Auditoria Al Módulo de Inventarios

INSTITUTO POLITCNICO NACIONAL
LICENCIADO EN CIENCIAS DE LA INFORMTICA

ESCUELA SUPERIOR DE INGENIERA MECNICA Y
ELCTRICA

UNIDAD PROFESIONAL INTERDISCIPLINARIA DE
INGENIERA Y CIENCIAS SOCIALES Y
ADMINISTRATIVAS

AUDITORA AL MDULO DE INVENTARIOS DEL
ERP MACROPRO
SEMINARIO DE TITULACIN
AUDITORA DE LAS TECNOLOGAS DE
INFORMACIN Y COMUNICACIONES

M O J I C A M A R T N E Z M A R A I S A B E L
P R E Z N E Z M A R A F E R N A N D A
R E Y E S F L O R E S L U C I A A Z U C E N A
R O S A L E S S A N T A R O S A B E A T R I Z

MXICO D.F. AGOSTO, 2010
T E S I N A
Q U E P A R A O B T E N E R E L T I T U L O D E :
P R E S E N T A N :
A S E S O R

AUDITORA AL MDULO DE INVENTARIOS DEL ERP MACROPRO

1

IPN
ESCUELA SUPERIOR DE INGENIERA MECNICA Y ELCTRICA
UNIDAD CULHUACAN

TESINA

QUE PARA OBTENER EL TITULO DE: LICENCIADO EN CIENCIAS DE LA INFORMTICA

POR LA OPCION DE SEMINARIO DE TITULACION:
AUDITORIA DE LAS TECNOLOGIAS DE INFORMACIN Y COMUNICACIONES
Vigencia: DE S/ESIME_CUL/2009/38/10

DEBERA DESARROLLAR:
Mojica Martnez Mara Isabel
Prez Nez Mara Fernanda
Reyes Flores Lucia Azucena
Rosales Santa Rosa Beatriz


INTRODUCCIN
Las buenas prcticas informticas dentro de las empresas requieren de ser aplicadas por la
misma, para la optimizacin de sus procesos y cumplimiento de los objetivos de dicha empresa
por lo que la aplicacin de una auditoria a los sistema integrales que existan, brindara mltiples
beneficios a la misma en funcin de proporcionar mtricas que sean factibles para que la
empresa cumpla con las buenas prcticas, las cuales son estndares de metodologas
reconocidas como lo es NIST. Por lo que aplicar esta metodologa a un sistema ERP es de
gran utilidad para evaluar un modulo como lo es el de control de inventarios.

CAPITULADO

I. Introduccin a la Auditora
II. Seguridad informtica en un ERP
III. NIST para ERP
IV. Auditora al mdulo de inventarios del ERP MACROPRO
de la empresa Central de Suspensiones Gmez SA. De
C.V.

Fecha: Mxico D.F Agosto del 2010

ASESORES

M. EN C. RAYMUNDO SANTANA ALQUICIRA ING. MIGUEL ANGEL MIRANDA
Director del Seminario HERNANDEZ
Asesor

M. EN C. LUIS CARLOS CASTRO MADRID
Jefe de la carrera de Ingeniera en Computacin


2

OBJETIVO

Auditar el mdulo de inventario refaccionaria del ERP "MACROPRO" en
la empresa "Central de Suspensiones Gmez S.A. de C.V." en un periodo de
un mes, para determinar s el sistema es el causante de las prdidas en el
Inventario.

PROBLEMTICA DEL PROYECTO

Se han detectado faltantes en el inventario del almacn por lo que ha
generado incongruencia en el control de inventarios que se lleva en el sistema
contra lo que se tiene de control de inventarios fsico.

JUSTIFICACIN

Al realizar la auditora a la empresa Central de Suspensiones Gmez
S.A. de C.V. apoyada con la metodologa de NIST ayudar a detectar los
riesgos y vulnerabilidades que la empresa tiene, sugiriendo nuevos controles
en el mdulo de inventarios que logren reducir, y corregir las irregularidades.

ALCANCE

Revisar y verificar de acuerdo con la metodologa de NIST
correspondiente para el mdulo de inventarios los controles internos que
existan y los que hagan falta.

I

I

3

INDICE

CAPTULO I. INTRODUCCIN A LA AUDITORA
6

1.1 Antecedentes de la auditora 7
1.2 Concepto de auditora... 8
1.3 Objetivo de la auditora 8
1.4 Importancia de la auditora... 8
1.5 Caractersticas de la auditora 9
1.6 Tipos de auditora.. 9
1.7 Auditora Informtica.. 11
1.7.1 Generalidades. 11
1.7.2 Seguridad Informtica en las empresas 13
1.7.3 Funciones del auditor informtico. 13
1.7.4 Metodologas.. 14
1.7.5 Fases de la Auditora. 15
1.7.6 Beneficios 17
1.8 Auditora a Servicios informticos. 18
1.8.1 Concepto de servicio informtico. 18
1.8.2 Clasificacin de Servicios Informticos......... 18
1.8.3 Definicin de Auditora en los servicios informticos 19
1.8.4 Importancia de la auditora en los servicios informticos 19
1.8.5 La auditora y los servicios informticos actuales. 19

CAPTULO II. SEGURIDAD INFORMTICA EN UN ERP
21

2.1 Concepto de ERP. 22
2.2 Caractersticas de un ERP 22
2.3 Objetivos del ERP. 23
2.4 Componentes de un ERP. 23
2.5 Controles de riesgos en un ERP. 26
2.6 Metodologas para auditar un ERP.. 27

CAPTULO III. NIST PARA ERP
29

3.1 Antecedentes de NIST. 30
3.2 Gua de Implementacin Tcnica de Seguridad en los ERP 30
3.2.1 Introduccin 30
3.2.2 Alcance de evaluacin a un modulo de un ERP.. 31
3.3 Caractersticas de la gua. 33

II

4

CAPTULO IV. AUDITORA AL MDULO DE INVENTARIOS
DEL ERP MACROPRO DE LA EMPRESA CENTRAL DE
SUSPENSIONES GMEZ S.A. DE C.V.
35

4.1 Introduccin a la Empresa 36
4.2 Estado Actual.. 37
4.3 Descripcin de Problemtica. 41
4.4 Solucin.. 42
4.4.1 Planeacin.. 42
4.4.2 Ejecucin de la Auditora.. 45
4.4.3 Anlisis de Riesgos 48
4.4.4 Resultados.. 53
4.5 Conclusiones. 56

ANEXOS:
57

ANEXO A. Organigrama de la empresa Central de Suspensiones Gmez
S.A. DE C.V......

58

ANEXO B. Diagramas de procesos y flujos de datos 59

ANEXO C. Cedula nica de Auditora.. 61

ANEXO D. Plan de Trabajo. Cronograma.. 62

ANEXO E. Carta de Planeacin... 63

ANEXO F. Checklist aplicado en base a Gua de Implementacin Tcnica de
seguridad de los ERP......

64

ANEXO G. Orden de auditora 70

ANEXO H. Carta de Requerimientos.... 72

ANEXO I. Marco Conceptual 73

ANEXO J. Evidencias. 74

ANEXO K. Mapa de Riesgos. 85

ANEXO L. Reporte de Observaciones de Auditora Externa.. 86

ANEXO M. Oficio de Envo (Informe Ejecutivo) 89

ANEXO N. Informe Final... 90

ANEXO O. Supervisin de la Integracin del expediente de auditora.. 95
III

5

INDICE DE FIGURAS...
96

INDICE DE TABLAS.
96

GLOSARIO.
97

BIBLIOGRAFIA..
101

IV

6

INTRODUCCIN A LA
AUDITORA


7

CAPTULO I.
INTRODUCCIN A LA AUDITORA

1.1 Antecedentes de la auditora

La auditora surgi de la necesidad de las revisiones contables que se
desarrollaban en el rea financiera de una empresa comercial esto tuvo lugar
en Inglaterra donde creci y floreci en el ao 1862 hasta 1905 hacia por el ao
1900 se introdujo a estados unidos.

En un principio la auditora de aquel entonces haca hincapi a ciertos
objetivos principalmente a la deteccin y prevencin de errores sin embargo, en
los aos siguientes hubo un cambio en el objetivo de la auditora, continu
desarrollndose, no sin oposicin, hasta aproximadamente 1940. En este
tiempo "Exista un cierto grado de acuerdo en que el auditor poda y debera no
ocuparse primordialmente de la deteccin de fraude".

Paralelamente al crecimiento de la auditora a medida que los auditores
independientes se apercibieron de la importancia de un buen sistema de
control interno y su relacin con el alcance de las pruebas a efectuar en una
auditora independiente, se mostraron partidarios del crecimiento de los
departamentos de auditora dentro de las organizaciones de los clientes, que
se encargara del desarrollo y mantenimiento de unos buenos procedimientos
del control interno, independientemente del departamento de contabilidad
general. Progresivamente, las compaas adoptaron la expansin de las
actividades del departamento de auditora interna hacia reas que estn ms
all del alcance de los sistemas contables.

Y ante la creciente complejidad de las estructuras empresariales y la
creciente dinmica de los mercados y las interrelaciones de las empresas con
sus mercados, la auditora ha tenido que ir ampliando su campo de aplicacin y
salir del entorno Contable y Financiero, para abordar otras reas operativas y
funcionales de las empresas. Tambin ha tenido que abarcar toda la diversidad
de empresas y organismos pblicos y privados que componen el tejido
industrial, econmico y social de nuestra sociedad. Por lo que, segn el mbito
en que se aplique, hay que hablar de Auditora Contable, Auditora Financiera,
Auditora de Gestin, que comprende las dos anteriores, y, desde hace algunos
aos, de auditora de los Sistemas de Informacin.

Los primeros antecedentes de la funcin de la auditora de la
informacin se sitan entre finales de la dcada de los aos 70 y principios de
los 80. Realizado auditoras de la informacin a finales de los aos 70, aunque
en aquel momento no utiliz este trmino. Segn la primera referencia al
trmino se remonta a 1982 con Robert Taylor, el cual en un documento de esa
misma fecha establece que se trata de una auditora de las actividades
formales de la informacin y sus efectos en la organizacin, los beneficios y
facilidades que proporciona a las personas en la realizacin de sus trabajos.


8

Se consideran entre los factores que permitieron el surgimiento y
desarrollo de la auditora de la informacin, los siguientes:

El desarrollo y proliferacin de los estudios de necesidades en el mbito
internacional en las dcadas de los aos 80 y 90.
El nfasis que ha tenido en los servicios de informacin la contabilidad y
el valor del dinero.

1.2. Concepto de auditora

Proceso metodolgico y formal para evaluar y valorar la confianza que
se puede depositar en el rea a auditar dentro de la empresa, lo cual se refleja
en un informe donde se estipula la situacin real del rea auditada. Este
proceso consiste en recolectar evidencia para analizarla y poder determinar si
el sistema de informacin, rea de TI o cualquier otro activo de la empresa
realicen las operaciones de la empresa acorde a los objetivos del negocio y el
manejo de la informacin as como el flujo de la misma.

1.3 Objetivo de la auditora

Su objetivo radica en la ayuda que brinda para los directivos de la
empresa, para que sta realice sus funciones de la mejor forma posible con
procesos seguros a diferentes niveles, desde estratgicos hasta operacionales.
El manejo de la informacin de forma clara y autentica resulta de una buena
auditora donde surgen las recomendaciones de buenas prcticas como apoyo
para lograr que la informacin cumpla con las caractersticas debidas, as como
la satisfaccin de controles, polticas, objetivos del negocio; bajo la gua de una
adecuada metodologa durante la auditora para la optimacin de los recursos
acorde al tipo de auditora aplicada.

Por lo que la auditora se vuelve necesaria, ya sea interna o externa,
como parte de las actividades para la conservacin de un buen
funcionamiento de la empresa y que sta tenga las caractersticas de:

Eficiencia
Eficacia
Rentabilidad
Seguridad

1.4 Importancia de la auditora.

La importancia de llevar a cabo una auditora dentro de una organizacin
trae consigo una serie de beneficios reales para las situaciones que afecten la
seguridad, integridad, confidencialidad de la informacin de cada organizacin.


9

Llevar a cabo una auditora dentro de una organizacin es muy
importante, porque sin la prctica de una auditora no se tiene la plena
seguridad de que la informacin, los activos, los recursos y los procesos dentro
de la misma sean reales y confiables.

Una auditora adems, evala el grado de eficiencia y eficacia con que
se desarrollan las tareas administrativas y el grado de cumplimiento de los
planes y orientaciones de la organizacin.

Es la auditora que define con bastante razonabilidad, la situacin real de
la empresa.

1.5 Caractersticas de la auditora.

Es objetiva: significa que es imparcial, tiene una actitud mental
independiente, sin influencias personales ni polticas.

Es Sistemtica y profesional: La auditora debe ser cuidadosamente
planeada y llevada a cabo por profesionales conocedores del ramo que
cuentan con la capacidad tcnica y profesional requerida, los cuales se atienen
a las normas de auditora establecida.

El desarrollo de la auditora se lleva a cabo cumpliendo en forma estricta
los pasos que contienen las fases del proceso de la auditora, existen diversas
metodologas, normas, y buenas prcticas para llevar a cabo el proceso con
detalle en cada unidad auditada.

Es constructiva: es decir, siempre buscara mejorar y/o corregir las
debilidades, que se encuentren amenazando a la organizacin.

Finaliza con la elaboracin de un informe escrito que contiene los
resultados de la auditora practicada, el cual debe conocer de previo la persona
auditada, para que tenga a bien hacer las correspondientes observaciones del
mismo; adems el informe contiene las conclusiones y debilidades tendientes a
la mejora de las debilidades encontradas.

1.6 Tipos de auditoras

A continuacin se presenta una clasificacin de diferentes tipos de
auditoras, las cuales se encuentran clasificadas por diferentes factores.

Por el origen de quien hace su aplicacin:
Externa
Interna


10

Por el rea en donde se hacen:
Auditora Financiera
Auditora Administrativa
Auditora Operacional
Auditora Gubernamental
Auditora Integral
Auditora de Sistemas

Por rea de especialidad:
Auditora Fiscal
Auditora Laboral
Auditora Ambiental
Auditora Mdica
Auditora a Inventario
Auditora a Caja Chica
Auditora en Sistemas

Especializadas en Sistemas Computacionales:
Auditora Informtica
Auditora con la Computadora
Auditora sin la Computadora
Auditora a la Gestin Informtica
Auditora alrededor de la computadora
Auditora en seguridad de sistemas
Auditora a sistemas en red

A continuacin mencionamos los principales tipos de Auditora, estos
son:

a) Auditora financiera:

Es el examen de los estados financieros de una empresa, con la
finalidad de emitir una opinin profesional sobre los estados financieros en su
conjunto, es decir que presentan o no razonablemente la posicin financiera de
la empresa y sus resultados de sus operaciones

b) Auditora operativa:

Es la auditora de las causas relativas nuevas, se ocupa de estudiar si
las medidas necesarias han sido tomadas cautelosamente, dentro de esta
auditora se encuentra:

Auditora General.- es el examen constructivo de una empresa o ente.
Auditora Administrativa.- es el examen que se realiza para ver la
veracidad de los estados financieros.

La extensin de todas las operaciones no incide en el rea financiera.

Tambin la Auditora operativa es el examen en la que una empresa o
parte de ella con la finalidad de evaluar deficiencia, efectividad y

11

economa de sus actividades en funcin de los objetivos o metas trazadas,
comprendiendo bsicamente la evaluacin de los controles administrativos.

c) Auditora gubernamental:

Es aquella que se aplica en las entidades pblicas y es efectuada por la
Contralora General de la Repblica y otros organismos u oficinas de Auditora
Interna, su objetivo principal es la de valuar los recursos humanos y financieros
de acuerdo a los objetivos vigentes.

d) Segn el personal:

Auditora interna.- es aquella que un profesional de auditora que
labora. en
la misma empresa auditada, evala el desempeo y cumplimiento de
actividades, operaciones y funciones y emitir un dictamen de carcter
domstico
sobre las actividades de la empresa.
Auditora externa.- se refiere a los exmenes de Auditora que realiza
las firmas independientes a la empresa auditada.

e) Auditora fiscal:

Consiste en verificar el cumplimiento de las leyes fiscales, revisando el
correcto y oportuno pago de los diferentes impuestos y obligaciones fiscales de
los contribuyentes desde el punto de vista fsico (SHCP), direcciones o
tesoreras de hacienda estatales o tesoreras municipales.

f) Auditora informtica:

Evala y comprueba los controles y procedimientos informticos ms
complejos, desarrollando y aplicando tcnicas mecanizadas de auditora,
incluyendo el uso de software.

1.7 Auditora Informtica

1.7.1 Generalidades

Concepto

La auditora informtica es el proceso de recoger, agrupar y evaluar
evidencias para determinar si un sistema de informacin salvaguarda el activo
empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los
fines de la organizacin, utiliza eficientemente los recursos, y cumple con las
leyes y regulaciones establecidas. Tambin permiten detectar de forma
sistemtica el uso de los recursos y los flujos de informacin dentro de una
organizacin y determinar qu informacin es crtica para el cumplimiento de su
misin y objetivos, identificando necesidades, duplicidades, costes, valor y

12

barreras, que obstaculizan flujos de informacin eficientes.

Caractersticas

La informacin de la empresa y para la empresa, siempre importante, se
ha convertido en un Activo Real de la misma, como sus Stocks o materias
primas si las hay. Por ende, han de realizarse inversiones informticas, materia
de la que se ocupa la Auditora de Inversin Informtica.

Del mismo modo, los Sistemas Informticos han de protegerse de modo
global y particular: a ello se debe la existencia de la Auditora de Seguridad
Informtica en general, o a la auditora de Seguridad de alguna de sus reas,
como pudieran ser Desarrollo o Tcnica de Sistemas.

Cuando se producen cambios estructurales en la Informtica, se
reorganiza de alguna forma su funcin: se est en el campo de la Auditora de
Organizacin Informtica.

