auditoria al módulo de inventarios

8/12/2019 Auditoria Al Mdulo de Inventarios

1/105

INSTITUTO POLITCNICO NACIONAL

LICENCIADO EN CIENCIAS DE LA INFORMTICA

ESCUELA SUPERIOR DE INGENIER A MEC NICA YELCTRICA

UNIDAD PROFESIONAL INTERDISCIPLINARIA DEINGENIERA Y CIENCIAS SOCIALES Y

ADMINISTRATIVAS

AUDITORA AL MDULO DE INVENTARIOS DEL

ERP MACROPRO

SEMINARIO DE TITULACI NAUDITORA DE LAS TECNOLOGAS DEINFORMACIN Y COMUNICACIONES

M O J I C A M A R T N E Z M A R A I S A B E LP R E Z N E Z M A R A F E R N A N D AR E Y E S F L O R E S L U C I A A Z U C E N AR O S A L E S S A N T A R O S A B E A T R I Z

MXICO D.F. AGOSTO, 2010

T E S I N A

Q U E P A R A O B T E N E R E L T I T U L O D E :

P R E S E N T A N :

A S E S O R


2/105

AUDITORA AL MDULO DE INVENTARIOS DEL ERP MACROPRO

1

IPN

ESCUELA SUPERIOR DE INGENIERA MECNICA Y ELCTRICA

UNIDAD CULHUACAN

TESINA

QUE PARA OBTENER EL TITULO DE: LICENCIADO EN CIENCIAS DE LA INFORMTICA

POR LA OPCION DE SEMINARIO DE TITULACION:AUDITORIA DE LAS TECNOLOGIAS DE INFORMACIN Y COMUNICACIONES

Vigencia: DE S/ESIME_CUL/2009/38/10

DEBERA DESARROLLAR:Mojica Martnez Mara IsabelPrez Nez Mara FernandaReyes Flores Lucia AzucenaRosales Santa Rosa Beatriz


INTRODUCCINLas buenas prcticas informticas dentro de las empresas requieren de ser aplicadas por lamisma, para la optimizacin de sus procesos y cumplimiento de los objetivos de dicha empresapor lo que la aplicacin de una auditoria a los sistema integrales que existan, brindara mltiplesbeneficios a la misma en funcin de proporcionar mtricas que sean factibles para que laempresa cumpla con las buenas prcticas, las cuales son estndares de metodologasreconocidas como lo es NIST. Por lo que aplicar esta metodologa a un sistema ERP es degran utilidad para evaluar un modulo como lo es el de control de inventarios.

CAPITULADO

I. Introduccin a la AuditoraII. Seguridad informtica en un ERPIII. NIST para ERPIV. Auditora al mdulo de inventarios del ERP MACROPRO

de la empresa Central de Suspensiones Gmez SA. DeC.V.

Fecha: Mxico D.F Agosto del 2010

ASESORES

M. EN C. RAYMUNDO SANTANA ALQUICIRA ING. MIGUEL ANGEL MIRANDADirector del Seminario HERNANDEZ

Asesor

M. EN C. LUIS CARLOS CASTRO MADRID

Jefe de la carrera de Ingeniera en Computacin


3/105


2

OBJETIVO

Auditar el mdulo de inventario refaccionaria del ERP "MACROPRO" enla empresa "Central de Suspensiones Gmez S.A. de C.V." en un periodo deun mes, para determinar s el sistema es el causante de las prdidas en elInventario.

PROBLEMTICA DEL PROYECTO

Se han detectado faltantes en el inventario del almacn por lo que hagenerado incongruencia en el control de inventarios que se lleva en el sistemacontra lo que se tiene de control de inventarios fsico.

JUSTIFICACIN

Al realizar la auditora a la empresa Central de Suspensiones GmezS.A. de C.V. apoyada con la metodologa de NIST ayudar a detectar losriesgos y vulnerabilidades que la empresa tiene, sugiriendo nuevos controlesen el mdulo de inventarios que logren reducir, y corregir las irregularidades.

ALCANCE

Revisar y verificar de acuerdo con la metodologa de NISTcorrespondiente para el mdulo de inventarios los controles internos queexistan y los que hagan falta.

II


4/105


3

INDICE

CAPTULO I. INTRODUCCIN A LA AUDITORA 6

1.1 Antecedentes de la auditora 71.2 Concepto de auditora... 81.3 Objetivo de la auditora 81.4 Importancia de la auditora... 81.5 Caractersticas de la auditora 91.6 Tipos de auditora.. 91.7 Auditora Informtica.. 11

1.7.1 Generalidades. 11

1.7.2 Seguridad Informtica en las empresas 131.7.3 Funciones del auditor informtico. 131.7.4 Metodologas.. 141.7.5 Fases de la Auditora. 151.7.6 Beneficios 17

1.8 Auditora a Servicios informticos. 181.8.1 Concepto de servicio informtico. 181.8.2 Clasificacin de Servicios Informticos......... 181.8.3 Definicin de Auditora en los servicios informticos 191.8.4 Importancia de la auditora en los servicios informticos 191.8.5 La auditora y los servicios informticos actuales. 19

CAPTULO II. SEGURIDAD INFORMTICA EN UN ERP 21

2.1 Concepto de ERP. 222.2 Caractersticas de un ERP 222.3 Objetivos del ERP. 232.4 Componentes de un ERP. 232.5 Controles de riesgos en un ERP. 262.6 Metodologas para auditar un ERP.. 27

CAPTULO III. NIST PARA ERP 29

3.1 Antecedentes de NIST. 303.2 Gua de Implementacin Tcnica de Seguridad en los ERP 30

3.2.1 Introduccin 303.2.2 Alcance de evaluacin a un modulo de un ERP.. 31

3.3 Caractersticas de la gua. 33

II


5/105


4

CAPTULO IV. AUDITORA AL MDULO DE INVENTARIOSDEL ERP MACROPRO DE LA EMPRESA CENTRAL DESUSPENSIONES GMEZ S.A. DE C.V.

35

4.1 Introduccin a la Empresa 364.2 Estado Actual.. 374.3 Descripcin de Problemtica. 414.4 Solucin.. 42

4.4.1 Planeacin.. 424.4.2 Ejecucin de la Auditora.. 454.4.3 Anlisis de Riesgos 484.4.4 Resultados.. 53

4.5 Conclusiones. 56

ANEXOS: 57ANEXO A. Organigrama de la empresa Central de Suspensiones GmezS.A. DE C.V...... 58

ANEXO B. Diagramas de procesos y flujos de datos 59

ANEXO C. Cedula nica de Auditora.. 61

ANEXO D. Plan de Trabajo. Cronograma.. 62

ANEXO E. Carta de Planeacin... 63

ANEXO F. Checklist aplicado en base a Gua de Implementacin Tcnica deseguridad de los ERP...... 64

ANEXO G. Orden de auditora 70

ANEXO H. Carta de Requerimientos.... 72

ANEXO I. Marco Conceptual 73

ANEXO J. Evidencias. 74

ANEXO K. Mapa de Riesgos. 85

ANEXO L. Reporte de Observaciones de Auditora Externa.. 86

ANEXO M. Oficio de Envo (Informe Ejecutivo) 89

ANEXO N. Informe Final... 90

ANEXO O. Supervisin de la Integracin del expediente de auditora.. 95

III


6/105


5

INDICE DE FIGURAS... 96

INDICE DE TABLAS. 96

GLOSARIO. 97

BIBLIOGRAFIA.. 101

IV


7/105


6

C PITULO IINTRODUCCIN A LA

AUDITORA


8/105


7

CAPTULO I.INTRODUCCIN A LA AUDITORA

1.1 Antecedentes de la auditora

La auditora surgi de la necesidad de las revisiones contables que sedesarrollaban en el rea financiera de una empresa comercial esto tuvo lugaren Inglaterra donde creci y floreci en el ao 1862 hasta 1905 hacia por el ao1900 se introdujo a estados unidos.

En un principio la auditora de aquel entonces haca hincapi a ciertosobjetivos principalmente a la deteccin y prevencin de errores sin embargo, enlos aos siguientes hubo un cambio en el objetivo de la auditora, continudesarrollndose, no sin oposicin, hasta aproximadamente 1940. En estetiempo "Exista un cierto grado de acuerdo en que el auditor poda y debera no

ocuparse primordialmente de la deteccin de fraude".

Paralelamente al crecimiento de la auditora a medida que los auditoresindependientes se apercibieron de la importancia de un buen sistema decontrol interno y su relacin con el alcance de las pruebas a efectuar en unaauditora independiente, se mostraron partidarios del crecimiento de losdepartamentos de auditora dentro de las organizaciones de los clientes, quese encargara del desarrollo y mantenimiento de unos buenos procedimientosdel control interno, independientemente del departamento de contabilidadgeneral. Progresivamente, las compaas adoptaron la expansin de lasactividades del departamento de auditora interna hacia reas que estn msall del alcance de lossistemas contables.

Y ante la creciente complejidad de las estructuras empresariales y lacreciente dinmica de los mercados y las interrelaciones de las empresas consus mercados, la auditora ha tenido que ir ampliando su campo de aplicacin ysalir del entorno Contable y Financiero, para abordar otras reas operativas yfuncionales de las empresas. Tambin ha tenido que abarcar toda la diversidadde empresas y organismos pblicos y privados que componen el tejidoindustrial, econmico y social de nuestra sociedad. Por lo que, segn el mbitoen que se aplique, hay que hablar de Auditora Contable, Auditora Financiera,

Auditora de Gestin, que comprende las dos anteriores, y, desde hace algunosaos, de auditora de los Sistemas de Informacin.

