

18
00:01:29,390 --> 00:01:35,570
En otras palabras, la segregación de funciones se podría definir como la expresión divide y vencerás.

19
00:01:35,960 --> 00:01:43,460
Aplicada a la definición de roles y responsabilidades dentro de una empresa, los puestos de trabajos

20
00:01:43,580 --> 00:01:49,400
y las estructuras organizacionales dentro de los departamentos varían mucho entre una organización y

21
00:01:49,400 --> 00:01:53,750
otra, dependiendo del tipo de trabajo y la naturaleza del negocio.

22
00:01:54,830 --> 00:02:01,190
Sin embargo, el auditor de sistemas debe de obtener suficiente información para entender y documentar

23
00:02:01,190 --> 00:02:08,510
las relaciones entre las funciones de trabajo, responsabilidades y autoridades de la empresa para evaluar

24
00:02:08,510 --> 00:02:11,000
la idoneidad de la segregación de funciones.

25
00:02:13,420 --> 00:02:19,450
La correcta segregación de funciones evita la posibilidad de que una persona pueda disponer a voluntad

26
00:02:20,110 --> 00:02:25,990
del control de un proceso de negocio completo, teniendo así la oportunidad de realizar acciones no

27
00:02:25,990 --> 00:02:29,440
autorizadas que no sean detectadas oportunamente.

28
00:02:30,400 --> 00:02:36,220
También podemos decir que la segregación de funciones es un control interno que busca evitar que una

29
00:02:36,220 --> 00:02:42,430
misma persona tenga control sobre dos o más transacciones sensibles e incompatibles.

30
00:02:43,330 --> 00:02:49,510
Es decir, que según este principio, una misma persona no debería poder realizar dos transacciones

31
00:02:49,540 --> 00:02:54,400
cuya combinación pudiera resultar en un riesgo potencial para la empresa.

32
00:02:55,570 --> 00:03:02,860
Aquí tenemos un ejemplo de esto un usuario no debería de poder realizar un pedido de compra y a su vez

33
00:03:02,860 --> 00:03:04,480
poder pagar dicha factura.

34
00:03:06,010 --> 00:03:12,190
Se podría dar el caso de que esta acción fuese mal intencionada y se tratase de un pedido ficticio o

35
00:03:12,190 --> 00:03:20,200
incorrecto, cuando no es posible establecer una adecuada segregación de funciones por disponibilidad

36
00:03:20,200 --> 00:03:26,500
de recursos o por el tamaño del departamento o de la empresa, deben de ser implementados controles

37
00:03:26,500 --> 00:03:27,580
compensatorios.

38
00:03:28,180 --> 00:03:34,780
Los controles compensatorios son actividades que pretenden reducir el riesgo de una debilidad existente

39
00:03:35,050 --> 00:03:40,240
cuando no puede ser segregada de manera apropiada en un departamento pequeño.

40
00:03:40,630 --> 00:03:45,700
Una persona podría desempeñar diversas funciones que generan un riesgo.

41
00:03:46,210 --> 00:03:52,900
En ese caso debe ser implementado un control compensatorio para mitigar dicho riesgo.

42
00:03:53,590 --> 00:04:02,080
Quisiéramos un ejemplo de un ciclo de negocio donde tenemos que una persona realiza cotización y comparación

43
00:04:02,080 --> 00:04:03,160
de cotizaciones.

44
00:04:04,630 --> 00:04:11,890
Otra persona realiza la orden de compra y otra persona hace la aprobación de la orden de compra.

45
00:04:13,090 --> 00:04:21,490
Como tenemos dos transacciones en una misma persona que genera un riesgo, entonces deberíamos de implementar

46
00:04:21,490 --> 00:04:30,430
un control compensatorio para mitigar ese riesgo, que puede ser un monitoreo de las comparaciones de

47
00:04:30,430 --> 00:04:35,950
cotizaciones que se realiza o de la ejecución de las transacciones que realiza el usuario.

48
00:04:37,120 --> 00:04:45,040
Ese monitoreo puede estar atado a nivel de supervisión, donde el supervisor tenga acceso íntegro a

49
00:04:45,040 --> 00:04:48,490
todas las acciones o transacciones que ejecute este usuario.

