REPÚBLICA BOLIVARIANA DE VENEZUELA
UNIVERSIDAD BICENTENARIA DE ARAGUA
VICERRECTORADO ACADÉMICO
DECANATO DE INGENIERÍA
ESCUELA DE INGENIERÍA EN SISTEMAS
SAN JOAQUÍN DE TURMERO - ESTADO ARAGUA
DICTAMEN DE AUDITORIA
INTRODUCCION
El objetivo de este plan de acción es realizar una auditoría completa del sistema ERP de TechFin Solutions, conocido como FinControl, con el propósito de identificar y solucionar fallas y debilidades que afectan su desempeño y seguridad. Esta auditoría busca examinar áreas clave del sistema para detectar riesgos potenciales y establecer recomendaciones precisas que mejoren la eficiencia, la protección de los datos y el cumplimiento normativo. Al identificar y abordar las vulnerabilidades actuales, TechFin Solutions podrá optimizar sus procesos operativos y garantizar la confiabilidad en sus operaciones diarias.
TechFin Solutions enfrenta problemas recurrentes en el funcionamiento de su ERP FinControl. Uno de los principales desafíos radica en la generación de informes financieros, donde se presentan inconsistencias y retrasos que obstaculizan la toma de decisiones estratégica. Además, la integración entre módulos clave, como contabilidad e inventarios, no se realiza de forma óptima, afectando la precisión de los datos y la eficiencia general del sistema. Por lo tanto, esta auditoría abordará estos aspectos, evaluando la estructura y los controles actuales del sistema para asegurar que el ERP cumpla con los estándares de eficiencia y seguridad esperados.
Para llevar a cabo esta auditoría, se ha seleccionado la metodología COBIT (Control Objectives for Information and Related Technologies), un marco de referencia sólido en la gobernanza y gestión de TI. COBIT se centra en asegurar que los procesos tecnológicos estén alineados con los objetivos estratégicos del negocio, proporcionando un enfoque estructurado que permite analizar y mejorar los sistemas desde el punto de vista del control y el cumplimiento.
EMPLEO Y DESCRIPCIÓN DETALLADA DE LAS FASES DE LA METODOLOGÍA COBIT
● Fase 1: Evaluar, dirigir y monitorear
En este dominio, el enfoque principal es asegurar que las prácticas y políticas de TI se alineen con las metas de negocio, manteniendo una supervisión constante sobre la implementación de los controles en los módulos del sistema ERP. La alineación de los objetivos de auditoría es fundamental para lograr que las áreas críticas del ERP, como contabilidad, inventarios y administración de relaciones con clientes (CRM), funcionen de manera coherente con las expectativas de la empresa.
La creación de indicadores de rendimiento y control para cada módulo permite monitorear de manera efectiva la eficiencia y seguridad de los procesos de TI en tiempo real. Además, la asignación de roles y responsabilidades a los miembros del equipo de auditoría permite una distribución adecuada de tareas, evitando duplicidades y asegurando que cada miembro contribuya de manera efectiva a la auditoría.
a) Definir los objetivos de auditoría para módulos clave del ERP, como contabilidad, inventarios, nómina y CRM.
b) Crear indicadores de rendimiento y control específicos para monitorear la efectividad de los controles en cada módulo.
c) Asignar roles y responsabilidades al equipo de auditoría para una distribución eficiente de las tareas.
● Fase 2: Alinear, planificar y organizar
Se busca establecer un plan estructurado para el proceso de auditoría, lo que incluye la definición de los controles específicos a evaluar en cada módulo del ERP. La documentación del sistema FinControl se recopila en esta fase, incluyendo políticas de acceso, manuales y configuraciones que serán referencia para el equipo de auditoría.
Para una ejecución ordenada, se diseña un calendario de auditoría detallado que establece tiempos específicos para la realización de pruebas en cada fase, lo cual es fundamental para evitar retrasos y optimizar los recursos. Este calendario incluye la planificación de pruebas de funcionalidad, rendimiento y seguridad en el sistema ERP.
a) Definir controles específicos a evaluar en cada módulo del ERP.
b) Recopilar documentación clave del sistema FinControl para facilitar el análisis del equipo auditor.
c) Crear un calendario de auditoría con tiempos específicos para cada fase, asegurando el cumplimiento de los tiempos definidos.
