1
00:00:00,390 --> 00:00:03,570
Caso de estudio 2 La fábrica de perfumes.

2
00:00:05,010 --> 00:00:10,320
Ahora vamos a evaluar la segregación de funciones del ejercicio que vimos al principio del módulo.

3
00:00:11,550 --> 00:00:19,050
Una planta de manufactura de perfumes de gran tamaño ha tenido pérdidas económicas significativas por

4
00:00:19,050 --> 00:00:21,120
fraudes en sus operaciones.

5
00:00:22,740 --> 00:00:29,130
Se identificaron irregularidades que se sospecha fueron producida en uno de los cuatro procesos que

6
00:00:29,130 --> 00:00:35,580
son considerados como indispensables y los cuales representan una etapa crítica en la manufactura de

7
00:00:35,580 --> 00:00:36,300
la planta.

8
00:00:37,650 --> 00:00:45,060
Estos procesos son gestionados por medio de un sistema RDP, que es un sistema de planificación de recursos

9
00:00:45,060 --> 00:00:52,080
empresariales, por lo que le solicitaron al autor sistemas evaluar la segregación de funciones.

10
00:00:54,780 --> 00:00:58,770
Muy bien, ahora vamos a resolver este caso de estudio paso a paso.

11
00:01:00,630 --> 00:01:08,670
Para esto vamos a utilizar la siguiente metodología Lo primero que vamos a hacer es analizar los procesos

12
00:01:08,670 --> 00:01:10,770
y roles que intervienen en el negocio.

13
00:01:13,520 --> 00:01:20,240
Luego de esto, vamos a identificar todas las funciones y combinaciones de funciones que puedan resultar

14
00:01:20,240 --> 00:01:22,340
en un riesgo de fraude para la compañía.

15
00:01:23,930 --> 00:01:31,070
Luego vamos a identificar si existen usuarios que tengan alguna de las combinaciones de funciones incompatibles.

16
00:01:32,150 --> 00:01:39,230
Y finalmente vamos a proponer una segregación de funciones o controles compensatorios para los casos

17
00:01:39,230 --> 00:01:40,280
que sea posible.

18
00:01:41,510 --> 00:01:48,740
Muy bien, entonces vamos con el primer paso, que es nuestro análisis de procesos y roles que intervienen

19
00:01:48,740 --> 00:01:49,460
en el negocio.

20
00:01:51,480 --> 00:01:57,810
Para lograr esto, lo primero que debemos hacer es obtener un entendimiento del negocio, es decir,

21
00:01:57,810 --> 00:02:02,550
un entendimiento de las actividades y procesos que se ejecutan en la planta.

22
00:02:03,390 --> 00:02:05,490
Esto podemos lograrlo de dos formas.

23
00:02:05,940 --> 00:02:13,440
Una de ellas es obteniendo las políticas y procedimientos relacionados a esas actividades o procesos.

24
00:02:14,070 --> 00:02:19,200
Las analizamos y así obtendremos una visión general de aquellas áreas que vamos a auditar.

25
00:02:19,590 --> 00:02:27,630
Posteriormente podremos sostener reuniones con los jefes o gerentes de cada área y así podremos conocer

26
00:02:27,660 --> 00:02:34,320
cuáles son esos procesos críticos de la planta que según la descripción de la problemática inicial,

27
00:02:34,830 --> 00:02:40,410
son los que están siendo afectados por fraude o los que están teniendo las pérdidas.

28
00:02:41,400 --> 00:02:48,510
Muy bien, entonces imaginemos que formamos parte del Departamento de Auditoria Interna, somos los

29
00:02:48,510 --> 00:02:52,650
auditores de sistemas y estamos evaluando ese proceso.

30
00:02:52,680 --> 00:02:55,230
Ya obtuvimos las políticas y procedimientos.

31
00:02:55,410 --> 00:03:01,830
Nos reunimos con los jefes de cada área y obtuvimos un entendimiento general de las actividades y acciones

32
00:03:01,830 --> 00:03:03,240
que se ejecutan en la planta.

