La auditoría de sistemas ERP, y de informatica en general, suele definirse, sintéticamente, como el proceso de recoger, agrupar y evaluar evidencias para determinar si la tecnología y las definiciones funcionales de los sistemas de información salvaguardan el activo empresarial, llevan a cabo eficazmente los fines de la organización y utilizan eficientemente los recursos. Dada la complejidad de los sistemas de información de hoy en día, se puede intuir, rápidamente, que este no es un proceso simple.

Qué es la auditoría de sistemas ERP

Mucho se ha escrito y hablado sobre la auditoría de sistemas ERP sin que se haya agotado el tema ni mucho menos. La tecnología sigue su avance implacable sobre los procesos empresariales, lo que obliga a un replanteo continuo de la forma en la cual se puede encarar una auditoría de sistemas ERP eficiente.

Todo el basamento del conocimiento en esta materia ha llegado hasta el presente con una fuerte influencia de la época en que las aplicaciones de los sistemas de información se desarrollaban a la medida de las necesidades de la empresa y cuando la mirada más intensa debía ponerse sobre el proceso de desarrollo de la aplicación y sobre la tecnología en la cual se montaban (hardware, software del sistema y el sistema de administración de base de datos).

Hace ya tiempo que la preferencia de las organizaciones pasa por la utilización de Sistemas ERP más que por el desarrollo de aplicaciones a medida. Si bien ya ha habido autores que miraron esta problemática desde la utilización de software ERP, no existen ni en los auditores ni en los profesionales informáticos ni en la alta dirección una concepción clara y sintética de cuáles son las diferencias que esta preferencia tecnológica impone al proceso de auditoría informática. Por esto, este artículo pretende brindar un enfoque novedoso con el objetivo de simplificar y optimizar la auditoría de sistemas ERP.

La tecnología de la información y la relación con su ambiente

Ahora, dejemos por un instante la auditoría de sistemas ERP y observemos la tecnología de la información y la relación con su ambiente (fundamentalmente: la organización y el mercado). La tecnología de los sistemas de información está, básicamente, determinada por cuatro capas: el hardware, el software del sistema (sistema operativo), el sistema de gestión de base de datos y el software de aplicación. Estas cuatro capas y su relación con el ambiente pueden graficarse de la siguiente forma (flecha fina):

Como se puede ver en la gráfica anterior, el ambiente se vincula con la tecnología de los sistemas de información mediante la capa del software aplicativo (flecha delgada del gráfico). Se entiende como tal a los programas que han sido escritos con el fin de utilizar la computadora para una función específica y destinada al usuario final. En este grupo, se enrolan los Sistemas ERP. Si a esto le sumamos que el software empresarial es el grueso de las aplicaciones, se puede deducir que este es el punto crítico para auditar.

Todos los problemas que puedan surgir por vínculos que traspasan la barrera del software de aplicación (flecha gruesa del gráfico) tienen siempre una clara responsabilidad, que en la gran mayoría de las organizaciones es el responsable de la tecnología de la información. Por otro lado, es notorio ver cómo todo lo que tiene que ver con el vínculo entre el ambiente y el software de aplicación queda en una difusa área de responsabilidad. Esto se puede comprender con más claridad si se piensa en un modelo tecnológico de cloud computing (servicios de tecnología informática en Internet).

En este modelo, la capa del sistema de administración de base de datos, la de software del sistema y la de hardware estarían ubicadas en algún lugar de la nube. En este caso, realizar una auditoría informática (que tenga que ver con estas tres capas) será una problemática que deberá garantizar el proveedor de servicio en la nube; para lo cual, seguramente, deberá presentar certificados de auditoría informática de terceras partes confiables, entre otras cosas. Este aspecto es claramente un enfoque de la auditoría informática con una problemática muy sustentada en lo tecnológico, que no debe interferir con el enfoque de la auditoría orientada a las aplicaciones.

Todo servicio de tecnología de la información brindado por un sector interno de la organización debería ser considerado de igual forma que un servicio externo. Alguna empresa deberá efectuar la auditoría de este servicio y la organización deberá exigir a este sector la documentación como si fuera un servicio brindado por terceras personas. Desde esta perspectiva, se deberá poner especial cuidado en el vínculo natural de la tecnología de la información con la organización y con el mercado. Es decir, en el software aplicativo (fundamentalmente en el Sistema ERP).

Por Fernando J. Martini
fernandojmartini@fibertel.com.ar

 
Share This
Suscríbase a nuestras novedades

Suscríbase a nuestras novedades

¿está interesado en nuestros contenidos de ERP? Suscríbase para nuestros newsletter y no deje de estar informado.

¡Listo, ya está suscripto!