¿Qué es la auditoría del ERP?

Tabla de contenidos
1. ¿Qué es la auditoría ERP?
2. ¿Por qué es importante contar con una auditoría ERP?
3. Tipos de auditoría del ERP
4. Objetivos globales de la auditoría ERP
4.1. Integridad
4.2. Confidencialidad
4.3. Privacidad
4.4. Precisión
4.5. Disponibilidad
4.6. Auditabilidad
4.7. Versatilidad
4.8. Mantenimiento
5. Las formas de la auditoría del ERP
5.1. De acuerdo a la extensión
5.1.1. General
5.1.2. Parcial
5.1.3. Por muestreo
5.2. De acuerdo a la profundidad
5.2.1. Integral
5.2.2. Por revisión analítica
5.3. De acuerdo a la sincronización
5.3.1. Permanente
5.3.2. Eventual
Las empresas pueden tener gastos excesivos al no realizar revisiones
periódicas o auditoría del ERP. Las funcionalidades de su sistema de
gestión deben ser auditadas, a fin de que los procesos de negocio no se
vean afectados. El sistema ERP debe satisfacer lo que se propuso al
momento de implementarlo, realizando la integración, almacenamiento
y presentación de la información de las diversas áreas funcionales de
la organización.

¿Qué es la auditoría ERP?

La función de la auditoría del ERP es promover la adecuación,
revisión, evaluación y recomendaciones para el perfeccionamiento
de los controles internos en los sistemas de información de las
empresas. Esta afirmación revela actividades que pueden existir en una
auditoría, subrayando también su importancia en la mejora de los
sistemas de empresas.

Las diversas características de un ERP pueden presentar

complejidad, debido al tipo de negocio y el nivel de exigencia de
personalizaciones y adaptaciones del sistema.

¿Por qué es importante contar con una

auditoría ERP?
Debido a la alta complejidad que los sistemas pueden presentar, los
analistas de los sistemas, pueden no estar preparados para actuación en
la auditoría del ERP. Su capacitación depende de sus conocimientos
del sistema y de la auditoría.

El riesgo de que las empresas sean auditadas es alto, principalmente

las que tienen que rendir cuentas a accionistas, inversores y holdings.
Para estos tipos de empresas, dependiendo del enfoque de la auditoría,
el sistema más objetivo es el ERP (Enterprise Resource Planning).
Este tipo de sistema es solicitado por las auditorías del ERP, pues en él
están presentes los principales controles de registros de los procesos y
las fuente de datos.

La auditoría del ERP comprende los siguientes puntos

1. Captación y entrada de datos.

2. Transmisión de datos.
3. Procesamiento de datos.
4. Almacenamiento.
5. Presentación de la información.
6. Difusión de la información.

Los principales problemas que pueden perjudicar las operaciones de

una empresa se relacionan con datos e información contenidos en un
sistema ERP. Estos datos e información pueden ser: incorrectos,
incompletos, inoportunos, inseguros e inauditables.

Tipos de auditoría del ERP

La auditoría del ERP puede dividirse en dos tipos de actuación:
externas o interna.

 La auditoría externa se caracteriza por tener un grado de

independencia amplio y su trabajo orientado por intereses de
terceros, teniendo que seguir normas y directrices establecidas
por inversores y organizaciones internacionales.
 La auditoría  interna es una actividad de evaluación ordenada
dentro de una organización, cuyas funciones incluyen, entre
otras, examinar, evaluar y monitorear la adecuación y eficacia
de los sistemas

Objetivos globales de la auditoría ERP

La auditoría del ERP tiene algunos objetivos globales. Estos
identifican los controles y evalúan los riesgos de confidencialidad,
integridad, la privacidad, la agudeza, la disponibilidad, la auditoría, la
versatilidad y la manutención Los sistemas. Además el auditor puede
sacar conclusiones respecto del sistema de aplicación y sus respectivas
funciones. A continuación, se conceptualizan los objetivos globales.
Integridad
Dentro de este concepto de la auditoría del ERP, el auditor verifica si
las transacciones son confiables al procesarse. Puede verificar si el
sistema evidencia claramente la completa y correcta visualización de
los datos sin que los usuarios tengan de preocuparse por la veracidad
de los mismos.

Confidencialidad
La confidencialidad de un sistema se refiere a que existen mecanismos
para impedir el acceso personas no autorizadas a información
restringida, de forma accidental o intencional.

Como parte de la auditoría del ERP, el auditor puede basarse en cómo

la empresa se preocupa por la organización de las información dentro
del sistema. Otra comprobación que se puede realizar para medir la
confidencialidad de un sistema ERP es a través de cuestionarios. Estos
cuestionarios deben ser bien elaborados por el equipo de TI, abarcando
las diversas formas de eludir posibles información falsa. Pueden
denunciar si los usuarios tienen acceso indebido a información que no
se ajusta a sus funciones.

Privacidad
El auditor debe asegurarse de que los datos del sistema están seguros
por algún tipo de control. Este control tiene como objetivo la liberar o
impedir a usuarios acceso a determinados programas, pantallas o
rutinas en el sistema ERP, que realmente sean necesarios para
desempeñar sus funciones en la empresa.

Como parte de la auditoría del ERP, el auditor debe discutir la política

de los usuarios del sistema ERP, si existe algún control para las
contraseñas y cuál es la periodicidad de cambios.

Precisión
El sistema ERP debe poseer procedimientos internos de control de
entrada de datos, no permitiendo la inserción de datos que invalidan la
información resultante en los informes emitidos.
Es decir que debe garantizar que no haya pérdidas, errores,
modificaciones no autorizadas o mal uso de información en
aplicaciones. Para ello el sistema debe poseer, de la misma forma que
existe en el objetivo global de Integridad, algunos medios de
validación que son:

 Validaciones de los datos de entrada.

