UNIDAD PROFESIONAL INTERDISCIPLINARIA DE INGENIERA Y CIENCIAS SOCIALES Y ADMINISTRATIVAS
AUDITORA AL MDULO DE INVENTARIOS DEL ERP MACROPRO SEMINARIO DE TITULACIN AUDITORA DE LAS TECNOLOGAS DE INFORMACIN Y COMUNICACIONES
M O J I C A M A R T N E Z M A R A I S A B E L P R E Z N E Z M A R A F E R N A N D A R E Y E S F L O R E S L U C I A A Z U C E N A R O S A L E S S A N T A R O S A B E A T R I Z
MXICO D.F. AGOSTO, 2010 T E S I N A Q U E P A R A O B T E N E R E L T I T U L O D E : P R E S E N T A N : A S E S O R
AUDITORA AL MDULO DE INVENTARIOS DEL ERP MACROPRO
1
IPN ESCUELA SUPERIOR DE INGENIERA MECNICA Y ELCTRICA UNIDAD CULHUACAN
TESINA
QUE PARA OBTENER EL TITULO DE: LICENCIADO EN CIENCIAS DE LA INFORMTICA
POR LA OPCION DE SEMINARIO DE TITULACION: AUDITORIA DE LAS TECNOLOGIAS DE INFORMACIN Y COMUNICACIONES Vigencia: DE S/ESIME_CUL/2009/38/10
DEBERA DESARROLLAR: Mojica Martnez Mara Isabel Prez Nez Mara Fernanda Reyes Flores Lucia Azucena Rosales Santa Rosa Beatriz
AUDITORA AL MDULO DE INVENTARIOS DEL ERP MACROPRO
INTRODUCCIN Las buenas prcticas informticas dentro de las empresas requieren de ser aplicadas por la misma, para la optimizacin de sus procesos y cumplimiento de los objetivos de dicha empresa por lo que la aplicacin de una auditoria a los sistema integrales que existan, brindara mltiples beneficios a la misma en funcin de proporcionar mtricas que sean factibles para que la empresa cumpla con las buenas prcticas, las cuales son estndares de metodologas reconocidas como lo es NIST. Por lo que aplicar esta metodologa a un sistema ERP es de gran utilidad para evaluar un modulo como lo es el de control de inventarios.
CAPITULADO
I. Introduccin a la Auditora II. Seguridad informtica en un ERP III. NIST para ERP IV. Auditora al mdulo de inventarios del ERP MACROPRO de la empresa Central de Suspensiones Gmez SA. De C.V.
Fecha: Mxico D.F Agosto del 2010
ASESORES
M. EN C. RAYMUNDO SANTANA ALQUICIRA ING. MIGUEL ANGEL MIRANDA Director del Seminario HERNANDEZ Asesor
M. EN C. LUIS CARLOS CASTRO MADRID Jefe de la carrera de Ingeniera en Computacin
AUDITORA AL MDULO DE INVENTARIOS DEL ERP MACROPRO
2
OBJETIVO
Auditar el mdulo de inventario refaccionaria del ERP "MACROPRO" en la empresa "Central de Suspensiones Gmez S.A. de C.V." en un periodo de un mes, para determinar s el sistema es el causante de las prdidas en el Inventario.
PROBLEMTICA DEL PROYECTO
Se han detectado faltantes en el inventario del almacn por lo que ha generado incongruencia en el control de inventarios que se lleva en el sistema contra lo que se tiene de control de inventarios fsico.
JUSTIFICACIN
Al realizar la auditora a la empresa Central de Suspensiones Gmez S.A. de C.V. apoyada con la metodologa de NIST ayudar a detectar los riesgos y vulnerabilidades que la empresa tiene, sugiriendo nuevos controles en el mdulo de inventarios que logren reducir, y corregir las irregularidades.
ALCANCE
Revisar y verificar de acuerdo con la metodologa de NIST correspondiente para el mdulo de inventarios los controles internos que existan y los que hagan falta.
I
I AUDITORA AL MDULO DE INVENTARIOS DEL ERP MACROPRO
3
INDICE
CAPTULO I. INTRODUCCIN A LA AUDITORA 6
1.1 Antecedentes de la auditora 7 1.2 Concepto de auditora... 8 1.3 Objetivo de la auditora 8 1.4 Importancia de la auditora... 8 1.5 Caractersticas de la auditora 9 1.6 Tipos de auditora.. 9 1.7 Auditora Informtica.. 11 1.7.1 Generalidades. 11 1.7.2 Seguridad Informtica en las empresas 13 1.7.3 Funciones del auditor informtico. 13 1.7.4 Metodologas.. 14 1.7.5 Fases de la Auditora. 15 1.7.6 Beneficios 17 1.8 Auditora a Servicios informticos. 18 1.8.1 Concepto de servicio informtico. 18 1.8.2 Clasificacin de Servicios Informticos......... 18 1.8.3 Definicin de Auditora en los servicios informticos 19 1.8.4 Importancia de la auditora en los servicios informticos 19 1.8.5 La auditora y los servicios informticos actuales. 19
CAPTULO II. SEGURIDAD INFORMTICA EN UN ERP 21
2.1 Concepto de ERP. 22 2.2 Caractersticas de un ERP 22 2.3 Objetivos del ERP. 23 2.4 Componentes de un ERP. 23 2.5 Controles de riesgos en un ERP. 26 2.6 Metodologas para auditar un ERP.. 27
CAPTULO III. NIST PARA ERP 29
3.1 Antecedentes de NIST. 30 3.2 Gua de Implementacin Tcnica de Seguridad en los ERP 30 3.2.1 Introduccin 30 3.2.2 Alcance de evaluacin a un modulo de un ERP.. 31 3.3 Caractersticas de la gua. 33
II AUDITORA AL MDULO DE INVENTARIOS DEL ERP MACROPRO
4
CAPTULO IV. AUDITORA AL MDULO DE INVENTARIOS DEL ERP MACROPRO DE LA EMPRESA CENTRAL DE SUSPENSIONES GMEZ S.A. DE C.V. 35
4.1 Introduccin a la Empresa 36 4.2 Estado Actual.. 37 4.3 Descripcin de Problemtica. 41 4.4 Solucin.. 42 4.4.1 Planeacin.. 42 4.4.2 Ejecucin de la Auditora.. 45 4.4.3 Anlisis de Riesgos 48 4.4.4 Resultados.. 53 4.5 Conclusiones. 56
ANEXOS: 57
ANEXO A. Organigrama de la empresa Central de Suspensiones Gmez S.A. DE C.V......
58
ANEXO B. Diagramas de procesos y flujos de datos 59
ANEXO C. Cedula nica de Auditora.. 61
ANEXO D. Plan de Trabajo. Cronograma.. 62
ANEXO E. Carta de Planeacin... 63
ANEXO F. Checklist aplicado en base a Gua de Implementacin Tcnica de seguridad de los ERP......
64
ANEXO G. Orden de auditora 70
ANEXO H. Carta de Requerimientos.... 72
ANEXO I. Marco Conceptual 73
ANEXO J. Evidencias. 74
ANEXO K. Mapa de Riesgos. 85
ANEXO L. Reporte de Observaciones de Auditora Externa.. 86
ANEXO M. Oficio de Envo (Informe Ejecutivo) 89
ANEXO N. Informe Final... 90
ANEXO O. Supervisin de la Integracin del expediente de auditora.. 95 III AUDITORA AL MDULO DE INVENTARIOS DEL ERP MACROPRO
5
INDICE DE FIGURAS... 96
INDICE DE TABLAS. 96
GLOSARIO. 97
BIBLIOGRAFIA.. 101
IV AUDITORA AL MDULO DE INVENTARIOS DEL ERP MACROPRO
6
INTRODUCCIN A LA AUDITORA
AUDITORA AL MDULO DE INVENTARIOS DEL ERP MACROPRO
7
CAPTULO I. INTRODUCCIN A LA AUDITORA
1.1 Antecedentes de la auditora
La auditora surgi de la necesidad de las revisiones contables que se desarrollaban en el rea financiera de una empresa comercial esto tuvo lugar en Inglaterra donde creci y floreci en el ao 1862 hasta 1905 hacia por el ao 1900 se introdujo a estados unidos.
En un principio la auditora de aquel entonces haca hincapi a ciertos objetivos principalmente a la deteccin y prevencin de errores sin embargo, en los aos siguientes hubo un cambio en el objetivo de la auditora, continu desarrollndose, no sin oposicin, hasta aproximadamente 1940. En este tiempo "Exista un cierto grado de acuerdo en que el auditor poda y debera no ocuparse primordialmente de la deteccin de fraude".
Paralelamente al crecimiento de la auditora a medida que los auditores independientes se apercibieron de la importancia de un buen sistema de control interno y su relacin con el alcance de las pruebas a efectuar en una auditora independiente, se mostraron partidarios del crecimiento de los departamentos de auditora dentro de las organizaciones de los clientes, que se encargara del desarrollo y mantenimiento de unos buenos procedimientos del control interno, independientemente del departamento de contabilidad general. Progresivamente, las compaas adoptaron la expansin de las actividades del departamento de auditora interna hacia reas que estn ms all del alcance de los sistemas contables.
Y ante la creciente complejidad de las estructuras empresariales y la creciente dinmica de los mercados y las interrelaciones de las empresas con sus mercados, la auditora ha tenido que ir ampliando su campo de aplicacin y salir del entorno Contable y Financiero, para abordar otras reas operativas y funcionales de las empresas. Tambin ha tenido que abarcar toda la diversidad de empresas y organismos pblicos y privados que componen el tejido industrial, econmico y social de nuestra sociedad. Por lo que, segn el mbito en que se aplique, hay que hablar de Auditora Contable, Auditora Financiera, Auditora de Gestin, que comprende las dos anteriores, y, desde hace algunos aos, de auditora de los Sistemas de Informacin.
Los primeros antecedentes de la funcin de la auditora de la informacin se sitan entre finales de la dcada de los aos 70 y principios de los 80. Realizado auditoras de la informacin a finales de los aos 70, aunque en aquel momento no utiliz este trmino. Segn la primera referencia al trmino se remonta a 1982 con Robert Taylor, el cual en un documento de esa misma fecha establece que se trata de una auditora de las actividades formales de la informacin y sus efectos en la organizacin, los beneficios y facilidades que proporciona a las personas en la realizacin de sus trabajos.
AUDITORA AL MDULO DE INVENTARIOS DEL ERP MACROPRO
8
Se consideran entre los factores que permitieron el surgimiento y desarrollo de la auditora de la informacin, los siguientes:
El desarrollo y proliferacin de los estudios de necesidades en el mbito internacional en las dcadas de los aos 80 y 90. El nfasis que ha tenido en los servicios de informacin la contabilidad y el valor del dinero.
1.2. Concepto de auditora
Proceso metodolgico y formal para evaluar y valorar la confianza que se puede depositar en el rea a auditar dentro de la empresa, lo cual se refleja en un informe donde se estipula la situacin real del rea auditada. Este proceso consiste en recolectar evidencia para analizarla y poder determinar si el sistema de informacin, rea de TI o cualquier otro activo de la empresa realicen las operaciones de la empresa acorde a los objetivos del negocio y el manejo de la informacin as como el flujo de la misma.
1.3 Objetivo de la auditora
Su objetivo radica en la ayuda que brinda para los directivos de la empresa, para que sta realice sus funciones de la mejor forma posible con procesos seguros a diferentes niveles, desde estratgicos hasta operacionales. El manejo de la informacin de forma clara y autentica resulta de una buena auditora donde surgen las recomendaciones de buenas prcticas como apoyo para lograr que la informacin cumpla con las caractersticas debidas, as como la satisfaccin de controles, polticas, objetivos del negocio; bajo la gua de una adecuada metodologa durante la auditora para la optimacin de los recursos acorde al tipo de auditora aplicada.
Por lo que la auditora se vuelve necesaria, ya sea interna o externa, como parte de las actividades para la conservacin de un buen funcionamiento de la empresa y que sta tenga las caractersticas de:
Eficiencia Eficacia Rentabilidad Seguridad
1.4 Importancia de la auditora.
La importancia de llevar a cabo una auditora dentro de una organizacin trae consigo una serie de beneficios reales para las situaciones que afecten la seguridad, integridad, confidencialidad de la informacin de cada organizacin.
AUDITORA AL MDULO DE INVENTARIOS DEL ERP MACROPRO
9
Llevar a cabo una auditora dentro de una organizacin es muy importante, porque sin la prctica de una auditora no se tiene la plena seguridad de que la informacin, los activos, los recursos y los procesos dentro de la misma sean reales y confiables.
Una auditora adems, evala el grado de eficiencia y eficacia con que se desarrollan las tareas administrativas y el grado de cumplimiento de los planes y orientaciones de la organizacin.
Es la auditora que define con bastante razonabilidad, la situacin real de la empresa.
1.5 Caractersticas de la auditora.
Es objetiva: significa que es imparcial, tiene una actitud mental independiente, sin influencias personales ni polticas.
Es Sistemtica y profesional: La auditora debe ser cuidadosamente planeada y llevada a cabo por profesionales conocedores del ramo que cuentan con la capacidad tcnica y profesional requerida, los cuales se atienen a las normas de auditora establecida.
El desarrollo de la auditora se lleva a cabo cumpliendo en forma estricta los pasos que contienen las fases del proceso de la auditora, existen diversas metodologas, normas, y buenas prcticas para llevar a cabo el proceso con detalle en cada unidad auditada.
Es constructiva: es decir, siempre buscara mejorar y/o corregir las debilidades, que se encuentren amenazando a la organizacin.
Finaliza con la elaboracin de un informe escrito que contiene los resultados de la auditora practicada, el cual debe conocer de previo la persona auditada, para que tenga a bien hacer las correspondientes observaciones del mismo; adems el informe contiene las conclusiones y debilidades tendientes a la mejora de las debilidades encontradas.
1.6 Tipos de auditoras
A continuacin se presenta una clasificacin de diferentes tipos de auditoras, las cuales se encuentran clasificadas por diferentes factores.
Por el origen de quien hace su aplicacin: Externa Interna
AUDITORA AL MDULO DE INVENTARIOS DEL ERP MACROPRO
10
Por el rea en donde se hacen: Auditora Financiera Auditora Administrativa Auditora Operacional Auditora Gubernamental Auditora Integral Auditora de Sistemas
Por rea de especialidad: Auditora Fiscal Auditora Laboral Auditora Ambiental Auditora Mdica Auditora a Inventario Auditora a Caja Chica Auditora en Sistemas
Especializadas en Sistemas Computacionales: Auditora Informtica Auditora con la Computadora Auditora sin la Computadora Auditora a la Gestin Informtica Auditora alrededor de la computadora Auditora en seguridad de sistemas Auditora a sistemas en red
A continuacin mencionamos los principales tipos de Auditora, estos son:
a) Auditora financiera:
Es el examen de los estados financieros de una empresa, con la finalidad de emitir una opinin profesional sobre los estados financieros en su conjunto, es decir que presentan o no razonablemente la posicin financiera de la empresa y sus resultados de sus operaciones
b) Auditora operativa:
Es la auditora de las causas relativas nuevas, se ocupa de estudiar si las medidas necesarias han sido tomadas cautelosamente, dentro de esta auditora se encuentra:
Auditora General.- es el examen constructivo de una empresa o ente. Auditora Administrativa.- es el examen que se realiza para ver la veracidad de los estados financieros.
La extensin de todas las operaciones no incide en el rea financiera.
Tambin la Auditora operativa es el examen en la que una empresa o parte de ella con la finalidad de evaluar deficiencia, efectividad y AUDITORA AL MDULO DE INVENTARIOS DEL ERP MACROPRO
11
economa de sus actividades en funcin de los objetivos o metas trazadas, comprendiendo bsicamente la evaluacin de los controles administrativos.
c) Auditora gubernamental:
Es aquella que se aplica en las entidades pblicas y es efectuada por la Contralora General de la Repblica y otros organismos u oficinas de Auditora Interna, su objetivo principal es la de valuar los recursos humanos y financieros de acuerdo a los objetivos vigentes.
d) Segn el personal:
Auditora interna.- es aquella que un profesional de auditora que labora. en la misma empresa auditada, evala el desempeo y cumplimiento de actividades, operaciones y funciones y emitir un dictamen de carcter domstico sobre las actividades de la empresa. Auditora externa.- se refiere a los exmenes de Auditora que realiza las firmas independientes a la empresa auditada.
e) Auditora fiscal:
Consiste en verificar el cumplimiento de las leyes fiscales, revisando el correcto y oportuno pago de los diferentes impuestos y obligaciones fiscales de los contribuyentes desde el punto de vista fsico (SHCP), direcciones o tesoreras de hacienda estatales o tesoreras municipales.
f) Auditora informtica:
Evala y comprueba los controles y procedimientos informticos ms complejos, desarrollando y aplicando tcnicas mecanizadas de auditora, incluyendo el uso de software.
1.7 Auditora Informtica
1.7.1 Generalidades
Concepto
La auditora informtica es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema de informacin salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organizacin, utiliza eficientemente los recursos, y cumple con las leyes y regulaciones establecidas. Tambin permiten detectar de forma sistemtica el uso de los recursos y los flujos de informacin dentro de una organizacin y determinar qu informacin es crtica para el cumplimiento de su misin y objetivos, identificando necesidades, duplicidades, costes, valor y AUDITORA AL MDULO DE INVENTARIOS DEL ERP MACROPRO
12
barreras, que obstaculizan flujos de informacin eficientes.
Caractersticas
La informacin de la empresa y para la empresa, siempre importante, se ha convertido en un Activo Real de la misma, como sus Stocks o materias primas si las hay. Por ende, han de realizarse inversiones informticas, materia de la que se ocupa la Auditora de Inversin Informtica.
Del mismo modo, los Sistemas Informticos han de protegerse de modo global y particular: a ello se debe la existencia de la Auditora de Seguridad Informtica en general, o a la auditora de Seguridad de alguna de sus reas, como pudieran ser Desarrollo o Tcnica de Sistemas.
Cuando se producen cambios estructurales en la Informtica, se reorganiza de alguna forma su funcin: se est en el campo de la Auditora de Organizacin Informtica.
Estos tres tipos de auditoras engloban a las actividades auditoras que se realizan en una auditora parcial. De otra manera: cuando se realiza una auditora del rea de Desarrollo de Proyectos de la Informtica de una empresa, es porque en ese Desarrollo existen, adems de ineficiencias, debilidades de organizacin, o de inversiones, o de seguridad, o alguna mezcla de ellas.
