APUNTES SOBRE AUDITORIA DE SISTEMAS

COMPUTARIZADOS
1.- D E F I N I C I Ó N D E S IS T E MA
Del latín systema, un sistema es módulo ordenado de elementos que se encuentran
interrelacionados y que interactúan entre sí. El concepto se utiliza tanto para definir
a un conjunto de conceptos como a objetos reales dotados de organización.

Un sistema conceptual o ideal es un conjunto organizado de definiciones, símbolos

y otros instrumentos del pensamiento (como las matemáticas, la notación musical y
la lógica formal).

Un sistema real, en cambio, es una entidad material formada por componentes

organizados que interactúan de forma en que las propiedades del conjunto no
pueden deducirse por completo de las propiedades de la partes (denominadas
propiedades emergentes).

Los sistemas reales comprenden intercambios de energía, información o materia con

su entorno. Las células y la biosfera son ejemplos de sistemas naturales. Existen tres
tipos de sistemas reales: abiertos (recibe flujos de su ambiente, adaptando su
comportamiento de acuerdo a esto), cerrados (sólo intercambia energía con su
entorno) y aislados (no realiza ningún tipo de intercambio con su entorno).

La Teoría General de Sistemas, por su parte, es el estudio interdisciplinario que

busca las propiedades comunes a estas entidades. Su desarrolló comenzó a mediados
del siglo XX, con los estudios del biólogo austriaco Ludwig von Bertalanffy. Se la
considera como una metateoría (teoría de teorías) que parte del concepto abstracto
de sistema para encontrar reglas de valor general.

También puede mencionarse la noción de sistema

informático, muy común en las sociedades modernas. Este
tipo de sistemas denominan al conjunto de hardware,
software y soporte humano que forman parte de una empresa
u organización. Incluyen ordenadores con los programas
necesarios para procesar datos y las personas encargadas de
su manejo.
2.- Un sistema de información (SI) es un conjunto de elementos orientados al
tratamiento y administración de datos e información, organizados y listos para su uso
posterior, generados para cubrir una necesidad o un objetivo. Dichos elementos formarán
parte de alguna de las siguientes categorías:

 Personas;
 Actividades o técnicas de trabajo;
 Datos;
 Recursos materiales en general (recursos informáticos y de comunicación,
generalmente, aunque no necesariamente).

Todos estos elementos interactúan para procesar los datos (incluidos los procesos manuales
y automáticos) y dan lugar a información más elaborada, que se distribuye de la manera más
adecuada posible en una determinada organización, en función de sus objetivos. Si bien la
existencia de la mayor parte de sistemas de información son de conocimiento público,
recientemente se ha revelado que desde finales del siglo XX diversos gobiernos han
instaurado sistemas de información para el espionaje de carácter secreto.

Habitualmente el término "sistema de información" se usa de manera errónea como sinónimo

de sistema de información informático, en parte porque en la mayoría de los casos los
recursos materiales de un sistema de información están constituidos casi en su totalidad por
sistemas informáticos. Estrictamente hablando, un sistema de información no tiene por qué
disponer de dichos recursos (aunque en la práctica esto no suela ocurrir). Se podría decir
entonces que los sistemas de información informáticos son una subclase o un subconjunto de
los sistemas de información en general.

 1 Definición
 2 Componentes básicos
 3 Generalidades
 4 Actividades
 5 Ciclo de vida
 6 Tipos
o 6.1 Desde un punto de vista empresarial
o 6.2 Sistemas de información estratégicos
o 6.3 Otra clasificación, según el entorno de aplicación
o 6.4 Sistemas de información de espionaje
 7 Aplicación de los sistemas de información
 8 Estudio de los sistemas de información
 9 Véase también
 10 Notas y referencias
o 10.1 Bibliografía
o 10.2 Enlaces externos
Definición
Sistema de información se entiende como el conjunto de tecnologías, procesos, aplicaciones
de negocios y software disponibles para las personas dentro de una organización.

Componentes básicos
Un sistema de información debe cumplir con los siguientes componentes básicos
interactuando entre sí:

 el hardware, equipo físico utilizado para procesar y almacenar datos,

 el software y los procedimientos utilizados para transformar y extraer información,
 los datos que representan las actividades de la empresa,
 la red que permite compartir recursos entre computadoras y dispositivos,
 las personas que desarrollan, mantienen y utilizan el sistema.

Los sistemas de información son una combinación de tres partes principales: las personas,
los procesos del negocio y los equipos de tecnologías de la información.1

Generalidades
El término "sistemas de información" hace referencia a un concepto genérico que tiene
diferentes significados según el campo del conocimiento al que se aplique dicho concepto, a
continuación se enumeran algunos de dichos campos y el sentido concreto que un SI tiene en
ese campo:

 En geografía y cartografía, un Sistema de Información Geográfica (SIG) se utiliza

para integrar, almacenar, editar, analizar, compartir y desplegar información
georreferenciada. Existen muchas aplicaciones de tipo SIG, desde ecología y
geología, hasta las ciencias sociales.
 En informática, un sistema de información es cualquier sistema informático que se
utilice para obtener, almacenar, manipular, administrar, controlar, procesar, transmitir
o recibir datos, para satisfacer una necesidad de información.
 En matemáticas y teoría de conjuntos difusos, un sistema de información es un
sistema de atributo-valor.
 En matemáticas, dentro de la teoría de dominios, un sistema de información Scott
(por su inventor Dana Scott) es una estructura matemática que provee una
representación alternativa de un dominio Scott, como un caso especial, de retículos
algebraicos.
 En representación del conocimiento, un sistema de información consiste de tres
componentes: humano, tecnológico y organizacional. Bajo esta perspectiva,
información se define en términos de tres niveles de semiótica.
o Datos que pueden ser procesados automáticamente por un sistema de
aplicaciones corresponden al nivel de sintaxis.
 o En el contexto de un individuo que interpreta los datos, estos son convertidos
en información, lo que corresponde al nivel semántico.
o La información se convierte en conocimiento cuando un individuo conoce
(entiende) y evalúa la información (por ejemplo para una tarea específica),
esto corresponde al nivel pragmático.
 En seguridad computacional, un sistema de información está descrito por tres
componentes:2
o Estructura:
 Interfaces, que permiten el intercambio de información con el mundo
no digital, tales como teclados, altavoces, monitores, escáneres,
impresoras, etc.
 Repositorios, que almacenan los datos permanente o temporalmente,
tales como búfer de datos (buffers), memoria de acceso aleatorio
(RAM), discos duros, caché, etc.
o Canales, que conectan los repositorios entre sí, tales como "buses", cables,
enlaces inalámbricos, etc. Una red de trabajo es un conjunto de canales físicos
y lógicos.
o Comportamiento:
 Mensajes, que acarrean un contenido o significado hacia los usuarios
internos o servicios.
 Servicios, los cuales proveen algún valor a los usuarios o a otros
servicios mediante el intercambio de mensajes.
 En sociología, los sistemas de información son sistemas sociales cuyo
comportamiento está fuertemente influenciado por los objetivos, valores y creencias
de los individuos y grupos, así como por el desempeño de la tecnología.3
 En teoría de sistemas, un sistema de información es un sistema, automatizado o
manual, que abarca personas, máquinas, y/o métodos organizados de recolección de
datos, procesamiento, transmisión y diseminación de datos que representa
información para el usuario.

Actividades
Existen cuatro actividades en un sistema de información que producen la información que
esas organizaciones necesitan para tomar decisiones, controlar operaciones, analizar
problemas y crear nuevos productos o servicios. Estas actividades son:

1. Recopilación: captura o recolecta datos en bruto tanto del interior de la organización

como de su entorno externo.
2. Almacenamiento: guardar de forma estructurada la información recopilada.
3. Procesamiento: convierte esa entrada de datos en una forma más significativa.
4. Distribución: transfiere la información procesada a las personas o roles que la usarán.

