IAP ENTORNOS INFORMATIZADOS CON SISTEMAS DE BASES DE DATOS

Transcripción

1 IAP ENTORNOS INFORMATIZADOS CON SISTEMAS DE BASES DE DATOS Introducción 1. El propósito de esta Declaración es prestar apoyo al auditor a la implantación de la NIA 400, "Evaluación del Riesgo y Control Interno" y de la Declaración de Práctica Internacional de Auditoría "Evaluación del Riesgo y Control Interno, Características y Consideraciones en un Entorno Informatizado", describiendo los sistemas de bases de datos. Esta Declaración contempla los efectos de un sistema de bases de datos en el sistema contable, en los sistemas de control interno relacionados con el mismo y en los procedimientos de auditoría. Sistemas de bases de datos 2. Los sistemas de bases de datos están integrados principalmente por dos componentes esenciales: el sistema de bases de datos propiamente dicho y el sistema de gestión de tales bases (SGBD). Los sistemas de bases de datos actúan en interacción con otros aspectos de "hardware" y "software" del sistema informático general. 3. Una base de datos es un conjunto de datos que se comparte y utiliza por un número de usuarios diferentes con distintos propósitos. Cada usuario no tiene necesariamente acceso a todos los datos almacenados en la base o en la misma manera en que tales datos pueden utilizarse para finalidades múltiples. Generalmente, los usuarios individuales solo tienen acceso a los datos que utilizan y puedan contemplarlos como archivos informáticos empleados en sus aplicaciones. 4. El "software" utilizando para crear, mantener y utilizar bases de datos será denominado en esta Declaración "software" de SGBD. Junto con el sistema operativo, el SGBD facilita el almacenamiento físico de los datos, mantiene las interrelaciones entre ellos y los pone a disposición de programas de aplicación. Normalmente, el "software" de SGBD es suministrado por el vendedor comercial. 5. Los sistemas de bases de datos pueden estar situados en cualquier tipo de sistema informático, incluidos los basados en ordenadores personales. En algunos contextos de éste último tipo, las bases de datos se utilizan por un único usuario. Tales sistemas no se consideran de bases de datos a los efectos de esta Declaración. Sin embargo, su contenido es aplicable a contextos con usuarios múltiples. Características de los sistemas de bases de datos 6. Los sistemas de bases de datos se distinguen por dos importantes características: compartir datos e independencia. Estas características requieren el uso de un diccionario de datos (párrafo 10) y el establecimiento de funciones de administración de las bases de datos (párrafos 11 a 14). Datos compartidos 7. Una base de este tipo se compone de datos que e establecen con relaciones definidas y se organizan de manera que permiten a varios de los usuarios utilizarlos en diferentes programas de aplicación. Las aplicaciones individuales normalmente comparten los datos para finalidades distintas. Por ejemplo, el coste de una partida de existencias manteniendo por la base de

2 datos puede utilizarse por un programa de aplicación que genera información sobre el coste de las ventas o por otro que prepara una valoración de existencias. Independencia de los datos en relación con los programas de aplicación 8. A causa de la necesidad de compartir los datos, existe también la necesidad de independencia de los mismos en los programas de aplicación. Ello se consigue por el SGBD registrando los datos una sola vez para su utilización en varios programas de aplicación. En un sistema distinto a los de bases de datos se mantienen archivos diferentes para cada aplicación y los datos similares utilizados por varias aplicaciones deben ser repetidos en los distintos archivos. En un sistema de base de datos, sin embargo, un único archivo de datos (o base de datos) se utiliza por varias aplicaciones, evitando al mínimo la repetición. 9. Los SGBD difieren en el grado de independencia de los datos que suministran. El grado de independencia de los datos se relacionan con la facilidad con la que el personal puede introducir cambios en los programas de aplicación o en las bases de datos. La auténtica independencia de los datos se alcanza cuando la estructura de los mismos en la base puede cambiarse sin afectar los programas de aplicación, y viceversa. Dirección de datos 10. Una implicación importante del carácter compartido de los datos y de la independencia de los mismos es el el potencial de registro de los datos una única vez para su utilización en varias aplicaciones. Dado que varios programas de aplicación necesitan el acceso a estos datos, es necesaria la existencia de una aplicación de "software" que mantenga información sobre la localización de los datos en la base. Este "software", incluido en el SGBD, es conocido como diccionario de datos. También sirve como una herramienta para mantener la documentación homogeneizada y definiciones del entorno de la base de datos y de sus temas de aplicación. Administración de las bases de datos 11. la utilización de los mismos datos por varias aplicaciones de programas subraya la importancia de una coordinación centralizada de la utilización y de la definición de los datos y del mantenimiento de su integridad, seguridad, precisión y completitud. La coordinación se lleva a cabo normalmente por un grupo de individuos cuya responsabilidad suele conocerse como "administración de la base de datos". El individuo que desempeña esta función se denomina "administrador de la base de datos". Este último es responsable general de la definición, estructura, seguridad, control de operaciones y eficacia de las bases de datos, incluida la definición de las reglas a través de las que se accede a los datos y se almacenan los mismos. 12. Las tareas de administración de la base de datos pueden también realizarse por individuos que no formen parte de un grupo centralizado. En este caso, cuando las tareas de administración de la base de datos no están centralizadas, sino que se encuentran distribuidas entre diferentes unidades organizativas, las diferentes tareas deben ser coordinadas. 13. La administración de bases de datos incluye, como funciones típicas:

