AUDITORIAS ESPECIFICAS

BCPDATA CENTER

SAP

REINEL TABARES SOTO

Presentado a:

CARLOS HERNAN GOMEZAuditoria

UNIVERSIDAD DE CALDASFACULTAD DE INGENIERÍA

Ingeniería en Sistemas y ComputaciónManizales, Noviembre

2014

1. BCP: PLANEACIÓN DE LA CONTINUIDAD DEL NEGOCIO

1.1 INTRODUCCIÓN

La Continuidad del Negocio es un concepto que abarca tanto la Planeación para Recuperación de Desastres (DRP) como la Planeación para el Restablecimiento del Negocio. La Recuperación de Desastres es la capacidad para responder a una interrupción de los servicios mediante la implementación de un plan para restablecer las funciones críticas de la organización.

El establecimiento de procedimientos y medidas de seguridad están destinados a salvaguardar la unidad administrativa, el centro de cómputo y su estructura física, al personal, sus procedimientos operacionales, la información y documentación generada contra cualquier evento natural o humano que de forma intencional o por accidente puedan afectarlos.

Un programa efectivo de administración de la continuidad del negocio constituye un aspecto crítico para las organizaciones de hoy. La experiencia nos dice que cerca del 50% de las organizaciones que han experimentado un desastre sin contar con un plan efectivo de continuidad, dejarán de operar a los doce meses como máximo e inclusive aquellas organizaciones que ejecutaron un plan no muy bien diseñado ni probado sufrirán pérdidas a largo plazo.

La necesidad de contar con capacidades de recuperación y continuidad de negocios nunca fue tan fuerte dado que actualmente se requiere operar en forma continua, a la vez que la dependencia del negocio en la tecnología informática es cada vez mayor. Sin embargo, hay que reconocer que la velocidad y las dependencias de los negocios de hoy en día hacen que la planeación de la continuidad del negocio se convierta en una tarea compleja para las compañías. Se debe considerar a la gente, las instalaciones, la tecnología y los socios de negocios involucrados, se debe preparar la respuesta a la crisis y además se debe tener la capacidad de coordinar su respuesta con muchas partes externas.

Para administrar este desafío se requiere un enfoque integral, que incorpore un análisis detallado de los requerimientos del negocio, la sensibilización de los usuarios, el uso de herramientas tecnológicas y sobre todo se debe concebir fundamentalmente a la continuidad del negocio como un proceso permanente más que la suma de soluciones puntuales.

1.2 DEFINCION: BCP (PLANEACION DE LA CONTINUIDAD DEL NEGOCIO)

El BCP es un plan de procedimientos alternativos a la forma tradicional de operar de la empresa y es una herramienta que ayuda a que los procesos que se consideran críticos para la organización continúen funcionando en una situación extraordinaria, a pesar de una situación incontrolable en el entorno. Un plan de continuidad del negocio, se enfoca en sostener las funciones del negocio de una

Entidad durante y después de una interrupción a los procesos críticos del negocio. Un Plan de Continuidad del Negocio o BCP debe considerar todas las áreas de la empresa de manera integral incluso desde la estrategia, incorporando el DRP en conjunto con los elementos mínimos requeridos para continuar con la operación del negocio. El contar con un plan de esta naturaleza significa que la organización está preparada adecuadamente para cualquier eventualidad, continuando con su operación e impactando lo menos posible la salud financiera de la empresa. Las primeras 72 horas después de la interrupción, son vitales para saber si el negocio soportará o morirá debido a la contingencia que se presenta. Morir, no será un acto inmediato, sino que puede ser un proceso irreversible y lento porque no se tuvieron las respuestas inmediatas para adaptarse al entorno que se presenta. Un BCP contempla la continuidad de los procesos y servicios críticos del negocio y se integra bajo las dimensiones de organización (recursos humanos, materiales y líneas de mando), operaciones (políticas y procedimientos), Tecnologías de Información e instalaciones, analizados bajo el marco de referencia de la continuidad. Las características que debe tener un BCP son:

Claridad Ser de fácil entendimiento Concreto

El BCP es para toda la organización, y no debe descansar sólo en el nivel directivo, ya que quien opera es el grupo que debe estar más inmerso en el entendimiento y aplicación del mismo. Bajo esta premisa, el capital humano tiene un peso relevante, ya que es el responsable de su aplicación y operación, por lo que debe existir un adecuado proceso de capacitación.

1.2.1 Planes Que Complementan El Plan De Continuidad Del Negocio En la figura siguiente, se observa una versión completa de los diferentes tipos de planes, relacionados con la atención de emergencias, y que se interrelacionan con un Plan de Continuidad del Negocio (BCP, DRP).

Se desprende la conveniencia de que un Plan de Continuidad del Negocio se complemente con otros planes que ayudan a su efectividad. Sin embargo, debido a la carencia de definiciones estándar para estos tipos de planes, en algunos casos, el alcance de los mismos puede variar entre las diferentes organizaciones. Estos planes son: 1. Plan de comunicación de crisis: documento que contiene los procedimientos internos y externos que las organizaciones deben preparar ante un desastre. Este plan debe estar coordinado con los demás planes para asegurar que sólo comunicados aprobados sean divulgados y que solamente personal autorizado sea el responsable de responder las diferentes inquietudes y de diseminar los reportes de estado al personal y al público.

2. Planes de evacuación por edificio: contiene los procedimientos que deben seguir los ocupantes de una instalación o facilidad en el evento en que una situación se convierta en una amenaza potencial a la salud y seguridad del personal, el ambiente o la propiedad. Tales eventos podrían incluir fuego, terremoto, huracán, ataque criminal o una emergencia médica.

3. Plan de continuidad de operaciones (COOP): Orientado a restaurar las funciones esenciales de una sede o filial de la entidad (Ejemplo: una agencia, la fábrica, el almacén de ventas) en una sede alterna y realizar aquellas funciones por un período máximo de 30 días antes de retornar a las operaciones normales. Debido a que un COOP se enfoca en sedes o filiales, debe ser desarrollado y ejecutado independientemente del BCP. Interrupciones menores que no requieren reubicación en una sede alterna típicamente no son cubiertas en un COOP.

4. Plan de respuesta a ciber-incidentes: Establece procedimientos para responder a los ataques en el ciberespacio contra un sistema de Tecnología Informática (TI) de una entidad. Estos procedimientos son diseñados para permitirle al personal de seguridad identificar, mitigar y recuperarse de incidentes de cómputo maliciosos tales como: Acceso no autorizado a un sistema o dato, Negación de servicio, Cambios no autorizados a HW, SW o datos.

5. Planes de contingencia de TI: orientado a ofrecer un método alterno para sistemas de soporte general y para aplicaciones importantes Debido a que un Plan de contingencia de TI debe ser desarrollado por sistema de soporte general y por cada aplicación importante, existirán múltiples planes de contingencia.

6. Plan de recuperación de desastres (DRP): Orientado a responder a eventos importantes, usualmente catastróficos que niegan el acceso a la facilidad normal por un período extendido. Frecuentemente, el DRP se refiere a un plan enfocado en TI diseñado para restaurar la operabilidad del sistema, aplicación o facilidad de cómputo objetivo en un sitio alterno después de una emergencia. El alcance de un DRP puede solaparse con el de un Plan de Contingencia de TI; sin embargo, el DRP es más amplio en alcance y no cubre interrupciones menores que no requieren reubicación.

7. Plan de recuperación del negocio: Permite restaurar un proceso de negocio después de una emergencia, pero al contrario del BCP, carece de procedimientos para asegurar la continuidad de procesos críticos durante una emergencia o interrupción. Productos que componen el Plan de Continuidad (BCP, DRP)

El Plan de Continuidad del Negocio incluye los siguientes productos: 1. Impacto de Análisis del Negocio. 2. Evaluación o Valoración de Riesgos. 3. Estrategias de Continuidad. 4. Roles, responsabilidades y procedimientos. 5. Procesos y Procedimientos de Continuidad. 6. Plan de Pruebas del Plan de Continuidad.

1.3 OBSERVACIONES

En caso, de que su empresa no cuente con un Plan de Continuidad de Negocios, nuestra recomendación es reflexionar sobre los 4 aspectos mínimos que apoyen la implantación de un plan contingente hasta que pase la crisis:

1. Crear un Comité de Crisis

Este Comité deberá estar integrado por los principales ejecutivos de la empresa que representen el 100% de la operación. Este órgano será el único que tomará decisiones mientras dure la crisis y será el responsable de construir un plan para atacar la contingencia.

