Asignatura: Sistemas de Contabilidad II.

Maestro: José Crespo

Cuestionario Tema 7.3

1. ¿Por qué surge la necesidad de implantar controles en ambientes de PED?

La creciente tecnología tanto de hardware como de software, ha
permitido mecanizar los diversos sistemas de información y de manera
especial el sistema de información contable. Este fenómeno requiere
tomar en cuenta factores que derivan de la naturaleza de las funciones
propias de PED.

Por ejemplo las operaciones de actualización de registros contables,

tales como la transcripción de un asiento al libro diario, y el luego el
pase al libro mayor son llevadas a cabo por cualquier software de
contabilidad. Aunque los procedimientos de control utilizados en los
sistemas manuales no pierden totalmente su vigencia con la
implantación de sistemas mecanizados, estos son insuficientes, e
incluso llegan a ser inadecuado dentro del contexto de PED.

Al mecanizar procedimientos contables es indispensable implantar

procedimientos de control que tomen en cuenta la naturaleza del flujo
de la información, esto obedece a la necesidad de identificar la
manera en la cual la información puede y es almacenada o
modificadas en los registros de computadoras, para así determinar la
naturaleza de los controles a implantar.

2. ¿Cuáles son las diferentes básicas entre controles de PED y

controles manuales? Los controles internos de PED se diferencian de
los controles manuales, en la intervención que tiene el elemento
máquina y el cual deja gran parte de la
responsabilidad de aprobación a un computador.

3. ¿Qué elementos constituyen un sistema de información?

• Hardware
• Software
• Manuales de sistema personal
• Controles del sistema

4. ¿Por qué el control interno contable de PED forma parte del

ambiente de control interno de los sistemas de información de la
organización?
La incorporación tecnológica a las empresas requiere de políticas de
control y sistemas de evaluación que protejan la información
empresarial.
Ésta variedad de tendencias tecnológicas e información, deben estar
acompañadas de un buen sistema de control interno PED que minimice
los riegos informáticos, ya que estos se han convertido en una de las
causas más graves y peligrosas dentro de una organización; 1 además
de otros factores tales como: la resistencia al cambio, la mala
definición de los requerimientos, el diseño inadecuado de estándares
de seguridad, políticas de control y normatividad deficientes.

5. ¿Qué debemos definir e identificar para establecer un esquema de

control de acceso?

6. ¿Qué es una política de control de acceso?

7. ¿En qué consiste una clave de acceso?

Una clave de acceso es una moderna tecnología de autenticación sin

contraseñas que permite a los usuarios acceder a cuentas y
aplicaciones usando una clave criptográfica en lugar de una
contraseña. Una clave de acceso aprovecha la biometría (huella
dactilar, reconocimiento facial, etc.) para confirmar la identidad del
usuario.

8. ¿Qué tipos de mecanismos se pueden implantar para contribuir a la

eficacia de los controles de acceso?

9. ¿Qué es una matriz de acceso?

10. ¿Cuáles mecanismos de control podemos tener para el acceso

mediante el hardware?
En un sistema informático todos los mecanismos de seguridad tienen
que complementarse entre sí, de tal forma que si una persona logra
saltarse alguna de las protecciones, se encuentre con otras que le
hagan el camino difícil.

Todos los mecanismos dirigidos a asegurar el sistema informático sin

que el propio sistema intervenga en el mismo se engloban en lo que
podemos denominar seguridad externa.
La seguridad externa puede dividirse en dos grandes grupos:
• Seguridad física. Engloba aquellos mecanismos que
impiden a los agentes físicos la destrucción de la información
existente en el sistema; entre ellos podemos citar el fuego,
humo, inundaciones, descargas eléctricas, campos magnéticos,
acceso físico de personas con no muy buena intención, etc.
• Seguridad de administración. Engloba los mecanismos
más usuales para impedir el acceso lógico de personas físicas al
sistema.

11. ¿Qué tipo de controles se pueden implantar sobre la información?

Controlar un sistema es parte fundamental para garantizar un
mejoramiento continuo del mismo. Los procesos de desarrollo no
deberían ser ajenos a esta filosofía. Por esta
razón vamos a ver algunos controles que deberían tenerse en cuenta
para que una aplicación garantice la integridad y disponibilidad de la
información y además se pueda mejorar progresivamente.
En particular, para aquellos que están directamente relacionados con
el desarrollo la responsabilidad es mayor pues finalmente son quienes
atienden los requerimientos e implementan las soluciones.

Por esta razón es recomendable tener en cuenta algunos controles en

sus desarrollos para prevenir escenarios de falla posibles como el
Coss Site Scripting (XSS), las inyecciones de código, la ejecución de
códigos maliciosos y el Cross Site Request Forgery. Recordemos que
OWASP publica un Top 10 de vulnerabilidades donde presentan los
riesgos más críticos de aplicaciones web, junto con la forma de
prevenirlos.
Los controles implementados dentro de los desarrollos deben asegurar
la entrada, el procesamiento y la salida de información de forma que
se cumpla con los niveles de confidencialidad, integridad y
disponibilidad.

