Auditora y Seguridad

de Sistemas de Informacin
Auditoria en
entornos con Bases
de Datos.
Sistemas On Line
ERP

MBA Luis Elissondo

Modelo de Evolucin de los SI

Eficiencia
Enfoque
Interno
Enfoque
Externo

1- Proceso de
Datos (cont,
sueldos)

4- Intercambio
de datos EDI

Eficacia
2- Sistemas
Operacionales
bsicos en lnea

Integracin
3- Integracin
Interna (punto
a punto)

5- Racionalizacin de 6- Integracin
proc. sotck
Externa

Tipos de sistemas
Orientados al Procesamiento de
transacciones Integrados - ERP
Orientados a la toma de decisiones.
Herramientas de anlisis de datos
DataWarehouse.
Orientados soportar procesos especficos
CRM SCM Ventas por Internet,etc
Orientados a la Gestin del Conocimiento
Intranets, Motores de bsqueda,
Administracin de contenidos, etc.

Que es un SI
Bancos

Clientes

Proveedores

Sistema de Informacin

Entrada

DGI

Proceso

Accionistas

Salida

Almc

Competidores

Definicin de B. de Datos
Una base de datos es un conjunto de datos que se
comparte y es utilizada por un nmero de usuarios
diferentes con distintos propsitos. Cada usuario no
tiene necesariamente conocimiento de todos los
datos almacenados en la base o en la forma en que
tales datos pueden utilizarse para mltiples
propsitos. Generalmente, los usuarios individuales
solo tienen acceso a los datos que utilizan y pueden
contemplarlos
como
archivos
informticos
empleados en sus aplicaciones.

Org. Base de Datos

S.Ventas

S.Prod

S.Adm

BASE
DE DATOS

S.Almac.

Ambiente Base de Datos

A
P
L
I
C

D
B
M
S

S.
O
P
E
R
A
T
I
V
O

DATOS

Que es una transaccin

Intercambio entre un
usuario que opera
una terminal y un
sistema de
procesamiento de
datos.

Proceso de Registro de
Transacciones
SQLServer
records cache
Trasaccin
insert 1

Log
Insert 1
commit

log:
insert 1
data:
insert 1

t1

Uncommited trans.

Data
Insert 1

t2

Commited trans.

t3

Proceso de Registro de
Transacciones
SQLServer
records cache
Trasaccin
insert 2

Rolled
Back

Insert 1
commit
insert 2

log:
insert 2
data:
insert 2

t1

Uncommited trans.

Log

Rolled
Forward

Data
Insert 1

t2

Commited trans.

t3

Proceso de Registro de
Transacciones
Checkpoint

Checkpoint

a
b

Checkpoint

c
d

g
e

h
f

No necesitan recupero: a, d , e
Rolled Foward: b, g, h
Rolled Back: c, f

Falla

Beneficios del ambiente de Base de

Datos

Integracin de datos
Accesibilidad de datos
Control de datos
Facilita el desarrollo y adm. de
aplicaciones
Mejora seguridad

Productos Disponibles

Informix

Base de Datos

Fte:Encuesta Information Technology 2006

Base de Datos

Fte:Encuesta Information Technology 2006

Base de Datos

Fte:Encuesta Information Technology 2006

Base de Datos

Fte:Encuesta Information Technology 2007

Caractersticas
de las Bases de Datos
Componentes: Los datos en s y el Sistema de
Gestion de Base de Datos (SGBD).

Para funcionar requiere de software de otro

software (SO) y hardware.

Posibilidad de Compartir los datos

Independencia de datos y programas.
Diccionario de Datos. Permite la definicin,
validacin de ingreso y autorizacin para la
actualizacin. Ejemplo en Access

Caractersticas
de las Bases de Datos
Administracin de las bases de datos: se describen las
tablas y las relaciones entre las mismas.
La administracin del recurso de datos en un ambiente de
base de datos es una situacin que afecta a TODA la
organizacin.
La administracin de los datos, su significado, su relacin
con otros datos y la integridad en toda la organizacin,
corresponde al dueo de los datos.
La funcin de administracin de la base de datos,
operacin de la base de datos, las polticas, procedimientos
de acceso y uso diario corresponde primariamente a la
implementacin tcnica de la base de datos.

Administracin de los Datos

La administracin de los datos comprende:
El desarrollo e implementacin de las polticas y el plan

estratgico de administracin del recurso de datos.

La creacin y mantenimiento del modelo o arquitectura
corporativa de datos
La coordinacin e integracin de los modelos de datos
de los sistemas
Obtener el acuerdo entre los usuarios acerca del
formato y definicin de los datos;
Establecer un diccionario de datos corporativo,
administracin de denominaciones organizacionales y la
definicin de estndar

Es tarea del Administrador de la Base de Datos

Funciones del Administrador de la Base de

Datos
Definicin de la estructura y descripcin del modelo de datos y acceso.
Desarrollo, implantacin y cumplimiento de reglas relacionadas con la
integridad, completitud y acceso.

