Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Un sistema operativo es un software indispensable que actúa como interfaz entre el software de
aplicación y el hardware. Maneja el acceso a los recursos de computación mediante las
aplicaciones concurrentes y, en un sistema de red, a través de los usuarios concurrentes. DOS,
Windows y Unix son ejemplos de sistemas operativos.
1. El sistema operativo actúa como mediador entre los programas de aplicación y el hardware de
la computadora.
a. Para comunicarse con el usuario el sistema operativo de una PC puede incluir una interfaz
gráfica de usuario (graphical user interface - GUI). Utiliza iconos gráficos para representar
actividades, programas y archivos. El mouse (ratón) de la computadora se utiliza para
seleccionar iconos. GUI simplifica el uso de la computadora comparado con sistemas más
antiguos que requerían escribir comandos de texto en un teclado.
1) Ventana (Windows) es una celda GUI desarrollada inicialmente por Microsoft para trabajar
conjuntamente con el sistema operativo DOS.
2) Ventana es la característica que permite que una computadora pueda mostrar más de un
programa en la pantalla al mismo tiempo. Cada programa tiene su propia parte en la pantalla,
pero solamente un programa puede interactuar con el usuario en un momento dado.
b. El sistema operativo también maneja la planificación del trabajo y es el responsable del uso
de la computadora, controla la información ingresada y la emitida, designa los lugares de
almacenamiento en la memoria principal y protege los datos en caso de que se produzca una
falla en el sistema.
c. Un sistema operativo también puede permitir que una sola configuración de hardware
funcione en varias formas diferentes.
3. Estaciones de trabajo
Las estaciones de trabajo también tienen la capacidad de ejecutar más tareas en forma
simultánea que las computadoras personales. Por eso suelen ser utilizadas por científicos e
ingenieros, por ejemplo, para realizar simulaciones y diseños asistidos por computadora y
también en la industria financiera.
4. Servidor. Un servidor es una computadora que está especialmente configurada para soportar
una red que permite que los usuarios compartan datos, periféricos y programas. Cualquier tipo de
computadora, desde una computadora personal hasta una computadora central (mainframe)
pueden configurarse para funcionar como servidor.
1) Una importante ventaja del enfoque de ciclo de vida es que efectúa un mejor manejo y
control del proceso de desarrollo. El ciclo de desarrollo del sistema puede dividirse en tres
etapas: (1) definición, (2) desarrollo e (3) instalación y funcionamiento.
i) Debe prepararse una propuesta para una aplicación nueva ó para una modificación,
mencionando la necesidad de realizar dicha aplicación, el soporte con el que cuenta la
iii) Debe averiguarse acerca de los requisitos de información, inclusive las preguntas que
efectuarán los usuarios, los informes realizados, las bases de datos que se necesitan y las
características operativas.
iv) El diseño general (conceptual) incluye la descripción de la aplicación por parte de los
usuarios, los ingresos y salidas necesarias, las funciones a realizar, un resumen del flujo
del proceso (relación de los programas, archivos, ingresos y salidas más importantes), un
resumen de los controles y la documentación necesaria en líneas generales.
b) Desarrollo
iv) El diagrama de flujo es una ayuda esencial para el proceso de desarrollo. Un diagrama
de flujo es la representación gráfica de la definición, análisis ó solución de un problema
en el cual se utilizan símbolos para representar operaciones, flujo de datos, equipos, etc.
Los diagramas de flujo pueden crearse para un sistema, un programa ó para un
documento.
v) Otras formas de documentar la lógica de decisión reflejada en los sistemas son las
matrices (presentaciones de los pares de condiciones y las acciones resultantes), los
diagramas de decisión, los árboles de decisión y el pseudo código.
vi) Los diagramas de flujo de datos se utilizan para analizar los sistemas estructurados.
Utilizan sólo cuatro símbolos básicos. Los diagramas de flujo de datos muestran cómo
los datos fluyen hacia, desde y dentro del sistema y los procesos que manejan los datos.
