OrgullO dOcente - Facultad de Estudios Superiores Cuautitlán
OrgullO dOcente - Facultad de Estudios Superiores Cuautitlán
OrgullO dOcente - Facultad de Estudios Superiores Cuautitlán
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
En la práctica profesional, me he encontrado empresas que hicieron<br />
<strong>de</strong>sarrollos <strong>de</strong> software, pero no tienen los programas fuente y se dan<br />
cuenta justo cuando necesitan urgentemente hacerle algún cambio.<br />
Marco Antonio Merino<br />
Director General <strong>de</strong> ExaAtto<br />
y reportar transacciones u otros datos<br />
financieros.<br />
Controles <strong>de</strong> Acceso. Procedimientos<br />
para restringir el acceso en línea a servidores,<br />
programas y datos <strong>de</strong> terminales.<br />
Los controles <strong>de</strong> acceso consisten en la<br />
“autenticidad <strong>de</strong>l usuario”, que típicamente<br />
radica en reconocer a un usuario<br />
mediante una i<strong>de</strong>ntificación exclusiva,<br />
contraseña, tarjeta <strong>de</strong> acceso o datos<br />
biométricos, al inicio <strong>de</strong> la sesión. La autorización<br />
<strong>de</strong>l usuario consiste en reglas<br />
<strong>de</strong> acceso para <strong>de</strong>terminar los recursos<br />
<strong>de</strong>l computador a los que pue<strong>de</strong> acce<strong>de</strong>r.<br />
Están diseñados para evitar o <strong>de</strong>tectar:<br />
• E nt radas <strong>de</strong> t ra n s acc ione s no<br />
autorizadas.<br />
• Cambios no autorizados a archivos<br />
<strong>de</strong> datos.<br />
• El uso <strong>de</strong> programas <strong>de</strong> computadora<br />
por personal no autorizado.<br />
• El uso <strong>de</strong> programas <strong>de</strong> computadora<br />
que no se hayan autorizado.<br />
De los conceptos anteriores, quiero<br />
ahondar en la comparación entre paquetes<br />
y <strong>de</strong>sarrollos. Cuando se <strong>de</strong>ci<strong>de</strong><br />
por hacer un <strong>de</strong>sarrollo, seguramente<br />
porque no hay paquete alguno que<br />
haga lo que se necesita; una vez elegido<br />
un lenguaje <strong>de</strong> programación para<br />
<strong>de</strong>sarrollarlo, se proce<strong>de</strong> a escribirlo y<br />
capturarlo en el equipo, grabándolo en<br />
algún medio, digamos un disco duro. Es<br />
como “pasarlo a máquina”, y este archivo<br />
se <strong>de</strong>nomina “programa fuente”. Una<br />
vez capturado se proce<strong>de</strong> a “compilarlo”,<br />
acción que en forma automática hace el<br />
equipo, usando el software proporcionado<br />
por el proveedor <strong>de</strong>l lenguaje, llamado<br />
“compilador”, que es un traductor que<br />
convierte el programa fuente al llamado<br />
“programa objeto”, que estará representado<br />
en “lenguaje máquina”, el único que<br />
entien<strong>de</strong>n las computadoras. Po<strong>de</strong>mos programador <strong>de</strong>scontento podría borrarlos,<br />
encontrar estos programas en nuestro<br />
así que hay que tenerlos respal-<br />
equipo, por ser aquellos con extensión dados. En realidad nunca <strong>de</strong>bería estar<br />
.exe (executable).<br />
junto con los sistemas en producción.<br />
Una vez compilado está listo para ser He visto casos en que una empresa<br />
ejecutado y revisados sus resultados por en esa situación carece <strong>de</strong> tiempo para<br />
los usuarios. Aquí conviene aclarar que: hacer un nuevo <strong>de</strong>sarrollo, no encuentra<br />
“Solo pue<strong>de</strong> ser modificado el programa<br />
un paquete que se lo resuelva y<br />