Definir quien es el responsable por el monitoreo del apropiado origen de los

datos y como ese monitoreo es realizado.

Definir quien puede acceder a los datos y la manera de hacerlo (EscrituraLectura-Modificacin)
Prevenir la inclusin de datos incompletos o no vlidos;
Asegurar la base de datos contra accesos no autorizados o destruccin;
Monitorear y seguir los incidentes de seguridad y el regular resguardo de
los datos; y
Asegurar la total recuperacin en un caso de prdida de datos.
Coordinacin de las operaciones informticas relacionadas con la base de
datos. Asignando responsabilidades en relacin con los medios fsicos
informticos y monitorear el uso en relacin con las operaciones de la base
de datos.

Monitoreo de la respuesta del sistema.

Proveer soporte administrativo.

Control interno en un contexto con sistemas

de bases de datos
El control interno en un ambiente de base de datos requiere de efectivos

controles sobre la base de datos, del SGBD y de las aplicaciones.

Los controles generales tienen normalmente una mayor influencia que
los controles de aplicacin debido a que se comparten datos entre
varias aplicaciones.
Los controles generales de especial importancia en un ambiente de
bases de datos pueden clasificarse en los siguientes grupos:

Procedimientos estndares para el desarrollo y mantenimiento de los

programas de aplicacin
Modelos de datos y propiedad de los datos
Acceso a la base de datos
Segregacin de funciones
Administracin del recurso de datos
Seguridad de datos y recuperacin de la base de datos

Debe reforzarse el control cuando se utilice un procedimiento estndar

para desarrollar cada nueva aplicacin de los programas y para las

modificaciones en tales aplicaciones.

Control interno en un contexto con sistemas

de bases de datos
Propiedad de los datos: es necesaria la asignacin, clara y
bien definida, por el administrador de la base de datos, de
las responsabilidades relativas a la precisin e integridad de
cada dato.

Acceso a los datos: Existencia de restricciones de acceso a

los datos.

Adecuada definicin de los perfiles de usuarios.

Adecuada segregacin de tareas de tcnicos, diseadores,
administrativos y usuarios.

Seguridad en la recuperacin de los datos (restauracin de

la base de datos).

Sistemas Integrados
ERP

Qu es ERP?
Aplicaciones informticas, que adems de la
produccin,
controlan
los
aspectos
financieros, logsticos y de recursos humanos
de manera integrada, tanto con referencia a
los datos como a los procedimientos
operativos.
Afecta a toda la empresa y controla los
recursos necesarios para la gestin integral de
la misma.

Evolucin
Sistemas integrados
No trabajar sobre los procesos de
cada sector. - Observar la totalidad del
proceso.
Trabajar sobre los datos.
Captura de datos en la fuente ingreso de la informacin UNA sola
vez.

ERP Modelo Genrico

los procesos son comunes a grandes, medianas o pequeas...
Proceso
Aprovisionamiento

Provedores

Elaboracin

Entrega

Bienes o servicios

Clientes

Dinero
Informacin
... aunque existen otros procesos de negocio complementarios
Procesos de captacin de clientes
Procesos de calidad y mejora continua.
Procesos de innovacin.
Procesos de atencin al cliente.

Modelo SAP R/3

SAP Plataformas Soportadas

Ventajas ERP
Integrar la informacin financiera.
Estandarizar y acelerar los procesos de
manufactura.
Reducir el inventario.
Estandarizar la informacin de Recursos
Humanos.
Las transacciones requieren de menor
tiempo.
Los costos relativos se ven disminuidos.

Inconvenientes
Implantar un sistema ERP requiere una
inversin importante.
Hay que dedicar mucho tiempo y esfuerzo
por parte de toda la empresa.
Hay que planificar muy bien la forma de
integrar un sistema ERP.
El posible fracaso de la implantacin esta
mas en los propios empleados que en el
software utilizado.

Empresas en el Mercado

ERP

Fte:Encuesta Information Technology 2006

Sistemas On Line
Se accede a los datos y programas directamente a
travs de terminales. Esto comprende mainframes
y pcs en redes.

Las principales actividades que realizan los

usuarios son:
Ingresar transacciones
Realizar consultas
Actualizar tablas de datos
Actividades de comercio electrnico (ver ejemplo)

Sistemas On Line
Se utilizan distintos tipos de terminales tales como:
Terminales de Equipos Centrales.
Terminales inteligentes
Pc`s
Terminales de punto de venta
Cajeros automticos (ATM)
Palm`s
Dispositivos de voz

Ubicacin Remota (red, red inalmbricas) permitiendo el

acceso simultneo a los mismos datos (comentar caso etoy`s)

La disponibilidad del sistema comprende tb. Sistema

operativo y dispositivos de acceso.

El Control Interno en Sistemas On Line

Existe una alta exposicin a los riesgos de

acceso y actualizacin no autorizados.

Los controles generales se vuelven muy

importantes.