Estos tres tipos de auditoras engloban a las actividades auditoras que
se realizan en una auditora parcial. De otra manera: cuando se realiza una
auditora del rea de Desarrollo de Proyectos de la Informtica de una
empresa, es porque en ese Desarrollo existen, adems de ineficiencias,
debilidades de organizacin, o de inversiones, o de seguridad, o alguna mezcla
de ellas.

Importancia

Las auditoras son necesarias por diversos motivos, y entre los ms
importantes podemos citar los siguientes:

Ofrecer la seguridad a los propietarios de las empresas, o a las partes
interesadas en las organizaciones auditadas (accionistas), o a los
responsables de sus actividades, de la fiabilidad de los estados
financieros que se les presentan, en la medida indicada por el auditor en
su informe.
Ofrecer la seguridad a otros posibles usuarios de los estados
financieros, de la fiabilidad de los estados financieros que se les
presentan, en la medida indicada por el auditor en su informe. Estos
usuarios pueden ser: acreedores, entidades financieras, personal,
Hacienda Pblica, inversores potenciales e instituciones
supranacionales.
Cuando se realiza una venta o cambio de titularidad o liquidacin de una
empresa, es necesario conocer la fiabilidad de la valoracin de dicha
empresa.
Cuando se quiere acceder a subvenciones, o intervenir en proyectos de
desarrollo o produccin, promovidos por instituciones pblicas
nacionales o supranacionales, suele haber el requisito que obliga a


13

efectuar una auditora lo ms completa posible.
Segn los pases y el mbito en que se mueve la empresa, hay
obligacin legal de efectuar auditoras de forma peridica.

1.7.2 Seguridad Informtica en las empresas

El garantizar que los recursos informticos de una compaa estn
disponibles para cumplir sus propsitos, es decir, que no estn daados o
alterados por circunstancias o factores externos, es una definicin til para
conocer lo que implica el concepto de seguridad informtica.

En trminos generales, la seguridad puede entenderse como aquellas
reglas tcnicas y/o actividades destinadas a prevenir, proteger y resguardar lo
que es considerado como susceptible de robo, prdida o dao, ya sea de
manera personal, grupal o empresarial.

En este sentido, es la informacin el elemento principal a proteger,
resguardar y recuperar dentro de las redes empresariales.

La importancia de la seguridad informtica en las empresas es por la
existencia de personas ajenas a la informacin, tambin conocidas como
piratas informticos o hackers, que buscan tener acceso a la red empresarial
para modificar, sustraer o borrar datos.

Tales personajes pueden, incluso, formar parte del personal
administrativo o de sistemas, de cualquier compaa.

1.7.3 Funciones del auditor informtico

Las funciones que el auditor informtico debe realizar contemplan un
amplio abanico de actividades objetivas, algunas de las cuales se enumeran a
continuacin:

Verificacin del control interno, tanto de las aplicaciones como de los
sistemas informticos, centrales y perifricos.
Anlisis de la gestin de los sistemas de informacin desde un punto de
vista de riesgo de seguridad, de gestin y de efectividad de la gestin.
Anlisis de la integridad, fiabilidad y certeza de la informacin a travs
del anlisis de las aplicaciones. Esta funcin, que la vienen
desempeando los auditores informticos, estn empezando ya a
desarrollarla los auditores financieros.
Auditora del riesgo operativo de los circuitos de informacin.
Anlisis de la gestin de los riesgos de la informacin y de la seguridad
implcita.
Verificacin del nivel de continuidad de las operaciones (a realizar
conjuntamente con los auditores financieros).
Anlisis del estado tecnolgico de la instalacin revisada y de las

14

consecuencias empresariales que un desfase tecnolgico pueda
acarrear.
Diagnstico sobre el grado de cobertura que dan las aplicaciones a las
necesidades estratgicas y operativas de informacin de la
organizacin.
Revisar y juzgar los controles implantado en los sistemas de informacin
para verificar su adecuacin a las rdenes e instrucciones de la
Direccin, requisitos legales, proteccin de la confidencialidad y
cobertura ante errores y fraudes.
Revisar y juzgar el nivel de eficacia, utilidad, fiabilidad y seguridad de los
equipos e informacin.
El auditor evala y comprueba en determinado tiempo, los controles y
procedimientos informticos ms complejos, desarrollando y aplicando
tcnicas mecanizadas de auditora, incluyendo el uso de software de
auditora y otras tcnicas asistidas por la computadora.

1.7.4 Metodologas

Todas las metodologas existentes desarrolladas y utilizadas en la
auditora, se puede agrupar en dos grandes familias:

Cuantitativas: Basadas en un modelo matemtico numrico que ayuda
a la realizacin del trabajo, estn diseadas par producir una lista de
riesgos que pueden compararse entre s con facilidad por tener
asignados unos valores numrico. Estn diseadas para producir una
lista de riesgos que pueden compararse entre si con facilidad por tener
asignados unos valores numricos. Estos valores son datos de
probabilidad de ocurrencia de un evento que se debe extraer de un
riesgo de incidencias donde el nmero de incidencias tiende al infinito.
Cualitativas: Basadas en el criterio y raciocinio humano capaz de definir
un proceso de trabajo, para seleccionar en base al experiencia
acumulada. Puede excluir riesgos significantes desconocidos (depende
de la capacidad del profesional para usar el checklist/gua). Basadas en
mtodos estadsticos y lgica borrosa, que requiere menos recursos
humanos / tiempo que las metodologas cuantitativas.

Metodologas en Auditora Informtica.

Las metodologas de auditora informtica son de tipo
cualitativo/subjetivo. Se puede decir que son subjetivas por excelencia. Estn
basadas en profesionales de gran nivel de experiencia y formacin, capaces de
dictar recomendaciones tcnicas, operativas y jurdicas, que exigen en gran
profesionalidad y formacin continua. Se clasifican en dos tipos las
metodologas para la auditora informtica:

Controles Generales.- Son el producto estndar de los auditores
profesionales. El objetivo aqu es dar una opinin sobre la fiabilidad de
los datos del computador para la auditora financiera, es resultado es
escueto y forma parte del informe de auditora, en donde se hacen notar

15

las vulnerabilidades encontradas. Estn desprestigiadas ya que
dependen en gran medida de la experiencia de los profesionales que las
usan.
Metodologas de los auditores internos.- Estn formuladas por
recomendaciones de plan de trabajo y de todo el proceso que se debe
seguir. Tambin se define el objetivo de la misma, que habr que
describirlo en el memorando de apertura al auditado. De la misma forma
se describe en forma de cuestionarios genricos, con una orientacin de
los controles a revisar. El auditor interno debe crear sus metodologas
necesarias para auditar los distintos aspectos o reas en el plan auditor.

En la actualidad existen tres tipos de metodologas de auditora
informtica:

R.O.A. (RISK ORIENTED APPROACH), diseada por Arthur Andersen.
CHECKLIST o cuestionarios.
AUDITORA DE PRODUCTOS (por ejemplo, Red Local Windows NT;
sistemas de Gestin de base de Datos DB2; paquete de seguridad
RACF, etc.).

En s las tres metodologas estn basadas en la minimizacin de los
riesgos, que se conseguir en funcin de que existan los controles y de que
stos funcionen. En consecuencia el auditor deber revisar estos controles y su
funcionamiento.

1.7.5 Fases de la Auditora

Las fases que presenta una auditora informtica son las siguientes: (Ver
figura 1.1)

Figura 1.1 Fases de la Auditora.
Fase I:
Conocimientos del Sistema
Fase II:
Anlisis de transacciones y recursos
Fase III:
Anlisis de riesgos y amenazas
Fase IV:
Anlisis de controles
Fase V: Evaluacin de Controles
Fase VI:
El Informe de auditoria

16

Fase I: Conocimientos del Sistema:
Aspectos Legales y Polticas Internas.
Sobre estos elementos est construido el sistema de control y por lo
tanto constituyen el marco de referencia para su evaluacin.

Caractersticas del Sistema Operativo.
Organigrama del rea que participa en el sistema
Manual de funciones de las personas que participan en los
procesos del sistema.
Informes de auditora realizadas anteriormente
Caractersticas de la aplicacin de computadora
Manual tcnico de la aplicacin del sistema
Funcionarios (usuarios) autorizados para administrar la aplicacin
Equipos utilizados en la aplicacin de computadora
Seguridad de la aplicacin (claves de acceso)
Procedimientos para generacin y almacenamiento de los
archivos de la aplicacin.

Fase II: Anlisis de transacciones y recursos:
Definicin de las transacciones.
Dependiendo del tamao del sistema, las transacciones se dividen en
procesos y estos en subprocesos. La importancia de las transacciones deber
ser asignada con los administradores.

Anlisis de las transacciones.
Establecer el flujo de los documentos
En esta etapa se hace uso de los diagramas de flujo, ya que facilita
la visualizacin del funcionamiento y recorrido de los procesos.
Anlisis de los recursos.
Identificar y codificar los recursos que participan en el sistemas
Relacin entre transacciones y recursos.

Fase III: Anlisis de riesgos y amenazas:
Identificacin de riesgos.
Daos fsicos o destruccin de los recursos.
Prdida por fraude o desfalco.
Extravo de documentos fuente, archivos o informes.
Robo de dispositivos o medios de almacenamiento.
Interrupcin de las operaciones del negocio.
Prdida de integridad de los datos.
Ineficiencia de operaciones.
Errores.
Identificacin de las amenazas:
Amenazas sobre los equipos.
Amenazas sobre documentos fuente.
Amenazas sobre programas de aplicaciones.
Relacin entre recursos/amenazas/riesgos.
La relacin entre estos elementos deber establecerse a partir de la
observacin de los recursos en su ambiente real de funcionamiento.

17

Fase IV: Anlisis de controles:
Codificacin de controles.
Los controles se aplican a los diferentes grupos utilizadores de
recursos, luego la identificacin de los controles debe contener una codificacin
la cual identifique el grupo al cual pertenece el recurso protegido.
Relacin entre recursos/amenazas/riesgos.
La relacin con los controles debe establecerse para cada tema
(Recurso/Amenaza/Riesgo) identificado. Para cada tema debe establecerse
uno o ms controles.
Anlisis de cobertura de los controles requeridos.
Este anlisis tiene como propsito determinar si los controles que el
auditor identific como necesarios proveen una proteccin adecuada de los
recursos.

Fase V: Evaluacin de Controles:
Objetivos de la evaluacin.
Verificar la existencia de los controles requeridos.
Determinar la operatividad y suficiencia de los controles existentes
Plan de pruebas de los controles.
Incluye la seleccin del tipo de prueba a realizar.
Debe solicitarse al rea respectiva, todos los elementos necesarios
de prueba.
Pruebas de controles.
Anlisis de resultados de las pruebas.

Fase VI: El Informe de auditora:
Informe detallado de recomendaciones.
Evaluacin de las respuestas.
Informe resumen para la alta gerencia.
Este informe debe prepararse una vez obtenidas y analizadas las
respuestas de compromiso del rea.
Introduccin: objetivo y contenido del informe de auditora.
Objetivos de la auditora.
Alcance: cobertura de la evaluacin realizada.
Opinin: con relacin a la suficiencia del control interno del sistema
evaluado.
Hallazgos.
Recomendaciones.

Fase VII: Seguimiento de las Recomendaciones:
Informes del seguimiento.
Evaluacin de los controles implantados.

1.7.6 Beneficios

Los beneficios que brinda la auditora informtica son:


18

Contar con una comprensin de la situacin actual de la entidad, y de
sus procesos de control.
Obtener una visin independiente sobre vulnerabilidades, exposiciones y
el nivel de diseo de controles y los Riesgos.
Recibir un plan de mitigacin de los principales factores de riesgo
(considerando vulnerabilidades e impactos) para resolver las
exposiciones de control identificadas y mitigar tales riesgos.
Mejora de la imagen pblica de la empresa.
Genera confianza en los usuarios sobre la seguridad y control de los
servicios de TI.
Optimiza las relaciones internas y del clima de trabajo.
Disminuye los costos de la mala calidad (reprocesos, rechazos,
reclamos, entre otros).
Genera un balance de los riesgos en TI.
Realiza un control de la inversin en un entorno de TI, a menudo
impredecible.
Aporta un aumento en la productividad y mejora el rendimiento.

1.8 Auditora a Servicios informticos

1.8.1 Concepto de servicio informtico

Servicio: Es un conjunto de actividades que buscan responder a las
necesidades de un cliente o de alguna persona comn.

Informtica: Es la ciencia aplicada que abarca el estudio y aplicacin
del tratamiento automtico de la informacin, utilizando sistemas
computacionales, generalmente implementados como dispositivos electrnicos.

Servicio informtico: Es un conjunto de actividades o aplicaciones
enfocadas a brindar un servicio especfico que procesa automticamente la
informacin, para cumplir con las expectativas del cliente.

1.8.2 Clasificacin de servicios informticos

La clasificacin de los servicios informticos o catalogo de servicios
informticos se compone de los siguientes puntos: (Ver Figura 1.2)

Figura 1.2 Catalogo de servicios.
Servicios
Aplicaciones
Software
Hardware

19

Hardware. Corresponde a todas las partes fsicas y tangibles de una
computadora, cualquier elemento fsico involucrado.

Software. Conjunto de instrucciones o programas que forman el sistema
del computador.

Aplicaciones. Est diseado y escrito para realizar tareas especficas
personales empresariales o cientficas.

Servicios. Es un conjunto de actividades que buscan responder a las
necesidades de un cliente o de alguna persona comn

.
1.8.3 Definicin de Auditora en los servicios informticos.

Auditar servicios informticos es una tarea compleja, pero no imposible,
existen metodologas que ayudan a cada uno de los servicios, a ser auditados,
ya que en la informtica existen miles de servicios que ofrecen una
automatizacin en los procesos de las organizaciones y que obviamente son
distintos.

Existen diversas instituciones que establecen guas y normas que
ayudan a realizar adecuadamente las auditoras dentro de cada servicio
informtico.

1.8.4 Importancia de la auditora en los servicios informticos.

La importancia de llevar a cabo una auditora dentro de un servicio
informtico, es fundamental ya que se logran detectar vulnerabilidades,
estabilizar los sistemas, corregir las fallas y ampliar las medidas de seguridad,
as como salvaguardar los activos de las empresas que ofrecen y demandan
servicios informticos.

Como se sabe llevar a cabo una auditora dentro de una empresa y
dentro de cada servicio informtico no es nada sencillo, pero es esencial que
se implanten dichas auditoras para la mejora constante del servicio as como
de la empresa.

1.8.5 La auditora y los servicios informticos actuales.

Con el paso del tiempo se han ido aumentando diversos servicios
informticos que estandarizan y engloban de una forma ms practica el
tratamiento de la informacin, como ejemplo tenemos a los ERP, que tan solo
implantando uno de estos servicios dentro de una organizacin, manipula de
forma completa, los proceso habidos dentro de la misma y que realizan con
facilidad la administracin y control de la empresa.


20

Las Compaas, Corporaciones e Instituciones han implementado
controles, roles y responsabilidades, orientados a garantizar la integridad,
consistencia, exactitud y confiabilidad de la informacin, que requieren que
sean revisados y/o auditados en base a modelos de control tales como COSO,
COBIT, ITIL, NIST, ISO17999, BS25999.

Los objetivos de la Auditora Informtica, es proveer apoyo a los
auditores, desarrollar revisin de tecnologa, desarrollar investigaciones
asociadas a fraudes, brindar soporte de evaluaciones de riesgos durante los
proyectos de tecnologa y brindar asesora de alto impacto a la gerencia.

La auditora dentro de estos servicios tiene que actualizarse y crear
nuevos mrgenes y guas para cada uno de los nuevos servicios y as lograr
una excelente revisin de cada servicio.


21

SEGURIDAD
INFORMTICA EN UN
ERP


22

CAPTULO II
SEGURIDAD INFORMTICA EN UN ERP

2.1 Concepto de ERP

Enterprise Resourse Planning:

Se define como un sistema de gestin de informacin que integran y
automatizan muchas de las practicas de negocio asociadas con los aspectos
operativos o productivos de una empresa estructurado que busca satisfacer la
demanda de soluciones de gestin, empresarial, basado en el concepto de una
solucin completa que permita a las empresas unificar las diferentes reas de
productividad de la misma.

2.2 Caractersticas de un ERP

Los sistemas de ERP se presentan como tecnologa adaptativa y han
demostrado hasta ahora ser una buena solucin ante la gran demanda de
manejo de informacin y aprovechamiento de las tecnologas. Las siguientes
caractersticas nos lo permiten: (Ver figura 2.1)

Integracin: El objetivo de un sistema ERP es integrar todos los
procesos de la empresa, entendindola como una serie de reas que se
relacionan entre s. Este enfoque permite una mayor eficiencia,
reduccin de tiempo y costes. Una base de datos centralizada es la que
suele facilitar el flujo de informacin entre los diferentes mdulos. Es
importante destacar que en un sistema ERP los datos se ingresan una
sola vez para su utilizacin en el sistema. Estos deben ser consistentes,
completos y comunes. De esta forma se evita la duplicidad de
informacin.

Modularidad: Cada rea funcional de la empresa se corresponde con
un mdulo del sistema de gestin. Estos mdulos aunque
independientes comparten informacin entre s mediante una base de
datos centralizada, lo que facilita la personalizacin y adaptabilidad por
una lado, y por otro la facilidad de integracin.
Es habitual que cada mdulo utilice un software especfico para su
funcionalidad.

Adaptabilidad: Gracias a la modularidad y capacidad de integracin de
las funcionalidades un sistema ERP es fcilmente adaptable a las
necesidades de cada empresa, permitiendo una total configuracin.
Aunque existe esta posibilidad de adaptacin, muchas veces para
abaratar costes la empresa utiliza una solucin ms genrica, en vez de
personalizar un desarrollo, lo que le obliga a modificar algunos de sus
procesos para alinearlos con los del sistema ERP.


23

Caractersticas
de un ERP
Adaptabilida
d
Modularidad
Integracin

Figura 2.1. Caractersticas de un ERP.

