Es casi normal encontrar en las empresas y organizaciones  que los procesos críticos, que no son identificados como tales, se mantenga ambas llaves bajo la custodia de un mismo responsable. Este hecho en sí genera riesgos.

De lo anterior se desprenden dos preguntas: qué procesos críticos se indica? y a qué llaves nos referimos?. Son procesos críticos aquellos que al no tener un control compartido nos puede generar varios riesgos como por ejemplo que la apertura de la caja fuerte sea realizada por una sola persona, se genere una licitación y se aperture los sobres de las propuestas por la misma persona, que un interesado en retirar una carga busque a un conocido de la empresa para facilitar un retiro a solo firma, que un empleado saque información sin permitir control alguno imponiendo su cargo, que un empleado que tenga las planillas a su cargo decida el mismo aumentarse el sueldo, que un trabajador sea el único que ofrezca beneficios para lograr objetivos personales, que un empleado tenga la llave de acceso a una área critica, y un sinfín de ejemplos que presentan riesgo a la empresa, y que podrían tener implican legales generando daño a la marca, como consecuencia, daño reputacional.

Las llaves a que nos referimos es tener el control definido y repartido entre dos personas de la misma área, aunque se recomienda siempre de áreas diferentes para evitar la colusión y aunque esto podría generarse de igual forma mitigamos el riesgo con controles adicionales. Que se tenga la llave y la clave en forma separada nos reduce el riesgo de cometer un ilícito, sea por un hurto total, parcial o eventual. Si tenemos accesos críticos con clave digital será una buena  práctica saber el 50% de ella y otra persona el 50% restante, o si es acceso con llave tomaremos la precaución de contar con dos cerraduras para llaves a diferentes personas, y si es solo una cerradura una persona tendrá acceso al área y la otra persona sólo accionará la cerradura. Otro ejemplo es en las licitaciones, una persona o grupo de personas generan la licitación, pero las propuestas son abiertas por otras personas o en compañía de otras personas, aunque se recomienda el proceso de sobre abierto con presencia de proveedores, con ello generamos transparencia y beneficios de negociación.

Luis Molina

CEO

M&M Security Audit

www.mymsecurityaudit.com