Un diagrama de flujo de datos puede utilizarse para representar detalles de menor nivel
así como procesos de mayor nivel. Un sistema puede dividirse en subsistemas, y cada
subsistema puede a su vez dividirse en niveles más detallados. De esta manera, cualquier
proceso puede expandirse tantas veces como sea necesario para mostrar el nivel de
detalle necesario.
vii) El desarrollo del programa vincula los programas de código según las
especificaciones establecidas en la fase de diseño físico y luego prueba los resultados.
c) Instalación y funcionamiento
i) Es importante la formación y la capacitación del usuario del sistema no sólo para que
utilicen el sistema adecuadamente sino para compensar la resistencia de los usuarios
cuyos trabajos pueden haber sido modificados sustancialmente.
ii) Las pruebas de aceptación por parte de los usuarios son necesarias para determinar que
el nuevo sistema cumple con sus necesidades.
iv) Seguimiento del sistema ó evaluación luego de la auditoria es una revisión posterior
acerca de la eficiencia y eficacia del sistema una vez que ha estado funcionando durante
un tiempo considerable (por ejemplo, 1 año).
c. El desarrollo de los sistemas debe ser supervisado por un comité directivo de sistemas de
información compuesto por los gerentes de mayor jerarquía de cada una de las áreas
funcionales de la empresa, tales como sistemas, contaduría y comercialización.
1) Proporciona un asesoramiento general para todas las actividades relacionadas con sistemas
a fin de asegurar que los objetivos son consistentes con los de la empresa. De esta forma, el
comité directivo establece prioridades para la implantación de aplicaciones y realiza ó
aprueba la planificación de nivel superior.
a. Controles de Entrada. Dichos controles aseguran razonablemente que los datos recibidos
que serán procesados han sido correctamente autorizados, convertidos a un formato adecuado e
identificados, y que los datos (inclusive los datos transmitidos a través de líneas de
comunicación) no se han perdido, suprimido, agregado, duplicado o cambiado de otra manera
incorrecta. Los controles de entrada también se refieren al rechazo, corrección y nueva
presentación de los datos que estaban inicialmente incorrectos.
b) Las verificaciones de campo son pruebas del carácter del trabajo en un campo para
verificar que son adecuados para ese trabajo. Por ejemplo, el campo para un número de
Seguro Social no debe contener caracteres alfabéticos.
c) Los totales financieros resumen las cantidades en dólares en un campo de información
dentro de un grupo de registros.
d) Un total repetido es un total de control que no tiene un significado definido, por ejemplo,
el total de empleados ó la cantidad de facturas que se utiliza para verificar que los datos
están completos. De esta forma, el total repetido de la lista de empleados emitida por el
departamento de personal podría compararse con el total de remuneraciones a pagar.
e) Los cotejos de límite y rango se basan en los límites conocidos para la información dada.
Por ejemplo, las horas trabajadas por semana no serán iguales a 200.
f) Preformateado. Para evitar errores en el ingreso de datos en los sistemas en línea, puede
usarse un acceso inmediato de pantalla que es el equivalente a los formularios preimpresos
frecuentemente utilizados como documentos fuente. El acceso al diálogo, por ejemplo,
plantea una serie de preguntas al operador. El acceso a la pantalla preformateada incluye la
muestra de un conjunto de cajas para ingresar elementos de datos específicos. El formato
hasta puede ser el de copia de una transacción.
g) Las pruebas de razonabilidad (relación) verifican la correcta y lógica relación entre los
valores de los datos de los elementos en una entrada y el registro de archivo maestro
correspondiente. Por ejemplo, puede saberse que el empleado John Smith trabaja solamente
en los departamentos A, C, ó D; por lo tanto, podría realizarse una prueba de razonabilidad
para determinar que el registro de remuneraciones a pagar contiene uno de los probables
j) Los cotejos secuenciales determinan que los registros están en correcto orden. Por
ejemplo, un archivo de entrada de remuneraciones es probable que se coloque en el orden
del Número de Seguro Social. Luego puede emitirse un cotejo ordenado en serie para
verificar el orden del registro.
k) Los cotejos de signos aseguran que los datos de un campo poseen el signo aritmético
adecuado. Por ejemplo, las horas trabajadas en un registro de remuneraciones a pagar
siempre deben ser un número positivo.
l) Los cotejos de valor son pruebas de los números de identificación y de los códigos de las
transacciones que sirven para comprobar su validez mediante la comparación con los
elementos que ya se sabe que son correctos o que están autorizados. Por ejemplo, los
números de Seguro Social incluidos en los registros de entrada de remuneraciones pueden
ser comparados con los números de Seguro Social autorizados por el departamento de
personal.
2) La verificación de la clave permite colocar una nueva clave en las entradas y comparar
los resultados.
b. Procesar Controles. El proceso de los controles proporciona una seguridad razonable de que
el proceso ha sido realizado tal como fue pensado para la aplicación en particular, es decir, que
todas las transacciones están procesadas tal como fueron autorizadas, que se omitieron
transacciones no autorizadas, y que no se han incluido transacciones no autorizadas.
