1003. Ambiente de Tecnología Informática.

Sistemas de bases de datos

_______________________________________________________________

CONTENIDO

Párrafos
Introducción 1
Sistemas de bases de datos 4–6
Características de los sistemas de bases de datos 7 –19
Control interno en un ambiente de sistemas de bases de datos 20 – 27
El efecto de las bases de datos en los sistemas contables y en los
controles internos relacionados con ellos 28 – 30
El Efecto de las bases de datos en los procedimientos de auditoría 31 – 37

La Declaración Internacional de Prácticas de Auditoría (IAPS) 1003, “Ambiente de

Tecnología Informática (TI) – Sistemas de Base de Datos” debe ser leída en el
contexto del “Prólogo de los estándares internacionales de Control de Calidad,
Auditoría, Seguridad y Servicios Relacionados, tal como lo estableció la autoridad de
aplicación del IAPS.

El auditor debe entender y considerar las características de un ambiente de TI por el

afecta el diseño del sistema contable y los controles internos relacionados. Por
consiguiente un ambiente de TI puede afectar el plan de auditoría completo incluida la
selección de los controles internos que al auditor considera revisar y en la naturaleza,
oportunidad y extensión de los procedimientos de auditoría.

El IAPC aprobó esta práctica esta Declaración Internacional de Prácticas de Auditoría

en Junio de 2001 para su publicación en Julio de 2001.

Introducción

1. Esta Declaración describe los efectos de un sistema de bases de datos en el

sistema contable, en los sistemas de control interno relacionados con el mismo y en
los procedimientos de auditoría.

2. Una base de datos es un conjunto de datos que se comparte y es utilizada por un

número de usuarios diferentes con distintos propósitos. Cada usuario no tiene
necesariamente conocimiento de todos los datos almacenados en la base o en la
forma en que tales datos pueden utilizarse para múltiples propósitos. Generalmente,
los usuarios individuales solo tienen acceso a los datos que utilizan y pueden
contemplarlos como archivos informáticos empleados en sus aplicaciones.

3. Cuando una entidad utiliza un sistema de base de datos, la tecnología es

probablemente compleja y está probablemente relacionada con el plan estratégico
de negocios de la entidad. El equipo de Auditoría puede requerir de habilidades
especiales de tecnología informática (TI) para realizar adecuadas revisiones y para
entender las implicancias de las respuestas obtenidas. El auditor puede necesitar
considerar el trabajo de un experto. (Ver Norma Internacional de Auditoría 620
“Usando el Trabajo de un Experto”).
Sistema de Base de Datos

4. Los sistemas de bases de datos están integrados principalmente por dos

componentes esenciales: el sistema de bases de datos propiamente dicho y el
sistema de gestión de base de datos (SGBD). Los sistemas de bases de datos
actúan en interacción con otros aspectos de “hardware” y “software” del sistema
informático general.

5. El “software” utilizado para crear, mantener y utilizar bases de datos será

denominado software de gestión de base de datos (SGBD). Junto con el sistema
operativo, el SGBD facilita el almacenamiento físico de los datos, mantiene las
interrelaciones entre ellos y los mantiene disponibles para los programas de
aplicación. Normalmente, el “software” de SGBD es suministrado por un vendedor
comercial.

6. La orientación que da esta declaración se aplica a los sistemas de base de datos

utilizados en ambientes de usuarios múltiples. Asimismo los sistemas de base de
datos puede residir en cualquier tipo de computadora, incluidas las computadoras
personales (CP), esta declaración no se aplica a los ambientes de CP con un único
usuario.

Características de los sistemas de bases de datos

7. Los sistemas de bases de datos se distinguen por dos importantes características:

compartir datos e independencia. Estas características requieren el uso de
diccionario de datos (párrafo 11) y el establecimiento de funciones de
administración de las bases de datos (párrafos 13 a 19).

Datos compartidos

8. Una base de este tipo se compone de datos que se establecen con relaciones
definidas y se organizan de manera que permiten a varios usuarios utilizarlos en
diferentes programas de aplicación. Las aplicaciones individuales normalmente
comparten los datos para finalidades distintas. Por ejemplo, el costo de una partida
de existencias mantenido por la base de datos puede utilizarse por un programa de
aplicación que genera información sobre el costo de las ventas o por otro que
prepara una valoración de existencias.