2.3 Objetivos del ERP

Los principales objetivos de estos sistemas ERP son:
Optimizacin de todos los procesos de nuestra empresa.
Acceso de toda nuestra informacin de forma precisa, segura, rpida y
verdadera (integridad de datos).
Compartir informacin entre todas las secciones y componentes de la
organizacin y de nuestra empresa para mayor eficiencia.
Eliminacin de datos y operaciones ya no necesarias para el correcto
funcionamiento y optimizacin y renovacin de las servibles.

El propsito ms importante en un ERP, es dar todo nuestro apoyo a los
clientes del negocio, respuestas rpidas y eficientes a sus problemas as como
un inmejorable manejo de informacin, que sea lo suficientemente til para que
permita la toma de las mejores decisiones y la disminucin de los costes totales
de operacin para ambos.

2.4 Componentes de un ERP

Los componentes o mdulos bsicos en los que se divide un ERP son
los siguientes: (Ver figura 2.2)
MRP
CRM
FRM
HRM
SCM


24

Figura 2.2. Mdulos de un sistema de planificacin de recursos empresariales (ERP).

MPR (Material Requierement Planning)

En espaol significa planificador de las necesidades de material, es
decir, es un mdulo de planificacin de materiales y gestin de inventarios
que responde a las siguientes preguntas:

Qu orden producir?
Cunto producir?
Cundo producir?

Mediante este sistema se garantiza la prevencin y solucin de errores
en el aprovisionamiento de materias primas, el control de la produccin y la
gestin de rdenes, ya que su objetivo es disminuir el volumen de existencia a
partir de lanzar la orden de compra o fabricacin en el momento adecuado
segn los resultados del programa maestro de produccin. Es un sistema que
puede determinar de forma sistemtica el tiempo de respuesta
(aprovisionamiento y fabricacin) de una empresa para cada producto.

Para ello el sistema trabaja con dos parmetros bsicos: tiempos y
capacidades.

El sistema MRP calcular las cantidades de producto terminado a
fabricar, los componentes necesarios y las materias primas a comprar para
poder satisfacer la demanda del mercado.


25

Este tipo de sistemas son utilizados para empresas que tengan ciertas
caractersticas en cuanto a la forma de produccin y especificaciones del
producto.

CRM (Customer Realatioship Management)

Los sistemas de administracin de la relacin con el cliente busca
entender y anticipar las necesidades de los clientes existentes y tambin de los
potenciales, que actualmente se apoya en soluciones tecnolgicas que facilitan
su aplicacin, desarrollo y aprovechamiento como parte de una estrategia de
negocio centrada en los clientes. La cual est basada en la satisfaccin de los
clientes y tambin a los sistemas informticos que dan soporte a esta
estrategia.

Se refiere a la administracin de todas las interacciones que pueden tener
un negocio y sus clientes. Se enfoca en la optimizacin del ciclo de vida del
cliente en su totalidad. Adems, CRM es un trmino de la industria de la
informacin que rene, metodologas, software y las capacidades del internet
para administrar de una manera eficiente y rentable las relaciones de un
negocio con sus clientes.

FRM (Finance Resource Management)

Los sistemas de administracin de recursos financieros (FRM), son
sistemas que surgen de la necesidad de integrar todo tipo de datos contables
como son las proyeccin de ventas, el ingreso y los activos tomando como
base estrategias alternativas de produccin y mercadotecnia as como la
determinacin de los recursos que se necesitan para lograr estas proyecciones.

HRM (Human Resource Management)

Los sistemas de administracin de recursos humanos (HRM), son parte
de una estrategia entre la gestin de recursos humanos y la tecnologa de
informacin. Combina los recursos Humanos y en particular sus actividades
administrativas con los medios puestos a su disposicin por la informtica, y se
refieren en particular a las actividades de planificacin y tratamiento de datos
para integrarlos en un nico sistema de gestin.

Su funcin principal es recolectar informacin relacionada con las
caractersticas personales y profesionales de cada empleado, historial laboral,
hasta los detalles como las remuneraciones y el puesto que ocupan dentro de
la empresa.


26

SCM (Supply Chain Management)

Los sistemas de gestin de la configuracin de software (SCM,) es el
trmino utilizado para describir el conjunto de operaciones de produccin y
logstica cuyo objetivo final es la entrega de un producto a un cliente. Esto
quiere decir, que la gestin de la configuracin de software (SCM) incluye las
actividades asociadas desde la obtencin de materiales para la transformacin
del producto, hasta su colocacin en el mercado.

Los sistemas de gestin de la configuracin de software (SCM) utilizan
los conceptos de e-business y tecnologas Web para coordinar y optimizar los
procesos de mbito empresarial en todas y cada una de las reas de su
empresa: desde el proveedor hasta el cliente.

2.5 Control de riesgos en un ERP

Debido a que los ERP son sistemas integrales y que uno de sus
objetivos es procesar gran cantidad de informacin en tiempo real a usuarios
simultneos como parte de sus funciones, es necesario tener en cuenta que
surgen riesgos que los ERP sin controles pueden llegar a ser exitosos.

Por lo que es necesario conocer toda la informacin respecto a los
riesgos que surgen y aplicar medidas preventivas, correctivas.

Las complejidades tcnicas surgen:

El sistema reside en varios equipos.
La ptima coordinacin es un desafo.
Fiabilidad y disponibilidad de los datos.
El sistema permite la configuracin flexible, personalizacin y
mantenimiento.

Riesgos empresariales clave:

Amplia experiencia necesaria para el funcionamiento eficaz.
Significativos cambios de personal y estructuras organizativas.
Transicin de las funciones de usuarios a las funciones tradicionales de
empowerment.
Entornos de sistemas On-line y en tiempo real requieren de un entorno
empresarial continuo.
El esfuerzo de capacitacin de un gran nmero de usuarios.
Desafo a un entorno totalmente integrado en los diferentes procesos de
negocio existentes entre las unidades de negocio.

Riesgos Tcnicos:

Falta de experiencia en implementacin y gestin de la tecnologa
informtica distribuida.


27

El incremento de accesos remotos por los usuarios y externos.
Mltiples interfaces y conversiones de datos de sistemas heredados y
otros software comerciales suelen ser necesarios.
IS debe hacer la transicin a una organizacin que puede soportar un
entorno de computacin distribuida.

Los controles de riesgos pueden surgir estableciendo mecanismos de
control, durante la implementacin del sistema ya que el control es amplio
dentro de la configuracin.

2.6 Metodologas para auditar un ERP

La realizacin de una auditora de un ERP puede ser compleja, por lo que
es necesario dividir la auditora en partes pequeas que apoyen los objetivos
generales de la auditora.

CIS

Una de las metodologas usadas para la auditora es CIS que significa
Center for Internet Security el cual proporcionan una lista de controles que se
pueden enumerar en un checklist para que sean verificadas.

Su misin es establecer y promover el uso de normas basadas en el
consenso para elevar el nivel de seguridad y privacidad en los sistemas
conectados a Internet, y para garantizar la integridad de los negocios, gobierno
y funciones basadas en Internet privados y las transacciones en que la
sociedad depende cada vez ms. CEI es una organizacin independiente,
regulada por una Junta Directiva de voluntarios, no es propiedad o est
controlado en su totalidad o parcialmente por cualquier corporacin o entidad
gubernamental.

NIST National Institute of Standards and Technology

Misin del NIST consiste en promover la innovacin y la competitividad
industrial EE.UU. por la ciencia que avanza la medicin, normas, y la
tecnologa en formas que mejoren la seguridad econmica y mejorar nuestra
calidad de vida.

Aunque la gua del NIST est enfocada para su uso en agencias
federales estadounidenses, su lectura y conclusiones pueden resultar
interesantes para otros entornos, tanto gubernamentales como privados.

COBIT Information Systems Audit and Control Association

COBIT brinda un modelo de procesos genricos que representa todos
los procesos que normalmente se encuentran en las funciones equivalentes
entre los modelos de procesos COBIT y las reas de enfoques del gobierno de
TI.


28

Se enfoca en qu se requiere para lograr una administracin y un control
adecuado de TI, y se posiciona en un nivel alto. COBIT ha sido alineado y
armonizado con otros estndares y mejores prcticas ms detalladas de TI.

COBIT acta como un integrador de todos los elementos gua,
resumiendo los objetivos clave bajo un mismo marco de trabajo integral que
tambin se aliena con los requerimientos de gobierno y de negocio.

29

NIST PARA ERP


30

CAPTULO III
NIST PARA ERP

3.1 Antecedentes de NIST

El Instituto Nacional de Normas y Tecnologa (NIST por sus siglas en
ingls, National Institute of Standards) es una agencia de la Administracin de
Tecnologa del Departamento de Comercio de los Estados Unidos. La misin
de este instituto es promover la innovacin y la competencia industrial en
Estados Unidos mediante avances en metrologa, normas y tecnologa de
forma que mejoren la estabilidad econmica y la calidad de vida.

Como parte de esta misin, los cientficos e ingenieros del NIST
continuamente refinan la ciencia de la medicin (metrologa) creando una
ingeniera precisa y una manufacturacin requerida para la mayora de los
avances tecnolgicos actuales. Tambin estn directamente involucrados en el
desarrollo y pruebas de normas hechos por el sector privado y agencias de
gobierno. El NIST fue originalmente llamado Oficina Nacional de Normas (NBS
por sus siglas en ingls), un nombre que tuvo desde 1901 hasta 1988. El
progreso e innovacin tecnolgica de Estados Unidos dependen de las
habilidades del NIST, especialmente si hablamos de cuatro reas:
biotecnologa, nanotecnologa, tecnologas de la informacin y fabricacin
avanzada.

La serie 800 del NIST son una serie de documentos de inters general
sobre Seguridad de la Informacin. Estas publicaciones comenzaron en 1990 y
son un esfuerzo de industrias, gobiernos y organizaciones acadmicas para
todos los interesados en la seguridad.

3.2 Gua de Implementacin Tcnica de Seguridad en
los ERP

3.2.1 Introduccin
Este documento contiene los procedimientos que permiten al personal
cualificado llevar a cabo una Revisin de Disponibilidad de Seguridad (Security
Readiness Review, SRR) a un ERP. Esta lista se va a utilizar para las
implementaciones de ERP para las que no existen listas de productos
especficos. La Revisin de Disponibilidad de Seguridad evala el cumplimiento
junto con la Agencia de Defensa de Sistemas de Informacin (Defense
information Systems Agencys, DISA) con la Gua de Implementacin Tcnica
de Seguridad en los ERP.

En el Campo de Operaciones de Seguridad de DISA (FSO) lleva a cabo
la Revisin de Disponibilidad de Seguridad del ERP para proporcionar un nivel

31

mnimo de seguridad a DISA, conjunto de comandos, y otros del Departamento
de Defensa (DoD) las organizaciones que sus aplicaciones son
razonablemente segura contra los ataques que pondra en peligro su misin. La
complejidad de las aplicaciones de misin crtica ms se opone a una revisin
de seguridad completa de todas las funciones de seguridad posibles y
vulnerabilidades en el marco de tiempo asignado para un SRR ERP. No
obstante, la SRR ayuda a las organizaciones frente a las vulnerabilidades de
ERP ms comunes e identificar aseguramiento de la informacin (IA),
cuestiones que plantean un riesgo inaceptable para las operaciones.

Idealmente, los controles de IA se integran en el ciclo de vida completo,
incluyendo las fases relacionadas con la recogida de requisitos, diseo,
desarrollo, garanta de calidad y pruebas. La Revisin de Disponibilidad de
Seguridad del ERP tpicamente ocurre cuando una aplicacin ERP se
encuentra en produccin - es decir, cuando el ciclo ya se ha completado.

Muchas de las conclusiones de la Revisin de Disponibilidad de
Seguridad del ERP pueden ser solucionadas con las modificaciones de las
funciones de seguridad, que se asignan a los usuarios y personal de apoyo, o
con la modificacin de los parmetros del sistema ERP. Separacin de las
funciones hallazgos pueden requerir modificaciones a los roles y
responsabilidades del puesto.

3.2.2 Alcance de evaluacin a un modulo de un ERP
Como ya se menciono anteriormente, sta gua permite hacer la revisin
de forma integral a los aspectos necesarios del ERP para medir su nivel
de seguridad en la informacin.
Para poder realizar una evaluacin con los resultados aproximados a la
exactitud, es recomendable realizar una auditora por secciones, es decir,
delimitar la revisin en donde solo se audite por mdulos los elementos que
se consideren necesarios dentro de este tema.
Para la revisin de la seguridad de la informacin dentro de un Modulo
de ERP, la Gua de Implementacin Tcnica de Seguridad en los ERP
proporciona las mtricas aplicables para evaluar los elementos que a
continuacin se enlistan junto con las mtricas que les corresponden a cada
uno.
Bases de Datos: ERP000700, ERP000720, ERP000730, ERP013900,
ERP013350, ERP000850. Estas mtricas estn enfocadas a la
verificacin de las caractersticas que se tienen para el manejo de la
base de datos y el control sobre la informacin critica que contiene. El
mantenimiento de la base de datos se evala en medida de la validez
que tenga la misma.


32

Configuraciones Iniciales: ERP000800, ERP001500, ERP002000,
ERP011000. Mtricas basadas para la comprensin y anlisis de los
parmetros establecidos dentro de la configuracin de servidores,
aplicacin, conexiones remotas, etc.los parmetros que se evalan son
especficamente a la forma en que se tienen los controles para el flujo de
informacin a travs de los medios establecidos.

Controles de acceso: ERP001100, ERP001150, ERP001200,
ERP001850, ERP003850, ERP011400, ERP011400, ERP011500,
ERP013500. Mtricas enfocadas a la evaluacin de medidas de
seguridad para el acceso y el uso de operaciones necesarias para cada
usuario. As como de los procesos de autorizacin a operaciones
innecesarias.

Controles de seguridad: ERP001000, ERP011100, ERP013000. Se
enfocan en verificar si los requisitos de seguridad que se deban aplicar
dentro del rea auditada, para el ERP se cumplen y la medida en que lo
stos lo hacen como son los software de seguridad que dan apoyo para
que estos controles se puedan cumplir.

Cambios en el ERP: ERP000860, ERP002100, ERP005000. Evaluacin
de la administracin de cambios, actualizaciones en el ERP donde se
tenga en cuenta las necesidades que deben cubrir y que demande la
seguridad, para que no afecten o daen software o hardware. Se
revisan las vas de comunicacin que se tengan para dar a conocer y
difundir los cambios que se tengan en mente y que llegue toda la
informacin integra sobre los mismos a la direccin.

Cuentas de usuarios: ERP000820, ERP001700, ERP003100,
ERP004400. Mtricas que revisan las caractersticas que las cuentas de
usuarios tienen para determinar el nivel de vulnerabilidad que se genere
por las deficiencias que existen en la administracin de stas. La
importancia de esas mtricas radica en conocer los perfiles de usuarios
existentes en base de datos as como los privilegios que tengan

Funciones del ERP: ERP007000, ERP009300, ERP010000,
ERP001400, ERP013200. Ayudan a verificar los procesos de
recuperacin, de eliminacin de objetos innecesarios. As como del
monitoreo de las operaciones por acceso de todos los usuarios del
mdulo.


33

3.3 Caractersticas de la Gua
Una Revisin de Disponibilidad de Seguridad del ERP abarca todos los
componentes del lado servidor de una aplicacin, incluyendo, pero no
necesariamente limitarse a los siguientes elementos que apoyen la solicitud:
Aplicacin del cdigo
servidor Web (s)
servidor de base de datos (s)
Directorio y el dispositivo de autenticacin (s) (por ejemplo, los
controladores de dominio Windows, RADIUS, etc)
Firewall (s)
Red y la configuracin enclave necesarias para apoyar la aplicacin
Plataformas de sistemas operativos para cualquiera de los anteriores

Durante una revisin completa al ERP, una SRR se realiza en cada uno de
los componentes de la lista, adems de la SRR ERP en s. Por ejemplo, si una
infraestructura de ERP consista en un extremo de servidor web adelantado
que se ejecutan en Windows y una base de datos de backend que se ejecuta
en UNIX, la revisin completa constara de Web Server, base de datos,
Windows y UNIX SRR. Tambin se debe realizar una prueba de la penetracin.

Si esta revisin es una prueba de la Seguridad y la evaluacin (ST & E) de
validacin o una-renovacin de la acreditacin y las revisiones actuales existen
para estos componentes, slo la prueba de resistencia tiene que ser
completado en el momento de la revisin de ERP. Una revisin actual se define
como una revisin a cabo con base en el STIG actual. Se revisan tambin se
consideran no estar al da si el sistema operativo o el componente se ha
reinstalado ya que la SRR pasado.

Algunos elementos se encuentran fuera del mbito de aplicacin de la SRR
ERP. Estos incluyen:

Configuracin y el comportamiento de los clientes del explorador Web
Metodologa de desarrollo de aplicaciones

Dado que la seguridad es slo tan fuerte como su eslabn ms dbil, una
revisin de seguridad completa que implicar tanto a los componentes de cliente
y servidor de la aplicacin ERP, pero en el caso de los navegadores web, el
revisor no tiene acceso a todos los clientes potenciales que pueden acceder la
aplicacin. Por lo tanto, no es posible incluir estos navegadores web en la
revisin. Afortunadamente, las organizaciones que cumplan con los requisitos
que figuran en el navegador de aplicaciones de escritorio de la Gua de
Implementacin Tcnica de Seguridad (Security Technical Implementation
Guide, STIG) deben estar protegidas contra los ataques basados en la
aplicacin conocida de los navegadores. Los desarrolladores de aplicaciones
de forma independiente debera velar por sus aplicaciones funcionarn
correctamente con los navegadores compatibles con STIG (que no es validado
durante el SRR general).


34

Asimismo esta lista no se preocupa con el proceso de desarrollo, que por
supuesto es fundamental para garantizar la seguridad del producto final. Sin
embargo, la estructura de los equipos de desarrollo y configuracin, incluyendo
sus funciones y responsabilidades estn en el mbito. Las funciones y las
responsabilidades deben estar claramente definidas, y los roles de seguridad
construido de tal forma que sean puestos en prctica. Esto se pondr a prueba
durante el proceso de Revisin de Disponibilidad de Seguridad.