33
00:03:04,170 --> 00:03:10,230
Como resultado, logramos identificar cuáles son esos procesos críticos de la planta que están siendo

34
00:03:10,230 --> 00:03:17,610
afectados, que son compras, almacenamiento, elaboración y salida de productos acabado.

35
00:03:19,500 --> 00:03:27,330
Y las actividades críticas que se realizan son excepción de materiales recepción de mercancía, ajustes

36
00:03:27,420 --> 00:03:36,180
de inventario, ajustes de Menma, envío de productos a proveedores, solicitud de pedidos y liberación

37
00:03:36,180 --> 00:03:36,780
de pedidos.

38
00:03:37,530 --> 00:03:45,330
Estas son las actividades críticas relacionadas a estos procesos que están siendo afectados.

39
00:03:45,370 --> 00:03:52,020
Estas actividades, a su vez, son accesos en el sistema de la compañía en el sistema.

40
00:03:53,910 --> 00:04:01,620
Conociendo estas actividades críticas, entonces ya podemos completar nuestra matriz de compatibilidad.

41
00:04:02,520 --> 00:04:10,620
Una matriz de incompatibilidad es una tabla donde podremos plasmar las transacciones críticas para lograr

42
00:04:10,620 --> 00:04:15,390
hacer combinaciones y evaluar los riesgos de dichas combinaciones.

43
00:04:16,620 --> 00:04:24,660
Es algo como esto La idea de esta tabla es identificar cuáles son esas combinaciones, esos pares de

44
00:04:24,660 --> 00:04:28,740
actividades que son incompatibles para hacer la tabla.

45
00:04:29,100 --> 00:04:36,130
Solamente debemos de enlistar las actividades críticas como tenemos aquí.

46
00:04:36,150 --> 00:04:42,090
Estas son las actividades que identificamos crítica luego de nuestro levantamiento inicial, recepción

47
00:04:42,090 --> 00:04:44,670
de materiales, recepción de mercancía y demás.

48
00:04:45,720 --> 00:04:53,490
La colocamos en filas como estaca y como encabezado de columnas.

49
00:04:56,060 --> 00:05:01,850
Debemos de tomar en cuenta que otras actividades la colocamos tanto en filas como en columna, pero

50
00:05:01,850 --> 00:05:10,160
en el mismo orden, por ejemplo, recepción de materiales de cesión de materiales, recepción de mercancía,

51
00:05:10,790 --> 00:05:16,370
recepción de mercancía y así sucesivamente hasta llegar a liberación de pedido ELEVARÁS y liberación

52
00:05:16,370 --> 00:05:16,940
de pedidos.

53
00:05:18,410 --> 00:05:29,450
Colocamos la misma cantidad de transacciones en las filas y al igual acá en las columnas.

54
00:05:30,440 --> 00:05:37,310
Posteriormente, el siguiente paso que hacemos para completar nuestra matriz o por lo menos darle darle

55
00:05:37,310 --> 00:05:45,320
forma a la plantilla es marcar en gris, donde coincide en cada unas de las actividades consigo misma.

56
00:05:46,460 --> 00:05:47,360
Ejemplo de esto.

57
00:05:47,420 --> 00:05:50,480
Recepción de materiales coincide en esta celda.

58
00:05:50,480 --> 00:05:53,700
Con excepción de materiales y así sucesivamente.

59
00:05:53,730 --> 00:05:57,740
Recepción la mercancía coincide acá con recepción de mercancía.

60
00:05:58,580 --> 00:06:02,630
Seguimos marcando hasta llegar a la última liberación de pedido.

61
00:06:03,860 --> 00:06:05,000
Liberación de pedido.

62
00:06:05,870 --> 00:06:10,130
Esta parte que marca que marcamos en gris no se llena.

63
00:06:10,310 --> 00:06:13,190
Es decir, aquí ya nos no vamos a ser nada.

64
00:06:13,190 --> 00:06:13,870
No se marca.

65
00:06:14,600 --> 00:06:16,400
Y esta parte de aquí abajo tampoco.

66
00:06:17,150 --> 00:06:25,220
Porque las combinaciones que se tiene aquí abajo ya lo obtendremos en esta parte en blanco, aquí arriba,

67
00:06:25,220 --> 00:06:28,100
que es la parte que vamos a llenar.

