Delineando estrategias
Delineando estrategias
Delineando estrategias

Ajedrez y negocios: juegos de estrategia

avatar

Publicado por Eduardo Cocina

octubre, 2017

Puntos Destacados:

  • El principal objetivo de la segregación de funciones es detectar errores involuntarios y que ninguna persona tenga la facultad de realizar un fraude o mal uso de los recursos que tiene asignados 
  • Se debe partir de una correcta definición de control de accesos que garantice el adecuado manejo de los activos de la empresa y la integridad de datos
  • Control Interno es el área principal dentro de la organización, ya que se encarga de regular y monitorear el cumplimiento de las normativas necesarias y establecidas

Los negocios, como el ajedrez, se podrían clasificar como un “juego de estrategia”. El ajedrez tiene 16 piezas compuestas por un rey, una dama, dos alfiles, dos caballos, dos torres y ocho peones; se juega sobre un tablero de 8x8 casillas y el objetivo principal es proteger al rey; cada una de estas piezas tiene un rol independiente dentro del juego, así como los movimientos que tienen permitidos realizar en el tablero y las responsabilidades que tienen dentro del juego.

 

Consulte la publicación Gobierno, Riesgo y Cumplimiento. Eficiencia, transparencia y responsabilidad

 

Esto mismo pasa en una empresa en donde el objetivo principal es cuidar y mantener a salvo los activos de la empresa mediante la realización de las actividades de cada una de las funciones que componen la operación del negocio. Por tal motivo es importante que “protejamos al rey”. Para proteger los activos de nuestra empresa, y por lo tanto la integridad de los datos, es importante contar con una correcta estrategia de segregación de funciones.

Segregación de funciones

 Este concepto es un principio definido por el control interno que define que una persona no podrá realizar todas las actividades de una operación; nadie debe manejar todas las fases de una transacción, “ninguna persona debe ser capaz de registrar, autorizar y conciliar una transacción” (KPMG Perú).

 

Toda transacción debe pasar por las fases de aprobación, autorización, ejecución y registro, a cargo de personas independientes. El principal objetivo de la segregación de funciones es detectar errores involuntarios y que ninguna persona tenga la facultad de realizar un fraude o mal uso de los recursos que tiene asignados.

 

La segregación de funciones es la definición de las actividades y responsabilidades que tienen las 16 piezas dentro del tablero de ajedrez, estableciendo cada uno de los movimientos y funciones que debe realizar cada una estas piezas.

 

Para tener una correcta segregación de funciones o definición de las actividades de mis piezas en el tablero, se debe partir de una correcta definición de control de accesos que garantice el adecuado manejo de los activos de la empresa y la integridad de datos. Es importante considerar las siguientes áreas como clave dentro del control de accesos:

 

  1. Gestión de Riesgo: esta área dentro de la empresa es la que se encarga de la detección temprana de los riesgos, los cuales por la operación del negocio no pueden ser eliminados, pero se tienen detectados, medidos y monitoreados; de la misma forma define acciones correctivas y preventivas para disminuir el impacto de los mismos (es importante considerar que esta área dependerá del estado de madurez de la empresa).
  2. Recursos Humanos: es el área detonante de la creación, modificación e incluso la baja del usuario en todas las plataformas que el empleado requiere o requirió dentro de las operaciones de negocio. Debe contar con una matriz de funciones que es definida a la par con el personal de negocio y control interno, en la cual definen los roles y responsabilidades de cada una de las funciones que componen el proceso de negocio; así como cada una de las herramientas y accesos necesarios para el desempeño de las mismas.
  3. Control Interno: es el área principal dentro de la organización, ya que se encarga de regular y monitorear el cumplimiento de las normativas necesarias y establecidas; así como la validación de controles y la eficacia de los mismos.
  4. Auditoría TI: se encarga de verificar la eficacia y eficiencia de los controles establecidos por el área de control interno y la organización, los cuales definen periodos de revisión y proporcionan un resultado con las observaciones encontradas durante la revisión.
  5. Organización: es la parte fundamental del negocio ya que es el grupo de funciones que se encargan de desempeñar cada una de las actividades que componen la operación del día a día dentro de la empresa.