1) Algunos controles de entrada también son controles de proceso, por ejemplo, pruebas de
límite, razonabilidad y signo.
3) Los totales generales de control, también llamados totales de pasada en pasada (run-to-run
totals) (por ejemplo, recuentos de registros o ciertas cantidades importantes) deben generarse
y verificarse en puntos designados durante el proceso. La prueba posee un listado de
actividad. En un sistema en línea la modificación en un archivo para el día puede ser
comparada con la información fuente.
5) Deben probarse los programas utilizados en el proceso, por ejemplo, mediante el reproceso
de los datos reales con un resultado conocido o empleando datos de la prueba.
7) Los controles de concurrencia resuelven situaciones en las cuales dos ó más programas
tratan de usar un archivo o base de datos al mismo tiempo.
8) Debe crearse un rastreo mediante el uso de registros de controles de entradas y salidas, los
listados de errores, registros y listados de transacciones.
9) Las verificaciones de la integridad de las claves evitan que el proceso de actualización cree
errores en las soluciones. Las claves son atributos de los registros que les permiten ser
clasificados. Una clave primaria es el ítem o ítems de datos que son los identificadores
principales, por ejemplo, el número de vendedor. Una clave secundaria es una alternativa
utilizada tanto para clasificar como para un proceso especial, por ejemplo, la fecha de pago en
la factura del vendedor.
b) El grupo de control debe recibir los listados de errores directamente del sistema, y debe
realizar toda consulta necesaria y enviar los errores a los usuarios para que los corrijan y los
vuelvan a presentar.
d) La información de salida debe ser distribuida de acuerdo con los registros de distribución
que nombran a los usuarios autorizados.
1) Los procedimientos para documentar, revisar, probar y aprobar los sistemas o programas y
las modificaciones hechas a los mismos. El desarrollo del programa y los controles de
documentación se refieren al adecuado desarrollo, descripción y prueba de los programas de
aplicación de la computadora.
b) La documentación del programa contiene las descripciones, los diagramas de flujo del
programa y las tablas de decisión, los listados de programas o códigos fuente, los datos de
las pruebas, los formularios de entrada y salida, el archivo detallado y los esquemas de
registros (que describen la estructura de los datos, por ejemplo, la dimensión y las clases de
campos), las solicitudes de cambio, las instrucciones del operador y los controles.
b) Deben establecerse normas para el diseño y programación de los sistemas. Estas normas
representan las necesidades del usuario y los requisitos del sistema determinados durante el
análisis de los sistemas. Pueden describirse unidades lógicas del sistema de mayor nivel
utilizando un pseudo código, una versión estructurada informal del inglés. El pseudo
código puede representar el diseño general del software sin entrar en los detalles del
lenguaje de programación particular a utilizar.
e) Los programas propuestos deben verificarse con los datos incorrectos o incompletos así
como con los datos típicos para determinar si los controles han sido correctamente
implantados en el programa.
i) Los datos de prueba deben probar todas las divisiones del programa, inclusive la
capacidad de edición del programa. La función de edición incluye verificación de la
secuencia, las pruebas de validación de campo, verificaciones de razonabilidad y otras
pruebas sobre los datos ingresados.
ii) Los resultados esperados deben ser calculados y comparados con el rendimiento real.
Estos resultados deben incluir tanto la información de salida exacta como los mensajes
de error.
f) Para evitar la responsabilidad legal también deben aplicarse controles a fin de evitar el
uso de software sin licencia de dominio público. Un contrato de licencia de software
permite a un usuario utilizar tanto una cantidad específica como ilimitada de copias de un
software en ciertos lugares, en máquinas particulares, o en toda la compañía. El contrato
puede restringir la reproducción o reventa, y puede proporcionar el posterior soporte al
cliente y las mejoras del producto.
1) Posteriormente, el programa debe ser rediseñado utilizando una copia que sirva a ese
trabajo, no la versión actualmente en uso. También debe revisarse la documentación del
sistema.
a. El software de aplicación incluye los programas que realizan las tareas requeridas por los
usuarios finales, por ejemplo, las operaciones contables estándar.