Los sistemas de información también requieren retroalimentación, que es la salida que se

devuelve al personal adecuado de la organización para ayudarle a evaluar o corregir la etapa
de entrada.
Los sistemas de información deben ser evaluados ya sea con base en su utilidad, la cual se
define como el grado en que un sistema de información mejora el desempeño del individuo
o analizando la calidad del sistema de información (facilidad de uso, confiabilidad,
flexibilidad) y la calidad de la información que provee (relevante, comprensible, completa y
a tiempo), mediado por el uso del sistema de información y la satisfacción del usuario.4

Ciclo de vida
Existen pautas básicas para el desarrollo de un sistema de información para una organización:

 Codificación: con el algoritmo ya diseñado, se procede a su reescritura en un lenguaje

de programación establecido (programación) en la etapa anterior, es decir, en códigos
que la máquina pueda interpretar y ejecutar.
 Conocimiento de la organización: analizar y conocer todos los sistemas que forman
parte de la organización, así como los futuros usuarios del sistema de información.
En las empresas (fin de lucro presente), se analiza el proceso de negocio y los
procesos transaccionales a los que dará soporte el SI.
 Determinar las necesidades: este proceso también se denomina licitación de
requerimientos. En el mismo, se procede identificar a través de algún método de
recolección de información (el que más se ajuste a cada caso) la información relevante
para el sistema de información que se propondrá.
 Diagnóstico: en este paso se elabora un informe resaltando los aspectos positivos y
negativos de la organización. Este informe formará parte de la propuesta del sistema
de información y, también, será tomado en cuenta a la hora del diseño.
 Diseño del sistema: una vez aprobado el proyecto, se comienza con la elaboración
del diseño lógico del sistema de información; la misma incluye: el diseño del flujo de
la información dentro del sistema, los procesos que se realizarán dentro del sistema,
el diccionario de datos, los reportes de salida, etc. En este paso es importante para
seleccionar la plataforma donde se apoyará el SI y el lenguaje de programación a
utilizar.
 Identificación de problemas y oportunidades: el segundo paso es relevar las
situaciones que tiene la organización y de las cuales se puede sacar una ventaja
competitiva (Por ejemplo: una empresa con un personal capacitado en manejo
informático reduce el costo de capacitación de los usuarios), así como las situaciones
desventajosas o limitaciones que hay que sortear o que tomar en cuenta (Por ejemplo:
el edificio de una empresa que cuenta con un espacio muy reducido y no permitirá
instalar más de dos computadoras).
 Implementación: este paso consta de todas las actividades requeridas para la
instalación de los equipos informáticos, redes y la instalación de la aplicación
(programa) generada en la etapa de Codificación.
 Mantenimiento: proceso de retroalimentación, a través del cual se puede solicitar la
corrección, el mejoramiento o la adaptación del sistema de información ya creado a
otro entorno de trabajo o plataforma. Este paso incluye el soporte técnico acordado
anteriormente.
 Propuesta: contando ya con toda la información necesaria acerca de la organización,
es posible elaborar una propuesta formal dirigida hacia la organización donde se
 detalle: el presupuesto, la relación costo-beneficio y la presentación del proyecto de
desarrollo del sistema de información.

Tipos
Debido a que el principal uso que se da a los sistemas de información es el de optimizar el
desarrollo de las actividades de una organización con el fin de ser más productivos y obtener
ventajas competitivas, en primer término, se puede clasificar a los sistemas de información
en:

 sistemas competitivos,
 sistemas cooperativos,
 sistemas que modifican el estilo de operación del negocio.

Esta clasificación es muy genérica, y en la práctica no obedece a una diferenciación real de

sistemas de información reales, ya que en la práctica podríamos encontrar alguno que cumpla
varias (dos o las tres) de las características anteriores. En los subapartados siguientes se hacen
unas clasificaciones más concretas (y reales) de sistemas de información.

Desde un punto de vista empresarial[editar]

Modelo de la pirámide.

La primera clasificación se basa en la jerarquía de una organización y se llamó el modelo de

la pirámide.5 Según la función a la que vayan destinados o el tipo de usuario final del mismo,6
los sistemas de información pueden clasificarse en:

 Sistema de procesamiento de transacciones (TPS): gestiona la información referente

a las transacciones producidas en una empresa u organización, también se le conoce
como Sistema de Información operativa.
 Sistemas de información ejecutiva (EIS): herramienta orientada a usuarios de nivel
gerencial, que permite monitorizar el estado de las variables de un área o unidad de
la empresa a partir de información interna y externa a la misma. Es en este nivel
 cuando los sistemas de información manejan información estratégica para las
empresas.7
 Sistemas de información gerencial (MIS): orientados a solucionar problemas
empresariales en general.
 Sistemas de soporte a decisiones (DSS): herramienta para realizar el análisis de las
diferentes variables de negocio con la finalidad de apoyar el proceso de toma de
decisiones.

Evolución de los sistemas de información a lo largo del tiempo.

Estos sistemas de información no surgieron simultáneamente en el mercado; los primeros en

aparecer fueron los TPS, en la década de los 60, sin embargo, con el tiempo, otros sistemas
de información comenzaron a evolucionar. Los primeros proporcionan información a los
siguientes a medida que aumenta la escala organizacional.

 Sistema experto (SE): emulan el comportamiento de un experto en un dominio

concreto.
 Sistema Planificación de Recursos (ERP, Enterprise Resource Planning): cuyo
objetivo es la planificación de los recursos de una organización. Típicamente esto se
lo ha utilizado en empresas productivas que han seguido metodologías de
planificación MRPII. El objetivo es tener claramente identificado como llegar a los
productos finales desde la materia prima; es decir desde un inventario de materia
prima e insumos poder determinar la cantidad que llegaremos a generar de productos
finales para ponerlos a disposición del mercado}. Integran la información y los
procesos de una organización en un solo sistema.
 Sistemas de automatización de oficinas (OAS): aplicaciones destinadas a ayudar al
trabajo diario del administrativo de una empresa u organización.

Los últimos fueron los SE, que alcanzaron su auge en los años 1990 (aunque estos últimos
tuvieron una tímida aparición en los años 1970 que no cuajó, ya que la tecnología no estaba
suficientemente desarrollada).

Sistemas de información estratégicos

Puede ser considerado como el uso de la tecnología de la información para respaldar o dar
forma a la estrategia competitiva de la organización, a su plan para incrementar o mantener
la ventaja competitiva o bien para reducir la ventaja de sus competidores.
Su función primordial es crear una diferencia con respecto a los competidores de la
organización (o salvar dicha diferencia) que hagan más atractiva a ésta para los potenciales
clientes. Por ejemplo, en la banca, hace años que se implantaron los cajeros automáticos,
pero en su día, las entidades que primero ofrecieron este servicio disponían de una ventaja
con respecto a sus competidores, y hoy día cualquier entidad que pretenda ofrecer servicios
bancarios necesita contar con cajeros automáticos si no quiere partir con una desventaja con
respecto al resto de entidades de este sector. En este sentido, los cajeros automáticos se
pueden considerar sistemas de información estratégicos.

Su función es lograr ventajas que los competidores no posean, tales como ventajas en costos
y servicios diferenciados con clientes y proveedores. Apoyan el proceso de innovación de
productos dentro de la empresa. Suelen desarrollarse dentro de la organización, por lo tanto
no pueden adaptarse fácilmente a paquetes disponibles en el mercado. Entre las
características más destacables de estos sistemas se pueden señalar:

 Cambian significativamente el desempeño de un negocio al medirse por uno o más

indicadores clave, entre ellos, la magnitud del impacto.
 Contribuyen al logro de una meta estratégica.
 Generan cambios fundamentales en la forma de dirigir una compañía, la forma en que
compite o en la que interactúa con clientes y proveedores.

Si los recursos tecnológicos están heterogéneamente distribuidos a lo largo de la competencia

y si a las compañías que carecen de éstos les es más costoso desarrollarlos, adquirirlos y
usarlos para implementar una estrategia en comparación con las empresas que ya los han
usado para implementar esa misma estrategia, estos recursos pueden ser utilizados como
fuente de ventaja competitiva sostenida.8

Otra clasificación, según el entorno de aplicación

Entorno decisional: este es el entorno en el que tiene lugar la toma de decisiones; en una
empresa, las decisiones se toman a todos los niveles y en todas las áreas (otra cosa es si esas
decisiones son estructuradas o no), por lo que todos los SI de la organización deben estar
preparados para asistir en esta tarea, aunque típicamente, son los DSS los que se encargan de
esta función. Si el único sistema de información de una compañía preparado para ayudar a la
toma de decisiones es el DSS, éste debe estar adaptado a todos los niveles jerárquicos de la
empresa.

 Entorno transaccional: una transacción es un suceso o evento que crea/modifica los

datos. El procesamiento de transacciones consiste en captar, manipular y almacenar
los datos, y también, en la preparación de documentos; en el entorno transaccional,
por tanto, lo importante es qué datos se modifican y cómo, una vez que ha terminado
la transacción. Los TPS son los sistemas de información típicos que se pueden
encontrar en este entorno.
Sistemas de información de espionaje
Artículos principales: PRISM y Echelon.

Si bien la mayor parte de sistemas de información operan con el conocimiento de los agentes
sobre los que se recaba información (sistemas públicamente conocidos), el auge de las
comunicaciones electrónicas ha hecho que proliferen sistemas secretos de espionaje como
por ejemplo el programa PRISM por el cual la Agencia de Seguridad Nacional (NSA)
instituida por el gobierno estadounidense ha operado desde 2007, espiando a líderes y
presidentes de otros países (aliados y adversarios de Estados Unidos), y se ha afirmado que
tiene capacidad para interceptar decenas de miles de comunicaciones telefónicas por minuto.
Gran parte de lo que se conoce sobre dicho sistema de información se conoció a partir del
escándalo por las filtraciones de Edward Snowden (2013).

Previamente, el parlamento europeo había abierto comisiones de investigación sobre

sistemas de intercepción de comunicaciones electrónicas, conocido actualmente como
Echelon, operada conjuntamente por Estados Unidos, Canadá, Reino Unido, Australia y
Nueva Zelanda.

Aplicación de los sistemas de información

Los sistemas de información tratan el desarrollo, uso y administración de la infraestructura
de la tecnología de la información en una organización.