68
00:06:29,030 --> 00:06:38,210
La idea de estos cuadros que nos queda acá es ir comparando las combinaciones de las actividades.

69
00:06:39,170 --> 00:06:48,080
La idea es que logremos hacer pares con cada una de ellas y en cada punto evaluamos los posibles riesgos

70
00:06:48,080 --> 00:06:49,820
que pueden generar dicha.

71
00:06:49,910 --> 00:07:00,710
Dichas combinaciones, por ejemplo, de recepción de materiales con recepción de mercancía, debemos

72
00:07:00,710 --> 00:07:04,670
de evaluar si esa combinación de actividades genera algún riesgo.

73
00:07:05,450 --> 00:07:11,120
Yo entiendo que no, por lo regular la persona que pueda hacer la recepción de materiales también puede

74
00:07:11,120 --> 00:07:17,480
hacer excepción de mercancía y no genera ningún tipo de riesgo adicional.

75
00:07:18,380 --> 00:07:22,550
Entonces en este caso la podemos marcar como okei o lo podemos dejar en blanco.

76
00:07:23,690 --> 00:07:27,980
Seguimos con otra combinación recepción de materiales con ajuste de inventario.

77
00:07:30,300 --> 00:07:34,590
Esta combinación genera algún riesgo que una misma persona usuario la tenga?

78
00:07:35,610 --> 00:07:43,920
Yo diría que sí existe un riesgo, ya que el usuario puede introducir en el sistema una recepción de

79
00:07:43,920 --> 00:07:53,010
materiales ficticia y luego ajustar esa recepción con su privilegio de ajuste de inventario.

80
00:07:53,940 --> 00:08:01,590
De manera que ocultaría esa recepción de materiales con fines de realizar algún tipo de fraude o acción

81
00:08:01,620 --> 00:08:02,470
no autorizada.

82
00:08:04,260 --> 00:08:12,080
Entonces, cómo esa combinación de transacciones nos genera un riesgo que más adelante lo vamos a redactar,

83
00:08:12,190 --> 00:08:12,900
a documentar.

84
00:08:14,010 --> 00:08:15,390
Marcamos con una X.

85
00:08:18,190 --> 00:08:22,140
Recepción de materiales y la actividad de ajuste de merma.

86
00:08:23,610 --> 00:08:27,240
Existe algún riesgo en esa combinación?

87
00:08:29,070 --> 00:08:37,770
Yo diría que sí, ya que el usuario pudiera, al igual que con ajuste de inventario, pudiera registrar

88
00:08:37,770 --> 00:08:44,610
una recesión ficticia y luego y luego cubrir sus acciones con ajuste de merma.

89
00:08:45,570 --> 00:08:52,500
De esta manera sería difícil identificar las actividades no autorizadas realizada por el usuario.

90
00:08:53,520 --> 00:08:55,110
Más adelante vamos a ver eso también.

91
00:08:56,550 --> 00:09:01,210
Entonces exepcion de materiales con envios de producto a proveedor?

92
00:09:02,370 --> 00:09:07,950
Yo diría que no, a excepción de materiales con solicitud de pedido.

93
00:09:10,170 --> 00:09:16,230
Esa combinación realmente que este las dos de un usuario no generan no genera ningún riesgo.

94
00:09:16,830 --> 00:09:18,120
Pero estamos haciendo así breve.

95
00:09:18,150 --> 00:09:26,730
Pero esto se realiza en base a una evaluación de riesgo al comparar ambas actividades y contando con

96
00:09:26,730 --> 00:09:31,410
el conocimiento del negocio y del levantamiento inicial que hicimos.

97
00:09:31,920 --> 00:09:39,810
Pudiéramos entonces identificar con mayor detalle cuáles son esos riesgos reales que pueden generar

98
00:09:39,810 --> 00:09:42,150
esa combinación de funciones.

99
00:09:43,230 --> 00:09:49,620
Ahora lo estamos haciendo rápido y resumido con el objetivo no complicar mucho este caso de estudio.