2) Una hoja de cálculo es un tipo de software de aplicación que es de suma utilidad para
contadores, auditores y comerciantes. Muestra un modelo financiero en una pantalla en el
cual se presentan datos en una hoja cuadriculada que tiene columnas y líneas. Un ejemplo es
una hoja de cálculo de estados contables.
a) Una hoja de cálculo electrónica permite la creación de una plantilla que contiene el
modelo de las relaciones matemáticas entre las variables definidas por el usuario. Dicha
hoja contiene las entradas, los algoritmos hechos en computadora y el formato de la
información de salida. Los efectos de las modificaciones de las hipótesis pueden verse
instantáneamente porque una modificación en un valor provoca un recálculo inmediato de
los valores relacionados.
b) Por lo tanto al diseñar un modelo de hoja de cálculo el primer paso consiste en definir el
problema. Luego de este paso hay que identificar las entradas y salidas relacionadas con el
sistema y desarrollar hipótesis y criterios de decisión. Finalmente deben documentarse las
fórmulas.
3) El software puede ser registrado como propiedad literaria, pero una cantidad considerable
es de dominio público. Las redes de usuarios de computación pueden compartir dicho
software.
a) Shareware es el software que obtienen los usuarios pagando una cuota (generalmente
con un período de prueba inicial gratis) a los propietarios mediante un distribuidor (o sitios
web o servicios de boletín electrónico).
c) El uso de software que no tiene licencia aumenta el riesgo de introducir virus en las
computadoras de la empresa. Es menos probable que dicho software haya sido
cuidadosamente probado.
d) Las estaciones de trabajo sin disco aumentan la seguridad al evitar que se copie el
software incluido en la estación de trabajo a un diskette. Este control no sólo protege los
intereses de la empresa en cuanto a sus datos y a la propiedad de sus programas sino
también la protege contra el robo de software comprado bajo licencia a los vendedores.
e) A fin de acortar el tiempo de instalación de un software revisado en una red, una empresa
puede implantar la distribución electrónica de software (electronic software distribution -
ESD), que es la instalación de computadora a computadora de software en las estaciones de
trabajo. En lugar de hacerlo en semanas, la distribución de software puede ser realizada en
horas o días y puede ser controlada en forma central. Otra ventaja del ESD es que permite
el rastreo o medición de las licencias de programas de PC.
4) Los paquetes integrados incluyen dos o más aplicaciones, por ejemplo, hojas de cálculo,
a) Además, el correo electrónico puede ser leído en cualquier lugar que se encuentre el
receptor, siempre que el mismo tenga acceso a una terminal. El correo electrónico también
puede ser enviado a oficinas lejanas mediante un módem.
7) El correo de voz convierte los mensajes hablados de analógicos a digitales, los transmite a
una red y los almacena en un disco. Luego los mensajes se convierten otra vez en analógicos
cuando el receptor desea escucharlos. Posteriormente pueden ser guardados, transmitidos o
borrados.
9) Una máquina de fax puede escanear un documento, convertir su texto y sus gráficos en
formato digital y luego transmitir el resultado a través de las líneas telefónicas. La máquina
de fax receptora puede luego crear un facsímil del documento transmitido.
10) Un sistema electrónico de boletín de tablas (bulletin board system - BBS) es una base
de datos a la cual los usuarios de computadoras pueden llamar por teléfono para leer o enviar
mensajes.
a) Sin embargo la interacción del usuario comúnmente está limitada al cliente que forma
parte de la aplicación. Esta porción normalmente está compuesta por la interfaz del usuario,
el ingreso de datos, las preguntas y la recepción de informes.
c) La seguridad de los sistemas cliente-servidor puede ser más difícil que en un sistema
basado en la computadora central (mainframe) debido a la cantidad de puntos de acceso.
También utilizan los métodos de procesamiento distribuido que causan un elevado riesgo de
acceso no autorizado a los datos y al procesamiento. Existen asimismo nuevos métodos de
acceso a datos y procesamiento.
2) Modelo de terminal falsa. En esta arquitectura las máquinas de sobremesa que no tienen
poder de procesamiento que se mantiene solo pueden acceder a computadoras remotas en una
red. Para procesar la aplicación se bajan los programas a la terminal. Estas máquinas son
relativamente baratas porque no tienen drives de disco.
a) Las funciones de lógica comercial interpretan las transacciones y determinan cómo serán
procesados, por ejemplo, los descuentos a aplicar, las forma de envío, etc. Las realiza
principalmente el servidor de aplicación a diferencia de la lógica de presentación realizada
por el servidor de primer extremo de los usuarios.