2. Crear un vínculo de comunicación permanente con la organización

El Comité de Crisis deberá de contar con un vínculo de comunicación entre éste y todos los miembros de la organización. Se deberá crear un Plan de Comunicación bien estructurado, permanente y continuo para mantener a la organización y sus colaboradores bien informados.

3. Desde el punto de vista de operaciones:

Identificar los procesos/actividades del negocio vitales en la operación y su interrelación con los procesos totales del negocio. Definición de prioridades y marcos de referencia en el tiempo. Definición de alternativas para la continuidad de servicios críticos. Descripción de plan de recuperación para los escenarios de interrupción más comunes. Minimizar la toma de decisiones durante la crisis.

4. Desde el punto de vista de requerimientos:

Seleccionar y definir equipos de trabajo con personal comprometido y experiencia funcional. Definir recursos mínimos requeridos para mantener la operación y comunicación de toda la organización, como pueden ser: lap tops, enlace a Internet, VPN, teléfonos celulares, concentración de grupos críticos, etc. Definir requerimientos de recuperación de los procesos considerados no críticos, para estabilizar la operación. Definir esquemas de reporte y seguimiento diario a la operación mediante los grupos focales, definidos en etapas anteriores.

1.4 PROGRAMA DE AUDITORIA

Con el fin de llevar a cabo la auditoria específica referente a BCP, se llevara a cabo el siguiente programa de Auditoria: 1. Investigación Preliminar. 2. Identificación y Agrupación de Riesgos

3. Evaluación de la Seguridad en la empresa objeto de la Auditoría 4. Diseño de Pruebas de Auditoría 5. Ejecutar Pruebas de Auditoría 6. Elaboración de Informe de Auditoría 7. Seguimiento.

1. Investigación preliminar

En esta etapa se determinará si la empresa cuenta con un Plan de Continuidad del Negocio, con el fin de estimar el alcance de la auditoria. Se llevara a cabo una revisión general y una visita a la empresa, para definir los pasos a seguir. Se conocerá de manera global los planes que conforman el Plan de Continuidad del Negocio y que tan completo están con el fin de definir a que se le hará Auditoria e identificar los elementos que apoyan dichos planes.

Consideraciones Conocimiento global de la empresa en cuanto a: Planes de mitigación de Riegos, Área de sistemas, Estructura organizacional y personal. Conocimiento global de los sistemas, evaluando las herramientas que proporciona como apoyo a la seguridad y a la administración.

a. Conocimiento de los planes existentes en la empresa: Recopilación de información referente a los riesgos y estrategias que se definen en cada plan con el fin de identificar el nivel de preparación en el cual se encuentra la organización referente a situaciones que puedan provocar el paro de sus operaciones. Para esto se debe solicitar:

Plan de mitigación de Riesgos. Plan de Recuperación de Desastres Plan de Continuidad de Operaciones Plan de comunicación de crisis Plan de contingencia de TI Plan de recuperación del Negocio

b. Importancia de los planes de contingencia de riesgos para garantizar la continuidad de las operaciones de la empresa.

c. Alcance de la Auditoria. Las herramientas y mecanismos a utilizar para llevar a cabo esta investigación preliminar son:

Entrevistas previas con el cliente. Revisión de las instalaciones donde se realizara la auditoria.

Investigación de los funcionarios que analizaron y elaboraron el plan de continuidad del negocio.

Revisión de documentación proporcionada por la empresa. Estudio y evaluación del sistema de control interno.

2. Identificación y Agrupación de Riesgos

Identificar y clasificar los riesgos a los que está expuesto la empresa que pueden afectar la continuidad del negocio. A continuación se listaran los riesgos que pueden afectar a la organización.

Desastres naturales inesperados dentro de la organización. Amenazas a los recursos de TI que comprenden el uso de información vital

dentro de la empresa. Amenazas a la infraestructura Arquitectónica/Civil y de TI.

3. Evaluación de la Seguridad en la empresa objeto de la Auditoría

Se determinara si el Plan de Continuidad del Negocio o BCP considera todas las áreas de la empresa de manera integral incluso desde la estrategia, incorporando el DRP en conjunto con los elementos mínimos requeridos para continuar con la operación del negocio. Se examinará si existe apoyo a los procesos que se consideran críticos para que la organización continúe funcionando en una situación extraordinaria, a pesar de una situación incontrolable en el entorno.

4. Diseño de Pruebas de Auditoría

Se determinarán en términos generales los instrumentos y técnicas a utilizar para llevar a cabo la verificación del cumplimiento adecuado de los procesos necesarios para garantizar que dentro de la organización se maneja un plan de continuidad de negocio esencial para asegurar la vida de la compañía ante cualquier tipo de contingencia y que para conseguir su efectividad, se sigue como mínimo los siguientes aspectos:

El plan de continuidad de negocio está basado en directrices marcadas por la dirección.

A través de un análisis de impacto de negocio y una gestión del riesgo se consiguen los fundamentos para un efectivo BCP.

El Plan de Continuidad del Negocio esta periódicamente actualizado para reflejar y responder a los cambios que se vayan produciendo en la compañía.

1. Técnicas: Revisión documental

2. Instrumentos Cuestionario, revisión documental y observación

FECHAEMPRESA Colombiana de licoresAUDITOR Reinel Tabares SotoTECNICA USADA Guía de AuditoriaHERRAMIENTA USADA Encuesta

PREGUNTAS CERRADASNo pregunta Si No Ns Observación

1 ¿Existe en su empresa un plan de recuperación de desastres?

2 ¿El administrador y coordinador del plan es responsable en mantener dicho plan al día?

3 ¿Existe un equipo para la recuperación de desastres que reaccionen a una emergencia en medidas de acción inmediatas?

4 ¿Dónde está el sitio de instalación de copia de seguridad?

5 ¿El plan indica claramente las prioridades para la restauración de los sistemas de la empresa, basados en el riesgo para el negocio en particular?

6 ¿Tienen sus empleados en la empresa una copia del plan de la organización de recuperación de desastres?

7 ¿Se tiene en la empresa una copia actual del organigrama?

8 ¿Se realiza dentro de la empresa una lista de inventario de todos los activos que se poseen en la empresa?

9 ¿Se tienen acuerdos relativos a la seguridad en el uso de las instalaciones de la empresa?

10¿Tiene respaldos de la información?

11 ¿Posee un plan para gestionar los riesgos?

12 ¿Tiene una identificación de los procesos críticos del negocio?

13 ¿Posee políticas de seguridad para garantizar la continuidad del negocio?

14 ¿Posee políticas de seguridad para proteger la información?

15 ¿Actualiza el plan de recuperación de desastres de manera continua?

16 ¿Hay un grupo encargado del plan de recuperación?

17 ¿Los miembros del grupo de recuperación

poseen copias del plan de recuperación?18 ¿Realiza backups continuamente?

19 ¿Los sistemas críticos son cubiertos por el plan?

20 ¿Tiene equipos que no son cubiertos por el plan?

21 ¿Posee procedimientos formales para la realización de backups?

22 ¿Posee procedimientos formales para el proceso de restauración?

23 ¿Las nuevas soluciones informáticas garantizan la continuidad del negocio?

24 ¿Los usuarios de los sistemas informáticos y el hardware recibenCapacitación para desempeñar nuevas funciones y garantizar la continuidad del negocio?

25 ¿Evalúa el desempeño de la empresa con relación a los competidores?

PREGUNTAS ABIERTASNo pregunta Respuesta

1 ¿Si existe un plan, cuando fue la última vez que se actualizo?

2 ¿Indique cuáles son los procedimientos para la actualización del Plan de Continuidad del Negocio?

3 ¿Quién es el encargado en su empresa de la administración o la coordinación del plan?

4 ¿Dónde se encuentra almacenado el plan de recuperación de desastres en su empresa?

5 ¿Dónde está la lista almacenada de los contactos del equipo de recuperación de desastres?

6 ¿Qué sistemas críticos están cubiertos por el plan?

7 ¿Cuál es el grado de madurez que tiene la empresa al poseer un sitio para las copias de seguridad?

8 ¿Bajo qué paramentos ha seleccionado el sitio?

9 ¿Con qué modalidad ha contratado el sitio?

