GESTIN DE BASES DE DATOS

AMBIENTE DE UN SISTEMA GESTOR DE BASE DE DATOS

ALGUNOS ASPECTOS IMPORTANTES

1. Una base de datos es un conjunto de datos que se comparte y es utilizada por un

nmero de usuarios diferentes con distintos propsitos. Cada usuario no tiene
necesariamente conocimiento de todos los datos almacenados en la base o en la forma
en que tales datos pueden utilizarse para mltiples propsitos. Generalmente, los
usuarios individuales solo tienen acceso a los datos que utilizan y pueden
contemplarlos como archivos informticos empleados en sus aplicaciones.

Sistema de Base de Datos

2. Los sistemas de bases de datos estn integrados principalmente por dos componentes
esenciales: el sistema de bases de datos propiamente dicho y el sistema de gestin de
base de datos (SGBD). Los sistemas de bases de datos actan en interaccin con otros
aspectos de hardware y software del sistema informtico general.

3. El software utilizado para crear, mantener y utilizar bases de datos ser denominado
software de gestin de base de datos (SGBD). Junto con el sistema operativo, el SGBD
facilita el almacenamiento fsico de los datos, mantiene las interrelaciones entre ellos y
los mantiene disponibles para los programas de aplicacin. Normalmente, el software
de SGBD es suministrado por un vendedor comercial.

Caractersticas de los sistemas de bases de datos

4. Los sistemas de bases de datos se distinguen por dos importantes caractersticas:

compartir datos e independencia. Estas caractersticas requieren el uso de diccionario
de datos (prrafo 8) y el establecimiento de funciones de administracin de las bases
de datos (prrafos 9 a 16).

Datos compartidos

5. Una base de este tipo se compone de datos que se establecen con relaciones definidas
y se organizan de manera que permiten a varios usuarios utilizarlos en diferentes
programas de aplicacin. Las aplicaciones individuales normalmente comparten los
datos para finalidades distintas. Por ejemplo, el costo de una partida de existencias
mantenido por la base de datos puede utilizarse por un programa de aplicacin que
genera informacin sobre el costo de las ventas o por otro que prepara una valoracin
de existencias.

Independencia de los datos respecto de los programas de aplicacin

6. El SGBD registra el dato una nica vez para ser utilizado por diversos programas de
aplicacin. Esto crea la necesidad de compartir los datos y la necesidad de la
independencia de los datos respecto de los programas de aplicacin. En un sistema
que no es de base de datos, archivos separados de datos son mantenidos por cada
aplicacin. Datos similares, utilizados por varias aplicaciones, pueden estar repetidos
en varios archivos diferentes. En un sistema de base de datos, sin embargo, un nico
archivo de datos (o base de datos) es utilizado por varias aplicaciones, manteniendo
una mnima redundancia de datos.
GESTIN DE BASES DE DATOS

7. Los SGBD difieren en el grado de independencia de los datos que suministran. El grado
de independencia de los datos se relaciona con la facilidad con la que el personal
puede introducir cambios en los programas de aplicacin o en las bases de datos. La
autntica independencia de los datos se alcanza cuando la estructura de los mismos en
la base puede cambiarse sin afectar los programas de aplicacin, y viceversa.

Diccionario de datos

8. Una consecuencia importante de compartir los datos y de la independencia de los

mismos respecto de las aplicaciones es el potencial de registro de los datos una nica
vez para su utilizacin en varias aplicaciones. Dado que varios programas de
aplicacin necesitan el acceso a estos datos, es necesaria la existencia de una
aplicacin de software que mantenga informacin sobre la localizacin de los datos
en la base. Este software, incluido en el SGBD, es conocido como diccionario de
datos. Tambin sirve como una herramienta para mantener documentacin
homogeneizada y definiciones del entorno de la base de datos y de sus sistemas de
aplicacin. Un diccionario de datos provee funciones tales como:

Recursos para crear o modificar definiciones de datos;

Validacin de las definiciones de datos provista para asegurar la integridad de los

mismos;

Prevencin de accesos no autorizados o de manipulacin de las definiciones de

datos; y

Interrogacin y recursos de reportes que le permitan al administrador de base de

datos realizar indagaciones acerca de las definiciones de datos.