Los primeros antecedentes de la funcin de la auditora de lainformacin se sitan entre finales de la dcada de los aos 70 y principios delos 80. Realizado auditoras de la informacin a finales de los aos 70, aunqueen aquel momento no utiliz este trmino. Segn la primera referencia altrmino se remonta a 1982 con Robert Taylor, el cual en un documento de esamisma fecha establece que se trata de una auditora de las actividadesformales de la informacin y sus efectos en la organizacin, los beneficios yfacilidades que proporciona a las personas en la realizacin de sus trabajos.
http://www.monografias.com/trabajos901/evolucion-historica-concepciones-tiempo/evolucion-historica-concepciones-tiempo.shtmlhttp://www.monografias.com/trabajos14/control/control.shtmlhttp://www.monografias.com/trabajos12/romandos/romandos.shtml#PRUEBAShttp://www.monografias.com/trabajos6/napro/napro.shtmlhttp://www.monografias.com/trabajos13/mapro/mapro.shtmlhttp://www.monografias.com/trabajos14/matriz-control/matriz-control.shtmlhttp://www.monografias.com/trabajos15/auditoria-interna/auditoria-interna.shtmlhttp://www.monografias.com/trabajos11/teosis/teosis.shtmlhttp://www.monografias.com/trabajos11/teosis/teosis.shtmlhttp://www.monografias.com/trabajos15/auditoria-interna/auditoria-interna.shtmlhttp://www.monografias.com/trabajos14/matriz-control/matriz-control.shtmlhttp://www.monografias.com/trabajos13/mapro/mapro.shtmlhttp://www.monografias.com/trabajos6/napro/napro.shtmlhttp://www.monografias.com/trabajos12/romandos/romandos.shtml#PRUEBAShttp://www.monografias.com/trabajos14/control/control.shtmlhttp://www.monografias.com/trabajos901/evolucion-historica-concepciones-tiempo/evolucion-historica-concepciones-tiempo.shtml


9/105


8

Se consideran entre los factores que permitieron el surgimiento ydesarrollo de la auditora de la informacin, los siguientes:

El desarrollo y proliferacin de los estudios de necesidades en el mbitointernacional en las dcadas de los aos 80 y 90.

El nfasis que ha tenido en los servicios de informacin la contabilidad yel valor del dinero.

1.2. Concepto de auditora

Proceso metodolgico y formal para evaluar y valorar la confianza quese puede depositar en el rea a auditar dentro de la empresa, lo cual se reflejaen un informe donde se estipula la situacin real del rea auditada. Esteproceso consiste en recolectar evidencia para analizarla y poder determinar siel sistema de informacin, rea de TI o cualquier otro activo de la empresarealicen las operaciones de la empresa acorde a los objetivos del negocio y elmanejo de la informacin as como el flujo de la misma.

1.3 Objetivo de la auditora

Su objetivo radica en la ayuda que brinda para los directivos de laempresa, para que sta realice sus funciones de la mejor forma posible conprocesos seguros a diferentes niveles, desde estratgicos hasta operacionales.El manejo de la informacin de forma clara y autentica resulta de una buena

auditora donde surgen las recomendaciones de buenas prcticas como apoyopara lograr que la informacin cumpla con las caractersticas debidas, as comola satisfaccin de controles, polticas, objetivos del negocio; bajo la gua de unaadecuada metodologa durante la auditora para la optimacin de los recursosacorde al tipo de auditora aplicada.

Por lo que la auditora se vuelve necesaria, ya sea interna o externa,como parte de las actividades para la conservacin de un buenfuncionamiento de la empresa y que sta tenga las caractersticas de:

Eficiencia Eficacia Rentabilidad Seguridad

1.4 Importancia de la auditora.

La importancia de llevar a cabo una auditora dentro de una organizacintrae consigo una serie de beneficios reales para las situaciones que afecten laseguridad, integridad, confidencialidad de la informacin de cada organizacin.


10/105


9

Llevar a cabo una auditora dentro de una organizacin es muyimportante, porque sin la prctica de una auditora no se tiene la plenaseguridad de que la informacin, los activos, los recursos y los procesos dentrode la misma sean reales y confiables.

Una auditora adems, evala el grado de eficiencia y eficacia con quese desarrollan las tareas administrativas y el grado de cumplimiento de losplanes y orientaciones de la organizacin.

Es la auditora que define con bastante razonabilidad, la situacin real dela empresa.

1.5 Caractersticas de la auditora.

Es objetiva: significa que es imparcial, tiene una actitud mentalindependiente, sin influencias personales ni polticas.

Es Sistemtica y profesional: La auditora debe ser cuidadosamenteplaneada y llevada a cabo por profesionales conocedores del ramo quecuentan con la capacidad tcnica y profesional requerida, los cuales se atienena las normas de auditora establecida.

El desarrollo de la auditora se lleva a cabo cumpliendo en forma estrictalos pasos que contienen las fases del proceso de la auditora, existen diversasmetodologas, normas, y buenas prcticas para llevar a cabo el proceso con

detalle en cada unidad auditada.

Es constructiva: es decir, siempre buscara mejorar y/o corregir lasdebilidades, que se encuentren amenazando a la organizacin.

Finaliza con la elaboracin de un informe escrito que contiene losresultados de la auditora practicada, el cual debe conocer de previo la personaauditada, para que tenga a bien hacer las correspondientes observaciones delmismo; adems el informe contiene las conclusiones y debilidades tendientes ala mejora de las debilidades encontradas.

1.6 Tipos de auditoras

A continuacin se presenta una clasificacin de diferentes tipos deauditoras, las cuales se encuentran clasificadas por diferentes factores.

Por el origen de quien hace su aplicacin: Externa Interna


11/105


10

Por el rea en donde se hacen: Auditora Financiera Auditora Administrativa Auditora Operacional Auditora Gubernamental

Auditora Integral Auditora de Sistemas

Por rea de especialidad: Auditora Fiscal Auditora Laboral Auditora Ambiental Auditora Mdica Auditora a Inventario Auditora a Caja Chica Auditora en Sistemas

Especializadas en Sistemas Computacionales: Auditora Informtica Auditora con la Computadora Auditora sin la Computadora Auditora a la Gestin Informtica Auditora alrededor de la computadora Auditora en seguridad de sistemas Auditora a sistemas en red

A continuacin mencionamos los principales tipos de Auditora, estosson:

a) Auditora financiera:

Es el examen de los estados financieros de una empresa, con lafinalidad de emitir una opinin profesional sobre los estados financieros en suconjunto, es decir que presentan o no razonablemente la posicin financiera dela empresa y sus resultados de sus operaciones

b) Auditora operativa:

Es la auditora de las causas relativas nuevas, se ocupa de estudiar silas medidas necesarias han sido tomadas cautelosamente, dentro de estaauditora se encuentra:

Auditora General.-es el examen constructivo de una empresa o ente. Auditora Administrativa.- es el examen que se realiza para ver la

veracidad de los estados financieros.

La extensin de todas las operaciones no incide en el rea financiera.

Tambin la Auditora operativaes el examen en la que una empresa oparte de ella con la finalidad de evaluar deficiencia, efectividad y


12/105


11

economa de sus actividades en funcin de los objetivos o metas trazadas,comprendiendo bsicamente la evaluacin de los controles administrativos.

c) Auditora gubernamental:

Es aquella que se aplica en las entidades pblicas y es efectuada por laContralora General de la Repblica y otros organismos u oficinas de AuditoraInterna, su objetivo principal es la de valuar los recursos humanos y financierosde acuerdo a los objetivos vigentes.

d) Segn el personal:

Auditora interna.- es aquella que un profesional de auditora quelabora. enla misma empresa auditada, evala el desempeo y cumplimiento deactividades, operaciones y funciones y emitir un dictamen de carcter

domsticosobre las actividades de la empresa.

Auditora externa.-se refiere a los exmenes de Auditora que realizalas firmas independientes a la empresa auditada.

e) Auditora fiscal:

Consiste en verificar el cumplimiento de las leyes fiscales, revisando elcorrecto y oportuno pago de los diferentes impuestos y obligaciones fiscales delos contribuyentes desde el punto de vista fsico (SHCP), direcciones otesoreras de hacienda estatales o tesoreras municipales.

f) Auditora informtica:

Evala y comprueba los controles y procedimientos informticos mscomplejos, desarrollando y aplicando tcnicas mecanizadas de auditora,incluyendo el uso de software.

1.7 Auditora Informtica

1.7.1 Generalidades

Concepto

La auditora informtica es el proceso de recoger, agrupar y evaluarevidencias para determinar si un sistema de informacin salvaguarda el activoempresarial, mantiene la integridad de los datos, lleva a cabo eficazmente losfines de la organizacin, utiliza eficientemente los recursos, y cumple con lasleyes y regulaciones establecidas. Tambin permiten detectar de formasistemtica el uso de los recursos y los flujos de informacin dentro de unaorganizacin y determinar qu informacin es crtica para el cumplimiento de sumisin y objetivos, identificando necesidades, duplicidades, costes, valor y


13/105


12

barreras, que obstaculizan flujos de informacin eficientes.

Caractersticas

Lainformacin de la empresa y para la empresa, siempre importante, seha convertido en un Activo Real de la misma, como sus Stocks o materiasprimas si las hay. Por ende, han de realizarse inversiones informticas, materiade la que se ocupa la Auditora de Inversin Informtica.

Del mismo modo, los Sistemas Informticos han de protegerse de modoglobal y particular: a ello se debe la existencia de la Auditora de SeguridadInformtica en general, o a la auditora de Seguridad de alguna de sus reas,como pudieran ser Desarrollo o Tcnica de Sistemas.

Cuando se producen cambios estructurales en la Informtica, se

reorganiza de alguna forma su funcin: se est en el campo de la Auditora deOrganizacin Informtica.

Estos tres tipos de auditoras engloban a las actividades auditoras quese realizan en una auditora parcial. De otra manera: cuando se realiza unaauditora del rea de Desarrollo de Proyectos de la Informtica de unaempresa, es porque en ese Desarrollo existen, adems de ineficiencias,debilidades de organizacin, o de inversiones, o de seguridad, o alguna mezclade ellas.

Importancia

Las auditoras son necesarias por diversos motivos, y entre los msimportantes podemos citar los siguientes:

Ofrecer la seguridad a los propietarios de las empresas, o a las partesinteresadas en las organizaciones auditadas (accionistas), o a losresponsables de sus actividades, de la fiabilidad de los estadosfinancieros que se les presentan, en la medida indicada por el auditor ensu informe.

Ofrecer la seguridad a otros posibles usuarios de los estadosfinancieros, de la fiabilidad de los estados financieros que se lespresentan, en la medida indicada por el auditor en su informe. Estosusuarios pueden ser: acreedores, entidades financieras, personal,Hacienda Pblica, inversores potenciales e institucionessupranacionales.

Cuando se realiza una venta o cambio de titularidad o liquidacin de unaempresa, es necesario conocer la fiabilidad de la valoracin de dichaempresa.