La Revisin de Disponibilidad de Seguridad del ERP examina la solicitud en un
solo punto en el tiempo, muy probablemente en la produccin o justo antes de
la liberacin. Para obtener altos niveles de fiabilidad para aplicaciones crticas
de misin de gran tamao, las organizaciones tal vez desee considerar
certificacin de aplicaciones en el marco del National Information Assurance
Partnership (NIAP).

Si la solicitud contiene una solucin de vigilancia, los resultados de la ST &
E de la solucin de proteccin deben incluirse como parte de la ST & E para la
aplicacin. El mbito de aplicacin de la revisin mediante esta lista de
comprobacin terminar a principios de la solucin de proteccin.

Esta lista no es una evaluacin apropiada para sistemas que realizan el
nivel de procesamiento de mltiples clasificados. Slo NSA dispositivos
aprobados en la configuracin aprobados son apropiados en estos ambientes.
Este tipo de controles estn fuera del alcance de esta revisin.


35

AUDITORA AL
MDULO DE
INVENTARIOS DEL ERP
MACROPRO DE LA
EMPRESA CENTRAL DE
SUSPENSIONES GMEZ
S.A. DE C.V.


36

CAPTULO IV
AUDITORA AL MDULO DE INVENTARIOS DEL ERP
MACROPRO DE LA EMPRESA CENTRAL DE
SUSPENSIONES GMEZ S.A. DE C.V.

4.1 Introduccin de la empresa

Datos de Referencia:

Nombre de la Empresa.- Central de Suspensiones Gmez S.A. de
C.V.

Direccin.- Calzada Ermita Iztapalapa No. 2602. Colonia Jacarandas
Delegacin Iztapalapa, C.P. 09280 Mxico, D.F.

Nmero de Trabajadores: Actualmente laboran Cuarenta.

Clasificacin de la Empresa: Mediana Empresa por volumen de
ventas mensuales de 7500 unidades.

Giro de la Empresa: Compra-Venta de refacciones nuevas para
automviles.

Representante Legal: Mara Guadalupe Gmez Valente.

Tipo de Capital.- Variable.

Telfono 5693 27 84 y 5693 76 00.

Antecedentes:

La empresa se fund en 1973 bajo la razn social de Servicio Mojica
cuando el seor Felipe Mojica Rojas inicio con una refaccionara y con taller
mecnico.

En el ao de 1983 se cambia la razn social a Suspensiones Gmez y
su representante legal tambin cambia por el de su esposa Mara Guadalupe
Gmez Valente.

En el ao de 1990 se inaugura Central de Suspensiones Gmez el
cual es solo refaccionara, especialistas en suspensiones de automviles; con
el que ahora su represntate legal es Abraham Mojica Gmez; a partir de ese
ao se brinda servicio a domicilio dentro del Distrito federal y zona
metropolitana.


37

Estructura Organizacional:

La empresa cuenta con una estructura funcional que se divide en los
siguientes departamentos: (Ver Anexo A)

Ventas, que a su vez se divide en el departamento de Servicio y el
departamento de Personal de Mostrador.
Finanzas, que se divide en el Departamento Administrativo y el
Departamento Contable.
Almacn.

El departamento de almacn no se divide, solo tiene bajo su cargo dos
puestos ms que detallaremos sus funciones a continuacin:

GERENTE DE ALMACN.- Jos Espinoso, se encarga de supervisar
las entradas y salidas de la mercanca de acuerdo a lo que sus
empleados le reportan. Con responsabilidad, dirige, vigila y organiza
las operaciones de almacenamiento y expediciones de material de
las diferentes campaas.

Personal de Almacn.- Encargados de realizar inventarios para
detectar los faltantes de mercanca para realizar un nuevo pedido.

Almacenista.- Es el encargado de realizar el inventario de la
mercanca.

Ayudante de almacn.- Se encarga de acomodar la mercanca
recibida as como el de ayudar con los inventarios de esta.

4.2 Estado Actual

La empresa Central de Suspensiones Gmez S.A. de C.V. cuenta con
el sistema ERP MACROPRO para el manejo y control de sus operaciones; fue
implantado hace 8 aos debido a que con el paso del tiempo la empresa se
vio en la necesidad de utilizar el ERP para obtener un mayor rendimiento y
mejor control en sus actividades.

La versin del software del ERP que est actualmente instalada es la
2.10. Los mdulos que aplica la empres son:

Contabilidad
Bancos
Nomina
Inventario de refacciones
Compra de refacciones
cuentas por pagar
venta de refacciones
cuentas por cobrar

38

Caractersticas del sistema:

Las caractersticas que ofrece MACROPRO a la empresa son los siguientes:

Contabilidad automatizada:
Sin Cierres Mensuales
Reportes Definibles
Configurado de acuerdo a sus necesidades

Integracin total con sus mdulos de:
Ventas, Compras e Inventario
Contabilidad, Bancos, Nomina y Activos Fijos
Cuentas por cobrar y Cuentas por pagar
Cajas, Caja rpida, Caja de pagos y Sucursales en Lnea

El mdulo de ventas sistematiza las siguientes funciones:
Cambios a las listas de precio
Control de ofertas y descuentos
Elaboracin de cotizaciones
Control de pedidos y backorder
Remisiones y Facturacin
Documentacin de facturas (ventas a plazos)
Venta directa a pblico (punto de venta)
Autorizacin de crditos
Control de productos obsoletos y sustitutos
Cortes de caja
Cancelacin de facturas
Contabilizacin de las ventas del da
Elaboracin del depsito de las ventas de contado
Devoluciones parciales
Anlisis de la eficiencia en el surtido de pedidos
Registro de anticipos
Registro de notas de cargo, descuentos y bonificaciones
Control de la cobranza
Control de pago de comisiones
Anlisis de cheques devueltos
Anlisis grfico de las ventas.
El mdulo de inventarios sistematiza las siguientes funciones:
Entrega y Salida de mercanca
Confirmacin de embarques para facturacin automtica
Traspasos entre almacenes y tiendas
Surtido de pedidos de sucursales
Preparacin, toma y anlisis de los inventarios fsicos
Clculo de los niveles de inventario (Mximo, Re orden y Mnimo)
Clculo del ABC o importancia del artculo
Control de Lotes y Fechas de Caducidad
Anlisis y auditora de costos, existencias, niveles de inventario, etc.

39

El mdulo de compras sistematiza las siguientes funciones:
Generacin de los sugeridos o previos de compra
Control de rdenes de compra y backorder
Captura de remisiones y facturas de proveedor
Determinacin del costo del producto
Control de pedidos, clculo de aranceles, prorrateo de fletes y gastos
aduanales en mercancas de importacin
Cancelacin de compras
Devoluciones parciales al proveedor
Captura de anticipos y pagos
Registro de cargos, descuentos y bonificaciones
Anlisis de eficiencia de los proveedores
Anlisis de cuentas por pagar

El mdulo de inventarios sistematiza las siguientes funciones:
Control de expedientes de empleados
Elaboracin de nminas semanales, quincenales, catorcenales,
decenales o mensuales
Impresin de los recibos de nmina
Clculo del ISPT, IMSS, SAR, INFONAVIT e impuesto estatal
Impresin de reportes para declaraciones mensuales, bimestrales y
anuales
Clculo de vacaciones, aguinaldo, reparto de utilidades, finiquitos y otras
nminas especiales
Anlisis de nminas por departamentos, categoras, turnos y otros
parmetros
Control de descuentos por prstamos y ahorro

Usuarios

Cuenta con 18 usuarios a los cuales se asignan privilegios de acuerdo al
departamento en que se encuentran, los tipos de usuarios son:

Mostrador: tiene privilegios limitados, por lo cual solo tiene acceso a
realizar ventas, facturacin y consulta de existencias.

Administracin: posee privilegio de agregar, modificar, cancelar
registros, es decir, registrar compras, cargar cuentas por cobrar, cuentas
por pagar, cancelaciones de facturas, devoluciones y notas de crdito.

Contabilidad: puede consultar, compras registradas, cuentas por cobrar
generadas, as como las cuentas por pagar, cancelaciones de facturas,
devoluciones y notas de crdito. As mismo se encarga de la gestin de
estados financieros.


40

Superusuario: es el administrador del sistema, el cual tiene acceso a
todos los mdulos del ERP y es el nico que puede tener acceso a la
parte de nomina.

Especificaciones tcnicas del ERP

Informacin sobre la instalacin de ERP

Sistema ERP
Nombre del ERP MACROPRO
Versin 2.10
Fecha de caducidad de licencia 1 ao
Base de datos de datos
Sistema ACUCORP
Liberacin Versin 4
Nombre Vision
Host Servidor Linux
Owner
Host de datos
Sistema Operativo Linux Centos
Tipo de Mquina Arquitectura del procesador
Nombre del servidor: Linux Centos Red-Hat (cliente-servidor)
ID de la plataforma Linux

Tabla 4.1 Especificaciones tcnicas del ERP.

Descripcin general del servidor

Nombre de la aplicacin de servidor OS Nivel Opinin (Si o No)
ERP Cliente servidor
Software instalado y la fabricacin Software Nivel
SRR Software
Realizado (Si o No)
Linux Centos Linux
Basado en red-hat

ACUCORP Base de datos no

Tabla 4.2 Descripcin general del Servidor.


41

Flujo de trabajo del mdulo de Inventario de Refacciones

Las actividades que se llevan a cabo en relacin al mdulo de Inventario
de refacciones son las siguientes:

1. Se levanta una orden de compra y este genera un backorder de
compra (respaldo de la compra).
2. El proveedor indica cuando provee el producto.
3. El proveedor suministra.
4. Se revisan los productos (no debe haber ms del producto
ordenado).
5. El personal del almacn coteja el producto contra lo que se ordena.
6. Entrada al sistema ERP en el mdulo de inventarios: Existen 3
formas de ingresar la entrada al sistema:
a. Directamente en el mdulo de inventarios se genera una
entrada de los nuevos productos.
b. A travs del mdulo de compras (por seguridad).
c. A travs de una remisin o factura de compra.
i. Remisin: El proveedor te entrega el producto pero no
te entrega la factura, (no se tiene una cuenta por pagar en
el sistema). Se descarga el backorder de la orden de
compra por medio de una nota de remisin de compra,
para que ya no se cuente como pendiente ese backorder.
ii. Genera entradas directamente al inventario, con el
costo que se acord en la orden de compra.
iii. No genera una cuenta por pagar porque el proveedor
no te est entregando una factura.
d. Te surte y te entrega la factura, genera la entrada por medio
de la factura, te genera la cuenta por pagar, al momento de firmar
al proveedor se tiene en cuenta que se tiene ya una cuenta por
pagar, y dicha cuenta al ingresarla al sistema tiene una fecha de
emisin y una de vencimiento de acuerdo a los das de crdito
que te ofrece el proveedor.
7. Se etiqueta la mercanca entrante.
8. Se acomoda en almacn mercanca etiquetada.
9. Ventas solicita producto.
10. Se verifica existencia en almacn.
11. Se efecta venta, registrando como salida de producto del almacn.

Para observar el diagrama de procesos y diagramas de Flujo del Mdulo
de Inventario de Refacciones ver Anexo B.

4.3 Descripcin de problemtica

Dentro de la empresa "Central de Suspensiones Gmez S.A. de C.V." se
han detectado faltantes en el inventario del almacn lo que ha generado
incongruencia en el control de inventarios que se lleva en el sistema contra lo
que se tiene de control de inventarios fsico. Lo cual ha demostrado un dficit

42

en un punto muy importante para le empresa, ya que es vital llevar el
adecuado control de inventarios para reducir al porcentaje mnimo las
incidencias de este tipo, como podra ser el que no se registren bien las
entradas y salidas de los productos que se venden.

4.4 Solucin

Nuestro equipo auditor se vio en la tarea de realizar una auditora al
Mdulo de Inventarios del ERP MACROPRO para otorgarles recomendaciones
conforme a la Gua de NIST, Gua de Implementacin Tcnica de Seguridad
en los ERP

Dicha gua nos proporcion la orientacin necesaria para la evaluacin
de procedimientos que permiten llevar a cabo una revisin de aptitud de
seguridad en la implementacin del ERP.

Aunado al proceso que requiri la auditora fue necesaria la
documentacin que avalara cada funcin realizada antes durante, as como la
presentacin de los resultados para mayor detalle consultar Anexo C, donde
se presenta la Cdula nica de Auditora, la cual contiene la documentacin
en orden consecutivo de la misma.

4.4.1 Planeacin

Durante la etapa de planeacin se logro identificar el trabajo a ejecutar
por el equipo auditor, permiti el seguimiento de los avances que ste va
obteniendo; delimita las responsabilidades, evitando duplicacin de funciones
en la auditora y establece los procedimientos especficos por desarrollar.

La planeacin de la auditora se llevo a cabo del 2 al 9 de Agosto del
2010, la cual comprendi los siguientes puntos:

Creacin de plan de trabajo

Para el plan de trabajo se realizo el cronograma de actividades a
desarrollar en el cual se fijo su duracin y encargado de cada una. Las
actividades definidas fueron las siguientes:

Creacin de plan de trabajo.
Junta con la direccin para proponer Auditora.
Redaccin de carta de planeacin.
Creacin de Cedula nica de Auditora.
Entrega de Carta de Planeacin de Auditora.
Junta Inicial con gerencia para obtener informacin de la empresa.
Entrevista con el administrador del sistema ERP.
Determinacin de la Gua, basada en NIST.
Establecer los requerimientos para auditar.

43

Definicin de roles dentro del equipo para realizar la auditora.
Solicitud de cita para la aplicacin del Checklist.
Aplicacin del Checklist al mdulo de Inventario de Refacciones.
Anlisis de resultados.
Realizar reportes y graficas.
Redaccin del informe final.
Entrega de resultados a la empresa.

Asimismo se estableci que el periodo en el que se realizara la auditora
a la empresa sera del 2 de Agosto al 20 de Agosto del 2010. (Ver Anexo D)

Junta con la gerencia para proponer auditora

El equipo auditor se reuni en una junta con la Gerente de la empresa,
Mara Isabel Mojica Gmez, el da mircoles 4 de agosto del ao en curso para
proponer la auditora a la empresa.

Elaboracin y aceptacin de carta de Planeacin

La base de la Carta de Planeacin es el Programa Anual de Control y
Auditora (PACA). En esta, se describi los antecedentes del rea a auditar,
tipo de auditora que el equipo auditor llevo a cabo, el objetivo de dicha
auditora, el alcance, la posible problemtica a la que pueda enfrentarse el
equipo auditor y la estrategia que se tiene.

Tambin se indica los nombres completos del personal asignado a la
auditora y su cargo dentro de esta. La carta fue firmada por la persona que
elabor la carta, que corresponde al jefe del grupo auditor, y la persona que da
el visto bueno a la carta.

La carta de planeacin explica las diferentes actividades a realizar
dentro de la auditora, responsabilidades y autorizaciones para la realizacin de
la misma. Para ms detalle (Ver Anexo E)

Junta Inicial

Se llevo a cabo una junta inicial con la Gerente de la empresa quien nos
dio una introduccin a la empresa, explicndonos su flujo de procesos y el
principal problema con el que se enfrentan. Posteriormente, nos presento a
Herlo Corona quien es administrador del sistema ERP.

Determinacin de Gua NIST (Checklist)

Para el levantamiento de la informacin de la auditora se determino el
checklist basado en la metodologa de NIST, Gua de Implementacin Tcnica
de Seguridad en los ERP, del cual solo usamos 47 mtricas que
consideramos aplicables para la auditora del mdulo de Inventarios. (Ver
Anexo F)


44

Dicha gua nos oriento en la evaluacin de procedimientos que permiten
llevar a cabo una revisin de aptitud de seguridad en la implementacin del
ERP.

Redaccin de Orden de Auditora

La prctica de la auditora se realiz mediante un mandato escrito que
se denomina Orden de Auditora, con las siguientes caractersticas:

a) Dirigirse al director de la empresa.
b) Citar a los auditores que practicarn la revisin, incluyendo al
responsable del rea de auditora.
c) Describir de manera general los alcances de los aspectos y el
periodo por revisar.
d) Estar firmada por el titular del rgano Interno de Control o de Control
Interno, o por quien ste haya designado para tal fin.

La orden de auditora se entreg a quien iba dirigida, obteniendo de esta
persona el acuse de recibo en una copia de la misma. Adems se turnar copia
a las instancias que lo requieran. (Ver Anexo G)

Elaboracin y aceptacin de carta de requerimientos

Se elaboro una carta de requerimientos para solicitar la informacin y
documentacin necesaria para auditar el mdulo de Inventarios del ERP
MACROPRO. (Ver anexo H)

La informacin que se solicito fue:

Procesos del Mdulo.
Lista de usuarios que tienen acceso al Mdulo.
Configuraciones iniciales del ERP.
Controles y /o Polticas de acceso al Mdulo.
Documentacin de actualizaciones.
Permiso para acceso al Mdulo con una cuenta de tipo
administrador.
Permiso para acceso a internet.
Permiso para acceso al servidor y presencia del administrador del
ERP para poder realizar las pruebas a la BD.

Redaccin de Marco conceptual

Se realiz de acuerdo al rea a auditar. Este documento denominado
Marco Conceptual, contiene los siguientes datos: identificacin de la auditora;
rea a auditar; objetivo que se persigue; universo, muestra por revisar y
procedimientos que se desahogarn durante el desarrollo del trabajo, as como
la conclusin a la que lleg el equipo auditor una vez concluida la revisin de
acuerdo con las especificaciones. (Ver Anexo I)


45

Con el Marco Conceptual se logro identificar el trabajo a ejecutar por
parte de equipo auditor, permiti el seguimiento de los avances que ste va
obteniendo; delimit las responsabilidades, evitando duplicacin de funciones
en la auditora y establece los procedimientos especficos por desahogar. Su
integracin dentro de los papeles se inserta en los procedimientos ejecutados
en cada rubro revisado.