● Fase 3: Construir, adquirir e implementar
Se centra en evaluar la efectividad de los controles de TI y en implementar mejoras necesarias en el sistema ERP para asegurar que cumpla con los requisitos de la organización. Durante esta fase, se llevan a cabo pruebas de funcionalidad en módulos clave, como el de contabilidad, verificando que el sistema pueda generar informes financieros precisos y que los cálculos se realicen sin errores. De igual manera, se evalúan los flujos de trabajo en el módulo de inventarios, garantizando que sean coherentes con los procesos de la organización y que no existan fallas en la operación.
En paralelo, se realizan pruebas de seguridad que incluyen simulaciones de intrusión y otros mecanismos para evaluar la resistencia del sistema frente a ataques y detectar posibles fallos de seguridad. Esta fase tiene como fin asegurar que el sistema sea seguro y que su operatividad no se vea comprometida en situaciones críticas.
a) Realizar pruebas de funcionalidad en los módulos de contabilidad e inventarios, evaluando precisión y coherencia en los flujos de trabajo.
b) Ejecutar simulaciones de intrusión y pruebas de seguridad para identificar posibles vulnerabilidades.
c) Proponer y documentar ajustes en los controles de seguridad para reforzar la protección de los datos.
● Fase 4: Entregar, dar Soporte y servicio
El dominio de entrega, soporte y servicio en COBIT se orienta a garantizar la operación estable y segura del ERP, ofreciendo soporte técnico continuo y asegurando que los controles implementados funcionen adecuadamente en el día a día. Esto incluye un monitoreo constante del sistema ERP para detectar cualquier error o interrupción en los módulos críticos, lo cual es esencial para la continuidad operativa de la organización.
Al mantener una vigilancia sobre el desempeño del ERP, el equipo puede identificar problemas antes de que afecten la funcionalidad general del sistema, lo que minimiza el impacto sobre las operaciones diarias.
Este proceso incluye la disponibilidad de técnicos y la configuración de sistemas de alerta que avisen de posibles fallos. Finalmente, la documentación de cada incidencia permite obtener información relevante para optimizar el soporte y mejorar la configuración de los controles en el sistema ERP.
a) Monitorear el desempeño del ERP tras la implementación de controles, evitando interrupciones en los módulos críticos.
b) Brindar soporte continuo para resolver fallas de funcionalidad y asegurar la operatividad del sistema.
c) Implementar sistemas de alerta y documentar incidencias para optimizar el soporte técnico y la configuración de controles.
● Fase 5: Monitorear, evaluar y analizar
En esta fase, se revisan los resultados obtenidos en las pruebas de funcionalidad y seguridad de cada módulo, documentando tanto los logros como las debilidades de los controles. Los hallazgos obtenidos se utilizan para realizar recomendaciones sobre mejoras adicionales que fortalezcan la seguridad y funcionalidad del sistema. La fase de monitoreo también permite crear un reporte final que documenta todas las vulnerabilidades detectadas, recomendaciones y áreas de oportunidad, proporcionando un plan de mejora continua que guía las futuras actualizaciones en el ERP. Este reporte debe ser detallado y claro, facilitando a los responsables de TI y a la alta dirección la implementación de las mejoras necesarias.
a) Revisar resultados de las pruebas de funcionalidad y seguridad, documentando fortalezas y debilidades de los controles.
b) Evaluar el cumplimiento de los objetivos de auditoría en cada fase y generar recomendaciones para mejora continua.
c) Generar un reporte final de auditoría con hallazgos, recomendaciones y un plan de mejora continua.
PLAN DE ACTIVIDADES Y CRONOGRAMA
Para gestionar este plan de actividades de manera efectiva, utilizaremos un cronograma semanal, que asigna tareas específicas a cada semana del proceso de auditoría. Este enfoque permite organizar cada fase, como la planificación, evaluación de controles, pruebas de funcionalidad, y la elaboración del informe final, en intervalos manejables. Además, cada tarea tiene un objetivo claro, alineado con los resultados esperados de cada fase de auditoría. Se estima un tiempo 8 a 10 semanas, el cual se segmenta como:
SEMANA 1. Se centra en establecer una base estructurada y clara para la auditoría, asegurando que todo esté preparado para las siguientes fases. Durante esta etapa inicial, se define el alcance de la auditoría y se establecen los objetivos específicos en relación con los módulos críticos del sistema ERP. También se asignan roles y responsabilidades a cada miembro del equipo, lo que facilita la organización y coordinación de las tareas. La recopilación de información relevante es una tarea crucial en esta fase, ya que permite contar con toda la documentación y los registros necesarios para realizar una evaluación exhaustiva en las semanas posteriores.
Tarea
Definición del Alcance de la Auditoría
Asignación de Roles y Responsabilidades
Recopilación de Información Relevante
Establecimiento del Cronograma Detallado
Revisión y Aprobación del Plan Inicial
Acciones Específicas
- Identificar áreas y módulos del ERP a auditar.
