En el post de hoy, David, nuestro jefe de departamento de la línea de negocio SAP, nos explica los pasos a realizar para definir nuestra propia matriz de riesgos de segregación de funciones (SoD) en un sistema SAP y la estrategia para el diseño de controles compensatorios.
El riesgo de segregación de funciones es un tema común en todas las empresas. Intentemos dividir y conquistar. El significado de Riesgo es “la probabilidad de que ocurra un acontecimiento desafortunado, multiplicada por el impacto potencial o el daño ocasionado por el acontecimiento”:
RIESGO=PROBABILIDAD x IMPACTO
Por otro lado, la definición de Segregación de Funciones es: “La separación de funciones, como principio de seguridad, tiene como objetivo principal la prevención de fraudes y errores. Este objetivo se consigue distribuyendo las tareas y los privilegios asociados para un proceso de negocio específico entre múltiples usuarios”. Una vez que tenemos claro el concepto de Riesgo de Segregación de Funciones avancemos con la definición de la Matriz SoD.
Cuando una empresa requiere establecer su Matriz de Riesgo SoD dentro de SAP GRC se requiere seguir un principio clave “Empezar pequeño trabajar grande”. ¿Pero qué significa esto? La Matriz de Riesgos Estándar de SAP tiene cerca de 200 Riesgos SoD, si la empresa está empezando en el Área de Gestión de Riesgos y decide activar toda la Matriz de Riesgos Estándar de SAP sin un análisis previo, los datos y los resultados serán tan enormes que nadie podrá tomar ninguna decisión respecto a la Remediación/Mitigación de los Riesgos SoD.
Fase I – Simplificar el proceso
Establecer una Matriz de Riesgos que cubrirá lo que las Auditorías Internas y Externas están monitoreando actualmente. Dado que esos Riesgos de SoD son conocidos dentro de la Organización, es un gran comienzo dentro del Área de Gestión de Riesgos. Con SAP GRC usted podrá monitorear esos Riesgos más frecuentemente y por lo tanto podrá planear actividades de Corrección y Mitigación.
Fase II – Mejora continua
Como hemos descrito anteriormente, es una gran decisión comenzar con una Matriz de Riesgos de SoD que sea familiar dentro de su Organización. Sin embargo, es importante cumplir con el concepto de Mejora Continua, por lo que se recomienda activar nuevos Riesgos SoD de forma periódica. La recomendación será centrarse en dos de los procesos más importantes dentro de la Organización: Purchase to Pay y Order to Cash, que pueden estar relacionados con las Salidas de Caja y las Entradas de Caja, respectivamente. Dado que estos dos procesos tienen 67 y 29 Riesgos SoD, se recomienda clasificarlos en base a Niveles de Riesgo. Como criterio, se puede establecer que el riesgo más crítico es el que está relacionado con las actividades de Flujos de Caja.
Fase III – Inmersión en profundidad
Una vez que su organización se encuentra en esta fase, es porque todos los Riesgos anteriores están vigilados y bajo control. Por lo tanto, se requiere avanzar dentro del Área de Gestión de Riesgos, revisando y monitoreando todos los Riesgos Estándar de SoD e incluso crear nuevos si son requeridos por la Organización. Es importante documentar todos los Procesos Clave, establecer el Propietario del Proceso para cada uno de ellos y detallar los Controles que se incluyen en cada uno de estos Procesos Clave.
Estrategia de gestión de riesgos
Dado que la Matriz de Riesgos incluye Riesgos con diferentes procesos de negocio, se recomienda programar reuniones para cada uno de los Procesos Clave individualmente, lo que significa, que como ejemplo, se requiere tener una reunión para:
- Comprar para pagar
- Hacer para entregar
- Registrar para informar
- Ordenar para cobrar
- Contratar para retirar
En todas estas reuniones, es importante seguir los mismos criterios:
- Niveles de riesgo: 3 o 5 pero no se puede tener un proceso con 3 y otro con 5.
- Definición del riesgo inherente: Es común establecer el Nivel de Riesgo pensando que existen algunos controles dentro de la Organización. Sin embargo, se recomienda pensar en el Nivel de Riesgo excluyendo los Controles que están
- Definición clara de las funciones que se incluyen dentro del Riesgo SoD: En algunos casos, la descripción de la función es confusa y por lo tanto, se recomienda incluir ejemplos claros del Riesgo SoD.
Por ejemplo, si se utiliza la Matriz de Riesgos Estándar como base, es importante registrar todos los cambios realizados en ella y el motivo de los mismos. Si usted va a desactivar un riesgo SoD porque el proceso dentro de este riesgo no es aplicable dentro de su organización, se recomienda incluir ese comentario, de modo que cuando los auditores pregunten la razón por la que el riesgo fue desactivado, usted puede proporcionar la razón específica detrás de esa decisión. Lo mismo ocurre con los niveles de riesgo, si se va a rebajar el nivel de riesgo de un riesgo SoD es importante registrar la justificación.
Diseño de controles de mitigación
Una vez que tenga la primera versión de su Matriz de Riesgos de SoD, es importante entender cuáles son los controles que están actualmente en vigor y que, por lo tanto, reducen el impacto o la probabilidad del Riesgo de SoD.
En general, la gente piensa en los Controles que pueden mitigar un Riesgo, Riesgo por Riesgo, pero la recomendación será centrarse en las Funciones que generan los Riesgos de SoD. Extraiga todas las funciones incluidas en su matriz de riesgos de DPE y piense en los controles que existen actualmente para cada función. Asigne cada control a cada función (un control puede mitigar más de una función). Esta estrategia le proporcionará mucha más visibilidad sobre las Funciones que tienen controles fuertes o débiles e incluso Funciones que no tienen ningún control. Este último estado es más común de lo que se piensa, así que no hay que preocuparse.
Una vez que haya mapeado la Función y el(los) Control(es) para cada una de ellas, necesita mapear los Controles a los Riesgos SoD dentro de su Matriz de Riesgos. Con este mapeo podrá ver qué Riesgos de SoD tienen Controles establecidos y cuáles no. Ahora sabe dónde tiene que poner el esfuerzo en cuanto al diseño o la definición de los controles de mitigación. Cada Riesgo SoD necesita tener al menos un Control asignado.
Por otro lado, como se sabe cuántas veces un Control está mapeado al Riesgo SoD, se podrá entender el impacto si ese control falla (perdiendo la mitigación en varios Riesgos SoD).
La recomendación para documentar cada control contiene las siguientes categorías:
- Tipo I: Automatizado, semiautomatizado o manual.
- Tipo II: Preventivo o de detección.
- Frecuencia: En función del evento, diaria, semanal, bisemanal, mensual, trimestral, bianual, anual.
- Control con o sin llave.
- Fuerza: Fuerte, Media o Débil.
En cuanto tenga esta información para cada Control, podrá entender el Riesgo Residual que quedará después de la aplicación del Control de Mitigación. Después de esto, la mejor estrategia será centrarse en los Riesgos SoD que después de la aplicación de los Controles de Mitigación el Nivel de Riesgo Residual sigue siendo Alto (no teniendo ningún control o la fuerza del Control es Débil).