Voces: CONTABILIDAD ~ ACTIVO ~ AUDITORIA ~ AUDITORIA CONTABLE ~

CONTADOR PUBLICO ~ DOCUMENTACION CONTABLE ~ EMPRESA ~ ESTADOS

CONTABLES ~ INFORMACION CONTABLE ~ INFORMATICA ~ REGISTRACION
CONTABLE ~ RESPALDO DOCUMENTAL ~ INFORMACION EN SOPORTE
MAGNETICO ~ TECNOLOGIA DE LA INFORMACION

El anlisis de la estructura de control

computadorizados por parte de los auditores
Chevel, Anbal

interno

para

sistemas

Ttulo: El anlisis de la estructura de control interno para sistemas computadorizados por

parte de los auditores
Autor: Chevel, Anbal
Publicado en: Enfoques 21/08/2013, 51
I. Introduccin
Una gran parte de la informacin empresarial se produce hoy en da mediante el uso de
sistemas computadorizados. La profesin de Contador Pblico, como proveedor de parte de
esa informacin est involucrado en estos sistemas en tres roles, a saber:
* Como participante en el desarrollo y diseo;
* Como auditor o evaluador de la calidad de los outputs, de la composicin y
administracin del sistema y;
* Como usuario y receptor de su output y fuente del input para la toma de decisiones.
El uso de computadoras en los sistemas de informacin tiene efectos fundamentales sobre
la Estructura de Control interno pero no sobre sus objetivos ni filosofa bsica. Estos efectos
surgen por las diferentes caractersticas que distinguen los procedimientos computadorizados
de los manuales, a saber:
1) Rastro de las transacciones: debe existir un rastro completo til para los propsitos de
control y "compliance" aunque ocasionalmente slo por un perodo corto de tiempo o slo en
forma legible por computadora. Lo que se debe hacer es garantizar la trazabilidad y la
posibilidad de la reconstruccin histrica de las transacciones sobre las bases y principios de
las normas contables y legales vigentes.
2) Procesamiento uniforme de las transacciones: El procesamiento computadorizado
somete uniformemente las transacciones similares a las mismas instrucciones de
procesamiento y por lo tanto elimina virtualmente los errores del personal administrativo.
Pero, los errores de programacin (u otros sistemticos similares, ya sea en el hardware o en
el software) resultarn en que todas las transacciones similares sean procesadas en forma
incorrecta cuando se las procesa bajo las mismas condiciones.
3) Segregacin de funciones: Muchos procedimientos de control, que antes eran
ejecutados por personas diferentes, pueden ser concentrados en sistemas computadorizados
por razones de diseo y operacin. Por lo tanto, una persona puede concentrar ahora
funciones incompatibles. Como resultado de ello, pueden ser necesarios otros procedimientos
de control supletorios para lograr los objetivos de control o puntos clave de procesos en
forma efectiva y eficiente. Ellos pueden incluir pero no se limitan a:
Una adecuada segregacin dentro de las actividades de procesamiento;
Establecimiento de un grupo de control para evitar o detectar errores o irregularidades
en el procesamiento;
Utilizacin de procedimientos de control con contraseas para evitar que las funciones
incompatibles sean ejecutadas por personas con acceso on-line a los activos y registros.
4) Posibilidad de errores e irregularidades: La posibilidad de que las personas, incluso
aquellas que realizan los procedimientos de control, logren un acceso no autorizado a los
datos, alteren registros sin evidencia visible, o accedan directa o indirectamente a los activos,
Thomson Reuters

Pgina 1

puede ser mayor en los sistemas computadorizados. La decreciente participacin humana en

el manejo de las transacciones puede reducir el potencial de detectar errores e irregularidades
en el diseo o modificacin de los programas de aplicacin los que pueden permanecer
ocultos durante mucho tiempo.
5) Posibilidad de una creciente supervisin gerencial: Los sistemas computadorizados
ofrecen a los gerentes muchas herramientas analticas para la revisin y supervisin de
operaciones. Estos controles adicionales pueden aumentar la estructura de control interno.
Por ejemplo, las comparaciones tradicionales de los ndices operativos reales y
presupuestados y las conciliaciones de cuentas estn frecuentemente disponibles sobre una
base ms oportuna. Adems, algunas aplicaciones proveen estadsticas respecto de las
operaciones computadorizadas que pueden ser utilizadas para vigilar el procesamiento real.
6) Iniciacin o ejecucin subsiguiente de transacciones por computadora: Algunas
transacciones pueden ser automticamente iniciadas, o algunos procedimientos requeridos
para ejecutar una transaccin pueden ser automticamente realizados por un sistema
computadorizado. La autorizacin de dichas transacciones o procedimientos puede no estar
documentada de la misma forma que un sistema manual y la autorizacin de la gerencia
puede estar implcita en su aceptacin del diseo del sistema.
7) Dependencia en el control del procesamiento computadorizado por parte de otros
controles: El procesamiento computadorizado puede producir informes y otros outputs
utilizados al realizar los procedimientos de control manuales. La efectividad de esos
procedimientos puede depender de la efectividad de los controles sobre la integridad y
exactitud del procesamiento computadorizado. Por ejemplo, la efectividad de la revisin
manual de un listado de excepciones producido por computadora depende de los controles
sobre la produccin de ese listado.
II. Desarrollo
Clasificacin de los procedimientos de control:
1) Controles generales: conciernen a todas las actividades relacionadas con la
informtica. Los controles generales son aquellos controles que se realizan con una o ms de
las actividades contables computadorizadas y frecuentemente incluyen un control sobre el
desarrollo, la modificacin y el mantenimiento del programa de computacin y el control
sobre el uso y los cambios en los datos almacenados en los archivos de la computadora.
Abarcan:
* El plan de organizacin y operacin de las actividades informticas:
A. Los controles organizacionales se relacionan con la adecuada segregacin de
obligaciones y responsabilidades en el ambiente PED. Las responsabilidades de los analistas
de sistemas, programadores, operadores, bibliotecarios de archivos y el grupo de control
deben recaer en personas diferentes con controles contrapuestos y se debe disponer de la
debida supervisin.
B. Los controles operativos aseguran una operacin eficiente y efectiva dentro del
departamento de computacin. Estos controles aseguran procedimientos adecuados para
recuperar la prdida de datos por error o catstrofe. Los controles operativos tpicos incluyen
a adecuada rotulacin de todos los archivos, tanto internamente (cabecera y fin de archivo
por pgina) como externamente, procedimientos de detencin y para errores, copias de
archivos y back ups y procedimientos de reconstruccin de archivos y transacciones.
* Los procedimientos para la documentacin, revisin, evaluacin y aprobacin de los
sistemas o programas y cambios a los mismos.
A. Los controles sobre el desarrollo y la documentacin de los programas se refieren a la
adecuada planificacin, desarrollo, codificacin y evaluacin de los programas de aplicacin.
B. Estas actividades requieren una adecuada documentacin, incluyendo flujogramas,
listados y manuales de procesamiento para procesar programas ya existentes.
C. Tambin son necesarios los controles sobre la debida autorizacin de los cambios en
Thomson Reuters

Pgina 2

los programas existentes.