12. Explique los siguientes términos:

a. Intervalos de aceptabilidad: Los registros de contabilidad a
intervalos se pueden añadir a los registros de procesos finalizados
para producir una factura más detallada que refleje la utilización total
del sistema por parte de un usuario en un
momento dado. También se puede configurar la contabilidad a
intervalos para que capture de manera periódica datos de contabilidad
para recursos del sistema como procesadores, memoria, discos,
interfaces de red y sistemas de archivos. Esta
información se puede utilizar para generar una factura que refleje la
utilización total de una partición.
b. Formato de los datos: La definición de formatos de datos para el
SLB tiene un nivel añadido de complejidad: existen ya miles de barcos
participando en programas SLB, muchos de ellos basados en formatos
de datos precedentes. El establecimiento de normas y estándares en
este ámbito requiere de todos las partes implicadas una combinación
de rigor técnico, flexibilidad y diplomacia.
La gran mayoría de los sistemas SLB existentes están basados en el
sistema Inmarsat-C, y el formato de datos de posición utilizado por
estos terminales está, a su vez, basado en las recomendaciones de la
Organización Marítima Internacional, como parte de su trabajo
relacionado con la convención del SOLAS y el resultante SMSSM.

c. Transacciones duplicadas: Esta función permite crear una nueva

transacción con las mismas características (especialmente el número
de tarjeta) que la transacción que sirvió de base para la duplicación.
Una transacción duplicada tiene las mismas características que todas
las demás transacciones, y puede a su vez ser duplicada.
Durante la duplicación de una transacción, se realiza una nueva
solicitud de autorización con el número de tarjeta correspondiente a la
transacción de origen. Esta transacción no cuenta con garantía de
pago.

d. Identificación de campos faltantes

e. Controles de correlación

f. Controles de integridad de los datos

g. Controles de totales

h. Controles de digito verificador

i. Controles sobre partidas en suspenso: es toda aquella partida
pendiente de aplicación, por no haberse decidido aún su destino final.

13. ¿Qué implicaciones y/o riesgos se pueden anticipar cuando las

transacciones
se procesan a través de la voz humana?
La incorporación a gran escala, en el mundo de los negocios, del
procesamiento de voz
abre amplias posibilidades para las organizaciones.

14. ¿Por qué considera usted que algunas empresas no asignan la

importancia debida a los controles sobre la seguridad de los sistemas?
Para entender la importancia del control interno en las empresas,
conviene empezar por entender el propósito del control interno, que
tiene como objetivo resguardar los recursos de la empresa o negocio
evitando pérdidas por fraude o negligencia, como así también detectar
las desviaciones que se presenten en la empresa y que puedan afectar
al cumplimiento de los objetivos de la organización.
Usualmente las pequeñas y medianas empresas no cuentan con un
sistema de administración bien definido, donde muchas veces los
objetivos y planes no se encuentran por escrito sino que se trabajan
de manera empírica; solucionando problemas conforme se presentan,
invirtiendo sin planificación, creando departamentos a medida que
surgen las necesidades, entre otras cosas.
Todo esto puede llevar a que se den situaciones no previstas y con un
impacto financiero, como ser malversación o pérdida de activos,
incumplimientos de normas ya sean legales o impositivas que generen
un pasivo contingente, fraudes asociados a información financiera
fraudulenta que podrían dañar la reputación de la empresa, entre
otros. Dichas situaciones podrían ser prevenidas gestionando el
control interno con anticipación.

Inclusive, muchos podrían pensar que esto no se aplica a su empresa o

emprendimiento porque “nosotros somos chicos todavía”. Sin
embargo, la envergadura de la organización no es un factor que defina
la importancia o existencia del sistema de control, ya que en
organizaciones donde existe un solo dueño, que toma las decisiones,
participa en la operación y lleva el sistema contable, igualmente debe
contar con un sistema de control interno, adecuado al tamaño y
actividades de la organización.

15. Investigue acerca de lo que se considera como una pista de

auditoría.
La función de auditoria de sistemas (ADS) es una herramienta
indispensable para mantener un adecuado control interno en las
empresas que cuentan con la función de procesamiento electrónico de
datos (PED).
En cualquier empresa donde exista un centro de PED, la función de
auditoria debe considerar que toda aplicación tiene procesos
manuales y computarizados. Esto trae como consecuencia que, entre
las responsabilidades de ADS, se deben incluir los siguientes aspectos
de control
interno:
Auditorias del control alrededor del computador: incluye la revisión y
evaluación de las
aplicaciones o sistemas de información.
Auditorias de control de seguridad: incluye la revisión
de la función de seguridad de datos, tanto a nivel de su organización,
políticas y estándares.