Importancia
Las auditoras son necesarias por diversos motivos, y entre los ms importantes podemos citar los siguientes:
Ofrecer la seguridad a los propietarios de las empresas, o a las partes interesadas en las organizaciones auditadas (accionistas), o a los responsables de sus actividades, de la fiabilidad de los estados financieros que se les presentan, en la medida indicada por el auditor en su informe. Ofrecer la seguridad a otros posibles usuarios de los estados financieros, de la fiabilidad de los estados financieros que se les presentan, en la medida indicada por el auditor en su informe. Estos usuarios pueden ser: acreedores, entidades financieras, personal, Hacienda Pblica, inversores potenciales e instituciones supranacionales. Cuando se realiza una venta o cambio de titularidad o liquidacin de una empresa, es necesario conocer la fiabilidad de la valoracin de dicha empresa. Cuando se quiere acceder a subvenciones, o intervenir en proyectos de desarrollo o produccin, promovidos por instituciones pblicas nacionales o supranacionales, suele haber el requisito que obliga a
AUDITORA AL MDULO DE INVENTARIOS DEL ERP MACROPRO
13
efectuar una auditora lo ms completa posible. Segn los pases y el mbito en que se mueve la empresa, hay obligacin legal de efectuar auditoras de forma peridica.
1.7.2 Seguridad Informtica en las empresas
El garantizar que los recursos informticos de una compaa estn disponibles para cumplir sus propsitos, es decir, que no estn daados o alterados por circunstancias o factores externos, es una definicin til para conocer lo que implica el concepto de seguridad informtica.
En trminos generales, la seguridad puede entenderse como aquellas reglas tcnicas y/o actividades destinadas a prevenir, proteger y resguardar lo que es considerado como susceptible de robo, prdida o dao, ya sea de manera personal, grupal o empresarial.
En este sentido, es la informacin el elemento principal a proteger, resguardar y recuperar dentro de las redes empresariales.
La importancia de la seguridad informtica en las empresas es por la existencia de personas ajenas a la informacin, tambin conocidas como piratas informticos o hackers, que buscan tener acceso a la red empresarial para modificar, sustraer o borrar datos.
Tales personajes pueden, incluso, formar parte del personal administrativo o de sistemas, de cualquier compaa.
1.7.3 Funciones del auditor informtico
Las funciones que el auditor informtico debe realizar contemplan un amplio abanico de actividades objetivas, algunas de las cuales se enumeran a continuacin:
Verificacin del control interno, tanto de las aplicaciones como de los sistemas informticos, centrales y perifricos. Anlisis de la gestin de los sistemas de informacin desde un punto de vista de riesgo de seguridad, de gestin y de efectividad de la gestin. Anlisis de la integridad, fiabilidad y certeza de la informacin a travs del anlisis de las aplicaciones. Esta funcin, que la vienen desempeando los auditores informticos, estn empezando ya a desarrollarla los auditores financieros. Auditora del riesgo operativo de los circuitos de informacin. Anlisis de la gestin de los riesgos de la informacin y de la seguridad implcita. Verificacin del nivel de continuidad de las operaciones (a realizar conjuntamente con los auditores financieros). Anlisis del estado tecnolgico de la instalacin revisada y de las AUDITORA AL MDULO DE INVENTARIOS DEL ERP MACROPRO
14
consecuencias empresariales que un desfase tecnolgico pueda acarrear. Diagnstico sobre el grado de cobertura que dan las aplicaciones a las necesidades estratgicas y operativas de informacin de la organizacin. Revisar y juzgar los controles implantado en los sistemas de informacin para verificar su adecuacin a las rdenes e instrucciones de la Direccin, requisitos legales, proteccin de la confidencialidad y cobertura ante errores y fraudes. Revisar y juzgar el nivel de eficacia, utilidad, fiabilidad y seguridad de los equipos e informacin. El auditor evala y comprueba en determinado tiempo, los controles y procedimientos informticos ms complejos, desarrollando y aplicando tcnicas mecanizadas de auditora, incluyendo el uso de software de auditora y otras tcnicas asistidas por la computadora.
1.7.4 Metodologas
Todas las metodologas existentes desarrolladas y utilizadas en la auditora, se puede agrupar en dos grandes familias:
Cuantitativas: Basadas en un modelo matemtico numrico que ayuda a la realizacin del trabajo, estn diseadas par producir una lista de riesgos que pueden compararse entre s con facilidad por tener asignados unos valores numrico. Estn diseadas para producir una lista de riesgos que pueden compararse entre si con facilidad por tener asignados unos valores numricos. Estos valores son datos de probabilidad de ocurrencia de un evento que se debe extraer de un riesgo de incidencias donde el nmero de incidencias tiende al infinito. Cualitativas: Basadas en el criterio y raciocinio humano capaz de definir un proceso de trabajo, para seleccionar en base al experiencia acumulada. Puede excluir riesgos significantes desconocidos (depende de la capacidad del profesional para usar el checklist/gua). Basadas en mtodos estadsticos y lgica borrosa, que requiere menos recursos humanos / tiempo que las metodologas cuantitativas.
Metodologas en Auditora Informtica.
Las metodologas de auditora informtica son de tipo cualitativo/subjetivo. Se puede decir que son subjetivas por excelencia. Estn basadas en profesionales de gran nivel de experiencia y formacin, capaces de dictar recomendaciones tcnicas, operativas y jurdicas, que exigen en gran profesionalidad y formacin continua. Se clasifican en dos tipos las metodologas para la auditora informtica:
Controles Generales.- Son el producto estndar de los auditores profesionales. El objetivo aqu es dar una opinin sobre la fiabilidad de los datos del computador para la auditora financiera, es resultado es escueto y forma parte del informe de auditora, en donde se hacen notar AUDITORA AL MDULO DE INVENTARIOS DEL ERP MACROPRO
15
las vulnerabilidades encontradas. Estn desprestigiadas ya que dependen en gran medida de la experiencia de los profesionales que las usan. Metodologas de los auditores internos.- Estn formuladas por recomendaciones de plan de trabajo y de todo el proceso que se debe seguir. Tambin se define el objetivo de la misma, que habr que describirlo en el memorando de apertura al auditado. De la misma forma se describe en forma de cuestionarios genricos, con una orientacin de los controles a revisar. El auditor interno debe crear sus metodologas necesarias para auditar los distintos aspectos o reas en el plan auditor.
En la actualidad existen tres tipos de metodologas de auditora informtica:
R.O.A. (RISK ORIENTED APPROACH), diseada por Arthur Andersen. CHECKLIST o cuestionarios. AUDITORA DE PRODUCTOS (por ejemplo, Red Local Windows NT; sistemas de Gestin de base de Datos DB2; paquete de seguridad RACF, etc.).
En s las tres metodologas estn basadas en la minimizacin de los riesgos, que se conseguir en funcin de que existan los controles y de que stos funcionen. En consecuencia el auditor deber revisar estos controles y su funcionamiento.
1.7.5 Fases de la Auditora
Las fases que presenta una auditora informtica son las siguientes: (Ver figura 1.1)
Figura 1.1 Fases de la Auditora. Fase I: Conocimientos del Sistema Fase II: Anlisis de transacciones y recursos Fase III: Anlisis de riesgos y amenazas Fase IV: Anlisis de controles Fase V: Evaluacin de Controles Fase VI: El Informe de auditoria AUDITORA AL MDULO DE INVENTARIOS DEL ERP MACROPRO
16
Fase I: Conocimientos del Sistema: Aspectos Legales y Polticas Internas. Sobre estos elementos est construido el sistema de control y por lo tanto constituyen el marco de referencia para su evaluacin.
Caractersticas del Sistema Operativo. Organigrama del rea que participa en el sistema Manual de funciones de las personas que participan en los procesos del sistema. Informes de auditora realizadas anteriormente Caractersticas de la aplicacin de computadora Manual tcnico de la aplicacin del sistema Funcionarios (usuarios) autorizados para administrar la aplicacin Equipos utilizados en la aplicacin de computadora Seguridad de la aplicacin (claves de acceso) Procedimientos para generacin y almacenamiento de los archivos de la aplicacin.
Fase II: Anlisis de transacciones y recursos: Definicin de las transacciones. Dependiendo del tamao del sistema, las transacciones se dividen en procesos y estos en subprocesos. La importancia de las transacciones deber ser asignada con los administradores.
Anlisis de las transacciones. Establecer el flujo de los documentos En esta etapa se hace uso de los diagramas de flujo, ya que facilita la visualizacin del funcionamiento y recorrido de los procesos. Anlisis de los recursos. Identificar y codificar los recursos que participan en el sistemas Relacin entre transacciones y recursos.
Fase III: Anlisis de riesgos y amenazas: Identificacin de riesgos. Daos fsicos o destruccin de los recursos. Prdida por fraude o desfalco. Extravo de documentos fuente, archivos o informes. Robo de dispositivos o medios de almacenamiento. Interrupcin de las operaciones del negocio. Prdida de integridad de los datos. Ineficiencia de operaciones. Errores. Identificacin de las amenazas: Amenazas sobre los equipos. Amenazas sobre documentos fuente. Amenazas sobre programas de aplicaciones. Relacin entre recursos/amenazas/riesgos. La relacin entre estos elementos deber establecerse a partir de la observacin de los recursos en su ambiente real de funcionamiento. AUDITORA AL MDULO DE INVENTARIOS DEL ERP MACROPRO
17
Fase IV: Anlisis de controles: Codificacin de controles. Los controles se aplican a los diferentes grupos utilizadores de recursos, luego la identificacin de los controles debe contener una codificacin la cual identifique el grupo al cual pertenece el recurso protegido. Relacin entre recursos/amenazas/riesgos. La relacin con los controles debe establecerse para cada tema (Recurso/Amenaza/Riesgo) identificado. Para cada tema debe establecerse uno o ms controles. Anlisis de cobertura de los controles requeridos. Este anlisis tiene como propsito determinar si los controles que el auditor identific como necesarios proveen una proteccin adecuada de los recursos.
Fase V: Evaluacin de Controles: Objetivos de la evaluacin. Verificar la existencia de los controles requeridos. Determinar la operatividad y suficiencia de los controles existentes Plan de pruebas de los controles. Incluye la seleccin del tipo de prueba a realizar. Debe solicitarse al rea respectiva, todos los elementos necesarios de prueba. Pruebas de controles. Anlisis de resultados de las pruebas.
Fase VI: El Informe de auditora: Informe detallado de recomendaciones. Evaluacin de las respuestas. Informe resumen para la alta gerencia. Este informe debe prepararse una vez obtenidas y analizadas las respuestas de compromiso del rea. Introduccin: objetivo y contenido del informe de auditora. Objetivos de la auditora. Alcance: cobertura de la evaluacin realizada. Opinin: con relacin a la suficiencia del control interno del sistema evaluado. Hallazgos. Recomendaciones.
Fase VII: Seguimiento de las Recomendaciones: Informes del seguimiento. Evaluacin de los controles implantados.
1.7.6 Beneficios
Los beneficios que brinda la auditora informtica son:
AUDITORA AL MDULO DE INVENTARIOS DEL ERP MACROPRO
18
Contar con una comprensin de la situacin actual de la entidad, y de sus procesos de control. Obtener una visin independiente sobre vulnerabilidades, exposiciones y el nivel de diseo de controles y los Riesgos. Recibir un plan de mitigacin de los principales factores de riesgo (considerando vulnerabilidades e impactos) para resolver las exposiciones de control identificadas y mitigar tales riesgos. Mejora de la imagen pblica de la empresa. Genera confianza en los usuarios sobre la seguridad y control de los servicios de TI. Optimiza las relaciones internas y del clima de trabajo. Disminuye los costos de la mala calidad (reprocesos, rechazos, reclamos, entre otros). Genera un balance de los riesgos en TI. Realiza un control de la inversin en un entorno de TI, a menudo impredecible. Aporta un aumento en la productividad y mejora el rendimiento.
1.8 Auditora a Servicios informticos
1.8.1 Concepto de servicio informtico
Servicio: Es un conjunto de actividades que buscan responder a las necesidades de un cliente o de alguna persona comn.
Informtica: Es la ciencia aplicada que abarca el estudio y aplicacin del tratamiento automtico de la informacin, utilizando sistemas computacionales, generalmente implementados como dispositivos electrnicos.
Servicio informtico: Es un conjunto de actividades o aplicaciones enfocadas a brindar un servicio especfico que procesa automticamente la informacin, para cumplir con las expectativas del cliente.
1.8.2 Clasificacin de servicios informticos
La clasificacin de los servicios informticos o catalogo de servicios informticos se compone de los siguientes puntos: (Ver Figura 1.2)
Figura 1.2 Catalogo de servicios. Servicios Aplicaciones Software Hardware AUDITORA AL MDULO DE INVENTARIOS DEL ERP MACROPRO
19
Hardware. Corresponde a todas las partes fsicas y tangibles de una computadora, cualquier elemento fsico involucrado.
Software. Conjunto de instrucciones o programas que forman el sistema del computador.
Aplicaciones. Est diseado y escrito para realizar tareas especficas personales empresariales o cientficas.
Servicios. Es un conjunto de actividades que buscan responder a las necesidades de un cliente o de alguna persona comn
. 1.8.3 Definicin de Auditora en los servicios informticos.
Auditar servicios informticos es una tarea compleja, pero no imposible, existen metodologas que ayudan a cada uno de los servicios, a ser auditados, ya que en la informtica existen miles de servicios que ofrecen una automatizacin en los procesos de las organizaciones y que obviamente son distintos.
Existen diversas instituciones que establecen guas y normas que ayudan a realizar adecuadamente las auditoras dentro de cada servicio informtico.
1.8.4 Importancia de la auditora en los servicios informticos.
La importancia de llevar a cabo una auditora dentro de un servicio informtico, es fundamental ya que se logran detectar vulnerabilidades, estabilizar los sistemas, corregir las fallas y ampliar las medidas de seguridad, as como salvaguardar los activos de las empresas que ofrecen y demandan servicios informticos.
Como se sabe llevar a cabo una auditora dentro de una empresa y dentro de cada servicio informtico no es nada sencillo, pero es esencial que se implanten dichas auditoras para la mejora constante del servicio as como de la empresa.
1.8.5 La auditora y los servicios informticos actuales.
Con el paso del tiempo se han ido aumentando diversos servicios informticos que estandarizan y engloban de una forma ms practica el tratamiento de la informacin, como ejemplo tenemos a los ERP, que tan solo implantando uno de estos servicios dentro de una organizacin, manipula de forma completa, los proceso habidos dentro de la misma y que realizan con facilidad la administracin y control de la empresa.
AUDITORA AL MDULO DE INVENTARIOS DEL ERP MACROPRO
20
Las Compaas, Corporaciones e Instituciones han implementado controles, roles y responsabilidades, orientados a garantizar la integridad, consistencia, exactitud y confiabilidad de la informacin, que requieren que sean revisados y/o auditados en base a modelos de control tales como COSO, COBIT, ITIL, NIST, ISO17999, BS25999.
Los objetivos de la Auditora Informtica, es proveer apoyo a los auditores, desarrollar revisin de tecnologa, desarrollar investigaciones asociadas a fraudes, brindar soporte de evaluaciones de riesgos durante los proyectos de tecnologa y brindar asesora de alto impacto a la gerencia.
La auditora dentro de estos servicios tiene que actualizarse y crear nuevos mrgenes y guas para cada uno de los nuevos servicios y as lograr una excelente revisin de cada servicio.
AUDITORA AL MDULO DE INVENTARIOS DEL ERP MACROPRO
21
SEGURIDAD INFORMTICA EN UN ERP
AUDITORA AL MDULO DE INVENTARIOS DEL ERP MACROPRO
22
CAPTULO II SEGURIDAD INFORMTICA EN UN ERP
2.1 Concepto de ERP
Enterprise Resourse Planning:
Se define como un sistema de gestin de informacin que integran y automatizan muchas de las practicas de negocio asociadas con los aspectos operativos o productivos de una empresa estructurado que busca satisfacer la demanda de soluciones de gestin, empresarial, basado en el concepto de una solucin completa que permita a las empresas unificar las diferentes reas de productividad de la misma.
2.2 Caractersticas de un ERP
Los sistemas de ERP se presentan como tecnologa adaptativa y han demostrado hasta ahora ser una buena solucin ante la gran demanda de manejo de informacin y aprovechamiento de las tecnologas. Las siguientes caractersticas nos lo permiten: (Ver figura 2.1)
Integracin: El objetivo de un sistema ERP es integrar todos los procesos de la empresa, entendindola como una serie de reas que se relacionan entre s. Este enfoque permite una mayor eficiencia, reduccin de tiempo y costes. Una base de datos centralizada es la que suele facilitar el flujo de informacin entre los diferentes mdulos. Es importante destacar que en un sistema ERP los datos se ingresan una sola vez para su utilizacin en el sistema. Estos deben ser consistentes, completos y comunes. De esta forma se evita la duplicidad de informacin.
Modularidad: Cada rea funcional de la empresa se corresponde con un mdulo del sistema de gestin. Estos mdulos aunque independientes comparten informacin entre s mediante una base de datos centralizada, lo que facilita la personalizacin y adaptabilidad por una lado, y por otro la facilidad de integracin. Es habitual que cada mdulo utilice un software especfico para su funcionalidad.
Adaptabilidad: Gracias a la modularidad y capacidad de integracin de las funcionalidades un sistema ERP es fcilmente adaptable a las necesidades de cada empresa, permitiendo una total configuracin. Aunque existe esta posibilidad de adaptacin, muchas veces para abaratar costes la empresa utiliza una solucin ms genrica, en vez de personalizar un desarrollo, lo que le obliga a modificar algunos de sus procesos para alinearlos con los del sistema ERP.
AUDITORA AL MDULO DE INVENTARIOS DEL ERP MACROPRO
23
Caractersticas de un ERP Adaptabilida d Modularidad Integracin
Figura 2.1. Caractersticas de un ERP.
2.3 Objetivos del ERP
Los principales objetivos de estos sistemas ERP son: Optimizacin de todos los procesos de nuestra empresa. Acceso de toda nuestra informacin de forma precisa, segura, rpida y verdadera (integridad de datos). Compartir informacin entre todas las secciones y componentes de la organizacin y de nuestra empresa para mayor eficiencia. Eliminacin de datos y operaciones ya no necesarias para el correcto funcionamiento y optimizacin y renovacin de las servibles.
El propsito ms importante en un ERP, es dar todo nuestro apoyo a los clientes del negocio, respuestas rpidas y eficientes a sus problemas as como un inmejorable manejo de informacin, que sea lo suficientemente til para que permita la toma de las mejores decisiones y la disminucin de los costes totales de operacin para ambos.