* Los controles incorporados por el fabricante en el equipo (controles de hardware).
A. Los controles de hardware aseguran el manejo interno apropiado de los datos al ser
movidos o almacenados.
B. Los controles de hardware incluyen controles de paridad, controles eco y controles de
grabo-verificacin y cualquier otro procedimiento incorporado en el equipo para asegurar la
integridad de los datos.
* Controles de Acceso a los equipos y archivos de Datos:
A. Los controles de acceso brindan la seguridad de que slo las personas autorizadas
utilicen el sistema y que el uso es para fines autorizados.
B. Dichos controles incluyen salvaguardas fsicas del equipo, seguridad adecuada de la
biblioteca y contraseas.
C. Otros controles sobre Datos y Procedimientos que afectan las operaciones de PED.
2) Los controles de aplicacin estn relacionados con las tareas especficas realizadas
por el sistema. Deben brindar una seguridad razonable de que los registros, procesamientos e
informacin de los dato se realice correctamente. Los controles de aplicacin estn
relacionados con los controles contables computadorizados individuales como los controles
de edicin programados para verificar nmeros de cuenta de los clientes y lmites de crditos.
A. Los controles de input (ingreso) brindan una seguridad razonable de que los datos
recibidos para procesamiento han sido debidamente autorizados, convertidos en legibles por
mquina y que los datos (incluyendo lo transmitidos por lneas de comunicacin) no han sido
perdidos, suprimidos, agregados, duplicados o de alguna manera cambiados
inadecuadamente. Los controles de input tambin se relacionan con los rechazos,
correcciones y nuevo ingreso de los datos que se inicialmente eran incorrectos.
B. Los controles de procesamiento brindan una seguridad razonable de que el
procesamiento ha sido realizado en la forma deseada para la aplicacin especfica de manera
tal que todas las transacciones han sido procesadas en la forma autorizada, que no se ha
omitido ninguna transaccin autorizada y que no se agreg ninguna transaccin no
autorizada.
C. Los controles de output (salida) aseguran la exactitud del resultado del procesamiento,
tales como listados o exposiciones contables, informes, archivos magnticos, facturas o
cheques, interfaces, y que solo el personal autorizado reciba el output correspondiente.
Controles Operativos y de Organizacin
C. Segregacin de funciones: Este control general es vital porque la segregacin de
funciones (autorizacin, registracin y acceso fsico a los activos) puede no ser factible en un
ambiente de computacin. Por ejemplo, un sistema puede imprimir cheques, registrar pagos y
generar informacin para conciliacin del saldo contable, actividades que se acostumbran a
dividir en un sistema manual. Si la misma persona provee el input y recibe el output del
proceso, existe una debilidad de control significativa. Por consiguiente ciertas tareas no
deben ser combinadas.
D. Analistas de Sistemas: Estn especialmente calificados para analizar y disear los
sistemas de informacin computadorizados. Hacen un relevamiento del sistema existente,
analizan los requisitos de informacin de las organizaciones y disean nuevos sistemas para
cubrir esas necesidades. Estas especificaciones de diseo guiarn a los programadores en la
preparacin de programas de computacin especficos. Los analistas de sistemas no deben
realizar tareas de programacin ni tener acceso a los equipos de computacin, programas,
archivos de datos ni controles de input-output de produccin.
E. Programadores: Estas personas disean, confeccionan, evalan y documentan los
programas especficos requeridos por el sistema desarrollado por el analista. Tanto los
programadores como los analistas podran modificar programas, archivos y controles y, por
Thomson Reuters

Pgina 3

lo tanto no deben tener acceso a ellos y a los equipos.

F. Operadores de computadoras, consolas o terminales: Estas personas son
responsables por el procesamiento real de los datos de acuerdo con el manual de corrida y los
mensajes recibidos del sistema, preferentemente en la forma de impresos para la revisin por
parte del grupo e control. Cargan datos, montan dispositivos de almacenamiento, y operan el
equipo. Al operador de consola no debe asignrsele obligaciones de programador ni
responsabilidad por el diseo del sistema y no deben tener la posibilidad de cambiar los
programas y sistemas puesto que operan el equipo. Idealmente, un operador de consola o de
conversin de datos no deben tener conocimientos de programacin ni acceso a la
documentacin que no fuera estrictamente necesaria para su trabajo.
G. Operador de Conversin de Datos: Estos operadores realizan las tareas de
preparacin y transmisin de datos. Por ejemplo, conversin de datos de la fuente a un disco
o cinta magntica e ingreso de las transacciones de las terminales lejanas.
H. Bibliotecarios: Documentacin, programas y archivos de Datos deben estar bajo la
custodia del bibliotecario. Deben mantener control y rendir cuentas sobre los documentos,
programas y archivos. No deben tener acceso a los equipos, ni a las destrezas que los
habiliten para cometer fraudes.
I. Grupo de Control de Datos: El grupo de control debe ser independiente del desarrollo,
programacin y operacin de los sistemas. Recibe el input del usuario, los asienta en un
registro (log), los transfiere al centro de cmputos, inspecciona el procesamiento, revisa los
mensajes de error, compara los totales de control, distribuye el output y determina si los
usuarios han realizado la correccin de los errores.
Polticas y procedimientos de backup (respaldo) y recuperacin:
Un centro de cmputos debe poseer un plan de reconstruccin que permita regenerar
programas y archivos de datos importantes. El centro debe crear backups de los archivos de
Datos, bases de Datos, programas y documentacin, almacenar los backups fuera de la sede
de procesamiento y planificar un procesamiento auxiliar en sistemas alternativos o en otro
lugar. Es particularmente imperativo que toda organizacin posea mtodos de recuperacin
de datos por potenciales prdidas de una manera ntegra y confiable pero adems la
organizacin requerir un procesamiento continuo sin interrupciones. Contingencias tales
como fallas en el sistema, cortes de energa u otras alteraciones de datos deben ser previstas.
Los procedimientos y la frecuencia de backups implantados normalmente sern funcin del
ambiente especfico de computacin, tipo de procesamiento o modo de almacenamiento.
A. Procesamiento secuencial: Cinta magntica, disco magntico y procesamiento
diferido.
* Enfoque abuelo-padre-hijo: En un perodo de 3 das, tres generaciones de archivos
maestros han sido generados. Estos archivos maestros se conservan durante ese perodo junto
con los archivos de las transacciones. Si el archivo actual (hijo) es destruido o daado, la
informacin puede ser reconstruida utilizando el padre y haciendo correr el archivo de
transacciones contra ese. Si ambos, padre e hijo, han sido destruidos, el abuelo junto con los
archivos de transacciones previos y actuales pueden ser utilizados para reconstruir la
informacin.
* Los procedimientos de punto de control incluyen la captura de todos los valores de los
datos e indicadores de programas en puntos especficos y el almacenamiento de esos valores
en otro archivo. Si el proceso se interrumpe, puede retomarse en el ltimo punto de control en
vez de hacerlo al comienzo del programa.
B. Procesamiento aleatorio (discos magnticos, procesamiento on-line)
* Rollback (reproceso) y recuperacin incluyen el vuelco del contenido del archivo
maestro y estructuras de datos asociadas en un back up. En caso de correr en forma
defectuosa, el vuelco (dump) se utiliza junto con el log o archivo de transacciones para
reconstruir el archivo.
Thomson Reuters