4.4.2 Ejecucin de la Auditora

Una vez concluida la planeacin, el equipo auditor se dedico a compilar
la informacin y documentacin que se requiri.

El objetivo de la etapa de ejecucin fue obtener evidencia suficiente del
rea que se audit, para as contar con los elementos suficientes que
permitieron al equipo auditor determinar el grado de razonabilidad de las
situaciones observadas, la veracidad de la documentacin revisada y la
confiabilidad de los sistemas y registros examinados, y con ello emitir una
opinin slida, sustentada y vlida.

A continuacin se explican las actividades realizadas durante la
ejecucin de la auditora que comprenden el periodo del 09 al 13 de Agosto del
ao en curso.

Aplicacin de Gua NIST:

El levantamiento de la informacin de la auditora se baso en la
metodologa de NIST, basndonos en la Gua de Implementacin Tcnica de
Seguridad en los ERP, donde solo usamos ciertas mtri cas que
consideramos aplicables para este caso.

Entrevistas:

Realizamos entrevistas al personal clave como parte del levantamiento
de informacin, las cuales fueron efectuadas a:

Gerente: Mara Isabel Mojica Gmez.
Administrador de ERP: Herlo Corona.

Recepcin de Informacin:

De la documentacin solicitada en la carta de requerimientos solo la
que se menciona a continuacin en forma de lista fue entregada.


46

Diagrama de Procesos del Mdulo.

La siguiente lista muestra la informacin que no se nos fue entregada:


La informacin que se requiri y no se entrego fue debido a que no se
contaba con la documentacin y porque no se tena conocimiento de su
existencia.

Realizacin de Pruebas:

Para la realizacin de las siguientes pruebas fue necesaria la
participacin del Administrador del ERP, para la supervisin y la ayuda
necesaria.

NO. PRUEBAS EVIDENCIAS
1
Intento de acceso al sistema con cuenta de
usuario de tipo administrador y contrasea
errnea.
Nunca se bloque el acceso
despus de 3 intentos
Contraseas de 5 caracteres
Alfanumricos.
2 Revisin de Configuracin Inicial del ERP.
Parmetros de seguridad
correctas para Servidor y Cliente
delgado.
3 Revisin de la informacin de la BD.
BD indexada solo se puede
consultar mediante el ERP.
4 Operaciones dentro del Mdulo. Pantallas del Mdulo.
5 Perfiles de usuarios. 4 tipos de perfiles.

Tabla 4.3 Pruebas realizadas.

Para visualizar las evidencias a ms detalle que fueron detectadas
durante la realizacin de las pruebas, (Ver Anexo J) donde se muestran las
pantallas de configuraciones en el servidor referente a los perfiles de usuarios,
configuraciones del ERP e interfaces del Mdulo de Inventarios.

Hallazgos

Los hallazgos encontrados fueron los siguientes dentro del Mdulo de
Inventarios. En la siguiente tabla se muestran la relacin de los hallazgos con
su causa y efecto.


47

Hallazgo Causa Efecto
Concentracin de
actividades en el
administrador.
No existe Depto. de TI se
contrat un servicio de
Outsourcing en TI.
Al tener una falla grave en el
Mdulo y el administrador no
se pueda localizar, las
posibilidades de prdida de
informacin critica se
incrementan.
Controles Dbiles en el
procedimiento de
administracin de
usuarios.
No se tiene el
conocimiento completo.
Usuarios que no sean
necesarios se encontraran en
la BD como usuarios activos.
Exceso de Confianza
entre los usuarios.

El personal se presta sus
contraseas para tener
acceso al ERP cuando
otro usuario se ausenta.

Prdida de informacin por
error.
Falta de administracin
de la documentacin
existente.
La documentacin la tiene
la empresa consultora del
ERP y la empresa
refaccionaria no la ha
solicitado.
Cuando se requiera revisarla
en caso de emergencia esta
no estar accesible.
Falta de Manual de
usuario.
Usuarios del sistema con
ms de 3 aos son los que
capacitan a nuevos
usuarios.
Usuarios con el manejo
incorrecto de los procesos de
entradas al Mdulo.
Nivel de seguridad medio
en Contraseas.
Se configuraron solo con 5
caracteres alfanumricos,
derivado del exceso de
confianza.
Entrada fcil a intrusos al
descifrar la contrasea de
usuarios.
No existe registro de
auditoras anteriores al
Mdulo.
Se crea que no es
necesaria una rutina de
evaluacin al Mdulo.
No se enriquece polticas ni
controles para los procesos
del Mdulo.
Soporte Tcnico al
Mdulo y de
Actualizacin cada 6
meses.
Estipularon ambas
empresas en el contrato
que la asistencia tcnica
sera cada 6 meses.
Si surge un problema en el
ERP antes de ese lapso
aumenta la probabilidad de
prdidas de informacin.
Falta de documentacin
de Polticas y controles
de procesos y
procedimientos del
Mdulo.
No se tienen diagramas de
procesos para el Mdulo ni
sobre polticas y controles
sobre el mismo.
No se aplican correctamente.

Tabla 4.4 Hallazgos encontrados.


48

4.4.3 Anlisis de Riesgos

Se realizo un anlisis de riesgos de los hallazgos localizados durante la
ejecucin de la auditora, cuyo fin fue determinar la valoracin de los mismos.

Elegimos la metodologa de COBIT debido a que es una de las ms
utilizadas y recomendadas para llevar el anlisis de riesgos. A continuacin, se
muestra el Anlisis de Riesgos:

Nombre del Activo: ERP MACROPRO, MDULO INVENTARIO DE
REFACCIONES.
Central de Suspensiones Gmez S.A de C.V.
FECHA: 11 de Agosto de 2010.

Caractersticas del sistema

Nombre del ERP: MACROPRO Talleres

La versin del software del ERP MACROPRO que actualmente tienen
instalada es la 2.10. Los mdulos que utiliza la empresa son los siguientes:

Contabilidad
Bancos
Nomina
Inventario de refacciones
Compra de refacciones
cuentas por pagar
venta de refacciones
cuentas por cobrar

Para llevar el control de sus operaciones cuentan con el ERP MACROPO, el
cual se implanto desde hace 8 aos.

El ERP es administrado por el Outsourcing consultor Conectivo quien
es el distribuidor del mismo, el sistema ERP no ha sido auditado durante este
tiempo.

Identificacin de amenazas

Amenazas Fuentes:

Amenazas de origen Humano:

No hay servicio de TI hasta que el pueda atender al ERP.
Acceso fcil al mdulo de usuarios inactivos.
Ataques a la integridad de la informacin de forma
accidental.

49

Informacin no accesible en caso necesario.
Usuarios cometen fallas en los procesos del mdulo.
Entrada fcil a intrusos.
Polticas y controles dbiles en aspectos de seguridad.
Fallas acontecidas antes de la fecha de soporte acordada.
Deficiencias en el uso de las polticas y controles.

Amenazas de origen Natural:

Terremotos.

Amenazas Ambientales:

Incendio.
Fallos de luz.
Ubicacin de hardware.

Identificacin de vulnerabilidades potenciales

No existe una segregacin de funciones del administrador del
sistema.
Poco nfasis en control de usuarios activos y no activos.
Prstamo de contraseas.
Documentacin desordenada.
Usuarios con antigedad capacitan a nuevos usuarios.
Configuracin dbil en seguridad de password.
Falta de cultura en aspectos de auditora en informtica.
Mantenimiento eventual.
Las polticas y controles de los procesos del mdulo no estn
documentadas.

Anlisis de Controles

Controles Preventivos:

Existe documentacin sobre la instalacin del ERP.
Se cuenta con documentacin sobre las actualizaciones habidas en
el ERP.
Existen polticas de seguridad en el acceso al ERP.
Existen privilegios en base al nivel y tipo de usuario.
Existe encriptacin de datos.
Se cuenta con respaldos de informacin.

Controles Detectivos:

Conteo de registros.
Controles Correctivos.

50

Determinacin de la Probabilidad

NIVEL DE
PROBABILIDAD
VULNERABILIDADES
Alta
V1. No existe una segregacin de funciones del
administrador del sistema.
Media V2. Poco nfasis en control de usuarios activos y no activos.
Alta V3. Prstamo de contraseas.
Media V4. Documentacin desordenada.
Media V5. Usuarios con antigedad capacitan a nuevos usuarios.
Media V6. Configuracin dbil en seguridad de password.
Alta V7. Falta de cultura en aspectos de auditora en informtica
Media V8. Mantenimiento eventual.
Alta
V9. Las polticas y controles de los procesos del mdulo no
estn documentadas.

Tabla 4.5 Determinacin de la Probabilidad.

Anlisis de Impacto

AMENAZAS
Nivel de Impacto
Integri
dad
Disponibi
lidad
Confidenci
alidad
A1. No hay servicio de TI hasta que el
pueda atender al ERP.
M A B
A2 . Acceso fcil al mdulo de usuarios
inactivos.
A M A
A3. Ataques a la integridad de la
informacin de forma accidental.
A M A
A4. Informacin no accesible en caso
necesario.
B A M
A5. Usuarios cometen fallas en los
procesos del mdulo.
M B M
A6. Entrada fcil a intrusos. A M A
A7. Polticas y controles dbiles en
aspectos de seguridad.
M M M
A8. Fallas acontecidas antes de la fecha de
soporte acordada.
M A B
A9. Deficiencias en el uso de las polticas
y controles.
M B M

Tabla 4.6 Anlisis de Impacto.

Alto= A Medio= M Bajo= B

51

Determinacin del riesgo

Amenaza /
Vulnerabilidad
Probabilidad Impacto
Nivel del
Riesgo
Alto Medio Bajo Alto Medio Bajo
V1. No existe una
segregacin de
funciones del
administrador del
sistema / A1. No hay
servicio de TI hasta que
el pueda atender al ERP.
X X
50
V2 . Poco nfasis en
control de usuarios
activos y no activos / A2 .
Acceso fcil al mdulo
de usuarios inactivos.
X X
25
V3. Prstamo de
contraseas / A3.
Ataques a la integridad
de la informacin de
forma accidental.
X X
100
V4. Documentacin
desordenada / A4.
Informacin no accesible
en caso necesario.
X X
25
V5. Usuarios con
antigedad capacitan a
nuevos usuarios / A5.
Usuarios cometen fallas
en los procesos del
mdulo.
X X
5
V6. Configuracin dbil
en seguridad de
password / A6. Entrada
fcil a intrusos.
X X
50
V7. Falta de cultura en
aspectos de auditora en
informtica / A7.
Polticas y controles
dbiles en aspectos de
seguridad.
X X
50
V8. Mantenimiento
eventual / A8. Fallas
acontecidas antes de la
fecha de soporte
acordada.
X X
25
V9. Las polticas y
controles de los
procesos del mdulo no
estn documentadas /
A9. Deficiencias en el
uso de las polticas y
controles.
X X
50

Tabla 4.7 Determinacin del Riesgo.

52

Probabilidad: Impacto:
Alto=1.0 Alto=100
Medio=0.5 Medio=50
Bajo=0.1 Bajo=10

Escala de riesgo: Alto (> 50 a 100); media (> 10 a 50) de baja (1 a 10)

Elaboracin del Mapa de Riesgos:

Al finalizar el anlisis de riesgos, se identific, evalu y jerarquiz el nivel
de riesgo de los diferentes hallazgos encontrados durante la ejecucin de la
auditora, que de materializarse podran afectar significativamente a la
empresa.

En el mapa de riesgos visualizamos la relacin del grado de impacto y
la probabilidad de ocurrencia detectando los siguientes riesgos: (Ver Anexo K)

Capacitacin deficiente, este riesgo es debido a que los usuarios con
mayor antigedad capacitan a los nuevos usuarios, es podra causar
que los usuarios cometan fallas en los procesos del mdulo.
Contraseas dbiles, su configuracin es dbil en la seguridad del
password, su impacto en caso de suceder seria alto ya que dara acceso
al sistema a intrusos.
Ignorancia en aspecto de auditora en informtica, su probabilidad es
alta ya que la falta de cultura en aspectos de auditora en informtica
provoca polticas y controles dbiles en aspectos de seguridad
informtica.
Documentacin incompleta, esto es porque no se encuentran las
polticas y controles de los procesos del mdulo documentadas lo que
provocara deficiencias en el uso de estas, la probabilidad de que ocurra
es alta.
Interrupcin del proceso del mdulo, este riesgo es considerado alto,
debido a que no existe una segregacin de funciones del administrador
del sistema lo que causa que si falla el servicio de TI se tendr que
esperar a que el administrador pueda atender a la empresa para arreglar
el ERP.
Falta a la confidencialidad por parte de usuarios inactivos, este riesgo es
alto debido al poco nfasis en el control de usuarios activos y no activos
lo que permitira el acceso fcil al mdulo de usuarios inactivos.
Dficit en la disponibilidad de la documentacin, es un riesgo alto ya que
no se encuentra en orden lo que impedira ser consultada cuando sea
necesario.
Mantenimiento eventual, es un riesgo alto porque podran existir fallas
acontecidas antes de la fecha de soporte acordada dentro del mdulo.
Prdida de informacin, es el riesgo ms alto que se identific, se puede
dar debido al exceso de confianza que existe dentro de los empleados
para el prstamo de contraseas, lo cual puede afectar la integridad de
la informacin por ataques con dolo o accidentales.

53

4.4.4 Resultados

La etapa de resultados de la auditora se llevo a cabo del 13 de Agosto
al 20 de Agosto del presente ao.

Durante la etapa de resultados se elaboraron los documentos
denominados cdulas de trabajo, en los que se asientan los datos referentes al
anlisis, comprobacin y conclusin sobre las operaciones examinadas del
mdulo de Inventario de Refacciones. Dichos documentos son base de las
observaciones, conclusiones y recomendaciones del trabajo realizado.

Los resultados de la auditora realizada se clasificaron de la siguiente
manera conforme a la ejecucin de la misma:

Observaciones y Recomendaciones:

La evaluacin de los resultados emiti una opinin que fue plasmada en
cdulas de observaciones donde se describen las irregularidades apreciadas,
sus causas y efectos y las recomendaciones que el equipo auditor propone
para solucionar las problemticas detectadas. (Ver Anexo L)

Una vez realizada la evaluacin al mdulo de Inventario de Refacciones
podemos recomendar lo siguiente para mejorar la seguridad en el mismo:

No. Observacin Causa Efecto Recomendaciones

1
Concentracin
de actividades
en el
administrador.
No existe
Departamento de
TI y se contrat
un servicio de
Outsourcing en
TI.
Al tener una falla
grave en el
Mdulo y el
administrador no
se pueda
localizar, las
posibilidades de
prdida de
informacin
critica se
incrementan.
Segregar funciones en el
manejo del sistema ERP,
es decir, crear un puesto
de TI, dentro de la
empresa.

2
Controles
Dbiles en el
procedimiento
de
administracin
de usuarios.
No se tiene el
conocimiento
completo.
Usuarios que no
sean necesarios
se encontraran
en la BD como
usuarios activos.
Crear una poltica que
administre las cuentas de
usuario.
3
Exceso de
Confianza entre
los usuarios.
El personal se
presta sus
contraseas
para tener
acceso al ERP
cuando otro
usuario se
ausenta.
Prdida de
informacin por
error.
Crear polticas que
refuercen las seguridad
del acceso al ERP.

54

4
Falta de
administracin
de la
documentacin
existente.
La
documentacin
la tiene la
empresa
consultora del
ERP y la
empresa
refaccionaria no
la ha solicitado.
Cuando se
requerira
revisarla en caso
de emergencia
esta no estar
accesible.
Mantener en orden la
documentacin del
sistema, as como las
copias de respaldo de
dicha documentacin.
5
Falta de Manual
de usuario.
Usuarios del
sistema con ms
de 3 aos son los
que capacitan a
nuevos usuarios.
Usuarios con el
manejo
incorrecto de los
procesos de
entradas al
Mdulo.
Actualizar manuales de
usuario, as mismo deben
capacitar con anticipacin
al personal nuevo que
tenga que manipular el
sistema ERP.
6
Nivel de
seguridad medio
en Contraseas.
Se configuraron
solo con 5
caracteres
alfanumricos,
derivado del
exceso de
confianza.
Entrada fcil a
intrusos al
descifrar la
contrasea de
usuarios.
Crear y documentar una
poltica que instruya a los
usuarios sobre que es
una contrasea fuerte.
7
No existe
registro de
auditoras
anteriores al
Mdulo.
Se crea que no
es necesaria una
rutina de
evaluacin al
Mdulo.
No se enriquece
polticas ni
controles para
los procesos del
Mdulo.
Realizar auditoras
informticas por lo menos
cada ao
8
Soporte Tcnico
al Mdulo y de
Actualizacin
cada 6 meses.
Estipularon
ambas empresas
en el contrato
que la asistencia
tcnica sera
cada 6 meses.
S surge un
problema en el
ERP antes de
ese lapso
aumenta la
probabilidad de
prdidas de
informacin.
Elaborar un calendario de
mantenimiento de rutina
peridico al sistema.
9
Falta de
documentacin
de Polticas y
controles de
procesos y
procedimientos
del Mdulo.
No se tienen
diagramas de
procesos para el
Mdulo ni sobre
polticas y
controles sobre el
mismo.
No se aplican
correctamente.
Crear y documentar los
procesos crticos del
mdulo, sus diagramas,
polticas, especificaciones
y controles

Tabla 4.8. Observaciones.

Presentacin del Informe Final:

Concluida la etapa de ejecucin de la auditora, el equipo auditor
comunic a la gerencia general y al administrador del sistema ERP los
resultados determinados durante su intervencin a travs del Informe de
Auditora.

El informe se conformo de los siguientes puntos:

a) Oficio de Envo (Informe Ejecutivo)


55

Fue el documento mediante el cual se oficializ el envo del informe de a
la gerencia general y al administrador del sistema ERP. En este documento se
resumi la problemtica plasmada en las observaciones. Como informe
ejecutivo, describe de manera clara y precisa los principales problemas que
enfrenta el mdulo de Inventario de Refacciones del ERP MACROPRO. (Ver
Anexo M)

b) Cuerpo del Informe

En este apartado se dio a conocer los resultados de los trabajos
realizados de manera breve; su estructura se encuentra conformada de la
siguiente manera: introduccin, objetivo, alcance, resultados, limitantes y
conclusin.