2.4 Componentes de un ERP
Los componentes o mdulos bsicos en los que se divide un ERP son los siguientes: (Ver figura 2.2) MRP CRM FRM HRM SCM
AUDITORA AL MDULO DE INVENTARIOS DEL ERP MACROPRO
24
Figura 2.2. Mdulos de un sistema de planificacin de recursos empresariales (ERP).
MPR (Material Requierement Planning)
En espaol significa planificador de las necesidades de material, es decir, es un mdulo de planificacin de materiales y gestin de inventarios que responde a las siguientes preguntas:
Qu orden producir? Cunto producir? Cundo producir?
Mediante este sistema se garantiza la prevencin y solucin de errores en el aprovisionamiento de materias primas, el control de la produccin y la gestin de rdenes, ya que su objetivo es disminuir el volumen de existencia a partir de lanzar la orden de compra o fabricacin en el momento adecuado segn los resultados del programa maestro de produccin. Es un sistema que puede determinar de forma sistemtica el tiempo de respuesta (aprovisionamiento y fabricacin) de una empresa para cada producto.
Para ello el sistema trabaja con dos parmetros bsicos: tiempos y capacidades.
El sistema MRP calcular las cantidades de producto terminado a fabricar, los componentes necesarios y las materias primas a comprar para poder satisfacer la demanda del mercado.
AUDITORA AL MDULO DE INVENTARIOS DEL ERP MACROPRO
25
Este tipo de sistemas son utilizados para empresas que tengan ciertas caractersticas en cuanto a la forma de produccin y especificaciones del producto.
CRM (Customer Realatioship Management)
Los sistemas de administracin de la relacin con el cliente busca entender y anticipar las necesidades de los clientes existentes y tambin de los potenciales, que actualmente se apoya en soluciones tecnolgicas que facilitan su aplicacin, desarrollo y aprovechamiento como parte de una estrategia de negocio centrada en los clientes. La cual est basada en la satisfaccin de los clientes y tambin a los sistemas informticos que dan soporte a esta estrategia.
Se refiere a la administracin de todas las interacciones que pueden tener un negocio y sus clientes. Se enfoca en la optimizacin del ciclo de vida del cliente en su totalidad. Adems, CRM es un trmino de la industria de la informacin que rene, metodologas, software y las capacidades del internet para administrar de una manera eficiente y rentable las relaciones de un negocio con sus clientes.
FRM (Finance Resource Management)
Los sistemas de administracin de recursos financieros (FRM), son sistemas que surgen de la necesidad de integrar todo tipo de datos contables como son las proyeccin de ventas, el ingreso y los activos tomando como base estrategias alternativas de produccin y mercadotecnia as como la determinacin de los recursos que se necesitan para lograr estas proyecciones.
HRM (Human Resource Management)
Los sistemas de administracin de recursos humanos (HRM), son parte de una estrategia entre la gestin de recursos humanos y la tecnologa de informacin. Combina los recursos Humanos y en particular sus actividades administrativas con los medios puestos a su disposicin por la informtica, y se refieren en particular a las actividades de planificacin y tratamiento de datos para integrarlos en un nico sistema de gestin.
Su funcin principal es recolectar informacin relacionada con las caractersticas personales y profesionales de cada empleado, historial laboral, hasta los detalles como las remuneraciones y el puesto que ocupan dentro de la empresa.
AUDITORA AL MDULO DE INVENTARIOS DEL ERP MACROPRO
26
SCM (Supply Chain Management)
Los sistemas de gestin de la configuracin de software (SCM,) es el trmino utilizado para describir el conjunto de operaciones de produccin y logstica cuyo objetivo final es la entrega de un producto a un cliente. Esto quiere decir, que la gestin de la configuracin de software (SCM) incluye las actividades asociadas desde la obtencin de materiales para la transformacin del producto, hasta su colocacin en el mercado.
Los sistemas de gestin de la configuracin de software (SCM) utilizan los conceptos de e-business y tecnologas Web para coordinar y optimizar los procesos de mbito empresarial en todas y cada una de las reas de su empresa: desde el proveedor hasta el cliente.
2.5 Control de riesgos en un ERP
Debido a que los ERP son sistemas integrales y que uno de sus objetivos es procesar gran cantidad de informacin en tiempo real a usuarios simultneos como parte de sus funciones, es necesario tener en cuenta que surgen riesgos que los ERP sin controles pueden llegar a ser exitosos.
Por lo que es necesario conocer toda la informacin respecto a los riesgos que surgen y aplicar medidas preventivas, correctivas.
Las complejidades tcnicas surgen:
El sistema reside en varios equipos. La ptima coordinacin es un desafo. Fiabilidad y disponibilidad de los datos. El sistema permite la configuracin flexible, personalizacin y mantenimiento.
Riesgos empresariales clave:
Amplia experiencia necesaria para el funcionamiento eficaz. Significativos cambios de personal y estructuras organizativas. Transicin de las funciones de usuarios a las funciones tradicionales de empowerment. Entornos de sistemas On-line y en tiempo real requieren de un entorno empresarial continuo. El esfuerzo de capacitacin de un gran nmero de usuarios. Desafo a un entorno totalmente integrado en los diferentes procesos de negocio existentes entre las unidades de negocio.
Riesgos Tcnicos:
Falta de experiencia en implementacin y gestin de la tecnologa informtica distribuida.
AUDITORA AL MDULO DE INVENTARIOS DEL ERP MACROPRO
27
El incremento de accesos remotos por los usuarios y externos. Mltiples interfaces y conversiones de datos de sistemas heredados y otros software comerciales suelen ser necesarios. IS debe hacer la transicin a una organizacin que puede soportar un entorno de computacin distribuida.
Los controles de riesgos pueden surgir estableciendo mecanismos de control, durante la implementacin del sistema ya que el control es amplio dentro de la configuracin.
2.6 Metodologas para auditar un ERP
La realizacin de una auditora de un ERP puede ser compleja, por lo que es necesario dividir la auditora en partes pequeas que apoyen los objetivos generales de la auditora.
CIS
Una de las metodologas usadas para la auditora es CIS que significa Center for Internet Security el cual proporcionan una lista de controles que se pueden enumerar en un checklist para que sean verificadas.
Su misin es establecer y promover el uso de normas basadas en el consenso para elevar el nivel de seguridad y privacidad en los sistemas conectados a Internet, y para garantizar la integridad de los negocios, gobierno y funciones basadas en Internet privados y las transacciones en que la sociedad depende cada vez ms. CEI es una organizacin independiente, regulada por una Junta Directiva de voluntarios, no es propiedad o est controlado en su totalidad o parcialmente por cualquier corporacin o entidad gubernamental.
NIST National Institute of Standards and Technology
Misin del NIST consiste en promover la innovacin y la competitividad industrial EE.UU. por la ciencia que avanza la medicin, normas, y la tecnologa en formas que mejoren la seguridad econmica y mejorar nuestra calidad de vida.
Aunque la gua del NIST est enfocada para su uso en agencias federales estadounidenses, su lectura y conclusiones pueden resultar interesantes para otros entornos, tanto gubernamentales como privados.
COBIT Information Systems Audit and Control Association
COBIT brinda un modelo de procesos genricos que representa todos los procesos que normalmente se encuentran en las funciones equivalentes entre los modelos de procesos COBIT y las reas de enfoques del gobierno de TI.
AUDITORA AL MDULO DE INVENTARIOS DEL ERP MACROPRO
28
Se enfoca en qu se requiere para lograr una administracin y un control adecuado de TI, y se posiciona en un nivel alto. COBIT ha sido alineado y armonizado con otros estndares y mejores prcticas ms detalladas de TI.
COBIT acta como un integrador de todos los elementos gua, resumiendo los objetivos clave bajo un mismo marco de trabajo integral que tambin se aliena con los requerimientos de gobierno y de negocio. AUDITORA AL MDULO DE INVENTARIOS DEL ERP MACROPRO
29
NIST PARA ERP
AUDITORA AL MDULO DE INVENTARIOS DEL ERP MACROPRO
30
CAPTULO III NIST PARA ERP
3.1 Antecedentes de NIST
El Instituto Nacional de Normas y Tecnologa (NIST por sus siglas en ingls, National Institute of Standards) es una agencia de la Administracin de Tecnologa del Departamento de Comercio de los Estados Unidos. La misin de este instituto es promover la innovacin y la competencia industrial en Estados Unidos mediante avances en metrologa, normas y tecnologa de forma que mejoren la estabilidad econmica y la calidad de vida.
Como parte de esta misin, los cientficos e ingenieros del NIST continuamente refinan la ciencia de la medicin (metrologa) creando una ingeniera precisa y una manufacturacin requerida para la mayora de los avances tecnolgicos actuales. Tambin estn directamente involucrados en el desarrollo y pruebas de normas hechos por el sector privado y agencias de gobierno. El NIST fue originalmente llamado Oficina Nacional de Normas (NBS por sus siglas en ingls), un nombre que tuvo desde 1901 hasta 1988. El progreso e innovacin tecnolgica de Estados Unidos dependen de las habilidades del NIST, especialmente si hablamos de cuatro reas: biotecnologa, nanotecnologa, tecnologas de la informacin y fabricacin avanzada.
La serie 800 del NIST son una serie de documentos de inters general sobre Seguridad de la Informacin. Estas publicaciones comenzaron en 1990 y son un esfuerzo de industrias, gobiernos y organizaciones acadmicas para todos los interesados en la seguridad.
3.2 Gua de Implementacin Tcnica de Seguridad en los ERP
3.2.1 Introduccin Este documento contiene los procedimientos que permiten al personal cualificado llevar a cabo una Revisin de Disponibilidad de Seguridad (Security Readiness Review, SRR) a un ERP. Esta lista se va a utilizar para las implementaciones de ERP para las que no existen listas de productos especficos. La Revisin de Disponibilidad de Seguridad evala el cumplimiento junto con la Agencia de Defensa de Sistemas de Informacin (Defense information Systems Agencys, DISA) con la Gua de Implementacin Tcnica de Seguridad en los ERP.
En el Campo de Operaciones de Seguridad de DISA (FSO) lleva a cabo la Revisin de Disponibilidad de Seguridad del ERP para proporcionar un nivel AUDITORA AL MDULO DE INVENTARIOS DEL ERP MACROPRO
31
mnimo de seguridad a DISA, conjunto de comandos, y otros del Departamento de Defensa (DoD) las organizaciones que sus aplicaciones son razonablemente segura contra los ataques que pondra en peligro su misin. La complejidad de las aplicaciones de misin crtica ms se opone a una revisin de seguridad completa de todas las funciones de seguridad posibles y vulnerabilidades en el marco de tiempo asignado para un SRR ERP. No obstante, la SRR ayuda a las organizaciones frente a las vulnerabilidades de ERP ms comunes e identificar aseguramiento de la informacin (IA), cuestiones que plantean un riesgo inaceptable para las operaciones.
Idealmente, los controles de IA se integran en el ciclo de vida completo, incluyendo las fases relacionadas con la recogida de requisitos, diseo, desarrollo, garanta de calidad y pruebas. La Revisin de Disponibilidad de Seguridad del ERP tpicamente ocurre cuando una aplicacin ERP se encuentra en produccin - es decir, cuando el ciclo ya se ha completado.
Muchas de las conclusiones de la Revisin de Disponibilidad de Seguridad del ERP pueden ser solucionadas con las modificaciones de las funciones de seguridad, que se asignan a los usuarios y personal de apoyo, o con la modificacin de los parmetros del sistema ERP. Separacin de las funciones hallazgos pueden requerir modificaciones a los roles y responsabilidades del puesto.
3.2.2 Alcance de evaluacin a un modulo de un ERP Como ya se menciono anteriormente, sta gua permite hacer la revisin de forma integral a los aspectos necesarios del ERP para medir su nivel de seguridad en la informacin. Para poder realizar una evaluacin con los resultados aproximados a la exactitud, es recomendable realizar una auditora por secciones, es decir, delimitar la revisin en donde solo se audite por mdulos los elementos que se consideren necesarios dentro de este tema. Para la revisin de la seguridad de la informacin dentro de un Modulo de ERP, la Gua de Implementacin Tcnica de Seguridad en los ERP proporciona las mtricas aplicables para evaluar los elementos que a continuacin se enlistan junto con las mtricas que les corresponden a cada uno. Bases de Datos: ERP000700, ERP000720, ERP000730, ERP013900, ERP013350, ERP000850. Estas mtricas estn enfocadas a la verificacin de las caractersticas que se tienen para el manejo de la base de datos y el control sobre la informacin critica que contiene. El mantenimiento de la base de datos se evala en medida de la validez que tenga la misma.
AUDITORA AL MDULO DE INVENTARIOS DEL ERP MACROPRO
32
Configuraciones Iniciales: ERP000800, ERP001500, ERP002000, ERP011000. Mtricas basadas para la comprensin y anlisis de los parmetros establecidos dentro de la configuracin de servidores, aplicacin, conexiones remotas, etc.los parmetros que se evalan son especficamente a la forma en que se tienen los controles para el flujo de informacin a travs de los medios establecidos.
Controles de acceso: ERP001100, ERP001150, ERP001200, ERP001850, ERP003850, ERP011400, ERP011400, ERP011500, ERP013500. Mtricas enfocadas a la evaluacin de medidas de seguridad para el acceso y el uso de operaciones necesarias para cada usuario. As como de los procesos de autorizacin a operaciones innecesarias.
Controles de seguridad: ERP001000, ERP011100, ERP013000. Se enfocan en verificar si los requisitos de seguridad que se deban aplicar dentro del rea auditada, para el ERP se cumplen y la medida en que lo stos lo hacen como son los software de seguridad que dan apoyo para que estos controles se puedan cumplir.
Cambios en el ERP: ERP000860, ERP002100, ERP005000. Evaluacin de la administracin de cambios, actualizaciones en el ERP donde se tenga en cuenta las necesidades que deben cubrir y que demande la seguridad, para que no afecten o daen software o hardware. Se revisan las vas de comunicacin que se tengan para dar a conocer y difundir los cambios que se tengan en mente y que llegue toda la informacin integra sobre los mismos a la direccin.
Cuentas de usuarios: ERP000820, ERP001700, ERP003100, ERP003200, ERP003400, ERP003600, ERP003950, ERP013450, ERP013900, ERP013910, ERP013920, ERP003000, ERP004000, ERP004400. Mtricas que revisan las caractersticas que las cuentas de usuarios tienen para determinar el nivel de vulnerabilidad que se genere por las deficiencias que existen en la administracin de stas. La importancia de esas mtricas radica en conocer los perfiles de usuarios existentes en base de datos as como los privilegios que tengan
Funciones del ERP: ERP007000, ERP009300, ERP010000, ERP001400, ERP013200. Ayudan a verificar los procesos de recuperacin, de eliminacin de objetos innecesarios. As como del monitoreo de las operaciones por acceso de todos los usuarios del mdulo.
AUDITORA AL MDULO DE INVENTARIOS DEL ERP MACROPRO
33
3.3 Caractersticas de la Gua Una Revisin de Disponibilidad de Seguridad del ERP abarca todos los componentes del lado servidor de una aplicacin, incluyendo, pero no necesariamente limitarse a los siguientes elementos que apoyen la solicitud: Aplicacin del cdigo servidor Web (s) servidor de base de datos (s) Directorio y el dispositivo de autenticacin (s) (por ejemplo, los controladores de dominio Windows, RADIUS, etc) Firewall (s) Red y la configuracin enclave necesarias para apoyar la aplicacin Plataformas de sistemas operativos para cualquiera de los anteriores
Durante una revisin completa al ERP, una SRR se realiza en cada uno de los componentes de la lista, adems de la SRR ERP en s. Por ejemplo, si una infraestructura de ERP consista en un extremo de servidor web adelantado que se ejecutan en Windows y una base de datos de backend que se ejecuta en UNIX, la revisin completa constara de Web Server, base de datos, Windows y UNIX SRR. Tambin se debe realizar una prueba de la penetracin.
Si esta revisin es una prueba de la Seguridad y la evaluacin (ST & E) de validacin o una-renovacin de la acreditacin y las revisiones actuales existen para estos componentes, slo la prueba de resistencia tiene que ser completado en el momento de la revisin de ERP. Una revisin actual se define como una revisin a cabo con base en el STIG actual. Se revisan tambin se consideran no estar al da si el sistema operativo o el componente se ha reinstalado ya que la SRR pasado.
Algunos elementos se encuentran fuera del mbito de aplicacin de la SRR ERP. Estos incluyen:
Configuracin y el comportamiento de los clientes del explorador Web Metodologa de desarrollo de aplicaciones
Dado que la seguridad es slo tan fuerte como su eslabn ms dbil, una revisin de seguridad completa que implicar tanto a los componentes de cliente y servidor de la aplicacin ERP, pero en el caso de los navegadores web, el revisor no tiene acceso a todos los clientes potenciales que pueden acceder la aplicacin. Por lo tanto, no es posible incluir estos navegadores web en la revisin. Afortunadamente, las organizaciones que cumplan con los requisitos que figuran en el navegador de aplicaciones de escritorio de la Gua de Implementacin Tcnica de Seguridad (Security Technical Implementation Guide, STIG) deben estar protegidas contra los ataques basados en la aplicacin conocida de los navegadores. Los desarrolladores de aplicaciones de forma independiente debera velar por sus aplicaciones funcionarn correctamente con los navegadores compatibles con STIG (que no es validado durante el SRR general).
AUDITORA AL MDULO DE INVENTARIOS DEL ERP MACROPRO
34
Asimismo esta lista no se preocupa con el proceso de desarrollo, que por supuesto es fundamental para garantizar la seguridad del producto final. Sin embargo, la estructura de los equipos de desarrollo y configuracin, incluyendo sus funciones y responsabilidades estn en el mbito. Las funciones y las responsabilidades deben estar claramente definidas, y los roles de seguridad construido de tal forma que sean puestos en prctica. Esto se pondr a prueba durante el proceso de Revisin de Disponibilidad de Seguridad.
La Revisin de Disponibilidad de Seguridad del ERP examina la solicitud en un solo punto en el tiempo, muy probablemente en la produccin o justo antes de la liberacin. Para obtener altos niveles de fiabilidad para aplicaciones crticas de misin de gran tamao, las organizaciones tal vez desee considerar certificacin de aplicaciones en el marco del National Information Assurance Partnership (NIAP).
Si la solicitud contiene una solucin de vigilancia, los resultados de la ST & E de la solucin de proteccin deben incluirse como parte de la ST & E para la aplicacin. El mbito de aplicacin de la revisin mediante esta lista de comprobacin terminar a principios de la solucin de proteccin.