 

frase_resaltada_900px-ajedrez-negocios.png

 

 

Dentro de la segregación de funciones, es importante considerar las siguientes regulaciones:

 

  • COSO (Committe of Sponsoring Organizations of the Treadwat Commission): propone definir las responsabilidades y la segregación de funciones como sea necesario en diferentes niveles de la organización.
  • SOX, Ley Sarbanes Oxley: nace con el fin de monitorear a las empresas que cotizan en la bolsa de valores, evitando que el valor de las acciones sean alteradas de manera dudosa. Su finalidad es evitar fraudes y riesgos de bancarrota, protegiendo al inversor y señala que se debe definir una matriz de segregación de funciones donde se definan las combinaciones incompatibles, el análisis de roles y perfiles de los empleados.
  • COBIT: es un marco de gobierno de las tecnologías de información que proporciona una serie de herramientas para que la empresa pueda conectar los requerimientos de control con los aspectos técnicos y los riesgos de negocio, señala que se debe implantar una división de roles y responsabilidades que reduzca la posibilidad de que un solo individuo afecte negativamente un proceso crítico. La gerencia también se asegura de que el personal realice solo las tareas autorizadas, relevantes a sus puestos y posiciones respectivas.
  • ISO 27000: es un estándar de control de la seguridad de la información publicado por la organización internacional de la estandarización (ISO) y la Comisión Electrotécnica Internacional (IEC), que promueve dentro de sus normas el control de acceso de la segregación de tareas y áreas de responsabilidad con el fin de reducir las oportunidades de modificación no autorizada o no intencionada, o el mal uso de los activos de la organización.
  • NIST (National Institute of Standars and Technology): desarrolló principios y prácticas para formar un sistema de seguridad de la información y promueve un marco de control que divida los roles y responsabilidades alineadas a un área de injerencia o posición evitando intervenir en procesos críticos incompatibles.
  • BASILLEA II: está compuesto por los bancos centrales del G-10 (Grupo de los Diez), y donde se publicaron un conjunto de recomendaciones sobre la legislación y regulación bancaria, señala que se deben monitorear los riesgos de segregación de funciones entre funciones sensibles o incompatibles.
  • BASILLEA III: es un conjunto integral de reformas, promovidas por el Foro de Estabilidad Financiera (FSB, Financial Stability Board, por sus siglas en inglés) y el G-20 (Grupo de los veinte), para fortalecer el sistema financiero tras la crisis de las hipotecas crediticias. Rescata la existencia de una estructura de control de actividades definidas en cada nivel de negocio.
  • PCAOB (Public Company Accounting Oversight Board): es dirigida por la Ley Sarbanes-Oxley de 2002 para establecer normas de auditoría relacionadas con la práctica profesional por firmas de contadores públicos registrados para seguir en la preparación y emisión de informes de auditoría. Señala la necesidad de implementar la segregación de funciones o controles alternativos que dividen incompatibilidades.
  • La Ley de la Comisión Nacional Bancaria y de Valores: en el Artículo 6 bis, estipula la adopción de una adecuada segregación de funciones entre las unidades de negocio y las instancias de la estructura orgánica de las entidades.
  • CUB Circular Única de Bancos: en el Artículo 154 señala que se debe procurar que exista una clara segregación y delegación de funciones y responsabilidades entre distintas unidades de la institución y la independencia entre las unidades y funciones.

Administrando una estrategia definida de control de accesos donde se definen los roles y responsabilidades de cada una de las piezas que conforman nuestro tablero, podemos estar listos para realizar un jaque mate a la segregación de funciones.

 

Opine: ¿cómo podría afectar un recorte de presupuesto a la segregación de funciones y cómo solucionar las posibles afectaciones?

Temas: Cumplimiento Regulatorio

¡Opine!