auditoria ERP

Qué es la auditoría del ERP

Las empresas pueden tener gastos excesivos al no realizar revisiones periódicas o auditoría del ERP. Las funcionalidades de su sistema de gestión deben ser auditadas, a fin de que los procesos de negocio no se vean afectados. El sistema ERP debe satisfacer lo que se propuso al momento de implementarlo, realizando la integración, almacenamiento y presentación de la información de las diversas áreas funcionales de la organización.

La función de la auditoría del ERP es promover la adecuación, revisión, evaluación y recomendaciones para el perfeccionamiento de los controles internos en los sistemas de información de las empresas. Esta afirmación revela actividades que pueden existir en una auditoría, subrayando también su importancia en la mejora de los sistemas de empresas.

Las diversas funcionalidades e integraciones que un sistema ERP se propone, pueden presentar complejidad, debido al tipo de negocio y el nivel de exigencia de personalizaciones y adaptaciones del sistema.

Debido a la alta complejidad que los sistemas pueden presentar, los analistas de los sistemas, pueden no estar preparados para actuación en la auditoría del ERP. Su capacitación depende de sus conocimientos del sistema y de la auditoría.

El riesgo de que las empresas sean auditadas es alto, principalmente las que tienen que rendir cuentas a accionistas, inversores y holdings. Para estos tipos de empresas, dependiendo del enfoque de la auditoría, el sistema más objetivo es el ERP (Enterprise Resource Planning). Este tipo de sistema es solicitado por las auditorías del ERP, pues en él están presentes los principales controles de registros de los procesos y las fuente de datos. La auditoría del ERP comprende varios puntos:

  1. Captación y entrada de datos.
  2. Transmisión de datos.
  3. Procesamiento de datos.
  4. Almacenamiento.
  5. Presentación de la información.
  6. Difusión de la información.

Los principales problemas que pueden perjudicar las operaciones de una empresa se relacionan con datos e información contenidos en un sistema ERP. Estos datos e información pueden ser: incorrectos, incompletos, inoportunos, inseguros e inauditables.

Tipos de auditoría del ERP

La auditoría del ERP puede dividirse en dos tipos de actuación: externas o interna. Las auditoría del ERP externa se caracteriza por tener un grado de independencia amplio y su trabajo orientado por intereses de terceros, teniendo que seguir normas y directrices establecidas por inversores y organizaciones internacionales.

La auditoría del ERP interna es una actividad de evaluación ordenada dentro de una organización, cuyas funciones incluyen, entre otras, examinar, evaluar y monitorear la adecuación y eficacia de los sistemas

auditoría del ERP

Objetivos globales de la auditoría del ERP

La auditoría del ERP tiene algunos objetivos globales. Estos identifican los controles y evalúan los riesgos de confidencialidad, integridad, la privacidad, la agudeza, la disponibilidad, la auditoría, la versatilidad y la manutención Los sistemas. Además el auditor puede sacar conclusiones respecto del sistema de aplicación y sus respectivas funciones. A continuación, se conceptualizan los objetivos globales.

Integridad

Dentro de este concepto de la auditoría del ERP, el auditor verifica si las transacciones son confiables al procesarse. Puede verificar si el sistema evidencia claramente la completa y correcta visualización de los datos sin que los usuarios tengan de preocuparse por la veracidad de los mismos.

Confidencialidad

La confidencialidad de un sistema se refiere a que existen mecanismos para impedir el acceso personas no autorizadas a información restringida, de forma accidental o intencional.

Como parte de la auditoría del ERP, el auditor puede basarse en cómo la empresa se preocupa por la organización de las información dentro del sistema. Otra comprobación que se puede realizar para medir la confidencialidad de un sistema ERP es a través de cuestionarios. Estos cuestionarios deben ser bien elaborados por el equipo de TI, abarcando las diversas formas de eludir posibles información falsa. Pueden denunciar si los usuarios tienen acceso indebido a información que no se ajusta a sus funciones.

Privacidad

El auditor debe asegurarse de que los datos del sistema están seguros por algún tipo de control. Este control tiene como objetivo la liberar o impedir a usuarios acceso a determinados programas, pantallas o rutinas en el sistema ERP, que realmente sean necesarios para desempeñar sus funciones en la empresa.

Como parte de la auditoría del ERP, el auditor debe discutir la política de los usuarios del sistema ERP, si existe algún control para las contraseñas y cuál es la periodicidad de cambios.

Precisión

El sistema ERP debe poseer procedimientos internos de control de entrada de datos, no permitiendo la inserción de datos que invalidan la información resultante en los informes emitidos.
Es decir que debe garantizar que no haya pérdidas, errores, modificaciones no autorizadas o mal uso de información en aplicaciones. Para ello el sistema debe poseer, de la misma forma que existe en el objetivo global de Integridad, algunos medios de validación que son:

  • Validaciones de los datos de entrada.
  • Control del procesamiento interno.
  • Integridad de los mensajes.
  • Validación de datos de salida.

Disponibilidad

De alguna forma, la auditoría del ERP debe verificar que se encuentre en línea en la mayor parte tiempo para no comprometer las transacciones. En la empresa debe existir algún modo para medir la disponibilidad del sistema, de modo que los usuarios puedan prever y para que el propio equipo de infraestructura de TI pueda tener documentado en un repositorio en común junto a analistas de sistemas y analistas de negocios.