Esta lista no es una evaluacin apropiada para sistemas que realizan el nivel de procesamiento de mltiples clasificados. Slo NSA dispositivos aprobados en la configuracin aprobados son apropiados en estos ambientes. Este tipo de controles estn fuera del alcance de esta revisin.
AUDITORA AL MDULO DE INVENTARIOS DEL ERP MACROPRO
35
AUDITORA AL MDULO DE INVENTARIOS DEL ERP MACROPRO DE LA EMPRESA CENTRAL DE SUSPENSIONES GMEZ S.A. DE C.V.
AUDITORA AL MDULO DE INVENTARIOS DEL ERP MACROPRO
36
CAPTULO IV AUDITORA AL MDULO DE INVENTARIOS DEL ERP MACROPRO DE LA EMPRESA CENTRAL DE SUSPENSIONES GMEZ S.A. DE C.V.
4.1 Introduccin de la empresa
Datos de Referencia:
Nombre de la Empresa.- Central de Suspensiones Gmez S.A. de C.V.
Nmero de Trabajadores: Actualmente laboran Cuarenta.
Clasificacin de la Empresa: Mediana Empresa por volumen de ventas mensuales de 7500 unidades.
Giro de la Empresa: Compra-Venta de refacciones nuevas para automviles.
Representante Legal: Mara Guadalupe Gmez Valente.
Tipo de Capital.- Variable.
Telfono 5693 27 84 y 5693 76 00.
Antecedentes:
La empresa se fund en 1973 bajo la razn social de Servicio Mojica cuando el seor Felipe Mojica Rojas inicio con una refaccionara y con taller mecnico.
En el ao de 1983 se cambia la razn social a Suspensiones Gmez y su representante legal tambin cambia por el de su esposa Mara Guadalupe Gmez Valente.
En el ao de 1990 se inaugura Central de Suspensiones Gmez el cual es solo refaccionara, especialistas en suspensiones de automviles; con el que ahora su represntate legal es Abraham Mojica Gmez; a partir de ese ao se brinda servicio a domicilio dentro del Distrito federal y zona metropolitana.
AUDITORA AL MDULO DE INVENTARIOS DEL ERP MACROPRO
37
Estructura Organizacional:
La empresa cuenta con una estructura funcional que se divide en los siguientes departamentos: (Ver Anexo A)
Ventas, que a su vez se divide en el departamento de Servicio y el departamento de Personal de Mostrador. Finanzas, que se divide en el Departamento Administrativo y el Departamento Contable. Almacn.
El departamento de almacn no se divide, solo tiene bajo su cargo dos puestos ms que detallaremos sus funciones a continuacin:
GERENTE DE ALMACN.- Jos Espinoso, se encarga de supervisar las entradas y salidas de la mercanca de acuerdo a lo que sus empleados le reportan. Con responsabilidad, dirige, vigila y organiza las operaciones de almacenamiento y expediciones de material de las diferentes campaas.
Personal de Almacn.- Encargados de realizar inventarios para detectar los faltantes de mercanca para realizar un nuevo pedido.
Almacenista.- Es el encargado de realizar el inventario de la mercanca.
Ayudante de almacn.- Se encarga de acomodar la mercanca recibida as como el de ayudar con los inventarios de esta.
4.2 Estado Actual
La empresa Central de Suspensiones Gmez S.A. de C.V. cuenta con el sistema ERP MACROPRO para el manejo y control de sus operaciones; fue implantado hace 8 aos debido a que con el paso del tiempo la empresa se vio en la necesidad de utilizar el ERP para obtener un mayor rendimiento y mejor control en sus actividades.
La versin del software del ERP que est actualmente instalada es la 2.10. Los mdulos que aplica la empres son:
Contabilidad Bancos Nomina Inventario de refacciones Compra de refacciones cuentas por pagar venta de refacciones cuentas por cobrar AUDITORA AL MDULO DE INVENTARIOS DEL ERP MACROPRO
38
Caractersticas del sistema:
Las caractersticas que ofrece MACROPRO a la empresa son los siguientes:
Contabilidad automatizada: Sin Cierres Mensuales Reportes Definibles Configurado de acuerdo a sus necesidades
Integracin total con sus mdulos de: Ventas, Compras e Inventario Contabilidad, Bancos, Nomina y Activos Fijos Cuentas por cobrar y Cuentas por pagar Cajas, Caja rpida, Caja de pagos y Sucursales en Lnea
El mdulo de ventas sistematiza las siguientes funciones: Cambios a las listas de precio Control de ofertas y descuentos Elaboracin de cotizaciones Control de pedidos y backorder Remisiones y Facturacin Documentacin de facturas (ventas a plazos) Venta directa a pblico (punto de venta) Autorizacin de crditos Control de productos obsoletos y sustitutos Cortes de caja Cancelacin de facturas Contabilizacin de las ventas del da Elaboracin del depsito de las ventas de contado Devoluciones parciales Anlisis de la eficiencia en el surtido de pedidos Registro de anticipos Registro de notas de cargo, descuentos y bonificaciones Control de la cobranza Control de pago de comisiones Anlisis de cheques devueltos Anlisis grfico de las ventas. El mdulo de inventarios sistematiza las siguientes funciones: Entrega y Salida de mercanca Confirmacin de embarques para facturacin automtica Traspasos entre almacenes y tiendas Surtido de pedidos de sucursales Preparacin, toma y anlisis de los inventarios fsicos Clculo de los niveles de inventario (Mximo, Re orden y Mnimo) Clculo del ABC o importancia del artculo Control de Lotes y Fechas de Caducidad Anlisis y auditora de costos, existencias, niveles de inventario, etc. AUDITORA AL MDULO DE INVENTARIOS DEL ERP MACROPRO
39
El mdulo de compras sistematiza las siguientes funciones: Generacin de los sugeridos o previos de compra Control de rdenes de compra y backorder Captura de remisiones y facturas de proveedor Determinacin del costo del producto Control de pedidos, clculo de aranceles, prorrateo de fletes y gastos aduanales en mercancas de importacin Cancelacin de compras Devoluciones parciales al proveedor Captura de anticipos y pagos Registro de cargos, descuentos y bonificaciones Anlisis de eficiencia de los proveedores Anlisis de cuentas por pagar
El mdulo de inventarios sistematiza las siguientes funciones: Control de expedientes de empleados Elaboracin de nminas semanales, quincenales, catorcenales, decenales o mensuales Impresin de los recibos de nmina Clculo del ISPT, IMSS, SAR, INFONAVIT e impuesto estatal Impresin de reportes para declaraciones mensuales, bimestrales y anuales Clculo de vacaciones, aguinaldo, reparto de utilidades, finiquitos y otras nminas especiales Anlisis de nminas por departamentos, categoras, turnos y otros parmetros Control de descuentos por prstamos y ahorro
Usuarios
Cuenta con 18 usuarios a los cuales se asignan privilegios de acuerdo al departamento en que se encuentran, los tipos de usuarios son:
Mostrador: tiene privilegios limitados, por lo cual solo tiene acceso a realizar ventas, facturacin y consulta de existencias.
Administracin: posee privilegio de agregar, modificar, cancelar registros, es decir, registrar compras, cargar cuentas por cobrar, cuentas por pagar, cancelaciones de facturas, devoluciones y notas de crdito.
Contabilidad: puede consultar, compras registradas, cuentas por cobrar generadas, as como las cuentas por pagar, cancelaciones de facturas, devoluciones y notas de crdito. As mismo se encarga de la gestin de estados financieros.
AUDITORA AL MDULO DE INVENTARIOS DEL ERP MACROPRO
40
Superusuario: es el administrador del sistema, el cual tiene acceso a todos los mdulos del ERP y es el nico que puede tener acceso a la parte de nomina.
Especificaciones tcnicas del ERP
Informacin sobre la instalacin de ERP
Sistema ERP Nombre del ERP MACROPRO Versin 2.10 Fecha de caducidad de licencia 1 ao Base de datos de datos Sistema ACUCORP Liberacin Versin 4 Nombre Vision Host Servidor Linux Owner Host de datos Sistema Operativo Linux Centos Tipo de Mquina Arquitectura del procesador Nombre del servidor: Linux Centos Red-Hat (cliente-servidor) ID de la plataforma Linux
Tabla 4.1 Especificaciones tcnicas del ERP.
Descripcin general del servidor
Nombre de la aplicacin de servidor OS Nivel Opinin (Si o No) ERP Cliente servidor Software instalado y la fabricacin Software Nivel SRR Software Realizado (Si o No) Linux Centos Linux Basado en red-hat
ACUCORP Base de datos no
Tabla 4.2 Descripcin general del Servidor.
AUDITORA AL MDULO DE INVENTARIOS DEL ERP MACROPRO
41
Flujo de trabajo del mdulo de Inventario de Refacciones
Las actividades que se llevan a cabo en relacin al mdulo de Inventario de refacciones son las siguientes:
1. Se levanta una orden de compra y este genera un backorder de compra (respaldo de la compra). 2. El proveedor indica cuando provee el producto. 3. El proveedor suministra. 4. Se revisan los productos (no debe haber ms del producto ordenado). 5. El personal del almacn coteja el producto contra lo que se ordena. 6. Entrada al sistema ERP en el mdulo de inventarios: Existen 3 formas de ingresar la entrada al sistema: a. Directamente en el mdulo de inventarios se genera una entrada de los nuevos productos. b. A travs del mdulo de compras (por seguridad). c. A travs de una remisin o factura de compra. i. Remisin: El proveedor te entrega el producto pero no te entrega la factura, (no se tiene una cuenta por pagar en el sistema). Se descarga el backorder de la orden de compra por medio de una nota de remisin de compra, para que ya no se cuente como pendiente ese backorder. ii. Genera entradas directamente al inventario, con el costo que se acord en la orden de compra. iii. No genera una cuenta por pagar porque el proveedor no te est entregando una factura. d. Te surte y te entrega la factura, genera la entrada por medio de la factura, te genera la cuenta por pagar, al momento de firmar al proveedor se tiene en cuenta que se tiene ya una cuenta por pagar, y dicha cuenta al ingresarla al sistema tiene una fecha de emisin y una de vencimiento de acuerdo a los das de crdito que te ofrece el proveedor. 7. Se etiqueta la mercanca entrante. 8. Se acomoda en almacn mercanca etiquetada. 9. Ventas solicita producto. 10. Se verifica existencia en almacn. 11. Se efecta venta, registrando como salida de producto del almacn.
Para observar el diagrama de procesos y diagramas de Flujo del Mdulo de Inventario de Refacciones ver Anexo B.
4.3 Descripcin de problemtica
Dentro de la empresa "Central de Suspensiones Gmez S.A. de C.V." se han detectado faltantes en el inventario del almacn lo que ha generado incongruencia en el control de inventarios que se lleva en el sistema contra lo que se tiene de control de inventarios fsico. Lo cual ha demostrado un dficit AUDITORA AL MDULO DE INVENTARIOS DEL ERP MACROPRO
42
en un punto muy importante para le empresa, ya que es vital llevar el adecuado control de inventarios para reducir al porcentaje mnimo las incidencias de este tipo, como podra ser el que no se registren bien las entradas y salidas de los productos que se venden.
4.4 Solucin
Nuestro equipo auditor se vio en la tarea de realizar una auditora al Mdulo de Inventarios del ERP MACROPRO para otorgarles recomendaciones conforme a la Gua de NIST, Gua de Implementacin Tcnica de Seguridad en los ERP
Dicha gua nos proporcion la orientacin necesaria para la evaluacin de procedimientos que permiten llevar a cabo una revisin de aptitud de seguridad en la implementacin del ERP.
Aunado al proceso que requiri la auditora fue necesaria la documentacin que avalara cada funcin realizada antes durante, as como la presentacin de los resultados para mayor detalle consultar Anexo C, donde se presenta la Cdula nica de Auditora, la cual contiene la documentacin en orden consecutivo de la misma.
4.4.1 Planeacin
Durante la etapa de planeacin se logro identificar el trabajo a ejecutar por el equipo auditor, permiti el seguimiento de los avances que ste va obteniendo; delimita las responsabilidades, evitando duplicacin de funciones en la auditora y establece los procedimientos especficos por desarrollar.
La planeacin de la auditora se llevo a cabo del 2 al 9 de Agosto del 2010, la cual comprendi los siguientes puntos:
Creacin de plan de trabajo
Para el plan de trabajo se realizo el cronograma de actividades a desarrollar en el cual se fijo su duracin y encargado de cada una. Las actividades definidas fueron las siguientes:
Creacin de plan de trabajo. Junta con la direccin para proponer Auditora. Redaccin de carta de planeacin. Creacin de Cedula nica de Auditora. Entrega de Carta de Planeacin de Auditora. Junta Inicial con gerencia para obtener informacin de la empresa. Entrevista con el administrador del sistema ERP. Determinacin de la Gua, basada en NIST. Establecer los requerimientos para auditar. AUDITORA AL MDULO DE INVENTARIOS DEL ERP MACROPRO
43
Definicin de roles dentro del equipo para realizar la auditora. Solicitud de cita para la aplicacin del Checklist. Aplicacin del Checklist al mdulo de Inventario de Refacciones. Anlisis de resultados. Realizar reportes y graficas. Redaccin del informe final. Entrega de resultados a la empresa.
Asimismo se estableci que el periodo en el que se realizara la auditora a la empresa sera del 2 de Agosto al 20 de Agosto del 2010. (Ver Anexo D)
Junta con la gerencia para proponer auditora
El equipo auditor se reuni en una junta con la Gerente de la empresa, Mara Isabel Mojica Gmez, el da mircoles 4 de agosto del ao en curso para proponer la auditora a la empresa.
Elaboracin y aceptacin de carta de Planeacin
La base de la Carta de Planeacin es el Programa Anual de Control y Auditora (PACA). En esta, se describi los antecedentes del rea a auditar, tipo de auditora que el equipo auditor llevo a cabo, el objetivo de dicha auditora, el alcance, la posible problemtica a la que pueda enfrentarse el equipo auditor y la estrategia que se tiene.
Tambin se indica los nombres completos del personal asignado a la auditora y su cargo dentro de esta. La carta fue firmada por la persona que elabor la carta, que corresponde al jefe del grupo auditor, y la persona que da el visto bueno a la carta.
La carta de planeacin explica las diferentes actividades a realizar dentro de la auditora, responsabilidades y autorizaciones para la realizacin de la misma. Para ms detalle (Ver Anexo E)
Junta Inicial
Se llevo a cabo una junta inicial con la Gerente de la empresa quien nos dio una introduccin a la empresa, explicndonos su flujo de procesos y el principal problema con el que se enfrentan. Posteriormente, nos presento a Herlo Corona quien es administrador del sistema ERP.
Determinacin de Gua NIST (Checklist)
Para el levantamiento de la informacin de la auditora se determino el checklist basado en la metodologa de NIST, Gua de Implementacin Tcnica de Seguridad en los ERP, del cual solo usamos 47 mtricas que consideramos aplicables para la auditora del mdulo de Inventarios. (Ver Anexo F)
AUDITORA AL MDULO DE INVENTARIOS DEL ERP MACROPRO
44
Dicha gua nos oriento en la evaluacin de procedimientos que permiten llevar a cabo una revisin de aptitud de seguridad en la implementacin del ERP.
Redaccin de Orden de Auditora
La prctica de la auditora se realiz mediante un mandato escrito que se denomina Orden de Auditora, con las siguientes caractersticas:
a) Dirigirse al director de la empresa. b) Citar a los auditores que practicarn la revisin, incluyendo al responsable del rea de auditora. c) Describir de manera general los alcances de los aspectos y el periodo por revisar. d) Estar firmada por el titular del rgano Interno de Control o de Control Interno, o por quien ste haya designado para tal fin.
La orden de auditora se entreg a quien iba dirigida, obteniendo de esta persona el acuse de recibo en una copia de la misma. Adems se turnar copia a las instancias que lo requieran. (Ver Anexo G)
Elaboracin y aceptacin de carta de requerimientos
Se elaboro una carta de requerimientos para solicitar la informacin y documentacin necesaria para auditar el mdulo de Inventarios del ERP MACROPRO. (Ver anexo H)
La informacin que se solicito fue:
Procesos del Mdulo. Lista de usuarios que tienen acceso al Mdulo. Configuraciones iniciales del ERP. Controles y /o Polticas de acceso al Mdulo. Documentacin de actualizaciones. Permiso para acceso al Mdulo con una cuenta de tipo administrador. Permiso para acceso a internet. Permiso para acceso al servidor y presencia del administrador del ERP para poder realizar las pruebas a la BD.
Redaccin de Marco conceptual
Se realiz de acuerdo al rea a auditar. Este documento denominado Marco Conceptual, contiene los siguientes datos: identificacin de la auditora; rea a auditar; objetivo que se persigue; universo, muestra por revisar y procedimientos que se desahogarn durante el desarrollo del trabajo, as como la conclusin a la que lleg el equipo auditor una vez concluida la revisin de acuerdo con las especificaciones. (Ver Anexo I)
AUDITORA AL MDULO DE INVENTARIOS DEL ERP MACROPRO
45
Con el Marco Conceptual se logro identificar el trabajo a ejecutar por parte de equipo auditor, permiti el seguimiento de los avances que ste va obteniendo; delimit las responsabilidades, evitando duplicacin de funciones en la auditora y establece los procedimientos especficos por desahogar. Su integracin dentro de los papeles se inserta en los procedimientos ejecutados en cada rubro revisado.
4.4.2 Ejecucin de la Auditora
Una vez concluida la planeacin, el equipo auditor se dedico a compilar la informacin y documentacin que se requiri.
El objetivo de la etapa de ejecucin fue obtener evidencia suficiente del rea que se audit, para as contar con los elementos suficientes que permitieron al equipo auditor determinar el grado de razonabilidad de las situaciones observadas, la veracidad de la documentacin revisada y la confiabilidad de los sistemas y registros examinados, y con ello emitir una opinin slida, sustentada y vlida.
A continuacin se explican las actividades realizadas durante la ejecucin de la auditora que comprenden el periodo del 09 al 13 de Agosto del ao en curso.
Aplicacin de Gua NIST:
El levantamiento de la informacin de la auditora se baso en la metodologa de NIST, basndonos en la Gua de Implementacin Tcnica de Seguridad en los ERP, donde solo usamos ciertas mtri cas que consideramos aplicables para este caso.
Entrevistas:
Realizamos entrevistas al personal clave como parte del levantamiento de informacin, las cuales fueron efectuadas a:
Gerente: Mara Isabel Mojica Gmez. Administrador de ERP: Herlo Corona.
Recepcin de Informacin:
De la documentacin solicitada en la carta de requerimientos solo la que se menciona a continuacin en forma de lista fue entregada.
