Académique Documents
Professionnel Documents
Culture Documents
CONTENIDO
Párrafos
Introducción 1
Sistemas de bases de datos 4–6
Características de los sistemas de bases de datos 7 –19
Control interno en un ambiente de sistemas de bases de datos 20 – 27
El efecto de las bases de datos en los sistemas contables y en los
controles internos relacionados con ellos 28 – 30
El Efecto de las bases de datos en los procedimientos de auditoría 31 – 37
Introducción
Datos compartidos
8. Una base de este tipo se compone de datos que se establecen con relaciones
definidas y se organizan de manera que permiten a varios usuarios utilizarlos en
diferentes programas de aplicación. Las aplicaciones individuales normalmente
comparten los datos para finalidades distintas. Por ejemplo, el costo de una partida
de existencias mantenido por la base de datos puede utilizarse por un programa de
aplicación que genera información sobre el costo de las ventas o por otro que
prepara una valoración de existencias.
9. El SGBD registra el dato una única vez para ser utilizado por diversos programas de
aplicación. Esto crea la necesidad de compartir los datos y la necesidad de la
independencia de los datos respecto de los programas de aplicación. En un sistema
que no es de base de datos, archivos separados de datos son mantenidos por cada
aplicación. Datos similares, utilizados por varias aplicaciones, pueden estar
repetidos en varios archivos diferentes. En un sistema de base de datos, sin
embargo, un único archivo de datos ( o base de datos) es utilizado por varias
aplicaciones, manteniendo una mínima redundancia de datos.
10. Los SGBD difieren en el grado de independencia de los datos que suministran. El
grado de independencia de los datos se relaciona con la facilidad con la que el
personal puede introducir cambios en los programas de aplicación o en las bases de
datos. La auténtica independencia de los datos se alcanza cuando la estructura de
los mismos en la base puede cambiarse sin afectar los programas de aplicación, y
viceversa.
Diccionario de datos
12. Las bases de datos pueden estar estructuradas como archivos planos de base de
datos, o como base de datos relacionales. En un archivo plano de base de datos,
todos los datos concernientes a un registro están almacenados como parte de
dicho registro. Con una base de datos relacional, los datos son almacenados en
una serie de tablas, con las relaciones que sean necesarias entre las mismas. Las
bases de datos relacionales minimizan la duplicación de datos almacenados y los
datos que son compartidos por más de un registro son almacenados una única
vez. Los datos en sí mismos pueden comprender objetos para ser utilizados por
aplicaciones orientadas a objetos. Esto puede indicar una compleja estructura de
datos.
14. La utilización de los mismos datos por varios programas de aplicación subraya la
importancia de una coordinación centralizada de la utilización y de la definición de
los datos y del mantenimiento de su integridad, seguridad, precisión y completitud.
La administración del recurso de datos es necesario para promover la integridad
de datos para la organización considerada como un todo e incluye a la función de
administración de datos ( ver párrafo 15) y la función de administración de la base
de datos (ver párrafos 16-19). La administración de los datos, su significado, su
relación con otros datos y la integridad en toda la organización, corresponde al
“dueño de los datos”. En contraste, la función de administración de la base de
datos, el día a día de a operación de la base de datos, las políticas, procedimientos
de acceso y uso diario corresponde primariamente a la implementación técnica de
la base de datos.
Administración de Datos
Obtener el acuerdo entre los usuarios acerca del formato y definición de los
datos;
Minería de datos;
Utilización de datos;
Seguridad de datos;
Modelado de datos; y
17. Las tareas de administración de la base de datos pueden también realizarse por
individuos que no formen parte de un grupo centralizado. En este caso, cuando las
tareas de administración de la base de datos no están centralizadas, sino que se
encuentran distribuidas entre diferentes unidades organizativas, las diferentes
tareas deben ser coordinadas.
19. En algunas aplicaciones suele utilizarse más de una base de datos. En tales
casos, el grupo de administración de la base de datos debe asegurar que:
20. Debido a que la infraestructura de seguridad en una organización juega una parte
importante en el aseguramiento de la integridad de la información producida, el
auditor considerará dicha infraestructura antes de examinar los controles generales
y de aplicación. Generalmente, el control interno en un ambiente de base de datos
requiere de efectivos controles sobre la base de datos, del SGBD y de las
aplicaciones. La eficacia de los controles internos depende en gran medida de la
naturaleza de las tareas de administración de la base de datos (párrafos 15 a 19)
y de la manera en que se llevan a cabo.
21.En los sistemas de base de datos, los controles generales tienen normalmente una
mayor influencia que los controles de aplicación debido a que se comparten datos,
los datos son independientes y a otras características de los sistemas de base de
datos. Los controles generales del sistema informático en relación con las bases
de datos, el SGBD y las actividades de la función de administración de datos
(administración de datos y administración de la base de datos) tienen un efecto
significativo en el proceso de aplicación. Como lo indica el párrafo 19, el uso del
SGBD y las funciones incluidas en él pueden ayudar a proveer controles efectivos.