10 ¿Realizan pruebas al plan?11 ¿Qué pruebas realizan y con cuanta

periodicidad?LISTA DE VERIFICACION

No pregunta Cumple No cumple

Observación

1 Se cuenta con un plan para gestionar los riesgos.

2 Se identifican los procesos críticos del negocio.

3 Se cuenta con políticas deseguridad para garantizar lacontinuidad del negocio

4 Posee políticas deseguridad para proteger lainformación

5 Se cuenta con un plan derecuperación de desastres

6 Se cuenta con unresponsable de administraro coordinar el plan

7 Hay un grupo encargadodel plan de recuperación

8 Los miembros del grupo derecuperación poseen copiasdel plan de recuperación

9 Realiza backupscontinuamente

10 Tiene equipos que no soncubiertos por el plan

11 Posee procedimientosformales para la realizaciónde backups

12 Posee procedimientosformales para el proceso derestauración

13 Los usuarios de lossistemas informáticos y elhardware recibencapacitación paradesempeñar nuevasfunciones y garantizar lacontinuidad del negocio

14 Garantiza el cumplimientode las leyes y regulaciones

5. Ejecutar Pruebas de Auditoría

Se ejecutan las pruebas anteriormente mencionadas, exigiendo el soporte documental de las respuestas de los cuestionarios y de esta manera verificar el control que se está llevando en la administración del Plan de Continuidad del Negocio.

6. Elaboración de Informe de Auditoría

El informe de auditoría busca comunicar a la organización los resultados de la evaluación y las pruebas ejecutadas, proporcionando mayor valor a la organización, informando si el Plan de Continuidad de Negocio es realmente efectivo en caso de su ejecución y si se puede decir que se han alineado las Tecnologías de la información con los objetivos del negocio.

7. Seguimiento.

Se verificará que los objetivos del BCP de la empresa se están cumpliendo y que estos contribuyen a minimizar la pérdida financiera de la compañía, y que se garantiza la calidad del servicio a los clientes. Así mismo se evaluará que la organización este bien preparada adecuadamente Y que toda la organización tiene conocimiento de las operaciones y de todos y cada uno de quienes participan en cada proceso crítico para cualquier eventualidad, continuando con su operación e impactando lo menos posible la salud financiera de la empresa.

1.5. CONCLUSIONES

En el entorno actual, en materia de costos es más efectivo prevenir que recuperar. Aunque no se cuente con un plan elaborado previamente a la crisis, es mejor en este momento analizar, planear, ordenar y ejecutar, para mitigar el impacto y generar mejores resultados.

Los beneficios de actuar bajo un plan son:

Análisis claro y preciso, y conocimiento consistente y continuo sobre la situación del negocio y la efectividad de la estrategia de continuidad definida.

Evaluación técnica de riesgos asociados a la continuidad y evaluación de alternativas y estrategias de minimización de riesgos.

Mapeo crítico de los recursos mínimos requeridos en la continuidad de los procesos del negocio.

Control del impacto financiero y operacional, causado por la interrupción de la operación natural del negocio

Análisis y reducción del nivel de riesgo al cual se encuentra expuesta la entidad.

Decisiones rápidas y acertadas para subsanar posibles riesgos inherentes a la situación y esquema de operación en el que se encuentra el negocio

Desarrollo de cultura y personal mejor capacitado y sensibilizado en la importancia de la continuidad en la entidad.

2. DATA CENTER

2.1 INTRODUCCIÓN.

El término de Auditoria es empleado incorrectamente con frecuencia ya que se considera como una evaluación cuyo único fin es detectar errores y señalar fallas. El concepto de auditoría es mucho más amplio. Es un análisis crítico que se realiza con el fin de evaluar y mejorar la eficacia y eficiencia de un proceso, de un departamento, un organismo, una entidad, etc. Con el fin de proporcionar la información que la empresa necesita para alcanzar sus objetivos, los recursos de TI deben ser administrados por un conjunto de procesos de TI agrupados de forma tal de obtener un modelo de referencia a implementar. La auditoría en un Data Center tiene el objetivo de mejorar el rendimiento operacional y la calidad de la energía, dicha auditoria debe estar orientada a generar valor a sus clientes a través de un minucioso estudio en sistemas eléctricos y de climatización, identificando deficiencias y oportunidades de mejora y ahorro. El centro de datos es considerado un generador de mucho valor para la compañía pero por su actividad crítica, es también generador de mucho gasto e inversión tanto a nivel de capital como de gastos operativos. En este sentido, es muy importante que su diseño y crecimiento esté dirigido a buenas prácticas que optimicen su funcionamiento y que aplique las políticas y normativas internacionales, impulsando y respaldando el constante desarrollo de la organización.

2.2 DEFINICION DE DATA CENTER

Cuando se habla del CPD, Centro de Procesos de Datos o Data Center estamos refiriéndonos a la ubicación donde se concentran todos los recursos necesarios para el procesamiento de información de una organización. También se conoce como centro de cómputo (Iberoamérica) o centro de cálculo (España). La integración de las infraestructuras tecnológicas en un Data Center, permite automatizar la gestión de los recursos y convertir unas infraestructuras caóticas en algo gestionable y altamente automatizado con el consiguiente ahorro de recursos económicos. Por ejemplo: Los costes de administración y gestión que le supone a una organización, tener sus servidores dispersos por diferentes localizaciones físicas, sin un control y administración central, es mucho mayor que si dichos servidores se encuentran en un CDP, con un único equipo de gestión y administración. Los Data Center diseñados según las nuevas especificaciones, permiten llevar a cabo una gestión del consumo de energía de las infraestructuras, lo que nos permite alcanzar una eficiencia energética, lo que supone una disminución de los costos del funcionamiento del Data Center.

El concepto de virtualización está íntimamente ligado a los “Data Center”; virtualizar nos permite mejorar la eficiencia y eficacia de nuestros sistemas de información, reduciendo el número de máquinas físicas y consiguiendo optimizar los recursos que se necesitan para la administración, gestión y mantenimiento de las mismas. Los nuevos Data Center están cambiando la percepción que se tiene de las infraestructuras de proceso, almacenamiento y transmisión de la información, lo que está llevando a que hoy en día tanto las capacidades de procesamiento, como las de almacenamiento y de comunicaciones, se consideren un servicio y como tal se vendan. Lo que verdaderamente importa es disponer de una infraestructura tecnológica que permita que los servicios de TI estén alineados con el negocio y aporten valor al mismo. La auditoría en Data Center consta de un detallado análisis de la composición, uso y desempeño del centro de datos, que implica el despliegue de destacados profesionales y personal técnico especializado en una labor de campo para el levantamiento de información sobre la instalación eléctrica y de climatización, la evaluación de puntos críticos y puntos de fallas, la identificación de oportunidades, el diagnóstico y el rediseño, a fin de reducir significativamente los gastos operativos por parte de los usuarios, acercando el Data Center a un modelo óptimo, capaz de soportar nuevas implementaciones y preparado para continuar con su crecimiento.

2.2.1. Auditoria Seguridad de Centro de Cómputos (Data Centers) basados en las normas NFPA75, TIA 942.

La auditoría de Seguridad de Centro de Cómputos (Data Centers) está basada en las normas NFPA75 y TIA 942. El propósito del estándar TIA 942 es proveer los requerimientos y las guías para el diseño e instalación de Centros de Cómputo (Data Centers). Se auditará la planificación de la ubicación, sistemas de cableado y diseño de la red, topología del piso para lograr el balance apropiado entre seguridad, densidad de racks, etc. TIA-942 permite que el diseño del Data Center sea considerado desde el proceso de desarrollo del edificio, contribuyendo a consideraciones arquitectónicas sobre distintos esfuerzos en el área de diseño, promoviendo así la cooperación entre las fases de su construcción. El estándar NFPA 75 fue elaborado por la National Fire Protection Associaton y establece los requisitos para la construcción con computadoras necesitando protección contra incendios y edificación, habitaciones, áreas, o ambientes operacionales especiales. La aplicación está basada en consideraciones de riesgo tal como los aspectos de interrupción de negocio de la función o amenazas de fuego a la instalación.

2.2.2. Normas, Estándares y Auditoria en un DC2.2.2.1 Proceso de Implementación

2.2.2.2. Estudio de Factibilidad

Criterio de Diseño

En esta etapa, se lleva a cabo la definición del proyecto y la preparación de los requerimientos técnicos de Diseño.Se estable una matriz en donde se clasifican los posibles alcances o proyecciones a alcanzar en un Centro de Datos y se realiza la recomendación según los estándares internacionales.Se debe desarrollar un Criterio Técnico de Diseño, para el área de Telecomunicaciones, Arquitectónica/Civil, Eléctrica y Mecánica. Estudios preliminares y Selección del Sitio.