Administracin de las bases de datos

9. Las bases de datos pueden estar estructuradas como archivos planos de base de
datos, o como base de datos relacionales. En un archivo plano de base de datos,
todos los datos concernientes a un registro estn almacenados como parte de dicho
registro. Con una base de datos relacional, los datos son almacenados en una serie
de tablas, con las relaciones que sean necesarias entre las mismas. Las bases de
datos relacionales minimizan la duplicacin de datos almacenados y los datos que son
compartidos por ms de un registro son almacenados una nica vez. Los datos en s
mismos pueden comprender objetos para ser utilizados por aplicaciones orientadas a
objetos. Esto puede indicar una compleja estructura de datos.

10. La administracin del recurso de los datos es un control organizacional esencial para
asegurar la confiabilidad e integridad de los datos. En un ambiente de base de datos
los mtodos de uso y control de la informacin pasan de un enfoque orientado a las
aplicaciones a un enfoque que comprende toda la organizacin. En contraste a los
sistemas tradicionales donde cada aplicacin es un sistema separado con sus reportes
y controles, en un ambiente de base de datos, muchos controles pueden ser
centralizados y la base de datos est destinada a servir a todas las necesidades de
informacin de la organizacin.
GESTIN DE BASES DE DATOS

11. La utilizacin de los mismos datos por varios programas de aplicacin subraya la
importancia de una coordinacin centralizada de la utilizacin y de la definicin de los
datos y del mantenimiento de su integridad, seguridad, precisin y completitud.
La administracin del recurso de datos es necesario para promover la integridad de
datos para la organizacin considerada como un todo e incluye a la funcin de
administracin de datos (ver prrafo 12) y la funcin de administracin de la base de
datos (ver prrafos 13-16). La administracin de los datos, su significado, su relacin
con otros datos y la integridad en toda la organizacin, corresponde al dueo de los
datos. En contraste, la funcin de administracin de la base de datos, el da a da de
la operacin de la base de datos, las polticas, procedimientos de acceso y uso diario
corresponde primariamente a la implementacin tcnica de la base de datos.

Administracin de Datos

12. La administracin de datos gestiona los mismos con un recurso organizacional e

incluye las responsabilidades por:

El desarrollo e implementacin de las polticas y el plan estratgico de

administracin del recurso de datos, que soporta el plan de negocio de la entidad
logrando el eficiente costo de uso de los datos de la organizacin;

La creacin y mantenimiento del modelo o arquitectura corporativa de datos

(algunas veces denominada como el modelo de datos de la empresa);

La coordinacin e integracin de los modelos de datos de los sistemas;

Obtener el acuerdo entre los usuarios acerca del formato y definicin de los datos;

Resolver los conflictos entre datos y la representacin incompatible de los mismos;

Establecer un diccionario de datos corporativo, administracin de denominaciones

organizacionales y la definicin de estndares.

Establecer estndares de datos y procedimientos para:

Minera de datos;

Utilizacin de datos;

Seguridad de datos;

Compilacin de la definicin de datos;

Modelado de datos; y

Proveer entrenamiento y asesoramiento, a los usuarios y los miembros del equipo

de tecnologa de sistemas de datos (desarrolladores de sistemas y
administradores de base de datos), en lo correspondiente a todos los aspectos de
la administracin del recurso de datos.
GESTIN DE BASES DE DATOS

13. La coordinacin se lleva a cabo normalmente por un grupo de individuos cuya

responsabilidad suele conocerse como administradores de la base de datos. El
individuo que desempea esta funcin se denomina administrador de la base de
datos. Este ltimo es responsable general de la definicin, estructura, seguridad,
control de operaciones y eficiencia de las bases de datos, incluida la definicin de las
reglas a travs de las que se accede a los datos y se almacenan los mismos.

