Professional Documents
Culture Documents
Resumen
En la actualidad, las empresas trabajan con un alto volumen de informacin, debido a que
cuentan con sistemas que les permite manejar cientos de transacciones al da, como operaciones de
venta, compra, produccin, planillas, entre otros. Muchas compaas estn optando por cambiar sus
sistemas de informacin desarrollados o adquiridos por los denominados Enterprise Resource
Planning (ERP), implementando los mdulos asociados a los procesos de negocio con los cuales
laboran. Es necesario tomar en cuenta que todos los procesos de negocio estn asociados a riesgos
operativos y financieros, los que pueden ser mitigados mediante controles manuales o automticos.
Sin embargo, a pesar de que los ERP manejan un alto nivel de controles automticos configurables
e inherentes, en muchas de sus implementaciones no configuran adecuadamente dichos controles,
dejando descubiertos los riesgos mencionados. En este sentido, como antesala a la implementacin
del ERP, se propone el proyecto de evaluacin de riesgos y controles asociados a los procesos como el
conjunto de las actividades necesarias para que el nuevo sistema de informacin (ERP) permita a los
procesos de negocio contar con controles fuertes y adecuados para mitigar los riesgos operativos y
financieros de la empresa.
Palabras clave: Riesgo operativo / riesgo financiero / control manual / control automtico / ERP
- Enterprise Resource Planning / interfaz / repositorio de datos.
92 n 4, 2011, 91-104
Riesgos y controles en los proyectos de implementacin de ERP
n 4, 2011, 91-104 93
Manuel Nez Eduardo
94 n 4, 2011, 91-104
Riesgos y controles en los proyectos de implementacin de ERP
a conocer cules son los riesgos que no se encuentran cubiertos por controles
automticos del sistema de informacin, e inclusive no se llega a tener un mapa
completo de cules son los riesgos presentes de dichos procesos.
Toda organizacin o empresa tiene riesgos que se encuentran presentes en
los procesos de negocio. Algunos riesgos tienen mayor ponderacin que otros en
un enfoque de criticidad. Es por esto que el riesgo puede ser tratado, de acuerdo
con el ISACA (Information System Audit and Control Association) de las siguientes
cuatro maneras:
Mitigado, por medio de aplicacin de controles.
Transferido, a travs del traspaso de la operacin con riesgo a otro proceso.
Eliminado, por medio de la eliminacin del proceso o subproceso que contenga
el riesgo a eliminar.
Aceptado, declarando la aceptacin de la convivencia del riesgo.
De acuerdo con lo mencionado, la mitigacin de riesgos incorporando
controles automticos en los aplicativos desarrollados o adquiridos implicaba
costes adicionales. Sin embargo, con los sistemas ERP la versatilidad y la flexibilidad
de las configuraciones (customizing), permite ampliar la potencialidad en el manejo
de controles automticos en los procesos de negocio, con el fin de mitigar los
riesgos asociados.
n 4, 2011, 91-104 95
Manuel Nez Eduardo
96 n 4, 2011, 91-104
Riesgos y controles en los proyectos de implementacin de ERP
n 4, 2011, 91-104 97
Manuel Nez Eduardo
Para los tres casos, se mantienen como pilares el adecuado tratamiento de los
riesgos, la fortificacin del ambiente de control, la definicin clara y detallada de
los procesos de la empresa y la respectiva tarea fiscalizadora de las actividades que
realizan las reas claves de la empresa regulada.
Elaboracin propia.
98 n 4, 2011, 91-104
Riesgos y controles en los proyectos de implementacin de ERP
n 4, 2011, 91-104 99
Manuel Nez Eduardo
Elaboracin propia
Glosario de trminos
Concurrente: Desarrollo personalizado para el caso del EBS de Oracle.
Configuracin: Adaptar una aplicacin software al resto de los elementos del
entorno y a las necesidades especficas del usuario.
ERP (Enterprise Resource Planning). Sistema integrado que permite administrar
y gestionar las operaciones diarias de la empresa y reflejar su respectiva
contabilizacin para que posteriormente se emitan sus estados financieros.
GRC: Gobierno, riesgo y cumplimiento son los tres trminos que describen un
amplio rango de actividades dentro de la organizacin.
Interfaz: Conexin entre diferentes sistemas de informacin que hace posible
la transferencia de datos en lnea, por registro manual o por importacin
manual de archivos generados por el sistema.
In-house: Desarrollo de aplicaciones a medida de las necesidades de la empresa.
Know-how: Conocimientos adquiridos o preexistentes, no siempre de carcter
acadmico, que incluyen tcnicas, informacin secreta, teoras, etctera.
Migracin de datos: Proceso mediante el cual los datos residentes son traspasados
de una base de datos a otra.
Partner: Empresa consultora que brinda servicios o productos, autorizada por el
proveedor principal.
Poltica: Orientaciones o directrices que rigen la actuacin de una persona o
entidad en un asunto o campo determinado y que se encuentran plasmadas
en documentos.
Procedimiento: Relacin de mtodos que definen cmo ejecutar lo definido por
las polticas.
Producto de software: Aplicacin desarrollada para usuarios.
Proyecto de implementacin: Proyecto que contempla las fases de planificacin,
anlisis, diseo, construccin, estabilizacin y cierre.
Repositorio de datos: Coleccin centralizada de data corporativa, histrica y
transformada proveniente de sistemas transaccionales.
ROI: Retorno sobre la inversin.
Riesgo: Probabilidad de que una amenaza se convierta en un desastre.
Sistema legado: Sistema de informacin antiguo pero que contina siendo
utilizado por la organizacin.
Sistema de informacin: Conjunto de elementos orientados al tratamiento y
administracin de datos e informacin.
Core: Principal y de mayor importancia.
Tercerizado: Proviene del trmino tercerizacin, el cual se define como la
subcontratacin (ms conocido por el trmino en ingls outsourcing), que
es el proceso econmico en el cual una empresa determinada destina a
una empresa externa los recursos orientados a cumplir ciertas tareas, por
medio de un contrato. Se da sobre todo en el caso de la subcontratacin de
empresas especializadas.
Vertical: Desarrollo personalizado para el caso del ERP SAP.
Bibliografa
Commissioner Glassman, Cynthia A. (30 de setiembre del 2002). Sarbanes-Oxley and
the idea of good governance. http://www.sec.gov/news/speech/spch586.
htm [Consulta: 28 de agosto del 2011].