Cuando se quiere acceder a subvenciones, o intervenir en proyectos dedesarrollo o produccin, promovidos por instituciones pblicas

nacionales o supranacionales, suele haber el requisito que obliga a


14/105


13

efectuar una auditora lo ms completa posible. Segn los pases y el mbito en que se mueve la empresa, hay

obligacin legal de efectuar auditoras de forma peridica.

1.7.2 Seguridad Informtica en las empresas

El garantizar que los recursos informticos de una compaa estndisponibles para cumplir sus propsitos, es decir, que no estn daados oalterados por circunstancias o factores externos, es una definicin til paraconocer lo que implica el concepto de seguridad informtica.

En trminos generales, la seguridad puede entenderse como aquellasreglas tcnicas y/o actividades destinadas a prevenir, proteger y resguardar loque es considerado como susceptible de robo, prdida o dao, ya sea demanera personal, grupal o empresarial.

En este sentido, es la informacin el elemento principal a proteger,resguardar y recuperar dentro de las redes empresariales.

La importancia de la seguridad informtica en las empresas es por laexistencia de personas ajenas a la informacin, tambin conocidas comopiratas informticos o hackers, que buscan tener acceso a la red empresarialpara modificar, sustraer o borrar datos.

Tales personajes pueden, incluso, formar parte del personal

administrativo o de sistemas, de cualquier compaa.

1.7.3 Funciones del auditor informtico

Las funciones que el auditor informtico debe realizar contemplan unamplio abanico de actividades objetivas, algunas de las cuales se enumeran acontinuacin:

Verificacin del control interno, tanto de las aplicaciones como de lossistemas informticos, centrales y perifricos.

Anlisis de la gestin de los sistemas de informacin desde un punto devista de riesgo de seguridad, de gestin y de efectividad de la gestin.

Anlisis de la integridad, fiabilidad y certeza de la informacin a travsdel anlisis de las aplicaciones. Esta funcin, que la vienendesempeando los auditores informticos, estn empezando ya adesarrollarla los auditores financieros.

Auditora del riesgo operativo de los circuitos de informacin. Anlisis de la gestin de los riesgos de la informacin y de la seguridad

implcita. Verificacin del nivel de continuidad de las operaciones (a realizar

conjuntamente con los auditores financieros). Anlisis del estado tecnolgico de la instalacin revisada y de las


15/105


14

consecuencias empresariales que un desfase tecnolgico puedaacarrear.

Diagnstico sobre el grado de cobertura que dan las aplicaciones a lasnecesidades estratgicas y operativas de informacin de laorganizacin.

Revisar y juzgar los controles implantado en los sistemas de informacinpara verificar su adecuacin a las rdenes e instrucciones de laDireccin, requisitos legales, proteccin de la confidencialidad ycobertura ante errores y fraudes.

Revisar y juzgar el nivel de eficacia, utilidad, fiabilidad y seguridad de losequipos e informacin.

El auditor evala y comprueba en determinado tiempo, los controles yprocedimientos informticos ms complejos, desarrollando y aplicandotcnicas mecanizadas de auditora, incluyendo el uso de software deauditora y otras tcnicas asistidas por la computadora.

1.7.4 Metodologas

Todas las metodologas existentes desarrolladas y utilizadas en laauditora, se puede agrupar en dos grandes familias:

Cuantitativas:Basadas en un modelo matemtico numrico que ayudaa la realizacin del trabajo, estn diseadas par producir una lista deriesgos que pueden compararse entre s con facilidad por tenerasignados unos valores numrico. Estn diseadas para producir unalista de riesgos que pueden compararse entre si con facilidad por tenerasignados unos valores numricos. Estos valores son datos deprobabilidad de ocurrencia de un evento que se debe extraer de unriesgo de incidencias donde el nmero de incidencias tiende al infinito.

Cualitativas:Basadas en el criterio y raciocinio humano capaz de definirun proceso de trabajo, para seleccionar en base al experienciaacumulada. Puede excluir riesgos significantes desconocidos (dependede la capacidad del profesional para usar el checklist/gua). Basadas enmtodos estadsticos y lgica borrosa, que requiere menos recursoshumanos / tiempo que las metodologas cuantitativas.

Metodologas en Auditora Informtica.

Las metodologas de auditora informtica son de tipocualitativo/subjetivo. Se puede decir que son subjetivas por excelencia. Estnbasadas en profesionales de gran nivel de experiencia y formacin, capaces dedictar recomendaciones tcnicas, operativas y jurdicas, que exigen en granprofesionalidad y formacin continua. Se clasifican en dos tipos lasmetodologas para la auditora informtica:

Controles Generales.- Son el producto estndar de los auditoresprofesionales. El objetivo aqu es dar una opinin sobre la fiabilidad de

los datos del computador para la auditora financiera, es resultado esescueto y forma parte del informe de auditora, en donde se hacen notar


16/105


15

las vulnerabilidades encontradas. Estn desprestigiadas ya quedependen en gran medida de la experiencia de los profesionales que lasusan.

Metodologas de los auditores internos.- Estn formuladas porrecomendaciones de plan de trabajo y de todo el proceso que se debe

seguir. Tambin se define el objetivo de la misma, que habr quedescribirlo en el memorando de apertura al auditado. De la misma formase describe en forma de cuestionarios genricos, con una orientacin delos controles a revisar. El auditor interno debe crear sus metodologasnecesarias para auditar los distintos aspectos o reas en el plan auditor.

En la actualidad existen tres tipos de metodologas de auditorainformtica:

R.O.A. (RISK ORIENTED APPROACH), diseada por Arthur Andersen. CHECKLISTo cuestionarios.

AUDITORA DE PRODUCTOS (por ejemplo, Red Local Windows NT;sistemas de Gestin de base de Datos DB2; paquete de seguridadRACF, etc.).

En s las tres metodologas estn basadas en la minimizacin de losriesgos, que se conseguir en funcin de que existan los controles y de questos funcionen. En consecuencia el auditor deber revisar estos controles y sufuncionamiento.

1.7.5 Fases de la Auditora

Las fases que presenta una auditora informtica son las siguientes: (Verfigura 1.1)

Figura 1.1 Fases de la Auditora.

Fase I:

Conocimientos del Sistema

Fase II:

Anlisis de transacciones y recursos

Fase III:

Anlisis de riesgos y amenazas

Fase IV:

Anlisis de controles

Fase V: Evaluacin de Controles

Fase VI:

El Informe de auditoria


17/105


16

Fase I: Conocimientos del Sistema:Aspectos Legales y Polticas Internas.

Sobre estos elementos est construido el sistema de control y por lotanto constituyen el marco de referencia para su evaluacin.

Caractersticas del Sistema Operativo. Organigrama del rea que participa en el sistema Manual de funciones de las personas que participan en los

procesos del sistema. Informes de auditora realizadas anteriormente

Caractersticas de la aplicacin de computadora Manual tcnico de la aplicacin del sistema Funcionarios (usuarios) autorizados para administrar la aplicacin Equipos utilizados en la aplicacin de computadora Seguridad de la aplicacin (claves de acceso)

Procedimientos para generacin y almacenamiento de losarchivos de la aplicacin.

Fase II: Anlisis de transacciones y recursos: Definicin de las transacciones.

Dependiendo del tamao del sistema, las transacciones se dividen enprocesos y estos en subprocesos. La importancia de las transacciones deberser asignada con los administradores.

Anlisis de las transacciones. Establecer el flujo de los documentos

En esta etapa se hace uso de los diagramas de flujo, ya que facilitala visualizacin del funcionamiento y recorrido de los procesos. Anlisis de los recursos. Identificar y codificar los recursos que participan en el sistemas

Relacin entre transacciones y recursos.

Fase III: Anlisis de riesgos y amenazas: Identificacin de riesgos. Daos fsicos o destruccin de los recursos. Prdida por fraude o desfalco. Extravo de documentos fuente, archivos o informes.

Robo de dispositivos o medios de almacenamiento. Interrupcin de las operaciones del negocio. Prdida de integridad de los datos. Ineficiencia de operaciones. Errores.

Identificacin de las amenazas: Amenazas sobre los equipos. Amenazas sobre documentos fuente. Amenazas sobre programas de aplicaciones.

Relacin entre recursos/amenazas/riesgos.La relacin entre estos elementos deber establecerse a partir de la

observacin de los recursos en su ambiente real de funcionamiento.


18/105


17

Fase IV: Anlisis de controles: Codificacin de controles.

Los controles se aplican a los diferentes grupos utilizadores derecursos, luego la identificacin de los controles debe contener una codificacin

la cual identifique el grupo al cual pertenece el recurso protegido. Relacin entre recursos/amenazas/riesgos.

La relacin con los controles debe establecerse para cada tema(Recurso/Amenaza/Riesgo) identificado. Para cada tema debe establecerseuno o ms controles.

Anlisis de cobertura de los controles requeridos.Este anlisis tiene como propsito determinar si los controles que el

auditor identific como necesarios proveen una proteccin adecuada de losrecursos.

Fase V: Evaluacin de Controles: Objetivos de la evaluacin. Verificar la existencia de los controles requeridos. Determinar la operatividad y suficiencia de los controles existentes

Plan de pruebas de los controles. Incluye la seleccin del tipo de prueba a realizar. Debe solicitarse al rea respectiva, todos los elementos necesarios

de prueba. Pruebas de controles. Anlisis de resultados de las pruebas.

Fase VI: El Informe de auditora: Informe detallado de recomendaciones. Evaluacin de las respuestas. Informe resumen para la alta gerencia.

Este informe debe prepararse una vez obtenidas y analizadas lasrespuestas de compromiso del rea.

Introduccin: objetivo y contenido del informe de auditora. Objetivos de la auditora. Alcance: cobertura de la evaluacin realizada. Opinin: con relacin a la suficiencia del control interno del sistema

evaluado.

Hallazgos. Recomendaciones.

Fase VII: Seguimiento de las Recomendaciones: Informes del seguimiento. Evaluacin de los controles implantados.

1.7.6 Beneficios

Los beneficios que brinda la auditora informtica son:


19/105


18

Contar con una comprensin de la situacin actual de la entidad, y desus procesos de control.

Obtener una visin independiente sobre vulnerabilidades, exposiciones yel nivel de diseo de controles y los Riesgos.