14. Las tareas de administracin de la base de datos pueden tambin realizarse por
individuos que no formen parte de un grupo centralizado. En este caso, cuando las
tareas de administracin de la base de datos no estn centralizadas, sino que se
encuentran distribuidas entre diferentes unidades organizativas, las diferentes tareas
deben ser coordinadas.

15. La administracin de bases de datos incluye tpicamente las siguientes funciones:

Definicin de la estructura y descripcin del modelo de datos. Determinando la

manera en que se definen y almacenan, as como la forma en que se accede a
ellos por los usuarios de la base de datos, al objeto de asegurar que todos sus
requerimientos se cumplan oportunamente.

Mantenimiento de la integridad, seguridad y completitud de los datos. Desarrollo,

implantacin y cumplimiento de reglas relacionadas con la integridad, completitud
y acceso. Estas responsabilidades incluyen:

Definir quin es el responsable por el monitoreo del apropiado origen de los

datos y como ese monitoreo es realizado;

Definir quin puede acceder a los datos y la manera de hacerlo (mediante

cdigos de acceso o similares);

Prevenir la inclusin de datos incompletos o no vlidos;

Detectar la ausencia de datos;

Asegurar la base de datos contra accesos no autorizados o destruccin;

Monitorear y seguir los incidentes de seguridad y el regular resguardo de

los datos; y

Asegurar la total recuperacin en un caso de prdida de datos. En tal

circunstancia, el protocolo de resguardo de las tablas de datos suele ser
complejo.

Coordinacin de las operaciones informticas relacionadas con la base de datos.

Asignando responsabilidades en relacin con los medios fsicos informticos y
monitorear el uso en relacin con las operaciones de la base de datos.

Monitoreo de la respuesta del sistema. Desarrollando medidas de comportamiento

para controlar la integridad de los datos y la capacidad de la base de datos para
GESTIN DE BASES DE DATOS

dar respuesta a las necesidades de sus usuarios y la frecuencia de los accesos y

cambios en los datos.

Proveer soporte administrativo. Coordinando y relacionndose con el vendedor del

SGBD, evaluando las nuevas versiones provistas por el mismo, en relacin con el
sistema de gestin de base de datos y su posible impacto en la entidad, realizando
su instalacin y asegurando que se suministra la adecuada capacitacin interna.

16. En algunas aplicaciones suele utilizarse ms de una base de datos. En tales casos, el
grupo de administracin de la base de datos debe asegurar que:

Existe la relacin adecuada entre las bases de datos;

Se mantiene la coordinacin de funciones; y

Los datos contenidos en diferentes bases son consistentes.

Control interno en un contexto con sistemas de bases de datos

17. Debido a que la infraestructura de seguridad en una organizacin juega una parte
importante en el aseguramiento de la integridad de la informacin producida, el auditor
considerar dicha infraestructura antes de examinar los controles generales y de
aplicacin. Generalmente, el control interno en un ambiente de base de datos requiere
de efectivos controles sobre la base de datos, del SGBD y de las aplicaciones. La
eficacia de los controles internos depende en gran medida de la naturaleza de las
tareas de administracin de la base de datos (prrafos 15 a 19) y de la manera en
que se llevan a cabo.

18. En los sistemas de base de datos, los controles generales tienen normalmente una
mayor influencia que los controles de aplicacin debido a que se comparten datos, los
datos son independientes y a otras caractersticas de los sistemas de base de datos.
Los controles generales del sistema informtico en relacin con las bases de datos, el
SGBD y las actividades de la funcin de administracin de datos (administracin de
datos y administracin de la base de datos) tienen un efecto significativo en el proceso
de aplicacin. Como lo indica el prrafo 16, el uso del SGBD y las funciones incluidas
en l pueden ayudar a proveer controles efectivos. Los controles generales de
especial importancia en un ambiente de bases de datos pueden clasificarse en los
siguientes grupos:

a) Procedimientos estndares para el desarrollo y mantenimiento de los

programas de aplicacin;

b) Modelos de datos y propiedad de los datos;

c) Acceso a la base de datos;

d) Segregacin de funciones;

e) Administracin del recurso de datos;