3 - Definición de la estructura de la base de datos. Determinar la manera que se definen y almacenan, así como la forma en que se accede a ellos por los usuarios de la base de datos, al objeto de asegurar que todos sus requerimientos se cumplen oportunamente. - Mantenimiento de la integridad, seguridad y completitud de los datos. Establecimiento, implantación y cumplimiento de las reglas relacionadas con la integridad, completitud y acceso. Las responsabilidades en este área incluyen: a. definir quien puede acceder a los datos y la manera de hacerlo (mediante códigos de acceso o similares); b. prevenir la inclusión de datos incompletos o no válidos; c. detectar la ausencia de datos; d. asegurar la base de datos contra accesos no autorizados o destrucción; e. garantizar la recuperación total en caso de pérdidas. - Coordinación de las operaciones informáticas relacionadas con la base de datos. Asignación de responsabilidades en relación con los medios materiales informáticos y de control de su utilización en relación con las operaciones de la base de datos. - Control del comportamiento del sistema. Desarrollo de medidas de comportamiento para controlar la integridad de los datos la capacidad de la base de datos para dar respuesta a las necesidades de sus usuarios. - Suministro de soporte administrativo. Coordinación y relación con el vendedor de SGBD, evaluando las novedades ofrecidas por el mismo en relación con el sistema de gestión de bases de datos y su posible impacto en la entidad, realizando su instalación y asegurando que se suministra la adecuada formación interna. 14. En algunas aplicaciones suele utilizarse más de una base de datos. En tales casos, el grupo de administración de la base de datos debe asegurar que: - existe una relación adecuad entre las bases de datos; - se mantiene la coordinación de funciones; y - los datos contenidos en diferentes bases son consistentes. Control interno en un contexto con sistemas de base de datos 15. Por lo general, el control interno en un contexto informático con bancos de datos requiere el control efectivo de tales bases de datos, del SGBD y de su aplicación. La eficacia de los controles internos depende en gran medida de la naturaleza de las tareas de administración de la base de datos descritas en los párrafos 11 a 14 y de la manera en que se llevan a cabo. 16. Debido al hecho de que los datos son compartidos y a otras características de los sistemas de bases de datos, los controles generales en un contexto informatizado (1) normalmente tienen mayor influenciaque los controles de aplicación de un sistema informático con bases de datos.los controles generales del sistema informático en relación con las bases dedatos, el SGBD y las actividades de la función de administración tienen un efecto significativo en el proceso de aplicación.