Pgina 4

C. Sistemas de administracin de Bases de Datos Discos magnticos,

procesamiento en lnea:
a. Los sistemas de Bases de Datos exigen un procedimiento de back up ms elaborado y
complejo. Normalmente los procedimientos de recuperacin y reinicio deben brindar una
operacin continua durante la reconstruccin de los datos perdidos.
b. Doble logging incluye el uso de dos logs de transacciones grabados simultneamente
en dos medios de almacenamiento separados.
c. Before image/after image captura los valores de los datos antes y despus del
procesamiento de las transacciones y los almacena en archivos. Estos archivos pueden ser
utilizados para recrear la Base de Datos en caso de prdida o alteraciones de los datos.
D. Sistemas totalmente protegidos: tienen un generador de back up o back up a batera
para prevenir la destruccin de los datos y tiempo de desconexin por problemas en la
energa elctrica. La prdida de energa elctrica o las fluctuaciones de voltaje no necesitan
perturbar el vulnerable contenido de la memoria principal si se coloca un sistema de energa
ininterrumpida.
E. Virus informticos: son software que infectan otro programa o el almacenamiento
principal de un sistema memoria principal , mediante la alteracin de la lgica. La
infeccin generalmente resulta en la destruccin de datos. Una vez infectado, el software
puede difundir el virus a otro software. La obtencin de software mediante una red de
programas shareware mediante copia desde una BBS (Boletn Electrnico de Datos) es una
causa tpica de infeccin. Hasta la fecha, la mayora de los virus se han expandido en los
campus universitarios, donde los sistemas de redes son comunes y abiertos al fcil acceso lo
que hace que una red facilite su rpida expansin. Las formas de minimizar el riesgo de virus
en las computadoras en un sistema de red incluyen una poltica de seguridad formal, un
acceso restringido, administracin de contraseas actualizadas regularmente, un plan formal
de recuperacin, un examen peridico de los sistemas con software para la deteccin de virus
y la utilizacin de software antivirus en todos los software shareware antes de cargarlos en la
red.
Controles de desarrollo y documentacin de un programa
1. Documentacin es la recopilacin de documentos que sustentan y explican las
aplicaciones de procesamiento de datos, incluyendo el desarrollo de los sistemas. Es til para
los operadores y otros usuarios, personal de control, empleados nuevos y auditores, as como
tambin para los programadores y analistas que mantienen los sistemas antiguos desarrollan
nuevos.
a. La documentacin debe ser registrada en una biblioteca, a la cual debe controlarse
cuidadosamente el acceso.
b. Debe estar sujeta a los estndares uniformes de tcnicas de flujogramas, mtodos de
codificacin y procedimientos de modificacin (incluyendo la autorizacin adecuada).
c. La documentacin del Sistema incluye descripciones narrativas, flujogramas, la
definicin del sistema utilizado para el desarrollo, formularios de input y output, diseo de
archivos y registros, controles, autorizaciones para cambios de programas y procedimientos
de back up.
d. La documentacin del programa contiene descripciones, flujogramas del programa y
tablas de decisiones, listados del cdigo fuente del programa, datos para pruebas, formularios
de input y output, diseo detallado de archivos y registros, solicitudes de cambios,
instrucciones de operador y controles especficos.
e. Documentacin operativa (manual de procesamiento) brinda informacin sobre la
instalacin, archivos y dispositivos necesarios, procedimientos de input, mensajes de consola
y respuestas del operador, tiempos de corrida, procedimientos de recuperacin, distribucin
de input y output y controles asociados.
f. La documentacin de procedimientos incluye el plan maestro del sistema y las
Thomson Reuters

Pgina 5

operaciones a realizar, los estndares sobre documentacin, procedimientos para rotular y

manipular archivos, y estndares para anlisis de sistemas, programacin, operacin,
seguridad y definicin de datos.
g. La documentacin del usuario describe el sistema y los procedimientos para el
ingreso de datos, control de errores y correccin y formatos y utilizacin de los informes.
2. Controles del desarrollo de sistemas y de programas.
1) El desarrollo efectivo de los sistemas requiere la participacin de la gerencia superior.
Esto puede lograrse por medio de un Comit de Direccin integrada por representantes de los
ms altos niveles ejecutivos de los usuarios del sistema. El Comit aprueba o recomienda
proyectos y revisa su ejecucin.
2) Los estudios de factibilidad econmica, operativa y tcnica de las nuevas aplicaciones
necesariamente traen aparejadas evaluaciones tanto de los sistemas existentes como de los
propuestos.
3) Otro control necesario es el establecimiento de estndares para el diseo y la
programacin de sistemas. Estos estndares representan las necesidades del usuario y los
requisitos del sistema determinados durante el anlisis del mismo.
4) Los cambios en el sistema de computacin deben estar sujetos a procedimientos de
control estrictos. Por ejemplo, una solicitud escrita de una cambio a un programa de
aplicacin debe ser realizada por un departamento usuario y autorizada por un gerente o
comit designado.
5) El programa luego debe ser re-diseado utilizando una copia de trabajo, no la versin
actualmente en uso. Adems, la documentacin de los sistemas debe ser revisada.
6) Los cambios en el programa deben ser probados por el usuario, un auditor interno y un
empleado de sistemas que no haya participado en el diseo del cambio.
7) El gerente de Sistemas o TI debe dar la aprobacin al cambio documentado y los
resultados de las pruebas. El cambio y los resultados de la prueba luego pueden ser aceptados
por el usuario.
8) Los programas propuestos deben ser probados tanto con los datos incorrectos e
incompletos como con los datos tpicos normales para determinar si lo controles han sido
correctamente implantados en el programa.
a) Los datos de la prueba deben probar todas las ramas del programa, incluso la capacidad
de validacin del programa. La funcin de edicin tpicamente incluye controles de
secuencia, prueba de campos vlidos, controles de razonabilidad y otras pruebas de los datos
de input.
9) Deben calcularse los resultados esperados y compararlos con los resultados obtenidos
del proceso. Estos resultados deben incluir tanto un output exacto como mensajes de error.
10) Los cambios no autorizados en el programa pueden ser detectados por comparacin de
cdigos de cambios. La versin en uso debe ser peridicamente comparada con una copia
controlada. Este procedimiento puede ser realizado por medio de un software.
11) Debe distinguirse la comparacin de cdigo de la revisin de cdigo para detectar
errores o instrucciones escritas deficientes (debugging depuracin de programas).
CONTROLES DE HARDWARE
Proteccin de lmites (almacenamiento): Este control protege los programas o datos de
interferencias (lecturas y/o escrituras no autorizadas) causadas por actividades relacionadas
con otros programas o datos almacenados en, mismo medio. Los sectores principales de
almacenamiento en la CPU pueden ser protegidos por mecanismos incorporados en el
hardware, pero la proteccin de reas para el almacenamiento en el disco se efecta mediante
la programacin.
Rutinas de diagnstico: Estas rutinas controlan los problemas de hardware. Si se
incorporan en el equipo permiten que el propio sistema informe sobre fallas inminentes.
Thomson Reuters