Auditabilidad

El auditor comprueba la existencia de registros referentes al sistema. El costo puede ser alto para el almacenamiento de registros, dependiendo el tamaño del sistema ERP que se va a comprobar, y también por el número de transacciones diarias.

El control de aplicación y de auditoría del ERP es responsable de diversos mecanismos. Para un sistema ERP pueden ser citados:

  • Mecanismos de autorización.
  • Integridad de la información.
  • Control de accesos al sistema.
  • Esquemas de seguimiento de las auditorías

La auditabilidad se evalúa para evitar violaciones en el sistema que estén relacionadas con delitos que afecten a los estatutos reglamentarios o las obligaciones. Algunos de los subíndice de este elemento que se aplican a los sistemas ERP en producción son:

Protección de datos y privacidad de la información personal, en este caso del sistema ERP y del usuario.

Prevención de mal uso de recursos de procesamiento de la información, en que los usuarios deben ser conscientes de que el uso inadecuado de los datos extraídos del el sistema, puede acarrear en serios problemas.

Para que un sistema sea considerado auditable existe cierta complejidad debido al alto nivel de conocimiento que requerirá de auditores y su experiencia en poder adecuar herramientas para el levantamiento de evidencias capaces de relacionar puntos de auditoría y ser tratados posteriormente.

Versatilidad

La versatilidad está ligada a la usabilidad del sistema. Debe ser dada la atención para la disposición de los elementos que componen el software. a través de de cuestionarios aplicados a los usuarios pueden ser levantados posibles mejoras. Además, se debe realizar un análisis si los nuevos flujos de trabajo de las operaciones de negocio de la empresa pueden adaptarse al software ERP.

Otro punto importante que debe ser observado es la sincronización de aplicaciones independiente, particularmente si es fácil de hacerla con el sistema ERP.

Mantenimiento

Durante el mantenimiento de los sistemas es importante la existencia de documentación que describen los pasos de cómo proceder en la actualización del sistema para poder realizar la auditoría del ERP. En estos documentos es importante que sean destacados los responsables por las actualizaciones, pruebas que se deben hacer para certificar la actualización, análisis de módulos impactados, formas de restauración de datos, en caso de ocurrir algo inesperado, y medio de divulgación para las áreas interesadas.

Auditoría del ERP
Objetivos de una Auditoría del ERP

Las formas de la auditoría del ERP

La forma de la auditoría del ERP depende de su extensión, profundidad y la sincronización. A continuación, se presenta un resumen de cada una de las formas.

De acuerdo a la extensión

General

Cuando se trata de toda la organización. Generalmente hay interés de accionistas e inversores, en el cumplimiento de las normas legales que regulan el mercado accionario.

Parcial

Cuando cubre específicamente determinadas unidades operativas, que tiene como características principales detectar desvíos, errores y fraudes, investigación de existencia o prosperidad de bienes económicos, evaluación de costos y análisis de solvencia.

Por muestreo

A partir del análisis del control interno, donde se identifican áreas de riesgo, centrando los exámenes sobre esas áreas.

De acuerdo a la profundidad

Integral

Comprende el examen minucioso de documentos (origen, autenticidad, exactitud), de los registros, del sistema de control interno (en cuanto a la eficiencia y adherencia) y de la información final generada por el sistema.

Por revisión analítica

Siendo una metodología donde auditar es administrar el riesgo, operando con pistas de auditoría más cortas, para obtener razonable seguridad en cuanto a la fiabilidad de la información.
En lo que se refiere a la revisión analítica, se puede destacar la pista de auditoría usada en la evaluación de riesgos, donde el sistema ERP ofrece registros para que emitir esta opinión.

De acuerdo a la sincronización

Permanente

Se realiza habitualmente, pudiendo ser constante o estacional, pero en todos los ejercicios fiscales. Este proceso ofrece ventajas a la empresa auditada y a los auditores, como:
Reducción de los costos con planificación de la auditoría, pues la ambientación de los auditores con la empresa auditada se vuelve menos onerosa.
Las áreas de riesgo se detectan en la primera planificación y seguimiento por los auditores definirá las ya eliminadas y las nuevas que puedan haber surgido.

Eventual

Sin carácter habitual. Por ejemplo: no se hace todos los años. En este caso, la auditoría del ERP requiere completa ambientación de los auditores y de planificación siempre que se hará.
La auditoría eventual es aplicable en el marco de un programa de auditoría ERP. Puede ser una ayuda en el momento de planificación del programa de auditoría, en la definición de equipos internos y en la estructuración de tareas, debido a la forma de tratar la ambientación de los auditores con la empresa, que en este caso son los propios funcionarios.

Tanto la empresa a ser auditada como los responsables de la implantación de la auditoría, debe preparar y planificar la forma ideal de programa de auditoría a aplicar.

Fuente: Universidade de Caxias do Sul centro de computação e tecnologia da informação bacharelado em sistemas de informação, Roteiro para elaboração de programas de auditoria em sistema ERP, Mauricio Modesto Toscan Brandalise.

Adaptado por la División consultoría de EvaluandoERP.com

¿Qué Software ERP necesita tu empresa?

Herramienta gratuita para realizar un diagnóstico y obtener como resultado la mejor solución ERP para usted.

Obtener recomendación ERP

Escribir

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

HTML tags y atributos:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>