100
00:09:49,710 --> 00:09:58,740
La idea es entender cuál es el propósito de la matriz de incompatibilidad y así lo hacemos con cada

101
00:09:58,740 --> 00:10:00,930
una de estas actividades.

102
00:10:01,530 --> 00:10:04,320
Seguimos con la siguiente recesion de mercancía.

103
00:10:05,340 --> 00:10:10,620
Aquí existe alguna incompatibilidad con ajuste de inventario?

104
00:10:11,910 --> 00:10:22,050
Si, si identificamos que si la marcamos, de lo contrario no la marcamos y así continuamos hasta evaluar

105
00:10:22,050 --> 00:10:25,110
cada una de las combinaciones que aquí tenemos.

106
00:10:25,800 --> 00:10:34,500
En esta pestaña yo lo había completado para nuestro ejemplo, ya que está completa con las combinaciones

107
00:10:34,590 --> 00:10:36,720
incompatibles que identificamos.

108
00:10:41,700 --> 00:10:49,110
Entonces tenemos cuatro, cinco, seis, siete combinaciones incompatibles.

109
00:10:50,070 --> 00:10:58,770
Posteriormente lo que hacemos es un resumen donde tomamos esas combinaciones incompatibles y redactamos

110
00:10:59,280 --> 00:11:01,500
los riesgos que identificamos.

111
00:11:02,280 --> 00:11:03,480
Algo como esto.

112
00:11:05,220 --> 00:11:10,650
Esta es una plantilla donde se coloca actividad 1, se coloca la actividad 2.

113
00:11:12,120 --> 00:11:17,850
Este sería el par que provoca la falta de segregación o la incompatibilidad.

114
00:11:18,570 --> 00:11:26,040
Aquí en descripción describimos el riesgo que identificamos y el nivel de riesgo sería si es un riesgo

115
00:11:26,040 --> 00:11:28,590
bajo medio o un riesgo alto.

116
00:11:29,880 --> 00:11:30,630
Entonces.

117
00:11:32,490 --> 00:11:40,470
Esta tabla ya yo la tengo llena acá en esta pestaña, con las combinaciones que vimos anteriormente.

118
00:11:42,510 --> 00:11:52,260
Por ejemplo, en la tabla anterior, en ésta identificamos una incompatibilidad en recepción de materiales.

119
00:11:55,340 --> 00:11:59,120
Ajuste de inventario en nuestra tabla de resumen

120
00:12:01,670 --> 00:12:02,240
Tocá.

121
00:12:05,930 --> 00:12:06,770
Tenemos.

122
00:12:09,060 --> 00:12:15,130
Apreciación de materiales, ajuste de inventario, Cecelia el par.

123
00:12:16,290 --> 00:12:22,170
Y así con cada uno de los pares, coloque acá al riesgo.

124
00:12:22,350 --> 00:12:29,250
El usuario es capaz de introducir una recesión ficticia o incorrecta y aprobar las diferencias por ajuste

125
00:12:29,250 --> 00:12:32,790
de inventario con el objetivo de ocultar dicha recepción.

126
00:12:34,470 --> 00:12:35,460
Read Blacky.

127
00:12:38,450 --> 00:12:46,760
Esta primera combinación que tenemos ajustes de inventario y envíos de producto, proveedores de inventario

128
00:12:47,270 --> 00:12:51,560
y envío de producto, proveedores, otra que identificamos.

129
00:12:54,180 --> 00:12:55,390
La colocamos aquí.

130
00:12:57,200 --> 00:13:04,310
Y agregamos el riesgo, el usuario es capaz de introducir una entrega ficticia o incorrecta y aprobar

131
00:13:04,310 --> 00:13:08,390
las diferencias por ajuste de inventario con el objetivo de ocultar dicha entrega.

132
00:13:09,020 --> 00:13:10,250
El nivel de riesgo alto.

133
00:13:12,590 --> 00:13:19,790
Entonces, luego de completar esta tabla con todas las combinaciones incompatibles y haber agregado

134
00:13:19,790 --> 00:13:29,300
el riesgo, entonces podemos continuar la siguiente fase que hasta el momento ya tenemos las actividades

135
00:13:29,300 --> 00:13:29,910
crítica.