4 Los controles generales del sistema informático de especial importancia en un sistema con bases de datos pueden clasificarse en tres grupos: - normas homogéneas para el desarrollo y mantenimiento de las aplicaciones de los programas; - responsabilidad en el manejo de los datos; - acceso a las bases de datos; y - segregación de tareas. Normas homogéneas para el desarrollo y mantenimiento de las aplicaciones de los programas 17. En la medida en que los datos son compartidos por diferentes usuarios, debe reforzarse el control cuando se utilice un procedimiento estándar para desarrollar cada nueva aplicación de los programas y para las modificaciones en tales aplicaciones. Ello incluye seguir un procedimiento formalizado, que contemple las diferentes etapas y que requiera la participación de todos los individuos implicados en tales cuestiones. también incluye la realización del análisis de los efectos de las nuevas y de las actuales transacciones en la base de datos cada vez que sea necesaria una modificación. Los resultados del análisis pueden indicar los efectos de los cambios en la seguridad e integridad de la base de datos. Implantar un procedimiento normalizado para desarrollar y modificar aplicaciones de los programas es una técnica que puede mejorar la precisión, integridad y carácter completo de las bases de datos. Responsabilidad en el manejo de los datos 18. En un sistema informático con bases de datos, dónde varios individuos pueden utilizar programas para introducir y modificar los datos, es necesaria la asignación, clara y bien definida, por el administrador de la base de datos, de las responsabilidades relativas a la precisión e integridad de cada dato. Un usuario de los datos debe contar con reglas claras que definan su responsabilidad en relación con el acceso y la seguridad de los datos; así, debe definirse quien puede utilizar los datos (acceso) y las funciones que puede realizar (seguridad). La asignación de responsabilidades específicas en el manejo de los datos ayuda a asegurar la integridad de la base de datos. Por ejemplo, el encargado de créditos puede ser responsabilizado de los límites de crédito de los clientes y, en consecuencia, puede ser responsable de determinar que usuarios, están autorizados para utilizar tal información. Si varios individuos pueden tomar decisiones que afecten a la presentación e integridad de los datos, aumenta la probabilidad de que los datos se deterioren o se utilicen de manera no adecuada. Acceso a la base de datos 19. El acceso de los usuarios a la base de datos puede restringirse mediante códigos de acceso. Esta restricción puede aplicarse a los individuos, a los terminales y a los programas. Para que sean efectivos, se requieren procedimientos adecuados para el cambio de los códigos, el mantenimiento de su secreto y el control e investigación de posibles intentos de contravenir las reglas establecidas.

5 Los códigos relativos a terminales, programas y datos ayudan a asegurar que solo los usuarios y los programas autorizados pueden acceder a los datos, modificarlos o borrarlos. Por ejemplo, el responsable de créditos puede permitir que un vendedor tenga acceso al límite de crédito de un cliente, mientras que un empleado del almacén puede no estar autorizado para ello. 20. El acceso a los diferentes elementos de la base de datos puede controlarse adicionalmente mediante el uso de tablas de autorización. La inadecuada implantación de procedimientos de acceso puede ocasionar la utilización no autorizada de los datos de la base. Segregación de tareas 21. Las responsabilidades por la realización de las diferentes actividades necesarias para diseñar, implantar y manejar una base de datos están repartidas entre diferentes tipos de personas: técnicos, programadores, administrativos y usuarios. Sus contenidos incluyen el diseño y mantenimiento del sistema y de la base de datos y la administración y realización de operaciones. El establecimiento de la adecuada segregación de estas tareas es necesario para asegurar la completitud, integridad y precisión de la base de datos. Por ejemplo, las personas responsables de la modificación de los programas relativos a una base de datos del personal no deben ser las mismas autorizadas para cambiar los criterios con los que se calculan las retribuciones del mismo en la base de datos. Efectos de las bases de datos en los sistemas contables y en los controles internos relacionados con ellos 22. El efecto de un sistema de bases de datos en el sistema contable y en el riesgo asociado al mismo depende generalmente de: - la medida en que las bases de datos se utilizan en aplicaciones contables; - el tipo e importancia relativa de las transacciones financieras procesadas; - la naturaleza de las bases de datos, del SGBD (incluido el diccionario de datos), de las tareas de administración de la base de datos y de sus aplicaciones [por ejemplo, actualización por lotes o en línea (batch or online update)]; y - los controles generales del sistema informático que son especialmente importantes en un contexto con bases de datos. 23. Los sistemas de bases de datos suministran una mayor fiabilidad de los datos, en comparación con los sistemas que no los utilizan. Con ello puede reducirse el riesgo de fraudes o errores en el sistema contable. Las siguientes circunstancias, combinadas con los controles adecuados, contribuyen al incremento de la fiabilidad de los datos: - El aumento de la consistencia de los datos se beneficia porque se registran y actualizan una sola vez, a diferencia de los sistemas no apoyados en bases de datos, en los que el mismo dato se introduce en varios archivos y se actualiza en diferentes momentos y por distintos programas.

