Segregación de funciones y seguridad de acceso

A medida que los auditores revisan las áreas de riesgo organizacional y la exactitud de los estados financieros, investigan la adopción y práctica de técnicas de control interno relacionadas para la segregación de funciones y la seguridad del acceso.

Separación de funciones

Uno de los principales objetivos del cumplimiento normativo es garantizar que solo las personas correctas accedan a los datos o los creen. La segregación de funciones es el acto de separar y asignar pasos en un proceso a diferentes propietarios, lo que sirve como una doble verificación de la precisión y la ausencia de fraude. Como principio general, una organización debe asegurarse de que las responsabilidades apoyen la separación de funciones para que una persona no pueda eludir los controles financieros o tener la responsabilidad de extremo a extremo de un proceso.

Para obtener más información, consulte:

• Permisos
• Informe de permisos para todos los usuarios
• Permisos de usuario Informe de actividad

Consideraciones para la separación de funciones

Muchas organizaciones tienen dificultades para implementar un marco de segregación de funciones basado en el acceso debido a la falta de personal en funciones relacionadas con las finanzas. En consecuencia, deben complementar los controles de acceso con controles de detección mitigantes.

Como principio general, enumere los controles de segregación de funciones en el marco de controles principales de la organización y no en el marco de controles de acceso. Esto anima a la organización a considerar otras formas de gestionar los riesgos más allá de confiar en el acceso y los permisos.

Seguridad de acceso y permisos

Sage Intacct permite a los administradores restringir el acceso de los empleados a diferentes áreas de aplicaciones en función de su función y departamento. Por ejemplo, un administrador de TI podría conceder a un nuevo empleado que gestione cuentas a pagar acceso solo a la aplicación Cuentas a pagar de Sage Intacct, al tiempo que impide su acceso a otras aplicaciones, como Cuentas a cobrar y Gestión de tesorería.

Entre las diversas formas en que se puede restringir el acceso a funciones y lograr la segregación de funciones en Sage Intacct se incluyen:

• La forma estándar es a través de permisos. Los permisos se pueden administrar a nivel individual o con roles. Para obtener más información, consulte:
  • Permisos
  • Informes de permisos de usuario
• Los informes y paneles de control se pueden crear con listas de acceso restringido. Con las listas restringidas, solo determinados usuarios pueden acceder a los datos del informe o panel de control. Para obtener más información, consulte Pestaña Permisos.
• Las definiciones de transacciones se pueden crear con reglas para restringir el acceso a la funcionalidad de una actividad determinada. Por ejemplo, una factura de venta solo se puede crear con referencia a un pedido de venta. Además, se puede crear una plantilla de transacción con listas de acceso restringido. Con las listas restringidas, solo usuarios específicos pueden crear o acceder a esos tipos de transacciones. Para obtener más información, consulte Definiciones de transacciones (los permisos de usuario y grupo en la pestaña Configuración de seguridad).

Consideraciones sobre la seguridad de acceso y los permisos

Pueden surgir muchos problemas de acceso debido a los requisitos y realidades de la organización, especialmente a medida que las organizaciones escalan y experimentan cambios en las operaciones y la dotación de personal. Estos problemas pueden incluir los siguientes:

• En las organizaciones pequeñas y medianas, los roles de los empleados tienden a ser más flexibles. Por lo tanto, se proporciona acceso que no cumple con los requisitos de auditoría. Esto no es un problema si siguen siendo pequeños, pero podrían requerir más disciplina organizativa cuando crezcan, busquen cierta financiación o planifiquen un cambio en la estructura legal.
• Los cambios organizativos que afectan a quién hace qué pueden requerir un rediseño de los permisos de acceso después de que el sistema esté en uso. Este rediseño requiere tiempo y esfuerzo adicionales para evaluar, actualizar y probar.
• Muchas organizaciones tienden a depender demasiado de los controles de acceso para los objetivos de control de existencia en lugar de adoptar una visión más holística del poder de los controles de detección (como los informes y la supervisión), que a menudo son eficaces en organizaciones pequeñas y medianas.
• Los permisos pueden ser muy complejos de diseñar correctamente desde el principio. Antes de diseñar, comprende todo el potencial de los sofisticados controles de acceso de Sage Intacct y anticípate a todos los requisitos de la organización, incluidas las necesidades futuras.

A veces, las empresas de auditoría externa se centran en los controles de acceso antes de comprender completamente cómo una solución de Sage Intacct realiza los controles financieros, ya que los controles de acceso son más fáciles de auditar y más fáciles de encontrar errores. Recuerde que los controles de acceso son solo un elemento de control y que también se deben considerar otras formas de obtener evidencia de la existencia/autenticidad de las transacciones, como los controles de detección y monitoreo.

Seguridad de acceso y permisos

Funciones de acceso y permisos	Justificación	Limitaciones
Acceso basado en transacciones y menús	Fácil de entender y visible. Fácil de diseñar, ya que las comprobaciones de seguridad son una locura desde el principio de la transacción.	Es posible que no admita requisitos de acceso complejos
Basado en el flujo de trabajo	Esencial para admitir los controles del flujo de trabajo.	Puede ser complejo si los flujos de trabajo son demasiado complejos
Basado en elementos de datos (por ejemplo, entidad o proveedor)	Admite controles sobre datos confidenciales (por ejemplo, contratos gubernamentales, campos confidenciales como datos bancarios, datos personales de empleados que son proveedores).	Podría dictar la necesidad de una lógica de transacción que requiera que estos datos se introduzcan por adelantado
Permisos especiales para transacciones específicas	Donde hay permisos de acceso específicos vinculados a la funcionalidad. Este suele ser el caso de las actividades de administración del sistema, pero puede extenderse a las transacciones comerciales.	Añade complejidad, pero puede ser una solución para necesidades específicas
Funciones para comprobaciones de seguridad personalizadas, lo que permite reglas definidas por el cliente	Proporciona una mayor flexibilidad.	Los auditores deben comprender y probar la eficacia del diseño de estos controles.