Una vez más, un lector del blog plantea sus dudas, ya sea vía correo electrónico o ya sea escribiendo comentarios a alguna de las entradas. En esta ocasión, Ricardo Javier preguntaba:
Muy bueno tu blog, soy un lector asiduo y he recibido varias recomendaciones y me ha sido muy util al ir a los sitios que recomiendas para consultar mas a fondo los estandares ITIL y COBIT principalmente, pero ahora la pregunta que te hago es si en algún lugar habrá una guia para auditar la implantación de Sistemas ERP, sé que ISACA ha realizado algunos mapeos de COBIT con PMBOK,CMMI,ITIL, ISO17799 y que cubren algunos aspectos a considerar.
¿Alguna sugerencia?
La respuesta no es del todo simple, ya que el terreno de la implantación de ERP no es precisamente mi fuerte, pero quisiera recomendar desde aquí dos importantes fuentes de información.
Por una parte, tenemos ISACA, que publica habitualmente manuales específicos para la auditoría de entornos comunes y que ha publicado dos documentos relacionados:
- Security, Audit and Control Features Oracle® E-Business Suite, 2nd Edition un paquete de cuestionarios para la auditoria de este ERP (descarga sólo para miembros de ISACA). Tal y como dice en la introducción, literalmente:
The purpose of these audit plans and internal control questionnaires (ICQs) is to provide the audit, control and security professional with a methodology for evaluating the subject matter of the ISACA publication Security, Audit and Control Features Oracle® E-Business Suite: A Technical and Risk Management Guide, 2nd Edition.
- El libro Security, Audit and Control Features SAP R/3: A Technical and Risk Management Reference Guide, Second Edition, libro enfocado a la auditoría y control de las implantaciones de este ERP.
This practical, how-to technical and risk management reference guide enables assurance, security and risk professionals (both IT and non-IT) to evaluate risks and controls in existing ERP implementations and facilitates the design and building of better practice controls into system upgrades and enhancements. The publication is based on SAP R/3 versions 4.6c and 4.7 and is the second edition of the globally demanded 2002 initial edition.
- Por último, la lista completa de publicaciones de ISACA relativas a entornos específicos la puedes encontrar aquí.
Por otra parte, una fuente muy interesante de checklists y controles la página del IT Compliance Institut, que desarrolla una gran cantidad de documentación y que dispone de la sección "Auditor Answers", donde puedes encontrar el artículo Auditor Answers: Enterprise Resource Planning Audits.
2 comentarios:
Hola:
Una referencia puede ser también:
http://www.auditnet.org/sapaudit.htm.
Contiene enlaces a algunos documentos interesantes, aunque en parte sean algo antiguos ya.
Un saludo.
Aquí Ricardo Javier, sólo para agradecer el tiempo dedicado a responder a mi pregunta, y que las ligas indicadas son para mí útiles, ademas de seguir las recomendaciones de empezar con pocas métricas.
Publicar un comentario