En la era post-industrial, la era de la información, el enfoque de las compañías ha cambiado

de la orientación hacia el producto a la orientación hacia el conocimiento, en este sentido el
mercado compite hoy en día en términos del proceso y la innovación, en lugar del producto.
El énfasis ha cambiado de la calidad y cantidad de producción hacia el proceso de producción
en sí mismo, y los servicios que acompañan este proceso.

El mayor de los activos de una compañía hoy en día es su información, representada en su

personal, experiencia, conocimiento, innovaciones (patentes, derechos de autor, secreto
comercial). Para poder competir, las organizaciones deben poseer una fuerte infraestructura
de información, en cuyo corazón se sitúa la infraestructura de la tecnología de información.
De tal manera que el sistema de información se centre en estudiar las formas para mejorar el
uso de la tecnología que soporta el flujo de información dentro de la organización. Un sistema
de información debe brindar la totalidad de los elementos que conforman los datos, en una
estructura robusta, flexible ante los futuros cambios y homogénea.
3.-Antecedentes Históricos
Contenidos:

1. Introducción
2. Un poco de Historia
o Breve y simplificada historia de la administración
o Computación y Empresa
3. Aplicaciones Típicas
4. Cobol e IBM
5. Metodología
6. Conclusión

Introducción
Como se indicó en la definición, los Sistemas de Información son requeridos para poder dar
apoyo al proceso de toma de decisiones de las organizaciones. Desde esta perspectiva debe
ser absolutamente claro que toda organización requiere de Sistemas de Información, y los
requiere durante toda su existencia... Lo único que va a cambiar en el tiempo, es la forma en
que se implementarán estos sistemas.

Por supuesto, estamos hablando de incorporación tecnológica, no se debe olvidar que muchos
de los temas que se hablarán en esta sección, no son registrados en nuestro pais (de hecho,
muchos de ellos no tienen sentido en otro lugar que no sea USA).

Un poco de Historia
Al analizar la llegada de la informática a las empresas, es bueno considerar dos ámbitos
importantes, por una parte está la evolución de las teorías de la administración y en el otro
frente de batalla, la llegada de la computación a las empresas.

Breve y simplificada historia de la administración

Sin pretender hacer un análisis exhaustivo de las teorías de administración (materia propia
de otros ramos), es necesario observar algunos hitos importantes que han influido en el
acercamiento al término: "informática" y su importante relación con las organizaciones.

Es fácil imaginar que en las primeras empresas, aquellas llevadas a cabo por nuestros
ancestros prehistóricos, simplemente se lanzaban en pos de un objetivo (posiblemente una
pieza de cacería que les diera de comer) de la misma manera que funcionan las manadas de
animales salvajes: todos al ataque en forma instintiva. En esos muy primitivos tiempos, el
éxito o fracaso de las empresas se medían directamente según la sobrevivencia o muerte de
la tribu.
Con los primeros atisbos de inteligencia, ellos deben haber descubierto que era una muy
buena idea seleccionar a los mejores cazadores y enviarlos a ellos a cazar, mientras que los
miembros restantes de la tribu se dedicaban a otras labores. Se descubrió entonces que era
necesario tomar algunas decisiones (¿cuánto cazar?; ¿dónde hacerlo?) y que para ello se
necesitaba información (a cuántos debemos alimentar, dónde está la tribu); sin embargo, en
una tribu de tamaño reducido, era relativamente fácil poder manejar esos datos. Al igual que
con los ancestros menos iluminados, la medición del éxito o fracaso en la gestión tribal, se
hacía en función de la sobrevivencia.

Un importante problema surgió cuando la tribu alcanzó un tamaño tal, que ya no era tan claro,
para quienes tomaban las decisiones, cuántos eran los miembros, a quiénes se les dio de
comer (y quiénes faltan). En ese momento, la necesidad, actuó como madre de la inventiva
y generó los medios necesarios para poder mantener actualizada esta información. Desde los
"nudos" incáicos hasta los papiros egipcios, cumplieron la misma función. La idea era contar
y si se llevaba bien la cuenta, entonces se tenía cierta certeza respecto del éxito de la empresa
que se emprendiera... Desde cuidar ovejas hasta construir pirámides o imperios. Dependiendo
de la empresa, se necesitaría de más o menos "contadores" que asegurarán que todo estaba
bien.

Esto debe haber funcionado bien por varios siglos, hasta que las empresas crecieron tanto
que ya no bastaba con los medios antes indicados. La segunda guerra mundial marcó el inicio
de la era de las empresas multinacionales (los "aliados" son la primera gran empresa
multinacional), donde la distribución de los recursos -la mayoría de las veces escasos- a
distintas partes del mundo, era la clave fundamental para presumir el éxito o fracaso de la
misión. En este estado de las cosas, fue necesario sistematizar a fondo el proceso de control
de recursos y con ello se definieron una serie de tareas repetitivas que eran necesarias para
mantener este control.

Es en este momento en que queda claro que una empresa no sobrevive sólo en función de su
producto o servicio, sino que tanto la supervivencia como el éxito de la empresa depende en
buena parte del soporte administrativo de la organización. Surge entonces la sección
"Administración y Finanzas", que en muchas organizaciones consume casi el 60% de los
recursos que se han invertido en la empresa. Y no es raro que a la hora de aumentar la
inversión, sea esta área la que obtiene los mayores recursos.

Computación y Empresa

No obstante lo anterior, no se debe perder de vista el objetivo principal de las organizaciones,

que es "vender" su producto o servicio.

Para ello, las empresas buscan otorgar un soporte adecuado al proceso productivo, el cual se
caracteriza (en la mayoría de los casos) por la repetición de tareas específicas y muy bien
especificadas. Es decir, no sólo con pocos objetivos muy bien definidos, sino que con una
definición muy precisa de la metodología a seguir para alcanzar el objetivo.
Desde esta perspectiva, fue claro que ciertas empresas de gran volumen, consideraron la
inclusión de mecanismos computarizados, para que tomaran el control de algunas de estas
tareas altamente repetitivas y de mínimo nivel de necesidad de usar "intelecto". Otras,
consideraron el uso de elementos computarizados para el control y registro de volúmenes de
producción.

La aparición de estos elementos, que en su mayoría eran simples contadores mecanizados,

trajo consigo un efecto que no se puede olvidar. Hasta antes que llegara la "máquina", había
un ser humano haciendo ese trabajo (que por muy embrutecedor que fuera, igual era una
fuente de trabajo).

Esta situación generó el primer antecedente histórico que se debe tener en cuenta: El miedo
a perder el empleo luego de la incorporación tecnológica (situación muchas veces
utilizada por jefaturas mediocres, para justificar ciertos despidos que la empresa requiere por
otras razones, pero que no se atreven a enfrentar). Lo anterior, se debe analizar con cuidado
y, al momento de analizar la incorporación de tecnología en los Sistemas de Información
(fundamentalmente computacional), se debe recordar que el efecto de pérdida de empleos, se
produce principalmente entre los "blue collar" ("cuellos azules" que es la forma en la que se
denomina al trabajador de producción, debido al uso de overoles de ese color), que debido a
la naturaleza repetitiva de su trabajo son "reemplazables" por la máquina; Muy diferente es
la situación de los "White collar", ("cuellos blancos", que es la forma en que se denomina al
personal de administración y finanzas, así como a los gerentes, pues usan camisas,
habitualmente blancas), quienes tienen un trabajo dual, por una parte la repetitiva
recopilación y actualización de información ("reemplazable" computacionalmente) y por otra
de análisis e interpretación de la información para la toma de decisiones (que no es tan
"reemplazable", al menos no sólo con Sistemas de Información, ni siquiera con Sistemas
Expertos)

Aplicaciones Típicas
Logrado el primer acercamiento de la computación a las empresas, rápidamente se empezó a
ganar terreno dentro de la organización. Y el primer interesado en utilizar nuevas tecnologías,
fueron los responsables de la administración y las finanzas... Y los proyectos en los que
mayor disponibilidad había para invertir eran los de estas unidades.

Administración y Finanzas es, como se dijo, la unidad "regalona" de la mayoría de las

organizaciones (mal que mal, ahí también están los gerentes). Tanto así, que muchas de las
organizaciones sólo empezaron a considerar el uso de la computación, como herramienta de
apoyo a estas unidades.
De esta forma, surgieron las aplicaciones típicas, que hasta el día de hoy, siguen liderando,
con mucha ventaja, el rating de los desarrollos más habituales:

 Contabilidad: Control de Recursos (La Reina de las Aplicaciones)

 Presupuestos: Previsiones respecto del movimiento de recursos
 Activo Fijo / Inventario: Control de asignación y uso de aquellos recursos de mayor
valía ($)
 Conciliación Bancaria: Conciliación entre lo indicado en Contabilidad y los Bancos.
 Sueldos / Remuneraciones: Definición de mecanismos de pago a los empleados
(básicamente es una gran "calculadora" y un registro histórico de información... Su
dificultad radica en la forma que toman los cálculos)
 Personal: Mantención de toda la información de las personas que trabajan o prestan
servicios. (Debiera ser la base de información para Sueldos)
 Adquisiciones / Proveedores: El proceso de evaluación de alternativas para la
adquisición de insumos. (Debiera estar muy vinculado o ser parte del sistema de
Contabilidad)
 Bodega / Inventario: El control de todos los insumos que han sido adquiridos,
mientras aún no son asignados a una actividad específica.
 Ventas / Clientes: El control de los clientes y de los productos que se les han vendido
o servicios que se les han prestado.

