OPINIÓN: ¿Cómo lograr una correcta estrategia de segregación de funciones?

Así como en el ajedrez, en donde se busca proteger al rey, en una empresa el objetivo es cuidar y mantener a salvo los activos a través de las funciones que componen la operación del negocio.
Estrategia  Administrando una estrategia definida de control de accesos donde se definen los roles y responsabilidades de cada una de las piezas que conforman nuestro tablero.  (Foto: iStock)
EDUARDO COCINA y LESLY COLMENARES

Nota del editor: Eduardo Cocina y Lesly Colmenares son socio y Gerente de Asesoría en Tecnologías de la Información, respectivamente, de KPMG en México. Las opiniones expresadas en esta columna son responsabilidad de los autores.

(Expansión) – El ajedrez y los negocios los podríamos clasificar como un “juego de estrategia”. El ajedrez tiene 16 piezas compuestas por un rey, una dama, dos alfiles, dos caballos, dos torres y ocho peones; se juega sobre un tablero de 8x8 casillas y cuyo objetivo principal es proteger al rey; cada una de estas piezas tiene un rol independiente dentro del juego, los movimientos que tienen permitidos realizar en el tablero y las responsabilidades que tiene cada una de las piezas dentro del juego.

Lo mismo pasa en una empresa en donde el objetivo principal es cuidar y mantener a salvo los activos mediante la realización de las actividades de cada una de las funciones que componen la operación del negocio. Por tal motivo es importante que “protejamos al rey”. Dentro de nuestra empresa, proteger los activos de la misma y por tanto la integridad de los datos, es importante contar con una correcta estrategia de segregación de funciones.

Lee: Tres estrategias financieras para diciembre

Segregación de funciones

Este concepto es un principio definido por el control interno que define que una persona no podrá realizar todas las actividades de una operación; nadie debe manejar todas las fases de una transacción, “ninguna persona debe ser capaz de registrar, autorizar y conciliar una transacción”. (KPMG Perú).

Toda transacción debe pasar por las fases de: aprobación, autorización, ejecución y registro, a cargo de personas independientes. El principal objetivo de la segregación de funciones es para detectar errores involuntarios y para que ninguna persona tenga la facultad de realizar un fraude o mal uso de los recursos que tiene asignados.

¿Cómo hacer un plan de negocios a 5 años?

La segregación de funciones es la definición de las actividades y responsabilidades que tienen de 16 piezas dentro del tablero de ajedrez, estableciendo cada uno de los movimientos y funciones que debe realizar cada una de las piezas.

Para tener una correcta segregación de funciones o definición de las actividades de mis piezas en el tablero debe partir de una correcta definición de 'control de accesos'. Es importante tener definidos los roles y responsabilidades que tienen nuestras piezas dentro del tablero como en el ajedrez, la correcta definición del control de accesos nos garantiza el correcto manejo de los activos de la empresa y la integridad de datos.

Lee: Las estrategias para las ciudades del futuro

Es importante considerar las siguientes áreas como clave dentro del control de accesos:

  • Gestión de Riesgo: esta área dentro de la empresa es la que se encarga de la detección temprana de los riesgos, los cuales por la operación del negocio no pueden ser eliminados, pero se tienen detectados, medidos y monitoreados; de la misma forma define acciones correctivas y preventivas para disminuir el impacto de los mismos (es importante considerar que esta área dependerá del estado de madurez de la empresa).
  • Recursos Humanos: es el área detonante de la creación, modificación e incluso la baja del usuario en todas las plataformas que el empleado requiere o requirió dentro de las operaciones de negocio. Debe contar con una 'matriz de funciones' que es definida a la par con el personal de negocio y control interno, en la cual definen los roles y responsabilidades de cada una de las funciones que componen el proceso de negocio; así como cada una de las herramientas y accesos necesarios para el desempeño de las mismas.
  • Control Interno: es el área principal dentro de la organización, ya que se encarga de regular y monitorear el cumplimiento de las normativas necesarias y establecidas; así como de la validación de controles y la eficacia de los mismos.
  • Auditoría TI: se encarga de verificar la eficacia y eficiencia de los controles establecidos por el área de control interno y la organización, los cuales definen periodos de revisión y proporcionan un resultado con las observaciones encontradas durante la revisión.
  • Organización: es la parte fundamental del negocio, ya que es el grupo de funciones que se encarga de desempeñar cada una de las actividades que componen la operación del día a día dentro de la empresa.