2.2.3. Estándares y Normas – Tipos

Norma o Estándar: Por definición son sinónimos, no existe diferencia entre ellos, y existen normas establecidas por Organismos Internacionales, Organismos Regionales y Organizaciones Privadas.

Norma de Facto: Especificación técnica que ha sido desarrollada por una o varias compañías y que ha adquirido importancia debido a las condiciones del mercado (TIER, BICSI, IEEE).

Norma de Jure: Especificación técnica aprobada por un órgano de normalización reconocido para la aplicación de la misma (ISO, IEC, UL).

2.2.4. Aplicación de Normas en un Centro de Datos

Normas Regionales: Se debe de cumplir con lo que indican los entes de cada región, por ejemplo Códigos Sísmicos, Normas Eléctricas, generalmente se establecen mediante decretos y son de cumplimiento obligatorio.

Normas Internacionales: Son aquellas normas generadas por un grupo de organizaciones regionales y aunque no son de cumplimiento obligatorio, se asumen como necesarias.

Normas de Organizaciones: Son esquemas de Buenas Prácticas y recomendaciones (TIER, BICSI, etc.), generalmente certificados solamente por el ente que las emitió.

2.2.5. Normas asociados a Centros de Datos

Normas ISO y BSBS25999: Continuidad de la actividad comercial/ La gestión de continuidad de la actividad comercial (BCM) se ha concebido para ayudar a las organizaciones a minimizar el riesgo de interrupciones.

ISO/IEC 20000: Gestión de Servicios de TI/ Prestación de servicios de TI de gran calidad.

ISO/IEC 27001: Seguridad de la información/Protección de la información, el activo más valioso.

En 16001: Eficiencia energética/ Comprometidos con el uso eficiente de la energía.

2.2.5.1 Normas y Mejores Prácticas LEED NFPA BICSI ASHRAE IEEE

2.2.5.2. Tipos de Auditorías Auditorias de Eficiencia. Auditorias Electromecánica. Auditorías de la Gestión de los sistemas (ISO) Auditorías de Riesgo Operacional (Conjunto de Auditorías Anteriores).

2.2.6. ¿Qué es necesario tener en un data center?

Acometidas eléctricas. Sistemas para prevenir y controlar incendios e inundaciones como:

drenajes y extintores. Vías de evacuación. Puertas y pinturas ignífugas (que protegen contra fuego) Aire acondicionado. UPS (Sistema de alimentación de energía ininterrumpido) Pisos y techos falsos. Instalación de alarmas. Control de temperatura y humedad con avisos. Cerraduras electromagnéticas Cámaras de seguridad o CCTV (Circuito cerrado de televisión) Detectores de movimiento Tarjetas de identificación. Bitácoras de acceso manual y electrónicas. Botón de apagado de emergencia (EPO por sus siglas en inglés Emergency

Power Outage)

Los requerimientos variarán entre cada uno, puesto que no son los mismos riesgos en cada uno y su localización también varía.

2.3 OBSERVACIONES

En general, la función de Auditoría Informática en la empresa es garantizar que los sistemas de ordenador salvaguardan los “bienes” de la organización, mantienen la integridad de los datos y alcanzan los objetivos de la empresa de un modo eficaz y efectivo. Aunque esta definición es extensible a los Centros de Proceso de Datos, en estos se deben de tener en cuenta algunas consideraciones especiales, dado que en ellos se concentran datos y aplicaciones informáticas en espacios muy reducidos, lo que los hace excepcionalmente propensos a problemas potenciales, tanto lógicos como físicos, que pueden afectar a su seguridad y funcionamiento.

2.4 PROGRAMA DE AUDITORIA Con el fin de llevar a cabo la auditoria referente a Data Center, se llevará a cabo el siguiente programa de Auditoria. a. Investigación Preliminar. En esta etapa se llevará a cabo la definición de la preparación de los requerimientos técnicos de diseño de un Data Center. Se establecerá una matriz en donde se clasificaran los posibles alcances o proyecciones en un centro de Datos. Identificar si se dispone de una infraestructura tecnológica que permita que los servicios de TI estén alineados con el negocio y aporten valor al mismo. b. Identificación y Agrupación de Riesgos

Consta de un análisis de la composición, uso y desempeño del centro de datos y el posterior levantamiento de información sobre la instalación eléctrica y de climatización, la evaluación de puntos críticos y puntos de fallas, la identificación de oportunidades, el diagnóstico y rediseño, a fin de identificar los riesgos para cada grupo identificado y diseñar instrumentos que permitan evaluar los aspectos planeados.

c. Evaluación de la Seguridad en la empresa objeto de la Auditoría

Se determinara si el diseño y crecimiento existentes en la empresa, están dirigidos a buenas prácticas que optimicen su funcionamiento y que aplique las políticas y normativas internacionales, impulsando y respaldando el constante desarrollo de la organización.

d. Diseño de Pruebas de Auditoría

Se determinarán en términos generales los instrumentos y técnicas a utilizar para llevar a cabo la verificación del cumplimiento adecuado de los procesos necesarios para garantizar las correctas prácticas de optimización del funcionamiento y de aplicación de políticas normativas e internacionales en la implantación de Data Centers en la organización. 1. Técnicas:

Revisión documental

2. Instrumentos Cuestionario, revisión documental y observación

FECHAEMPRESA Colombiana de licoresAUDITOR Reinel Tabares SotoTECNICA USADA Guía de AuditoriaHERRAMIENTA USADA Encuesta

PREGUNTAS CERRADASNo pregunta Si No Ns Observación

1 ¿En la empresa conoce la ubicación, cantidad y la garantía de sus equipos?

2 ¿La empresa realiza mantenimiento preventivo y eficaz a sus equipos?

3 ¿Cuándo se producen problemas con los equipos, estos son atendidos con el fin de minimizar los impactos que pueda ocasionar al negocio?

4 ¿Todos los empleados de la empresa son tratados con equidad en el uso de los equipos?

5 ¿La confidencialidad de los datos y correos que administran sus equipos es confiable y no puede ser vulnerada? Explique.

6 ¿Los medios magnéticos que ustedes intercambian con sus clientes y proveedores son seguros?

7 ¿Ustedes como empresa pueden garantizar que los medios que intercambian con sus clientes y proveedores, son seguros? Si es afirmativa expliquen cómo.

8 ¿Los soportes magnéticos que utiliza están siendo administrados de manera de no comprar insumos innecesarios y estar disponibles para el momento en que son necesarios?

9 ¿Tiene posibilidades de recurrir a un back up en caso de situaciones de gran criticidad?

10 ¿La información impresa que generan sus sistemas es la mínima y necesaria para evitar costos en papelería y distribución innecesaria así como el riesgo por robo de información?

11 ¿Existen acuerdos formalizados y con métricas concretas para determinar el nivel de servicio pactado entre su Data Center y las gerencias de su Negocio?

12 ¿La gente que maneja tanto la información como los equipos está al tanto de novedades y en condiciones de responder a las exigencias del puesto?

13 ¿Consideró la creación de un Data Center en su PETI?

14 ¿Ha identificado los riesgos en los cuales puede incurrir su DataCenter?

15 ¿Las inversiones planeadas para el Data Center son acordes con las necesidades del negocio?

16 ¿Realiza un mantenimiento preventivo y correctivo eficiente y eficaz?

17 ¿Sus equipos están siendo bien manipulados?

18 ¿Conoce ciertamente dónde están?

19 ¿Tiene idea del número de equipos que posee el Data Center?

20 ¿Cuenta con garantías para los equipos?

21 ¿Cuándo se producen problemas, los mismos son atendidos minimizando los impactos para su negocio y al mejor bajo costo posible?

22 ¿La confidencialidad de los datos y correos que administran sus equipos es confiable y no puede ser vulnerada?

23 ¿Los medios magnéticos que usted intercambia con sus clientes y proveedores, son seguros?

24 ¿Las bases de datos de sus clientes pueden ser copiadas, llevadas, por personal no autorizado?

25 ¿Los soportes magnéticos que utiliza están siendo administrados de manera que no se compren insumos innecesarios y estos se encuentren disponibles para el momento en que son necesarios?

PREGUNTAS ABIERTASNo pregunta Respuesta

1 ¿Cuáles son las posibilidades de recurrir a un backup en caso de situaciones tremendamente críticas?

