Hoy en día la mayoría de las grandes empresas, y en parte las medianas, han implementado, se encuentran en proceso o con planes de implantar un paquete de clase mundial ERP. Si analizamos esto en el contexto de la Gobernabilidad Corporativa, Gestión de Riesgos y Cumplimiento, como se denomina en inglés “Governance, Risk and Compliance (GRC)”, concepto que paulatinamente se está aplicando globalmente en las distintas industrias, implica que las compañías comiencen a llevar a cabo iniciativas para potenciar el control interno, pero con una perspectiva más estratégica.
El hecho que las empresas lleven a cabo estas iniciativas, necesariamente cambia la naturaleza de los controles, considerando que de muchos controles manuales en los procesos de negocios, al implementar el sistema ERP, tienden a aumentar la cantidad de controles automáticos, puesto que la gran mayoría de los software de este tipo tienen variadas posibilidades para implantar éstos.
Lo anterior, ha redundado en que en el último tiempo las compañías consideren equipos de seguridad y control como parte de los frentes que implementan los sistemas ERP, de tal forma que éstos se preocupen de abordar estos aspectos y con eso contribuir a que tanto los procesos relacionados con Tecnologías de Información y Comunicación, como de negocios, cuenten desde el inicio de la operación del software, con mecanismos que permitan asegurar la integridad, confidencialidad y disponibilidad de la información y mitigar los riesgos de errores y fraudes.
Los equipos de seguridad y control suelen estar compuestos por las unidades de auditoría interna, contraloría y especialistas en seguridad y controles en ERP, lo que genera una sinergia tal que contribuye con los frentes funcionales para el aseguramiento de la calidad de la implementación.
Cabe mencionar, que en la medida en que los frentes de seguridad y control estén compuestos por auditores internos, no es recomendable que éstos se involucren en tareas relacionadas con la implementación de los controles o configuración de parámetros de seguridad del sistema ERP, dado que ello haría perder independencia y objetividad cuando se tenga que auditar dichos procesos en la organización. Lo anterior, considerando que esta última es una de las normas esenciales del auditor, lo que hace recomendable que su rol esté relacionado con el aseguramiento de calidad y monitoreo de estos aspectos.
Seguridad y control
A continuación se mencionan las consideraciones de seguridad y control que deben tener presentes todas las empresas al momento de implementar un sistema ERP y como parte de sus planes de mejora continua:
1.-Controles de seguridad del ERP:
1.1 Calibración de controles relacionados con parámetros de seguridad de la aplicación: Password, user id, intentos fallidos y autenticación, entre otros.1.2 Controles relacionados con la seguridad del sistema operativo, redes y base de datos que soportarán el ERP, denominados también controles generales de las TIC.1.3 Definición de una estrategia de segregación funcional (privilegios incompatibles y críticos) para los roles y perfiles de usuario del ERP, en donde se consideran usuarios finales y súper usuarios que utilizarán el sistema. 1.4 Controles para asegurar los desarrollos internos relacionados con funcionalidades no estándar, tales como programas y tablas. 1.5 Definición de políticas y procedimientos de seguridad de la información, que contemplan: Procedimiento de asignación de privilegios, administración del maestro de usuarios, control de cambios para los desarrollos internos, criterios y buenas prácticas para la configuración y mantención de parámetros de seguridad, entre otros.
2.-Controles de procesos de negocio del ERP: En este ámbito se establecen los controles de los procesos de negocio, y el frente de seguridad y control realiza la revisión de los documentos que han sido preparados por los frentes funcionales, de tal manera de asegurar que se estén considerando los aspectos de control del proceso, ya que posteriormente los frentes implementadores deben tomar esta información y hacer las parametrizaciones de los módulos integrados del ERP que sustentarán posteriormente los procesos de la empresa.
Aquí se recomienda que la parametrización de estos controles sea parte del alcance del proyecto de implementación del ERP.
A continuación se mencionan algunos controles típicos de procesos de negocio que deben ser adecuadamente parametrizados:
2.1.- Ciclo de gastos: Que se relaciona con los procesos de negocios, compras, cuentas por pagar y pago (procesamiento de desembolsos) a acreedores: 2.1.1 Bloqueos automáticos de facturas duplicadas de acreedores.2.1.2 Aprobación automática de órdenes de compra definidas por montos (tramos).2.1.3 Consistencia orden de compra v/s factura.2.1.4 Bloqueos automáticos de facturas no asociadas a órdenes de compra.2.1.5 Controles para el pago de facturas de acreedor sin órdenes de compra.2.1.6 Controles relativos a las propuestas masivas de pago a acreedores asociados a órdenes de compra.2.1.7 Controles para la gestión de los contratos marcos u órdenes de compras abiertas.2.1.8 Integridad y validez del maestro de proveedores, entre otros.
2.2.- Ciclo de existencias: Que se relaciona con los procesos de negocios, gestión de stock de bodegas (aumento y disminución de existencias) e inventarios.
2.2.1 Límites de tolerancia en la recepción de productos en bodegas (consistencia orden de compra v/s guía de despacho del proveedor).2.2.2 Campos obligatorios para el registro de aumentos y disminuciones de existencias.2.2.3 Control de movimientos de existencia.2.2.4 Control de ajustes de inventario de existencias.2.2.5 Parámetros de valorización de la existencia.2.2.6 Integridad y validez del maestro de materiales.
Todas estas consideraciones de control deben ser sustentadas con políticas y procedimientos que permitan reflejar los criterios de control aprobados por la administración, tales como montos, porcentajes de tolerancias, aprobadores, u otros, y así poder tener más claridad respecto a los criterios que se deben resguardar y monitorear en el tiempo.
Finalmente, es importante saber que muchas de estas consideraciones de seguridad y controles actualmente han sido contempladas por las soluciones de Governance, Risk and Compliance (GRC), que los grandes proveedores de ERP de clase mundial han desarrollado y que paulatinamente las empresas están evaluando para poder mantener un modelo de seguridad y control interno que sea eficiente, sustentable en el tiempo y apoyado por las Tecnologías de Información.