Independencia de los datos respecto de los programas de aplicación

9. El SGBD registra el dato una única vez para ser utilizado por diversos programas de
aplicación. Esto crea la necesidad de compartir los datos y la necesidad de la
independencia de los datos respecto de los programas de aplicación. En un sistema
que no es de base de datos, archivos separados de datos son mantenidos por cada
aplicación. Datos similares, utilizados por varias aplicaciones, pueden estar
repetidos en varios archivos diferentes. En un sistema de base de datos, sin
embargo, un único archivo de datos ( o base de datos) es utilizado por varias
aplicaciones, manteniendo una mínima redundancia de datos.

10. Los SGBD difieren en el grado de independencia de los datos que suministran. El
grado de independencia de los datos se relaciona con la facilidad con la que el
personal puede introducir cambios en los programas de aplicación o en las bases de
datos. La auténtica independencia de los datos se alcanza cuando la estructura de
los mismos en la base puede cambiarse sin afectar los programas de aplicación, y
viceversa.
 Diccionario de datos

11. Una consecuencia importante de compartir los datos y de la independencia de los

mismos respecto de las aplicaciones es el potencial de registro de los datos una
única vez para su utilización en varias aplicaciones. Dado que varios programas de
aplicación necesitan el acceso a estos datos, es necesaria la existencia de una
aplicación de “software” que mantenga información sobre la localización de los datos
en la base. Este “software”, incluido en el SGBD, es conocido como diccionario de
datos. También sirve como una herramienta para mantener documentación
homogeneizada y definiciones del entorno de la base de datos y de sus sistemas de
aplicación. Un diccionario de datos provee funciones tales como:

 Recursos para crear o modificar definiciones de datos;

 Validación de las definiciones de datos provista para asegurar la integridad de los

mismos;

 Prevención de accesos no autorizados o de manipulación de las definiciones de

datos; y

 Interrogación y recursos de reportes que le permitan al administrador de base de

datos realizar indagaciones acerca de las definiciones de datos.

Administración de las bases de datos

12. Las bases de datos pueden estar estructuradas como archivos planos de base de
datos, o como base de datos relacionales. En un archivo plano de base de datos,
todos los datos concernientes a un registro están almacenados como parte de
dicho registro. Con una base de datos relacional, los datos son almacenados en
una serie de tablas, con las relaciones que sean necesarias entre las mismas. Las
bases de datos relacionales minimizan la duplicación de datos almacenados y los
datos que son compartidos por más de un registro son almacenados una única
vez. Los datos en sí mismos pueden comprender objetos para ser utilizados por
aplicaciones orientadas a objetos. Esto puede indicar una compleja estructura de
datos.

13. La administración del recurso de los datos es un control organizacional esencial

para asegurar la confiabilidad e integridad de los datos. En un ambiente de base de
datos los métodos de uso y control de la información pasan de un enfoque orientado
a las aplicaciones a un enfoque que comprende toda la organización. En contraste a
los sistemas tradicionales donde cada aplicación es un sistema separado con sus
reportes y controles, en un ambiente de base de datos, muchos controles pueden
ser centralizados y la base de datos está destinada a servir a todas las necesidades
de información de la organización.

14. La utilización de los mismos datos por varios programas de aplicación subraya la
importancia de una coordinación centralizada de la utilización y de la definición de
los datos y del mantenimiento de su integridad, seguridad, precisión y completitud.
La administración del recurso de datos es necesario para promover la integridad
de datos para la organización considerada como un todo e incluye a la función de
administración de datos ( ver párrafo 15) y la función de administración de la base
de datos (ver párrafos 16-19). La administración de los datos, su significado, su
relación con otros datos y la integridad en toda la organización, corresponde al
“dueño de los datos”. En contraste, la función de administración de la base de
 datos, el día a día de a operación de la base de datos, las políticas, procedimientos
de acceso y uso diario corresponde primariamente a la implementación técnica de
la base de datos.

Administración de Datos

15. La administración de datos gestiona los mismos con un recurso organizacional e

incluye las responsabilidades por:

 El desarrollo e implementación de las políticas y el plan estratégico de

administración del recurso de datos, que soporta el plan de negocio de la
entidad logrando el eficiente costo de uso de los datos de la organización;

 La creación y mantenimiento del modelo o arquitectura corporativa de datos

(algunas veces denominada como el modelo de datos de la empresa);

 La coordinación e integración de los modelos de datos de los sistemas;

 Obtener el acuerdo entre los usuarios acerca del formato y definición de los
datos;

 Resolver los conflictos entre datos y la representación incompatible de los

mismos;

 Establecer un diccionario de datos corporativo, administración de

denominaciones organizacionales y la definición de estándares.