Es el documento formal de hallazgos y recomendaciones. Para mayor
detalle sobre las recomendaciones realizadas a la empresa por cada hallazgo,
consultar (Ver Anexo N)

c) Observaciones

En este apartado se incluyen todas las cdulas de observaciones
comentadas y firmadas por el personal responsable del rea auditada, por el
responsable directo del rea de auditora como evidencia de la supervisin que
realiz y de la formalizacin de su envo al rea auditada.

Entrega de auditora:

Previo a la reunin se entreg una presentacin de la auditora en donde
se muestra de forma secuencial las actividades realizadas durante la misma.

Cierre de la Auditora:

Presentamos en la empresa los hallazgos as como las recomendaciones
determinadas para que se validaran por parte del cliente.

Adems, para llevar a cabo el control de las auditoras se emplearon
dos formatos: Cdula nica de Auditora y Supervisin de la Integracin del
expediente de auditora.

Cdula nica de auditora, por medio de este documento se concentr
la informacin general que se deriv de la revisin: datos de
identificacin.

Supervisin de la Integracin del expediente de auditora, parte
importante de la ejecucin del trabajo de auditora fue alcanzar los

56

objetivos planteados para la revisin, por ello se evalu la auditora
como tal, mediante un cuestionario sencillo, el cual elabor el jefe de
grupo de la auditora; este documento es el de Supervisin de la
Integracin del expediente de auditora, el cual hace referencia a los
puntos que se tomaron en cuenta para seguir el correcto
procedimiento para una mejor evaluacin.

En este cuestionario se destac la planeacin de la auditora, la
elaboracin de roles de trabajo, el cumplimiento de la Gua NIST y la
ejecucin de los trabajos. Para mayor detalle Ver Anexo O.

4.5 Conclusiones

En la actualidad, los sistemas de TI se han convertido en las
herramientas ms poderosas para cualquier organizacin, puesto que apoyan
la toma de decisiones, generando un alto grado de dependencia, as como una
elevada inversin en ellas. Las organizaciones estructuran su informacin en
sistemas de TI, y debido a ello, es de vital importancia que stos funcionen de
forma correcta e ininterrumpida para la productividad y supervivencia futura de
una organizacin.

Por lo anterior, se puede afirmar que la supervivencia y el xito de un
organismo estn directamente relacionados a la administracin adecuada de su
informacin, la tecnologa de informacin y de los controles de evaluacin de la
eficacia y eficiencia de sus sistemas de TI.

Para poder verificar que lo anterior se encuentre de manera adecuada y
asi determinar si la inversin que se ha hecho en los recursos informticos
cumple con los objetivos organizacionales, existe la auditora informtica que
se encarga de valorar los controles y la seguridad de los recursos informticos
para determinar su eficiencia y de ser necesario brinda sugerencias
constructivas de acuerdo a las buenas prcticas, porque en caso de no contar
con ellos de forma eficiente implica gastos excesivos en la resolucin de
problemas, y eso a su vez prdidas financieras.

Como resultado del proyecto de auditora que se realiz al Mdulo de
Inventario de Refacciones del ERP MACROPRO encontramos que no es el
causante en las diferencias entre el almacn y el sistema de la empresa
Central de Suspensiones Gmez S.A. de C.V., por lo tanto, se concluye que
el factor humano tiene un papel importante en esas diferencias.

Como complemento a los resultados obtenidos en este proyecto, se
propusieron sugerencias para crear y fortalecer controles y/o polticas de
seguridad al mdulo auditado, que de ser aplicadas se optimizara la gestin
los recursos relacionados al mismo.


57

ANEXOS


58

ANEXO A

ORGANIGRAMA GENERAL
CENTRAL DE SUSPENCIONES GMEZ S.A. de C.V.

Organigrama General

ORGANIGRAMA DEL DEPARTAMENTO DE ALMACN

Organigrama del departamento de almacn.

ALMACEN
ALMACENISTA
AYUDANTE DE
ALMACEN
FINANZAS
PERSONAL
ADMIMISTRATIVO
DIRECTOR
PERSONAL
CONTABLE
ALMACEN
ALMACENISTAS SERVICIO
VENTAS
PERSONAL DE
MOSTRADOR

59

ANEXO B
Diagrama de Procesos del mdulo de Inventario de
Refacciones


60

Diagramas de Flujo de Datos

Mdulo de inventario de Refacciones


61

ANEXO C
Cedula nica de Auditora

Nmero de auditora: AE- 08/10
Rubro o aspecto auditado: Mdulo de Inventarios de Refacciones.
rea /Empresa: Central de Suspensiones Gmez S.A de C.V.

Fecha de Inicio: 02 de Agosto de 2010. Fecha de Conclusin: 20 de Agosto de 2010.

N D I C E
Concepto
Carpeta Pginas
A
PLANEACIN

A.1
ndice
1 1
A.2
Cdula nica de Auditora
1 1
A.3
Supervisin de la Integracin del expediente de auditora
1 1
A.4
Carta de Planeacin
1 1
A.5
Cronograma
1 1
A.6
Marco conceptual
1 1
A.7
Carta de Requerimientos
1 1

B
INFORMES

B.1
Oficio de envo de Informe y Reportes de Observaciones
1 1
B.2
Informe de Auditora
1 5
B.3
Reporte de Observaciones de Auditora Externa
1 3

C
EJECUCIN

C.1
Orden de auditora
1 2


62

ANEXO D
Plan de Trabajo. Cronograma


63

ANEXO E
Carta de Planeacin
No. de orden de auditora A01-10-CSG Fecha: 2/08/2010
rea a auditar Mdulo de Inventarios de Refacciones del ERP
Clave y rubro auditado: Controles generales de la operacin informtica

Antecedentes
No se cuenta con antecedentes de auditoras en ste rubro efectuadas a la empresa.

Tipo de auditara y objetivo
Auditar el mdulo de inventario refacciones del ERP "MACROPRO" en la empresa "Central de Suspensiones Gmez S.A. de C.V."
en un periodo de un mes, para determinar si el sistema es el causante de las prdidas en el Inventario.

Alcance
Revisar y verificar los controles internos que existan y los que hagan falta de acuerdo con la metodologa NIST el mdulo de
inventario de refacciones.
Problemtica
La falta y/o inoportuna presentacin de la documentacin solicitada, sera factor de desfasamiento y posible disminucin de l os
alcances determinados en la auditora.
Estrategia
Su inicio se formalizar mediante la orden y la firma del acta respectiva, en ese mismo acto ser entregada la solicitud de
informacin; la cual, una vez proporcionada, ser analiza cuantitativa y cualitativamente a efecto de realizar las pruebas sustantivas
y de cumplimiento. Posterior al anlisis y dems procedimientos y tcnicas de auditora aplicados, se recabar nicamente la
documentacin que sustente los hallazgos detectados que debern ser incluidos en el Reporte e Informe de Observaciones.
La auditora est planeada y calendarizada sistemticamente; su ejecucin se realiza conforme a los preceptos y tcnicas
establecidos en la Gua de Implementacin Tcnica de Seguridad en los ERP de NIST, las Normas de Auditora generalmente
aceptadas y los formatos para tal efecto establecidos; el anlisis cuantitativo y cualitativo de la informacin, as como las entrevistas
y/o cuestionarios a aplicados a los responsables de la funcin, servirn para identificar, entre otros aspectos los puntos crticos de
los controles generales en la preparacin, entrada, tratamiento, actualizacin y salida de datos, as como los controles de seguridad
y documentales.

Personal Comisionado
Nombre Iniciales Firma Cargo
pnmf Jefe de grupo
auditor
mmmi Auditor
rflz Auditor
Rosales Santa Rosa Beatriz rsrb Auditor
elabor

visto bueno

Mara Fernanda Prez Nez
(Jefe de Grupo)
Raymundo Santana Alquicira
(Auditor Coordinador)


64

ANEXO F
Checklist aplicado en base a Gua de Implementacin
Tcnica de seguridad de los ERP

Base de Datos
Clave Lista de Instrucciones SI NO Comentarios
ERP000700
El DBA se encargar de la base de
datos (s) relacionados con las
aplicaciones ERP son compatibles
con la base de datos.
X
La base de datos es compatible
con el ERP, Dicha base de datos
est creada en cobol con
especificaciones basadas en la
misma.
ERP000720
El DBA se encargar de la base de
datos especfica de ERP no se
comparte con otras bases de datos
o aplicaciones.
X
El ERP contiene una sola base
de datos, pero algunos
programas toman cierta
informacin para otras
aplicaciones (ejemplo, imprimir
las etiquetas con cdigos de
barras, desde otro software, label
matrix)
ERP000730
El DBA se asegurar que el cifrado
est habilitado en todas las
contraseas.
X
Desde el cliente delgado toda la
informacin entre la cliente y el
servidor esta encriptada.
ERP013900
La Oficina de Auditora Interna
revisar las funciones de
diccionario de datos una vez al mes
para garantizar que slo los
identificadores de usuario
adecuadas ejerza esta funcin.

X

La revisin es dependiendo a si
las necesita la direccin o
cuando hay falla
ERP013350
garantizar los datos de auditora
de aplicaciones ERP es capturada
y mantenida por un ao.
X
No existe documentacin como
tal de auditoras anteriores.
ERP000850:
La Oficina de Auditora Interna y
Administrador de ERP se asegurar
que todos los archivos instalados
con la aplicacin, o creados por la
aplicacin, estn protegidos desde
el nivel de acceso al sistema o la
modificacin por usuarios no
autorizado al sistema.
X
Si estn protegidos, desde el
firewall, tambin con los
permisos de usuario en el
servidor.
ERP010200
El Administrador de ERP se
asegurar que la aplicacin no
almacene las credenciales de
autenticacin en los equipos cliente
despus de una sesin termina.
X
Si genera un archivo con la
informacin de cada sesin
abierta.

65

Configuraciones Iniciales
ERP000800
de parmetros del sistema, que se
encuentran en los archivos de
sistema operativo, se han
establecido correctamente antes de
que el sistema ERP se pone en
produccin.
X
Se revisa minuciosamente toda
la implantacin del ERP.
ERP001500
El IAM se asegurar una gua de
clasificacin actualizada a la fecha
existe para la aplicacin.
X
Existe documentacin de
actualizaciones.
ERP002000
El Administrador de ERP
proporcionar procedimientos
documentados para las
actualizaciones de software
X
Existe la documentacin, pero no
se tiene ordenada. No existe una
copia para la empresa.
ERP011000
El Administrador de ERP y los
desarrolladores se asegurar que la
aplicacin no incluye una excepcin
de error explcito y capacidad de
manejo.
X
Si tiene un mdulo explicito de
errores.
Administracin de Cuentas de Usuarios
ERP000820
La Oficina de Auditora Interna se
asegure la eliminacin de cuentas
de usuario por defecto, el cambio
de sus contraseas para las
contraseas generadas, antes de
pasar a la aplicacin a la
produccin.
X
Las cuentas de usuario, solo se
modifican no se eliminan se
cambian el nombre de usuario y
su contrasea
ERP001700
La Oficina de Auditora Interna, SA,
y el administrador se asegurar de
ID de usuarios ERP estn
deshabilitados despus de 60 das
de inactividad.
X Se modifican los ID de usuarios.
ERP003100
garantizar identificadores de
usuario de aplicacin son nicas.
X
Cada usuario tiene su
identificador nico.
ERP003200
garantizar una informacin como
el nombre y acceso a la informacin
relacionada NO se asocia a cada
identificador de usuario.
X
Se cuenta con la informacin
correspondiente de cada usuario
asociada con su identificador.
ERP003400
encargar de la cuentas del sistema
estn desactivadas despus de tres
intentos fallidos de ingresar.
X
Las cuentas no se desactivan
solo se modifican y no se
bloquean.

66

ERP003600
garantizar a los usuarios sin
privilegios no son capaces de
realizar funciones privilegiadas.
X Existen privilegios por niveles.
ERP013450
garantizar que los cambios a los
identificadores de funciones y los
privilegios o atributos que se
registran.
X
Se registran los identificadores
as como los privilegios.
ERP013900
revisar las funciones de diccionario
de datos una vez al mes para
garantizar que slo los
adecuadas ejerza esta funcin.
X
cuando hay falla
ERP013910
revisar el acceso de administrador
para el transporte y el cambio en el
sistema una vez al mes con el fin de
asegurar que todos los
identificadores de usuario son
vlidos.
X
cuando hay falla
ERP013920
revisar el acceso del desarrollador
una vez al mes con el fin de
garantizar que slo los
autorizado tiene acceso a este.
X
cuando hay falla
ERP003000
garantizar todas las cuentas de
ERP estn protegidos por
contraseas seguras, no
predeterminada.
X
Las contraseas cuentan con
cinco caracteres.
ERP004000
garantizar contraseas de cuentas
de usuario del Departamento de
Defensa se ajusten a la directiva de
contraseas y cada usuario se le
instruye sobre la poltica despus
de recibir una contrasea temporal.
X
Existe una poltica sobre
contraseas solo que debe
especificarse que debe contener
ms de ocho caracteres.
ERP004400

garantizara a los usuarios
Contraseas diferentes a las
ultimas
Cinco contraseas y parmetros del
Sistema se establece para hacer
cumplir la misma.
X
No se aplica ya que no existe
una poltica que indique que
deben

67

ERP004500
garantizar contraseas de
cuentas de usuario expira cada 90
das.
X Las contraseas no expiran
ERP004200
La oficina de Auditora interna y el
administrador se asegurar que las
contraseas ERP son de un mnimo
de ocho caracteres, por lo menos
un carcter no alfanumrico
(especial) de caracteres, un nmero
y los par s del si a se establece en
la aplicacin misma.
X
Las contraseas solo cuentan
con 5 caracteres
Controles de Seguridad
ERP001000
garantizar los controles de
seguridad, requisitos,
responsabilidades y procedimientos
documentados.
X
Existen controles de seguridad
para los procedimientos
ERP011100
El Administrador de ERP y SA se
encargar de la interfaz de
aplicacin son identificados y
protegidos.
X Si estn protegidos.
ERP013000
El Administrador de ERP y la oficina
de Auditora interna pretendern
que todas las actualizaciones de
software de seguridad o la
funcionalidad de seguridad de
software y aplicaciones se registran.
X
Se documenta cada
actualizacin de software de
seguridad.
Controles de Acceso
ERP001100
garantizar funcin de aplicacin de
control de acceso basado impone la
separacin de funciones.
X
Toda la administracin del ERP
recae sobre el agente de
Outsourcing.
ERP001150
garantizar todos los mecanismos
de seguridad disponibles de control
se utilizan en una defensa por
capas.
X
Existen tres capas. 1. Firewall. 2.
login del cliente delgado. 3. login
de usuario del ERP.
ERP001200

La Oficina de Auditora Interna, SA
y el administrador de ERP se
asegurar de que el acceso al
mecanismo, que permite controlar
el sistema de acceso, se restringe a
los encargados de administrar la
seguridad para ese sistema.
X Si existe un control de acceso.
ERP001850
La Oficina de Auditora Interna se
asegurar que procesos
innecesarios por defecto no estn
siendo utilizados y que las
funciones tienen el acceso
necesario al menos privilegiado.
X
Cada funcin tiene una actividad
en especfico y es usada para su
fin.

68

ERP003850
El Administrador de ERP y la
Oficina de Auditora Interna se
encargar de la aplicacin de los
usuarios no pueden sustraerse a la
interfaz de usuario pretende
acceder a los recursos en su
infraestructura de apoyo.
X
Existe solo la interfaz de consulta
para los usuarios limitados.
ERP011400
El administrador de la aplicacin
ERP se asegure de la eliminacin
de privilegios ad hoc de consulta de
los usuarios a travs de la
aplicacin del cliente.
X
Existe el servicio y tambin estn
protegidos.
ERP011500
La Oficina de Auditora Interna no
permite el acceso a las operaciones
o los objetos de autorizacin no se
utiliza con un propsito definido.
X
Solo estn activadas las
transacciones autorizadas.
ERP013500

garantizar violaciones de
seguridad se revisan y se reconcili
basado en los requisitos de acceso
y necesidades de seguridad de
cada individuo.
X
Cada operacin en el sistema
tiene registro del usuario, si se
agreg, modific o cancel un
registro y se hace mal uso de las
actividades
Cambios en el ERP
ERP000860

de cambios en el sistema son
revisadas y aprobadas por la Junta
de Revisin de Cambio (CRB) antes
de su aplicacin.
X
Cada cambio se documenta y se
aprueba por la administracin.
ERP002100

Oficina de Auditora Interna
revisarn todos los cambios del
sistema y de personalizacin antes
de su aplicacin en la produccin
para asegurar que no pongan en
peligro la seguridad del sistema.
X Se instala, se verifica.
ERP005000
garantizar todos los cambios de
produccin de software, hardware y
las vas de comunicacin son
controlados a travs de un proceso
de control de cambios.
X
Si estn controlados, todos los
cambios se realizan a peticin
del administrador del ERP. Antes
de pasar a produccin se hacen
todas las pruebas pertinentes y
en ocasiones se regresa el
programa a produccin varias
veces para que haga las
correcciones. Van documentados
y probados antes de ponerse en
produccin.