Configuraciones iniciales del ERP. Documentacin de actualizaciones. AUDITORA AL MDULO DE INVENTARIOS DEL ERP MACROPRO
46
Diagrama de Procesos del Mdulo.
La siguiente lista muestra la informacin que no se nos fue entregada:
Lista de usuarios que tienen acceso al Mdulo. Controles y /o Polticas de acceso al Mdulo.
La informacin que se requiri y no se entrego fue debido a que no se contaba con la documentacin y porque no se tena conocimiento de su existencia.
Realizacin de Pruebas:
Para la realizacin de las siguientes pruebas fue necesaria la participacin del Administrador del ERP, para la supervisin y la ayuda necesaria.
NO. PRUEBAS EVIDENCIAS 1 Intento de acceso al sistema con cuenta de usuario de tipo administrador y contrasea errnea. Nunca se bloque el acceso despus de 3 intentos Contraseas de 5 caracteres Alfanumricos. 2 Revisin de Configuracin Inicial del ERP. Parmetros de seguridad correctas para Servidor y Cliente delgado. 3 Revisin de la informacin de la BD. BD indexada solo se puede consultar mediante el ERP. 4 Operaciones dentro del Mdulo. Pantallas del Mdulo. 5 Perfiles de usuarios. 4 tipos de perfiles.
Tabla 4.3 Pruebas realizadas.
Para visualizar las evidencias a ms detalle que fueron detectadas durante la realizacin de las pruebas, (Ver Anexo J) donde se muestran las pantallas de configuraciones en el servidor referente a los perfiles de usuarios, configuraciones del ERP e interfaces del Mdulo de Inventarios.
Hallazgos
Los hallazgos encontrados fueron los siguientes dentro del Mdulo de Inventarios. En la siguiente tabla se muestran la relacin de los hallazgos con su causa y efecto.
AUDITORA AL MDULO DE INVENTARIOS DEL ERP MACROPRO
47
Hallazgo Causa Efecto Concentracin de actividades en el administrador. No existe Depto. de TI se contrat un servicio de Outsourcing en TI. Al tener una falla grave en el Mdulo y el administrador no se pueda localizar, las posibilidades de prdida de informacin critica se incrementan. Controles Dbiles en el procedimiento de administracin de usuarios. No se tiene el conocimiento completo. Usuarios que no sean necesarios se encontraran en la BD como usuarios activos. Exceso de Confianza entre los usuarios.
El personal se presta sus contraseas para tener acceso al ERP cuando otro usuario se ausenta.
Prdida de informacin por error. Falta de administracin de la documentacin existente. La documentacin la tiene la empresa consultora del ERP y la empresa refaccionaria no la ha solicitado. Cuando se requiera revisarla en caso de emergencia esta no estar accesible. Falta de Manual de usuario. Usuarios del sistema con ms de 3 aos son los que capacitan a nuevos usuarios. Usuarios con el manejo incorrecto de los procesos de entradas al Mdulo. Nivel de seguridad medio en Contraseas. Se configuraron solo con 5 caracteres alfanumricos, derivado del exceso de confianza. Entrada fcil a intrusos al descifrar la contrasea de usuarios. No existe registro de auditoras anteriores al Mdulo. Se crea que no es necesaria una rutina de evaluacin al Mdulo. No se enriquece polticas ni controles para los procesos del Mdulo. Soporte Tcnico al Mdulo y de Actualizacin cada 6 meses. Estipularon ambas empresas en el contrato que la asistencia tcnica sera cada 6 meses. Si surge un problema en el ERP antes de ese lapso aumenta la probabilidad de prdidas de informacin. Falta de documentacin de Polticas y controles de procesos y procedimientos del Mdulo. No se tienen diagramas de procesos para el Mdulo ni sobre polticas y controles sobre el mismo. No se aplican correctamente.
Tabla 4.4 Hallazgos encontrados.
AUDITORA AL MDULO DE INVENTARIOS DEL ERP MACROPRO
48
4.4.3 Anlisis de Riesgos
Se realizo un anlisis de riesgos de los hallazgos localizados durante la ejecucin de la auditora, cuyo fin fue determinar la valoracin de los mismos.
Elegimos la metodologa de COBIT debido a que es una de las ms utilizadas y recomendadas para llevar el anlisis de riesgos. A continuacin, se muestra el Anlisis de Riesgos:
Nombre del Activo: ERP MACROPRO, MDULO INVENTARIO DE REFACCIONES. Central de Suspensiones Gmez S.A de C.V. FECHA: 11 de Agosto de 2010.
Caractersticas del sistema
Nombre del ERP: MACROPRO Talleres
La versin del software del ERP MACROPRO que actualmente tienen instalada es la 2.10. Los mdulos que utiliza la empresa son los siguientes:
Contabilidad Bancos Nomina Inventario de refacciones Compra de refacciones cuentas por pagar venta de refacciones cuentas por cobrar
Para llevar el control de sus operaciones cuentan con el ERP MACROPO, el cual se implanto desde hace 8 aos.
El ERP es administrado por el Outsourcing consultor Conectivo quien es el distribuidor del mismo, el sistema ERP no ha sido auditado durante este tiempo.
Identificacin de amenazas
Amenazas Fuentes:
Amenazas de origen Humano:
No hay servicio de TI hasta que el pueda atender al ERP. Acceso fcil al mdulo de usuarios inactivos. Ataques a la integridad de la informacin de forma accidental. AUDITORA AL MDULO DE INVENTARIOS DEL ERP MACROPRO
49
Informacin no accesible en caso necesario. Usuarios cometen fallas en los procesos del mdulo. Entrada fcil a intrusos. Polticas y controles dbiles en aspectos de seguridad. Fallas acontecidas antes de la fecha de soporte acordada. Deficiencias en el uso de las polticas y controles.
Amenazas de origen Natural:
Terremotos.
Amenazas Ambientales:
Incendio. Fallos de luz. Ubicacin de hardware.
Identificacin de vulnerabilidades potenciales
No existe una segregacin de funciones del administrador del sistema. Poco nfasis en control de usuarios activos y no activos. Prstamo de contraseas. Documentacin desordenada. Usuarios con antigedad capacitan a nuevos usuarios. Configuracin dbil en seguridad de password. Falta de cultura en aspectos de auditora en informtica. Mantenimiento eventual. Las polticas y controles de los procesos del mdulo no estn documentadas.
Anlisis de Controles
Controles Preventivos:
Existe documentacin sobre la instalacin del ERP. Se cuenta con documentacin sobre las actualizaciones habidas en el ERP. Existen polticas de seguridad en el acceso al ERP. Existen privilegios en base al nivel y tipo de usuario. Existe encriptacin de datos. Se cuenta con respaldos de informacin.
Controles Detectivos:
Conteo de registros. Controles Correctivos. AUDITORA AL MDULO DE INVENTARIOS DEL ERP MACROPRO
50
Determinacin de la Probabilidad
NIVEL DE PROBABILIDAD VULNERABILIDADES Alta V1. No existe una segregacin de funciones del administrador del sistema. Media V2. Poco nfasis en control de usuarios activos y no activos. Alta V3. Prstamo de contraseas. Media V4. Documentacin desordenada. Media V5. Usuarios con antigedad capacitan a nuevos usuarios. Media V6. Configuracin dbil en seguridad de password. Alta V7. Falta de cultura en aspectos de auditora en informtica Media V8. Mantenimiento eventual. Alta V9. Las polticas y controles de los procesos del mdulo no estn documentadas.
Tabla 4.5 Determinacin de la Probabilidad.
Anlisis de Impacto
AMENAZAS Nivel de Impacto Integri dad Disponibi lidad Confidenci alidad A1. No hay servicio de TI hasta que el pueda atender al ERP. M A B A2 . Acceso fcil al mdulo de usuarios inactivos. A M A A3. Ataques a la integridad de la informacin de forma accidental. A M A A4. Informacin no accesible en caso necesario. B A M A5. Usuarios cometen fallas en los procesos del mdulo. M B M A6. Entrada fcil a intrusos. A M A A7. Polticas y controles dbiles en aspectos de seguridad. M M M A8. Fallas acontecidas antes de la fecha de soporte acordada. M A B A9. Deficiencias en el uso de las polticas y controles. M B M
Tabla 4.6 Anlisis de Impacto.
Alto= A Medio= M Bajo= B AUDITORA AL MDULO DE INVENTARIOS DEL ERP MACROPRO
51
Determinacin del riesgo
Amenaza / Vulnerabilidad Probabilidad Impacto Nivel del Riesgo Alto Medio Bajo Alto Medio Bajo V1. No existe una segregacin de funciones del administrador del sistema / A1. No hay servicio de TI hasta que el pueda atender al ERP. X X 50 V2 . Poco nfasis en control de usuarios activos y no activos / A2 . Acceso fcil al mdulo de usuarios inactivos. X X 25 V3. Prstamo de contraseas / A3. Ataques a la integridad de la informacin de forma accidental. X X 100 V4. Documentacin desordenada / A4. Informacin no accesible en caso necesario. X X 25 V5. Usuarios con antigedad capacitan a nuevos usuarios / A5. Usuarios cometen fallas en los procesos del mdulo. X X 5 V6. Configuracin dbil en seguridad de password / A6. Entrada fcil a intrusos. X X 50 V7. Falta de cultura en aspectos de auditora en informtica / A7. Polticas y controles dbiles en aspectos de seguridad. X X 50 V8. Mantenimiento eventual / A8. Fallas acontecidas antes de la fecha de soporte acordada. X X 25 V9. Las polticas y controles de los procesos del mdulo no estn documentadas / A9. Deficiencias en el uso de las polticas y controles. X X 50
Tabla 4.7 Determinacin del Riesgo. AUDITORA AL MDULO DE INVENTARIOS DEL ERP MACROPRO
Escala de riesgo: Alto (> 50 a 100); media (> 10 a 50) de baja (1 a 10)
Elaboracin del Mapa de Riesgos:
Al finalizar el anlisis de riesgos, se identific, evalu y jerarquiz el nivel de riesgo de los diferentes hallazgos encontrados durante la ejecucin de la auditora, que de materializarse podran afectar significativamente a la empresa.
En el mapa de riesgos visualizamos la relacin del grado de impacto y la probabilidad de ocurrencia detectando los siguientes riesgos: (Ver Anexo K)
Capacitacin deficiente, este riesgo es debido a que los usuarios con mayor antigedad capacitan a los nuevos usuarios, es podra causar que los usuarios cometan fallas en los procesos del mdulo. Contraseas dbiles, su configuracin es dbil en la seguridad del password, su impacto en caso de suceder seria alto ya que dara acceso al sistema a intrusos. Ignorancia en aspecto de auditora en informtica, su probabilidad es alta ya que la falta de cultura en aspectos de auditora en informtica provoca polticas y controles dbiles en aspectos de seguridad informtica. Documentacin incompleta, esto es porque no se encuentran las polticas y controles de los procesos del mdulo documentadas lo que provocara deficiencias en el uso de estas, la probabilidad de que ocurra es alta. Interrupcin del proceso del mdulo, este riesgo es considerado alto, debido a que no existe una segregacin de funciones del administrador del sistema lo que causa que si falla el servicio de TI se tendr que esperar a que el administrador pueda atender a la empresa para arreglar el ERP. Falta a la confidencialidad por parte de usuarios inactivos, este riesgo es alto debido al poco nfasis en el control de usuarios activos y no activos lo que permitira el acceso fcil al mdulo de usuarios inactivos. Dficit en la disponibilidad de la documentacin, es un riesgo alto ya que no se encuentra en orden lo que impedira ser consultada cuando sea necesario. Mantenimiento eventual, es un riesgo alto porque podran existir fallas acontecidas antes de la fecha de soporte acordada dentro del mdulo. Prdida de informacin, es el riesgo ms alto que se identific, se puede dar debido al exceso de confianza que existe dentro de los empleados para el prstamo de contraseas, lo cual puede afectar la integridad de la informacin por ataques con dolo o accidentales. AUDITORA AL MDULO DE INVENTARIOS DEL ERP MACROPRO
53
4.4.4 Resultados
La etapa de resultados de la auditora se llevo a cabo del 13 de Agosto al 20 de Agosto del presente ao.
Durante la etapa de resultados se elaboraron los documentos denominados cdulas de trabajo, en los que se asientan los datos referentes al anlisis, comprobacin y conclusin sobre las operaciones examinadas del mdulo de Inventario de Refacciones. Dichos documentos son base de las observaciones, conclusiones y recomendaciones del trabajo realizado.
Los resultados de la auditora realizada se clasificaron de la siguiente manera conforme a la ejecucin de la misma:
Observaciones y Recomendaciones:
La evaluacin de los resultados emiti una opinin que fue plasmada en cdulas de observaciones donde se describen las irregularidades apreciadas, sus causas y efectos y las recomendaciones que el equipo auditor propone para solucionar las problemticas detectadas. (Ver Anexo L)
Una vez realizada la evaluacin al mdulo de Inventario de Refacciones podemos recomendar lo siguiente para mejorar la seguridad en el mismo:
No. Observacin Causa Efecto Recomendaciones
1 Concentracin de actividades en el administrador. No existe Departamento de TI y se contrat un servicio de Outsourcing en TI. Al tener una falla grave en el Mdulo y el administrador no se pueda localizar, las posibilidades de prdida de informacin critica se incrementan. Segregar funciones en el manejo del sistema ERP, es decir, crear un puesto de TI, dentro de la empresa.
2 Controles Dbiles en el procedimiento de administracin de usuarios. No se tiene el conocimiento completo. Usuarios que no sean necesarios se encontraran en la BD como usuarios activos. Crear una poltica que administre las cuentas de usuario. 3 Exceso de Confianza entre los usuarios. El personal se presta sus contraseas para tener acceso al ERP cuando otro usuario se ausenta. Prdida de informacin por error. Crear polticas que refuercen las seguridad del acceso al ERP. AUDITORA AL MDULO DE INVENTARIOS DEL ERP MACROPRO
54
4 Falta de administracin de la documentacin existente. La documentacin la tiene la empresa consultora del ERP y la empresa refaccionaria no la ha solicitado. Cuando se requerira revisarla en caso de emergencia esta no estar accesible. Mantener en orden la documentacin del sistema, as como las copias de respaldo de dicha documentacin. 5 Falta de Manual de usuario. Usuarios del sistema con ms de 3 aos son los que capacitan a nuevos usuarios. Usuarios con el manejo incorrecto de los procesos de entradas al Mdulo. Actualizar manuales de usuario, as mismo deben capacitar con anticipacin al personal nuevo que tenga que manipular el sistema ERP. 6 Nivel de seguridad medio en Contraseas. Se configuraron solo con 5 caracteres alfanumricos, derivado del exceso de confianza. Entrada fcil a intrusos al descifrar la contrasea de usuarios. Crear y documentar una poltica que instruya a los usuarios sobre que es una contrasea fuerte. 7 No existe registro de auditoras anteriores al Mdulo. Se crea que no es necesaria una rutina de evaluacin al Mdulo. No se enriquece polticas ni controles para los procesos del Mdulo. Realizar auditoras informticas por lo menos cada ao 8 Soporte Tcnico al Mdulo y de Actualizacin cada 6 meses. Estipularon ambas empresas en el contrato que la asistencia tcnica sera cada 6 meses. S surge un problema en el ERP antes de ese lapso aumenta la probabilidad de prdidas de informacin. Elaborar un calendario de mantenimiento de rutina peridico al sistema. 9 Falta de documentacin de Polticas y controles de procesos y procedimientos del Mdulo. No se tienen diagramas de procesos para el Mdulo ni sobre polticas y controles sobre el mismo. No se aplican correctamente. Crear y documentar los procesos crticos del mdulo, sus diagramas, polticas, especificaciones y controles
Tabla 4.8. Observaciones.
Presentacin del Informe Final:
Concluida la etapa de ejecucin de la auditora, el equipo auditor comunic a la gerencia general y al administrador del sistema ERP los resultados determinados durante su intervencin a travs del Informe de Auditora.
El informe se conformo de los siguientes puntos:
a) Oficio de Envo (Informe Ejecutivo)
AUDITORA AL MDULO DE INVENTARIOS DEL ERP MACROPRO
55
Fue el documento mediante el cual se oficializ el envo del informe de a la gerencia general y al administrador del sistema ERP. En este documento se resumi la problemtica plasmada en las observaciones. Como informe ejecutivo, describe de manera clara y precisa los principales problemas que enfrenta el mdulo de Inventario de Refacciones del ERP MACROPRO. (Ver Anexo M)
b) Cuerpo del Informe
En este apartado se dio a conocer los resultados de los trabajos realizados de manera breve; su estructura se encuentra conformada de la siguiente manera: introduccin, objetivo, alcance, resultados, limitantes y conclusin.
Es el documento formal de hallazgos y recomendaciones. Para mayor detalle sobre las recomendaciones realizadas a la empresa por cada hallazgo, consultar (Ver Anexo N)
c) Observaciones
En este apartado se incluyen todas las cdulas de observaciones comentadas y firmadas por el personal responsable del rea auditada, por el responsable directo del rea de auditora como evidencia de la supervisin que realiz y de la formalizacin de su envo al rea auditada.
Entrega de auditora:
Previo a la reunin se entreg una presentacin de la auditora en donde se muestra de forma secuencial las actividades realizadas durante la misma.
Cierre de la Auditora:
Presentamos en la empresa los hallazgos as como las recomendaciones determinadas para que se validaran por parte del cliente.
Adems, para llevar a cabo el control de las auditoras se emplearon dos formatos: Cdula nica de Auditora y Supervisin de la Integracin del expediente de auditora.
Cdula nica de auditora, por medio de este documento se concentr la informacin general que se deriv de la revisin: datos de identificacin.
Supervisin de la Integracin del expediente de auditora, parte importante de la ejecucin del trabajo de auditora fue alcanzar los AUDITORA AL MDULO DE INVENTARIOS DEL ERP MACROPRO
56
objetivos planteados para la revisin, por ello se evalu la auditora como tal, mediante un cuestionario sencillo, el cual elabor el jefe de grupo de la auditora; este documento es el de Supervisin de la Integracin del expediente de auditora, el cual hace referencia a los puntos que se tomaron en cuenta para seguir el correcto procedimiento para una mejor evaluacin.
En este cuestionario se destac la planeacin de la auditora, la elaboracin de roles de trabajo, el cumplimiento de la Gua NIST y la ejecucin de los trabajos. Para mayor detalle Ver Anexo O.
4.5 Conclusiones
En la actualidad, los sistemas de TI se han convertido en las herramientas ms poderosas para cualquier organizacin, puesto que apoyan la toma de decisiones, generando un alto grado de dependencia, as como una elevada inversin en ellas. Las organizaciones estructuran su informacin en sistemas de TI, y debido a ello, es de vital importancia que stos funcionen de forma correcta e ininterrumpida para la productividad y supervivencia futura de una organizacin.