 Establecer estándares de datos y procedimientos para:

 Minería de datos;

 Utilización de datos;

 Seguridad de datos;

 Compilación de la definición de datos;

 Modelado de datos; y

 Proveer entrenamiento y asesoramiento, a los usuarios y los miembros del

equipo de tecnología de sistemas de datos (desarrolladores de sistemas y
administradores de base de datos), en lo correspondiente a todos los aspectos
de la administración del recurso de datos.

16. La coordinación se lleva a cabo normalmente por un grupo de individuos cuya

responsabilidad suele conocerse como “administradores de la base de datos”. El
individuo que desempeña esta función se denomina “administrador de la base de
datos”. Este último es responsable general de la definición, estructura, seguridad,
control de operaciones y eficiencia de las bases de datos, incluida la definición de
las reglas a través de las que se accede a los datos y se almacenan los mismos.

17. Las tareas de administración de la base de datos pueden también realizarse por
individuos que no formen parte de un grupo centralizado. En este caso, cuando las
 tareas de administración de la base de datos no están centralizadas, sino que se
encuentran distribuidas entre diferentes unidades organizativas, las diferentes
tareas deben ser coordinadas.

18. La administración de bases de datos incluye típicamente las siguientes funciones:

 Definición de la estructura y descripción del modelo de datos. Determinando la

manera en que se definen y almacenan, así como la forma en que se accede a
ellos por los usuarios de la base de datos, al objeto de asegurar que todos sus
requerimientos se cumplan oportunamente.

 Mantenimiento de la integridad, seguridad y completitud de los datos.

Desarrollo, implantación y cumplimiento de reglas relacionadas con la
integridad, completitud y acceso. Estas responsabilidades incluyen:

 Definir quien es el responsable por el monitoreo del apropiado origen de

los datos y como ese monitoreo es realizado;

 Definir quien puede acceder a los datos y la manera de hacerlo

(mediante códigos de acceso o similares);

 Prevenir la inclusión de datos incompletos o no válidos;

 Detectar la ausencia de datos;

 Asegurar la base de datos contra accesos no autorizados o destrucción;

 Monitorear y seguir los incidentes de seguridad y el regular resguardo

de los datos; y

 Asegurar la total recuperación en un caso de pérdida de datos. En tal

circunstancia, el protocolo de resguardo de las tablas de datos suele ser
complejo.

 Coordinación de las operaciones informáticas relacionadas con la base de

datos. Asignando responsabilidades en relación con los medios físicos
informáticos y monitorear el uso en relación con las operaciones de la base de
datos.

 Monitoreo de la respuesta del sistema. Desarrollando medidas de

comportamiento para controlar la integridad de los datos y la capacidad de la
base de datos para dar respuesta a las necesidades de sus usuarios y la
frecuencia de los accesos y cambios en los datos.

 Proveer soporte administrativo. Coordinando y relacionándose con el vendedor

del SGBD, evaluando las nuevas versiones provistas por el mismo, en relación
con el sistema de gestión de base de datos y su posible impacto en la entidad,
realizando su instalación y asegurando que se suministra la adecuada
capacitación interna.

19. En algunas aplicaciones suele utilizarse más de una base de datos. En tales
casos, el grupo de administración de la base de datos debe asegurar que:

 Existe la relación adecuada entre las bases de datos;

  Se mantiene la coordinación de funciones; y

 Los datos contenidos en diferentes bases son consistentes.

Control interno en un contexto con sistemas de bases de datos

20. Debido a que la infraestructura de seguridad en una organización juega una parte
importante en el aseguramiento de la integridad de la información producida, el
auditor considerará dicha infraestructura antes de examinar los controles generales
y de aplicación. Generalmente, el control interno en un ambiente de base de datos
requiere de efectivos controles sobre la base de datos, del SGBD y de las
aplicaciones. La eficacia de los controles internos depende en gran medida de la
naturaleza de las tareas de administración de la base de datos (párrafos 15 a 19)
y de la manera en que se llevan a cabo.