Recibir un plan de mitigacin de los principales factores de riesgo

(considerando vulnerabilidades e impactos) para resolver lasexposiciones de control identificadas y mitigar tales riesgos. Mejora de la imagen pblica de la empresa. Genera confianza en los usuarios sobre la seguridad y control de los

servicios de TI. Optimiza las relaciones internas y del clima de trabajo. Disminuye los costos de la mala calidad (reprocesos, rechazos,

reclamos, entre otros). Genera un balance de los riesgos en TI. Realiza un control de la inversin en un entorno de TI, a menudo

impredecible. Aporta un aumento en la productividad y mejora el rendimiento.

1.8 Auditora a Servicios informticos

1.8.1 Concepto de servicio informtico

Servicio: Es un conjunto de actividades que buscan responder a lasnecesidades de un cliente o de alguna persona comn.

Informtica: Es la ciencia aplicada que abarca el estudio y aplicacindel tratamiento automtico de la informacin, utilizando sistemascomputacionales, generalmente implementados como dispositivos electrnicos.

Servicio informtico: Es un conjunto de actividades o aplicacionesenfocadas a brindar un servicio especfico que procesa automticamente lainformacin, para cumplir con las expectativas del cliente.

1.8.2 Clasificacin de servicios informticos

La clasificacin de los servicios informticos o catalogo de serviciosinformticos se compone de los siguientes puntos: (Ver Figura 1.2)

Figura 1.2 Catalogo de servicios.

Servicios

Aplicaciones

Software

Hardware


20/105


19

Hardware. Corresponde a todas las partes fsicas y tangibles de unacomputadora, cualquier elemento fsico involucrado.

Software. Conjunto de instrucciones o programas que forman el sistemadel computador.

Aplicaciones. Est diseado y escrito para realizar tareas especficaspersonales empresariales o cientficas.

Servicios.Es un conjunto de actividades que buscan responder a lasnecesidades de un cliente o de alguna persona comn

.1.8.3 Definicin de Auditora en los servicios informticos.

Auditar servicios informticos es una tarea compleja, pero no imposible,

existen metodologas que ayudan a cada uno de los servicios, a ser auditados,ya que en la informtica existen miles de servicios que ofrecen unaautomatizacin en los procesos de las organizaciones y que obviamente sondistintos.

Existen diversas instituciones que establecen guas y normas queayudan a realizar adecuadamente las auditoras dentro de cada servicioinformtico.

1.8.4 Importancia de la auditora en los servicios informticos.La importancia de llevar a cabo una auditora dentro de un servicio

informtico, es fundamental ya que se logran detectar vulnerabilidades,estabilizar los sistemas, corregir las fallas y ampliar las medidas de seguridad,as como salvaguardar los activos de las empresas que ofrecen y demandanservicios informticos.

Como se sabe llevar a cabo una auditora dentro de una empresa ydentro de cada servicio informtico no es nada sencillo, pero es esencial quese implanten dichas auditoras para la mejora constante del servicio as como

de la empresa.

1.8.5 La auditora y los servicios informticos actuales.

Con el paso del tiempo se han ido aumentando diversos serviciosinformticos que estandarizan y engloban de una forma ms practica eltratamiento de la informacin, como ejemplo tenemos a los ERP, que tan soloimplantando uno de estos servicios dentro de una organizacin, manipula deforma completa, los proceso habidos dentro de la misma y que realizan confacilidad la administracin y control de la empresa.


21/105


20

Las Compaas, Corporaciones e Instituciones han implementadocontroles, roles y responsabilidades, orientados a garantizar la integridad,consistencia, exactitud y confiabilidad de la informacin, que requieren quesean revisados y/o auditados en base a modelos de control tales como COSO,COBIT, ITIL, NIST, ISO17999, BS25999.

Los objetivos de la Auditora Informtica, es proveer apoyo a losauditores, desarrollar revisin de tecnologa, desarrollar investigacionesasociadas a fraudes, brindar soporte de evaluaciones de riesgos durante losproyectos de tecnologa y brindar asesora de alto impacto a la gerencia.

La auditora dentro de estos servicios tiene que actualizarse y crearnuevos mrgenes y guas para cada uno de los nuevos servicios y as lograruna excelente revisin de cada servicio.


22/105


21

C PITULO II

SEGURIDAD

INFORMTICA EN UNERP


23/105


22

CAPTULO IISEGURIDAD INFORMTICA EN UN ERP

2.1 Concepto de ERP

Enterprise Resourse Planning:

Se define como un sistema de gestin de informacin que integran yautomatizan muchas de las practicas de negocio asociadas con los aspectosoperativos o productivos de una empresa estructurado que busca satisfacer lademanda de soluciones de gestin, empresarial, basado en el concepto de unasolucin completa que permita a las empresas unificar las diferentes reas deproductividad de la misma.

2.2 Caractersticas de un ERP

Los sistemas de ERP se presentan como tecnologa adaptativa y handemostrado hasta ahora ser una buena solucin ante la gran demanda demanejo de informacin y aprovechamiento de las tecnologas. Las siguientescaractersticas nos lo permiten: (Ver figura 2.1)

Integracin: El objetivo de un sistema ERP es integrar todos losprocesos de la empresa, entendindola como una serie de reas que serelacionan entre s. Este enfoque permite una mayor eficiencia,

reduccin de tiempo y costes. Una base de datos centralizada es la quesuele facilitar el flujo de informacin entre los diferentes mdulos. Esimportante destacar que en un sistema ERP los datos se ingresan unasola vez para su utilizacin en el sistema. Estos deben ser consistentes,completos y comunes. De esta forma se evita la duplicidad deinformacin.

Modularidad: Cada rea funcional de la empresa se corresponde conun mdulo del sistema de gestin. Estos mdulos aunqueindependientes comparten informacin entre s mediante una base dedatos centralizada, lo que facilita la personalizacin y adaptabilidad poruna lado, y por otro la facilidad de integracin.Es habitual que cada mdulo utilice un software especfico para sufuncionalidad.

Adaptabilidad: Gracias a la modularidad y capacidad de integracin delas funcionalidades un sistema ERP es fcilmente adaptable a lasnecesidades de cada empresa, permitiendo una total configuracin.Aunque existe esta posibilidad de adaptacin, muchas veces paraabaratar costes la empresa utiliza una solucin ms genrica, en vez depersonalizar un desarrollo, lo que le obliga a modificar algunos de sus

procesos para alinearlos con los del sistemaERP.
http://techlosofy.com/http://definanzas.com/2008/06/02/erps-sistemas-de-gestion-empresarial/http://definanzas.com/2008/06/02/erps-sistemas-de-gestion-empresarial/http://definanzas.com/2008/06/02/erps-sistemas-de-gestion-empresarial/http://definanzas.com/2008/06/02/erps-sistemas-de-gestion-empresarial/http://techlosofy.com/


24/105


23

Caractersticas

de un ERP

Adaptabilidad

Modularidad

Integracin

Figura 2.1. Caractersticas de un ERP.

2.3 Objetivos del ERP

Los principales objetivos de estos sistemas ERP son: Optimizacin de todos los procesos de nuestra empresa. Acceso de toda nuestra informacin de forma precisa, segura, rpida y

verdadera (integridad de datos). Compartir informacin entre todas las secciones y componentes de la

organizacin y de nuestra empresa para mayor eficiencia. Eliminacin de datos y operaciones ya no necesarias para el correcto

funcionamiento y optimizacin y renovacin de las servibles.

El propsito ms importante en un ERP, es dar todo nuestro apoyo a losclientes del negocio, respuestas rpidas y eficientes a sus problemas as comoun inmejorable manejo de informacin, que sea lo suficientemente til para quepermita la toma de las mejores decisiones y la disminucin de los costes totales

de operacin para ambos.

2.4 Componentes de un ERP

Los componentes o mdulos bsicos en los que se divide un ERP sonlos siguientes: (Ver figura 2.2) MRP CRM FRM HRM SCM


25/105


24

Figura 2.2. Mdulos de un sistema de planificacin de recursos empresariales (ERP).

MPR (Mater ial Requierement Planning)

En espaol significa planificador de las necesidades de material, esdecir, es un mdulo de planificacin de materiales y gestin de inventariosque responde a las siguientes preguntas:

Qu orden producir? Cunto producir? Cundo producir?

Mediante este sistema se garantiza la prevencin y solucin de erroresen el aprovisionamiento de materias primas, el control de la produccin y la

gestin de rdenes, ya que su objetivo es disminuir el volumen de existencia apartir de lanzar la orden de compra o fabricacin en el momento adecuadosegn los resultados del programa maestro de produccin. Es un sistema quepuede determinar de forma sistemtica el tiempo de respuesta(aprovisionamiento y fabricacin) de una empresa para cada producto.

Para ello el sistema trabaja con dos parmetros bsicos: tiempos ycapacidades.

El sistema MRP calcular las cantidades de producto terminado afabricar, los componentes necesarios y las materias primas a comprar para

poder satisfacer la demanda del mercado.


26/105


25

Este tipo de sistemas son utilizados para empresas que tengan ciertascaractersticas en cuanto a la forma de produccin y especificaciones delproducto.

CRM (Customer Realatioship Management)

Los sistemas de administracin de la relacin con el cliente buscaentender y anticipar las necesidades de los clientes existentes y tambin de lospotenciales, que actualmente se apoya en soluciones tecnolgicas que facilitansu aplicacin, desarrollo y aprovechamiento como parte de una estrategia denegocio centrada en los clientes. La cual est basada en la satisfaccin de losclientes y tambin a los sistemas informticos que dan soporte a estaestrategia.

Se refiere a la administracin de todas las interacciones que pueden tenerun negocio y sus clientes. Se enfoca en la optimizacin del ciclo de vida delcliente en su totalidad. Adems, CRM es un trmino de la industria de lainformacin que rene, metodologas, software y las capacidades del internetpara administrar de una manera eficiente y rentable las relaciones de unnegocio con sus clientes.

FRM (Finance Resourc e Management)

Los sistemas de administracin de recursos financieros (FRM), sonsistemas que surgen de la necesidad de integrar todo tipo de datos contablescomo son las proyeccin de ventas, el ingreso y los activos tomando comobase estrategias alternativas de produccin y mercadotecnia as como ladeterminacin de los recursos que se necesitan para lograr estas proyecciones.