69

ERP012000
encargar que la aplicacin ERP de
cdigo, sus cambios son seguidos y
documentados.
X
Si, promedio cada dos meses
hay correcciones y todas son
documentadas.
Funciones del ERP
ERP007000
La Oficina de Auditora Interna y SA
se asegurar que en la aplicacin
se revisan los registros de todos los
das.
X
Como Outsourcing no se revisan
peridicamente. Si hubiera un
departamento de TI, debe ser
una tarea programada.
ERP009300

Administrador de ERP garantizar
el proceso de solicitud elimina
objetos temporales de la memoria o
el disco antes de la aplicacin
termina.
X
Se hace manual con una rutina
en el sistema para borrar
temporales.
ERP010000
que la aplicacin no modifica los
archivos de datos fuera del alcance
de la solicitud.
X El ERP no modifica archivos.
Otros
ERP001400

garantizar el acceso a la
informacin, bienes y recursos slo
se conceden a los usuarios para
apoyar a las organizaciones slo o
mdulos sobre una "necesidad de
conocimiento".
X
No se proporciona informacin
de ningn tipo.
ERP013200
oficina de Auditora interna
garantizaran que las actividades de
los administradores son controlar la
evidencia de mal uso de privilegios
X
Si, es muy importante saber si un
usuario esta abusando de los
privilegios que tiene
Cada operacin en el sistema
tiene registro del usuario, si se
agreg, modific o cancel un
registro


70

ANEXO G
Orden de Auditora

Central de Suspensiones Gmez S.A. de C.V.

Orden No. AE-08/10

Asunto:
Mxico D.F.02 de Agosto de 2010

Seor Jess Mojica Gmez
Director de Central de Suspensiones Gmez S.A. de C.V.

P r e s e n t e

Con objeto de revisar y verificar los controles internos, la seguridad,
integridad, disponibilidad y confidencialidad de la informacin haba dentro del
sistema implantando en dicha empresa, llamado MACROPRO y
especficamente al mdulo de inventario de refacciones. Con la ayuda de la
metodologa NIST se llevar a cabo la revisin No. AE-08/10.

Para tal efecto, se servir proporcionar a los CC. Auditores: Prez Nez
Mara Fernanda, Mojica Martnez Mara Isabel, Reyes Flores Lucia Azucena,
Rosales Santa Rosa Beatriz, los registros, reportes, informes, correspondencia
y dems efectos relativos a sus operaciones y de consecucin de metas que
estimen necesarios, as como suministrarles todos los datos e informacin que
soliciten para la ejecucin de la auditora.

Comunico a usted que la auditora revisara y verificara los controles internos
que existan y los que hagan falta de acuerdo con la metodologa NIST en el
mdulo de inventario de refacciones se practicar a los conceptos de
correspondiente al periodo.


71


Orden No. (2)

- 2

Asimismo, le agradecer girar sus instrucciones a quien corresponda a efecto
de que el personal comisionado tenga acceso a las instalaciones de la empresa
y se le brinden las facilidades necesarias para la realizacin de su cometido. Y
queda apercibido que de no dar las facilidades necesarias, oponerse a la
prctica de la auditora o no proporcionar en forma completa y oportuna los
informes, datos y documentos a los auditores comisionados.

A t e n t a m e n t e

Jefe de Grupo auditor.

Prez Nez Mara Fernanda.

C.c.p. (11)

72

ANEXO H
Carta de Requerimientos

09 de Agosto del 2010

Jess Mojica Gmez
Director

Estimado Herlo:
Por medio de la presente te solicitamos de la forma ms atenta nos
proporciones la siguiente Informacin como parte de las actividades que
requiere la auditora que estaremos realizando en los prximos das al
Mdulo de Inventarios del ERP:
Procesos del Mdulo.
Permiso para acceso al Mdulo con una cuenta de tipo administrador.
Permiso para acceso a internet.
Permiso para acceso al servidor y presencia del administrador del ERP.
para poder realizar las pruebas a la BD.
Pedimos el apoyo para entregar esta informacin en un lapso no mayor a 3
das a partir de la fecha de solicitud, ya sea entrega en archivo y / o
Fotocopias.

Atentamente
Mara Fernanda Prez Nez


73

No. de auditora:
Tipo de auditora:
A01-10-CSG
Especfica
rea a
auditar:
Mdulo de Inventarios de
Refacciones del ERP
Fecha:
Auditor:
02/Agosto/2010
PNMF; MMMI

Rubro:
Controles internos para el mdulo de Inventario de Refacciones.

Objetivo:
Auditar el mdulo de inventario refacciones del ERP "MACROPRO" en la empresa "Central de
Suspensiones Gmez S.A. de C.V." en un periodo de un mes, para determinar si el sistema es el
causante de las prdidas en el Inventario.

Universo:
La totalidad de los recursos de tecnologa de informacin involucrados en los controles internos para el
mdulo de Inventarios de Refacciones.

Muestra:
Se seleccionaron la totalidad de los recursos de tecnologa de informacin del periodo de 2 Agosto al 20
de Agosto del 2010; el universo auditable corresponde al 100%.

Procedimientos:
Para la realizacin de la auditora, fue elaborada una Carta de Planeacin, el Cronograma de Actividades
y un Programa Especfico de Auditora, que detalla secuencial y cronolgicamente las etapas de
planeacin, ejecucin e informe de resultados.

Las tcnicas para su ejecucin sern el estudio general, el anlisis, la inspeccin, la confirmacin, la
investigacin, la declaracin, la observacin y, los ordenamientos establecidos en la Gua de
Implementacin Tcnica de Seguridad en los ERP de NIST, las Normas de Auditora, el Catlogo de
Formatos para la Realizacin de Auditoras, Revisiones, Verificaciones e Inspecciones.

Conclusin:
Se darn a conocer las observaciones con sus causas, efectos, fundamento legal y recomendaciones
correctivas y preventivas propuestas, en los Reportes de Observaciones de Auditora Interna y el Informe
de Auditora respectivo, al finalizar la intervencin.

ANEXO I
Marco Conceptual

EMPRESA Central de Suspensiones Gmez S.A. de C.V.


74

ANEXO J
Evidencias

Nivel de seguridad de los usuarios

A continuacin se muestran las pantallas en las que se puede apreciar
las interfaces del ERP MACROPRO, el acceso al Men de seguridad con el
que cuenta para la gestin de usuarios del Mdulo Auditado.

Nota: estas evidencias fueron resultado de las pruebas que se realizaron con la cuenta de
Supe usuario.

Men de utileras
del sistema
El usuario inserta la clave de
seguridad
Aqu se muestra la
encriptacin

75

Perfiles de usuarios

Logs de operaciones con
relacin a usuarios

La siguiente tabla muestra los perfiles definidos por la empresa:

No. Perfil Privilegios Caractersticas
1 Administrador 4 Agregar, modificar,
consultar en todo el ERP
2 Contabilidad 3 Agregar, modificar,
consultar en todo el ERP
excepto Nomina
3 Mostrador 2 Agregar, consultar en
mdulo de ventas
4 Supe usuario 5 Agregar, modificar, eliminar
y consultar en todo el ERP

La prioridad 80 solo es para vendedores donde tiene activada la parte de
clientes, facturacin, consultas y reportes.

Que
operaciones
estan abiertas
al usuario
ejemplo: 90 y
98 no tiene
acceso a esta
opcin


76

Servidor y Cliente delgado
Como se puede apreciar en la siguiente pantalla, la configuracin inicial del
servidor mostrado los protocolos de seguridad con los que fue levantado el
servicio.

Puertos
abiertos
32
34
Ejemplo: vendedores tiene
solamente las opciones de
agregar, cambiar por tener
80.
La prioridad 85 est
protegida porque no puede
borrar por tener el tipo de
prioridad el usuario.
Nmero
de
usuario

77

Esta pantalla muestra la configuracin inicial del servidor y los medios de
comunicacin con el cliente delgado.

El servidor por correr en ambiente Linux incrementa los niveles de seguridad,
sin embargo no queda exento del riesgo pero estas pantallas son
importantes para evidenciar que las configuraciones del Servidor son
confiables para el control adecuado de riesgos en la integridad, confiabilidad
de la informacin que se gestiona en el Mdulo de Inventarios de refacciones.

Puertos
FTP
SSH
SMTP
SNTP
DNS
HTTPS
UDP
Configuracin de
Puertos en el
servidor

Todos los paquetes
saldrn
enmascarados


78

En este archivo se define la configuracin del cliente delgado y la versin de la
base de datos que se utiliza.

Esta pantalla nos muestra los perfiles de usuarios creados para la empresa
as como la descripcin de cada uno y su nivel de privilegio asignado.

Definicin de la
versin de B.D
(Acucobol)
Definicin de
parmetros
que va a
utilizar el
programa
Termial
servidor
Encriptado

79

Evidencia BD
Usuarios dados de alta en el ERP
En esta pantalla se muestra el folio de la operacin que realizo cada usuario y la fecha en que
la realizo:

En esta pantalla se ve que usuario ingres una operacin al sistema.

Compra
Entrada
Numero de
usuario
(compras)
Folio de la operacin

80

Consulta de artculos en existencia

Consulta de artculos faltantes

Entrada en el Inventario

81

Consulta de orden de venta
Se muestra la factura por la venta de artculos

Evidencia Operaciones en el Mdulo
Interfaces del Mdulo

82

En las siguientes pantallas se muestra el mdulo de compras donde se
generan reportes.


83

Existe evidencia de documentacin de las actualizaciones


84

Las carpetas que muestran la evidencia de que se guardan las actualizaciones
al sistema ERP en uno de los servidores del administrador.

85


86

ANEXO K
Mapa de Riesgos


87

Responsable de rea Auditada Responsable de la Auditora Externa
Jess Mojica Gmez Mara Fernanda Prez Nez
Directora General Jefe de Auditora
Responsable directo Superviso y Reviso
Herlo Corona Mara Isabel Mojca
Administrador del ERP Gerente General

Anexo L
Reporte de Observaciones de Auditora

Fecha de Inicio: 08 de Agosto de 2010.
Observacin, Causa y Efecto Recomendaciones
Concentracin de actividades en el
administrador.

Causa: No existe Departamento de TI y se contrat
un servicio de Outsourcing en TI.

Efecto: Al tener una falla grave en el Mdulo y el
administrador no se pueda localizar, las
posibilidades de prdida de informacin critica se
incrementan.

Delegar funciones en el manejo del sistema
ERP, es decir, crear un puesto de TI, dentro
de la empresa, puesto que representa un
riesgo a disponibilidad de los datos, en caso
de fallo por parte el ERP y del administrador
mismo.

Controles Dbiles en el procedimiento de
administracin de usuarios.

Causa: No se tiene el conocimiento completo.

Efecto: Usuarios que no sean necesarios se
encontraran en la BD como usuarios activos.

Crear una poltica que administre las cuentas
de usuario y que estipule que las cuentas
que ya no se utilicen se den de baja y se
registren nuevas, que se administre y revise
la inactividad de las cuentas.

Exceso de Confianza entre los usuarios.

Causa: El personal se presta sus contraseas
para tener acceso al ERP cuando otro usuario se
ausenta.

Efecto: Prdida de informacin por error.

Crear polticas que refuercen las seguridad
del acceso al ERP, para que los usuarios no
puedan prestar sus contraseas, as mismo
capacitarlos para que comprendan la
importancia de no compartir cuentas de
usuario y as exista un nivel ptimo de
seguridad de la informacin del ERP.

88



Observacin, Causa y Efecto Recomendaciones
Falta de administracin de la documentacin
existente.

Causa: La documentacin la tiene la empresa
consultora del ERP y la empresa refaccionaria
no la ha solicitado.

Efecto: Cuando se requerira revisarla en caso
de emergencia esta no estar accesible.

Mantener en orden la documentacin del
sistema, as como las copias de respaldo de
dicha documentacin.

Falta de Manual de usuario.

Causa: Usuarios del sistema con ms de 3
aos son los que capacitan a nuevos usuarios

Efecto: Usuarios con el manejo incorrecto de
los procesos de entradas al Mdulo.

Actualizar manuales de usuario, para prevenir
algn fallo o en caso de que ocurra alguno se
pueda solucionar sin necesidad de llamar al
Outsourcing, as mismo deben capacitar con
anticipacin al personal nuevo que tenga que
manipular el sistema ERP.
Nivel de seguridad medio en Contraseas.

Causa: Se configuraron solo con 5 caracteres
alfanumricos, derivado del exceso de
confianza.

Efecto: Entrada fcil a intrusos al descifrar la
contrasea de usuarios.

Crear y documentar una poltica que instruya a
los usuarios sobre que es una contrasea fuerte,
como crearla y como asegurarla. Adems de
modificar la configuracin de la aplicacin ERP
para hacer cumplir, como mnimo de ocho
caracteres y que los usuarios se vean obligados
a cambiar su contrasea al menos cada 90 das.

89



Observacin Recomendaciones
No existe registro de auditoras anteriores
al Mdulo.

Causa: Se crea que no es necesaria una rutina
de evaluacin al Mdulo.

Efecto: No se enriquece polticas ni controles
para los procesos del Mdulo.

Realizar auditoras informticas por lo menos cada ao.
Ya que al crear consciencia en los empleados y en la
direccin de la empresa, para manejar la informacin y
vincularla con las polticas, normas y procedimientos de la
misma, es esencial en cualquier empresa que automatiza
sus procesos de negocio. Revisar y comprobar estos
procesos da como resultado encontrar fallas o mejoras en
el sistema de produccin para evitar prdidas monetarias
y de tiempo

Soporte Tcnico al Mdulo y de
Actualizacin cada 6 meses.

Causa: Estipularon ambas empresas en el
contrato que la asistencia tcnica sera cada 6
meses.

Efecto: S surge un problema en el ERP antes de
ese lapso aumenta la probabilidad de prdidas de
informacin.
Elaborar un calendario de mantenimiento de rutina
peridico al sistema para garantizar su ptimo desempeo
y su seguridad, se sugiere que su mantenimiento sea
mensual.
Falta de documentacin de Polticas y
controles de procesos y procedimientos
del Mdulo.

Causa: No se tienen diagramas de procesos para
el Mdulo ni sobre polticas y controles sobre el
mismo.

Efecto: No se aplican correctamente.
Crear y documentar los procesos crticos del mdulo, sus
diagramas, polticas, especificaciones y controles para
que se tenga conocimiento de todo lo ejecutado dentro del
mdulo y se puedan resolver eventualidades que pudieran
afectar los procesos y saber como se pueden resolver
dichas eventualidades.


90

ANEXO M
Oficio de envo (Informe Ejecutivo)

No. de auditora:
Tipo de auditora:
A01-10-CSG
Especfica
rea a
auditar:
Mdulo de Inventarios de
Refacciones del ERP


Mxico D.F.19 de Agosto de 2010
Seor Jess Mojica Gmez
Director de Central de Suspensiones Gmez S.A. de C.V.

De nuestra consideracin:

Tenemos el agrado de dirigirnos a usted a efectos de elevar a su consideracin
el alcance del trabajo de Auditora al mdulo de Inventario de refacciones practicado
del 2 de Agosto al 20 de Agosto del presente, sobre la base del anlisis y
procedimientos detallados de todas las informaciones recopiladas y emitidas en el
presente informe, que a nuestro criterio es razonable.

Segn el anlisis realizado hemos encontrado deficiencias en la administracin
de cuentas de usuario; no existe un manual tcnico de procedimientos; se realizan en
el ao pocas revisiones de mantenimiento y actualizacin al sistema; no existe una
auditora informtica previa; existe concentracin de funciones en el administrador del
sistema ERP.

El detalle de las deficiencias encontradas, como as tambin las sugerencias de
solucin se encuentran especificadas en el documento. La aprobacin y puesta en
prctica de estas sugerencias ayudarn a la empresa a obtener un desempeo ms
eficiente del sistema ERP.

Cabe mencionar que el sistema funciona correctamente y que la forma de
almacenamiento y los medios por los cuales se lleva el debido control de inventarios
fue aprobado por lo que el problema principal que radica en otra parte de la empresa,
por lo tanto se descarta la posibilidad de que el sistema se vea involucrado en esa
deficiencia que ms bien es de carcter humano.

Agradecemos la colaboracin prestada del personal de la empresa durante
nuestra visita, y quedamos a su disposicin para cualquier aclaracin y/o ampliacin
de la presente que estime necesaria.

Atentamente.
Rosales Santa Rosa Beatriz


91

ANEXO N
Informe de Auditora

Mxico, D. F., a 20 de Agosto del 2010.

INFORME DE AUDITORA

Nmero de auditora:
Empresa:

rea especifica:
Nmero de observaciones:
Deficiencias no sujetas a
observacin:
AE08/10
Central de Suspensiones Gmez S.A
de C.V.
ERP MACROPRO
09
0

INTRODUCCIN:
La empresa de Suspensiones Gmez S.A. de C.V. se han detectado
faltantes en el inventario del almacn, por lo que ha generado incongruencia
en el control de inventarios que se lleva en el sistema contra lo que se tiene de
control de inventarios fsico.


OBJETIVO:
Auditar el mdulo de inventario refaccionaria del ERP "MACROPRO" en
la empresa "Central de Suspensiones Gmez S.A. de C.V." en un periodo de
un mes, para determinar si el sistema es el causante de las prdidas en el
Inventario.


92

ALCANCE:

Perodo: 02 de Agosto a 20 de Agosto del 2010.
Porcentaje: El 100% del alcance o muestra determinado.


93

RESULTADOS:
Como resultado de la Auditora al mdulo de Inventario de Refacciones
del ERP MACROPRO realizada a la empresa Central de Suspensiones
Gmez S.A. de C.V., en el periodo comprendido del 2 de Agosto al 20 de
Agosto del ao en curso, podemos manifestar que hemos cumplido con evaluar
cada uno de los objetivos contenidos en el programa de auditora.

Dicho contenido abarca puntos significativos que da a da conllevan
informacin primordial para la empresa dentro del ERP MACROPRO.

La gua de implementacin de tcnicas de seguridad para ERP sujeta temas
como bases de datos, control de accesos, administracin de cuentas de
usuarios, funciones del ERP, cambios en el ERP, configuraciones iniciales y
controles de seguridad.
Bases de Datos:
La base de datos implantada en el sistema ERP MACROPRO, es indexada,
solo consultada y accesada por medio de la interfaz del ERP. En general no
presenta niveles bajos de seguridad, puesto que existe encriptacin desde el
cliente delgado hasta la informacin.
Configuraciones iniciales:
La instalacin de ERP MACROPRO fue supervisada y revisada a detalle por el
administrador del ERP, as mismo las actualizaciones del sistema son
documentadas, solo que dicha documentacin carece de orden, es decir, no se
mantiene en un solo sitio.