Pgina 6

Doble Lectura: Estas rutinas controlan los problemas de hardware mediante la

incorporacin de un dispositivo para input, como por ejemplo una unidad de cinta, para leer
dos veces el input y compararlo.
Cabezales con lecto-escritura dual: Un cabezal doble primero escribe en el medio de
almacenamiento y luego lee lo que escrito. Si la comparacin muestra que los datos escritos
difieren de los datos de la fuente de transferencia, el dispositivo sustituir los datos y los
escribir nuevamente. Este proceso brinda un control sobre la informacin registrada.
Circuito doble: Los circuitos dobles en la unidad de lgica aritmtica de la CPU permite
que los clculos sean realizados dos veces y compararlos.
Control de Retorno (eco): Un control de retorno permite que dispositivo perifrico
devuelva una seal (eco) enviada por la CPU. Por ejemplo, la CPU enva una seal a la
impresora y sta antes de imprimir devuelve la seal a la CPU para verificar que se hayan
activado la posicin adecuada de la impresora.
Proteccin de Archivos: Todos los medios de almacenamiento de datos, excepto los
discos rgidos, tienen un mecanismo de proteccin fsica que al activarlo impide la sobre
escritura.
Control de Paridad: Un control de paridad agrega los bits de un carcter o mensaje y
controla la suma para determinar si es par o impar, dependiendo si la computadora tiene
paridad para o impar. Este control verifica que todos los datos hayan sido transferidos sin
prdidas. Por ejemplo, si la computadora tiene paridad par, se agregar un bit a un carcter e
cdigo binario o mensaje que contenga un nmero impar e bits. No se agregar en caso
contrario.
Mantenimiento Preventivo: Un service regular evita fallas en el equipo.
Supresin de Atributo de lectura-escritura: Un control de la unidad de lectura puede
impedir leer o grabar en un disco, por ejemplo, el que contiene programas de procesamiento.
Controles de validez: El hardware que transmite o recibe datos compara los bits de cada
byte con las combinaciones permitidas para determinar si constituyen una estructura vlida.
CONTROLES DE ACCESO
Los controles de acceso, como las contraseas, nmeros de identificacin (ID), los de
acceso y dispositivo de tablas de autorizacin de identificacin, evitan el uso inadecuado o la
manipulacin de archivos de datos o programas. Aseguran que solo aquellas personas con
propsitos de buena fe y autorizacin tengan acceso al procesamiento de datos.
Contraseas y nmeros de ID: El uso de contraseas y nmeros de identificacin
constituyen un control efectivo para evitar el acceso no autorizado a los archivos de la
computadora. Las contraseas y nmeros de identificacin de entrada, una serie de preguntas
personales previamente establecidas, y el uso de distintivos, tarjetas magnticas o tarjetas
ledas pticamente pueden ser combinadas para evitar el acceso no autorizado. Un PIN
Personal Identification Number para cajeros automticos de bancos es un ejemplo de
aplicacin de este concepto.
Un dispositivo de tablas de autorizacin: puede restringir el acceso de los archivos a
aquellos dispositivos fsicos a los que lgicamente necesitaran acceso. Se utilizan pruebas
de compatibilidad puesto que determinan si un nmero codificado es compatible con el uso
que se har de la informacin. Por lo tanto, un usuario puede estar autorizado para entrar a
cierto tipos de datos, tener acceso pero no autoridad para actualizar, o utilizar el sistema slo
en determinados momentos. Estas tablas tambin se denominan Matrices de Control de
Acceso.
Log (registros de eventos) de acceso al sistema: Este log registra todos los usos e
intentos de utilizar el sistema. Se registra la fecha y hora, cdigos utilizados, modo de acceso
y los datos y transacciones involucradas.
La encripcin: Este mecanismo antes de su transmisin a los medios de comunicacin
hace ms dificultoso que una persona no autorizada con acceso a la transmisin entienda o
Thomson Reuters

Pgina 7

modifique su contenido.
Un dispositivo de CallBack (devolucin de llamada) requiere que un usuario remoto
llame a la computadora, se identifique, cuelgue y espere a que la computadora llame al
nmero autorizado del usuario. Este control asegura la aceptacin de la transmisin de datos
slo de mdems autorizados. Sin embargo, un dispositivo de call-forwarding (retransmisin
de llamada) puede malograr este control transfiriendo el acceso de un nmero autorizado a
uno no autorizado.
Destruccin controlada de documentos: Un mtodo para hacer cumplir las restricciones
al acceso es destruir los datos cuando ya no se los utilizan ms. Por lo tanto, los documentos
en papel pueden destruirse y borrarse los medios magnticos.
CONTROLES DE APLICACIN
Controles de INPUT
Controles de edicin:
1) Listado de Errores: La Edicin (validacin) de datos debe producir un listado de
errores automtico acumulativo que incluye no slo errores encontrados durante el
procesamiento actual sino tambin errores de procesamientos anteriores no corregidos. Cada
error debe ser identificado y descripto y debe consignarse la fecha y hora en que fue
detectado. Puede ser necesario que las transacciones errneas deban ser registradas en un
archivo en suspenso. Este proceso constituye la base para el desarrollo de informes
adecuados.
2) Los controles de campo son pruebas de los caracteres de un campo para verificar que
son apropiados para ese campo. Por ejemplo, el nmero para la Sistema de Seguridad Social
o para el Sistema Tributario debe contener caracteres de determinado tipo.
3) Los totales financieros resumen sumas en unidades monetarias en un campo de
informacin de un grupo de registros.
4) Un total ciego (hash total) es un total de control sin un significado definido, tal como
el total del nmero de legajo o nmero de factura utilizados para verificar la integridad de los
datos. Por lo tanto, el total ciego para el listado de empleados por parte del departamento de
RRHH puede ser comparado con el total generado al correr el programa de nmina o
liquidacin de haberes.
5) Un Control de Redundancia requiere que se enven datos adicionales que sirvan como
control sobre los otros transmitidos, por ejemplo, parte del nombre de un cliente puede
compararse con el nombre asociado con el nmero de cliente transmitido.
6) Un control de retorno (eco) es un control de input sobre la transmisin en las lneas de
comunicacin. Los datos son devueltos a la terminal del usuario para compararlos con los
datos transmitidos.
7) Los controles de integridad de la transmisin de datos determinan si toda la
informacin necesaria ha sido enviada. El software informa al remitente si se ha omitido
algo. Un control de transmisin suplementario numera y fecha cada mensaje enviado desde
una determinada terminal. Este procedimiento permite la verificacin de la integridad de la
secuencia y el establecimiento de los totales de control para cada terminal.
Controles de Procesamiento:
1) Algunos controles de input son tambin controles de procesamiento, por ejemplo:
lmites, razonabilidad y pruebas de seales.
2) Otras pruebas de la lgica de procesamiento son el control de transcripcin (posting),
sumas cruzadas y balanceo en cero. Un control de transcripcin es la comparacin del
contenido de un registro antes y despus de actualizarlo. Las sumas cruzadas comparan un
gran total con la suma de sus componentes. Un control de balanceo en cero suma los montos
positivos y negativos transcriptos cuyo resultado neto debe ser cero.
3) Deben generarse totales de control entre corrida y corrida (ejemplo: cantidad o
Thomson Reuters