Es interesante notar que en esta lista se dejó, conscientemente, al final el sistema de Ventas
y/o Control de Clientes. Esto es, paradójicamente, lo que ocurre en gran cantidad de empresas
que si bien han dado gran importancia a todo el proceso de inversión y gasto de recursos, no
dan la misma importancia a los procesos de venta.

Lo anterior se debe a la creencia (muchas veces errónea) de que los procesos de salida
(compras y sueldos) son perfectamente presupuestables, mientras que los de entrada,
dependerán de una serie de factores más allá del control de la empresa. Por otra parte, influye
mucho el que se haya llegado a un nivel de estandarización en los procesos de salida,
principalmente por el interés del Estado (en todos los países) de establecer principios de
control estándares para el cobro de los impuestos.

Se ha dicho antes y se repetirá después, pero al ser uno de los aspectos más importantes de
los SI, nunca será excesivo: Cualquier Sistema puede ser realizado si se cuentan con recursos
infinitos (Tiempo y $).

Otro punto muy reiterado es que los SI están directamente ligados a los procesos de toma de
decisiones de las organizaciones. La decisión de implementar un SI de determinada forma
(al presentimiento del ejecutivo, de forma manual, utilizando herramientas computacionales
estándares, desarrollo de sistemas propios) dependerá, en definitiva, del nivel de importancia
que la organización asigne a la información.
Cobol e IBM
Desde la misma perspectiva utilizada, al analizar la historia del ingreso de la computación a
la empresa, debemos recordar que la administración de empresas, no estaba entre los
objetivos de la ciencia computacional. Cuando se empezaron a desarrollar los lenguajes de
programación, estos daban una mayor prioridad al cálculo y procesamiento matemático. Sin
embargo, al abrirse los horizontes a los procesos de negocios, se desarrolló un lenguaje que,
hasta el día de hoy, es el más utilizado en el desarrollo de SI: Cobol. Siendo un lenguaje
extremadamente estructurado, probablemente es el lenguaje que define las instrucciones más
largas de digitar, aún para tareas relativamente sencillas. ("ADD 1 TO IVAR.") Este aspecto
de estructuración es, posiblemente, la causa de que el código COBOL sea uno de los más
estables y soportados en el mundo. No sólo eso, también las estructuras de datos COBOL,
han sido las más resistentes para el soporte de aplicaciones. No hay muchos lenguajes o
soportes de almacenamiento de datos que puedan decir algo parecido. En resumen simple:
COBOL funciona.

Sin embargo, la cantidad de código necesario para un programa COBOL (producto del nivel
de estructuración) hacía que los proyectos fueran de largo aliento, sin que los niveles de
estructuración del código forzarán un sistema bien estructurado, muy por el contrario, es
común encontrar código críptico, aparentemente sin lógica, con miles de parches, cada vez
que a un usuario se le ocurrió un requerimiento nuevo. Con consideraciones de ejecución que
rayan en lo ridículo, como por ejemplo, que el reporte de salida de un programa, se ordena
("sort"ea) utilizando el sistema operativo y luego se usa como entrada de un segundo proceso.

Junto a COBOL, creció una de las plataformas más confiables de entre aquellas disponibles
en su tiempo. La plataforma IBM, produjo la mayor cantidad de mainframes instalados en
las empresas, aún cuando se tratase de una plataforma cerrada y que requería desde
una instalación específica hasta contratar/capacitar a personal especializado para la operación
de la plataforma (compuesta hasta no hace mucho tiempo atrás, por máquinas que parecían
máquinas de lavaseco, refrigeradores de restaurante y roperos de tres cuerpos de tía
ricachona).

Al igual que COBOL, IBM no está ahí porque sí, está porque funciona, y a la hora de tener
una aplicación crítica, que debe prestar servicios en la norma 24x7 (veinticuatro horas al día,
los siete días de la semana) IBM es de las plataformas confiables. Además se agrega el
concepto de empresa transnacional que toma muy en serio su imagen de marca.

Un aspecto que se debe analizar con cuidado, pues a primera vista aparece como negativo,
es aquél relacionado con los requisitos de instalación (salas especialmente equipadas) y de
personal especialista para su operación normal. Si bien esto implica que la empresa debe
incurrir en un gasto mayor, también ha sido una de las principales garantías de buen
funcionamiento de los equipos y los sistemas por ellos soportados. Muchos de los problemas
que hoy se tienen en ciertas instalaciones, se habrían solucionado con una preocupación
mínima en los aspectos de instalación y operación.
En una información revelada a fines del año 2000, se indicó que unos piratas computacionales
europeos, habían extorsionado por años a varias empresas norteamericanas. Las empresas
debían pagar si no querían que estos piratas revelaran la información que habían obtenido de
los servidores Windows NT de esas empresas. Cuando se reclamó a Microsoft por esto, los
expertos de Microsoft dijeron que ellos sabían del problema de seguridad y habían colocado
en Internet, en forma gratuita para todo aquel que los deseara bajar, los "parches" necesarios
para solucionar el problema. De hecho, se comprobó que los parches estaban disponibles
desde mucho antes que esos piratas entraran en las bases de datos... ¿qué ocurrió?, muy
simple, esas empresas tenían personal insuficientemente entrenado, que "no sabía" que en
forma regular se publican, en internet, parches para NT (y otros sistemas operativos, no sólo
de Microsoft) y por ello las instalaciones eran "vulnerables".

Metodología
No sólo productos y plataformas, deben ser analizados en la mirada histórica. Más
importante, es la definición de la forma en que se deben hacer las cosas, la metodología

La conclusión de la sección "Aplicaciones Típicas", debiera ser clara y conforma uno de los
antecedentes históricos más importantes: Los sistemas se han desarrollado en diferentes
tiempos, en distintos momentos tecnológicos.

Diferentes tecnologías, distintas herramientas, otras formas de pensar, diversos paradigmas

en el desarrollo de los sistemas, confabulan para crear una situación bastante caótica en
muchas organizaciones que ya llevan algunos años invirtiendo en herramientas
computacionales. Así, integrar los diferentes sistemas (que a veces son soportados por
elementos de hardware incompatibles entre sí) no sólo es complicado, puede llegar a ser
imposible.

Tampoco se debe olvidar que la disponibilidad de hardware, hace tan sólo 10 años atrás, no
era tan vasta, estandarizada ni barata (en términos de costo/beneficio) como lo es hoy. Al
inicio de 1990, disponer de 100MB era casi un lujo. 1GB estaba fuera de toda discusión, sólo
disponibles para unos pocos. (No está de más recordar aquella frase célebre, de un director
de IBM en la década del 50: "creo que en el mundo, sólo hay mercado para unos cinco
mainframes"). De esta forma, en la década de los 80, el proyecto de incorporación de
computación a la toma de decisiones, pasaba por una fuerte evaluación económica de la
necesidad de invertir en Hardware (que el que se tenía, estaba destinado 100% al sistema que
lo adquirió) y de personal experto para mantener en funciones este equipo.

A lo anterior, se suma el irrefrenable interés del personal de informática por poseer los
elementos de última tecnología. Aun cuando no haya ninguna justificación para incorporarlos
a la empresa. Esto lleva a incrementar el plexo de tecnologías disponibles... y los costos
involucrados en computación.

Así, los diversos proyectos de incorporación de la computación, se vieron enfrentados entre

si (eran muy pocas las organizaciones en condiciones de enfrentar más de un proyecto a la
vez), donde el proyecto perdedor, podía quedar en espera por varios años y donde no era
extraño que todos los proyectos de este tipo quedaran relegados en el fondo del cajón, al
punto de que ninguna empresa fue realmente capaz de presupuestar en el tiempo el desarrollo
de sus sistemas, (los famosos planes de informática quedaban obsoletos, recién terminados).
Las empresas intentaron opciones de desarrollo interno (la unidad informática) con proyectos
hechos a medida de la disponibilidad de los recursos internos, o de compra de desarrollos
externos, a pedido, a empresas distintas, sin conceptos metodológicos (se debe recordar que,
sólo decir "análisis estructurado", es casi como decir "computación", maravillosamente
ambiguo).

Se comprende entonces, que los usuarios de cada sistema, hayan adquirido un sentimiento
parecido al de aquel matrimonio que, después de muchos intentos, logran concebir a su
primer hijo... No sólo amor, también un sentimiento protector que obliga a defender el
proyecto de cualquier intervención externa, aunque sea la opinión del vecino de oficina (que
podría ser un agente encubierto intentando atacar a "nuestro niño", de manera de que se
desmorone y puede demostrar que "el otro proyecto era mejor"). Esta paranoia (que no era
tan exagerada, pues quienes la sentían, ya se habían comportado así respecto de los proyectos
del vecino), define otro de los antecedentes históricos que se debe tener presente: las
aplicaciones han sido desarrolladas dentro de la verticalidad organizacional, sin relación las
unas con las otras...