136
00:13:30,730 --> 00:13:38,210
Ya, ya sabemos cuáles son las combinaciones entre ellas que generan riesgo, es decir, las combinaciones

137
00:13:38,210 --> 00:13:39,080
incompatibles.

138
00:13:39,440 --> 00:13:44,570
Ahora necesitamos saber cuáles son los privilegios o acceso que tienen los usuarios en el sistema.

139
00:13:45,240 --> 00:13:49,520
Entonces, para eso obtenemos un reporte del del sistema R.P.

140
00:13:49,790 --> 00:13:53,330
Lo podemos solicitar al área dueña del sistema.

141
00:13:53,360 --> 00:14:01,220
El Departamento de Tecnología, por ejemplo, y en el reporte vamos a obtener cuáles son esos accesos.

142
00:14:02,420 --> 00:14:06,080
Este es un ejemplo de un reporte del sistema, un reporte.

143
00:14:06,110 --> 00:14:17,720
Como ejemplo sería un reporte guía donde vamos a obtener los usuarios el nombre, los usuarios, el

144
00:14:17,720 --> 00:14:24,140
rol que tiene ese usuario y cuáles son los privilegios que tiene.

145
00:14:24,660 --> 00:14:30,260
Si se fija en los privilegios, son las mismas transacciones crítica que estamos evaluando.

146
00:14:30,350 --> 00:14:36,860
En caso de que el reporte como el reporte puede traer todos los usuarios, todas las.

147
00:14:38,420 --> 00:14:40,280
Los accesos y actividades.

148
00:14:40,370 --> 00:14:48,410
En este caso solamente filtramos los accesos que necesitamos para nuestra evaluación, que son las actividades

149
00:14:48,410 --> 00:14:51,230
críticas que estamos evaluando.

150
00:14:52,930 --> 00:14:53,700
Entonces.

151
00:14:54,650 --> 00:15:03,200
Que tenemos que al sol, operario de almacén tiene privilegio de recepción de mercancía, de ajuste

152
00:15:03,200 --> 00:15:06,620
de inventario y recepción de materiales.

153
00:15:09,420 --> 00:15:18,000
Entonces, conociendo cuáles son los accesos que tienen los usuarios y conociendo ya cuáles son las

154
00:15:18,000 --> 00:15:20,550
actividades incompatibles.

155
00:15:21,090 --> 00:15:26,400
Lo que vamos a hacer ahora es crear una matriz de segregación de funciones.

156
00:15:28,170 --> 00:15:36,600
La matriz de segregación de funciones es algo como esto es una plantilla, una tabla de Excel.

157
00:15:36,840 --> 00:15:38,370
El formato puede variar.

158
00:15:41,070 --> 00:15:44,280
Entiendo que este es simple, simple de entender.

159
00:15:44,880 --> 00:15:48,600
En la plantilla lo que se coloca son los roles.

160
00:15:49,200 --> 00:15:56,730
También pueden incluir los usuarios y las combinaciones que identificamos, que son como incompatibles.

161
00:15:57,180 --> 00:16:04,760
Esas fueron las combinaciones que resultaron de la matriz de incompatibilidad recepción de mercancía,

162
00:16:05,030 --> 00:16:05,730
de inventario.

163
00:16:05,760 --> 00:16:09,830
Esa combinación son pares de transacción combinación.

164
00:16:09,870 --> 00:16:11,220
Tenemos otra combinación.

165
00:16:13,230 --> 00:16:19,650
La número 2 es envío de producto, proveedor y ajuste de inventario, que lo vemos.

166
00:16:19,720 --> 00:16:22,260
Vamos a ver en la tabla de incompatibilidad.

167
00:16:22,290 --> 00:16:23,010
Por ejemplo.

168
00:16:25,290 --> 00:16:29,400
La primera fue recepción de materiales, ajuste de inventario.

169
00:16:32,760 --> 00:16:34,110
Entonces nuestra matriz.

170
00:16:35,790 --> 00:16:44,970
De segregación tenemos recesion de materiales, ajustes de inventario y así tenemos varias combinaciones

171
00:16:47,460 --> 00:16:53,020
aquí que aquí planteamos 4 4 combinaciones incompatibles.