Pgina 8

recuento de registros o ciertos montos crticos) y controlarlos en puntos determinados durante

el proceso. Los listados de actividad de la cuenta de verificacin es un sistema on-line, el
monto total del cambio de un archivo en el da puede ser comparado con la informacin
fuente.
4) La Cabecera de Archivo y rtulo de fin de archivo aseguran que no se procesen los
archivos incorrectos. Una prueba de apareo debe asegurarse de que una transaccin de
actualizacin se aparee con la transaccin correspondiente del archivo Maestro. Este control
es til si el operador de la computadora no ha comparado el rtulo externo de un archivo con
las especificaciones del programa.
5) Los programas utilizados en el procesamiento deben ser probados, por ejemplo,
mediante el re-procesamiento de los datos actuales con un resultado conocido o empleando
totales de control.
6) Deben disponerse de procedimientos de fin archivo para evitar errores tales como el
cierre anticipado del archivo de transacciones cuando se llega al final del Maestro actual. El
archivo de transacciones puede contener registros para agregar al maestro.
7) Los controles de concurrencia se ocupan de las situaciones en las que dos o ms
programas intentan utilizar un archivo o base de datos al mismo tiempo.
8) Deben crearse un rastro de Auditora mediante el uso de logs de controles e input y
output, listado de errores, logs de transacciones y listados de transacciones.
9) Los controles de integridad de claves evitan que en el proceso de actualizacin se
originen inexactitudes en las claves. Las claves son atributos de los archivos que permiten
que sean ordenados. Una clave principal es el/los dato (s) identificador/es principal/es, como
por ejemplo el nmero de vendedor. Una clave secundaria es una alternativa utilizada ya sea
para un ordenamiento o un procedimiento especial, como por ejemplo la fecha de pago de la
factura de un proveedor o un cliente.
Controles de OUTPUT
1) El grupo de control de datos supervisa el control de output.
2) Los listados diarios sobre actividad de cuentas de control (cambios en los archivos
maestros) deben ser enviados a los usuarios para su revisin.
3) El grupo de control debe recibir los listados de errores directamente del sistema. Este
grupo debe realizar todas las indagaciones necesarias y enviar los errores a los usuarios para
su correccin y nueva presentacin a procesamiento.
El log de la consola debe ser revisado para controlar interrupciones, intervenciones u
otras actividades atpicas e inusuales.
4) El output debe ser distribuido de acuerdo con los registros de distribucin que
enumeran los usuarios autorizados.
5) Las marcas de final de trabajo en la ltima pgina del output impreso permite la
verificacin de que se ha recibido el informe completo.
6) Los controles de spooler (cola o prioridades de impresin) evitan acceder al output
que se encuentra esperando para ser impreso, es decir, evitar acceder a los resultados del
procesamiento que son almacenados temporariamente en un archivo intermedio en vez de
imprimirlos inmediatamente.
7) Un importante control para detectar errores es la revisin del output por parte del
usuario. Los usuarios deberan estar en condiciones de determinar si el output est
incompleto o no es razonable. As, tanto los usuarios como el personal de edp tienen una
funcin de asegurarse la calidad.
DESARROLLO Y DISEO DE LOS SISTEMAS
I. SDLC ("System Development Life Cycle"): Un aspecto clave en el control interno
informtico y en la generacin de informacin confiable por parte de las aplicaciones de
sistemas:
Thomson Reuters

Pgina 9

Este enfoque es la metodologa ms comnmente aplicada al desarrollo de sistemas de

aplicacin altamente estructurados. El enfoque del Ciclo de Vida se basa en la idea de que un
sistema informtico tiene una vida til finita, limitada por las necesidades cambiantes de la
organizacin. Este ciclo es analticamente divisible por etapas. El ciclo de vida de un nuevo
sistema comienza cuando la insuficiencia de un sistema actual lleva a la decisin de
desarrollar un sistema nuevo o mejorado. Este mtodo consiste en un proceso estructurado de
control de la actividad creativa necesario para idear, desarrollar e implantar un sistema
informtico.
En la actualidad, y dada la cada vez ms vasta y compleja realidad que rodea el mundo de
los negocios, se observa:
El aumento creciente y sostenido de la dependencia de la informacin y los sistemas que
la provee;
A su vez, el aumento de la vulnerabilidad y del amplio espectro de amenazas tales como,
las amenazas cibernticas y la guerra de la informacin;
La escala y los costos de las inversiones actuales y futuras en informacin y en sistemas
de informacin y;
El potencial que poseen las tecnologas para cambiar drsticamente las organizaciones y
las prcticas del negocio y de control, crear nuevas oportunidades y reducir costos.
Es en este orden de ideas centrales es que la Administracin de los Riesgos es un
componente clave de la Gobernabilidad Corporativa y en tal sentido la Gobernabilidad de TI:
- Es un factor de importancia para la administracin de los riesgos empresarios.
- Brinda la estructura que relaciona los procesos de TI, sus recursos y la informacin con
las estrategias y los objetivos de la empresa privada o gubernamental.
Para graficar este ltimo punto el estndar COBIT establece que los recursos que
administra la TI son los que se muestran a continuacin, todo lo cual evidentemente tiene un
fuerte impacto en la estructura de control Interno de las empresas y constituyen reas de
posibles vulnerabilidades siendo un importante mbito de actuacin de la auditora.
- Equilibra el riesgo y las inversiones sobre TI y sus procesos agregando valor a los
objetivos de Negocio.
- Instaura las mejores prcticas de Planificacin y Organizacin, Adquisicin e
Implementacin, la Entrega y Soporte y el Monitoreo del desempeo a fin de garantizar el
adecuado soporte a los objetivos estratgicos. Grficamente los cuatro dominios del rea de
Tecnologa se encuentran compuestos por diferentes procesos alineados (34) a los objetivos
del negocio que a su vez se descomponen en diferentes objetivos de control especficos
(actualizables) para cada uno de ellos de manera tal que el Gobierno Corporativo pueda
efectivamente gobernar a la TI y no a la inversa.
Complementariamente, la Ley Sarbanes-Oxley: "...establece como requisito legal la
efectividad de los controles internos instrumentados y la informacin en tiempo real. El CEO
y el CFO debern expresar que tienen confianza plena en sus procesos de informacin, en
tiempo, forma y contenido." El gerenciamiento se est extendiendo a la TI en la medida que
el Directorio se cuestiona el grado de dependencia que tienen sus organizaciones de la TI.
Esquemticamente el estndar COBIT comprende los siguientes dominios y procesos:
En los cuatro dominios de COBIT anteriormente expuestos intervienen las siguientes fases
de Ciclo de Vida de Sistemas y las mismas son de vital importancia para que los sistemas se
comporten adecuadamente y la informacin que producen cumplan con los siguientes
requisitos que al mismo tiempo son exigidos por otros estndares internacionales y por los
principios contables normas contables de para la produccin de informacin financiera. En
las mismas, subyacen criterios de administracin de la calidad y la norma ISO 27001 es un
claro exponente de ello al traer nsito el circuito de PLAN-DO-CHECK-ACT siendo
coherente con el cuadro anterior.
Thomson Reuters