6 - La integridad de los datos puede mejorarse por la utilización de las especificaciones incluidas en el sistema de gestión de bases de datos (SGBD), tales como capacidades o rutinas de recuperación de lo borrado, así como las referentes a la seguridad y al control. - Otras funciones disponibles en el SGBD pueden facilitar el control y los procedimientos de auditoría. Así, la realización de informes, que pueden utilizarse para generar balances de saldo, o los lenguajes de consulta (query languages), que pueden utilizarse en la identificación de inconsistencias en los datos. 24. Alternativamente, el riesgo de fraudes y errores puede incrementarse si los sistemas de bases de datos se utilizan sin los controles adecuados. En un sistema que no utilice bases de datos los controles ejercidos por los usuarios individuales pueden compensar las debilidades en los controles generales del sistema informático. Sin embargo, en un sistema con bases de datos, ello puede no ser posible, en la medida en que los controles inadecuados de administración de la base de datos no pueden ser compensados por los correspondientes a los usuarios individuales. Por ejemplo, el personal responsable de las cuentas a cobrar puede no controlar efectivamente este tipo de cuentas si existen otras personas que pueden modificar tales saldos en la base de datos. Efecto de las bases de datos en los procedimientos de auditoría 25. Los procedimientos de auditoría en un sistema de base de datos pueden resultar afectados principalmente por la medida en que los datos de la base se utilicen por el sistema contable. Cuando aplicaciones contables de importancia utilizan una base de datos común, el auditor puede encontrar adecuada, desde el punto de vista de su coste eficacia, la utilización de algunos de los procedimientos contemplados en los párrafos siguientes. 26. Para obtener el adecuado conocimiento del control del sistema de base de datos y del flujo de transacciones, el auditor puede tener en cuenta el efecto de las siguientes cuestiones en el riesgo de la auditoría, al planificar la misma: - el SGBD y las aplicaciones contables significativas que utilizan la base de datos; - las normas y procedimientos para el desarrollo y mantenimiento de programas de aplicación que utilizan la base de datos;. la función de los encargados de la administración de la base de datos; - la descripción de tareas y las normas y procedimientos dictados para los individuos responsables del apoyo técnico, diseño, administración y operaciones de la base de datos; - los procedimientos utilizados para asegurar la integridad, seguridad y completitud de la información financiera incluida en la base de datos; y - la disponibilidad de especificaciones de auditoría en el SGBD. 27. Durante el proceso de evaluación del riesgo, al determinar el grado de confianza en los controles internos relativos a la utilización de las bases de datos en el sistema contable, el auditor debe tener en cuenta la manera en que se utilizan en dichos sistema los controles descritos en los párrafos 17 a 21. Si decide confiar en tales controles, debe diseñar y aplicar las adecuadas pruebas de cumplimiento.

7 28. cuando el auditor decida aplicar pruebas de cumplimiento o sustantivas relativas a los sistemas de bases de datos, los procedimientos de auditoría pueden incluir las funciones del SGBD (ver párrafo 23) para: - generar pruebas de datos; - suministrar rastros de auditoría; - comprobar la integridad de la base de datos. - conseguir acceso a la base de datos o una copia de las partes significativas del mismo con la finalidad de utilizar "software" de auditoría (véase la Declaración 1009, "Técnicas de Auditoría Asistidas por Ordenador"), o - obtener la información necesaria para la auditoría. Cuando se utilicen las especificaciones del SGBD, el auditor puede necesitar obtener razonable seguridad en relación con su correcto funcionamiento. 29. Cuando el auditor decida que no puede confiar en los controles del sistema de bases de datos, debe evaluar si la aplicación de pruebas sustantivas adicionales en todas las aplicaciones contables significativas que utilicen bases de datos puede llevarle a la consecución de sus objetivos de auditoría, en la medida en que los controles inadecuados en la administración de las bases de datos no pueden ser compensados por los usuarios individuales. 30. Las características de los sistemas de bases de datos pueden hacer que sea más adecuado para el auditor la realización de una revisión previa a la puesta en funcionamiento de la aplicación contable, en vez de revisarla después de su instalación. Esta revisión previa puede suministrarle la oportunidad de solicitar funciones adicionales, tales como las que realicen tareas fijas de rutina utilizables en la auditoría, o controles en el diseño de la aplicación. También puede permitir al auditor el desarrollo de pruebas y procedimientos de auditoría con antelación suficiente en relación con el momento en que deban ser realizadas.