 Control del procesamiento interno.
 Integridad de los mensajes.
 Validación de datos de salida.

Disponibilidad
De alguna forma, la auditoría ERP debe verificar que se encuentre en
línea en la mayor parte tiempo para no comprometer las transacciones.
En la empresa debe existir algún modo para medir la disponibilidad
del sistema, de modo que los usuarios puedan prever y para que el
propio equipo de infraestructura de TI pueda tener documentado en un
repositorio en común junto a analistas de sistemas y analistas de
negocios.

Auditabilidad
El auditor comprueba la existencia de registros referentes al sistema.
El costo puede ser alto para el almacenamiento de registros,
dependiendo el tamaño del sistema ERP que se va a comprobar, y
también por el número de transacciones diarias.

El control de aplicación y de auditoría ERP es responsable de diversos

mecanismos. Para un sistema ERP pueden ser citados:

 Mecanismos de autorización.
 Integridad de la información.
 Control de accesos al sistema.
 Esquemas de seguimiento de las auditorías

La auditabilidad se evalúa para evitar violaciones en el sistema que

estén relacionadas con delitos que afecten a los estatutos
reglamentarios o las obligaciones. Algunos de los subíndice de este
elemento que se aplican a los sistemas ERP en producción son:

Protección de datos y privacidad de la información personal, en este

caso del sistema y del usuario.

Prevención de mal uso de recursos de procesamiento de la

información, en que los usuarios deben ser conscientes de que el uso
inadecuado de los datos extraídos del el sistema, puede acarrear en
serios problemas.

Para que un sistema sea considerado auditable existe cierta

complejidad debido al alto nivel de conocimiento que requerirá de
auditores y su experiencia en poder adecuar herramientas para el
levantamiento de evidencias capaces de relacionar puntos de auditoría
y ser tratados posteriormente.

Versatilidad
La versatilidad está ligada a la usabilidad del sistema. Debe ser dada la
atención para la disposición de los componentes del sistema de
gestión a través de de cuestionarios aplicados a los usuarios pueden
ser levantados posibles mejoras. Además, se debe realizar un análisis
si los nuevos flujos de trabajo de las operaciones de negocio de la
empresa pueden adaptarse al software ERP.

Otro punto importante que debe ser observado es la sincronización de

aplicaciones independiente, particularmente si es fácil de hacerla con
el sistema ERP.

Mantenimiento
Durante el mantenimiento de los sistemas es importante la existencia
de documentación que describen los pasos de cómo proceder en la
actualización del sistema para poder realizar la auditoría del ERP. En
estos documentos es importante que sean destacados los responsables
por las actualizaciones, pruebas que se deben hacer para certificar la
actualización, análisis de módulos impactados, formas de restauración
de datos, en caso de ocurrir algo inesperado, y medio de divulgación
para las áreas interesadas.

Objetivos de una Auditoría del ERP

Las formas de la auditoría del ERP

La forma de la auditoría del ERP depende de su extensión,
profundidad y la sincronización. A continuación, se presenta un
resumen de cada una de las formas.

De acuerdo a la extensión
General
Cuando se trata de toda la organización. Generalmente hay interés de
accionistas e inversores, en el cumplimiento de las normas legales que
regulan el mercado accionario.

Parcial
Cuando cubre específicamente determinadas unidades operativas, que
tiene como características principales detectar desvíos, errores y
fraudes, investigación de existencia o prosperidad de bienes
económicos, evaluación de costos y análisis de solvencia.
Por muestreo
A partir del análisis del control interno, donde se identifican áreas de
riesgo, centrando los exámenes sobre esas áreas.

De acuerdo a la profundidad
Integral
Comprende el examen minucioso de documentos (origen, autenticidad,
exactitud), de los registros, del sistema de control interno (en cuanto a
la eficiencia y adherencia) y de la información final generada por el
sistema.

Por revisión analítica

Siendo una metodología donde auditar es administrar el riesgo,
operando con pistas de auditoría más cortas, para obtener razonable
seguridad en cuanto a la fiabilidad de la información.
En lo que se refiere a la revisión analítica, se puede destacar la pista de
auditoría usada en la evaluación de riesgos, donde el sistema ERP
ofrece registros para que emitir esta opinión.

De acuerdo a la sincronización
Permanente
Se realiza habitualmente, pudiendo ser constante o estacional, pero en
todos los ejercicios fiscales. Este proceso ofrece ventajas a la empresa
auditada y a los auditores, como:
Reducción de los costos con planificación de la auditoría, pues la
ambientación de los auditores con la empresa auditada se vuelve
menos onerosa.
Las áreas de riesgo se detectan en la primera planificación y
seguimiento por los auditores definirá las ya eliminadas y las nuevas
que puedan haber surgido.

Eventual
Sin carácter habitual. Por ejemplo: no se hace todos los años. En este
caso, la auditoría del ERP requiere completa ambientación de los
auditores y de planificación siempre que se hará.
La auditoría eventual es aplicable en el marco de un programa de
auditoría ERP. Puede ser una ayuda en el momento de planificación
del programa de auditoría, en la definición de equipos internos y en la
estructuración de tareas, debido a la forma de tratar la ambientación de
los auditores con la empresa, que en este caso son los propios
funcionarios.

Tanto la empresa a ser auditada como los responsables de la

implantación de la auditoría, debe preparar y planificar la forma ideal
de programa de auditoría a aplicar.
Fuente: Universidade de Caxias do Sul centro de computação e tecnologia da
informação bacharelado em sistemas de informação, Roteiro para elaboração de
programas de auditoria em sistema ERP, Mauricio Modesto Toscan Brandalise.

https://www.evaluandoerp.com/software-erp/conceptos-erp/auditoria-erp/