Pgina 10

 COBIT provee un conjunto de 34 objetivos de control de alto nivel para cada uno de los
procesos de IT. Alcanzar todos los objetivos de control asegura que una organizacin tenga
un adecuado sistema de control para el ambiente de IT. Los procesos de IT los agrupa en 4
dominios:
Planning and organization. Este dominio abarca estrategia y tctica, y concierne a la
identificacin de la forma en que TI puede contribuir mejor al logro de los objetivos del
negocio. Adems, la realizacin de la visin estratgica necesita ser planeada, comunicada y
administrada para diferentes perspectivas. Finalmente, se debe instalar una organizacin
apropiada as como tambin una infraestructura tecnolgica apropiada.
Acquisition and implementation. Para realizar la estrategia de TI, es necesario que las
soluciones de TI sean identificadas, desarrolladas o adquiridas, as como tambin
implementadas e integradas en el proceso del negocio. Adems, los cambios en los sistemas
existentes y el mantenimiento de los mismos estn amparados por este dominio para
asegurarse que el ciclo de vida contine para estos sistemas.
Delivery and support. Se refiere a la entrega efectiva de los servicios requeridos, que
van desde las operaciones tradicionales pasando por los aspectos de seguridad y continuidad
hasta el entrenamiento. Para prestar servicios, se deben establecer los procesos de soporte
necesarios.
Monitoring. Todos los procesos de TI necesitan ser evaluados regularmente a travs del
tiempo por su calidad y el cumplimiento con los requerimientos de control. Este dominio
resuelve as la supervisin del proceso de control de la administracin y el aseguramiento
independiente suministrado por la auditora interna y externa u obtenida de fuentes
alternativas.
Cada uno de los procesos de IT contenidos en estos 4 dominios se describen utilizando la
siguiente informacin:
Objetivos de control de alto nivel.
Objetivos de control detallados.
Criterios de informacin que afectan al proceso.
Los recursos de IT que utiliza el proceso.
Caractersticas tpicas dependendiendo del nivel de madurez.
Factores crticos de xito.
Indicadores clave de performance, es decir "lag indicators". (KPI)
Indicadores clave de objetivos, es decir "lead indicators". (KGI)
COBIT describe que para satisfacer los objetivos del negocio, la informacin que es
entregada a los procesos principales debe tener las siguientes caractersticas:
Requerimientos de calidad.
Eficacia: se ocupa de la informacin que es relevante y pertinente al proceso de negocio
adems de que sea distribuida a tiempo, correctamente, consistentemente y de una manera
utilizable.
Eficiencia: se refiere a la provisin de informacin a travs de uso ptimo (ms
productivo y econmico) de los recursos.
Requerimientos de seguridad.
Integridad: relativa a la exactitud y completitud de la informacin adems de su validez
en relacin a los valores y expectativas del negocio.
Disponibilidad: relativo a la disponibilidad de la informacin cada vez que se la
requiera, es decir ahora y en el futuro.
Confidencialidad: se refiere a la proteccin de la informacin sensible al acceso no
autorizado.
Thomson Reuters

Pgina 11

 Requerimientos legales
Cumplimiento: se ocupa de la conformidad con las leyes, regulaciones, arreglos
contractuales donde los procesos del negocio estn involucrados.
Confiabilidad: relativa a la provisin de la informacin apropiada para operar la
organizacin y realizar los reportes financieros.
COBIT define que los recursos utilizados en IT son:
Datos: se entiende desde el sentido amplio de la palabra, internos y externos,
estructurados y no estructurados, sonidos, grficos, etc.
Sistemas de aplicacin: se entiende por todos los procedimientos manuales y
programados.
Tecnologa: se entiende por el hardware, sistemas operativos, redes, administracin de
base de datos, multimedia.
Facilidades: son todos los recursos involucrados para alojar y dar soporte a los
sistemas de informacin
Gente: incluye las habilidades del staff de IT, concientizacin y productividad para
planificar, organizar, adquirir, distribuir, dar soporte, monitorear y evaluar los sistemas de
informacin y los servicios.
Plan: Establecer el SGSI (Sistema de Gestin de la Seguridad de la Informacin).ISO
27001:2005
Definir el alcance del SGSI.
Establecer una poltica que:
Incluya los objetivos de SI.
Considere los requerimientos legales o contractuales de SI.
Establezca los criterios para la evaluacin de riesgos.
Est aprobada por la Direccin.
Establecer una metodologa de evaluacin del riesgo. (ISO 13335-3).
Identificar los riesgos.
Identificar los activos dentro del alcance de SGSI.
Identificar las amenazas en relacin con esos activos.
Identificar las vulnerabilidades de esos activos que pueden ser aprovechadas por esas
amenazas.
Identificar los impactos en funcin de la confidencialidad, integridad y disponibilidad
de los activos.
Analizar y evaluar riesgos.
Establecer frecuencia e impacto.
Estimar el nivel de riesgo.
Determinar si el riesgo es aceptable o debera ser tratado.
Identificar y evaluar las distintas opciones de tratamiento de riesgos
Seleccionar los objetivos de control y los controles del Anexo A de la norma ISO.
27001. Contiene 133 controles, segn 39 objetivos de control agrupados en 11 clusulas.
Aprobar por parte de la Direccin los riesgos residuales.
Definir una Declaracin de Aplicabilidad (SOA) que contenga:
La justificacin de los nuevos objetivos de control y controles seleccionados y los ya
implantados.
Los objetivos de control y controles excluidos del Anexo A de la norma ISO 27001.
Thomson Reuters