Lo anterior, no sería tan malo, pero al relacionarse con otros antecedentes tiene un efecto
muy negativo. Se debe recordar, por ejemplo, que por un simple problema de costos, las
organizaciones donde siempre ha habido mayor disponibilidad para estos proyectos, son
organizaciones grandes, la mayoría de ellas, muy jerarquizadas (con una larga cadena de
mando entre la gerencia y los administrativos que manejan la información). Esta distancia
jerárquica, más un cierto grado de indiferencia en la gerencia (muchas veces confundida con
la necesaria distancia para prevenir los rumores de favoritismo), confabuló para dejar este
proyecto en manos de un subjefe de la subsección... del departamento..., del área... etc. De
esta forma, el "cliente" del proyecto, en realidad es un usuario operativo, sin autoridad en la
toma de decisiones, que (de muy buena fe, sin duda, pero sin ninguna preparación) cree
interpretar las necesidades de sus jefes. De esta forma, las aplicaciones se construyeron sobre
la base de requerimientos de usuarios operativos, sin consultas en los niveles de toma de
decisiones, y sin capacidad de generar las políticas necesarias para aprovecharlas. Por ello,
estas aplicaciones no se transformaron en las "herramientas estratégicas" prometidas, sino,
desde la perspectiva gerencial, en simples y caros reemplazos del papel y los lápices.

Y lo anterior, sólo desde la perspectiva de las organizaciones que necesitan los SI... También
se debe mirar que ocurría por el lado de los desarrolladores...

Ya se indicó al inicio de esta sección, lo más importante es la definición de la forma de hacer

las cosas. Y se puede entender que el cliente o el usuario, carezcan de metodología, a ellos
les interesa una solución a su problema de manejo de información para la toma de decisiones
(aún cuando un cliente realmente interesado en una solución, tiene mucho que decir en cuanto
a estándares, como se verá más adelante en el capítulo de Análisis de Requerimientos). Son
los desarrolladores los responsables de dar una respuesta integral en este punto.
Cuando se estudia con ojo crítico la historia del desarrollo de sistemas, se observa que uno
de los aspectos que más destaca, tiene relación con el sentimiento paternal que los usuarios
desarrollaban (desarrollan ¿?) respecto de los SI, ya que en forma paralela, los programadores
desarrollaban (desarrollan ¿?) un sentimiento maternal, que no deja de lado el "dolor" del
parto (que ocurriría al momento de entregar la versión medianamente definitiva). Se debe
entender que teniendo "padre" y "madre", los sistemas no sólo son defendidos a brazo partido
de los ataques externos, ambos padres toman para sí, el "compromiso" de apoyar el proceso
de crecimiento de su "hijo", al punto de ser sobreprotectores, por una parte y asumir/crear el
sentimiento de ser indispensables para el correcto funcionamiento del sistema. Esto último,
lleva a programadores y usuarios a conspirar (a veces, inconscientemente), al punto de
idear/aceptar ciertos procesos e interfaces complicadas, que les garanticen una gran dificultad
al momento de reemplazarlos. E incluso a seguir aceptando nuevos requerimientos ("a no, el
sistema es totalmente inútil, a menos que saque en forma automática el reporte A25, que se
debe emitir una vez al año") y alargando así el desarrollo del proyecto, ojalá hasta el fin de
la eternidad.

Hay que considerar que el problema anterior, no es un error de usuarios y/o programadores,
aun cuando es una situación indeseable, está plenamente documentada desde hace bastante
tiempo. El error es de los respectivos jefes de proyecto, que no toman las providencias
necesarias para minimizar este problema (en términos generales, basta con no abandonarlos
a su suerte, asegurando que los requerimientos se toman cuando y como corresponde;
generando un diseño que cubra todos los requerimientos y proveyendo de mecanismos de
respuesta que involucren a los jefes de proyecto ante los nuevos requerimientos).

Lo anterior se debe complementar con un hecho cierto, la mayor parte de los Ingenieros de
Proyecto (normalmente, los jefes de proyecto) o desprecian la labor de programación o
simplemente les es indiferente (esto no debe interpretarse como si se despreciara a los
programadores, que no es así; es sólo la constatación de haber superado una etapa que, por
lo demás, muchos de ellos nunca vivieron). Así cuando se acaba el proceso de diseño inicial
(y se inicia la etapa de construcción), tienden a dejar que el programador resuelva aspectos
"menores" como son, sacar un listado o ajustar un formato de pantalla o reporte. (Aun cuando
ello implique variaciones del diseño tanto en estructuras de datos como de programas).

Peor aún, cuando muchos desarrollos se hicieron sin que nunca se involucrará un "jefe de
proyecto", sin menoscabar la labor del rol programador, su misión es construir, no la de
diseñar. Y aunque hay buenos diseños hechos por personas que nunca recibieran mayor
capacitación que la de programador, estos son casos aislados, realizados bajo la inspiración
de "artista" y no de la rigurosidad metodológica, que a la larga es lo más necesario.

Así se presenta el último de los antecedentes históricos a tener presentes: No se ha utilizado

metodología, o peor aún se ha hecho un análisis desestructurado, que pintaba para
metodología, pero que no es.
Conclusión
Es importante resumir algunos de los aspectos más importantes de estos antecedentes
históricos:

 Miedo a perder el empleo luego de la incorporación de tecnología.

 Desarrollo de aplicaciones típicas, supuestamente estandarizadas en el mercado.
 Herramientas excesivamente estructuradas, que no forzaban sistemas bien
estructurados.
 Plataformas independientes, e incluso incompatibles entre sí.
 Sistemas desarrollados en momentos tecnológicos, o de paradigmas distintos.
 Aplicaciones desarrolladas dentro de la verticalidad organizacional, sin relación entre
ellas.
 Aplicaciones totalmente abandonadas de estándares de desarrollo y/o interfaz.
 Aplicaciones construidas sobre la base de requerimientos de usuarios operativos.
 Sistemas "hijos" de usuarios "padre" y programadores "madre".
 Proyectos de desarrollo extendidos en el tiempo, superando cualquier planificación.
 Ausencia de metodologías.

Esto pinta un cuadro bastante complicado, que hasta el día de hoy sigue causando
dificultades.

Se debe luchar contra sentimientos muy fuertes de los usuarios ("a noooo, el sistema anterior,
era infinitamente superior") sentimiento que van a traspasar al nuevo sistema, en cuanto se
inicie un nuevo proyecto de desarrollo.

Se debe hacer frente a un importante grado de rechazo a la planificación, pues los usuarios
"saben" que el nuevo sistema no va estar listo en las fechas acordadas (sobre todo, porque
muchas veces, las fechas son acordadas por gente sin mayor preparación en el área
informática y sin consultar a los expertos "total, después arreglamos las fechas, sobre la
marcha se estiba la carga")

Pero, por sobre todo, se debe luchar a brazo partido contra la fuerte costumbre de desarrollar
sin hacer caso (o haciendo caso omiso) a la metodología. Si se avanzara en esta única área,
se lograría un importante avance.
4. TIPOS DE SISTEMAS DE INFORMACIÓN.
MAPA DE SISTEMAS TRANSACCIONALES DE
UNA ORGANIZACIÓN TIPO

Durante los próximos años, los Sistemas de Información cumplirán tres objetivos básicos dentro de las
organizaciones:
 Automatización de procesos operativos.
 Proporcionar información que sirva de apoyo al proceso de toma de decisiones.
 Lograr ventajas competitivas a través de su implantación y uso.

Los Sistemas de Información que logran automatización de procesos operativos dentro de una organización,
son llamados frecuentemente Sistemas Transaccionales, ya que su función primordial consiste en procesar
transacciones tales como pagos, cobros, pólizas, entradas, salidas, etcétera. Por otra parte, los Sistemas de
Información que apoyan el proceso de toma de decisiones son los Sistemas de Soporte a la Toma de Decisiones
(DSS), Sistemas para la Toma de Decisiones de Grupo (GDSS), Sistemas Expertos de Soporte a la Toma de
Decisiones (EDSS) y Sistemas de Información para Ejecutivos (EIS). El tercer tipo de sistemas, de acuerdo
con su uso u objetivos que cumplen, es el de los Sistemas Estratégicos, los cuales se desarrollan en las
organizaciones con el fin de lograr ventajas competitivas, a través del uso de la tecnología de información.

Los tipos y usos de sistemas de información se muestran en la figura 3

A continuación se mencionan las principales características de estos tipos de Sistemas de Información.