HRM (Human Resource Management)

Los sistemas de administracin de recursos humanos (HRM), son partede una estrategia entre la gestin de recursos humanos y la tecnologa de

informacin. Combina los recursos Humanos y en particular sus actividadesadministrativas con los medios puestos a su disposicin por la informtica, y serefieren en particular a las actividades de planificacin y tratamiento de datospara integrarlos en un nico sistema de gestin.

Su funcin principal es recolectar informacin relacionada con lascaractersticas personales y profesionales de cada empleado, historial laboral,hasta los detalles como las remuneraciones y el puesto que ocupan dentro dela empresa.


27/105


26

SCM (Supply Chain Management)

Los sistemas de gestin de la configuracin de software (SCM,) es eltrmino utilizado para describir el conjunto de operaciones de produccin ylogstica cuyo objetivo final es la entrega de un producto a un cliente. Esto

quiere decir, que la gestin de la configuracin de software (SCM) incluye lasactividades asociadas desde la obtencin de materiales para la transformacindel producto, hasta su colocacin en el mercado.

Los sistemas de gestin de la configuracin de software (SCM) utilizanlos conceptos de e-businessy tecnologas Web para coordinar y optimizar losprocesos de mbito empresarial en todas y cada una de las reas de suempresa: desde el proveedor hasta el cliente.

2.5 Control de riesgos en un ERP

Debido a que los ERP son sistemas integrales y que uno de susobjetivos es procesar gran cantidad de informacin en tiempo real a usuariossimultneos como parte de sus funciones, es necesario tener en cuenta quesurgen riesgos que los ERP sin controles pueden llegar a ser exitosos.

Por lo que es necesario conocer toda la informacin respecto a losriesgos que surgen y aplicar medidas preventivas, correctivas.

Las complejidades tcnicas surgen:

El sistema reside en varios equipos. La ptima coordinacin es un desafo. Fiabilidad y disponibilidad de los datos. El sistema permite la configuracin flexible, personalizacin y

mantenimiento.

Riesgos empresariales clave:

Amplia experiencia necesaria para el funcionamiento eficaz. Significativos cambios de personal y estructuras organizativas.

Transicin de las funciones de usuarios a las funciones tradicionales deempowerment. Entornos de sistemas On-line y en tiempo real requieren de un entorno

empresarial continuo. El esfuerzo de capacitacin de un gran nmero de usuarios. Desafo a un entorno totalmente integrado en los diferentes procesos de

negocio existentes entre las unidades de negocio.

Riesgos Tcnicos:

Falta de experiencia en implementacin y gestin de la tecnologa

informtica distribuida.


28/105


27

El incremento de accesos remotos por los usuarios y externos. Mltiples interfaces y conversiones de datos de sistemas heredados y

otros software comerciales suelen ser necesarios. IS debe hacer la transicin a una organizacin que puede soportar un

entorno de computacin distribuida.

Los controles de riesgos pueden surgir estableciendo mecanismos decontrol, durante la implementacin del sistema ya que el control es ampliodentro de la configuracin.

2.6 Metodologas para auditar un ERP

La realizacin de una auditora de un ERP puede ser compleja, por lo quees necesario dividir la auditora en partes pequeas que apoyen los objetivosgenerales de la auditora.

CIS

Una de las metodologas usadas para la auditora es CIS que significaCenter for Internet Securityel cual proporcionan una lista de controles que sepueden enumerar en un checklistpara que sean verificadas.

Su misin es establecer y promover el uso de normas basadas en elconsenso para elevar el nivel de seguridad y privacidad en los sistemasconectados a Internet, y para garantizar la integridad de los negocios, gobiernoy funciones basadas en Internet privados y las transacciones en que lasociedad depende cada vez ms. CEI es una organizacin independiente,regulada por una Junta Directiva de voluntarios, no es propiedad o estcontrolado en su totalidad o parcialmente por cualquier corporacin o entidadgubernamental.

NIST National Inst i tute of Standards and Techno logy

Misin del NIST consiste en promover la innovacin y la competitividadindustrial EE.UU. por la ciencia que avanza la medicin, normas, y latecnologa en formas que mejoren la seguridad econmica y mejorar nuestra

calidad de vida.

Aunque la gua del NIST est enfocada para su uso en agenciasfederales estadounidenses, su lectura y conclusiones pueden resultarinteresantes para otros entornos, tanto gubernamentales como privados.

COBIT Inform at ion Systems Audit and Control Assoc iat ion

COBIT brinda un modelo de procesos genricos que representa todoslos procesos que normalmente se encuentran en las funciones equivalentesentre los modelos de procesos COBIT y las reas de enfoques del gobierno de

TI.


29/105


28

Se enfoca en qu se requiere para lograr una administracin y un controladecuado de TI, y se posiciona en un nivel alto. COBIT ha sido alineado yarmonizado con otros estndares y mejores prcticas ms detalladas de TI.

COBIT acta como un integrador de todos los elementos gua,

resumiendo los objetivos clave bajo un mismo marco de trabajo integral quetambin se aliena con los requerimientos de gobierno y de negocio.


30/105


29

C PITULO III

NIST PARA ERP


31/105


30

CAPTULO IIINIST PARA ERP

3.1 Antecedentes de NIST

El Instituto Nacional de Normas y Tecnologa (NIST por sus siglas eningls, National Institute of Standards) es una agencia de la Administracin deTecnologa del Departamento de Comercio de los Estados Unidos. La misinde este instituto es promover la innovacin y la competencia industrial enEstados Unidos mediante avances en metrologa, normas y tecnologa deforma que mejoren la estabilidad econmica y la calidad de vida.

Como parte de esta misin, los cientficos e ingenieros del NISTcontinuamente refinan la ciencia de la medicin (metrologa) creando una

ingeniera precisa y una manufacturacin requerida para la mayora de losavances tecnolgicos actuales. Tambin estn directamente involucrados en eldesarrollo y pruebas de normas hechos por el sector privado y agencias degobierno. El NIST fue originalmente llamado Oficina Nacional de Normas (NBSpor sus siglas en ingls), un nombre que tuvo desde 1901 hasta 1988. Elprogreso e innovacin tecnolgica de Estados Unidos dependen de lashabilidades del NIST, especialmente si hablamos de cuatro reas:biotecnologa, nanotecnologa, tecnologas de la informacin y fabricacinavanzada.

La serie 800 del NIST son una serie de documentos de inters generalsobre Seguridad de la Informacin. Estas publicaciones comenzaron en 1990 yson un esfuerzo de industrias, gobiernos y organizaciones acadmicas paratodos los interesados en la seguridad.

3.2 Gua de Implementacin Tcnica de Seguridad enlos ERP

3.2.1 Introduccin

Este documento contiene los procedimientos que permiten al personalcualificado llevar a cabo una Revisin de Disponibilidad de Seguridad (SecurityReadiness Review, SRR) a un ERP. Esta lista se va a utilizar para lasimplementaciones de ERP para las que no existen listas de productosespecficos. La Revisin de Disponibilidad de Seguridad evala el cumplimientojunto con la Agencia de Defensa de Sistemas de Informacin (Defenseinformation Systems Agencys, DISA) con la Gua de Implementacin Tcnicade Seguridad en los ERP.

En el Campo de Operaciones de Seguridad de DISA (FSO) lleva a cabola Revisin de Disponibilidad de Seguridad del ERP para proporcionar un nivel


32/105


31

mnimo de seguridad a DISA, conjunto de comandos, y otros del Departamentode Defensa (DoD) las organizaciones que sus aplicaciones sonrazonablemente segura contra los ataques que pondra en peligro su misin. Lacomplejidad de las aplicaciones de misin crtica ms se opone a una revisinde seguridad completa de todas las funciones de seguridad posibles y

vulnerabilidades en el marco de tiempo asignado para un SRR ERP. Noobstante, la SRR ayuda a las organizaciones frente a las vulnerabilidades deERP ms comunes e identificar aseguramiento de la informacin (IA),cuestiones que plantean un riesgo inaceptable para las operaciones.

Idealmente, los controles de IA se integran en el ciclo de vida completo,incluyendo las fases relacionadas con la recogida de requisitos, diseo,desarrollo, garanta de calidad y pruebas. La Revisin de Disponibilidad deSeguridad del ERP tpicamente ocurre cuando una aplicacin ERP seencuentra en produccin - es decir, cuando el ciclo ya se ha completado.

Muchas de las conclusiones de la Revisin de Disponibilidad deSeguridad del ERP pueden ser solucionadas con las modificaciones de lasfunciones de seguridad, que se asignan a los usuarios y personal de apoyo, ocon la modificacin de los parmetros del sistema ERP. Separacin de lasfunciones hallazgos pueden requerir modificaciones a los roles yresponsabilidades del puesto.

3.2.2 Alcance de evaluacin a un modulo de un ERP

Como ya se menciono anteriormente, sta gua permite hacer la revisin

de forma integral a los aspectos necesarios del ERP para medir su nivelde seguridad en la informacin.

Para poder realizar una evaluacin con los resultados aproximados a laexactitud, es recomendable realizar una auditora por secciones, es decir,delimitar la revisin en donde solo se audite por mdulos los elementos quese consideren necesarios dentro de este tema.

Para la revisin de la seguridad de la informacin dentro de un Modulode ERP, la Gua de Implementacin Tcnica de Seguridad en los ERP

proporciona las mtricas aplicables para evaluar los elementos que acontinuacin se enlistan junto con las mtricas que les corresponden a cadauno.

Bases de Datos: ERP000700, ERP000720, ERP000730, ERP013900,ERP013350, ERP000850. Estas mtricas estn enfocadas a laverificacin de las caractersticas que se tienen para el manejo de labase de datos y el control sobre la informacin critica que contiene. Elmantenimiento de la base de datos se evala en medida de la validezque tenga la misma.


33/105


32

Configuraciones Iniciales: ERP000800, ERP001500, ERP002000,ERP011000. Mtricas basadas para la comprensin y anlisis de losparmetros establecidos dentro de la configuracin de servidores,aplicacin, conexiones remotas, etc.los parmetros que se evalan sonespecficamente a la forma en que se tienen los controles para el flujo deinformacin a travs de los medios establecidos.

Controles de acceso: ERP001100, ERP001150, ERP001200,ERP001850, ERP003850, ERP011400, ERP011400, ERP011500,ERP013500. Mtricas enfocadas a la evaluacin de medidas deseguridad para el acceso y el uso de operaciones necesarias para cadausuario. As como de los procesos de autorizacin a operacionesinnecesarias.