Pgina 12

Do: Implementar y operar el SGSI

ISO 27001:2005
Definir e implantar un plan de tratamiento de riesgos con la finalidad de alcanzar los
objetivos de control seleccionados, que incluya la asignacin presupuestaria, roles y
responsabilidades.
Implementar los controles y establecer el sistema de mtricas con la finalidad de evaluar
la eficacia de los mismos.
Establecer los programas de formacin y concientizacin del personal en funcin de la
SI.
Gestionar las operaciones y recursos necesarios asignados al SGSI para mantener la SI.
Implementar los procedimientos y controles que permitan una rpida deteccin y
respuesta a los incidentes de SI.
Check: Monitorear y Revisar el SGSI
ISO 27001:2005
La organizacin deber establecer procedimientos de monitoreo y revisin para:
La deteccin temprana de errores en los resultados generados por los procesos.
La identificacin temprana de brechas e incidentes de seguridad.
Capacitar a la Direccin para determinar si las actividades desarrolladas por las
personas y dispositivos tecnolgicos para garantizar la SI se desarrollan en relacin a lo
previsto.
Detectar y prevenir eventos e incidentes de seguridad mediante el uso de indicadores.
Determinar si las acciones realizadas para resolver brechas de seguridad fueron
efectivas
Revisar regularmente la efectividad del SGSI, con la finalidad de comprender si se
cumple la poltica y objetivos de SI definidos a travs de los resultados de auditoras de
seguridad, incidentes, resultados de las mediciones, etc.
Medir la efectividad de los controles para asegurar que cumplen con los requisitos de
seguridad.
Revisar regularmente a intervalos planificados la Declaracin de Aplicabilidad (SOA),
teniendo en cuenta cualquier cambio. Por ejemplo: en la organizacin, tecnologa, etc.
Realizar a intervalos planificados auditoras internas al SGSI.
Realizar la Revisin por la Direccin del SGSI.
Actualizar los planes de seguridad en funcin de los hallazgos encontrados durante las
actividades de monitoreo y revisin.
Registrar acciones y eventos que puedan haber impactado sobre la efectividad o el
rendimiento del SGSI.
Act.: Mantener y Mejorar el SGSI
ISO 27001:2005
Implantar en el SGSI las mejoras identificadas.
Realizar las acciones preventivas y correctivas.
Comunicar las acciones y mejoras a todas las partes interesadas con el nivel de detalle
adecuado y acordar la forma de proceder.
Asegurar que las mejoras introducidas alcanzan los objetivos previstos.
El Sistema de Gestin de la Seguridad de la Informacin focaliza los procesos de la
siguiente manera:
Thomson Reuters

Pgina 13

II. Desarrollo
Las fases propuestas para el SDLC son las siguientes:
1. Fase I: Iniciacin
La iniciacin de un sistema (o proyecto) comienza cuando se identifica una necesidad o
oportunidad de negocio. Se debera asignar a un Lder de proyecto para gestionar el mismo.
Esta necesidad de negocio se documenta en un documento llamado "Conocimiento de la
Propuesta" para su aprobacin y poder pasar a la siguiente fase.
2. Fase II: Desarrollo de la propuesta (Factibilidad)
En esta fase de revisa la factibilidad y la aptitud de la propuesta. El documento "Lmite
del sistema" identifica el alcance del mismo y requiere la aprobacin para comenzar la
siguiente fase. El estudio de factibilidad es bsicamente la prueba del sistema propuesto a la
luz de su viabilidad, alcanzando los requerimientos del usuario, uso efectivo de los recursos y
el costo de la eficiencia. El objetivo del estudio de factibilidad es no resolver el problema
pero obtener el alcance.
Durante este estudio los costos y beneficios se estiman con mucha precisin.
3. Fase III: Planificacin (Anlisis funcional)
La propuesta se desarrolla ms fuertemente para describir cmo el negocio operar una
vez que el sistema se implemente y la evaluacin del impacto en los empleados y
privacidad del cliente. Para asegurar que los productos y / o servicios proveen la capacidad
requerida a tiempo dentro del presupuesto se definen, los recursos del proyecto,
actividades, cronogramas, herramientas y revisiones. Adicionalmente, la certificacin y
actividades de acreditacin de seguridad comienzan con la identificacin de los
requerimientos de seguridad del sistema y la realizacin de una evaluacin de
vulnerabilidades.
La planificacin es la fase vital en la creacin y mantenimiento de aplicaciones de
negocio exitosas. Tambin es uno de los aspectos ms olvidados del desarrollo, porque los
desarrolladores, quienes trabajan bajo presin producen rpidamente aplicaciones a menudo
saltan algunos anlisis y evaluacin de necesidades.
4. Fase IV: Anlisis de requerimientos (Anlisis Funcional).
Se deben definir formalmente los requerimientos funcionales del usuario y delinear los
requerimientos en trminos de datos, la performance del sistema, la seguridad y el
mantenimiento del sistema. Todos los requerimientos se deben definir con un suficiente
nivel de detalle para poder realizar el diseo del sistema. Todos los requerimientos
necesitan ser medibles y probados y relacionados con la necesidad u oportunidad de
negocio identificada en la Fase de iniciacin.
Dependiendo de la aplicacin, los desarrolladores pueden crear un simple prototipo del
software o ms mdulos detallados de todo el sistema que van a producir. El prototipo
muestra a los usuarios cmo se vern las pantallas, las cuales permiten a ellos opinar
sobre la apariencia del sistema y proveer a los desarrolladores mejores comentarios sobre
los requerimientos funcionales.
5. Fase V: Diseo.
Durante esta fase se disean las caractersticas fsicas del sistema. Se establece el
ambiente de operacin, se definen los subsistemas principales y sus entradas y salidas, se
asignan recursos a los procesos. Cualquier requerimiento de entrada del usuario o aprobacin
se debe documentar y revisar por el usuario. Se especifican las caractersticas fsicas del
sistema y se prepara un diseo detallado del mismo. Los subsistemas identificados durante el
diseo se utilizan para crear una detallada estructura del sistema.
Cada subsistema se particiona en uno o ms unidades o mdulos. Especificaciones lgicas
se preparan para cada mdulo de software.
Muchas organizaciones encuentran problemas y riesgos aumentados porque no elaboran
Thomson Reuters