GESTIN DE BASES DE DATOS

f) Seguridad de datos y recuperacin de la base de datos;

19. En la medida en que los datos son compartidos por diferentes usuarios, debe
reforzarse el control cuando se utilice un procedimiento estndar para desarrollar cada
nueva aplicacin de los programas y para las modificaciones en tales aplicaciones.
Ello incluye seguir un procedimiento formalizado, que contemple las diferentes etapas
cuando se requiera desarrollar o modificar un programa de aplicacin. Tambin
incluye la realizacin del anlisis de los efectos de las nuevas y de las actuales
transacciones en la base de datos cada vez que sea necesaria una modificacin. Los
resultados del anlisis pueden indicar los efectos de los cambios en la seguridad e
integridad de la base de datos. Implantar un procedimiento estandarizado para
desarrollar y modificar aplicaciones de los programas es una tcnica que puede
mejorar la precisin, integridad y completitud de las bases de datos. Los siguientes
son algunos de los controles que nos pueden ayudar a lograr esto:

Se a realizado la definicin de estndares y se monitorea su cumplimiento;

Se han establecido e implementado procedimientos de backup y de recuperacin,

para asegurar la disponibilidad de la base de datos.

Se han establecido varios niveles de control de acceso para items de datos, tablas
y archivos de manera tal de prevenir accesos no autorizados;

Se han establecido controles para asegurar exactitud, completitud y consistencia

de los elementos de datos y sus relaciones en la base de datos. Si embargo en
sistemas complejos, los sistemas diseados no siempre le proveen a los usuarios
controles que permitan verificar la completitud y exactitud de los datos y el riesgo
puede ser incrementado si el SGBD no siempre identifica los datos e ndices
corruptos; y

Los procedimientos de reconstruccin de la base de datos son siempre seguidos

cuando se realizan cambios lgicos, fsicos o de procedimientos.

Modelo de datos y propiedad de los datos

20. En un sistema informtico con bases de datos, dnde varios individuos pueden utilizar
programas para introducir y modificar los datos, es necesaria la asignacin, clara y
bien definida, por el administrador de la base de datos, de las responsabilidades
relativas a la precisin e integridad de cada dato. Un usuario individual de los datos
debe contar con reglas claras que definan su responsabilidad en relacin con el
acceso y la seguridad de los datos; as, debe definirse quien puede utilizar los datos
(acceso) y las funciones que puede realizar (seguridad).La asignacin de
responsabilidades especficas en el manejo de los datos ayuda a asegurar la
integridad de la base de datos. Por ejemplo, el encargado de crditos puede ser
responsabilizado de los lmites de crdito de los clientes y, en consecuencia, puede
ser responsable de determinar que usuarios estn autorizados para utilizar tal
informacin. Si varios individuos pueden tomar decisiones que afecten a la precisin e
integridad de los datos, aumenta la probabilidad de que los datos se deterioren o se
utilicen de manera no adecuada. Los controles sobre los perfiles de usuarios son
GESTIN DE BASES DE DATOS

tambin importantes cuando se utiliza un sistema de base de datos, no solo para

establecer los accesos autorizados sino tambin para detectar violaciones o intentos
de violacin de los datos.

Acceso a la base de datos

21. El acceso de los usuarios a la base de datos puede restringirse mediante cdigos de
acceso. Esta restriccin puede aplicarse a los individuos, a los terminales y a los
programas. Para que las claves sean efectivas, se requieren procedimientos
adecuados para el cambio de los cdigos, el mantenimiento de su secreto y el control
e investigacin de posibles intentos de contravenir las reglas establecidas. Los
cdigos relativos a terminales, programas y datos ayudan a asegurar que solo los
usuarios y los programas autorizados pueden acceder a los datos, modificarlos o
borrarlos. Por ejemplo, el responsable de crditos puede permitir que un vendedor
tenga acceso al lmite de crdito de un cliente, mientras que un empleado del almacn
puede no estar autorizado para ello.