1) Los auditores confían cada vez más en las herramientas de software para cumplir
virtualmente con todas las actividades de auditoria.
i) Software que genera el papel de trabajo de auditoria, tal como procesador de palabras,
hoja de cálculo y software de papel de trabajo electrónico.
ii) Software de Técnicas de Auditoria Asistida por Computadora (Computer-Assisted
Audit. Techniques - CAATs) utilizado para analizar la información financiera.
b) El uso del software de procesador de palabras y hoja de cálculo por parte del auditor
interno se limita generalmente a las tareas básicas de oficina y por lo tanto no se incluyen
en esta unidad de estudio.
a) CAATs puede utilizarse durante cada etapa del proceso de auditoria, desde la
planificación hasta la preparación del informe.
b) Catas puede ser un software basado en el sistema o en las operaciones, o un software que
proporciona técnicas automáticas para extraer y analizar datos.
ii) El software de uso práctico realiza las tareas de procesamiento de rutina, tales como
clasificación y fusión.
iii) El software de aplicación de investigación y planificación puede seguir una pista de
auditoria de una información generada por la computadora al procesar las transacciones.
d) Los principales paquetes de software CAAT que actualmente se utilizan son: Lenguaje
de Ordenes de Auditoria (Audit Command Language - ACL)® y el software Extracción y
Análisis de Datos Recíprocos (Interaction Data Extraction and Analysis - IDEA).
a) Además del software los auditores internos utilizan algunas otras clases de medios
electrónicos para reunir, documentar e informar datos durante el procedimiento de trabajo.
Las herramientas de auditoría basada en tecnología más frecuentes son Internet, intranets y
procesamiento de imagen.
b) Internet
ii) Internet es una herramienta de auditoría que sirve para reunir y diseminar la
información relacionada con la auditoría.
iv) Sin embargo, los auditores internos utilizan mayormente Internet para comunicación
electrónica.
El correo electrónico permite transferir, recibir y almacenar
mensajes dentro de o entre computadoras.
El correo electrónico puede ser utilizado para:
➢ Contactar especialistas
➢ Comunicarse con integrantes del equipo de
auditoría que están lejos.
➢ Distribuir los papeles de trabajo de auditoría y los
informes.
➢ Comunicarse con la gerencia y demás
departamentos.
➢ Transmitir archivos
c) Intranets
i) Una Intranet es una red que funciona igual que Internet pero limitándose a una empresa
específica.
1) Las computadoras de usuario final incluyen sistemas creados o adquiridos por el usuario
que se mantienen y funcionan fuera de los controles de sistemas de información tradicionales.
a) Los riesgos de control ambiental más frecuentes en un ambiente EUC incluyen las
violaciones a los derechos de autor que suceden cuando se realizan copias no autorizadas
de software o cuando se instala un software en varias computadoras.
c) Más aún, un ambiente EUC puede estar caracterizado por copia de respaldo (backup),
recuperación y plan de contingencia inadecuados, que hacen imposible que se pueda recrear
el sistema o sus datos.
i) El riesgo de permitir a los usuarios finales que desarrollen sus propias aplicaciones es
la descentralización del control. Las aplicaciones desarrolladas para usuarios finales
pueden no estar sujetas a una revisión externa independiente por parte de analistas de
sistemas y no están creadas en el contexto de una metodología de desarrollo formal. Es
probable que estas aplicaciones no tengan las normas, controles y procedimientos de
aseguramiento de calidad adecuados.
ii) Asimismo, cuando los usuarios finales crean sus propias aplicaciones y archivos,
pueden proliferar sistemas de información privados cuyos datos no están extensamente
controlados. Los sistemas pueden contener la misma información, pero las aplicaciones
de usuario final pueden actualizar y definir los datos de distintas maneras. De esta forma
se hace difícil poder determinar la ubicación de los datos y la seguridad de la consistencia
de los datos.
iii) Los auditores deben determinar que las aplicaciones EUC contienen controles que
permiten a los usuarios confiar en la información emitida. Es más difícil identificar las
aplicaciones que en un ambiente de computación tradicional porque poca gente las
conoce y utiliza. La primera inquietud del auditor es descubrirlas y conocer el propósito
de sus funciones. Un enfoque consiste en tomar un inventario de las principales
aplicaciones EUC de toda la empresa. Una alternativa puede ser revisar las principales
aplicaciones EUC relacionadas con la función o departamento que más las utiliza.
El próximo paso es la evaluación de riesgos. Se eligen para auditar las aplicaciones EUC
que representan exposiciones de alto riesgo, por ejemplo, porque respaldan decisiones
críticas o porque son utilizadas para controlar el dinero en efectivo o los activos físicos.
El tercer paso es revisar los controles incluidos en las aplicaciones elegidas en la segunda
fase.