Pgina 14

un plan de Retiro de la aplicacin, durante la etapa de diseo. Este plan debera solucionar
problemas potenciales como cambios de proveedor, que el proveedor se vaya del negocio y
cambios en la tecnologa que no son incompatibles con la direccin de la organizacin. La
organizacin debera revisar este plan una o dos veces al ao o cada vez que la misma realice
cambios en su arquitectura tecnolgica. Se deberan tener en cuenta tambin no slo el
sistema en s mismo sino tambin los sistemas que se vinculan a l.
6. Fase VI: Desarrollo.
Las especificaciones detalladas durante la fase anterior se traducen en hardware,
comunicaciones y software ejecutable. El software debe ser probado por unidad, luego en
forma integrada y reprobado de una manera sistemtica. El hardware se ensambla y prueba.
Un enfoque para el diseo del sistema fsico es el diseo de arriba hacia abajo, que constituye
la prctica de de definicin de un sistema por su propsito general y luego, progresivamente
refinar el nivel de detalle en la forma de una jerarqua. Por lo tanto, comienza con el anlisis
de los objetivos y polticas organizativos amplios, como base para el diseo del proceso. Este
paso requiere una comprensin del ambiente de la entidad y sus actividades significativas. El
prximo paso es determinar las decisiones que deberan tomar los gerentes y la informacin
requerida para ello. Los informes y reportes necesarios, bases de datos, inputs, mtodos de
procesamiento y especificaciones del equipo pueden entonces ser definidas. Por otro lado, el
Diseo Estructurado del sistema fsico es un enfoque modular. Cada mdulo o subsistema
est definido funcionalmente y el grado de interdependencia entre ellos se minimiza. Este
proceso simplifica el desarrollo y aumenta la adaptabilidad de los componentes de sistema
pero exige una cuidadosa definicin de los mdulos y los enlaces e interfases.
El diseo fsico de la base de Datos depende del sistema existente por lo que puede ser
necesario desarrollar nuevos archivos y bases de datos, puede ser factible la modificacin de
una base de datos existente o bien ninguna de ellas. Entretanto el desarrollo de los
programas implica la codificacin de los mismos, de acuerdo con las especificaciones de la
fase de diseo fsico y la posterior evaluacin de los resultados. En este caso podemos
mencionar los enfoques de la programacin estructurada dividiendo a la serie de programas
del sistema en "mdulos" discretos de acuerdo a las especificaciones funcionales y cada uno
de ellos puede ser codificado por un grupo por separado, por lo cual facilita la seguridad,
acelera el proceso de desarrollo y facilita el mantenimiento. Por su parte, el desarrollo de
procedimientos incluye la redaccin de manuales tcnicos, formularios y otros materiales
para todas las personas que utilizarn, mantendrn o trabajarn de alguna manera con el
sistema. Los flujogramas constituyen una ayuda esencial en el proceso de desarrollo para
entender la lgica del sistema, sus entradas y salidas e interfaces.
7. Fase VII: Integracin y prueba
Los diversos componentes del sistema son integrados y sistemticamente probados. El
usuario prueba el sistema para asegurar que los requerimientos funcionales, tal como fueron
definidos en el documento "Requerimientos funcionales", son alcanzados por el sistema
desarrollado o modificado. Previo a instalar y poner operativo el sistema en el ambiente de
produccin, el sistema debe ser sometido a las actividades de certificacin y acreditacin.
Esta fase es crtica en funcin del xito a largo plazo del sistema y debera ser incorporada
en todas las fases del SDLC. El nuevo sistema desarrollado debera ser probado contra los
criterios clave de performance definidos por el usuario con la finalidad de asegurar que el
sistema provee las funciones deseadas y performa a un nivel aceptable. Esto requiere que en
la medida de lo posible, el sistema sea probado bajo condiciones muy cercanas a situaciones
del mundo real.
Existen muchos tipos de pruebas:
* Individuales: cuando los programas son codificados, compilados y llevados a
condiciones de trabajo, se deben probar individualmente con datos de prueba preparados.
Cualquier hecho no deseable se debe notificar y corregir.
* Sistema: Luego de realizarse las pruebas individuales a cada uno de los programas y
Thomson Reuters

Pgina 15

removidos todos los errores, se debe realizar esta prueba con datos reales. Los resultados
deben ser analizados y corregidos todos los errores que pudieran surgir.
Una vez asegurado que el sistema corre libre de errores, se llama a los usuarios con sus
datos reales para mostrar al mismo ejecutando de acuerdo a los requerimientos definidos por
ellos.
8. Fase VIII: Implementacin.
El sistema o las modificaciones al nuevo sistema se instalan y se hacen operativas en el
ambiente de produccin. Esta fase se inicia luego que el usuario ha probado y aceptado el
sistema y contina hasta que el sistema est operando en produccin en concordancia con los
requerimientos definidos por el mismo. Esta fase es cuando la teora se transforma prctica.
Luego de cargado el sistema, comienza la etapa de entrenamiento a los usuarios. Los temas
principales son:
* Cmo ejecutar el paquete.
* Cmo ingresar los datos.
* Cmo procesar los datos.
* Cmo sacar reportes.
La instalacin se puede realizar:
* Corrida paralela: cuando el viejo y nuevo sistema conviven al mismo tiempo durante un
perodo de tiempo con la finalidad de comparar los resultados de ambos sistemas y en caso de
existir diferencias la operacin no se ve afectada.
* Corrida piloto: es cuando el nuevo sistema se instala de a partes por un perodo de
tiempo y se van agregando ms mdulos a medida que el anterior no tenga errores, hasta
completar la instalacin total.
* Fase IX: Operaciones y mantenimiento
Durante la operacin del sistema es monitoreada su performance en concordancia con
los requerimientos del usuario y las necesidades de cambio incorporadas al mismo. La
operacin del sistema se evala peridicamente a travs de revisiones de proceso para
determinar cmo se puede hacer al mismo ms eficiente y efectivo. Las operaciones
continan hasta que el sistema se pueda adaptar eficientemente para responder las
necesidades de la organizacin. Cuando se identifiquen modificaciones o cambios necesarios
a realizar, el sistema reingresa en la Fase de Planificacin.
9. Fase X: Disposicin
Las actividades de esta fase aseguran la terminacin ordenada del sistema y preserva la
informacin vital relativa al mismo en el caso que sea requerida en el futuro. Se pone
particular nfasis en la preservacin de los datos procesados por el sistema, para que los
mismos sean efectivamente migrados al otro sistema o archivados en concordancia con las
regulaciones y polticas aplicables a la gestin de los registros, para futuros potenciales
accesos.
El modelo de Madurez establecido con el enfoque COBIT determina que
III. Conclusiones
Tal como se seal en el cuerpo del presente, el control y la auditora sobre el desarrollo y
disposicin de los sistemas y aplicaciones es de crucial importancia con mltiples
implicancias y finalidades: satisfaccin de los objetivos de control interno, cumplimiento de
requisitos de SOX, cumplimiento de los requisitos de COBIT, Res. 4609 del BCRA, Norma
ISO 27001 e IRAM 17799. Esta problemtica a su vez tiene que ver con los objetivos por los
cuales se justifica la intervencin de la funcin de Auditora Interna en el diseo o examen de
la adecuacin de los sistemas y procesos con el objeto de satisfacerse de los siguientes
tpicos distinguiendo si se trata de situaciones de implantacin de sistemas o procesos
nuevos o modificaciones a los existentes (Control de Cambios):
Thomson Reuters

Pgina 16

* Cumplimiento de los objetivos de control interno aplicables a ese diseo;

* Cobertura de los resguardos de seguridad correspondientes (opciones de proceso,
cdigos de accin, mscaras de seguridad), la salvaguardia de activos y la generacin de
informacin confiable;
* Proteccin adecuada de archivos, datos, programas, hardware e instalaciones de
sistemas de accesos no autorizados internos o externos.
* Cobertura adecuada de los objetivos del usuario con respecto a los sistemas
implantados.
* Cobertura de los requisitos de la documentacin de sistemas, manuales de usuarios, lotes
de pruebas, de los archivos, datos y programas.
* Mtodos de pruebas y separacin del ambiente de prueba o desarrollo del ambiente de
produccin.
Por tal motivo se propone documentarlo de la siguiente manera:
La documentacin
Esta metodologa especifica qu documentacin deber generarse durante cada fase.
Algunos documentos permanecen sin cambio a lo largo del ciclo de vida del sistema
mientras que otros evolucionan constantemente durante el ciclo de vida. Otros documentos
son revisados para reflejar los resultados de anlisis desarrollados en fases posteriores. Cada
documento producido son coleccionados y almacenados en un archivo project.
Los documentos recomendados y la etapa del proyecto se muestra en la siguiente tabla.

Thomson Reuters

Pgina 17