22. El uso de tablas de autorizacin pueden favorecer el control de acceso de los usuarios
a los diversos elementos de la base de datos. La inadecuada implantacin de
procedimientos de acceso puede resultar en el acceso no autorizado a la base de
datos. Controles apropiados tambin aseguran que los datos almacenados son
convertidos para la lectura en un formato legible para las personas en un breve
perodo de tiempo.

Segregacin de tareas

23. Las responsabilidades por la realizacin de las diferentes actividades necesarias para
disear, implantar y manejar una base de datos estn repartidas entre diferentes tipos
de personas: tcnicos, diseadores, administrativos y usuarios. Sus funciones
incluyen el diseo del sistema, el diseo de la base de datos, la administracin y la
operacin. Mantener una adecuada segregacin de estas tareas es necesario para
asegurar la completitud, integridad y precisin de la base de datos. Por ejemplo, las
personas responsables de la modificacin de los programas relativos a una base de
datos del personal no deben ser las mismas autorizadas para cambiar los criterios con
los que se calculan las retribuciones del mismo en la base de datos.

Seguridad en los datos y recuperacin de la base de datos

24. Las bases de datos estn propensas a ser usadas por las personas en muchas de las
distintas operaciones de la entidad. Esto significa que muchas partes de la entidad
pueden ser afectadas si los datos no estn disponibles o contienen errores.
Consecuentemente, los controles generales sobre la seguridad de los datos y la
recuperacin de la base de datos supone un alto nivel de importancia en los sistemas
de base de datos.

25. Alternativamente, el riesgo de fraudes y errores puede incrementarse si los sistemas

de bases de datos se utilizan sin los controles adecuados. En un ambiente que no es
de base de datos, los controles ejercidos por los usuarios individuales pueden
compensar las debilidades en los controles generales del sistema informtico. Sin
embargo, en un sistema con bases de datos, ello puede no ser posible, en la medida
en que los controles inadecuados de administracin de la base de datos no pueden
GESTIN DE BASES DE DATOS

ser compensados por los correspondientes a los usuarios individuales. Por ejemplo,
el personal responsable de las cuentas a cobrar puede no controlar efectivamente
este tipo de cuentas si existen otras personas que pueden modificar tales saldos en
la base de datos.

Efecto de las bases de datos en los procedimientos de auditora

26. Para obtener el adecuado conocimiento del ambiente de control del sistema de base
de datos y del flujo de transacciones, el auditor puede tener en cuenta el efecto de las
siguientes cuestiones en el riesgo de la auditora, al planificar la misma:

La funcin de los encargados de la administracin de la base de datos. Esta

funcin juega un rol importante en el mantenimiento de la integridad de los datos
almacenados en la base de datos;

La descripcin de tareas y las normas y procedimientos dictados para los

individuos responsables del apoyo tcnico, diseo, administracin y operaciones
de la base de datos. Con los sistemas de base de datos, es probable que un
amplio rango de individuos ten responsabilidades significativas que no existiran en
el caso de no utilizar un sistema de base de datos;

Los procedimientos utilizados para asegurar la integridad, seguridad y completitud

de la informacin financiera incluida en la base de datos: y

La disponibilidad de recursos de auditoria en el SGBD.

Los procedimientos utilizados para incorporar nuevas versiones de la base de

datos en operacin.

27. Los procedimientos de auditoria pueden incluir las funciones del SGBD para:

i. Comprobar los controles de acceso;

ii. Generar datos de prueba;

iii. Suministrar rastros de auditoria;

iv. Comprobar la integridad de la base de datos;

v. Conseguir acceso a la base de datos o una copia de las partes significativas

del mismo con la finalidad de utilizar software de auditoria

vi. Obtener la informacin necesaria para la auditoria.

Antes de usar los recursos del SGBD, el auditor debe considerar si estos funcionan
adecuadamente.