2 ¿La información impresa que generan sus sistemas es la mínima y necesaria para evitar costos en papelería y distribución innecesaria así como el riesgo por robo de

información? Justifique3 ¿La información impresa que generan sus

sistemas es la mínima y necesaria para evitar costos en papelería y distribución innecesaria así como el riesgo por robo de información? Justifique

4 ¿Cuáles son los mecanismos para controlar el acceso a sus equipos, tanto físicamente o mediante equipos de comunicaciones?

5 ¿La gente que maneja tanto la información como los equipos está al tanto de novedades y en condiciones de responder a las exigencias del puesto? Justifique

6 ¿Los contratos con los proveedores que le ayudan con los aspectos críticos de su operación, contemplan sus necesidades y lo protegen?

7 ¿Cómo los sistemas operativos aseguran determinado nivel de seguridad en los accesos y operaciones del negocio?

8 ¿Cuáles son acuerdos formalizados y con qué métricas concretas tienen determinar el nivel de servicio pactado entre su Data Center y las gerencias de su Negocio?

9 ¿Explique el uso de las UPS’s al interior del Data Center?

10 ¿Su sistema genera alarmas ante cualquier fallo que pueda afectar al negocio? De qué manera

11 ¿Considera que su Data Center es tolerante a fallos? Justifique

LISTA DE VERIFICACIONNo pregunta Cumple No

cumpleObservación

1 Consideración de un DataCenter en el PETI

2 Identificación de riesgos delData Center

3 Inversiones planeadas parael Data Center

4 Mantenimiento preventivo ycorrectivo eficiente y eficaz

5 Equipos funcionandocorrectamente

6 Conocimiento de la ubicación de los equipos informáticos.

7 Conoce el número de equipos del Data Center.

8 Conoce las garantías que poseen los equipos.

9 La confidencialidad de losdatos y correos que

administran sus equipos esconfiable y no puede servulnerada

10 Los medios magnéticos quese intercambian con losclientes y proveedores, sonseguros

11 Las bases de datos de sus clientes NO pueden ser copiadas, llevadas, por personal no autorizado.

12 Los soportes magnéticosque utiliza están siendo administrados de manera que no se compren insumos innecesarios y estos se encuentren disponibles para elmomento en que son necesarios

13 Tiene posibilidades de recurrir a un backup en caso de situaciones tremendamente críticas

14 La información impresa quegeneran sus sistemas es lamínima y necesaria paraevitar costos en papelería ydistribución innecesaria asícomo el riesgo por robo deinformación

15 Posee mecanismos paracontrolar el acceso a susequipos, tanto físicamente omediante equipos decomunicaciones

16 La gente que maneja tantola información como losequipos está al tanto denovedades y encondiciones de responder alas exigencias del puesto

17 Los contratos con losproveedores que le ayudancon los aspectos críticos desu operación, contemplansus necesidades y loprotegen

18 Sus sistemas operativosaseguran determinado nivelde seguridad en losaccesos y operaciones delnegocio

19 Posee UPS’s al interior delData Center

20 Su sistema genera alarmasante cualquier fallo quepueda afectar al negocio

21 Posee sistemas deredundancia eléctrica

22 el Data Center es tolerante a fallos según las normas y leyes

e. Ejecutar Pruebas de Auditoría

Se ejecutan las pruebas, exigiendo el soporte documental de las respuestas de los cuestionarios y de esta manera verificar el control que se está llevando en los Data Centers.

f. Elaboración de Informe de Auditoría Comunicar a la organización los resultados de la auditoria, proporcionando mayor valor a la organización a través de un minucioso estudio de los sistemas eléctricos y de climatización que protegen al Data center, identificando deficiencias y oportunidades de mejora y ahorro. g. Seguimiento. Se verificara que el centro de procesamiento de datos o Data Center este altamente protegido y que día a día se logre reducir el número de máquinas físicas, consiguiendo optimizar los recursos que se necesitan para la administración, gestión y mantenimiento de las mismas.

3. SAP: SISTEMAS, APLICACIONES Y PRODUCTOS

1 INTRODUCCIÓN.

Los sistemas integrados basados en diseños modulares aparecieron a finales de los 80’s, sin embargo en un principio estos diseños traían grandes conflictos y no existía una integración real. Estos conflictos no mejoraron con la aparición masiva de las redes, los Peces y las bases de datos relacionales a principios de los 90’s y tampoco la cantidad de datos generados por múltiples aplicaciones que no garantizaban un proceso de toma de decisiones acertado.

En el área de TI de las organizaciones tradicionales, el equipo operacional desarrollaba nuevas aplicaciones que satisficieran sus necesidades, sin embargo este tipo de desarrollos llevaba demasiado tiempo y esto conllevaba a una desactualización de requerimientos y requisitos que cambiaban constantemente, por ello se concluyo que las tecnologías subyacentes a la gestión empresarial debería estar alineada con los objetivos y enfoques de la empresa, los desarrollos deben alinearse a los objetivos estratégicos del negocio, deben ser flexibles a los cambios que demandan los mercados y someterse a las reglas que aparecen constantemente.

Los ERP (Enterprise Resource Planning o planificación de recursos empresariales) en las empresas han aportado nuevos conceptos y métodos a la forma tradicional en que las organizaciones afrontan proyectos de TI, en vista de que son sistemas adaptables, integrables, flexibles e integrados.

SAP ha sido el líder en el desarrollo de sistemas empresariales y especialmente en los ERP gracias a las múltiples soluciones creadas, propuestas y habilitadas por la empresa para las organizaciones y sus departamentos de TI.

2 MARCO TEORICO

Esta empresa que lleva su nombre por las siglas “Systemanalyse, Anwendungen and Programmentwicklun” (sistemas, aplicaciones y productos) y que nació en 1972 en Alemania por la concepción de unos ex trabajadores de IBM; comercializa un conjunto de aplicaciones de software para soluciones integradas de negocios, entre ellas mySAP Business Suite, que provee soluciones escalables que permiten mejorar continuamente, con más de 1.000 procesos de negocio consideradas las mejores prácticas empresariales y adaptables por módulos de cada aspecto de la administración empresarial. Otro dato importante a resaltar es que SAP

comercializa todos sus productos en diferentes industrias del mundo desde las compañías privadas hasta las gubernamentales y desde grandes compañías hasta pymes.

SAP ha liderado el mercado de los sistemas de información gerencial, especialmente el nicho de los ERP. Las múltiples soluciones que esta empresa ha desarrollado le han permitido ser el símbolo de las nuevas aplicaciones empresariales. En la actualidad SAP AG se encuentra en más de 50 países cuya sede central está ubicada en Walldorf, Alemania.

Podemos decir entonces que la principal razón por la que SAP ha tenido tanto éxito es porque su solución empresarial se trata de un paquete de software de aplicaciones estándar que puede configurarse en múltiples áreas de negocio y que se adapta a necesidades específicas de cada empresa. Con el fin de dar un soporte a estas necesidades, SAP incluye un gran número de procesos y funciones empresariales, pero también deja cabida a nuevas funcionalidades y mejoras a la vez que ofrece la necesaria flexibilidad para adaptarse a los cambios y evoluciones de las empresas.

Más adelante miraremos más a fondo la historia, en qué consisten las soluciones SAP y aspectos generales sobre estas.

2.1 Historia y evolución

SAP fue fundada en 1972 en la Ciudad de Mannheim, Alemania, por antiguos empleados de IBM (Claus Wellenreuther, Hans-Werner Hector, Klaus Tschira, Dietmar Hopp y Hasso Plattner) bajo el nombre de "SAP Systemanalyse, Anwendungen and Programmentwicklung". El nombre fue tomado de la división en la que trabajaban en IBM.

Se ha desarrollado hasta convertirse en la quinta más grande compañía mundial de software. El nombre SAP es al mismo tiempo el nombre de una empresa y el de un sistema informático. Este sistema comprende muchos módulos

completamente integrados, que abarca prácticamente todos los aspectos de la administración empresarial. Ha sido desarrollado para cumplir con las necesidades crecientes de las organizaciones mundiales y su importancia está más allá de toda duda. SAP ha puesto su mirada en el negocio como un todo, así ofrece un sistema único que soporta prácticamente todas las áreas en una escala global. SAP proporciona la oportunidad de sustituir un gran número de sistemas independientes, que se han desarrollado e instalado en organizaciones ya establecidas, con un solo sistema modular. Cada módulo realiza una función diferente, pero está diseñado para trabajar con otros módulos. Está totalmente integrado ofreciendo real compatibilidad a lo largo de las funciones de una empresa.