Los controles generales de especial importancia en un ambiente de bases de
datos pueden clasificarse en los siguientes grupos:
d) Segregación de funciones;
22. En la medida en que los datos son compartidos por diferentes usuarios, debe
reforzarse el control cuando se utilice un procedimiento estándar para desarrollar
cada nueva aplicación de los programas y para las modificaciones en tales
aplicaciones. Ello incluye seguir un procedimiento formalizado, que contemple las
diferentes etapas cuando se requiera desarrollar o modificar un programa de
aplicación. También incluye la realización del análisis de los efectos de las nuevas
y de las actuales transacciones en la base de datos cada vez que sea necesaria
una modificación. Los resultados del análisis pueden indicar los efectos de los
cambios en la seguridad e integridad de la base de datos. Implantar un
procedimiento estandarizado para desarrollar y modificar aplicaciones de los
programas es una técnica que puede mejorar la precisión, integridad y completitud
de las bases de datos. Los siguientes son algunos de los controles que nos
pueden ayudar a lograr esto:
Se a realizado la definición de estándares y se monitorea su cumplimiento;
23. En un sistema informático con bases de datos, dónde varios individuos pueden
utilizar programas para introducir y modificar los datos, es necesaria la asignación,
clara y bien definida, por el administrador de la base de datos, de las
responsabilidades relativas a la precisión e integridad de cada dato. Un usuario
individual de los datos debe contar con reglas claras que definan su
responsabilidad en relación con el acceso y la seguridad de los datos; así, debe
definirse quien puede utilizar los datos (acceso) y las funciones que puede realizar
(seguridad).La asignación de responsabilidades específicas en el manejo de los
datos ayuda a asegurar la integridad de la base de datos. Por ejemplo, el
encargado de créditos puede ser responsabilizado de los limites de crédito de los
clientes y, en consecuencia, puede ser responsable de determinar que usuarios
están autorizados para utilizar tal información. Si varios individuos pueden tomar
decisiones que afecten a la precisión e integridad de los datos, aumenta la
probabilidad de que los datos se deterioren o se utilicen de manera no adecuada.
Los controles sobre los perfiles de usuarios son también importantes cuando se
utiliza un sistema de base de datos, no solo para establecer los accesos
autorizados sino también para detectar violaciones o intentos de violación de los
datos.
24. El acceso de los usuarios a la base de datos puede restringirse mediante códigos
de acceso. Esta restricción puede aplicarse a los individuos, a los terminales y a
los programas. Para que las claves sean efectivas, se requieren procedimientos
adecuados para el cambio de los códigos, el mantenimiento de su secreto y el
control e investigación de posibles intentos de contravenir las reglas establecidas.
Los códigos relativos a terminales, programas y datos ayudan a asegurar que solo
los usuarios y los programas autorizados pueden acceder a los datos, modificarlos
o borrarlos. Por ejemplo, el responsable de créditos puede permitir que un
vendedor tenga acceso al límite de crédito de un cliente, mientras que un
empleado del almacén puede no estar autorizado para ello.
Segregación de tareas
27. Las bases de datos están propensas a ser usadas por las personas en muchas de
las distintas operaciones de la entidad. Esto significa que muchas partes de la
entidad pueden ser afectadas si los datos no están disponibles o contienen
errores. Consecuentemente, los controles generales sobre la seguridad de los
datos y la recuperación de la base de datos supone un alto nivel de importancia en
los sistemas de base de datos.
29. Los sistemas de bases de datos suministran una mayor fiabilidad de los datos, en
comparación con los sistemas que no los utilizan. En tales sistemas los controles
generales asumen una mayor importancia que los controles de aplicación. Esto
puede resultar en la reducción del riesgo de fraudes o errores en los sistemas
contables donde se utilizan base de datos. Los siguientes factores, combinados
con los controles adecuados, contribuyen al incremento de la fiabilidad de los
datos:
32. Para obtener el adecuado conocimiento del ambiente de control del sistema de
base de datos y del flujo de transacciones, el auditor puede tener en cuenta el
efecto de las siguientes cuestiones en el riesgo de la auditoría, al planificar la
misma:
35. Los procedimientos de auditoria pueden incluir las funciones del SGBD para:
Antes de usar los recursos del SGBD, el auditor debe considerar si estos funcionan
adecuadamente.
36. Si los controles de administración de la base de datos son inadecuados, el auditor
puede no ser capaz de superar la debilidad de los controles con una mayor
cantidad de pruebas sustantivas. Pero, cuando resulta claro que los controles en
el sistema de base de datos pueden no ser confiables el auditor considerará si
realiza procedimientos sustantivos en todas las aplicaciones contables
significativas que utilizan la base de datos para lograr el objetivo de auditoría. Si el
auditor se encuentra imposibilitado de superar la debilidad del ambiente de control
con trabajo sustantivo para reducir el riesgo de auditoría a un nivel bajo aceptable,
NIA 700, “El informe del auditor en los Estados Contables” requiere que el auditor
incluya una salvedad o se abstenga de opinar.
37. Las características de los sistemas de bases de datos pueden hacer que sea más
adecuado para el auditor la realización de una revisión previa a la puesta en
funcionamiento de la aplicación contable, en vez de revisarla después de su
instalación. Esta revisión previa puede suministrarle la oportunidad de solicitar
funciones adicionales, tales como las que realicen tareas fijas de rutina utilizables
en la auditoria, o controles en el diseño de la aplicación. También puede permitir el
auditor el desarrollo de pruebas y procedimientos de auditoria con antelación
suficiente en relación con el momento en que deban ser realizadas.