21.En los sistemas de base de datos, los controles generales tienen normalmente una
mayor influencia que los controles de aplicación debido a que se comparten datos,
los datos son independientes y a otras características de los sistemas de base de
datos. Los controles generales del sistema informático en relación con las bases
de datos, el SGBD y las actividades de la función de administración de datos
(administración de datos y administración de la base de datos) tienen un efecto
significativo en el proceso de aplicación. Como lo indica el párrafo 19, el uso del
SGBD y las funciones incluidas en él pueden ayudar a proveer controles efectivos.
Los controles generales de especial importancia en un ambiente de bases de
datos pueden clasificarse en los siguientes grupos:

a) Procedimientos estándares para el desarrollo y mantenimiento de los

programas de aplicación;

b) Modelos de datos y propiedad de los datos;

c) Acceso a la base de datos;

d) Segregación de funciones;

e) Administración del recurso de datos;

f) Seguridad de datos y recuperación de la base de datos;

22. En la medida en que los datos son compartidos por diferentes usuarios, debe
reforzarse el control cuando se utilice un procedimiento estándar para desarrollar
cada nueva aplicación de los programas y para las modificaciones en tales
aplicaciones. Ello incluye seguir un procedimiento formalizado, que contemple las
diferentes etapas cuando se requiera desarrollar o modificar un programa de
aplicación. También incluye la realización del análisis de los efectos de las nuevas
y de las actuales transacciones en la base de datos cada vez que sea necesaria
una modificación. Los resultados del análisis pueden indicar los efectos de los
cambios en la seguridad e integridad de la base de datos. Implantar un
procedimiento estandarizado para desarrollar y modificar aplicaciones de los
programas es una técnica que puede mejorar la precisión, integridad y completitud
de las bases de datos. Los siguientes son algunos de los controles que nos
pueden ayudar a lograr esto:
  Se a realizado la definición de estándares y se monitorea su cumplimiento;

 Se han establecido e implementado procedimientos de backup y de

recuperación, para asegurar la disponibilidad de la base de datos.

 Se han establecido varios niveles de control de acceso para items de datos,

tablas y archivos de manera tal de prevenir accesos no autorizados;

 Se han establecido controles para asegurar exactitud, completitud y

consistencia de los elementos de datos y sus relaciones en la base de datos. Si
embargo en sistemas complejos, los sistemas diseñados no siempre le
proveen a los usuarios controles que permitan verificar la completitud y
exactitud de los datos y el riesgo puede ser incrementado si el SGBD no
siempre identifica los datos e índices corruptos; y

 Los procedimientos de reconstrucción de la base de datos son siempre

seguidos cuando se realizan cambios lógicos, físicos o de procedimientos.

Modelo de datos y propiedad de los datos

23. En un sistema informático con bases de datos, dónde varios individuos pueden
utilizar programas para introducir y modificar los datos, es necesaria la asignación,
clara y bien definida, por el administrador de la base de datos, de las
responsabilidades relativas a la precisión e integridad de cada dato. Un usuario
individual de los datos debe contar con reglas claras que definan su
responsabilidad en relación con el acceso y la seguridad de los datos; así, debe
definirse quien puede utilizar los datos (acceso) y las funciones que puede realizar
(seguridad).La asignación de responsabilidades específicas en el manejo de los
datos ayuda a asegurar la integridad de la base de datos. Por ejemplo, el
encargado de créditos puede ser responsabilizado de los limites de crédito de los
clientes y, en consecuencia, puede ser responsable de determinar que usuarios
están autorizados para utilizar tal información. Si varios individuos pueden tomar
decisiones que afecten a la precisión e integridad de los datos, aumenta la
probabilidad de que los datos se deterioren o se utilicen de manera no adecuada.
Los controles sobre los perfiles de usuarios son también importantes cuando se
utiliza un sistema de base de datos, no solo para establecer los accesos
autorizados sino también para detectar violaciones o intentos de violación de los
datos.

Acceso a la base de datos

24. El acceso de los usuarios a la base de datos puede restringirse mediante códigos
de acceso. Esta restricción puede aplicarse a los individuos, a los terminales y a
los programas. Para que las claves sean efectivas, se requieren procedimientos
adecuados para el cambio de los códigos, el mantenimiento de su secreto y el
control e investigación de posibles intentos de contravenir las reglas establecidas.
Los códigos relativos a terminales, programas y datos ayudan a asegurar que solo
los usuarios y los programas autorizados pueden acceder a los datos, modificarlos
o borrarlos. Por ejemplo, el responsable de créditos puede permitir que un
vendedor tenga acceso al límite de crédito de un cliente, mientras que un
empleado del almacén puede no estar autorizado para ello.

25. El uso de tablas de autorización pueden favorecer el control de acceso de los

usuarios a los diversos elementos de la base de datos. La inadecuada
implantación de procedimientos de acceso puede resultar en el acceso no
 autorizado a la base de datos. Controles apropiados también aseguran que los
datos almacenados son convertidos para la lectura en un formato legible para las
personas en un breve período de tiempo.