Después de haber dominado el mercado, la empresa afronta una mayor competencia de Microsoft e IBM. En marzo de 2004 cambió su enfoque de negocio en favor de crear la "plataforma" que desarrolla y utiliza, la nueva versión de su software NetWeaver.

Es en este punto donde SAP se encuentra enfrentado con Microsoft e IBM, en lo que se conoce como "la guerra de las plataformas". Microsoft ha desarrollado una plataforma basada en la Web llamada .NET, mientras IBM ha desarrollado otra llamada WebSphere.

A comienzos de 2004 sostuvo conversaciones con Microsoft sobre una posible fusión. Las empresas dijeron que las conversaciones finalizaron sin un acuerdo. Sin embargo, a comienzos del 2006 fue anunciada una alianza muy importante entre SAP y Microsoft para integrar las aplicaciones ERP de SAP con las de Office de Microsoft bajo el nombre de proyecto "Duet".

La compra de SAP por parte de Microsoft habría sido uno de los acuerdos más grandes en la historia de la industria del software, dado el valor de mercado de la alemana, de más de 55.000 millones de euros (junio 2004).

SAP ha conquistado clientes de forma consistente para aumentar la cuota del mercado global entre sus cuatro principales competidores a un 55% a fines de 2004, desde un 48% dos años antes. La participación combinada de Oracle y PeopleSoft declinó de un 29% a un 23%.

En la actualidad SAP es considerada como el tercer proveedor independiente de software del mundo y el mayor fabricante europeo de software. Con 12 millones de usuarios, 100.600 instalaciones, y más de 1.500 socios, es la compañía más grande de software Inter-empresa. A finales de 2005, SAP empleaba a 35.873 personas en más de 50 países y sus ingresos anuales fueron de 8.513 millones de euros. SAP es una compañía alemana, pero opera en todo el mundo, con 28

sucursales y afiliadas y 6 compañías asociadas, manteniendo oficinas en más de 50 países.

2.2 Componentes

Módulos de logística

La atención de los procesos de negocio como ventas y manejo de la distribución (SD), gestión de materiales (MM), planificación de la producción (PP), mantenimiento de planta (PM), y la gestión de calidad (QM) son tomadas por los módulos de logística. Cualquier organización requerirá la mayoría de estos módulos, si no todos. Los materiales utilizados para la producción son manejados por el módulo de MM. PP y módulos de PM garantizar que el proceso de producción de las obras según se requiera. Módulo de gestión de la calidad se utiliza para controlar la garantía de calidad del producto. El objetivo último de cualquier organización es la de vender sus productos y por lo tanto, el módulo de SD es un módulo importante en el sistema SAP.

Los módulos de Contabilidad

La contabilidad es importante para una organización y los módulos de contabilidad de SAP automatizar el departamento de contabilidad. El módulo FI maneja todas las contabilidades, como libros de contabilidad, los balances y estados de

ganancias y pérdidas. La gestión de activos también se lleva a cabo por el módulo FI. La funcionalidad de control se lleva a cabo por el módulo de CO, que controla no sólo los costos sino también los objetivos de la empresa. De la empresa de control (CE) del módulo se encarga de la integración de información de la empresa y los mercados externos para diseñar una estrategia de marketing eficaz.

Módulos de recursos humanos

Entre los diversos departamentos, el departamento de recursos humanos es crucial para una organización. La administración de personal (PA) módulo del sistema SAP se encarga de mantener los registros de todo el personal. Los departamentos pueden tener acceso a estos datos y esto hace que el módulo de datos actualizada disponible en todo el sistema. El personal de planificación y el desarrollo (PD) módulo incorpora todo lo que es esencial para la gestión del poder del hombre de la organización.

2.3 Descripción general de la solución

Las Soluciones empresariales SAP le permiten a las empresas ejercer un completo control sobre sus actividades, ya que le permite a la Alta Dirección tener información sobre cada proceso dentro de esta; además brinda las herramientas necesarias para optimizar las actividades. De esta manera, se logrará optimizar la cadena de suministro, introducir productos en el mercado con más rapidez, sacar mejor partido del aprovisionamiento y evitar la duplicación de esfuerzos. Las soluciones SAP se traducen directamente en reducción de costes e incremento del retorno de la inversión.

Se puede decir que SAP no ofrece simplemente soluciones sino que se encarga de buscar la mejor solución y la más adecuada a las necesidades de cada negocio. El software de gestión que desarrolla es suficientemente versátil para ser adaptado a cualquier tipo de negocio. Las aplicaciones de gestión y soluciones tecnológicas de SAP reflejan más de 30 años de experiencia, tanto en el campo de la informática como en el de los negocios.

A continuación se listan los módulos utilizados en las soluciones empresariales SAP de forma general:

Módulos de aplicación Gestión Financiera (FI)

Libro mayor, libros auxiliares, ledgers especiales, etc.

Controlling (CO)

Gastos generales, costes de producto, cuenta de resultados, centros de beneficio, etc.

Tesorería (TR)

Control de fondos, gestión presupuestaria, etc.

Sistema de proyectos (PS)

Grafos, contabilidad de costes de proyecto, etc.

Gestión de personal (HR)

Gestión de personal, cálculo de la nómina, contratación de personal, etc.

Mantenimiento (PM)

Planificación de tareas, planificación de mantenimiento, etc.

Gestión de calidad (QM)

Planificación de calidad, inspección de calidad, certificado de, aviso de calidad, etc.

Planificación de producto (PP)

Fabricación sobre pedido, fabricación en serie, Kanban, etc.

Gestión de material (MM)

Gestión de stocks, compras, verificación de facturas, etc.

Comercial(SD)

Ventas, expedición, facturación, etc.

Workflow (WF), Soluciones sectoriales (IS):

Contienen funciones que se pueden aplicar en todos los módulos

2.4 Relación con las unidades organizacionales de la empresa

Para el área de mercadeo y distribución Se utilizara el módulo de Ventas y Distribución

Para el área de distribución y logística se utilizara el módulo de Gestión Datos Generales de Logística.

Para el área de producción implementaran varios módulos; Gestión de materiales, Calidad Producción.

Para el área de recursos humanos se usara el módulo de Gestión de Personal.

Para el área de compras, se utilizara el módulo Industry Solution Retail.

En el área de sistemas se implementara el modulo llamado Gestión de Mantenimiento.

En el área de Administración financiera, se implementaran los módulos de: Contabilidad financiera, inversiones, tesorería y Control.

En el área de investigación e innovación, se implementaran los módulos de control empresarial y gestión de proyectos.

2.5 Desarrollo de las componentes y módulos.

El lenguaje de programación que usa SAP es el ABAP IV, similar al SQL.

FINANZAS Y CONTABILIDAD

Contabilidad Financiera

Libro mayor, contabilidad de deudores, contabilidad de acreedores, contabilidad de activos fijos, contabilidad bancaria y contabilidad del inventario

Gestión de Contabilidad

Contabilidad de la rentabilidad, contabilidad del proyecto y contabilidad del centro de beneficio/costes

Gestión Financiera de la Cadena de Suministro, básica

Gestión de deudores y facturas/acreedores y cobros

Gestión Financiera de la Cadena de Suministro, complejaPresentación/pago de facturas electrónicas, gestión crediticia y gestión de conflictos

Cumplimiento Financiero, básico

Separación de funciones

Cumplimiento Financiero, avanzado

Gestión del riesgo, reclamaciones dentro de la propia empresa y gestión de controles internos  

Gestión del Efectivo y la Liquidez

Tesorería, gestión del efectivo/la liquidez y comunicaciones con el banco

Generación de Informes

Cierre financiero y generación de informes

GESTIÓN DE RECURSOS HUMANOS:

Gestión del Personal

Administración de empleados, gestión organizativa, tiempos y asistencia, gestión de nóminas y generación de informes legales y procesos y formularios.

Gestión de la Sanidad

Gestión de beneficios y gestión de costes de sanidad  (Aplicable para empresas de algunos sectores).

Gestión de Viajes y Gastos

Gestión de viajes y gastos, cumplimiento de las políticas de viaje globales y análisis de viajes y gastos.

Gestión del Talento

Contratación, gestión de carreras, formación empresarial, gestión del rendimiento de los empleados y gestión de compensaciones.