Sistemas transaccionales

Sus principales características son:

 A través de éstos suelen lograrse ahorros significativos de mano de obra, debido a que automatizan
tareas operativas de la organización.
 Con frecuencia son el primer tipo de Sistemas de Información que se implanta en las organizaciones.
Se empieza apoyando las tareas a nivel operativo de la organización para continuar con los mandos
intermedios y posteriormente con la alta administración conforme evolucionan.
 Son intensivos en entrada y salida de información; sus cálculos y procesos suelen ser simples y poco
sofisticados. Estos sistemas requieren mucho manejo de datos para poder realizar sus operaciones y
como resultado generan también grandes volúmenes de información.
 Tienen la propiedad de ser recolectores de información, es decir, a través de estos sistemas se cargan
las grandes bases de información para su explotación posterior. Estos sistemas son los encargados
de integrar gran cantidad de la información que se maneja en la organización, la cual será utilizada
posteriormente para apoyar a los mandos intermedios y altos.
 Son fáciles de justificar ante la dirección general, ya que sus beneficios son visibles y palpables. El
proceso de justificación puede realizarse enfrentando ingresos y costos. Esto se debe a que en el
corto plazo se pueden evaluar los resultados y las ventajas que se derivan del uso de este tipo de
sistemas. Entre las ventajas que pueden medirse se encuentra el ahorro de trabajo manual.
 Son fácilmente adaptables a paquetes de aplicación que se encuentran en el mercado, ya que
automatizan los procesos básicos que por lo general son similares o iguales en otras organizaciones.
Ejemplos de este tipo de sistemas son la facturación, nóminas, cuentas por cobrar, cuentas por pagar,
contabilidad general, conciliaciones bancarias, inventarios, etcétera.

Sistemas de Apoyo a las Decisiones

Las principales características de estos sistemas son las siguientes:

 Suelen introducirse después de haber implantado los Sistemas Transaccionales más relevantes de la
empresa, ya que estos últimos constituyen su plataforma de información.
 La información que generan sirve de apoyo a los mandos intermedios y a la alta administración en el
proceso de toma de decisiones.
 Suelen ser intensivos en cálculos y escasos en entradas y salidas de información. Así, por ejemplo,
un modelo de planeación financiera requiere poca información de entrada, genera poca información
como resultado, pero puede realizar muchos cálculos durante su proceso.
  No suelen ahorrar mano de obra. Debido a ello, la justificación económica para el desarrollo de estos
sistemas es difícil, ya que no se conocen los ingresos del proyecto de inversión.
 Suelen ser Sistemas de Información interactivos y amigables, con altos estándares de diseño gráfico
y visual, ya que están dirigidos al usuario final.
 Apoyan la toma de decisiones que, por su misma naturaleza son repetitivas y de decisiones no
estructuradas que no suelen repetirse. Por ejemplo, un Sistema de Compra de Materiales que indique
cuándo debe hacerse un pedido al proveedor o un Sistema de Simulación de Negocios que apoye la
decisión de introducir un nuevo producto al mercado.
 Estos sistemas pueden ser desarrollados directamente por el usuario final sin la participación
operativa de los analistas y programadores del área de Informática.
 Este tipo de sistemas puede incluir la programación de la producción, compra de materiales, flujo de
fondos, proyecciones financieras, modelos de simulación de negocios, modelos de inventarios,
etcétera.

Sistemas Estratégicos

Sus principales características son:

 Su función primordial no es apoyar la automatización de procesos operativos ni proporcionar
información para apoyar la toma de decisiones. Sin embargo, este tipo de sistemas puede llevar a
cabo dichas funciones.
 Suelen desarrollarse in house, es decir, dentro de la organización, por lo tanto no pueden adaptarse
fácilmente a paquetes disponibles en el mercado.
 Típicamente su forma de desarrollo es con base a incrementos y a través de su evolución dentro de
la organización. Se inicia con un proceso o función en particular y a partir de ahí se van agregando
nuevas funciones o procesos.
 Su función es lograr ventajas que los, competidores no posean, tales como ventajas en costos y
servicios diferenciados con clientes y proveedores. En este contexto, los Sistemas Estratégicos son
creadores de barreras de entrada al negocio. Por ejemplo, el uso de cajeros automáticos en los bancos
es un Sistema Estratégico, ya que brinda ventaja sobre un banco que no posee tal servicio. Si un
banco nuevo decide abrir sus puertas al público, tendrá que dar este servicio para tener un nivel
similar al de sus competidores.
 Apoyan el proceso de innovación de productos y procesos dentro de la empresa, debido a que buscan
ventajas respecto a los competidores y una forma de hacerlo es innovando o creando productos y
procesos.

Un ejemplo de estos Sistemas de Información dentro de la empresa puede ser un sistema MRP (Manufacturing
Resource Planning) enfocado 9 a reducir sustancialmente el desperdicio en el proceso productivo, o bien, un
Centro de Información que proporcione todo tipo de información; como situación de créditos, embarques,
tiempos de entrega, etcétera. En este contexto los ejemplos anteriores constituyen un Sistema de información
Estratégico si, y sólo si, apoyan o dan forma a la estructura competitiva de la empresa.

Por último, es importante aclarar que algunos autores consideran un cuarto tipo de Sistemas de Información
denominado Sistemas Personales de Información, el cual está enfocado a incrementar la productividad de sus
usuarios. Dentro de esta clasificación se encuentran las hojas de cálculo, los sistemas de procesamiento de
palabras, utilización de agendas, calendarios, etcétera. Para efectos de este libro, los Sistemas Personales de
información serán considerados como herramientas de trabajo que apoyan la productividad de los usuarios.
5.- Tipos y clasificación de los sistemas de información
empresarial
Conceptualización importante
Antes de involucrarnos de lleno al tema citado anteriormente, es importante conocer algunos conceptos
importantes para la óptima comprensión del tema.

Datos: hechos coleccionados, sin procesar y que son identificados simbólicamente con letras, números,
valores, resultados, etc.

Información: hechos procesados dotados de relevancia y con algún propósito, dentro del entorno en el que
se desarrollan y que presentan algún valor.

Sistema: módulo de elementos que se encuentran interrelacionados, ordenados y que interactúan entre sí.

Sistema de Información: encargado de brindar información con algunos atributos importantes que
ayudan a realizar alguna operación, tomar una decisión, en el momento que se necesita.

Atributos de la información

 Comprensión: Debe ser entendible.

 Economicidad: Mínimo costo para obtener esta información.
 Confianza: Calidad de datos y fuentes de información.
 Relevancia: Útil.
 Completitud: Todo el contenido adecuado e importante.
 Verificabilidad Puede ser comprobada.
 Oportunidad: Entregada a la persona que la requiere (tiempo y forma).
 Nivel de detalle: Presentación y formato requerido.

Clasificación de los Sistemas Información

Clasificación de los Sistemas de Información

Soporte a las actividades operativas:

 Para actividades estructuradas (aplicaciones de gestión empresarial).
 Actividades menos estructuradas (programas técnicos para funciones de ingeniería, aplicaciones
ofimáticas, etc.)

Soporte a las decisiones y el control de gestión:

Que se pueden dar desde las aplicaciones de gestión empresarial o a través de aplicaciones específicas.

Área donde se aplican estos sistemas:

Áreas de la empresa: recursos humanos, marketing, etc.

Tipos de sistemas de información

 ERP: Enterprise Resource Planning: sistemas de gestión integrados que controlan los procesos de toda
la empresa (RH, finanzas, producción, etc.)
 CRM: Customer Relationship Management: gestión de la relación con clientes y contactos comerciales.
 Business Intelligent: Explotación de datos e información para la toma de decisiones.
 TPS: Transaction Processing Systems: Procesos de transacciones y operaciones.
 MIS: Management Information Systems: diferencia entre los sistemas de información.
 BPM: Business Process Management: diseño, ejecución y control de procesos.
 DATAWAREHOUSING: Almacenamiento de datos procedentes de varias fuentes.
 DATAMINING: Detección y muestra de relaciones entre los datos y obtener cierto tipo de información.
 QUERIES AND REPORTING: Consultas e Informes de las BD relacionales.
 BALANCED SCORECARD: Cuadro de Mando Integral: planificación y control que permite generar
estrategias y comprobar su ejecución.
 WEBSITE CORPORATIVO: Proyección de imagen corporativa, comunicación, coordinación y
operaciones empresariales.
 GESTIÓN DOCUMENTAL; Soporte a todas las fases de todos los sistemas de gestión documental.
 SCM: Supply Chain Management: automatización de la cadena de suministros de la organización.
 CTI: Computer Telephony Integration: Integración entre los sistemas informáticos y los sistemas de
comunicación telefónica.
 GIS: Geographical Information System (Sistemas de Información Informática) sistema a la gestión de
información geográfica (graficas de mapas).
 SGSI: Sistema de Gestión de Seguridad de la Información: gestión de seguridad de la información.
 EDI: Electronic Data Interchange: Intercambio de información a nivel logístico y comercial.
 CAD: Computer Aided Desing (Diseño Asistido por Ordenador).

Componente humano
Como sabemos en una empresa anteriormente, el componente principal era el llamado “HUMANWARE” o el
personal encargado de las tareas planificadas en la estructura organizacional, informáticamente hablando.

Sin embargo hoy en día el uso de distintos sistemas de información ha ido desplazando esta tendencia, pues
cada vez se requiere un menor número de trabajadores para cumplir con las obligaciones empresariales.
Sin embargo no deja de ser de suma importancia, pues llevan a cabo el diseño, desarrollo, implantación,
explotación, supervisión, dirección de estos sistemas.