Por lo anterior, se puede afirmar que la supervivencia y el xito de un organismo estn directamente relacionados a la administracin adecuada de su informacin, la tecnologa de informacin y de los controles de evaluacin de la eficacia y eficiencia de sus sistemas de TI.
Para poder verificar que lo anterior se encuentre de manera adecuada y asi determinar si la inversin que se ha hecho en los recursos informticos cumple con los objetivos organizacionales, existe la auditora informtica que se encarga de valorar los controles y la seguridad de los recursos informticos para determinar su eficiencia y de ser necesario brinda sugerencias constructivas de acuerdo a las buenas prcticas, porque en caso de no contar con ellos de forma eficiente implica gastos excesivos en la resolucin de problemas, y eso a su vez prdidas financieras.
Como resultado del proyecto de auditora que se realiz al Mdulo de Inventario de Refacciones del ERP MACROPRO encontramos que no es el causante en las diferencias entre el almacn y el sistema de la empresa Central de Suspensiones Gmez S.A. de C.V., por lo tanto, se concluye que el factor humano tiene un papel importante en esas diferencias.
Como complemento a los resultados obtenidos en este proyecto, se propusieron sugerencias para crear y fortalecer controles y/o polticas de seguridad al mdulo auditado, que de ser aplicadas se optimizara la gestin los recursos relacionados al mismo.
AUDITORA AL MDULO DE INVENTARIOS DEL ERP MACROPRO
57
ANEXOS
AUDITORA AL MDULO DE INVENTARIOS DEL ERP MACROPRO
58
ANEXO A
ORGANIGRAMA GENERAL CENTRAL DE SUSPENCIONES GMEZ S.A. de C.V.
Organigrama General
ORGANIGRAMA DEL DEPARTAMENTO DE ALMACN
Organigrama del departamento de almacn.
ALMACEN ALMACENISTA AYUDANTE DE ALMACEN FINANZAS PERSONAL ADMIMISTRATIVO DIRECTOR PERSONAL CONTABLE ALMACEN ALMACENISTAS SERVICIO VENTAS PERSONAL DE MOSTRADOR AUDITORA AL MDULO DE INVENTARIOS DEL ERP MACROPRO
59
ANEXO B Diagrama de Procesos del mdulo de Inventario de Refacciones
AUDITORA AL MDULO DE INVENTARIOS DEL ERP MACROPRO
60
Diagramas de Flujo de Datos
Mdulo de inventario de Refacciones
AUDITORA AL MDULO DE INVENTARIOS DEL ERP MACROPRO
61
ANEXO C Cedula nica de Auditora
Nmero de auditora: AE- 08/10 Rubro o aspecto auditado: Mdulo de Inventarios de Refacciones. rea /Empresa: Central de Suspensiones Gmez S.A de C.V.
Fecha de Inicio: 02 de Agosto de 2010. Fecha de Conclusin: 20 de Agosto de 2010.
N D I C E Concepto Carpeta Pginas A PLANEACIN
A.1 ndice 1 1 A.2 Cdula nica de Auditora 1 1 A.3 Supervisin de la Integracin del expediente de auditora 1 1 A.4 Carta de Planeacin 1 1 A.5 Cronograma 1 1 A.6 Marco conceptual 1 1 A.7 Carta de Requerimientos 1 1
B INFORMES
B.1 Oficio de envo de Informe y Reportes de Observaciones 1 1 B.2 Informe de Auditora 1 5 B.3 Reporte de Observaciones de Auditora Externa 1 3
C EJECUCIN
C.1 Orden de auditora 1 2
AUDITORA AL MDULO DE INVENTARIOS DEL ERP MACROPRO
62
ANEXO D Plan de Trabajo. Cronograma
AUDITORA AL MDULO DE INVENTARIOS DEL ERP MACROPRO
63
ANEXO E Carta de Planeacin No. de orden de auditora A01-10-CSG Fecha: 2/08/2010 rea a auditar Mdulo de Inventarios de Refacciones del ERP Clave y rubro auditado: Controles generales de la operacin informtica
Antecedentes No se cuenta con antecedentes de auditoras en ste rubro efectuadas a la empresa.
Tipo de auditara y objetivo Auditar el mdulo de inventario refacciones del ERP "MACROPRO" en la empresa "Central de Suspensiones Gmez S.A. de C.V." en un periodo de un mes, para determinar si el sistema es el causante de las prdidas en el Inventario.
Alcance Revisar y verificar los controles internos que existan y los que hagan falta de acuerdo con la metodologa NIST el mdulo de inventario de refacciones. Problemtica La falta y/o inoportuna presentacin de la documentacin solicitada, sera factor de desfasamiento y posible disminucin de l os alcances determinados en la auditora. Estrategia Su inicio se formalizar mediante la orden y la firma del acta respectiva, en ese mismo acto ser entregada la solicitud de informacin; la cual, una vez proporcionada, ser analiza cuantitativa y cualitativamente a efecto de realizar las pruebas sustantivas y de cumplimiento. Posterior al anlisis y dems procedimientos y tcnicas de auditora aplicados, se recabar nicamente la documentacin que sustente los hallazgos detectados que debern ser incluidos en el Reporte e Informe de Observaciones. La auditora est planeada y calendarizada sistemticamente; su ejecucin se realiza conforme a los preceptos y tcnicas establecidos en la Gua de Implementacin Tcnica de Seguridad en los ERP de NIST, las Normas de Auditora generalmente aceptadas y los formatos para tal efecto establecidos; el anlisis cuantitativo y cualitativo de la informacin, as como las entrevistas y/o cuestionarios a aplicados a los responsables de la funcin, servirn para identificar, entre otros aspectos los puntos crticos de los controles generales en la preparacin, entrada, tratamiento, actualizacin y salida de datos, as como los controles de seguridad y documentales.
Personal Comisionado Nombre Iniciales Firma Cargo Prez Nez Mara Fernanda pnmf Jefe de grupo auditor Mojica Martnez Mara Isabel mmmi Auditor Reyes Flores Lucia Azucena rflz Auditor Rosales Santa Rosa Beatriz rsrb Auditor elabor
visto bueno
Mara Fernanda Prez Nez (Jefe de Grupo) Raymundo Santana Alquicira (Auditor Coordinador)
AUDITORA AL MDULO DE INVENTARIOS DEL ERP MACROPRO
64
ANEXO F Checklist aplicado en base a Gua de Implementacin Tcnica de seguridad de los ERP
Base de Datos Clave Lista de Instrucciones SI NO Comentarios ERP000700 El DBA se encargar de la base de datos (s) relacionados con las aplicaciones ERP son compatibles con la base de datos. X La base de datos es compatible con el ERP, Dicha base de datos est creada en cobol con especificaciones basadas en la misma. ERP000720 El DBA se encargar de la base de datos especfica de ERP no se comparte con otras bases de datos o aplicaciones. X El ERP contiene una sola base de datos, pero algunos programas toman cierta informacin para otras aplicaciones (ejemplo, imprimir las etiquetas con cdigos de barras, desde otro software, label matrix) ERP000730 El DBA se asegurar que el cifrado est habilitado en todas las contraseas. X Desde el cliente delgado toda la informacin entre la cliente y el servidor esta encriptada. ERP013900 La Oficina de Auditora Interna revisar las funciones de diccionario de datos una vez al mes para garantizar que slo los identificadores de usuario adecuadas ejerza esta funcin.
X
La revisin es dependiendo a si las necesita la direccin o cuando hay falla ERP013350 La Oficina de Auditora Interna garantizar los datos de auditora de aplicaciones ERP es capturada y mantenida por un ao. X No existe documentacin como tal de auditoras anteriores. ERP000850: La Oficina de Auditora Interna y Administrador de ERP se asegurar que todos los archivos instalados con la aplicacin, o creados por la aplicacin, estn protegidos desde el nivel de acceso al sistema o la modificacin por usuarios no autorizado al sistema. X Si estn protegidos, desde el firewall, tambin con los permisos de usuario en el servidor. ERP010200 El Administrador de ERP se asegurar que la aplicacin no almacene las credenciales de autenticacin en los equipos cliente despus de una sesin termina. X Si genera un archivo con la informacin de cada sesin abierta. AUDITORA AL MDULO DE INVENTARIOS DEL ERP MACROPRO
65
Configuraciones Iniciales ERP000800 La Oficina de Auditora Interna y Administrador de ERP se asegurar de parmetros del sistema, que se encuentran en los archivos de sistema operativo, se han establecido correctamente antes de que el sistema ERP se pone en produccin. X Se revisa minuciosamente toda la implantacin del ERP. ERP001500 El IAM se asegurar una gua de clasificacin actualizada a la fecha existe para la aplicacin. X Existe documentacin de actualizaciones. ERP002000 El Administrador de ERP proporcionar procedimientos documentados para las actualizaciones de software X Existe la documentacin, pero no se tiene ordenada. No existe una copia para la empresa. ERP011000 El Administrador de ERP y los desarrolladores se asegurar que la aplicacin no incluye una excepcin de error explcito y capacidad de manejo. X Si tiene un mdulo explicito de errores. Administracin de Cuentas de Usuarios ERP000820 La Oficina de Auditora Interna se asegure la eliminacin de cuentas de usuario por defecto, el cambio de sus contraseas para las contraseas generadas, antes de pasar a la aplicacin a la produccin. X Las cuentas de usuario, solo se modifican no se eliminan se cambian el nombre de usuario y su contrasea ERP001700 La Oficina de Auditora Interna, SA, y el administrador se asegurar de ID de usuarios ERP estn deshabilitados despus de 60 das de inactividad. X Se modifican los ID de usuarios. ERP003100 La Oficina de Auditora Interna garantizar identificadores de usuario de aplicacin son nicas. X Cada usuario tiene su identificador nico. ERP003200 La Oficina de Auditora Interna garantizar una informacin como el nombre y acceso a la informacin relacionada NO se asocia a cada identificador de usuario. X Se cuenta con la informacin correspondiente de cada usuario asociada con su identificador. ERP003400 El Administrador de ERP se encargar de la cuentas del sistema estn desactivadas despus de tres intentos fallidos de ingresar. X Las cuentas no se desactivan solo se modifican y no se bloquean. AUDITORA AL MDULO DE INVENTARIOS DEL ERP MACROPRO
66
ERP003600 La Oficina de Auditora Interna garantizar a los usuarios sin privilegios no son capaces de realizar funciones privilegiadas. X Existen privilegios por niveles. ERP013450 La Oficina de Auditora Interna garantizar que los cambios a los identificadores de funciones y los privilegios o atributos que se registran. X Se registran los identificadores as como los privilegios. ERP013900 La Oficina de Auditora Interna revisar las funciones de diccionario de datos una vez al mes para garantizar que slo los identificadores de usuario adecuadas ejerza esta funcin. X La revisin es dependiendo a si las necesita la direccin o cuando hay falla ERP013910 La Oficina de Auditora Interna revisar el acceso de administrador para el transporte y el cambio en el sistema una vez al mes con el fin de asegurar que todos los identificadores de usuario son vlidos. X La revisin es dependiendo a si las necesita la direccin o cuando hay falla ERP013920 La Oficina de Auditora Interna revisar el acceso del desarrollador una vez al mes con el fin de garantizar que slo los identificadores de usuario autorizado tiene acceso a este. X La revisin es dependiendo a si las necesita la direccin o cuando hay falla ERP003000 La Oficina de Auditora Interna garantizar todas las cuentas de ERP estn protegidos por contraseas seguras, no predeterminada. X Las contraseas cuentan con cinco caracteres. ERP004000 La Oficina de Auditora Interna garantizar contraseas de cuentas de usuario del Departamento de Defensa se ajusten a la directiva de contraseas y cada usuario se le instruye sobre la poltica despus de recibir una contrasea temporal. X Existe una poltica sobre contraseas solo que debe especificarse que debe contener ms de ocho caracteres. ERP004400
La Oficina de Auditora Interna garantizara a los usuarios Contraseas diferentes a las ultimas Cinco contraseas y parmetros del Sistema se establece para hacer cumplir la misma. X No se aplica ya que no existe una poltica que indique que deben AUDITORA AL MDULO DE INVENTARIOS DEL ERP MACROPRO
67
ERP004500 La Oficina de Auditora Interna garantizar contraseas de cuentas de usuario expira cada 90 das. X Las contraseas no expiran ERP004200 La oficina de Auditora interna y el administrador se asegurar que las contraseas ERP son de un mnimo de ocho caracteres, por lo menos un carcter no alfanumrico (especial) de caracteres, un nmero y los par s del si a se establece en la aplicacin misma. X Las contraseas solo cuentan con 5 caracteres Controles de Seguridad ERP001000 La Oficina de Auditora Interna garantizar los controles de seguridad, requisitos, responsabilidades y procedimientos documentados. X Existen controles de seguridad para los procedimientos ERP011100 El Administrador de ERP y SA se encargar de la interfaz de aplicacin son identificados y protegidos. X Si estn protegidos. ERP013000 El Administrador de ERP y la oficina de Auditora interna pretendern que todas las actualizaciones de software de seguridad o la funcionalidad de seguridad de software y aplicaciones se registran. X Se documenta cada actualizacin de software de seguridad. Controles de Acceso ERP001100 La Oficina de Auditora Interna garantizar funcin de aplicacin de control de acceso basado impone la separacin de funciones. X Toda la administracin del ERP recae sobre el agente de Outsourcing. ERP001150 La Oficina de Auditora Interna garantizar todos los mecanismos de seguridad disponibles de control se utilizan en una defensa por capas. X Existen tres capas. 1. Firewall. 2. login del cliente delgado. 3. login de usuario del ERP. ERP001200
La Oficina de Auditora Interna, SA y el administrador de ERP se asegurar de que el acceso al mecanismo, que permite controlar el sistema de acceso, se restringe a los encargados de administrar la seguridad para ese sistema. X Si existe un control de acceso. ERP001850 La Oficina de Auditora Interna se asegurar que procesos innecesarios por defecto no estn siendo utilizados y que las funciones tienen el acceso necesario al menos privilegiado. X Cada funcin tiene una actividad en especfico y es usada para su fin. AUDITORA AL MDULO DE INVENTARIOS DEL ERP MACROPRO
68
ERP003850 El Administrador de ERP y la Oficina de Auditora Interna se encargar de la aplicacin de los usuarios no pueden sustraerse a la interfaz de usuario pretende acceder a los recursos en su infraestructura de apoyo. X Existe solo la interfaz de consulta para los usuarios limitados. ERP011400 El administrador de la aplicacin ERP se asegure de la eliminacin de privilegios ad hoc de consulta de los usuarios a travs de la aplicacin del cliente. X Existe el servicio y tambin estn protegidos. ERP011500 La Oficina de Auditora Interna no permite el acceso a las operaciones o los objetos de autorizacin no se utiliza con un propsito definido. X Solo estn activadas las transacciones autorizadas. ERP013500
La Oficina de Auditora Interna garantizar violaciones de seguridad se revisan y se reconcili basado en los requisitos de acceso y necesidades de seguridad de cada individuo. X Cada operacin en el sistema tiene registro del usuario, si se agreg, modific o cancel un registro y se hace mal uso de las actividades Cambios en el ERP ERP000860
La Oficina de Auditora Interna y Administrador de ERP se asegurar de cambios en el sistema son revisadas y aprobadas por la Junta de Revisin de Cambio (CRB) antes de su aplicacin. X Cada cambio se documenta y se aprueba por la administracin. ERP002100
El Administrador de ERP y la Oficina de Auditora Interna revisarn todos los cambios del sistema y de personalizacin antes de su aplicacin en la produccin para asegurar que no pongan en peligro la seguridad del sistema. X Se instala, se verifica. ERP005000 La Oficina de Auditora Interna garantizar todos los cambios de produccin de software, hardware y las vas de comunicacin son controlados a travs de un proceso de control de cambios. X Si estn controlados, todos los cambios se realizan a peticin del administrador del ERP. Antes de pasar a produccin se hacen todas las pruebas pertinentes y en ocasiones se regresa el programa a produccin varias veces para que haga las correcciones. Van documentados y probados antes de ponerse en produccin. AUDITORA AL MDULO DE INVENTARIOS DEL ERP MACROPRO
69
ERP012000 El Administrador de ERP se encargar que la aplicacin ERP de cdigo, sus cambios son seguidos y documentados. X Si, promedio cada dos meses hay correcciones y todas son documentadas. Funciones del ERP ERP007000 La Oficina de Auditora Interna y SA se asegurar que en la aplicacin se revisan los registros de todos los das. X Como Outsourcing no se revisan peridicamente. Si hubiera un departamento de TI, debe ser una tarea programada. ERP009300
La Oficina de Auditora Interna y Administrador de ERP garantizar el proceso de solicitud elimina objetos temporales de la memoria o el disco antes de la aplicacin termina. X Se hace manual con una rutina en el sistema para borrar temporales. ERP010000 La Oficina de Auditora Interna y Administrador de ERP se asegurar que la aplicacin no modifica los archivos de datos fuera del alcance de la solicitud. X El ERP no modifica archivos. Otros ERP001400
La Oficina de Auditora Interna garantizar el acceso a la informacin, bienes y recursos slo se conceden a los usuarios para apoyar a las organizaciones slo o mdulos sobre una "necesidad de conocimiento". X No se proporciona informacin de ningn tipo. ERP013200 El Administrador de ERP y la oficina de Auditora interna garantizaran que las actividades de los administradores son controlar la evidencia de mal uso de privilegios X Si, es muy importante saber si un usuario esta abusando de los privilegios que tiene Cada operacin en el sistema tiene registro del usuario, si se agreg, modific o cancel un registro
AUDITORA AL MDULO DE INVENTARIOS DEL ERP MACROPRO
70
ANEXO G Orden de Auditora
Central de Suspensiones Gmez S.A. de C.V.
Orden No. AE-08/10
Asunto: Mxico D.F.02 de Agosto de 2010
Seor Jess Mojica Gmez Director de Central de Suspensiones Gmez S.A. de C.V.
P r e s e n t e
Con objeto de revisar y verificar los controles internos, la seguridad, integridad, disponibilidad y confidencialidad de la informacin haba dentro del sistema implantando en dicha empresa, llamado MACROPRO y especficamente al mdulo de inventario de refacciones. Con la ayuda de la metodologa NIST se llevar a cabo la revisin No. AE-08/10.
