Separación de funciones

Ir a: navegación, búsqueda de

Separación de funciones (SoD) (también conocido como "segregación de funciones") es el concepto de tener más de una persona necesaria para completar una tarea. En la separación mediante el intercambio de más de un individuo en una sola tarea es un control interno la intención de prevenir fraude y error. El concepto se llama alternativamente la segregación de funciones o, en el ámbito político, separación de poderes. En democracias, la separación de legislación De Administración deberá servir para imparcial Gobierno. El concepto se aborda en sistemas técnicos y en tecnología de la información equivalente y, en general dirigida como redundancia.

Contenido

  • 1 Descripción general
    • 1.1 Principios
    • 1.2 Patrones auxiliares
  • 2 Aplicación en general y de empresa en contabilidad
  • 3 Aplicación en sistemas de información
  • 4 Véase también
  • 5 Referencias
  • 6 Referencias generales
  • 7 Enlaces externos

Descripción general

Separación de funciones es un concepto clave de los controles internos. Mayor protección contra fraude y errores debe ser equilibrada con el creciente costo y esfuerzo requerido.

En esencia, SoD implementa un nivel adecuado de controles y equilibrios sobre las actividades de individuos. R Botha. A. y J. P. H. Eloff en el IBM Revista sistemas describen SoD como sigue.

Separación del deber, como un principio de seguridad, tiene como objetivo primordial la prevención de fraudes y errores. Este objetivo es logrado mediante la difusión de las tareas y los privilegios asociados a un proceso de negocio específicas entre múltiples usuarios. Este principio se demuestra en el ejemplo tradicional de la separación del deber en el requisito de dos firmas en un cheque.[1]

Títulos del trabajo real y estructura organizativa pueden variar enormemente de una organización a otra, dependiendo del tamaño y naturaleza del negocio. Con el concepto de SoD, deberes críticos de negocio pueden categorizarse en cuatro tipos de funciones: autorización, custodia, mantenimiento de registros y la reconciliación. En un sistema perfecto, ninguna persona debe manejar más de un tipo de función.

Principios

Principalmente varios enfoques son opcionalmente viables como parcial o totalmente diferentes paradigmas:

  • separación secuencial (principio de dos firmas)
  • (separación individualprincipio de cuatro ojos)
  • separación espacial (acción separado en distintos lugares)
  • separación factorial (varios factores contribuyen a la terminación)

Patrones auxiliares

Una persona con múltiples roles funcionales tiene la oportunidad de abusar de sus poderes. El patrón para minimizar el riesgo es:

  1. Comience con una función que es indispensable, pero potencialmente objeto de abuso.
  2. La función se dividen en pasos distintos, cada uno necesario para la función trabajar o para la potencia que permite esa función a ser abusada.
  3. Asigne a cada paso a una otra persona u organización.

Categorías generales de funciones para estar separados:

  • función de autorización
  • función de la grabación, por ejemplo preparando documentos fuente o código o rendimiento informes
  • custodia de activos si directa o indirectamente, por ejemplo recibir cheques en mail o aplicar fuente cambios de código o base de datos.
  • reconciliación o auditoría
  • Partiendo de una clave de seguridad en dos partes (más) entre las personas responsables

Está dirigida principalmente a la separación individual como la única selección.

Aplicación en general y de empresa en contabilidad

El término que SOD ya es bien conocida en los sistemas de contabilidad financiera. Las empresas en todos los tamaños entienden no para combinar papeles como recibiendo cheques (pago de cuenta) y aprobar cancelaciones, depositar dinero en efectivo y conciliación Banco declaraciones, aprobando las tarjetas de tiempo y tienen la custodia de cheques de pago, etc.. Tepe es bastante nuevo para la mayoría de los departamentos de tecnología de la información (ti), pero un alto porcentaje de Ley Sarbanes-Oxley auditoría interna temas vienen de él.[2]

En sistemas de información, segregación de funciones ayuda a reducir el daño potencial de las acciones de una persona. Departamento IS o usuario final debería organizarse en una forma de lograr una separación adecuada de funciones. Según matriz de segregación de funciones Control de ISACA,[3] algunos deberes no deben combinarse en una posición. Esta matriz no es un estándar de la industria, sólo una pauta general sugiere que las posiciones deben estar separadas y que exigen compensación controles cuando se combinan.

