Se dice en el mundo de la auditoría relacionado con la TI (Technology Information) que en un Enterprise Resource Planning (ERP) no es necesario verificar la integridad de los datos porque, sin importar lo que ocurra, éstos siempre se mantienen íntegros.
El objetivo de este artículo es tratar de dilucidar si esta afirmación es tan sólo un mito o si se corresponde con la realidad y cuáles son sus consecuencias en una auditoría. Para este fin, es preciso comenzar por algunas definiciones básicas.
Se define como integridad de datos a la corrección y completitud de la información en una base de datos. Es decir, una base de datos está íntegra cuando los datos que almacena "son los que deben ser" y "no falta ni sobra nada".
Un ERP es un sistema que integra todas las partes de una compañía (incluyendo la planificación, la fabricación, las ventas, el marketing y la contabilidad) bajo un mismo juego de programas, que actualizan una base de datos que contiene toda la información de la compañía. Así, un ERP debe ser integrado, ya que su objetivo es integrar y vincular todos los procesos de la empresa, lo cual permite una mayor eficiencia y reducción de tiempo y costos al facilitar el flujo de información entre los diferentes módulos. A su vez, debe ser modular, dado que cada área funcional de la empresa se corresponde con un módulo del sistema de gestión, cada uno de los cuales, aunque independientes, comparten información entre sí mediante la base de datos centralizada. Por último, un ERP tiene que ser adaptable (ajustable, personalizable, customizable) a las necesidades de cada empresa, región y país donde funcione.
Desde el punto de vista del procesamiento de datos, un ERP tiene similares riesgos implícitos que cualquier otro sistema computarizado; por ejemplo, un ERP puede verse afectado por cancelaciones, problemas de procesamiento, operadores que utilizan mal el sistema, programas mal actualizados que realizan funciones distintas para las que fue programado y todos los riesgos que habitualmente se evalúan para un sistema computadorizado.
Entonces, si existen riesgos similares a los de otros sistemas informáticos, en un ERP hay también riesgo de perder la integridad de los datos: cuestiones de parametrizaciones erróneas, ingreso masivo de datos erróneos, cancelaciones durante la carga masiva de datos y/o migraciones parciales de datos pueden ocasionar que la integridad de los datos en la base se vea afectada.
Lo que ocurre, y tal vez sea un factor que alimente el mito, es que se dan casos donde los datos no son íntegros (por ejemplo, el total de las facturas emitidas en un mes, si se suma factura por factura, es distinto al total de facturas almacenado en la contabilidad) y el sistema no deja de operar por esta circunstancia.
Sin embargo, se pueden llegar a conclusiones erróneas si los datos no son íntegros en un ERP. Depende del reporte o salida de información que mire puedo obtener datos distintos para informaciones que deberían coincidir. Por ejemplo, en un reporte de ventas tengo un saldo de ventas mensual y en otro que sumariza cada una de las ventas realizadas tengo un total distinto.
Por esto, es necesario que el auditor verifique la integridad de los datos en un ERP, dado que existe el riesgo de que con el funcionamiento normal del sistema y si existieron algunos de los errores comentados previamente, los datos puedan haber perdido integridad.
En este sentido, los ERP disponen de una serie de reportes estándar cuyo objetivo es verificar la integridad de los datos. Estos reportes pueden ser utilizados por implementadores, administradores, auditores y usuarios finales con funciones de control o supervisión, para determinar si los datos se mantienen íntegros.
La existencia de estos reportes demuestra que la afirmación común de que en un ERP no es necesario verificar la integridad de los datos porque éstos siempre se mantienen íntegros sin importar lo que ocurra no es correcta. Es por esto que, como en cualquier aplicación informática, en los ERP la integridad de datos también debe ser verificada en una auditoría.
Anterior 