Un sistema de información no cumpliría su objetivo si no hay a quien brindarle la información resguardada o

generada.

La gran desventaja que brinda esta variedad, es la constante capacitación a la que son sometidos los empleados
encargados de estos sistemas, pues cada día surgen innovaciones que ofrecen una ventaja competitiva ante los
oponentes del mercado.

A pesar de esto, son mayores los beneficios que se tienen, pues se tiene un control específico y minucioso de
todos los procesos, documentos, control financiero, entre otros de la empresa.

Aunque cada vez se requiere menos el componente humano, este sigue siendo la base de los sistemas de
información, por la gran importancia que adquieren al tener la decisión final o la llamada “toma de decisiones”.

6.- Normas Internacionales de Auditoría *

Control Interno

401. AUDITORÍA EN UN AMBIENTE DE SISTEMAS DE INFORMACIÓN

COMPUTARIZADO

Introducción

El propósito de esta Norma Internacional de Auditoría (NIA) es establecer normas y

proporcionar lineamientos sobre los procedimientos que deben seguirse cuando se
conduce una auditoría en un ambiente de sistemas de información computarizado
(SIC) Para fines de las NIAs, un ambiente SIC existe cuando está involucrada una
computadora de cualquier tipo o tamaño en el procesamiento de información financiera
de importancia para la auditoría, ya sea que dicha computadora sea operada por la
entidad o por un tercero.

El auditor deberá considerar como afecta a la auditoría un

ambiente SIC.

El objetivo y alcance globales de una auditoría no cambia en un ambiente

SIC. Sin embargo, el uso de una computadora cambia el procesamiento,
almacenamiento y comunicación de la información financiera y puede
afectar los sistemas de contabilidad y de control interno empleados por la
entidad. Por consiguiente, un ambiente SIC puede
afectar:

• Los procedimientos seguidos por un auditor para obtener una

comprensión suficiente de los sistemas de contabilidad y de control
interno.

• La consideración del riesgo inherente y del riesgo de control a

través del cual el auditor llega a la evaluación del riesgo.

• El diseño y desarrollo por el auditor de pruebas de control y

procedimientos sustantivos apropiados para cumplir con el objetivo de la
auditoría.

Habilidad y competencia

El auditor debería tener suficiente conocimiento del SIC para

planear dirigir, supervisar y revisar el trabajo desarrollado. El
auditor debería considerar si se necesitan habilidades
especializadas en SIC en una auditoría. Estas pueden necesitarse
para:

• Obtener una suficiente comprensión de los sistemas de contabilidad y

de control interno afectados por el ambiente SIC.

• Determinar el efecto del ambiente SIC sobre la evaluación del riesgo

global y del riesgo al nivel de saldo de cuenta y de clase de transacciones.

• Diseñar y desempeñar pruebas de control y procedimientos sustantivos

apropiados.

Si se necesitan habilidades especializadas, el auditor buscaría la ayuda de

un profesional con dichas habilidades, quien puede pertenecer al personal
del auditor o ser un profesional externo. Si se planea el uso de dicho
profesional, el auditor debería obtener suficiente evidencia
apropiada de auditoría de que dicho trabajo es adecuado para los
fines de la auditoría, de acuerdo con NIA "Uso del trabajo de un
experto".
Planeación

De acuerdo con NIA " Evaluaciones del Riesgo y Control Interno"

el auditor debería obtener una comprensión de los sistemas de
contabilidad y de control interno, suficiente para planear la
auditoría y desarrollar un enfoque de auditoría efectivo.

Al planear las porciones de la auditoría que pueden ser afectadas

por el ambiente SIC del cliente, el auditor debería obtener una
comprensión de la importancia y complejidad de las actividades
de SIC y la disponibilidad de datos para uso en la auditoría.

Cuando el SIC es significativo, el auditor deberá también obtener

una comprensión del ambiente SIC y de si puede influir en la
evaluación de los riesgos inherentes y de control. La naturaleza de
los riesgos y las características del control interno en ambientes SIC
incluyen lo siguiente:

 Falta de rastros de las transacciones.

 Procesamiento uniforme de transacciones.
 Inadecuada segregación de funciones.
 Potencial para errores e irregularidades.

Evaluación del Riesgo

De acuerdo con NIA "Evaluación del riesgo y control interno", el

auditor debería hacer una evaluación de los riesgos inherentes y
de control para las aseveraciones importantes de los estados
financieros.
Procedimientos de Auditoría

De acuerdo con NIA " Evaluaciones del riesgo y control interno" el

auditor debería considerar el ambiente SIC al diseñar los
procedimientos de auditoría para reducir el riesgo de auditoría a
un nivel aceptablemente bajo.

Los objetivos específicos de auditoría del auditor no cambian ya sea que los datos de
contabilidad se procesen manualmente o por computadora. Sin embargo, los métodos
de aplicación de procedimientos de auditoría para reunir evidencia pueden ser
influenciados por los métodos de procesamiento computarizado. El auditor puede usar
procedimientos de auditorías manuales, técnicas de auditoría con ayuda de
computadora, o una combinación de ambos para obtener suficiente material de
evidencia. Sin embargo, en algunos sistemas de contabilidad que usan una computadora
para procesar aplicaciones significativas, puede ser difícil o imposible para el auditor
obtener ciertos datos para inspección, investigación, o confirmación sin la ayuda de la
computadora.

7.- Deontología del Auditor Informático y Códigos Éticos.

Se refiere a las normas éticas o morales así como normas materiales que regulan los
deberes y derechos de los ciudadanos.

Ética: Parte de la Filosofía que trata de las obligaciones morales del hombre y
analiza el problema del bien y el mal. Es una ciencia normativa que sirve de base a la
Filosofía práctica.

Mora

l: Ciencia que trata del bien y de las acciones humanas en orden a su bondad o
malicia. No concierne al orden jurídico, sino al fuero interno o al respeto humano.

Deontología

Código Deontológico

Conjunto de preceptos que establecen los deberes exigibles a aquellos profesionales

que ejerciten una determinada actividad, tienen como finalidad incidir en sus
comportamientos profesionales estimulando que éstos se ajusten a determinados
principios morales que deben serviles de guía, elaborados por los propios
profesionales en el marco de los colegios, asociaciones o agrupaciones que los
representen.

1. Beneficio del Auditado

El auditor deberá ver cómo se puede conseguir máxima eficacia y rentabilidad de los
medios informáticos de la empresa auditada (Cliente). Obligado a presentar
RECOMENDACIONES actividad orientada a lograr el máximo provecho de su
cliente, no anteponer intereses personales del auditor (actitud no ética) así como
debe ser independiente de marcas, productos, etc.

2. Calidad

El auditor presta sus servicios según las posibilidades de la ciencia y los medios a su
alcance, en condiciones técnicas adecuadas con precariedad de medios, negarse a
realizar la auditoría hasta que se garantice un mínimo de condiciones técnicas que
no comprometan la calidad de sus servicios.

Puede pedir informe de otro técnico más cualificado en algún aspecto puntual para
reforzar la calidad y fiabilidad global de la auditoría.

3. Capacidad

El auditor debe estar plenamente capacitado para realizar la auditoría encomendada,

puede incidir en la toma de decisiones del cliente, sus conocimientos evolucionarán
según las TI.

4. Cautela

El auditor consciente de que sus recomendaciones deben basarse en la experiencia

contrastada que posee, evitando que el auditado se embarque en proyectos basados
en simples intuiciones sobre la posible evolución de las TI.

5. Comportamiento Profesional

El auditor debe actuar conforme a las normas de dignidad de la profesión y de

corrección en el trato personal y evitar caer en exageraciones o atemorizaciones
innecesarias, transmitiendo una imagen de precisión y exactitud en sus comentarios,
cuando precise el asesoramiento de otros expertos deberá acudir a ellos, deberá
guardar respeto por la política empresarial del auditado.

6. Concentración en el Trabajo

El auditor debe evitar que un exceso de trabajo supere sus posibilidades de

Concentración y precisión en las tareas a realizar, no debe asumir aquellos trabajos

que no tenga tiempo de realizar con las debidas garantías de calidad.

Así como evitar “reproducción” de otros trabajos, sí contrastar.

7. Confianza
Consiste en facilitar e incrementar la confianza del auditado en base a una actuación
transparente en su actividad profesional, aceptar las indicaciones del auditado como
válidas (excepto contradicciones), disponer de diálogo por ambas partes para aclarar
dudas sobre aspectos conflictivos que pudieran surgir así como un buen lenguaje al
nivel de comprensión del auditado.

8. Criterio Propio

Consiste en no subordinar su criterio al de otros profesionales, reflejar las

divergencias de criterio con dichos profesionales y respetar las críticas de terceros.

9. Discreción

Consiste en la divulgación de los datos, especialmente cuando dichos datos pudieran

afectar a la intimidad o profesionalidad de las personas concernidas por los mismos
o a intereses empresariales.

10 Economía

Consiste en evitar generar gastos innecesarios en el ejercicio de su actividad, evitar

dilaciones innecesarias, tener en cuenta medios materiales o humanos, eludiendo
utilizar aquellos que no se precisen, delimitar en la forma más concreta el alcance y
los límites de la auditoría y rechazar ampliaciones del trabajo en marcha.