fuente y nunca el programa objeto”. Si prácticamente se encuentra paralizada.<br />
hay algún cambio o error, el programador<br />
Así, el Auditor, cuando se enfrenta<br />
proce<strong>de</strong> a corregir el programa fuente,<br />
con un cliente en que hay <strong>de</strong>sarrollos<br />
lo vuelve a compilar y ejecutar para <strong>de</strong> software, <strong>de</strong>berá indagar si existen<br />
una nueva revisión. Una<br />
los programas fuente, si<br />
vez terminado y aprobado,<br />
son propiedad <strong>de</strong> la em-<br />
el equipo no requiere<br />
presa y si están a buen<br />
el programa fuente para Cuando<br />
resguardo. Lo contrario<br />
trabajar, solo el objeto.<br />
¿Por qué interesa<br />
esto al Auditor? En la<br />
práctica profesional, me<br />
he encontrado empresas<br />
que hicieron <strong>de</strong>sarrollos<br />
<strong>de</strong> software, pero no tienen<br />
los programas fuente<br />
y se dan cuenta justo<br />
el Auditor se<br />
enfrenta con<br />
un cliente con<br />
<strong>de</strong>sarrollos <strong>de</strong><br />
software, <strong>de</strong>berá<br />
indagar si existen<br />
los programas<br />
fuente y si son <strong>de</strong><br />
su propiedad.<br />
pue<strong>de</strong> significar un riesgo<br />
<strong>de</strong> que la compañía <strong>de</strong>je<br />
<strong>de</strong> funcionar (Empresa en<br />
funcionamiento: NIA200-<br />
A51 y NIA570-6, 7 y A14).<br />
D e s <strong>de</strong> lue go que<br />
cuando se adquiere un<br />
paquete, el proveedor<br />
nunca va a entregar los<br />
cuando necesitan urgentemente<br />
programas fuente. Si hi-<br />
hacerle algún cambio, a veces cimos una a<strong>de</strong>cuada investigación so-<br />
por motivos fiscales o legales. En estas bre la seriedad, solvencia, estabilidad,<br />
ocasiones las empresas no tuvieron la referencias, etcétera, <strong>de</strong> dicho proveedor,<br />
precaución <strong>de</strong> incluir en los contratos <strong>de</strong><br />
no los necesitamos. Parte <strong>de</strong> su<br />
<strong>de</strong>sarrollo <strong>de</strong> software con terceros, una negocio es tener listas, cualquier tipo<br />
cláusula que especifique que “los programas<br />
<strong>de</strong> modificaciones necesarias a sus pa-<br />
fuente serán propiedad <strong>de</strong>l cliente” quetes, para ven<strong>de</strong>rlas a sus clientes o<br />
(nunca <strong>de</strong>l proveedor). Incluso, una vez instalarlas como parte <strong>de</strong> un contrato <strong>de</strong><br />
concluido el sistema, las empresas <strong>de</strong>berían<br />
mantenimiento.<br />
registrar dichos programas fuente NIA620. Utilización <strong>de</strong>l trabajo <strong>de</strong> un<br />
ante la Dirección General <strong>de</strong> Derechos experto. “A4.- Pue<strong>de</strong> resultar necesario<br />
<strong>de</strong> Autor, para mayor seguridad jurídica. un experto para la obtención <strong>de</strong>l conocimiento<br />
Si los programas fueron <strong>de</strong>sarrollados<br />
<strong>de</strong> la entidad y su entorno,<br />
por empleados <strong>de</strong> la empresa no incluido su control interno”. Po<strong>de</strong>mos<br />
está <strong>de</strong> más incluir una cláusula en el usar los servicios <strong>de</strong> un informático,<br />
contrato <strong>de</strong> trabajo, especificando que propio o subcontratado, para aspectos<br />
“los <strong>de</strong>sarrollos hechos por el empleado<br />
<strong>de</strong> TI que estén fuera <strong>de</strong> las capacida<strong>de</strong>s<br />
son propiedad <strong>de</strong> la empresa”. Un <strong>de</strong>l<br />
Auditor.<br />
junio 2013 ‹ veritas › 27