Controles de seguridad: ERP001000, ERP011100, ERP013000. Seenfocan en verificar si los requisitos de seguridad que se deban aplicardentro del rea auditada, para el ERP se cumplen y la medida en que lostos lo hacen como son los software de seguridad que dan apoyo paraque estos controles se puedan cumplir.

Cambios en el ERP: ERP000860, ERP002100, ERP005000. Evaluacinde la administracin de cambios, actualizaciones en el ERP donde setenga en cuenta las necesidades que deben cubrir y que demande la

seguridad, para que no afecten o daen software o hardware. Serevisan las vas de comunicacin que se tengan para dar a conocer ydifundir los cambios que se tengan en mente y que llegue toda lainformacin integra sobre los mismos a la direccin.

Cuentas de usuarios: ERP000820, ERP001700, ERP003100,ERP003200, ERP003400, ERP003600, ERP003950, ERP013450,ERP013900, ERP013910, ERP013920, ERP003000, ERP004000,ERP004400. Mtricas que revisan las caractersticas que las cuentas deusuarios tienen para determinar el nivel de vulnerabilidad que se generepor las deficiencias que existen en la administracin de stas. Laimportancia de esas mtricas radica en conocer los perfiles de usuariosexistentes en base de datos as como los privilegios que tengan

Funciones del ERP: ERP007000, ERP009300, ERP010000,ERP001400, ERP013200. Ayudan a verificar los procesos derecuperacin, de eliminacin de objetos innecesarios. As como delmonitoreo de las operaciones por acceso de todos los usuarios delmdulo.


34/105


33

3.3 Caractersticas de la Gua

Una Revisin de Disponibilidad de Seguridad del ERP abarca todos loscomponentes del lado servidor de una aplicacin, incluyendo, pero nonecesariamente limitarse a los siguientes elementos que apoyen la solicitud:

Aplicacin del cdigo servidor Web (s) servidor de base de datos (s) Directorio y el dispositivo de autenticacin (s) (por ejemplo, los

controladores de dominio Windows, RADIUS, etc) Firewall (s) Red y la configuracin enclave necesarias para apoyar la aplicacin Plataformas de sistemas operativos para cualquiera de los anteriores

Durante una revisin completa al ERP, una SRR se realiza en cada uno delos componentes de la lista, adems de la SRR ERP en s. Por ejemplo, si unainfraestructura de ERP consista en un extremo de servidor web adelantadoque se ejecutan en Windows y una base de datos de backendque se ejecutaen UNIX, la revisin completa constara de Web Server, base de datos,Windows y UNIX SRR. Tambin se debe realizar una prueba de la penetracin.

Si esta revisin es una prueba de la Seguridad y la evaluacin (ST & E) devalidacin o una-renovacin de la acreditacin y las revisiones actuales existenpara estos componentes, slo la prueba de resistencia tiene que sercompletado en el momento de la revisin de ERP. Una revisin actual se definecomo una revisin a cabo con base en el STIG actual. Se revisan tambin se

consideran no estar al da si el sistema operativo o el componente se hareinstalado ya que la SRR pasado.

Algunos elementos se encuentran fuera del mbito de aplicacin de la SRRERP. Estos incluyen:

Configuracin y el comportamiento de los clientes del explorador Web Metodologa de desarrollo de aplicaciones

Dado que la seguridad es slo tan fuerte como su eslabn ms dbil, unarevisin de seguridad completa que implicar tanto a los componentes de cliente

y servidor de la aplicacin ERP, pero en el caso de los navegadores web, elrevisor no tiene acceso a todos los clientes potenciales que pueden acceder laaplicacin. Por lo tanto, no es posible incluir estos navegadores web en larevisin. Afortunadamente, las organizaciones que cumplan con los requisitosque figuran en el navegador de aplicaciones de escritorio de la Gua deImplementacin Tcnica de Seguridad (Security Technical ImplementationGuide, STIG) deben estar protegidas contra los ataques basados en laaplicacin conocida de los navegadores. Los desarrolladores de aplicacionesde forma independiente debera velar por sus aplicaciones funcionarncorrectamente con los navegadores compatibles con STIG (que no es validadodurante el SRR general).


35/105


34

Asimismo esta lista no se preocupa con el proceso de desarrollo, que porsupuesto es fundamental para garantizar la seguridad del producto final. Sinembargo, la estructura de los equipos de desarrollo y configuracin, incluyendosus funciones y responsabilidades estn en el mbito. Las funciones y lasresponsabilidades deben estar claramente definidas, y los roles de seguridad

construido de tal forma que sean puestos en prctica. Esto se pondr a pruebadurante el proceso de Revisin de Disponibilidad de Seguridad.

La Revisin de Disponibilidad de Seguridad del ERPexamina la solicitud en unsolo punto en el tiempo, muy probablemente en la produccin o justo antes dela liberacin. Para obtener altos niveles de fiabilidad para aplicaciones crticasde misin de gran tamao, las organizaciones tal vez desee considerarcertificacin de aplicaciones en el marco del National Information AssurancePartnership(NIAP).

Si la solicitud contiene una solucin de vigilancia, los resultados de la ST &

E de la solucin de proteccin deben incluirse como parte de la ST & E para laaplicacin. El mbito de aplicacin de la revisin mediante esta lista decomprobacin terminar a principios de la solucin de proteccin.

Esta lista no es una evaluacin apropiada para sistemas que realizan elnivel de procesamiento de mltiples clasificados. Slo NSA dispositivosaprobados en la configuracin aprobados son apropiados en estos ambientes.Este tipo de controles estn fuera del alcance de esta revisin.


36/105


35

C PITULO IV

AUDITORA ALMDULO DE

INVENTARIOS DEL ERP

MACROPRO DE LA

EMPRESA CENTRAL DE

SUSPENSIONES GMEZ

S.A. DE C.V.


37/105


36

CAPTULO IVAUDITORA AL MDULO DE INVENTARIOS DEL ERP

MACROPRO DE LA EMPRESA CENTRAL DESUSPENSIONES GMEZ S.A. DE C.V.

4.1 Introduccin de la empresa

Datos de Referencia:

Nombre de la Empresa.- Central de Suspensiones Gmez S.A. deC.V.

Direccin.- Calzada Ermita Iztapalapa No. 2602. Colonia Jacarandas

Delegacin Iztapalapa, C.P. 09280 Mxico, D.F.

Nmero de Trabajadores:Actualmente laboran Cuarenta.

Clasificacin de la Empresa: Mediana Empresa por volumen deventas mensuales de 7500 unidades.

Giro de la Empresa: Compra-Venta de refacciones nuevas paraautomviles.

Representante Legal: Mara Guadalupe Gmez Valente.

Tipo de Capital.- Variable.

Telfono 5693 27 84y5693 76 00.

Antecedentes:

La empresa se fund en 1973 bajo la razn social de Servicio Mojicacuando el seor Felipe Mojica Rojas inicio con una refaccionara y con tallermecnico.

En el ao de 1983 se cambia la razn social a Suspensiones Gmez ysu representante legal tambin cambia por el de su esposa Mara GuadalupeGmez Valente.

En el ao de 1990 se inaugura Central de Suspensiones Gmez elcual es solo refaccionara, especialistas en suspensiones de automviles; conel que ahora su represntate legal es Abraham Mojica Gmez; a partir de eseao se brinda servicio a domicilio dentro del Distrito federal y zonametropolitana.


38/105


37

Estructura Organizacional:

La empresa cuenta con una estructura funcional que se divide en lossiguientes departamentos: (Ver Anexo A)

Ventas, que a su vez se divide en el departamento de Servicio y eldepartamento de Personal de Mostrador. Finanzas, que se divide en el Departamento Administrativo y el

Departamento Contable. Almacn.

El departamento de almacn no se divide, solo tiene bajo su cargo dospuestos ms que detallaremos sus funciones a continuacin:

GERENTE DE ALMACN.- Jos Espinoso, se encarga de supervisarlas entradas y salidas de la mercanca de acuerdo a lo que sus

empleados le reportan. Con responsabilidad, dirige, vigila y organizalas operaciones de almacenamiento y expediciones de material delas diferentes campaas.

Personal de Almacn.- Encargados de realizar inventarios paradetectar los faltantes de mercanca para realizar un nuevo pedido.

Almacenista.- Es el encargado de realizar el inventario de lamercanca.

Ayudante de almacn.- Se encarga de acomodar la mercancarecibida as como el de ayudar con los inventarios de esta.

4.2 Estado Actual

La empresa Central de Suspensiones Gmez S.A. de C.V. cuenta conel sistema ERP MACROPRO para el manejo y control de sus operaciones; fueimplantado hace 8 aos debido a que con el paso del tiempo la empresa sevio en la necesidad de utilizar el ERP para obtener un mayor rendimiento ymejor control en sus actividades.

La versin del software del ERP que est actualmente instalada es la2.10. Los mdulos que aplica la empres son:

Contabilidad Bancos Nomina Inventario de refacciones Compra de refacciones cuentas por pagar venta de refacciones cuentas por cobrar


39/105


38

Caractersticas del sistema:

Las caractersticas que ofrece MACROPRO a la empresa son los siguientes:

Contabilidad automatizada: Sin Cierres Mensuales Reportes Definibles Configurado de acuerdo a sus necesidades

Integracin total con sus mdulos de: Ventas, Compras e Inventario Contabilidad, Bancos, Nomina y Activos Fijos Cuentas por cobrar y Cuentas por pagar Cajas, Caja rpida, Caja de pagos y Sucursales en Lnea

El mdulo de ventas sistematiza las siguientes funciones: Cambios a las listas de precio Control de ofertas y descuentos Elaboracin de cotizaciones Control de pedidos y backorder Remisiones y Facturacin Documentacin de facturas (ventas a plazos) Venta directa a pblico (punto de venta) Autorizacin de crditos Control de productos obsoletos y sustitutos Cortes de caja Cancelacin de facturas Contabilizacin de las ventas del da Elaboracin del depsito de las ventas de contado Devoluciones parciales Anlisis de la eficiencia en el surtido de pedidos Registro de anticipos Registro de notas de cargo, descuentos y bonificaciones Control de la cobranza Control de pago de comisiones Anlisis de cheques devueltos Anlisis grfico de las ventas.