50
00:04:49,570 --> 00:04:57,010
Los controles compensatorios pueden incluir los siguientes pistas de auditoría que esto ayuda tanto

51
00:04:57,010 --> 00:05:02,620
al departamento operativo como al departamento de auditoría atrasar el flujo de las transacciones.

52
00:05:03,910 --> 00:05:09,880
Esto es una especie de archivo log donde se guardan rastro de todas las actividades realizadas por un

53
00:05:09,880 --> 00:05:18,130
usuario determinado y se registran campos como fecha, hora, tipo de ingreso y acción realizada.

54
00:05:18,970 --> 00:05:25,420
Conciliación puede ser realizada mediante totales de control y hojas de balance.

55
00:05:25,630 --> 00:05:31,470
Este tipo de control aumenta la confianza de que los datos están correctamente balanceados.

56
00:05:31,990 --> 00:05:39,880
Reporte de excepciones debe ser manejado a nivel de supervisión y debe de tener evidencia de que las

57
00:05:39,880 --> 00:05:43,000
excepciones la identificaron y fueron atendidas.

58
00:05:43,570 --> 00:05:51,190
Registro de transacciones es una especie de histórico de todas las transacciones procesadas por el sistema.

59
00:05:51,940 --> 00:05:55,330
Es básicamente un registro de transacciones.

60
00:05:56,530 --> 00:05:58,270
Revisiones de supervisión.

61
00:05:59,620 --> 00:06:06,250
Son las actividades que realiza un supervisor en el monitoreo de las acciones realizadas por el usuario.

62
00:06:07,300 --> 00:06:14,470
Las revisiones independientes son básicamente aquellas revisiones realizadas por un ente independiente

63
00:06:14,470 --> 00:06:16,900
del departamento o de la empresa.

64
00:06:17,470 --> 00:06:19,840
Es decir, por Alin Lindelof.

65
00:06:19,840 --> 00:06:21,430
Formé parte de ese ambiente.

66
00:06:23,170 --> 00:06:29,560
En el caso de las revisiones independientes tenemos los auditores externos que no formaban parte de

67
00:06:29,560 --> 00:06:32,890
la empresa pero realizan revisiones a los procesos.

68
00:06:33,820 --> 00:06:35,620
Autorización de transacciones.

69
00:06:36,310 --> 00:06:42,340
La autorización de transacciones es responsabilidad del departamento del usuario y es delegada a una

70
00:06:42,340 --> 00:06:43,450
persona autorizada.

71
00:06:43,490 --> 00:06:44,620
Dicho departamento.

72
00:06:45,700 --> 00:06:52,660
En este caso se deben de realizar verificaciones periódicas por parte de auditoría interna para detectar

73
00:06:52,660 --> 00:06:55,420
transacciones que no cuenten con dicha autorización.

74
00:06:56,710 --> 00:06:58,180
Custodia de activos.

75
00:06:59,500 --> 00:07:06,490
El dueño de los datos tiene la responsabilidad de determinar los niveles de autorización requeridos

76
00:07:07,390 --> 00:07:09,860
para proveer seguridad a los datos.

77
00:07:11,140 --> 00:07:11,980
Controles de AACC.

78
00:07:12,110 --> 00:07:12,580
Beso.

79
00:07:14,580 --> 00:07:20,700
Estos son básicamente los controles de seguridad física y lógica de las aplicaciones de sistemas que

80
00:07:20,700 --> 00:07:26,550
son implantados para evitar que personas no autorizadas logren acceso a los datos.

81
00:07:28,370 --> 00:07:35,120
Formularios de autorización El departamento propietario del sistema debe de proveer al departamento

82
00:07:35,120 --> 00:07:42,440
de tecnología formularios formales de autorización, ya sea de manera física o electrónica, que defina

83
00:07:42,440 --> 00:07:47,150
los derechos de acceso de cada usuario o rol en base a esto.

84
00:07:47,240 --> 00:07:54,410
Los privilegios de los sistemas serán revisados por los auditores de sistemas para verificar la idoneidad

85
00:07:54,410 --> 00:08:01,910
de los accesos otorgados, aplicando una correcta segregación de funciones dentro de las empresas.

86
00:08:02,480 --> 00:08:11,150
Podemos reducir los errores involuntarios, reducir el riesgo de fraude, definir y separar los roles

87
00:08:11,150 --> 00:08:15,620
y responsabilidades y obtener un mayor control de los procesos.