Para tal efecto, se servir proporcionar a los CC. Auditores: Prez Nez Mara Fernanda, Mojica Martnez Mara Isabel, Reyes Flores Lucia Azucena, Rosales Santa Rosa Beatriz, los registros, reportes, informes, correspondencia y dems efectos relativos a sus operaciones y de consecucin de metas que estimen necesarios, as como suministrarles todos los datos e informacin que soliciten para la ejecucin de la auditora.
Comunico a usted que la auditora revisara y verificara los controles internos que existan y los que hagan falta de acuerdo con la metodologa NIST en el mdulo de inventario de refacciones se practicar a los conceptos de correspondiente al periodo.
AUDITORA AL MDULO DE INVENTARIOS DEL ERP MACROPRO
71
Central de Suspensiones Gmez S.A. de C.V.
Orden No. (2)
- 2
Asimismo, le agradecer girar sus instrucciones a quien corresponda a efecto de que el personal comisionado tenga acceso a las instalaciones de la empresa y se le brinden las facilidades necesarias para la realizacin de su cometido. Y queda apercibido que de no dar las facilidades necesarias, oponerse a la prctica de la auditora o no proporcionar en forma completa y oportuna los informes, datos y documentos a los auditores comisionados.
A t e n t a m e n t e
Jefe de Grupo auditor.
Prez Nez Mara Fernanda.
C.c.p. (11) AUDITORA AL MDULO DE INVENTARIOS DEL ERP MACROPRO
72
ANEXO H Carta de Requerimientos
09 de Agosto del 2010
Jess Mojica Gmez Director
Estimado Herlo: Por medio de la presente te solicitamos de la forma ms atenta nos proporciones la siguiente Informacin como parte de las actividades que requiere la auditora que estaremos realizando en los prximos das al Mdulo de Inventarios del ERP: Procesos del Mdulo. Lista de usuarios que tienen acceso al Mdulo. Configuraciones iniciales del ERP. Controles y /o Polticas de acceso al Mdulo. Documentacin de actualizaciones. Permiso para acceso al Mdulo con una cuenta de tipo administrador. Permiso para acceso a internet. Permiso para acceso al servidor y presencia del administrador del ERP. para poder realizar las pruebas a la BD. Pedimos el apoyo para entregar esta informacin en un lapso no mayor a 3 das a partir de la fecha de solicitud, ya sea entrega en archivo y / o Fotocopias.
Atentamente Mara Fernanda Prez Nez
AUDITORA AL MDULO DE INVENTARIOS DEL ERP MACROPRO
73
No. de auditora: Tipo de auditora: A01-10-CSG Especfica rea a auditar: Mdulo de Inventarios de Refacciones del ERP Fecha: Auditor: 02/Agosto/2010 PNMF; MMMI
Rubro: Controles internos para el mdulo de Inventario de Refacciones.
Objetivo: Auditar el mdulo de inventario refacciones del ERP "MACROPRO" en la empresa "Central de Suspensiones Gmez S.A. de C.V." en un periodo de un mes, para determinar si el sistema es el causante de las prdidas en el Inventario.
Universo: La totalidad de los recursos de tecnologa de informacin involucrados en los controles internos para el mdulo de Inventarios de Refacciones.
Muestra: Se seleccionaron la totalidad de los recursos de tecnologa de informacin del periodo de 2 Agosto al 20 de Agosto del 2010; el universo auditable corresponde al 100%.
Procedimientos: Para la realizacin de la auditora, fue elaborada una Carta de Planeacin, el Cronograma de Actividades y un Programa Especfico de Auditora, que detalla secuencial y cronolgicamente las etapas de planeacin, ejecucin e informe de resultados.
Las tcnicas para su ejecucin sern el estudio general, el anlisis, la inspeccin, la confirmacin, la investigacin, la declaracin, la observacin y, los ordenamientos establecidos en la Gua de Implementacin Tcnica de Seguridad en los ERP de NIST, las Normas de Auditora, el Catlogo de Formatos para la Realizacin de Auditoras, Revisiones, Verificaciones e Inspecciones.
Conclusin: Se darn a conocer las observaciones con sus causas, efectos, fundamento legal y recomendaciones correctivas y preventivas propuestas, en los Reportes de Observaciones de Auditora Interna y el Informe de Auditora respectivo, al finalizar la intervencin.
ANEXO I Marco Conceptual
EMPRESA Central de Suspensiones Gmez S.A. de C.V.
AUDITORA AL MDULO DE INVENTARIOS DEL ERP MACROPRO
74
ANEXO J Evidencias
Nivel de seguridad de los usuarios
A continuacin se muestran las pantallas en las que se puede apreciar las interfaces del ERP MACROPRO, el acceso al Men de seguridad con el que cuenta para la gestin de usuarios del Mdulo Auditado.
Nota: estas evidencias fueron resultado de las pruebas que se realizaron con la cuenta de Supe usuario.
Men de utileras del sistema El usuario inserta la clave de seguridad Aqu se muestra la encriptacin AUDITORA AL MDULO DE INVENTARIOS DEL ERP MACROPRO
75
Perfiles de usuarios
Logs de operaciones con relacin a usuarios
La siguiente tabla muestra los perfiles definidos por la empresa:
No. Perfil Privilegios Caractersticas 1 Administrador 4 Agregar, modificar, consultar en todo el ERP 2 Contabilidad 3 Agregar, modificar, consultar en todo el ERP excepto Nomina 3 Mostrador 2 Agregar, consultar en mdulo de ventas 4 Supe usuario 5 Agregar, modificar, eliminar y consultar en todo el ERP
La prioridad 80 solo es para vendedores donde tiene activada la parte de clientes, facturacin, consultas y reportes.
Que operaciones estan abiertas al usuario ejemplo: 90 y 98 no tiene acceso a esta opcin
AUDITORA AL MDULO DE INVENTARIOS DEL ERP MACROPRO
76
Servidor y Cliente delgado Como se puede apreciar en la siguiente pantalla, la configuracin inicial del servidor mostrado los protocolos de seguridad con los que fue levantado el servicio.
Puertos abiertos 32 34 Ejemplo: vendedores tiene solamente las opciones de agregar, cambiar por tener 80. La prioridad 85 est protegida porque no puede borrar por tener el tipo de prioridad el usuario. Nmero de usuario AUDITORA AL MDULO DE INVENTARIOS DEL ERP MACROPRO
77
Esta pantalla muestra la configuracin inicial del servidor y los medios de comunicacin con el cliente delgado.
El servidor por correr en ambiente Linux incrementa los niveles de seguridad, sin embargo no queda exento del riesgo pero estas pantallas son importantes para evidenciar que las configuraciones del Servidor son confiables para el control adecuado de riesgos en la integridad, confiabilidad de la informacin que se gestiona en el Mdulo de Inventarios de refacciones.
Puertos FTP SSH SMTP SNTP DNS HTTPS UDP Configuracin de Puertos en el servidor
Todos los paquetes saldrn enmascarados
AUDITORA AL MDULO DE INVENTARIOS DEL ERP MACROPRO
78
En este archivo se define la configuracin del cliente delgado y la versin de la base de datos que se utiliza.
Esta pantalla nos muestra los perfiles de usuarios creados para la empresa as como la descripcin de cada uno y su nivel de privilegio asignado.
Definicin de la versin de B.D (Acucobol) Definicin de parmetros que va a utilizar el programa Termial servidor Encriptado AUDITORA AL MDULO DE INVENTARIOS DEL ERP MACROPRO
79
Evidencia BD Usuarios dados de alta en el ERP En esta pantalla se muestra el folio de la operacin que realizo cada usuario y la fecha en que la realizo:
En esta pantalla se ve que usuario ingres una operacin al sistema.
Compra Entrada Numero de usuario (compras) Folio de la operacin AUDITORA AL MDULO DE INVENTARIOS DEL ERP MACROPRO
80
Consulta de artculos en existencia
Consulta de artculos faltantes
Entrada en el Inventario AUDITORA AL MDULO DE INVENTARIOS DEL ERP MACROPRO
81
Consulta de orden de venta Se muestra la factura por la venta de artculos
Evidencia Operaciones en el Mdulo Interfaces del Mdulo AUDITORA AL MDULO DE INVENTARIOS DEL ERP MACROPRO
82
En las siguientes pantallas se muestra el mdulo de compras donde se generan reportes.
AUDITORA AL MDULO DE INVENTARIOS DEL ERP MACROPRO
83
Existe evidencia de documentacin de las actualizaciones
AUDITORA AL MDULO DE INVENTARIOS DEL ERP MACROPRO
84
Las carpetas que muestran la evidencia de que se guardan las actualizaciones al sistema ERP en uno de los servidores del administrador. AUDITORA AL MDULO DE INVENTARIOS DEL ERP MACROPRO
85
AUDITORA AL MDULO DE INVENTARIOS DEL ERP MACROPRO
86
ANEXO K Mapa de Riesgos
AUDITORA AL MDULO DE INVENTARIOS DEL ERP MACROPRO
87
Responsable de rea Auditada Responsable de la Auditora Externa Jess Mojica Gmez Mara Fernanda Prez Nez Directora General Jefe de Auditora Responsable directo Superviso y Reviso Herlo Corona Mara Isabel Mojca Administrador del ERP Gerente General
Anexo L Reporte de Observaciones de Auditora Nmero de auditora: AE- 08/10 Rubro o aspecto auditado: Mdulo de Inventarios de Refacciones. rea /Empresa: Central de Suspensiones Gmez S.A de C.V.
Fecha de Inicio: 08 de Agosto de 2010. Observacin, Causa y Efecto Recomendaciones Concentracin de actividades en el administrador.
Causa: No existe Departamento de TI y se contrat un servicio de Outsourcing en TI.
Efecto: Al tener una falla grave en el Mdulo y el administrador no se pueda localizar, las posibilidades de prdida de informacin critica se incrementan.
Delegar funciones en el manejo del sistema ERP, es decir, crear un puesto de TI, dentro de la empresa, puesto que representa un riesgo a disponibilidad de los datos, en caso de fallo por parte el ERP y del administrador mismo.
Controles Dbiles en el procedimiento de administracin de usuarios.
Causa: No se tiene el conocimiento completo.
Efecto: Usuarios que no sean necesarios se encontraran en la BD como usuarios activos.
Crear una poltica que administre las cuentas de usuario y que estipule que las cuentas que ya no se utilicen se den de baja y se registren nuevas, que se administre y revise la inactividad de las cuentas.
Exceso de Confianza entre los usuarios.
Causa: El personal se presta sus contraseas para tener acceso al ERP cuando otro usuario se ausenta.
Efecto: Prdida de informacin por error.
Crear polticas que refuercen las seguridad del acceso al ERP, para que los usuarios no puedan prestar sus contraseas, as mismo capacitarlos para que comprendan la importancia de no compartir cuentas de usuario y as exista un nivel ptimo de seguridad de la informacin del ERP. AUDITORA AL MDULO DE INVENTARIOS DEL ERP MACROPRO
88
Reporte de Observaciones de Auditora Nmero de auditora: AE- 08/10 Rubro o aspecto auditado: Mdulo de Inventarios de Refacciones. rea /Empresa: Central de Suspensiones Gmez S.A de C.V.
Fecha de Inicio: 08 de Agosto de 2010.
Observacin, Causa y Efecto Recomendaciones Falta de administracin de la documentacin existente.
Causa: La documentacin la tiene la empresa consultora del ERP y la empresa refaccionaria no la ha solicitado.
Efecto: Cuando se requerira revisarla en caso de emergencia esta no estar accesible.
Mantener en orden la documentacin del sistema, as como las copias de respaldo de dicha documentacin.
Falta de Manual de usuario.
Causa: Usuarios del sistema con ms de 3 aos son los que capacitan a nuevos usuarios
Efecto: Usuarios con el manejo incorrecto de los procesos de entradas al Mdulo.
Actualizar manuales de usuario, para prevenir algn fallo o en caso de que ocurra alguno se pueda solucionar sin necesidad de llamar al Outsourcing, as mismo deben capacitar con anticipacin al personal nuevo que tenga que manipular el sistema ERP. Nivel de seguridad medio en Contraseas.
Causa: Se configuraron solo con 5 caracteres alfanumricos, derivado del exceso de confianza.
Efecto: Entrada fcil a intrusos al descifrar la contrasea de usuarios.
Crear y documentar una poltica que instruya a los usuarios sobre que es una contrasea fuerte, como crearla y como asegurarla. Adems de modificar la configuracin de la aplicacin ERP para hacer cumplir, como mnimo de ocho caracteres y que los usuarios se vean obligados a cambiar su contrasea al menos cada 90 das. Responsable de rea Auditada Responsable de la Auditora Externa Jess Mojica Gmez Mara Fernanda Prez Nez Directora General Jefe de Auditora Responsable directo Superviso y Reviso Herlo Corona Mara Isabel Mojca Administrador del ERP Gerente General AUDITORA AL MDULO DE INVENTARIOS DEL ERP MACROPRO
89
Reporte de Observaciones de Auditora Nmero de auditora: AE- 08/10 Rubro o aspecto auditado: Mdulo de Inventarios de Refacciones. rea /Empresa: Central de Suspensiones Gmez S.A de C.V.
Fecha de Inicio: 08 de Agosto de 2010.
Observacin Recomendaciones No existe registro de auditoras anteriores al Mdulo.
Causa: Se crea que no es necesaria una rutina de evaluacin al Mdulo.
Efecto: No se enriquece polticas ni controles para los procesos del Mdulo.
Realizar auditoras informticas por lo menos cada ao. Ya que al crear consciencia en los empleados y en la direccin de la empresa, para manejar la informacin y vincularla con las polticas, normas y procedimientos de la misma, es esencial en cualquier empresa que automatiza sus procesos de negocio. Revisar y comprobar estos procesos da como resultado encontrar fallas o mejoras en el sistema de produccin para evitar prdidas monetarias y de tiempo
Soporte Tcnico al Mdulo y de Actualizacin cada 6 meses.
Causa: Estipularon ambas empresas en el contrato que la asistencia tcnica sera cada 6 meses.
Efecto: S surge un problema en el ERP antes de ese lapso aumenta la probabilidad de prdidas de informacin. Elaborar un calendario de mantenimiento de rutina peridico al sistema para garantizar su ptimo desempeo y su seguridad, se sugiere que su mantenimiento sea mensual. Falta de documentacin de Polticas y controles de procesos y procedimientos del Mdulo.
Causa: No se tienen diagramas de procesos para el Mdulo ni sobre polticas y controles sobre el mismo.
Efecto: No se aplican correctamente. Crear y documentar los procesos crticos del mdulo, sus diagramas, polticas, especificaciones y controles para que se tenga conocimiento de todo lo ejecutado dentro del mdulo y se puedan resolver eventualidades que pudieran afectar los procesos y saber como se pueden resolver dichas eventualidades.
Responsable de rea Auditada Responsable de la Auditora Externa Jess Mojica Gmez Mara Fernanda Prez Nez Directora General Jefe de Auditora Responsable directo Superviso y Reviso Herlo Corona Mara Isabel Mojca Administrador del ERP Gerente General AUDITORA AL MDULO DE INVENTARIOS DEL ERP MACROPRO
90
ANEXO M Oficio de envo (Informe Ejecutivo)
No. de auditora: Tipo de auditora: A01-10-CSG Especfica rea a auditar: Mdulo de Inventarios de Refacciones del ERP
Central de Suspensiones Gmez S.A. de C.V.
Mxico D.F.19 de Agosto de 2010 Seor Jess Mojica Gmez Director de Central de Suspensiones Gmez S.A. de C.V.
De nuestra consideracin:
Tenemos el agrado de dirigirnos a usted a efectos de elevar a su consideracin el alcance del trabajo de Auditora al mdulo de Inventario de refacciones practicado del 2 de Agosto al 20 de Agosto del presente, sobre la base del anlisis y procedimientos detallados de todas las informaciones recopiladas y emitidas en el presente informe, que a nuestro criterio es razonable.
Segn el anlisis realizado hemos encontrado deficiencias en la administracin de cuentas de usuario; no existe un manual tcnico de procedimientos; se realizan en el ao pocas revisiones de mantenimiento y actualizacin al sistema; no existe una auditora informtica previa; existe concentracin de funciones en el administrador del sistema ERP.
El detalle de las deficiencias encontradas, como as tambin las sugerencias de solucin se encuentran especificadas en el documento. La aprobacin y puesta en prctica de estas sugerencias ayudarn a la empresa a obtener un desempeo ms eficiente del sistema ERP.
Cabe mencionar que el sistema funciona correctamente y que la forma de almacenamiento y los medios por los cuales se lleva el debido control de inventarios fue aprobado por lo que el problema principal que radica en otra parte de la empresa, por lo tanto se descarta la posibilidad de que el sistema se vea involucrado en esa deficiencia que ms bien es de carcter humano.
Agradecemos la colaboracin prestada del personal de la empresa durante nuestra visita, y quedamos a su disposicin para cualquier aclaracin y/o ampliacin de la presente que estime necesaria.
Atentamente. Prez Nez Mara Fernanda Mojica Martnez Mara Isabel Reyes Flores Lucia Azucena Rosales Santa Rosa Beatriz
AUDITORA AL MDULO DE INVENTARIOS DEL ERP MACROPRO
91
ANEXO N Informe de Auditora
Mxico, D. F., a 20 de Agosto del 2010.
INFORME DE AUDITORA
Nmero de auditora: Empresa:
rea especifica: Nmero de observaciones: Deficiencias no sujetas a observacin: AE08/10 Central de Suspensiones Gmez S.A de C.V. ERP MACROPRO 09 0
INTRODUCCIN: La empresa de Suspensiones Gmez S.A. de C.V. se han detectado faltantes en el inventario del almacn, por lo que ha generado incongruencia en el control de inventarios que se lleva en el sistema contra lo que se tiene de control de inventarios fsico.
Al realizar la auditora a la empresa Central de Suspensiones Gmez S.A. de C.V. apoyada con la metodologa de NIST ayudar a detectar los riesgos y vulnerabilidades que la empresa tiene, sugiriendo nuevos controles en el mdulo de inventarios que logren reducir, y corregir las irregularidades.
OBJETIVO: Auditar el mdulo de inventario refaccionaria del ERP "MACROPRO" en la empresa "Central de Suspensiones Gmez S.A. de C.V." en un periodo de un mes, para determinar si el sistema es el causante de las prdidas en el Inventario.
AUDITORA AL MDULO DE INVENTARIOS DEL ERP MACROPRO
92
ALCANCE: Al realizar la auditora a la empresa Central de Suspensiones Gmez S.A. de C.V. apoyada con la metodologa de NIST ayudar a detectar los riesgos y vulnerabilidades que la empresa tiene, sugiriendo nuevos controles en el mdulo de inventarios que logren reducir, y corregir las irregularidades.