172
00:16:53,760 --> 00:17:01,260
Entonces el siguiente paso es con el reporte que tenemos de los accesos de los usuarios.

173
00:17:03,880 --> 00:17:12,070
Vamos a marcar en esta plantilla las actividades que posee cada rol para identificar si existe alguna

174
00:17:12,070 --> 00:17:13,760
incompatibilidad en ese rol.

175
00:17:15,250 --> 00:17:20,470
Entonces vamos acá a reporte de ese reporte de acceso.

176
00:17:21,130 --> 00:17:25,630
Vemos que el rol de operario de almacén tiene recepción de mercancía.

177
00:17:26,590 --> 00:17:37,300
Vamos a la matriz de segregación y buscamos el rol operario de almacén y la actividad recepción de mercancía.

178
00:17:38,680 --> 00:17:40,660
La marcamos con una X.

179
00:17:42,970 --> 00:17:46,390
El siguiente acceso que tiene rol, roles, ajuste de inventario.

180
00:17:47,470 --> 00:17:51,850
Vamos a la matriz aquí en ajuste de inventario de la X.

181
00:17:52,930 --> 00:17:55,350
Ya identificamos una incompatibilidad.

182
00:17:57,480 --> 00:17:59,250
Tras nuestra primera incompatibilidad?

183
00:18:02,120 --> 00:18:03,370
Estoy de inventario.

184
00:18:03,580 --> 00:18:05,680
Aquí está también un inventario.

185
00:18:08,050 --> 00:18:10,440
Vamos a ver qué otro acceso tiene ese rol.

186
00:18:12,900 --> 00:18:20,910
Recepción de materiales, recepción de materiales y ya no tiene más accesos.

187
00:18:21,690 --> 00:18:26,450
Este rol tiene un problema de segregación de funciones en esta parte.

188
00:18:26,460 --> 00:18:33,990
Acá la combinación de la actividad recepción de mercancía y la actividad ajuste de inventario.

189
00:18:35,250 --> 00:18:37,910
Seguimos con el siguiente rol encargado de almacén.

190
00:18:40,560 --> 00:18:43,110
En el reporte de acceso al sistema.

191
00:18:45,010 --> 00:18:49,120
Tenemosque el encargado de almacén tiene excepción de mercancía.

192
00:18:49,180 --> 00:18:50,500
Ajuste de inventario.

193
00:18:55,130 --> 00:18:56,580
Recepción de mercancía.

194
00:18:57,020 --> 00:18:58,160
Ajuste de inventario.

195
00:19:01,940 --> 00:19:03,890
Envíos de producto a proveedores.

196
00:19:12,090 --> 00:19:13,650
Recepción de materiales.

197
00:19:19,020 --> 00:19:21,420
Este ajuste de inventario la tenía también.

198
00:19:26,280 --> 00:19:27,920
Y solicitud de pedido.

199
00:19:31,130 --> 00:19:40,160
Solicitud de pedido de la marcamos acá, entonces este rol tiene un problema de segregación aquí en

200
00:19:40,160 --> 00:19:46,310
esta combinación y tiene esta otra combinación incompatible y así sucesivamente.

201
00:19:46,310 --> 00:19:52,610
Seguimos completando cada uno de los roles, marcando los cuales son los accesos que tienen esta tabla.

202
00:19:53,420 --> 00:19:55,610
Tendríamos al final algo como esto.

203
00:20:00,370 --> 00:20:09,310
Aquí ya vemos cuáles son esos roles que tienen funciones incompatibles, tenemos tres roles con problemas

204
00:20:09,310 --> 00:20:16,630
de segregación, que es el de operario de almacén encargado de almacén y el encargado de compras que

205
00:20:16,630 --> 00:20:21,270
tiene actividades, solicitud de pedido y liberación de pedidos.

206
00:20:21,770 --> 00:20:29,620
Entonces, ya habiendo identificado cuáles son esos roles y cuáles son esos conflictos de segregación

207
00:20:29,620 --> 00:20:37,510
de funciones, entonces ya podemos plasmar esta información en un reporte de hallazgo, un reporte que

208
00:20:37,510 --> 00:20:41,770
va a resumir cuál es el problema de segregación de funciones que gratificados.