Administracin de Cuentas:
A pesar de que existen niveles jerrquicos dentro de las cuentas de usuario,
as como un control de dichas cuentas, falla la administracin en cuanto a s
estas son inactivas o no, as mismo sus contraseas cuentan con deficiencias
en cuanto a seguridad.
Controles de Seguridad:
Existen controles de seguridad para el acceso al ERP y para cada
procedimiento del mismo, dichos controles estn bien implantados y cuentan
con niveles ptimos para su aplicacin, puesto que estn bien protegidas las

94

interfaces de sistema.

Controles de Acceso:

El nivel de seguridad del ERP en cuanto al acceso es alto ya que cuenta con
tres capas para su acceso, cada acceso de cada funcin del ERP es
especfico, es decir, que es usada para el fin que est dirigida, cada acceso
que hace algn usuario se registra, estn protegidos dichos accesos.

Cambios en el ERP:

Los cambios del ERP todos son documentados y son aprobados con
anticipacin por la direccin general, cada cambio se prueba y verifica. Existe
un proceso para dichos cambios.

Funciones del ERP:

Las funciones del ERP no se revisan peridicamente, puesto que es un servicio
de Outsourcing y dicha tarea tiene que ser programada, sus funciones son
especficas.

No se determinaron Deficiencias no sujetas a observacin.

LIMITANTES:
No existen. Se provee toda la informacin necesaria del sistema para la
evaluacin del mdulo de inventario de refacciones.


95

CONCLUSIN:

Como conclusiones podemos definir que:

Al realizar dicha auditora encontramos que el Mdulo de Inventarios no es
el causante en las diferencias entre el almacn y el sistema de la empresa. Sin
embargo el factor humano tiene un papel importante en esas diferencias.

Aplicando la gua NIST, como valor agregado, podemos determinar que
deben adoptar las recomendaciones sobre seguridad en el mdulo como
derivado de los hallazgos encontrados y que deben empezar a aplicarlos en
un lapso no mayor a los 2 meses.

Por nuestra parte las recomendaciones que se hacen a la empresa
Central de Suspensiones Gmez S.A. de C.V. son:

Delegar funciones en el manejo del sistema ERP, es decir, crear un
puesto de TI, dentro de la empresa, puesto que representa un riesgo a
disponibilidad de los datos, en caso de fallo por parte el ERP y del
administrador mismo.

Crear una poltica que administre las cuentas de usuario y que estipule
que las cuentas que ya no se utilicen se den de baja y se registren
nuevas, que se administre y revise la inactividad de las cuentas.

Crear polticas que refuercen la seguridad del acceso al ERP, para que
los usuarios no puedan prestar sus contraseas, as mismo capacitarlos
para que comprendan la importancia de no compartir cuentas de usuario
y as exista un nivel ptimo de seguridad de la informacin del ERP.

Promover que se tenga en orden la documentacin del sistema y que la
direccin tenga una copia de la misma.

Actualizar manuales de usuario, para prevenir algn fallo o en caso de
que ocurra alguno se pueda solucionar sin necesidad de llamar al
Outsourcing, as mismo deben capacitar con anticipacin al personal
nuevo que tenga que manipular el sistema ERP.

Crear, conocer y documentar una poltica que instruya a los usuarios
sobre que es una contrasea fuerte, como crearla y como asegurarla.
Adems de modificar la configuracin de la aplicacin ERP para hacer
cumplir, como mnimo de ocho caracteres y que los usuarios se vean
obligados a cambiar su contrasea al menos cada 90 das.

Realizar auditoras informticas por lo menos cada ao.

Elaborar un calendario de mantenimiento de rutina peridico al sistema

96

para garantizar su ptimo desempeo y su seguridad, se sugiere que su
mantenimiento sea mensual.

Crear y documentar los procesos crticos del mdulo, sus diagramas,
polticas, especificaciones y controles para que se tenga conocimiento
de todo lo ejecutado dentro del mdulo y se puedan resolver
eventualidades que pudieran afectar los procesos y saber cmo se
pueden resolver dichas eventualidades.

Cada sugerencia que se hace es en base a lo observado y recibido por el
administrador del sistema.

ELABORO

Lic. Beatriz Rosales Santa Rosa.
Colaboradora.

AUTORIZ:

Lic. Mara Fernanda Prez Nez.
Jefe de grupo.


97

ANEXO O
Supervisin de la Integracin del expediente de auditora

No. de orden de auditora A01-10-CSG Fecha Inicia 2/08/2010
rea a auditar Informtica Fecha de Conclusin 20/08/2010
Clave y rubro auditado Mdulo de Inventarios de Refacciones del ERP

CONCEPTO
EVALUACIN
COMENTARIOS
SI NO N/A
1. Se encuentra en el expediente de la auditora
la Carta de Planeacin autorizada por el
coordinador responsable de la revisin?

x
2. En la carta de Planeacin para auditar cada
rubro, se incluy el universo de las operaciones,
los alcances, las muestras y los
procedimientos?
x
3. Se cumpli con el Programa de Trabajo? x
4. Fueron adecuadas las bases para determinar
los alcances y muestras de la auditora?
x
5. La auditora se realiz conforme a lo
establecido en la Gua de Auditora NIST y los
formatos establecidos de auditora?
x
6. Se encuentran en papeles de trabajo bien
definidos y soportados legalmente las
observaciones determinadas?
x
7. Existe evidencia fehaciente de que se hayan
revisado los papeles de trabajo de la auditora?
x
8. Los papeles de trabajo fueron elaborados de
acuerdo con las especificaciones de la Gua
respectiva, incluyendo notas aclaratorias y
mostrando claramente los procedimientos
utilizados?
X
9. Se observ durante el desarrollo de la
auditora el apego a las Normas de Auditora ?
x
10. Se cuenta en el expediente con el informe o el
proyecto respectivo en donde consten las
observaciones determinadas en la auditora?
x
11. Los expedientes de la auditora estn
debidamente integrados y completos?
x


98

INDICE DE FIGURAS

Figura 1.1 Fases de la Auditora 15
Figura 1.2 Catalogo de servicios. 18
Figura 2.1. Caractersticas de un ERP 23
Figura 2.2 Mdulos de un sistema de planificacin de recursos
empresariales (ERP) 24

INDICE DE TABLAS

Tabla 4.1 Especificaciones tcnicas del ERP 40
Tabla 4.2 Descripcin general del Servidor... 40
Tabla 4.3 Pruebas realizadas.. 46
Tabla 4.4 Hallazgos encontrados 47
Tabla 4.5 Determinacin de la Probabilidad.. 50
Tabla 4.6 Anlisis Impacto... 50
Tabla 4.7 Determinacin del Riesgo... 51
Tabla 4.8 Observaciones.. 53


99

GLOSARIO

Adaptabilidad:Capacidad de una persona o cosa para adaptarse a un nuevo
medio o situacin.

Accionistas.- El que posee acciones de una compaa.

Aprovisionamiento: Se entiende por aprovisionamiento "el conjunto de
actividades que desarrollan las empresas para asegurar la disponibilidad de los
bienes y servicios externos que le son necesarios para la realizacin de sus
actividades.

Autenticacin: En informtica, acto de establecimiento o confirmacin de un
usuario o sistema como autntico.

Automatizar:Se le denomina as a cualquier tarea realizada por mquinas en
lugar de personas. Es la sustitucin de procedimientos manuales por sistemas
de cmputo.

Base de datos de Backend: Un "backend" es una clase de interfaz de
almacenamiento, y una base de datos es una instancia de un backend. El
servidor slapd puede utilizar arbitrariamente varios backends en una sola vez, y
puede tener arbitrariamente muchas instancias de cada backend (por ejemplo
varias bases de datos) activas por vez.

Base de datos centralizada: Es una base de datos almacenada en su
totalidad en un solo lugar fsico, es decir, es una base de datos almacenada en
una sola mquina y una sola CPU, y en donde los usuarios trabajan en
terminales tontas que slo muestran resultados.

Biotecnologa: La biotecnologa es la tecnologa basada en la biologa,
especialmente usada en agricultura, farmacia, ciencia de los alimentos,
medioambiente y medicina. Se desarrolla en un enfoque multidisciplinario que
involucra varias disciplinas y ciencias como biologa, bioqumica, gentica,
virologa, agronoma, ingeniera, fsica, qumica, medicina y veterinaria entre
otras.

Codificacin: Es el proceso por el cual la informacin de una fuente es
convertida en smbolos para ser comunicada. En otras palabras, es la
aplicacin de las reglas de un cdigo.

Cdigo: un cdigo es una regla para convertir una pieza de informacin (por
ejemplo, una letra, palabra o frase) en otra forma o representacin, no
necesariamente del mismo tipo.

Circuitos de informacin: Detalle del tratamiento de informacin
correspondiente a un proceso en el que interviene uno o varios departamentos.


100

Checklist: o lista de verificacin, es un documento que detalla uno por uno
distintos aspectos que se deben analizar, comprobar, verificar, etc.

Controladores de dominio Windows: Es el centro neurlgico de un dominio
Windows, los controladores de dominio tienen una serie de responsabilidades.
Una de ellas es la autentificacin. La autentificacin es el proceso de garantizar
o denegar a un usuario el acceso a recursos compartidos o a otra mquina de
la red, normalmente a travs del uso de una contrasea.

Eficacia: Del latn eficacia, la eficacia es la capacidad de alcanzar el efecto
que espera o se desea tras la realizacin de una accin

Empowerment: Es un proceso estratgico que busca una relacin de socios
entre la organizacin y su gente, aumentar la confianza responsabilidad
autoridad y compromiso para servir mejor al cliente.

Fiabilidad: El trmino fiabilidad es descrito como "probabilidad de buen
funcionamiento de algo".

Firewall: (Muro de Fuego - Cortafuego). Herramienta de seguridad que
controla el trfico de entrada/salida de una red.

Flujo gramas: Es una representacin grfica de la secuencia de actividades de
un proceso. Adems de la secuencia de actividades, el flujograma muestra lo
que se realiza en cada etapa, los materiales o servicios que entran y salen del
proceso, las decisiones que deben ser tomadas y las personas involucradas
(en la cadena cliente/proveedor).

Genrico: Se aplica al nombre que se refiere a personas o cosas
pertenecientes a conjuntos de seres que tienen las mismas caractersticas

Hackers: Del ingls hack, hachar. Trmino utilizado para llamar a una persona
con grandes conocimientos en informtica y telecomunicaciones y que los
utiliza con un determinado objetivo. Este objetivo puede o no se maligno o
ilegal. La accin de usar sus conocimientos se denomina hacking o hackeo.

Hallazgo: cosa hallada o que se descubre

Host: Son computadores mono o multiusuario que ofrecen servicios de
transferencia de archivos, conexin remota, servidores de base de datos,
servidores WWW, etc.

Integridad: El trmino integridad de datos se refiere a la correccin y
completitud de los datos en una base de datos.

Infraestructura de ERP: Conjunto de elementos o servicios que se consideran
necesarios para el funcionamiento de una organizacin o para el desarrollo de
una actividad.


101

Integracin:La palabra integracin tiene su origen en el concepto latino
integratio. Se trata de la accin y efecto de integrar o integrarse

Logstica: La logstica es una funcin operativa que comprende todas las
actividades y procesos necesarios para la administracin estratgica del flujo y
almacenamiento de materias primas y componentes, existencias en proceso y
productos terminados; de tal manera, que stos estn en la cantidad adecuada,
en el lugar correcto y en el momento apropiado.

Modularidad: Un mdulo es un componente de un sistema ms grande y
opera dentro del sistema independientemente de las operaciones de otros
componentes.

Metrologa: es la ciencia de la medida. Tiene por objetivo el estudio de los
sistemas de medida en cualquier campo de la ciencia. Tambin tiene como
objetivo indirecto que se cumpla con la calidad.

Nanotecnologa: La nanotecnologa es un campo de las ciencias aplicadas
dedicado al control y manipulacin de la materia a una escala menor que un
micrmetro, es decir, a nivel de tomos y molculas (nanomateriales)

Paquete de seguridad RACF: (Resource Access Control Facility).RACF es un
compendio de reglas de seguridad que se crean en base a unas clases. Una
clase es un grupo de objetos los cuales queremos otorgarle un determinado
acceso, por lo que todo objeto perteneciente a la misma clase tendr el mismo
nivel de seguridad. Por objeto se entiende desde un fichero, hasta un slot de
proceso o abstraccin funcional de software, por llamarlo de alguna manera.

Recursos informticos: En informtica, los recursos son las aplicaciones,
herramientas, dispositivos (perifricos) y capacidades con los que cuenta una
computadora

Red Local Windows NT: Microsoft Windows NT Server es un sistema
operativo diseado para su uso en servidores de red de rea local (LAN).
Ofrece la potencia, la manejabilidad y la capacidad de ampliacin de
Windows NT en una plataforma de servidor e incluye caractersticas, como la
administracin centralizada de la seguridad y tolerancia a fallos ms avanzada,
que hacen de l un sistema operativo idneo para servidores de red.

Una red de rea local, red local o LAN (del ingls local area network) es la
interconexin de varias computadoras y perifricos. Su extensin est limitada
fsicamente a un edificio o a un entorno de 200 metros, o con repetidores
podra llegar a la distancia de un campo de 1 kilmetro. Su aplicacin ms
extendida es la interconexin de computadoras personales y estaciones de
trabajo en oficinas, fbricas, etc. Windows NT es una familia de sistemas
operativos producidos por Microsoft, Las letras NT provienen de la
designacin del producto como "Nueva Tecnologa" (New Technology).

Servidor: En informtica, un servidor es una computadora que, formando parte


102

de una red, provee servicios a otras computadoras denominadas clientes.

Sistemas informticos: Un sistema informtico es un conjunto de partes que
funcionan relacionndose entre s con un objetivo preciso. Sus partes son:
hardware, software y las personas que lo usan.

Sistematiza: Organizar un conjunto de elementos dndoles un orden
determinado y lgico. OBS Se conjuga como realizar.

Sistema Operativo: (Operating System). Sistema tipo software que controla la
computadora y administra los servicios y sus funciones como as tambin la
ejecucin de otros programas compatibles con ste.

Sistema de gestin:Un sistema de gestin es una estructura probada para la
gestin y mejora continua de las polticas, los procedimientos y procesos de la
organizacin.

Stocks.- s. existencias, acopio, almacenamiento, inventario, mercanca; tronco;
raza, casta; ganado, existencia de animales; reserva, reservas, stock; acciones,
ttulos, valores; variedad; repertorio; caldo.

Sistemas de Gestin de base de Datos: Es el de manejar de manera clara,
sencilla y ordenada un conjunto de datos que posteriormente se convertirn en
informacin relevante, para un buen manejo de datos.

Tecnologa Adaptativa: La tecnologa es la aplicacin del conocimiento (no
necesariamente la conceptualizacin del aparato tcnico), es la ciencia
aplicada a la vida real, un mtodo o proceso para la manipulacin de un
problema tcnico especfico.

103

BIBLIOGRAFA

Referencias impresas:
AUDITORA INFORMTICA: UN ENFOQUE PRCTICO.
Autores: Emilio del Peso Navarro; Mario G. Piattini Velthuis
Editorial: Ra-ma
2 Edicin ampliada y revisada.

ENTERPRISE RESOURSE PLANNING
Autor: Mary Sumner
Editorial: Prentice Hall
Ao de edicin : 2004

UNA VISIN DE LA AUDITORA SISTMICA INFORMTICA
Autor: lvaro Ivn Jimnez Alzate

SEGURIDAD EN LA INFORMACIN
Autor: ARTERO
Editorial: THOMSON PARANINFO
N Edicin: 1
Ao de edicin: 2008

AUDITORA DE TECNOLOGIAS Y SISTEMAS DE INFORMACION
de PIATTINI VELTHUIS, MARIO
Editorial: RA-MA
N Edicin: 1
Ao de edicin: 2008

SEGURIDAD INFORMATICA: BASICO
Autor: GOMEZ VIEITES, ALVARO
Editorial: STARBOOK EDITORIAL
N Edicin: 1
Ao de edicin: 2010

ERP-GUIA PRCTICA PARA LA SELECCION E IMPLANTACION.
ERP: ENTERPRI SE RESOURCE PLANNNING O SISTEMA DE
PLANIFICACION DE RECURSOS EMPRESARIALES
Autor: LUIS MUNIZ
N Edicin: 1
Ao de edicin: 2004

TEORIA Y PRACTICA DE LA AUDITORA (T. I) (3 ED.): CONCEPTO
Y METODOLOGIA
Autor :SANCHEZ FERNANDEZ DE VALDERRAMA, J. L.

104

N Edicin: 3
Ao de edicin: 2003

MANUAL PRACTICO DE AUDITORA
Autor :MADARIAGA, JUAN M
DEUSTO S.A. EDICIONES
N Edicin: 1
Ao de edicin: 2004

LOS SISTEMAS ERP EN LA PRCTICA
Autor: TOMS MIQUEL, JOS VICENTE
N Edicin: 1
Ao de edicin: 2008

Referencias de Internet:

http://www.infomipyme.com/Docs/GENERAL/Offline/GDE_04.htm

http://www.businessdictionary.com/

http://www.cuentame.inegi.gob.mx/museo/cerquita/redes/seguridad/intro.
htm

http://www.enterate.unam.mx/Articulos/2005/octubre/auditora.htm

http://cisecurity.org/en-us/?route=default.about

http://www.tech-faq.com/es/erp-sistemas.html

http://software.unc.edu.pe

http://www.gestiopolis.com

http://www.erp.com.mx/

http://www.nist.gov

Auditoria Al Módulo de Inventarios

Загружено:

Сведения о документе

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Auditoria Al Módulo de Inventarios

Загружено:

Авторское право:

Доступные форматы

INSTITUTO POLITCNICO NACIONAL

LICENCIADO EN CIENCIAS DE LA INFORMTICA

Вам также может понравиться