Actualmente prácticamente todas las grandes empresas e incluso muchas medianas y/o emergentes, gestionan su operación apoyados por sistemas ERP, que integran todas las transacciones de negocio y se alinean con las funcionalidades de clase mundial que traen preconfigurados, por ende de una u otra forma contribuyen a incrementar el valor en las compañías, principalmente aquellas que integran su cadena de valor.
Si bien los sistemas ERP efectivamente contribuyen a incrementar el valor, no se debe perder de vista o descuidar el hecho de mantener o preservar el valor, mitigando los diversos riesgos a los que se ven expuestos los procesos de negocios que operan con estas soluciones.
Existen estudios en el mundo que indican que los principales fraudes a nivel de procesos de negocios, son producto de fallas en la segregación funcional (SoD) de estos y coincide que en las empresas en donde se han materializado estos fraudes poseen implementados sistemas ERP con grandes inversiones que en la gran mayoría de los casos corresponden a millones de dólares.
Entonces la pregunta que se hacen los inversionistas y la administración es "Si invertimos tanto dinero en este sistema. ¿Por qué nos vemos expuestos a estos riesgos?" La respuesta es clara, simplemente se implementan las buenas prácticas desde el punto de vista funcional u operacional, pero no desde una perspectiva de control interno, lo que implica que esos riesgos no se mitigan.
Las medidas de control interno en el marco de las implementaciones de los sistemas ERP, generalmente pasan a un ámbito muy secundario y lo único que es primario, es el hecho que el sistema opere en forma adecuada en línea con las necesidades de la operación del negocio, que si lo reflexionamos, es de sentido común, dado a que la facturación por ejemplo no se puede ver alterada, los camiones de las plantas no pueden parar por problemas en las bodegas, etc.
Ahora bien, para no alterar todas estas considaciones mencionadas antes y que parecen ser muy razonables, comienza a ser muy necesario contar con una herramienta que permita definir y analizar en forma automática la definición de la segregación funcional para los privilegios de los usuarios y así poder cerrar todos las puertas críticas que eventualmente puedan estar quedando vulnerables en el contexto de la implementación.
Luego, en el proceso de estabilización y posteriormente en régimen normal como parte de la mejora continua, se debe ir aplicando medidas de remediación apoyado de la herramienta automática de análisis SoD y la idea es que la administración de los privilegios, se haga con esta herramienta.
Como la decisión de los privilegios que se le debe dar a los usuarios es de la línea o dueños de procesos, es ideal que ellos cuenten con la posibilidad de interactuar con una herramienta y que en forma muy clara y práctica puedan verificar los riesgos y aprobar o rechazar los privilegios que son solicitados en el día a día y no enredarse en aspectos técnicos propios del sistema ERP.
Otros estudios indican que las empresas que administran sus privilegios en forma manual, están más expuestas a errores y fraudes en comparación con aquellas que utilizan herramientas de análisis automático de segregación funcional y ademas, tienen que realizar rediseños de roles y perfiles de usuario cada 3 años en promedio, con nuevas inversiones, estrés y molestias para los usuarios.
Finalmente, mencionar que otro de los problemas que enfrentan las empresas, es que la administración de roles y perfiles, se la pasan a las unidades de auditoría interna, lo que claramente atenta con la independencia de los auditores, dado a que tienen que ser "juez y parte", lo que a la hora de auditar la segregación funcional de los procesos de negocio, les juega absolutamente en contra y al contar con una herramienta, los auditores podrán hacer uso de esta para monitorear el modelo de privilegios implementado, ejecutar pruebas de auditoría de segregación funcional de manera más eficiente y hacer las recomendaciones a la línea con plena independencia.
Las herramientas de clase mundial de este tipo más recomendadas debido a sus funcionalidades son: Approva, SAP Business Objects GRC Access Control, Oracle Application Access Controls Governor.
No hay comentarios:
Publicar un comentario
Comentarios blog GRC Chile