11 Formación Continuada

Consiste en mantener una permanente actualización de sus conocimientos y

métodos para adecuarlos a la demanda y a las exigencias de la competencia de la
oferta.

12 Fortalecimiento y Respecto de la Profesión

Loa auditores cuidarán del reconocimiento del valor de su trabajo y de la correcta

valoración de la importancia de los resultados obtenidos con el mismo,
remuneración acorde con la preparación del auditor y con el valor añadido que
aporta el auditado con su trabajo, y evitar la competencia desleal, promover el
respeto mutuo y la no confrontación entre compañeros denuncia de
comportamientos indebidos.

13 Independencia

Consiste en actuar libremente según su leal saber y entender, garantía de que los
intereses del auditado serán asumidos con objetividad, rechazo de criterios con los
que no esté de acuerdo

14 Información Suficiente
Obligación del auditor de aportar, en forma detalladamente clara, precisa e
inteligible para el auditado, información sobre los aspectos de la auditoría con
interés para el auditado y sobre las conclusiones, evitar datos intrascendentes,
compromiso con las conclusiones, indicando los defectos observados, líneas de
actuación recomendadas y dudas que se le plantean.

15 Integridad Moral

Obligación del auditor a ser honesto, leal y diligente en el desempeño de su misión,

ajustarse a las normas de justicia y evitar participar en actos de corrupción personal
o de terceras personas no utilizar los conocimientos adquiridos durante la auditoría
en contra del auditado o de terceras personas.

16 Legalidad

Consiste en evitar utilizar sus conocimientos para facilitar la contravención de la

legalidad vigente, no desactivar o eliminar dispositivos de seguridad, ni intentar
obtener claves de acceso a áreas restringidas de información.

17 Libre Competencia

Es el rechazo de prácticas tendentes a impedir la legítima competencia de otros

profesionales y las prácticas abusivas y evitar los aprovechamientos indebidos del
trabajo y reputación de otros en beneficio propio.

18 No Discriminación

Consiste en evitar situaciones discriminatorias de ningún tipo, evitar cualquier tipo

de condicionantes personalizados y actuar con independencia de los beneficios
obtenidos del auditado, de las simpatías personales o de cualquier otra
circunstancia, igualdad de trato profesional con la totalidad de personas con las que
tenga que relacionarse independientemente de su categoría, estatus empresarial, etc.

19 No Injerencia

Consiste en evitar injerencias en los trabajos de otros profesionales, respetar su labor

y eludir hacer comentarios que pudieran interpretarse como, despreciativos, evitar
aprovechar los datos obtenidos de la auditoría para entrar en competencia desleal
con profesionales relacionados con ella de otras áreas del conocimiento.

20 Precisión

No finalización del trabajo del auditor hasta estar convencido de la viabilidad de sus
propuestas, conclusiones suficientemente críticas, poniendo aquellos aspectos,
concretos que pudieran tener incidencia en la calidad y fiabilidad del la auditoría.
21 Publicidad Adecuada

Consiste en evitar campañas publicitarias que puedan desvirtuar la realidad de los

servicios, enmascaren los límites de los mismos, o prometan resultados de
imprevisible consecución.

22 Responsabilidad

Deberá responsabilizarse de lo que haga, diga o aconseje, impulsar la formalización

y suscripción de seguros que cubran la responsabilidad civil de los auditores con
cobertura suficiente, la responsabilidad del auditor conlleva la obligación de
resarcimiento de los daños o perjuicios que pudieran derivarse de una actuación
negligente o culpable, siendo aconsejable estipular a priori un tope máximo de
responsabilidad sobre los posibles daños acorde con la remuneración acordada como
contraprestación por la realización de la auditoría.

23 Secreto Profesional

No difundir a terceras personas ningún dato que haya visto, oído o deducido durante
el desarrollo de su trabajo que pudiera perjudicar a su cliente, siendo nulos cualquier
pacto contractual que pretendieran excluir dicha obligación, establecimiento de
medidas y mecanismos de seguridad para garantizar al auditado que la información
documentada va a quedar almacenada en entornos o soportes que impidan la
accesibilidad a la misma por terceras personas no autorizadas, no es vulneración del
secreto profesional, transmisión de datos confidenciales del auditado a otros
profesionales cuando sea petición del mismo, conservación de informes durante un
plazo prudencia, difusión (científica o divulgativa) de los problemas detectados en la
auditoría y las soluciones a los mismos si se disgregan los datos, tal que no pueden
asociarse los mismos a personas o empresas determinadas.

24 Servicio Público

Hacer lo que esté en su mano para evitar daños sociales (p.e. virus informático) que
puedan propagarse a otros sistemas informáticos diferentes del auditado. El auditor
deberá advertir de la existencia de dichos virus para que se tomen las medidas
oportunas, pero sin descubrir la procedencia de su información.

25 Veracidad

Asegurar la veracidad de sus manifestaciones al auditado, con los límites impuestos

por los deberes de respeto, corrección y secreto profesional.

Los Auditores Certificados de S.I. deberán:

Apoyar el establecimiento y cumplimiento de normas, procedimientos y Controles
de las auditorías de S.I.

Cumplir con las Normas de Auditoría de S.I., según la ISACF

Actuar en interés de sus empleadores, accionistas, clientes y público en general de

forma diligente, leal y honesta, y no contribuir a sabiendas en actividades ilícitas o
incorrectas

Mantener la confidencialidad de la información obtenida durante sus deberes. La

información no deberá ser utilizada en beneficio propio o divulgada a terceros no
legitimados.

Cumplir con sus deberes en forma independiente y objetiva, y evitar toda actividad
que comprometa o parezca comprometer su independencia

Mantener su capacidad en los campos relacionados con la auditoría y os S.I.

mediante la participación en actividades de capacitación profesional.

Los Auditores Certificados de S.I. Deberán (continuación):

Cumplir con sus deberes en forma independiente y objetiva, y evitar toda actividad
que comprometa o parezca comprometer su independencia.

Mantener su capacidad en los campos relacionados con la auditoría y los S.I.

mediante la participación en actividades de capacitación profesional.

Ejercer sumo cuidado al obtener y documentar material suficiente sobre el cual basar
sus conclusiones y recomendaciones.

Informar a las partes involucradas del resultado de las tareas de auditoría que se
hayan realizado.

Apoyar la entrega de conocimientos a la dirección, clientes y al público en general

para mejorar su comprensión de la auditoría y los S.I.

Mantener altos estándares de conducta y carácter tanto en las actividades

profesionales como en las privadas.

1.- Conducta profesional

Dignidad, reputación y alta evaluación social de la profesión

2.- Integridad profesional

Ningún miembro intentará, en forma desleal, realizar actos en detrimento de la

reputación, interés o perspectivas de otros miembros, y actuará, en todo momento,
en forma íntegra con la Asociación, sus miembros y los miembros de otras
profesiones con los que pudiera relacionarse en su ejercicio profesional.

3.- Interés público

Todo miembro en cumplimiento de su responsabilidad para con sus empleadores o

clientes cuidará adecuadamente los intereses públicos y los derechos de terceras
personas y, en particular se asegurará de que los derechos de propiedad intelectual
de terceros no se vean perjudicados por sus actos.

4.- Fidelidad

Los miembros cumplirán sus obligaciones con sus empleadores o clientes con una
completa fidelidad para con los mismos. Asimismo, evitarán divulgar la información
confidencial relacionada con dichas personas.

5.- Competencia técnica

Ø Todo miembro deberá ofertar únicamente aquellos servicios para los que se
considere competente e informará a sus empleadores o clientes sobre el nivel de
preparación y capacitación que él posee cuando sus servicios hayan sido solicitados.

6.- Imparcialidad

Los miembros, cuando trabajen para un determinado cliente, deberán informarle

fehacientemente y por escrito sobre aquellos intereses que tengan y que puedan
perjudicar o incidir en la imparcialidad.

CÓDIGO DE ÉTICA PROFESIONAL

 Soportar la implementación de, y fomentar el cumplimiento de, las normas,

los procedimientos y los controles apropiados para los sistemas de
información.
 Ejecutar sus deberes con objetividad, debida diligencia y atención
profesional, en conformidad con las normas y mejores prácticas profesionales.
 Servir en el interés de los accionistas en una forma legal y honesta, y al mismo
tiempo mantener altos estándares de conducta y de carácter, y no dedicarse a
actos que puedan deshonrar la profesión.
 Mantener la privacidad y la confidencialidad de la información obtenida en
el curso de sus funciones a menos que la autoridad legal requiera su revelación.
Dicha información no será usada para beneficio personal ni revelada a terceros
inapropiados.
 Mantener competencia en sus campos respectivos y acordar emprender
únicamente las actividades que ellos puedan razonablemente esperar realizar
con competencia profesional.
 Informar a las personas apropiadas sobre los resultados del trabajo
realizado, revelando todos los hechos significativos de los que ellos tengan
conocimiento.
 Soportar la educación profesional de los accionistas para aumentar su
comprensión de la seguridad y el control de los sistemas de información.