- Alinear objetivos con las prioridades de la organización.
- Establecer criterios de control y evaluación.
- Designar tareas a cada miembro del equipo.
- Definir roles en actividades y fases posteriores.
- Asegurar comprensión de responsabilidades y flujo de trabajo.
- Recopilar documentación y configuraciones del ERP.
- Organizar la documentación para su fácil acceso.
- Reunir reportes y registros previos del sistema.
- Crear un calendario detallado de fases y tiempos.
- Identificar dependencias entre tareas.
- Asegurar un flujo de trabajo sin interrupciones.
- Presentar el plan al equipo y responsables de la organización.
- Alinear objetivos y calendario.
- Realizar ajustes necesarios según expectativas.
SEMANA 2 Y 3. El enfoque principal es la recopilación de información necesaria para llevar a cabo las siguientes fases de auditoría con precisión y eficiencia. Esta etapa es fundamental para entender en detalle el funcionamiento de cada módulo del sistema ERP y sus controles internos. La información recopilada será la base para evaluar la efectividad de los controles y realizar pruebas de funcionalidad y seguridad de manera informada. En esta semana se ejecutan las siguientes acciones:
Tarea
Revisión DE documentación técnica DEL sistema erp
Recopilación DE políticas Y procedimientos DE acceso Y seguridad
Obtención DE reportes DE auditoría anterior
Entrevistas CON usuarios clave DEL sistema
Organización Y almacenamiento DE LA información recopilada
Acciones Específicas
Revisar documentación técnica, manuales, políticas de acceso, configuraciones de seguridad, y esquemas de flujo de trabajo.
Identificar y recopilar políticas de acceso y seguridad, incluyendo contraseñas, autenticación multifactorial, y roles de acceso.
Solicitar reportes de auditorías previas para revisar hallazgos y recomendaciones.
Realizar entrevistas con administradores y gerentes para entender el uso cotidiano y los problemas del sistema.
Organizar toda la información en un sistema de archivo accesible para el equipo de auditoría.
Propósito
Comprender la configuración del sistema, niveles de seguridad, y estructura de permisos de acceso.
Facilitar la evaluación de niveles de acceso y seguridad, asegurando que el sistema permita acceso solo a usuarios autorizados.
Identificar problemas y recomendaciones previas, y determinar si se han implementado mejoras, ayudando a reconocer patrones de riesgo.
Obtener perspectiva de los usuarios clave sobre los desafíos y áreas de mejora en los módulos que utilizan regularmente.
Facilitar el acceso rápido a la información durante las fases de evaluación y pruebas, evitando retrasos y mejorando la consulta de datos necesarios.
SEMANA 4 Y 5. Verificar que los módulos clave del ERP, como contabilidad e inventarios, funcionen correctamente, sin errores ni interrupciones en los flujos de trabajo, garantizando la operatividad del sistema de acuerdo con los estándares requeridos. Antes de iniciar las pruebas, es importante reunir todos los datos necesarios sobre los módulos que se evaluarán, es necesario:
• Documentación técnica y manuales de usuario de los módulos de contabilidad e inventarios.
• Listados de procesos internos para cada módulo, incluyendo los procedimientos operativos estándar y flujos de trabajo.
• Reportes de uso y desempeño previos, que sirvan como referencia para los niveles de funcionalidad esperados.
Tarea
Pruebas de rendimiento en contabilidad
Evaluación de procesos en el módulo de inventarios
Recopilación de validación de integridad de datos en los módulos evaluados
Acciones Específicas
- Realizar pruebas de generación de informes financieros en condiciones de carga normal y elevada.
- Evaluar la precisión de los cálculos y tiempos de respuesta en la creación de reportes contables.
- Comparar los resultados de las pruebas con los tiempos y estándares operativos definidos por la organización.
- Simular operaciones de entrada y salida de inventario para verificar la coherencia de los datos a lo largo de los flujos de trabajo.
- Verificar que las actualizaciones de inventario se reflejen correctamente en tiempo real y sin demoras.
- Identificar y documentar cualquier falla o inconsistencia que pueda afectar la precisión y disponibilidad de la información de inventario.
- Comprobar que no haya pérdidas de datos ni errores en la sincronización entre el módulo de contabilidad e inventarios.
- Revisar que los registros y transacciones se almacenen correctamente, asegurando que no existan errores en la base de datos.
- Documentar cualquier error de datos o fallas detectadas y proponer acciones correctivas necesarias.