Segregación de tareas

26. Las responsabilidades por la realización de las diferentes actividades necesarias

para diseñar, implantar y manejar una base de datos están repartidas entre
diferentes tipos de personas: técnicos, diseñadores, administrativos y usuarios.
Sus funciones incluyen el diseño del sistema, el diseño de la base de datos, la
administración y la operación. Mantener una adecuada segregación de estas
tareas es necesario para asegurar la completitud, integridad y precisión de la base
de datos. Por ejemplo, las personas responsables de la modificación de los
programas relativos a una base de datos del personal no deben ser las mismas
autorizadas para cambiar los criterios con los que se calculan las retribuciones del
mismo en la base de datos.

Seguridad en los datos y recuperación de la base de datos

27. Las bases de datos están propensas a ser usadas por las personas en muchas de
las distintas operaciones de la entidad. Esto significa que muchas partes de la
entidad pueden ser afectadas si los datos no están disponibles o contienen
errores. Consecuentemente, los controles generales sobre la seguridad de los
datos y la recuperación de la base de datos supone un alto nivel de importancia en
los sistemas de base de datos.

Efecto de las bases de datos en los sistemas contables y en los controles

internos relacionados con ellos

28. El efecto de un sistema de bases de datos en el sistema contable y en el riesgo

asociado al mismo depende generalmente de:

 La medida en que las bases de datos se utilizan en aplicaciones contables;

 El tipo e importancia relativa de las transacciones financieras procesadas;

 La naturaleza de las bases de datos, del SGBD (incluido el diccionario de

datos), de las tareas de administración de la base de datos y de sus
aplicaciones (por ejemplo, actualización por lotes ó actualizaciones fuera de
línea); y

 Los controles generales del sistema informático que son especialmente

importantes en un contexto con bases de datos.

29. Los sistemas de bases de datos suministran una mayor fiabilidad de los datos, en
comparación con los sistemas que no los utilizan. En tales sistemas los controles
generales asumen una mayor importancia que los controles de aplicación. Esto
puede resultar en la reducción del riesgo de fraudes o errores en los sistemas
contables donde se utilizan base de datos. Los siguientes factores, combinados
con los controles adecuados, contribuyen al incremento de la fiabilidad de los
datos:

 El aumento de la consistencia de los datos se beneficia porque se registran y

actualizan una sola vez, a diferencia de los sistemas no apoyados en base de
 datos, en los que el mismo dato se introduce en varios archivos y se actualiza
en diferentes momentos y por distintos programas.

 La integridad de los datos puede mejorarse por la utilización de las

especificaciones incluidas en el sistema de gestión de bases de datos (SGBD),
tales como capacidades o rutinas de recuperación de lo borrado, así como las
referentes a la seguridad y al control.

 Otras funciones disponibles en el SGBD pueden facilitar el control y los

procedimientos de auditoría. Así, la realización de informes, que pueden
utilizarse para generar balances de saldos, o los lenguajes de consulta , que
pueden utilizarse en la identificación de inconsistencias en los datos.

30. Alternativamente, el riesgo de fraudes y errores puede incrementarse si los

sistemas de bases de datos se utilizan sin los controles adecuados. En un
ambiente que no es de base de datos, los controles ejercidos por los usuarios
individuales pueden compensar las debilidades en los controles generales del
sistema informático. Sin embargo, en un sistema con bases de datos, ello puede
no ser posible, en la medida en que los controles inadecuados de administración
de la base de datos no pueden ser compensados por los correspondientes a los
usuarios individuales. Por ejemplo, el personal responsable de las cuentas a
cobrar puede no controlar efectivamente este tipo de cuentas si existen otras
personas que pueden modificar tales saldos en la base de datos.

Efecto de las bases de datos en los procedimientos de auditoría

31. Los procedimientos de auditoría en un sistema de base de datos pueden resultar

afectados principalmente por la medida en que los datos de la base se utilicen por
el sistema contable. Cuando aplicaciones contables de importancia utilizan una
base de datos común, el auditor puede encontrar adecuada, desde el punto de
vista de su coste eficacia, la utilización de algunos de los procedimientos
contemplados en los párrafos siguientes.

