Ir al contenido principal

Matriz de SoD

👉 Esta actividad te ayuda a cumplir los siguientes requisitos:

  • TSC: Seguridad (Common Criteria): Criterio CC6.3.

¿Para qué me sirve esta actividad? 📚

Una Matriz de SoD (Segregation of Duties) te sirve para definir y asignar las funciones de tus colaboradores, acotando las responsabilidades para evitar conflictos de interés.

El objetivo principal es prevenir que una sola persona tenga el control total sobre un proceso crítico, lo que podría permitirle cometer un fraude o un error significativo sin ser detectado.Este es un principio fundamental del control interno, que es la base de un reporte SOC 2.

¿Qué tengo que hacer? 🚀

Lo primero que debes hacer es identificar las áreas que son alcanzadas por tu reporte SOC 2. Posteriormente, te recomendamos aplicar los siguientes pasos:

  1. Analiza los procesos de las áreas en alcance.

  2. Identifica los puestos o cargos que existen en esas áreas.

  3. Enlista las actividades o tareas clave que se realizan en cada uno de esos procesos. El objetivo es identificar tareas incompatibles, es decir, tareas que no deberían ser realizadas por la misma persona. Por ejemplo:

    • La persona que aprueba un cambio no debería ser la misma que despliega ese cambio a producción.

    • La persona que registra una transacción financiera no debería ser la misma que la autoriza.

  4. Asigna estas actividades a los puestos que las realizan, asegurándote de que las tareas incompatibles estén asignadas a roles diferentes.

  5. Comunica esta matriz a todos los colaboradores para que conozcan dónde comienzan y terminan sus responsabilidades.

  6. Revisa periódicamente esta matriz para asegurar que siga siendo relevante.

Recuerda que nuestro template está estructurado con lineamientos para dar cumplimiento, además cuenta con ejemplos y recomendaciones que te servirán para terminar tu matriz fácil y rápidamente, pero recuerda que debes ajustarlo al contexto de tu empresa 💪🏼.

💡Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:

  • Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).

  • Posteriormente, debes subir la evidencia de su aprobación.

    • Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.

    • Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.

  • Y por último, debes subir la evidencia de su comunicación.

    • Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.

Recomendaciones ✅

  • Separa y enlista las actividades con el mayor detalle posible para que la identificación de tareas incompatibles sea más efectiva.

  • Limita adecuadamente las responsabilidades y funciones de cada puesto, y asegúrate de que los permisos que se otorgan en los sistemas reflejen esta segregación.

  • Aunque no se encuentren explícitamente dentro de tu alcance, recomendamos considerar áreas como Recursos Humanos o Finanzas dentro de tu análisis de segregación de tareas.

¡Califica este artículo 👇, esto nos ayudará a mejorar nuestro contenido para ti! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.

Artículos relacionados
18. Matriz SoD
Cómo hacer tu matriz SoD
Descriptivo de roles y responsabilidades
Matriz de Accesos
Matriz de Evaluación de Proveedores
¿Ha quedado contestada tu pregunta?