Los tres códigos T más sensibles: ¿Cuáles son?

Sensitive TCodes

¿Cuáles son los tres códigos T más sensibles de su organización? Nos referimos a aquellos con los que debe ser realmente cuidadoso al concederlos. Seguramente, habrá tenido que considerar con detenimiento esto en algún momento, ya sea durante un proyecto de autorización-inspección, un proyecto de GRC o a petición de un auditor. ¿Puede señalar los tres más importantes? Estoy seguro de que sí. Y estoy seguro de que probablemente no lo se lo pensaría dos veces.

Quizá lo considere obvio. Los códigos T más sensibles son los que tratan con accesos, facturas y nuevas cuentas. Bueno, como George Bernard Shaw dijo una vez tan elocuentemente, «Ninguna pregunta es tan difícil de responder como aquella cuya respuesta es obvia».

Tiene que profundizar, porque no hay una respuesta universal. Para llegar a la verdad, debe hacer sus deberes:

Definir las actividades y códigos T de alto riesgo (sensibles) es una parte esencial de todo proyecto relacionado con autorizaciones, debido al importante impacto que tendrían en la empresa si llegaran a utilizarse mal. Gestionarlos requiere una lista y, una vez definida dicha lista, sacarle partido: establecer alertas para cuando se concedan actividades sensibles o estas se utilicen de forma irregular; encontrar funciones de autorización con actividades sensibles incluidas para poder mitigarlas; y marcar en los informes las actividades sensibles con un icono distintivo.

Pero ¿cuáles son las actividades sensibles reales sobre las que se le está alertando? ¿Cómo se hace esta lista? Los códigos T sensibles varían bastante según de algunos factores clave.

La lista de códigos T sensibles

No crea que es tan obvio como parece. Cuando nuestros clientes configuran nuestro software, durante la implementación de las mejores prácticas hay un punto en el que se les solicita que definan las actividades de alto riesgo. Piensan que este paso les llevará una hora porque, claro está, saben cuáles son las actividades sensibles, pero cuando realmente se paran a pensar, puede incluso llevarles días completar la lista. ¿Por qué? Porque necesitan ser al mismo tiempo específicos y amplios. Definir muchas actividades de alto riesgo no es eficiente; la clave está en definir las correctas.

Según nuestra experiencia, aquí hay algunos descubrimientos interesantes sobre cuáles son los códigos T más sensibles:

Descubrimientos interesantes sobre los códigos T sensibles

  • La respuesta depende de la época del año. Si su respuesta es FS00 (Creación de la cuenta de mayor), FB01 (Publicación de documentos) o SU01 (Mantenimiento del usuario), mi suposición es que los chicos de seguridad acaban de tener su auditoría anual de asuntos relacionados con las finanzas, o tal vez ha tenido una reunión con su auditor interno. En cambio, si su respuesta es FB01 (Publicación de documentos), MIGO (Movimiento de mercancías) y MIRO (Crear nueva factura), es muy probable que justo acabe de salir de una exhaustiva revisión de cumplimiento SOX/SOD o de una auditoría GRC. La gente suele señalar sus tres códigos T sensibles más importantes según lo último en lo que han trabajado o en lo que más los ha agobiado; e incluso la misma persona, sin reparar en ello, dará respuestas distintas según la auditoría que afronte.

  • La respuesta depende del departamento. Como es lógico, cada departamento tendrá una respuesta subjetiva. Los tres principales códigos T más sensibles en finanzas son probablemente el F110 (Pago automático), el FB01 (Publicación de documentos) y el FS00 (Mantenimiento de registros maestros de cuentas de mayor) para la mayoría de los usuarios avanzados. Pero en el caso de que esté más involucrado en la infraestructura y las autorizaciones, probablemente su respuesta sea SU01 (Mantenimiento de Usuarios), PFCG (Mantenimiento de funciones) y SCC4 (Administración de clientes). La gente ve la sensibilidad desde la perspectiva de su departamento; identifican mejor los riesgos que comprenden bien.

  • La respuesta depende del puesto. Incluso dentro de un mismo departamento, las respuestas serán diferentes; por ejemplo, un usuario avanzado de finanzas, el responsable de autorización de finanzas o la persona de referencia de IT del departamento financiero. ¿Por qué? Porque cada persona entiende la palabra «sensible» de forma única. Por ejemplo, si el usuario final utiliza un código T que puede cambiarse del modo «visualizar» al modo «modificar», probablemente esto preocupará a los responsables de autorizaciones y seguridad, pero al usuario avanzado de finanzas probablemente ni siquiera lo considere un riesgo.

  • La respuesta depende del tipo de organización y del uso. Cada organización tiene sus actividades «favoritas» más utilizadas, por lo que el alcance de los códigos T sensibles varía consecuentemente. Hemos descubierto que incluso empresas del mismo sector pueden discrepar al elaborar su lista de actividades sensibles. Por ejemplo, los fabricantes de automóviles están en la industria de la producción, como algunas otras empresas de la industria alimentaria. Aunque ambas fabrican bienes, la diferencia en el riesgo entre robar durante un envío MM de maíz enlatado y un envío de tres automóviles es obvia. Lo mismo ocurre en la industria relacionada con las finanzas; aunque tanto las compañías de seguros como los bancos tratan con dinero, las compañías de seguros están más preocupadas por las reclamaciones fraudulentas que por que alguien haga una retirada de su cuenta.

Entonces, ¿por qué es tan importante saber la respuesta?

«Sensible» significa peligroso y «peligroso» conlleva la obligación de hacer seguimiento al uso. Si hace un seguimiento del uso, de vez en cuando se encontrará con sorpresas (por ejemplo, comportamientos sospechosos); como, por ejemplo, alguien que utiliza XK01 (Crear proveedor) en mitad de la noche, o F110 (Pago automático) para transferir dinero inesperadamente. Definir la lista de los códigos T más sensibles para su organización le permitirá saber quién puede utilizarlos, cuál es el verdadero riesgo y quién los está utilizando realmente. Y no menos importante, también podrá saber qué personas no usan los códigos T sensibles asignados, para retirárselos y reducir así el riesgo de usos indebidos.

Como puede ver, los códigos T más sensibles son una relación minuciosa de muchas respuestas subjetivas reducidas hasta lo esencial. Debe hacer los deberes y conseguir ser a la vez específico y amplio de miras.

… y sí, debe tener esa lista.

Compártalo en sus redes:

Share on facebook
Share on google
Share on twitter
Share on linkedin