209
00:20:42,910 --> 00:20:46,690
Entonces tenemos acá una plantilla que podemos utilizar para eso.

210
00:20:47,770 --> 00:20:57,700
En esta plantilla vamos a colocar el usuario, el nombre, el rol, en caso de que tengan todas esas

211
00:20:57,700 --> 00:21:05,320
informaciones, también puede ser solamente colocar el rol o tal vez colocar el usuario el nombre de

212
00:21:05,320 --> 00:21:05,980
la persona.

213
00:21:06,730 --> 00:21:11,080
Aquí la combinación incompatible acceso o un acceso no se coloca aquí.

214
00:21:11,710 --> 00:21:19,090
La descripción del riesgo la colocamos acá los riesgos que identificamos en la matriz de incompatibilidad

215
00:21:20,170 --> 00:21:21,220
y el nivel de riesgo.

216
00:21:23,680 --> 00:21:25,480
Cuando coloquemos todo eso.

217
00:21:28,430 --> 00:21:30,170
Tendríamos algo así.

218
00:21:33,530 --> 00:21:35,600
Tenemos el Elron.

219
00:21:35,840 --> 00:21:38,180
Este es el usuario que tiene ese rol.

220
00:21:39,680 --> 00:21:40,030
A.

221
00:21:40,860 --> 00:21:50,300
A Rona Adolfo Ronna, operario de almacén que posee la combinación, recepción de mercancía y ajuste

222
00:21:50,300 --> 00:21:51,110
de inventario.

223
00:21:53,210 --> 00:22:01,610
Esta combinación genera este riesgo, el usuario es capaz de introducir una recepción ficticia o incorrecta

224
00:22:01,640 --> 00:22:08,090
y solventar las diferencias por ajuste de inventario con el objetivo de ocultar dicha recepción.

225
00:22:10,030 --> 00:22:12,610
Ese sería el riesgo y el nivel de riesgo alto.

226
00:22:14,050 --> 00:22:24,490
Así tenemos los demás riesgo como este de acá, que es el del encargado de compras que tiene la combinación,

227
00:22:24,490 --> 00:22:28,390
solicitud de pedido y liberación de solicitud de pedido.

228
00:22:29,530 --> 00:22:34,420
El riesgo de esto es que el usuario es capaz de hacer un pedido de productos.

229
00:22:35,410 --> 00:22:36,730
Aquí hay un error.

230
00:22:40,290 --> 00:22:47,070
El usuario es capaz de hacer un pedido de producto o servicio y a su vez autorizarlo sin rendir cuenta

231
00:22:47,070 --> 00:22:48,660
del fin de dicha solicitud.

232
00:22:49,620 --> 00:22:53,460
Este es uno de los riesgos que puede generar esa combinación.

233
00:22:55,440 --> 00:23:02,610
El nivel de riesgo para cada una de las combinaciones es incompatible que identificamos es alto entonces.

234
00:23:04,880 --> 00:23:13,570
Ya con esta tabla podemos presentar a la gerencia o al al área correspondiente los problemas de segregaciones

235
00:23:13,590 --> 00:23:21,660
que identificamos y vamos a recomendar dos cosas que mitiguen el riesgo que genera la falta de segregación

236
00:23:21,660 --> 00:23:24,200
de funciones, eliminando una.

237
00:23:24,390 --> 00:23:31,770
Uno de los accesos que genera la incompatibilidad en cada rol o colocando un control compensatorio para

238
00:23:31,770 --> 00:23:35,250
los casos donde no se pueda segregar dichas funciones.

239
00:23:36,600 --> 00:23:44,100
Los controles compensatorios pueden variar dependiendo de cuál sea la actividad o la función del cual

240
00:23:44,100 --> 00:23:44,920
se esté hablando.

241
00:23:45,420 --> 00:23:50,430
Entonces, luego de presentar esto, ya podemos dar como concluido este caso de estudio.

242
00:23:51,180 --> 00:23:52,470
Espero lo hayan entendido.