Perodo: 02 de Agosto a 20 de Agosto del 2010. Porcentaje: El 100% del alcance o muestra determinado.
AUDITORA AL MDULO DE INVENTARIOS DEL ERP MACROPRO
93
RESULTADOS: Como resultado de la Auditora al mdulo de Inventario de Refacciones del ERP MACROPRO realizada a la empresa Central de Suspensiones Gmez S.A. de C.V., en el periodo comprendido del 2 de Agosto al 20 de Agosto del ao en curso, podemos manifestar que hemos cumplido con evaluar cada uno de los objetivos contenidos en el programa de auditora.
Dicho contenido abarca puntos significativos que da a da conllevan informacin primordial para la empresa dentro del ERP MACROPRO.
La gua de implementacin de tcnicas de seguridad para ERP sujeta temas como bases de datos, control de accesos, administracin de cuentas de usuarios, funciones del ERP, cambios en el ERP, configuraciones iniciales y controles de seguridad. Bases de Datos: La base de datos implantada en el sistema ERP MACROPRO, es indexada, solo consultada y accesada por medio de la interfaz del ERP. En general no presenta niveles bajos de seguridad, puesto que existe encriptacin desde el cliente delgado hasta la informacin. Configuraciones iniciales: La instalacin de ERP MACROPRO fue supervisada y revisada a detalle por el administrador del ERP, as mismo las actualizaciones del sistema son documentadas, solo que dicha documentacin carece de orden, es decir, no se mantiene en un solo sitio.
Administracin de Cuentas: A pesar de que existen niveles jerrquicos dentro de las cuentas de usuario, as como un control de dichas cuentas, falla la administracin en cuanto a s estas son inactivas o no, as mismo sus contraseas cuentan con deficiencias en cuanto a seguridad. Controles de Seguridad: Existen controles de seguridad para el acceso al ERP y para cada procedimiento del mismo, dichos controles estn bien implantados y cuentan con niveles ptimos para su aplicacin, puesto que estn bien protegidas las AUDITORA AL MDULO DE INVENTARIOS DEL ERP MACROPRO
94
interfaces de sistema.
Controles de Acceso:
El nivel de seguridad del ERP en cuanto al acceso es alto ya que cuenta con tres capas para su acceso, cada acceso de cada funcin del ERP es especfico, es decir, que es usada para el fin que est dirigida, cada acceso que hace algn usuario se registra, estn protegidos dichos accesos.
Cambios en el ERP:
Los cambios del ERP todos son documentados y son aprobados con anticipacin por la direccin general, cada cambio se prueba y verifica. Existe un proceso para dichos cambios.
Funciones del ERP:
Las funciones del ERP no se revisan peridicamente, puesto que es un servicio de Outsourcing y dicha tarea tiene que ser programada, sus funciones son especficas.
No se determinaron Deficiencias no sujetas a observacin.
LIMITANTES: No existen. Se provee toda la informacin necesaria del sistema para la evaluacin del mdulo de inventario de refacciones.
AUDITORA AL MDULO DE INVENTARIOS DEL ERP MACROPRO
95
CONCLUSIN:
Como conclusiones podemos definir que:
Al realizar dicha auditora encontramos que el Mdulo de Inventarios no es el causante en las diferencias entre el almacn y el sistema de la empresa. Sin embargo el factor humano tiene un papel importante en esas diferencias.
Aplicando la gua NIST, como valor agregado, podemos determinar que deben adoptar las recomendaciones sobre seguridad en el mdulo como derivado de los hallazgos encontrados y que deben empezar a aplicarlos en un lapso no mayor a los 2 meses.
Por nuestra parte las recomendaciones que se hacen a la empresa Central de Suspensiones Gmez S.A. de C.V. son:
Delegar funciones en el manejo del sistema ERP, es decir, crear un puesto de TI, dentro de la empresa, puesto que representa un riesgo a disponibilidad de los datos, en caso de fallo por parte el ERP y del administrador mismo.
Crear una poltica que administre las cuentas de usuario y que estipule que las cuentas que ya no se utilicen se den de baja y se registren nuevas, que se administre y revise la inactividad de las cuentas.
Crear polticas que refuercen la seguridad del acceso al ERP, para que los usuarios no puedan prestar sus contraseas, as mismo capacitarlos para que comprendan la importancia de no compartir cuentas de usuario y as exista un nivel ptimo de seguridad de la informacin del ERP.
Promover que se tenga en orden la documentacin del sistema y que la direccin tenga una copia de la misma.
Actualizar manuales de usuario, para prevenir algn fallo o en caso de que ocurra alguno se pueda solucionar sin necesidad de llamar al Outsourcing, as mismo deben capacitar con anticipacin al personal nuevo que tenga que manipular el sistema ERP.
Crear, conocer y documentar una poltica que instruya a los usuarios sobre que es una contrasea fuerte, como crearla y como asegurarla. Adems de modificar la configuracin de la aplicacin ERP para hacer cumplir, como mnimo de ocho caracteres y que los usuarios se vean obligados a cambiar su contrasea al menos cada 90 das.
Realizar auditoras informticas por lo menos cada ao.
Elaborar un calendario de mantenimiento de rutina peridico al sistema AUDITORA AL MDULO DE INVENTARIOS DEL ERP MACROPRO
96
para garantizar su ptimo desempeo y su seguridad, se sugiere que su mantenimiento sea mensual.
Crear y documentar los procesos crticos del mdulo, sus diagramas, polticas, especificaciones y controles para que se tenga conocimiento de todo lo ejecutado dentro del mdulo y se puedan resolver eventualidades que pudieran afectar los procesos y saber cmo se pueden resolver dichas eventualidades.
Cada sugerencia que se hace es en base a lo observado y recibido por el administrador del sistema.
ELABORO
Lic. Beatriz Rosales Santa Rosa. Colaboradora.
AUTORIZ:
Lic. Mara Fernanda Prez Nez. Jefe de grupo.
AUDITORA AL MDULO DE INVENTARIOS DEL ERP MACROPRO
97
ANEXO O Supervisin de la Integracin del expediente de auditora
No. de orden de auditora A01-10-CSG Fecha Inicia 2/08/2010 rea a auditar Informtica Fecha de Conclusin 20/08/2010 Clave y rubro auditado Mdulo de Inventarios de Refacciones del ERP
CONCEPTO EVALUACIN COMENTARIOS SI NO N/A 1. Se encuentra en el expediente de la auditora la Carta de Planeacin autorizada por el coordinador responsable de la revisin?
x 2. En la carta de Planeacin para auditar cada rubro, se incluy el universo de las operaciones, los alcances, las muestras y los procedimientos? x 3. Se cumpli con el Programa de Trabajo? x 4. Fueron adecuadas las bases para determinar los alcances y muestras de la auditora? x 5. La auditora se realiz conforme a lo establecido en la Gua de Auditora NIST y los formatos establecidos de auditora? x 6. Se encuentran en papeles de trabajo bien definidos y soportados legalmente las observaciones determinadas? x 7. Existe evidencia fehaciente de que se hayan revisado los papeles de trabajo de la auditora? x 8. Los papeles de trabajo fueron elaborados de acuerdo con las especificaciones de la Gua respectiva, incluyendo notas aclaratorias y mostrando claramente los procedimientos utilizados? X 9. Se observ durante el desarrollo de la auditora el apego a las Normas de Auditora ? x 10. Se cuenta en el expediente con el informe o el proyecto respectivo en donde consten las observaciones determinadas en la auditora? x 11. Los expedientes de la auditora estn debidamente integrados y completos? x
AUDITORA AL MDULO DE INVENTARIOS DEL ERP MACROPRO
98
INDICE DE FIGURAS
Figura 1.1 Fases de la Auditora 15 Figura 1.2 Catalogo de servicios. 18 Figura 2.1. Caractersticas de un ERP 23 Figura 2.2 Mdulos de un sistema de planificacin de recursos empresariales (ERP) 24
INDICE DE TABLAS
Tabla 4.1 Especificaciones tcnicas del ERP 40 Tabla 4.2 Descripcin general del Servidor... 40 Tabla 4.3 Pruebas realizadas.. 46 Tabla 4.4 Hallazgos encontrados 47 Tabla 4.5 Determinacin de la Probabilidad.. 50 Tabla 4.6 Anlisis Impacto... 50 Tabla 4.7 Determinacin del Riesgo... 51 Tabla 4.8 Observaciones.. 53
AUDITORA AL MDULO DE INVENTARIOS DEL ERP MACROPRO
99
GLOSARIO
Adaptabilidad:Capacidad de una persona o cosa para adaptarse a un nuevo medio o situacin.
Accionistas.- El que posee acciones de una compaa.
Aprovisionamiento: Se entiende por aprovisionamiento "el conjunto de actividades que desarrollan las empresas para asegurar la disponibilidad de los bienes y servicios externos que le son necesarios para la realizacin de sus actividades.
Autenticacin: En informtica, acto de establecimiento o confirmacin de un usuario o sistema como autntico.
Automatizar:Se le denomina as a cualquier tarea realizada por mquinas en lugar de personas. Es la sustitucin de procedimientos manuales por sistemas de cmputo.
Base de datos de Backend: Un "backend" es una clase de interfaz de almacenamiento, y una base de datos es una instancia de un backend. El servidor slapd puede utilizar arbitrariamente varios backends en una sola vez, y puede tener arbitrariamente muchas instancias de cada backend (por ejemplo varias bases de datos) activas por vez.
Base de datos centralizada: Es una base de datos almacenada en su totalidad en un solo lugar fsico, es decir, es una base de datos almacenada en una sola mquina y una sola CPU, y en donde los usuarios trabajan en terminales tontas que slo muestran resultados.
Biotecnologa: La biotecnologa es la tecnologa basada en la biologa, especialmente usada en agricultura, farmacia, ciencia de los alimentos, medioambiente y medicina. Se desarrolla en un enfoque multidisciplinario que involucra varias disciplinas y ciencias como biologa, bioqumica, gentica, virologa, agronoma, ingeniera, fsica, qumica, medicina y veterinaria entre otras.
Codificacin: Es el proceso por el cual la informacin de una fuente es convertida en smbolos para ser comunicada. En otras palabras, es la aplicacin de las reglas de un cdigo.
Cdigo: un cdigo es una regla para convertir una pieza de informacin (por ejemplo, una letra, palabra o frase) en otra forma o representacin, no necesariamente del mismo tipo.
Circuitos de informacin: Detalle del tratamiento de informacin correspondiente a un proceso en el que interviene uno o varios departamentos.
AUDITORA AL MDULO DE INVENTARIOS DEL ERP MACROPRO
100
Checklist: o lista de verificacin, es un documento que detalla uno por uno distintos aspectos que se deben analizar, comprobar, verificar, etc.
Controladores de dominio Windows: Es el centro neurlgico de un dominio Windows, los controladores de dominio tienen una serie de responsabilidades. Una de ellas es la autentificacin. La autentificacin es el proceso de garantizar o denegar a un usuario el acceso a recursos compartidos o a otra mquina de la red, normalmente a travs del uso de una contrasea.
Eficacia: Del latn eficacia, la eficacia es la capacidad de alcanzar el efecto que espera o se desea tras la realizacin de una accin
Empowerment: Es un proceso estratgico que busca una relacin de socios entre la organizacin y su gente, aumentar la confianza responsabilidad autoridad y compromiso para servir mejor al cliente.
Fiabilidad: El trmino fiabilidad es descrito como "probabilidad de buen funcionamiento de algo".
Firewall: (Muro de Fuego - Cortafuego). Herramienta de seguridad que controla el trfico de entrada/salida de una red.
Flujo gramas: Es una representacin grfica de la secuencia de actividades de un proceso. Adems de la secuencia de actividades, el flujograma muestra lo que se realiza en cada etapa, los materiales o servicios que entran y salen del proceso, las decisiones que deben ser tomadas y las personas involucradas (en la cadena cliente/proveedor).
Genrico: Se aplica al nombre que se refiere a personas o cosas pertenecientes a conjuntos de seres que tienen las mismas caractersticas
Hackers: Del ingls hack, hachar. Trmino utilizado para llamar a una persona con grandes conocimientos en informtica y telecomunicaciones y que los utiliza con un determinado objetivo. Este objetivo puede o no se maligno o ilegal. La accin de usar sus conocimientos se denomina hacking o hackeo.
Hallazgo: cosa hallada o que se descubre
Host: Son computadores mono o multiusuario que ofrecen servicios de transferencia de archivos, conexin remota, servidores de base de datos, servidores WWW, etc.
Integridad: El trmino integridad de datos se refiere a la correccin y completitud de los datos en una base de datos.
Infraestructura de ERP: Conjunto de elementos o servicios que se consideran necesarios para el funcionamiento de una organizacin o para el desarrollo de una actividad.
AUDITORA AL MDULO DE INVENTARIOS DEL ERP MACROPRO
101
Integracin:La palabra integracin tiene su origen en el concepto latino integratio. Se trata de la accin y efecto de integrar o integrarse
Logstica: La logstica es una funcin operativa que comprende todas las actividades y procesos necesarios para la administracin estratgica del flujo y almacenamiento de materias primas y componentes, existencias en proceso y productos terminados; de tal manera, que stos estn en la cantidad adecuada, en el lugar correcto y en el momento apropiado.
Modularidad: Un mdulo es un componente de un sistema ms grande y opera dentro del sistema independientemente de las operaciones de otros componentes.
Metrologa: es la ciencia de la medida. Tiene por objetivo el estudio de los sistemas de medida en cualquier campo de la ciencia. Tambin tiene como objetivo indirecto que se cumpla con la calidad.
Nanotecnologa: La nanotecnologa es un campo de las ciencias aplicadas dedicado al control y manipulacin de la materia a una escala menor que un micrmetro, es decir, a nivel de tomos y molculas (nanomateriales)
Paquete de seguridad RACF: (Resource Access Control Facility).RACF es un compendio de reglas de seguridad que se crean en base a unas clases. Una clase es un grupo de objetos los cuales queremos otorgarle un determinado acceso, por lo que todo objeto perteneciente a la misma clase tendr el mismo nivel de seguridad. Por objeto se entiende desde un fichero, hasta un slot de proceso o abstraccin funcional de software, por llamarlo de alguna manera.
Recursos informticos: En informtica, los recursos son las aplicaciones, herramientas, dispositivos (perifricos) y capacidades con los que cuenta una computadora
Red Local Windows NT: Microsoft Windows NT Server es un sistema operativo diseado para su uso en servidores de red de rea local (LAN). Ofrece la potencia, la manejabilidad y la capacidad de ampliacin de Windows NT en una plataforma de servidor e incluye caractersticas, como la administracin centralizada de la seguridad y tolerancia a fallos ms avanzada, que hacen de l un sistema operativo idneo para servidores de red.
Una red de rea local, red local o LAN (del ingls local area network) es la interconexin de varias computadoras y perifricos. Su extensin est limitada fsicamente a un edificio o a un entorno de 200 metros, o con repetidores podra llegar a la distancia de un campo de 1 kilmetro. Su aplicacin ms extendida es la interconexin de computadoras personales y estaciones de trabajo en oficinas, fbricas, etc. Windows NT es una familia de sistemas operativos producidos por Microsoft, Las letras NT provienen de la designacin del producto como "Nueva Tecnologa" (New Technology).
Servidor: En informtica, un servidor es una computadora que, formando parte
AUDITORA AL MDULO DE INVENTARIOS DEL ERP MACROPRO
102
de una red, provee servicios a otras computadoras denominadas clientes.
Sistemas informticos: Un sistema informtico es un conjunto de partes que funcionan relacionndose entre s con un objetivo preciso. Sus partes son: hardware, software y las personas que lo usan.
Sistematiza: Organizar un conjunto de elementos dndoles un orden determinado y lgico. OBS Se conjuga como realizar.
Sistema Operativo: (Operating System). Sistema tipo software que controla la computadora y administra los servicios y sus funciones como as tambin la ejecucin de otros programas compatibles con ste.
Sistema de gestin:Un sistema de gestin es una estructura probada para la gestin y mejora continua de las polticas, los procedimientos y procesos de la organizacin.
Sistemas de Gestin de base de Datos: Es el de manejar de manera clara, sencilla y ordenada un conjunto de datos que posteriormente se convertirn en informacin relevante, para un buen manejo de datos.
Tecnologa Adaptativa: La tecnologa es la aplicacin del conocimiento (no necesariamente la conceptualizacin del aparato tcnico), es la ciencia aplicada a la vida real, un mtodo o proceso para la manipulacin de un problema tcnico especfico. AUDITORA AL MDULO DE INVENTARIOS DEL ERP MACROPRO
103
BIBLIOGRAFA
Referencias impresas: AUDITORA INFORMTICA: UN ENFOQUE PRCTICO. Autores: Emilio del Peso Navarro; Mario G. Piattini Velthuis Editorial: Ra-ma 2 Edicin ampliada y revisada.
ENTERPRISE RESOURSE PLANNING Autor: Mary Sumner Editorial: Prentice Hall Ao de edicin : 2004
UNA VISIN DE LA AUDITORA SISTMICA INFORMTICA Autor: lvaro Ivn Jimnez Alzate
SEGURIDAD EN LA INFORMACIN Autor: ARTERO Editorial: THOMSON PARANINFO N Edicin: 1 Ao de edicin: 2008
AUDITORA DE TECNOLOGIAS Y SISTEMAS DE INFORMACION de PIATTINI VELTHUIS, MARIO Editorial: RA-MA N Edicin: 1 Ao de edicin: 2008
SEGURIDAD INFORMATICA: BASICO Autor: GOMEZ VIEITES, ALVARO Editorial: STARBOOK EDITORIAL N Edicin: 1 Ao de edicin: 2010
ERP-GUIA PRCTICA PARA LA SELECCION E IMPLANTACION. ERP: ENTERPRI SE RESOURCE PLANNNING O SISTEMA DE PLANIFICACION DE RECURSOS EMPRESARIALES Autor: LUIS MUNIZ N Edicin: 1 Ao de edicin: 2004
TEORIA Y PRACTICA DE LA AUDITORA (T. I) (3 ED.): CONCEPTO Y METODOLOGIA Autor :SANCHEZ FERNANDEZ DE VALDERRAMA, J. L. AUDITORA AL MDULO DE INVENTARIOS DEL ERP MACROPRO
104
N Edicin: 3 Ao de edicin: 2003
MANUAL PRACTICO DE AUDITORA Autor :MADARIAGA, JUAN M DEUSTO S.A. EDICIONES N Edicin: 1 Ao de edicin: 2004
LOS SISTEMAS ERP EN LA PRCTICA Autor: TOMS MIQUEL, JOS VICENTE N Edicin: 1 Ao de edicin: 2008