El mdulo de inventarios sistematiza las siguientes funciones: Entrega y Salida de mercanca Confirmacin de embarques para facturacin automtica Traspasos entre almacenes y tiendas Surtido de pedidos de sucursales Preparacin, toma y anlisis de los inventarios fsicos Clculo de los niveles de inventario (Mximo, Re orden y Mnimo) Clculo del ABC o importancia del artculo Control de Lotes y Fechas de Caducidad Anlisis y auditora de costos, existencias, niveles de inventario, etc.


40/105


39

El mdulo de compras sistematiza las siguientes funciones: Generacin de los sugeridos o previos de compra Control de rdenes de compra y backorder Captura de remisiones y facturas de proveedor Determinacin del costo del producto Control de pedidos, clculo de aranceles, prorrateo de fletes y gastos

aduanales en mercancas de importacin Cancelacin de compras Devoluciones parciales al proveedor Captura de anticipos y pagos Registro de cargos, descuentos y bonificaciones Anlisis de eficiencia de los proveedores Anlisis de cuentas por pagar

El mdulo de inventarios sistematiza las siguientes funciones: Control de expedientes de empleados Elaboracin de nminas semanales, quincenales, catorcenales,

decenales o mensuales Impresin de los recibos de nmina Clculo del ISPT, IMSS, SAR, INFONAVIT e impuesto estatal Impresin de reportes para declaraciones mensuales, bimestrales y

anuales Clculo de vacaciones, aguinaldo, reparto de utilidades, finiquitos y otras

nminas especiales Anlisis de nminas por departamentos, categoras, turnos y otros

parmetros Control de descuentos por prstamos y ahorro

Usuarios

Cuenta con 18 usuarios a los cuales se asignan privilegios de acuerdo aldepartamento en que se encuentran, los tipos de usuarios son:

Mostrador: tiene privilegios limitados, por lo cual solo tiene acceso a

realizar ventas, facturacin y consulta de existencias. Administracin: posee privilegio de agregar, modificar, cancelar

registros, es decir, registrar compras, cargar cuentas por cobrar, cuentaspor pagar, cancelaciones de facturas, devoluciones y notas de crdito.

Contabilidad: puede consultar, compras registradas, cuentas por cobrargeneradas, as como las cuentas por pagar, cancelaciones de facturas,devoluciones y notas de crdito. As mismo se encarga de la gestin deestados financieros.


41/105


40

Superusuario: es el administrador del sistema, el cual tiene acceso atodos los mdulos del ERP y es el nico que puede tener acceso a laparte de nomina.

Especificaciones tcnicas del ERP

Informacin sobre la instalacin de ERP

Sistema ERP

Nombre del ERP MACROPRO

Versin 2.10

Fecha de caducidad de licencia 1 aoBase de datos de datos

Sistema ACUCORPLiberacin Versin 4

Nombre Vision

Host Servidor Linux

OwnerHost de datos

Sistema Operativo Linux Centos

Tipo de Mquina Arquitectura del procesador

Nombre del servidor: Linux Centos Red-Hat (cliente-servidor)

ID de la plataforma Linux

Tabla 4.1 Especificaciones tcnicas del ERP.

Descripcin general del servidor

Nombre de la aplicacin de servidor OS Nivel Opinin (Si o No)

ERP Cliente servidor

Software instalado y la fabricacin Software Nivel SRR SoftwareRealizado (Si o No)

Linux Centos LinuxBasado en red-hat

ACUCORP Base de datos no

Tabla 4.2 Descripcin general del Servidor.


42/105


41

Flujo de trabajo del mdulo de Inventario de Refacciones

Las actividades que se llevan a cabo en relacin al mdulo de Inventariode refacciones son las siguientes:

1. Se levanta una orden de compra y este genera un backorder decompra (respaldo de la compra).2. El proveedor indica cuando provee el producto.3. El proveedor suministra.4. Se revisan los productos (no debe haber ms del productoordenado).5. El personal del almacn coteja el producto contra lo que se ordena.6. Entrada al sistema ERP en el mdulo de inventarios: Existen 3formas de ingresar la entrada al sistema:

a. Directamente en el mdulo de inventarios se genera unaentrada de los nuevos productos.

b. A travs del mdulo de compras (por seguridad).c. A travs de una remisin o factura de compra.

i. Remisin: El proveedor te entrega el producto pero note entrega la factura, (no se tiene una cuenta por pagar enel sistema). Se descarga el backorder de la orden decompra por medio de una nota de remisin de compra,para que ya no se cuente como pendiente ese backorder.ii. Genera entradas directamente al inventario, con elcosto que se acord en la orden de compra.iii. No genera una cuenta por pagar porque el proveedorno te est entregando una factura.

d. Te surte y te entrega la factura, genera la entrada por mediode la factura, te genera la cuenta por pagar, al momento de firmaral proveedor se tiene en cuenta que se tiene ya una cuenta porpagar, y dicha cuenta al ingresarla al sistema tiene una fecha deemisin y una de vencimiento de acuerdo a los das de crditoque te ofrece el proveedor.

7. Se etiqueta la mercanca entrante.8. Se acomoda en almacn mercanca etiquetada.9. Ventas solicita producto.10. Se verifica existencia en almacn.

11. Se efecta venta, registrando como salida de producto del almacn.Para observar el diagrama de procesos y diagramas de Flujo del Mdulo

de Inventario de Refacciones verAnexo B.

4.3 Descripcin de problemtica

Dentro de la empresa "Central de Suspensiones Gmez S.A. de C.V." sehan detectado faltantes en el inventario del almacn lo que ha generadoincongruencia en el control de inventarios que se lleva en el sistema contra lo

que se tiene de control de inventarios fsico. Lo cual ha demostrado un dficit


43/105


42

en un punto muy importante para le empresa, ya que es vital llevar eladecuado control de inventarios para reducir al porcentaje mnimo lasincidencias de este tipo, como podra ser el que no se registren bien lasentradas y salidas de los productos que se venden.

4.4 Solucin

Nuestro equipo auditor se vio en la tarea de realizar una auditora alMdulo de Inventarios del ERP MACROPRO para otorgarles recomendacionesconforme a la Gua de NIST, Gua de Implementacin Tcnica de Seguridaden los ERP

Dicha gua nos proporcion la orientacin necesaria para la evaluacinde procedimientos que permiten llevar a cabo una revisin de aptitud deseguridad en la implementacin del ERP.

Aunado al proceso que requiri la auditora fue necesaria ladocumentacin que avalara cada funcin realizada antes durante, as como lapresentacin de los resultados para mayor detalle consultar Anexo C, dondese presenta la Cdula nica de Auditora, la cual contiene la documentacinen orden consecutivo de la misma.

4.4.1 Planeacin

Durante la etapa de planeacin se logro identificar el trabajo a ejecutarpor el equipo auditor, permiti el seguimiento de los avances que ste vaobteniendo; delimita las responsabilidades, evitando duplicacin de funcionesen la auditora y establece los procedimientos especficos por desarrollar.

La planeacin de la auditora se llevo a cabo del 2 al 9 de Agosto del2010, la cual comprendi los siguientes puntos:

Creacin de plan de trabajo

Para el plan de trabajo se realizo el cronograma de actividades a

desarrollar en el cual se fijo su duracin y encargado de cada una. Lasactividades definidas fueron las siguientes:

Creacin de plan de trabajo. Junta con la direccin para proponer Auditora. Redaccin de carta de planeacin. Creacin de Cedula nica de Auditora. Entrega de Carta de Planeacin de Auditora. Junta Inicial con gerencia para obtener informacin de la empresa. Entrevista con el administrador del sistema ERP. Determinacin de la Gua, basada en NIST. Establecer los requerimientos para auditar.


44/105


43

Definicin de roles dentro del equipo para realizar la auditora. Solicitud de cita para la aplicacin del Checklist. Aplicacin del Checklistal mdulo de Inventario de Refacciones. Anlisis de resultados. Realizar reportes y graficas.

Redaccin del informe final. Entrega de resultados a la empresa.

Asimismo se estableci que el periodo en el que se realizara la auditoraa la empresa sera del 2 de Agosto al 20 de Agosto del 2010. (Ver Anexo D)

Junta con la gerencia para proponer auditora

El equipo auditor se reuni en una junta con la Gerente de la empresa,Mara Isabel Mojica Gmez, el da mircoles 4 de agosto del ao en curso paraproponer la auditora a la empresa.

Elaboracin y aceptacin de carta de Planeacin

La base de la Carta de Planeacin es el Programa Anual de Control yAuditora (PACA). En esta, se describi los antecedentes del rea a auditar,tipo de auditora que el equipo auditor llevo a cabo, el objetivo de dichaauditora, el alcance, la posible problemtica a la que pueda enfrentarse elequipo auditor y la estrategia que se tiene.

Tambin se indica los nombres completos del personal asignado a laauditora y su cargo dentro de esta. La carta fue firmada por la persona queelabor la carta, que corresponde al jefe del grupo auditor, y la persona que dael visto bueno a la carta.

La carta de planeacin explica las diferentes actividades a realizardentro de la auditora, responsabilidades y autorizaciones para la realizacin dela misma. Para ms detalle (Ver Anexo E)

Junta Inicial

Se llevo a cabo una junta inicial con la Gerente de la empresa quien nos

dio una introduccin a la empresa, explicndonos su flujo de procesos y elprincipal problema con el que se enfrentan. Posteriormente, nos presento aHerlo Corona quien es administrador del sistema ERP.

Determinacin de Gua NIST (Checkl ist)

Para el levantamiento de la informacin de la auditora se determino elchecklistbasado en la metodologa de NIST, Gua de Implementacin Tcnicade Seguridad en los ERP, del cual solo usamos 47 mtricas queconsideramos aplicables para la auditora del mdulo de Inventarios. (VerAnexo F)


45/105


44

Dicha gua nos oriento en la evaluacin de procedimientos que permitenllevar a cabo una revisin de aptitud de seguridad en la implementacin delERP.

Redaccin de Orden de Auditora

La prctica de la auditora se realiz mediante un mandato escrito quese denomina Orden de Auditora, con las siguientes caractersticas:

a) Dirigirse al director de la empresa.b) Citar a los auditores que practicarn la revisin, incluyendo al

responsable del rea de auditora.c) Describir de manera general los alcances de los aspectos y el

periodo por revisar.d) Estar firmada por el titular del rgano Interno de Control o de Control

Interno, o por quien ste haya designado para tal fin.

