jueves, 14 de noviembre de 2013

La implementacion de ERP desde la perspectiva de Auditoria Interna

En el año 2007 fui invitado a exponer en las III Jornadas Rioplatenses de Auditoría Interna donde, junto a Yenia Moreno (consultora colombiana de Invenzis), presentamos las principales herramientas que brinda SAP como Security Solution Map: aplicaciones de seguridad, roles, privacidad, autentificación de usuarios, control de accesos, infraestructura, etc.

Este año, en el pasado mes de setiembre participé como expositor en las IX Jornadas Rioplatenses de Auditoría Interna con un enfoque mucho más práctico, ya que mi presentación abordó las características de la implementación de sistemas integrados de gestión (ERP, por su sigla en inglés) desde la perspectiva de Auditoría Interna, en base a mis experiencias con SAP en Uruguay.

Comencé hablando de las características de la metodología A-SAP que indica que no hay ni paralelos ni pilotos, por lo que el énfasis está puesto en el estricto cumplimiento de los objetivos de cada una de las fases del roadmap (preparación, business blueprint, realización, preparación final y golive & soporte).

Luego respondía la pregunta ¿Por qué involucrar a los auditores internos en este tipo de proyectos? destacando el conocimiento que los equipos de auditoría suelen tener de los procesos de negocios, y su visión integradora (sistémica). Así como también remarcaba su conocimiento y experiencia en aspectos claves como los Puntos de Control , la Segregación de Funciones y los Roles de Usuarios (en especial para definir los Roles de Equipo de Sistemas de manera independiente al proyecto).

La realidad de la mayoría de los proyectos en Uruguay es que tienen un presupuesto reducido que en general lleva a recortar horas para la gestión del cambio, el área Basis / Roles, se minimizan los tiempos de Testing, no participan gestores profesionales de proyectos (PMP) y no se incorporan las herramientas de Audit Information System (AIS). Además en casi ningún caso se implementan los módulos de gestión de recursos humanos (HR) lo cual impacta en la definición de los roles de usuarios.

Como recomendaciones prácticas destaqué en mi presentación el necesario protagonismo de los equipos de auditoría de manera de tomar el control del proyecto de implementación desde el comienzo, estableciendo metas propias. También resalté la importancia del testing y validación de los procesos, así como de verificar roles, teniendo en cuenta que generalmente se prueba poder hacer, pero se omite probar no poder.

En el final dediqué unos minutos a los aspectos vinculados a la formación. Por un lado la específica que podría enmarcarse en un Programa de Formación en Auditoría destinado a auditores del proceso de negocios, así como personal de las áreas de Finanzas y Contabilidad que son responsables del control, mejora y diseño del proceso de control. Este programa podrían incluir aspectos funcionales (con el objetivo de incorporar los conocimientos básicos relacionados con tareas administrativas del sistema, necesarios para el auditor de sistemas) y aspectos más técnicos (para aprender a utilizar las herramientas de auditoría de SAP para conducir y estructurar los mecanismos de monitoreo de seguridad).

Por otra parte aproveché la oportunidad para destacar la necesidad - cada vez más notoria - de lo que llamo la formación mixta que combine aspectos del negocio y tecnologías como lo que impulsamos desde el Posgrado en Sistemas de Información de las Organizaciones.

[Presentación disponible aquí]
.
.