GESTIÓN DE PROYECTOS

Gestión de Recursos y Proyectos

Planificación y definición del alcance del proyecto, programación del proyecto y gestión de los recursos y el tiempo.

Procesamiento de Ventas

Procesamiento de ofertas de ventas y pedidos de cliente.

Ejecución del Proyecto

Gestión de tiempos y asistencia, planificación simulada de las alternativas del proyecto y análisis y documentación del proyecto.

Contabilidad del Proyecto

Planificación y gestión detallada del proyecto, supervisión de actividades y costes y gestión de gastos de viaje.

Facturación del Proyecto

Facturación de tiempo y gastos, creación/modificación de facturas/crédito/abonos e integración con la contabilidad financiera.

DESARROLLO Y FABRICACIÓN DEL PRODUCTO.

Desarrollo del Producto

Definición del producto, recopilación de requisitos, colaboración de desarrollo, abastecimiento de los componentes del producto.

Gestión de Datos y Documentos del Producto

Gestión de la estructura y la receta del producto, gestión de cambios/configuración y gestión de documentos.

Planificación de la Producción y Fabricación, básica

Planificación de materiales (MRP), listas de materiales (BOM), planificación de la producción para diversos sectores (MTO, CTO, ETO, MTS), planificación de funciones, fabricación en planta y generación de análisis e informes estándar.

Fabricación, avanzada

Préstamo, proceso, fabricación repetitiva y de flujo; ingeniería de productos/procesos integrada, integración con sistemas MES, supervisión/generación de informes relacionados con los cambios de la fabricación, y colaboración para fabricación externalizada.

Gestión de la calidad

Ingeniería de calidad (inspección, análisis FMEA, plan de control, procedimiento de muestras y gestión de recibos, pruebas, cambios y proveedores); garantía de calidad (inspección, control del proceso estadístico, gestión de muestras y lotes y seguimiento); mejora de la calidad (gestión de problemas/reclamaciones y generación de informes correctivos/preventivos); y gestión de auditorías.

Gestión de activos empresariales

Planificación de activos, aprovisionamiento, mantenimiento y operaciones, gestión de descatalogados/eliminados, gestión de piezas de servicio e inventarios, gestión de flotas, gestión de proyectos y optimización del rendimiento y los análisis de los activos.

GESTIÓN DE COMPRAS Y DE LA CADENA DE SUMINISTRO.

Aprovisionamiento, básico

Solicitud de autoservicio, abastecimiento operativo, solicitud de compra y procesamiento de pedidos, procesamiento y gestión de contratos y procesamiento de facturas.

Aprovisionamiento, avanzado

Cumplimiento regulatorio de importación/exportación y optimización de compras.

Gestión de inventarios

Gestión de inventarios (cantidades), gestión de inventarios físicos, lógica de recogida LIFO/FIFO, suministro de producción, gestión de tareas y recursos y gestión de números de serie y lotes.

Gestión de almacenes

Cross-docking, gestión de unidades de manipulación, gestión de calidad, liberación automatizada de cargas de trabajo, gestión de depósitos y supervisión de las actividades de almacén.

Soporte de radiofrecuencia/códigos de barras

Integración directa de los terminales móviles y dispositivos portátiles de RF con dispositivos de escaneado.

Logísticas de entrada y salida, básicas

Recepción y expedición de bienes.

Logísticas de entrada y salida, avanzadas

Notificación de envíos, supervisión del trabajo en curso (recepción), entrega/distribución y supervisión del trabajo en curso (envío).

Gestión del transporte

Costes de envío y porte.

MARKETING

Desarrollo del mercado

Gestión de la información de mercado, gestión de clientes potenciales, definición de mercados objetivo, correos electrónicos directos personalizados en múltiples canales, gestión de respuestas.

Gestión de segmentación y listas, básica

Segmentación de bases de datos de clientes con el objetivo de crear diferentes grupos objetivo para campañas de marketing.

Gestión de segmentación y listas, avanzada

Acceso a múltiples fuentes de datos, listas de vistas previas, segmentación personalizable, muestras y divisiones, modelado predictivo, duplicados, optimización de grupos objetivo, agrupación, explotación de datos y árboles de decisiones.

Gestión de campañas

Calendario de marketing, ejecución de campañas multicanal, gestión de comunicaciones personalizadas, listas de llamadas y análisis de campaña.

Gestión de clientes potenciales, básica

Creación, gestión, cualificación y seguimiento de los clientes potenciales con predisposición manual a ventas para realizar su seguimiento.

Gestión de clientes potenciales, avanzada

Gestión de clientes potenciales multicanal, cualificación automatizada, generación de clientes potenciales a partir de campañas/listas/encuestas, seguimiento automatizado de los clientes potenciales y generación de informes/análisis de ciclo cerrado sobre los clientes potenciales.

VENTAS

Gestión del rendimiento de las previsiones

Análisis de previsiones de ventas, escenarios hipotéticos, planificación de ofertas e identificación de cambios de previsiones y oportunidades críticas.

Gestión de territorios

Segmentación, asignación, programación y correlación organizativa de los territorios.

Gestión de cuentas y contactos

Visión completa de la información de contabilidad, gestión y programación de las actividades de los contactos, gestión de relaciones y comunicaciones integradas a través de correo electrónico/fax.

Gestión de oportunidades

Planificación de oportunidades, información competitiva, gestión de actividades y análisis de oportunidades.

Gestión de ofertas y pedidos de cliente

Procesamiento de consultas y ofertas, procesamiento de pedidos de cliente (configuración, determinación del precio y creación de los pedidos de cliente; determinación y sustitución del producto; comprobaciones de precios y disponibilidad), sincronización con ERP y facturación.

Procesamiento de contratos

Desarrollo y gestión de contratos de valor y calidad.

SERVICIO

Gestión de ofertas y pedidos de servicio

Consultas y ofertas, capturación de pedidos, asignación automática de partners empresariales, determinación de precios, comprobación de validación de pedidos, sincronización con ERP, procesamiento de las listas de llamadas, interacciones multicanal y análisis de pedidos de servicio.

Gestión de contratos de servicio

Acuerdos de servicio, procesamiento de contratos, gestión de contratos y derechos, supervisión de garantías/mantenimiento/contratos de nivel de servicio para identificar nuevas oportunidades de venta, planificación de recursos de empleados de servicio, generación de informes y análisis de ciclo cerrado.

Reclamaciones y devoluciones

Gestión del conocimiento, procesamiento de reclamaciones y devoluciones y análisis de reclamaciones/devoluciones

Gestión de la base instalada

Gestión de los activos y la configuración por cliente, ubicación y tipo de producto.

Gestión de garantías

Garantías de cliente/vendedor, registro de productos y garantías y determinación de la garantía.

Planificación de recursos

Planificación de recursos de servicio, gestión de asignaciones, mantenimiento de ausencias/asistencia y datos maestros sobre recursos.

CENTRO DE INTERACCIÓN

Telemarketing

Ejecución de campañas (asignación de la lista de llamadas, guiones

interactivos y eficacia de los guiones), gestión de clientes potenciales (generación y cualificación de clientes potenciales) y personalización (modelado/enrutamiento y guiones de las alertas basadas en reglas).

Televentas

Gestión/procesamiento de cuentas y contactos y gestión de ofertas y pedidos.

Centro de ayuda y servicios compartidos

Información y ayuda tecnológica, gestión de incidentes y solicitudes de servicio, registros e historial de interacciones, perfil de seguridad de la información, integración del correo electrónico y gestión del nivel de servicios.

Soporte y atención al cliente

Identificación de cuentas, identificación de productos registrados, historial de interacciones, integración de la gestión de contenidos, piezas de repuesto y servicios, integración logística y financiera, generación de informes y procesamiento de reclamaciones/devoluciones.

Soporte y atención al cliente/ayuda, avanzado

Integración del chat, auto sugerencia interactiva de soluciones, propuestas predefinidas de productos de servicio.

Gestión de conocimientos

Acceso a múltiples almacenes de conocimiento, búsqueda de soluciones, categorización multinivel de transacciones empresariales, visión completa de las cuentas (hoja de datos) e historial de interacciones de los canales y escenarios empresariales.

Gestión del centro de interacción

Modelado de procesos (modelado, enrutamiento y guiones de las alertas

basadas en reglas); integración telefónica (ANI) y supervisión/análisis de operaciones IC.

CANAL WEB

Ventas a través de Internet

Plataforma de ventas e-commerce: catálogos, búsqueda de productos, cesta de la compra, salida y estatus del pedido e historial.