SEMANA 6. Esta fase se enfoca en la identificación de posibles vulnerabilidades en los módulos críticos del sistema, como contabilidad e inventarios, y busca documentar cualquier brecha en la seguridad. Para lograrlo, se realizarán simulaciones de ataque y pruebas de penetración, diseñadas para evaluar la fortaleza del sistema frente a amenazas internas y externas. Estas pruebas proporcionarán una visión clara sobre las áreas del sistema que podrían requerir refuerzos o ajustes en sus controles de seguridad. Se enfoca en la realización de:
Simulación de ataques e intrusiones
• Realizar simulaciones de ataques, tanto internos como externos, para observar cómo responde el sistema ante posibles intentos de acceso no autorizado.
• Pruebas de fuerza bruta en los sistemas de autenticación, así como intentos de acceso mediante técnicas de phishing.
• Documentar cada paso de la simulación y sus resultados.
Pruebas de penetración
• Ejecutar penetration testing para evaluar posibles vulnerabilidades dentro de los módulos contables y administrativos.
Evaluación de políticas de seguridad actuales
• Revisar las políticas de acceso y autenticación en cada módulo
• Comparar las políticas actuales con los resultados de las simulaciones y pruebas de penetración.
Análisis y documentación de vulnerabilidades
• Analizar todos los hallazgos de las pruebas y simulaciones, enfocándose en puntos débiles específicos dentro del sistema.
• Documentar cada vulnerabilidad identificada, detallando su ubicación, el tipo de riesgo que representa, y el impacto potencial sobre la integridad de los datos.
SEMANA 7 AL 10. Durante estas semanas, el equipo se dedica a recopilar, analizar y documentar toda la información obtenida en las fases anteriores del proyecto de auditoría. El objetivo de esta etapa es consolidar los hallazgos, evaluar los resultados obtenidos en cada fase de auditoría y preparar un informe final que refleje la situación del sistema ERP en términos de funcionalidad, seguridad y cumplimiento de los controles establecidos.
Semana
Acciones Específicas
7 Consolidación de información
8 Análisis y síntesis de resultados
9 Redacción del informe final
10 Presentación de resultados y recomendaciones
Objetivo Principal
- Recopilar los reportes parciales de cada fase.
- Revisar hallazgos en cada módulo del ERP.
- Identificar áreas de mejora recurrentes.
- Asegurar documentación completa.
- Evaluar impacto de cada hallazgo en el ERP.
- Priorizar áreas de mejora según riesgo e impacto.
- Desarrollar esquema preliminar de recomendaciones.
- Redactar resumen ejecutivo.
- Redactar el informe final con estructura clara.
- Incluir hallazgos y recomendaciones en detalle.
- Revisar y editar el informe para coherencia.
- Preparar presentación visual de resultados.
- Exponer hallazgos clave y recomendaciones.
- Resolver dudas del equipo de TI y dirección.
- Planificar seguimiento para implementación.
NOMBRE DE LA ORGANIZACIÓN:
ÁREA A AUDITAR
METODOLOGÍA
LISTA DE VERIFICACIÓN DE CONTROLES
TECHFIN SOLUTIONS
SISTEMAS CONTABLES Y ADMINISTRATIVOS (ERP)
CONTROL DE ACCESO Y AUTORIZACIÓN
Identificación de Usuarios
Autenticación Multifactor
Roles y Permisos
Registro de Accesos Fallidos
Revisión de Accesos
Confirmar que cada usuario tiene una identificación única en el sistema.
Verificar el uso de autenticación multifactor en accesos críticos.
Asegurar que los permisos de acceso correspondan al rol de cada usuario.
Asegurar que el sistema registre y alerte intentos de acceso fallidos.
Confirmar revisiones periódicas de accesos y revocación de permisos innecesarios.
SEGURIDAD DE LA INFORMACIÓN Y PROTECCIÓN DE DATOS
Cifrado de Datos Sensibles
Políticas de Seguridad de Información
Respaldo y Recuperación de Datos
Capacitación en Seguridad
Verificar que los usuarios reciben capacitación en prácticas de seguridad.
Confirmar que los datos confidenciales estén cifrados en reposo y en tránsito.
Verificar que existen políticas de seguridad y contraseñas robustas.
Asegurar un sistema de respaldo de datos con procedimientos documentados.
Verificar que los usuarios reciben capacitación en prácticas de seguridad.
Verificar que los usuarios reciben capacitación en prácticas de seguridad.
NOMBRE DE LA ORGANIZACIÓN:
ÁREA A AUDITAR