Existencia de controles de acceso, sobre las

palabras
controles

clave,

sistemas

programados,

de

resguardo,
logs

transacciones, seguridad de redes.

de

El Control Interno en Sistemas On Line

Autorizacin para iniciar una transaccin. (tarjetas
de dbito).

Controles de edicin
Manejo adecuado de los errores y su comunicacin.
Controles de fecha (asignacin el perodo correcto).
Controles de archivos maestros.
Control de balanceo (totales de control)

CONCEPTO DE TABLAS
T a b la d e T r a n s a c c io n e s

Almacena la actividad del negocio

da a da
Son almacenadas frecuentemente
Guarda transacciones del tipo
Asientos
Comprobantes
Factura
Pagos
Estn codificadas por Unidad de
Negocio
Ejemplos en Contabilidad Gral:
Tabla de lneas de Asientos
Tabla de Mayor
38

T a b la s d e C o n tr o l

Almacena las LISTAS MAESTRAS de

informacin
Son bastante estticos y cambian
debido al mantenimiento
Guarda transacciones del tipo
Cuentas
Departamentos
rboles / Cdigos
Calendarios
La mayora estn codificadas por SetId
La mayora estn fechadas en forma
efectiva

TABLAS DE TRANSACCIONES
Unidad
Nmero de
de
Orden de
Negoci
Compra
o

Cdigo
Vendedor

Ident.
Item

Nombre del
Comprador

Cantidad
Pedida

M04A

SE40000907

5400012

Roberto Gomez

X1400

3,000

M04A

WT28900964

6792478

A.Gonzalez

Z3001

PBM1

PO58098

7600056

Luis Perez

E7003

20

H01

37839275893 2854498

A. X.

403972

500

39

TABLAS DE CONTROL
TABLA DEL VENDEDOR
Set ID

Vendedor
ID

Nombre Vendedor

Ciudad, Estado

Terminos de
Pago

MFG

5400012

Joes Supplies

New York, NY

NET45

MFG

7600056

Sallys Wholesale

Los Angeles, CA

NET30

MFG

2854498

Central Office
Supplies

New York, NY

NET 60

TABLA DEL ITEM

Set ID

40

Item ID

Descripcin

U de M

Categora

Color

MODEL

X1400

Skateboard

Cada uno

Sports Equip

Red-99

MODEL

E7003

In-Line Skates

Par

Sports Equip

Black-64

MODEL

403972

Basketball

Cada uno

Sports Equip

Orange-1

TABLAS DE CONTROL
Tablas Sistema
Controles y
Opciones
del Sistema

Opciones de
Instalacin
UniNeg GL

Definicin
Estructura
Contable

Definicin
Contabilidades
y calendarios

Informe y
Resumen
de Datos

Preparacin
Proceso
Asientos

Tipos Contables

Calendarios Det

Contab Resumidas

Orgenes Asientos

Valores Clave

Contab Detalladas

Calend Resumidos

Cd Entrada Auto

Pref Operador.

Reglas de Cierre

Estructura rbol

Programas

Seguridad
TableSet
UniNeg
Contabilidad

Repartos

Definicin rbol

Proceso
MultiMoneda

Intervalos

Controles TableSet
Cdigos Moneda
Cotizaciones
Clase Cambio
Unidades de
Medida

Tablas Control Contable

41

Saldo Medio
Diario

Consolidaciones
mbitos nVision

El efecto de Sistemas On Line

El riesgo se puede ver incrementado por:
Localizacin de las terminales.
El procesamiento en lnea aumenta las posibilidades de
realizar una modificacin no autorizada.

Acceso remoto.
Errores en la recuperacin ante cadas del sistema.
Transacciones no documentadas.
Dificulta el corte de operaciones para el posterior anlisis.

El efecto de los sistemas on line en los Proced.

de Auditora

El alcance de los procedimientos estar dado por las

caractersticas de diseo del sistema y la calidad de
los controles generales y de aplicacin.

Posibilidad

de

realizar

una

revisin

pre-

implementacin.

En el caso que el sistema contable sea alimentado

por otras aplicaciones es necesario extender el
anlisis a las mismas.

El efecto de Sistemas On Line

Revisin de la autorizacin, completitud y exactitud
de las transacciones.

Integridad de las transacciones y registros.

La posibilidad de incorporar herramientas de
auditora

Los procedimientos de auditora deberan incluir:

Especialistas en este tipo de sistemas.
Identificacin de las vas de acceso remoto.
Determinacin de impacto para establecer los riesgos.

El efecto de los Sistemas On Line en los Proced.

de Auditora

Ingreso

de

transacciones

para

realizar

comprobaciones y entender el comportamiento del

sistema. Mini compaa.

Revisin de aspectos de seguridad de acceso va

internet.

Comprobaciones luego del procesamiento en cuanto

autorizacin, completitud y exactitud.

Procedimientos sustantivos cuando se presumen

problemas de diseo y control.

Desarrollo Prctico

Caso
Automotriz

Conclusiones y Preguntas

?
?
?

?
?