Servicio y soporte a través de Internet

Gestión del conocimiento, gestión de pedidos de servicio, gestión de la base instalada, reclamaciones y devoluciones.

INFORMES ANALÍTICOS ESTANDAR

Informes y análisis financieros, predefinidos

Generación de informes financieros y de gestión, análisis de rentabilidad y análisis de producto/coste.

Análisis e informes de operaciones, operaciones básicas predefinidas

Planificación de ventas, aprovisionamiento, gestión de inventarios/almacenes, fabricación, ventas y generación de informes y análisis del programa/proyecto.

Análisis e informes de operaciones, operaciones ampliadas predefinidas

Transporte, atención al cliente, gestión de la calidad y generación de informes y análisis sobre los activos.

Informes y análisis del personal, predefinidos

Planificación/comparación del personal, análisis de procesos del personal y gestión de los talentos y generación de informes.

INTELIGENCIA DE NEGOCIOS

Generación de informes, definida por el usuario

Creación, gestión y entrega de informes de alta calidad que los usuarios pueden diseñar y desplegar.

Visualización de datos y creación de cuadros de mando

Consolidación de los datos de la empresa en un único cuadro de mando, de modo que pueda gestionar el rendimiento.

Informes, consultas y análisis especializados

Creación de informes y cuadros de mando de manera inmediata y acceso a cualquier dato para comprender las "causas raíz" y realizar las correcciones; soporta múltiples fuentes de datos.

3.2 PROGRAMA DE AUDITORIA

Establecer con base en este escenario como sería la solución integrada de sistemas de información para la empresa, deben incluirse soluciones adicionales (si se requiere ) para tener una completa solución de sistemas para la empresa. Desde arquitectura informática tanto en hardware y software hasta asignación de responsabilidades en el personal de sistemas. Premisa: si fuera el gerente de sistemas de la empresa y tiene la empresa en un excelente nivel de automatización como estaría configurado.

Con el fin de llevar a cabo la auditoria específica referente a SAP, se llevara a cabo el siguiente programa de Auditoria: 1. Investigación Preliminar. 2. Identificación y Agrupación de sistemas orientados a SAP

3. Evaluación de la integridad en la empresa objeto de la Auditoría 4. Diseño de Pruebas de Auditoría 5. Ejecutar Pruebas de Auditoría 6. Elaboración de Informe de Auditoría 7. Seguimiento.

1. Investigación preliminar

En esta etapa se determinará si la empresa cuenta con un sistema SAP, con el fin de estimar el alcance de la auditoria. Se llevara a cabo una revisión general y una visita a la empresa, para definir los pasos a seguir. Se conocerá de manera global los sistemas o módulos que conforman SAP y que tan integrados están con el fin de definir a que se le hará Auditoria e identificar los elementos que apoyan dichos planes.

Consideraciones Conocimiento global de la empresa en cuanto a: Planes de mitigación de Riegos, Área de sistemas, Estructura organizacional y personal. Conocimiento global de los sistemas, evaluando las herramientas que proporciona como apoyo a la seguridad y a la administración. Además observar si la empresa tiene un sistema SAP y hasta qué punto está implementado y que sistemas están integrados bajo esta plataforma.

c. Alcance de la Auditoria. Las herramientas y mecanismos a utilizar para llevar a cabo esta investigación preliminar son:

Entrevistas previas con el cliente. Revisión de las instalaciones y sistemas de información donde se realizara

la auditoria. Investigación de los funcionarios que analizaron y adquirieron la plataforma

SAP Revisión de documentación proporcionada por la empresa. Estudio y evaluación del sistema de información integrados bajo la

plataforma SAP de la empresa..

2. Identificación y Agrupación de sistemas orientados a SAP

Identificar si en la empresa esta implementado un sistema SAP y hasta qué punto a integrado los sistemas de información de la empresa y como se hace la gestión del mismo, observar a nivel generar que módulos cuentan con SAP y como se gestionan .

3. Evaluación de la Integridad en la empresa objeto de la Auditoría

Se determinara si el SAP considera todas las áreas de la empresa de manera integral incluso desde la estrategia.Se examinará si existe modularidad e integridad de los sistemas que se consideran críticos para la organización y que por lo menos dichos sistemas estén implementados bajo la plataforma SAP.

4. Diseño de Pruebas de Auditoría

Se determinarán en términos generales los instrumentos y técnicas a utilizar para llevar a cabo la verificación del cumplimiento adecuado de los procesos necesarios para garantizar que dentro de la organización se ha implementado un sistema SAP.

La implementación de SAP está basado en directrices marcadas por la dirección.

El sistema SAP esta periódicamente actualizado para reflejar y responder a los cambios que se vayan produciendo en la compañía.

1. Técnicas: Revisión documental

2. Instrumentos Cuestionario, revisión documental y observación

FECHAEMPRESA Colombiana de licoresAUDITOR Reinel Tabares SotoTECNICA USADA Guía de AuditoriaHERRAMIENTA USADA Encuesta

PREGUNTAS CERRADASNo pregunta Si No Ns Observación

1 La empresa tiene la plataforma SAP implementada en sus sistemas de información?

2 La empresa tiene mentalidad integradora dentro de sus objetivos empresariales, políticas, misión y visión?

3 Los sistemas de información de TI de la empresa soportan todas las áreas en una escala global?

4 Todos los módulos y áreas de la empresa están integrados?

5 los sistemas de información de la empresa abarca todas las necesidades del negocio

6 El sistema de gestión de toda la empresa es único y modular?

7 Cada módulo de la empresa realiza una función diferente?

8 El departamento de contabilidad esta automatizado?

9 La atención de los procesos de negocio como ventas y manejo de la distribución, además la gestión de materias primas, planificación de la producción (PP), mantenimiento de planta (PM), y la gestión de calidad (QM) son tomadas por los módulos de logística?

10 La empresa cuenta con un módulo de logística, módulo de contabilidad y módulo de recursos humanos?

PREGUNTAS ABIERTASNo pregunta Respuesta

1 De qué manera la alta dirección piensa la empresa como un todo, y cuál es la manera de integración?

2 La empresa cuenta con un módulo de logística? cómo funciona?

3 La atención de los procesos de negocio como ventas y manejo de la distribución, además la gestión de materias primas, planificación de la producción (PP), mantenimiento de planta (PM), y la gestión de calidad (QM) son tomadas por los módulos de logística?

4 La empresa cuenta con un módulo de contabilidad? cómo funciona?

5 De qué manera el departamento de contabilidad gestiona los libros de contabilidad, los balances y estados de ganancia y perdidas?

6 La empresa cuenta con un módulo de recursos humanos? cómo funciona?

7 La empresa considera el departamento de recursos humanos crucial? por qué?

8 Considera que SAP está generando un total control sobre las actividades de la empresa? De qué manera?

9 La empresa cuenta con personal certificado en el uso y administración de sistemas SAP? Cuál es su función?

10 Como se hace la gestión del efectivo y la liquidez de la empresa?

LISTA DE CHEQUEONo pregunta Cumple No

cumpleObservación

1 Todos los registros del personal están automatizados y unificados.

2 La aminoración del personal de la empresa está gestionado por SAP

3 Todos los departamentos pueden tener acceso al módulo (PA) administración de personal SAP

4 El sistema SAP que se tiene en la empresa suministra información sobre cada proceso a la alta dirección

5 El SAP de la empresa, se logrará optimizar la cadena de suministro, introducir productos en el mercado con más rapidez, sacar mejor partido del aprovisionamiento y evitar la duplicación de esfuerzos.

6 Las soluciones SAP se traducen directamente en reducción de costes e incremento del retorno de la inversión.

7 la gestión de sanidad de la empresa se hace desde SAP

5. Ejecutar Pruebas de Auditoría

Se ejecutan las pruebas, exigiendo el soporte documental de las respuestas de los cuestionarios y de esta manera verificar el control que se está llevando en los sistemas SAP

6. Elaboración de Informe de Auditoría

Comunicar a la organización los resultados de la auditoria, proporcionando mayor valor a la organización a través de un minucioso estudio de los sistemas integradores de toda la empresa, identificando deficiencias y oportunidades de mejora y ahorro.

7. Seguimiento.

Se verificara el nivel de madurez de la plataforma SAP en la empresa y como cada uno de los módulos faltantes por integrar se incorporaran a la plataforma además de como afectara el retorno de inversión.