Dependiendo del tamaño de la empresa, las funciones y las denominaciones pueden variar. Cuando deberes no puede separarse, controles de compensación debe ser en el lugar. Controles de compensación son los controles internos que están destinados a reducir el riesgo de una debilidad de control existentes o potenciales. Si una sola persona puede llevar a cabo y ocultar errores o irregularidades en el curso de realizar sus actividades cotidianas, se le haya asignado tareas incompatibles SoD. Hay varios mecanismos de control que pueden ayudar a reforzar la segregación de funciones:

  1. Pistas de auditoría permiten gestores o auditores recrear el flujo de transacciones reales desde el punto de origen a su existencia en un archivo actualizado. Buena auditoría debe estar habilitado para proporcionar información sobre quién inició la transacción, la hora del día y la fecha de entrada, el tipo de entrada, qué campos de información que contenía y archivos que actualizan.
  2. Reconciliación de aplicaciones y un proceso de verificación independiente es en última instancia la responsabilidad de los usuarios, que pueden utilizarse para aumentar el nivel de confianza que una aplicación funcionó con éxito.
  3. Informes de excepción se manejan a nivel supervisor, respaldado por pruebas señalando que las excepciones sean atendidas de manera oportuna y adecuadamente. La firma de la persona que prepara el informe se requiere normalmente.
  4. Sistema manual o automatizado o registros de transacciones de aplicación deben mantenerse, que Registre todos los comandos del sistema procesados o transacciones de aplicación.
  5. Revisión supervisora debe realizarse a través de la observación e investigación.
  6. Para compensar errores o faltas intencionales siguiendo un procedimiento prescrito, se recomiendan los exámenes independientes. Tales exámenes pueden ayudar a detectar errores e irregularidades.

Aplicación en sistemas de información

La profesión contable ha invertido considerablemente en la separación de funciones debido a los riesgos comprendidos acumulados durante cientos de años de práctica contable.

Por el contrario, muchas empresas en el Estados Unidos encontró que una proporción inesperadamente alta de sus Ley Sarbanes-Oxley problemas de control interno vinieron de él. Separación de funciones se utiliza comúnmente en grandes organizaciones de ti para que ninguna persona está en una posición para introducir código malicioso o fraudulento o datos sin ser detectados. Control de acceso basado en papel con frecuencia se utiliza en sistemas donde se requiere la SoD. Estricto control de cambios de software y los datos requerirá que la misma persona u organizaciones realiza sólo uno de los siguientes roles:

  • Identificación de un requisito (o solicitud de cambio); por ejemplo una persona de negocios
  • Autorización y aprobación; por ejemplo un Consejo de Gobernación de ti o gerente
  • Diseño y desarrollo; por ejemplo un desarrollador
  • Revisión, inspección y aprobación; por ejemplo otro desarrollador o arquitecto.
  • Implementación en producción; típicamente un cambio de software o Administrador de sistemas.

Esto no es una presentación exhaustiva de la ciclo de vida de desarrollo de software, pero una lista de funciones de desarrollo crítico aplicables a la separación de funciones.

Para implementar con éxito la separación de funciones en sistemas de información es necesario abordar una serie de preocupaciones:

  • El proceso utilizado para garantizar los derechos de autorización de una persona en el sistema está en consonancia con su papel en la organización.
  • El autenticación método utilizado tales como el conocimiento de una contraseña, la posesión de un objeto (llave, token) o una característica biométricas.
  • Vulneración de los derechos en el sistema puede ocurrir a través de acceso de administración de bases de datos, acceso de administración del usuario, herramientas que proporcionan acceso a la puerta trasera o cuentas de usuario proveedor instalado. Controles específicos tales como una revisión de un registro de actividad se requiera abordar ese asunto específico.

Véase también

  • Separación de poderes

Referencias

  1. ^ R Botha. A. y J. H. P. Eloff, Separación de funciones para la aplicación de Control de acceso en los entornos de flujo de trabajo
  2. ^ Kevin Coleman, Separación de funciones y seguridad
  3. ^ Matriz de segregación de funciones Control de ISACA

Referencias generales

  • Segregación/separación de funciones, definición, ISACA, consultado el 05/03/07, http://www.isaca.org/template.cfm?Section=Glossary3&template=/ CustomSource/Glossary.cfm&char=S&TermSelected=244
  • Patrones de integridad — separación de funciones, Nick Szabo, obtenido en 05/03/07, http://Szabo.Best.VWH.net/separationofduties.html

Enlaces externos

  • Nick Szaboel ensayo en Separación de funciones
  • Segregación/separación de definición de funciones de ISACA
  • Artículo de Datamation de fecha 18 de enero de 2006: segregar funciones para disminuir los riesgos de seguridad
  • Transparencia, particionado, separación, rotación y supervisión de las responsabilidades en ISM3

Otras Páginas

Obtenido de"http://en.copro.org/w/index.php?title=Separation_of_duties&oldid=628333990"