En el trabajo del auditor del Sistema ERP (Enterprise Resource Planning), se pueden distinguir cinco etapas. La primera consiste en planificar la auditoría; la segunda, verificar la existencia de un proceso de gestión de riesgos y la calidad de este; la tercera es realizar un análisis de los riesgos no considerados en el programa de gestión del riesgo; la cuarta etapa corresponde a la tarea de recolección de evidencias, es decir, la auditoría de campo; y la quinta etapa radica en proponer sintéticamente los procedimientos de control o de mejoras sobre el programa para que los riesgos estén dentro de un nivel aceptable.

El auditor del Sistema ERP minimiza riesgos

En este artículo, se considera riesgo a un evento que, de producirse, afectaría negativamente el sistema de información de la organización. Por lo tanto, la gestión del riesgo consiste en identificar los riesgos y establecer de qué forma enfrentarlos. Las formas de enfrentar el riesgo pueden ser: evitar, transferir, mitigar y aceptar.

Evitar: implica eliminar la causa que genera el riesgo, de tal manera que el riesgo desaparezca.

Transferir: esto es derivar las consecuencias a un tercero, por ejemplo, tomando un seguro.

Mitigar: es reducir la probabilidad de ocurrencia o el impacto del riesgo.

Aceptar: es no hacer nada y asumir lo que pueda ocurrir.

Es importante tener en cuenta que los riesgos se ponderan tanto por su impacto como por su probabilidad de ocurrencia, por lo tanto, los riesgos por considerar son aquellos cuya combinación (probabilidad de ocurrencia e impacto) puedan ocasionar daños significativos a la organización.

Los riesgos son eventos que pueden suceder por causas de vulnerabilidades del sistema de información que pueden tener dos fuentes: la externa y la interna.

Se consideran vulnerabilidades de fuente externa a las que se originan en terceras partes y que pueden tener tres vertientes:

  1. Falta de capacidad del proveedor del servicio (externo o interno) para asegurar la información y la prestación del servicio.
  2. Errores en el Sistema ERP provenientes de errores de programación y/o de su vinculación con la tecnología.
  3. Acciones de carácter delictiva de terceras personas ajenas a la organización.

Las vulnerabilidades de fuente interna se deben a la falta de conocimiento en el uso del software ERP o a acciones de carácter delictiva de los recursos humanos de la organización. También, se incluyen bajo este ítem las falencias en la definición de los procedimientos y de los permisos de accesos, entre otros aspectos.

Para cada riesgo considerado en el programa de gestión de riesgos, tanto para el proveniente de una vulnerabilidad externa como para el que provenga de una interna, deberá existir una decisión de evitarlo, de transferirlo, de mitigarlo o de aceptarlo. Y para el caso de que el riesgo suceda, debe existir la acción por realizar expresada en el plan de contingencias.

La acción que más obliga a actuar es, sin duda, la mitigación. Para lo cual el desarrollo de buenas prácticas será la forma más eficiente de actuar. En este sentido, una buena práctica de negocio, en el caso de la relación con terceras partes que brinden servicio de tecnología, como Cloud Computing, será desarrollar un adecuado Service Level Agreement (SLA) y exigir auditorías de terceras partes confiables sobre las instalaciones del proveedor. En cuanto a la confiabilidad del software adquirido (ERP), una buena práctica es adquirir productos de empresas que certifiquen la calidad en el desarrollo de software.

En donde se deberá centrar la acción de mitigación es en los riesgos provenientes de vulnerabilidades internas. Estas vulnerabilidades internas solo provienen de la relación del contexto con el Sistema ERP y es donde se debe centrar la preocupación.

Por Fernando J. Martini
fernandojmartini@fibertel.com.ar

 
Share This
Suscríbase a nuestras novedades

Suscríbase a nuestras novedades

¿está interesado en nuestros contenidos de ERP? Suscríbase para nuestros newsletter y no deje de estar informado.

¡Listo, ya está suscripto!