32. Para obtener el adecuado conocimiento del ambiente de control del sistema de
base de datos y del flujo de transacciones, el auditor puede tener en cuenta el
efecto de las siguientes cuestiones en el riesgo de la auditoría, al planificar la
misma:

 Los controles relevantes de acceso. Personas no vinculadas a la función

contable tradicional pueden usar las bases de datos por lo que el auditor debe
considerar el control de acceso sobre los datos contables a todos aquellos que
hayan podido tener acceso a los mismos.

 El SGBD y las aplicaciones contables significativas que utilizan la base de

datos. Otras aplicaciones de la entidad pueden generar o modificar datos que
las aplicaciones contables utilizan. El auditor debe considerar como el SGBD
controla estos datos;

 Las normas y procedimientos para el desarrollo y mantenimiento de programas

de aplicación que utilizan la base de datos. La base de datos, especialmente
aquellas instaladas en computadoras sin estaciones de trabajo, que pueden
estar diseñadas y implementadas por personas ajenas a las funciones de TI o
contables. El auditor debe considerar como la entidad controla el desarrollo de
este tipo de base de datos;
  La función de los encargados de la administración de la base de datos. Tal
como fue discutida en los párrafos 13-19, esta función juega un rol importante
en el mantenimiento de la integridad de los datos almacenados en la base de
datos;

 La descripción de tareas y las normas y procedimientos dictados para los

individuos responsables del apoyo técnico, diseño, administración y
operaciones de la base de datos. Con los sistemas de base de datos, es
probable que un amplio rango de individuos ten responsabilidades significativas
que no existirían en el caso de no utilizar un sistema de base de datos;

 Los procedimientos utilizados para asegurar la integridad, seguridad y

completitud de la información financiera incluida en la base de datos: y

 La disponibilidad de recursos de auditoria en el SGBD.

 Los procedimientos utilizados para incorporar nuevas versiones de la base de

datos en operación.

33. Cuando se determine el grado de confianza en los controles internos relativos a la

utilización de bases de datos en el sistema contable. El auditor debe considerar la
forma en que se utilizan en dicho sistema los controles descritos en los párrafos
22–27. Si decide confiar en tales controles, debe diseñar y aplicar las adecuadas
pruebas de cumplimiento.

34. Cuando el auditor decida aplicar pruebas de cumplimiento o sustantivas relativas a

los sistemas de bases de datos, a menudo puede ser más efectivo si lo realiza
utilizando técnicas de auditoría asistidas por computadora. El hecho de que los
datos están almacenados en un lugar y organizados de manera consistente facilita
la extracción de muestras de datos. También las bases de datos pueden incluir
datos generados fuera de la función contable, lo cual ayuda en la aplicación más
eficaz de procedimientos analíticos.

35. Los procedimientos de auditoria pueden incluir las funciones del SGBD para:

 Comprobar los controles de acceso;

 Generar datos de prueba;

 Suministrar rastros de auditoria;

 Comprobar la integridad de la base de datos;

 Conseguir acceso a la base de datos o una copia de las partes

significativas del mismo con la finalidad de utilizar “software” de auditoria
(ver Declaración 1009), “Técnicas de Auditoria Asistidas por Ordenador”); y

 Obtener la información necesaria para la auditoria.

Antes de usar los recursos del SGBD, el auditor debe considerar si estos funcionan
adecuadamente.
36. Si los controles de administración de la base de datos son inadecuados, el auditor
puede no ser capaz de superar la debilidad de los controles con una mayor
cantidad de pruebas sustantivas. Pero, cuando resulta claro que los controles en
el sistema de base de datos pueden no ser confiables el auditor considerará si
realiza procedimientos sustantivos en todas las aplicaciones contables
significativas que utilizan la base de datos para lograr el objetivo de auditoría. Si el
auditor se encuentra imposibilitado de superar la debilidad del ambiente de control
con trabajo sustantivo para reducir el riesgo de auditoría a un nivel bajo aceptable,
NIA 700, “El informe del auditor en los Estados Contables” requiere que el auditor
incluya una salvedad o se abstenga de opinar.

37. Las características de los sistemas de bases de datos pueden hacer que sea más
adecuado para el auditor la realización de una revisión previa a la puesta en
funcionamiento de la aplicación contable, en vez de revisarla después de su
instalación. Esta revisión previa puede suministrarle la oportunidad de solicitar
funciones adicionales, tales como las que realicen tareas fijas de rutina utilizables
en la auditoria, o controles en el diseño de la aplicación. También puede permitir el
auditor el desarrollo de pruebas y procedimientos de auditoria con antelación
suficiente en relación con el momento en que deban ser realizadas.