Al igual que en el ajedrez existen reglas o regulaciones que están establecidas con el fin de garantizar un marco legal mediante la definición de procedimientos y reglas que deben ser consideradas por las empresas; dentro de la segregación de funciones es importante considerar la siguientes:

  • COSO (Committe of Sponsoring Organizations of the Treadwat Commission) propone definir las responsabilidades y la segregación de funciones como sea necesario en diferentes niveles de la organización.
  • SOX, Ley Sarbanes Oxley nace con el fin de monitorear a las empresas que cotizan en la Bolsa de Valores, evitando que el valor de las acciones sean alteradas de manera dudosa. Su finalidad es evitar fraudes y riesgos de bancarrota, protegiendo al inversor y señala que se debe definir una matriz de segregación de funciones donde se definan las combinaciones incompatibles, el análisis de roles y perfiles de los empleados.
  • COBIT, es un marco de gobierno de las tecnologías de información que proporciona una serie de herramientas para que la empresa pueda conectar los requerimientos de control con los aspectos técnicos y los riesgos de negocio, señala que se debe implantar una división de roles y responsabilidades que reduzca la posibilidad de que un solo individuo afecte negativamente un proceso crítico. La gerencia también se asegura de que el personal realice solo las tareas autorizadas, relevantes a sus puestos y posiciones respectivas.
  • ISO 27000, es un estándar control de la seguridad de la información publicado por la organización internacional de la estandarización (ISO) y la Comisión Electrotécnica Internacional (IEC), que promueve dentro de sus normas el control de acceso la segregación de tareas y áreas de responsabilidad con el fin de reducir las oportunidades de modificación no autorizada o no intencionada, o el mal uso de los activos de la organización.
  • NIST (National Institute of Standars and Technology) desarrolló principios y prácticas para formar un sistema de seguridad de la información y promueve un marco de control que divida los roles y responsabilidades alineadas a un área de injerencia o posición evitando intervenir en procesos críticos incompatibles.
  • BASILLEA II, está compuesto por los bancos centrales del G-10 (Grupo de los Diez), donde se publicó un conjunto de recomendaciones sobre la legislación y regulación bancaria, señala que se deben monitorear los riesgos de segregación de funciones entre funciones sensibles o incompatibles.
  • BASILLEA III es un conjunto integral de reformas, promovidas por el Foro de Estabilidad Financiera (FSB, Financial Stability Board, por sus siglas en inglés) y el G-20 (Grupo de los veinte), para fortalecer el sistema financiero tras la crisis de las hipotecas crediticias. Rescata la existencia de una estructura de control de actividades definidas en cada nivel de negocio.
  • PCAOB (Public Company Accounting Oversight Board) es dirigida por la Ley Sarbanes-Oxley de 2002 para establecer normas de auditoría y relacionadas con la práctica profesional por firmas de contadores públicos registrados para seguir en la preparación y emisión de informes de auditoría. Señala la necesidad de implementar la segregación de funciones o controles alternativos que dividen incompatibilidades.
  • La ley de la Comisión Nacional Bancaria y de Valores (CNBV) en el Artículo 6 bis estipula la adopción de una adecuada segregación de funciones entre las unidades de negocio y las instancias de la estructura orgánica de las entidades.
  • CUB Circular Única de Bancos en el Artículo 154 señala que se debe procurar que exista una clara segregación y delegación de funciones y responsabilidades entre distintas unidades de la institución y la independencia entre las unidades y funciones.

OPINIÓN: La integración de la tecnología en servicios de operación en empresas

Administrando una estrategia definida de control de accesos donde se definen los roles y responsabilidades de cada una de las piezas que conforman nuestro tablero, podemos estar listos para realizar un jaque mate a la segregación de funciones.

Consulta más información sobre este y otros temas en el canal Opinión

Ahora ve
Científicos europeos descubren un exoplaneta que podría albergar vida
No te pierdas
×