La orden de auditora se entreg a quien iba dirigida, obteniendo de estapersona el acuse de recibo en una copia de la misma. Adems se turnar copiaa las instancias que lo requieran. (Ver Anexo G)

Elaboracin y aceptacin de carta de requerimientos

Se elaboro una carta de requerimientos para solicitar la informacin ydocumentacin necesaria para auditar el mdulo de Inventarios del ERPMACROPRO. (Ver anexo H)

La informacin que se solicito fue:

Procesos del Mdulo. Lista de usuarios que tienen acceso al Mdulo. Configuraciones iniciales del ERP. Controles y /o Polticas de acceso al Mdulo. Documentacin de actualizaciones. Permiso para acceso al Mdulo con una cuenta de tipo

administrador. Permiso para acceso a internet.

Permiso para acceso al servidor y presencia del administrador delERP para poder realizar las pruebas a la BD.

Redaccin de Marco conceptual

Se realiz de acuerdo al rea a auditar. Este documento denominadoMarco Conceptual, contiene los siguientes datos: identificacin de la auditora;rea a auditar; objetivo que se persigue; universo, muestra por revisar yprocedimientos que se desahogarn durante el desarrollo del trabajo, as comola conclusin a la que lleg el equipo auditor una vez concluida la revisin deacuerdo con las especificaciones. (Ver Anexo I)


46/105


45

Con el Marco Conceptual se logro identificar el trabajo a ejecutar porparte de equipo auditor, permiti el seguimiento de los avances que ste vaobteniendo; delimit las responsabilidades, evitando duplicacin de funcionesen la auditora y establece los procedimientos especficos por desahogar. Suintegracin dentro de los papeles se inserta en los procedimientos ejecutados

en cada rubro revisado.

4.4.2 Ejecucin de la Auditora

Una vez concluida la planeacin, el equipo auditor se dedico a compilarla informacin y documentacin que se requiri.

El objetivo de la etapa de ejecucin fue obtener evidencia suficiente delrea que se audit, para as contar con los elementos suficientes quepermitieron al equipo auditor determinar el grado de razonabilidad de lassituaciones observadas, la veracidad de la documentacin revisada y laconfiabilidad de los sistemas y registros examinados, y con ello emitir unaopinin slida, sustentada y vlida.

A continuacin se explican las actividades realizadas durante laejecucin de la auditora que comprenden el periodo del 09 al 13 de Agosto delao en curso.

Aplicacin de Gua NIST:

El levantamiento de la informacin de la auditora se baso en lametodologa de NIST, basndonos en la Gua de Implementacin Tcnica deSeguridad en los ERP, donde solo usamos ciertas mtricas queconsideramos aplicables para este caso.

Entrevistas:

Realizamos entrevistas al personal clave como parte del levantamientode informacin, las cuales fueron efectuadas a:

Gerente: Mara Isabel Mojica Gmez. Administrador de ERP: Herlo Corona.

Recepcin de Informacin:

De la documentacin solicitada en la carta de requerimientos solo laque se menciona a continuacin en forma de lista fue entregada.

Configuraciones iniciales del ERP. Documentacin de actualizaciones.


47/105


46

Diagrama de Procesos del Mdulo.

La siguiente lista muestra la informacin que no se nos fue entregada:

Lista de usuarios que tienen acceso al Mdulo.

Controles y /o Polticas de acceso al Mdulo.

La informacin que se requiri y no se entrego fue debido a que no secontaba con la documentacin y porque no se tena conocimiento de suexistencia.

Realizacin de Pruebas:

Para la realizacin de las siguientes pruebas fue necesaria laparticipacin del Administrador del ERP, para la supervisin y la ayuda

necesaria.

NO. PRUEBAS EVIDENCIAS

1Intento de acceso al sistema con cuenta deusuario de tipo administrador y contraseaerrnea.

Nunca se bloque el accesodespus de 3 intentosContraseas de 5 caracteresAlfanumricos.

2 Revisin de Configuracin Inicial del ERP.Parmetros de seguridadcorrectas para Servidor y Clientedelgado.

3 Revisin de la informacin de la BD. BD indexada solo se puedeconsultar mediante el ERP.

4 Operaciones dentro del Mdulo. Pantallas del Mdulo.

5 Perfiles de usuarios. 4 tipos de perfiles.

Tabla 4.3 Pruebas realizadas.

Para visualizar las evidencias a ms detalle que fueron detectadas

durante la realizacin de las pruebas, (Ver Anexo J) donde se muestran laspantallas de configuraciones en el servidor referente a los perfiles de usuarios,configuraciones del ERP e interfaces del Mdulo de Inventarios.

Hallazgos

Los hallazgos encontrados fueron los siguientes dentro del Mdulo deInventarios. En la siguiente tabla se muestran la relacin de los hallazgos consu causa y efecto.


48/105


47

Hallazgo Causa Efecto

Concentracin deactividades en eladministrador.

No existe Depto. de TI secontrat un servicio deOutsourcingen TI.

Al tener una falla grave en elMdulo y el administrador nose pueda localizar, las

posibilidades de prdida deinformacin critica seincrementan.

Controles Dbiles en elprocedimiento deadministracin deusuarios.

No se tiene elconocimiento completo.

Usuarios que no seannecesarios se encontraran enla BD como usuarios activos.

Exceso de Confianzaentre los usuarios.

El personal se presta suscontraseas para teneracceso al ERP cuandootro usuario se ausenta.

Prdida de informacin porerror.

Falta de administracinde la documentacinexistente.

La documentacin la tienela empresa consultora delERP y la empresarefaccionaria no la hasolicitado.

Cuando se requiera revisarlaen caso de emergencia estano estar accesible.

Falta de Manual deusuario.

Usuarios del sistema conms de 3 aos son los quecapacitan a nuevosusuarios.

Usuarios con el manejoincorrecto de los procesos deentradas al Mdulo.

Nivel de seguridad medioen Contraseas.

Se configuraron solo con 5

caracteres alfanumricos,derivado del exceso deconfianza.

Entrada fcil a intrusos aldescifrar la contrasea deusuarios.

No existe registro deauditoras anteriores alMdulo.

Se crea que no esnecesaria una rutina deevaluacin al Mdulo.

No se enriquece polticas nicontroles para los procesosdel Mdulo.

Soporte Tcnico alMdulo y deActualizacin cada 6meses.

Estipularon ambasempresas en el contratoque la asistencia tcnicasera cada 6 meses.

Si surge un problema en elERP antes de ese lapsoaumenta la probabilidad deprdidas de informacin.

Falta de documentacin

de Polticas y controlesde procesos yprocedimientos delMdulo.

No se tienen diagramas deprocesos para el Mdulo nisobre polticas y controlessobre el mismo.

No se aplican correctamente.

Tabla 4.4 Hallazgos encontrados.


49/105


48

4.4.3 Anlisis de Riesgos

Se realizo un anlisis de riesgos de los hallazgos localizados durante laejecucin de la auditora, cuyo fin fue determinar la valoracin de los mismos.

Elegimos la metodologa de COBIT debido a que es una de las msutilizadas y recomendadas para llevar el anlisis de riesgos. A continuacin, semuestra el Anlisis de Riesgos:

Nombre del Activo: ERP MACROPRO, MDULO INVENTARIO DEREFACCIONES.

Central de Suspensiones Gmez S.A de C.V.FECHA: 11 de Agosto de 2010.

Caractersticas del sistema

Nombre del ERP: MACROPRO Talleres

La versin del software del ERP MACROPRO que actualmente tieneninstalada es la 2.10. Los mdulos que utiliza la empresa son los siguientes:

Contabilidad Bancos Nomina Inventario de refacciones

Compra de refacciones cuentas por pagar venta de refacciones cuentas por cobrar

Para llevar el control de sus operaciones cuentan con el ERP MACROPO, elcual se implanto desde hace 8 aos.

El ERP es administrado por el Outsourcingconsultor Conectivoquienes el distribuidor del mismo, el sistema ERP no ha sido auditado durante estetiempo.

Identificacin de amenazas

Amenazas Fuentes:

Amenazas de origen Humano:

No hay servicio de TI hasta que el pueda atender al ERP. Acceso fcil al mdulo de usuarios inactivos. Ataques a la integridad de la informacin de forma

accidental.


50/105


49

Informacin no accesible en caso necesario. Usuarios cometen fallas en los procesos del mdulo. Entrada fcil a intrusos. Polticas y controles dbiles en aspectos de seguridad. Fallas acontecidas antes de la fecha de soporte acordada. Deficiencias en el uso de las polticas y controles.

Amenazas de origen Natural:

Terremotos.

Amenazas Ambientales:

Incendio. Fallos de luz.

Ubicacin de hardware.

Identificacin de vulnerabilidades potenciales

No existe una segregacin de funciones del administrador delsistema.

Poco nfasis en control de usuarios activos y no activos. Prstamo de contraseas. Documentacin desordenada. Usuarios con antigedad capacitan a nuevos usuarios. Configuracin dbil en seguridad depassword. Falta de cultura en aspectos de auditora en informtica. Mantenimiento eventual. Las polticas y controles de los procesos del mdulo no estn

documentadas.

Anlisis de Controles

Controles Preventivos:

Existe documentacin sobre la instalacin del ERP. Se cuenta con documentacin sobre las actualizaciones habidas en

el ERP. Existen polticas de seguridad en el acceso al ERP. Existen privilegios en base al nivel y tipo de usuario. Existe encriptacin de datos. Se cuenta con respaldos de informacin.

Controles Detectivos:

Conteo de registros. Controles Correctivos.


51/105


50

Determinacin de la Probabilidad

NIVEL DEPROBABILIDAD

VULNERABILIDADES

Alta V1. No existe una segregacin de funciones del

administrador del sistema.

Media V2. Poco nfasis en control de usuarios activos y no activos.

Alta V3. Prstamo de contraseas.

Media V4. Documentacin desordenada.

Media V5. Usuarios con antigedad capacitan a nuevos usuarios.

Media V6. Configuracin dbil en seguridad de password.

Alta V7. Falta de cultura en aspectos de auditora en informtica

Media V8. Mantenimiento eventual.

Alta

auditoria al módulo de inventarios

Documents