El Auditor y el uso de las Tecnologías de la Información



sistemas_tecnologia_redesEl Auditor y las TI, un vínculo que se estrecha.

Autor: C.P.C. Marco Antonio Merino Pereira

Integrante de la Comisión de Auditoría del Colegio
y Director General de ExaAtto, Consultores en Sistemas

:arrow: ccpm.org.mx

Esta convivencia es inevitable desde el momento en que muchas de las NIA se enfocan en las políticas y procedimientos que utilizan las empresas para implementar infraestructura y software.

Este tema surgió de la clase que preparé para el Diplomado de Certificación en el Colegio de Contadores Públicos de México. Me llamó la atención la gran cantidad de tópicos informáticos actualizados incluidos en las Normas Internacionales de Auditoría (NIA). Esto me motivó a compartir lo que encontré en materia de Tecnologías de la Información (TI). Dentro del Glosario de Términos aparecen al menos cuatro conceptos:

Ambiente de TI . Políticas y procedimientos que la entidad implementa, así como la infraestructura (hardware, sistemas operativos, etcétera) y software aplicativos que se utilizan para soportar las operaciones del negocio y lograr sus estrategias.

Controles Generales de las TI . Ayudan a asegurar la continuidad de la operación de los sistemas de información. Incluyen controles sobre el centro de datos y operaciones de la red, adquisición,cambio y mantenimiento de software del sistema, seguridad de acceso, así como la adquisición, desarrollo y mantenimiento de aplicaciones del sistema (Paquetes vs. Desarrollos). Aunque las normas no usan el término “Paquete”, así conocemos al software adquirido y listo para usar, para diferenciarlo de los Desarrollos a la medida.

Controles Aplicativos en TI . Procedimientos manuales o automatizados que operan a nivel del proceso del negocio. Los controles aplicativos pueden ser de naturaleza preventiva o de detección y están diseñados para asegurar la integridad de los registros contables. Se refieren a procedimientos utilizados para iniciar, registrar, procesar, corregir y reportar transacciones u otros datos financieros.

Controles de Acceso. Procedimientos para restringir el acceso en línea a servidores, programas y datos de terminales. Los controles de acceso consisten en la “autenticidad del usuario”, que típicamente radica en reconocer a un usuario mediante una identificación exclusiva, contraseña, tarjeta de acceso o datos biométricos, al inicio de la sesión. La autorización del usuario consiste en reglas de acceso para determinar los recursos del computador a los que puede acceder. Están diseñados para evitar o detectar:

  • Entradas de transacciones no autorizadas.
  • Cambios no autorizados a archivos de datos.
  • El uso de programas de computadora por personal no autorizado.
  • El uso de programas de computadora que no se hayan autorizado.

De los conceptos anteriores, quiero ahondar en la comparación entre paquetes y desarrollos. Cuando se decide por hacer un desarrollo, seguramente porque no hay paquete alguno que haga lo que se necesita; una vez elegido un lenguaje de programación para desarrollarlo, se procede a escribirlo y capturarlo en el equipo, grabándolo en algún medio, digamos un disco duro. Es como “pasarlo a máquina”, y este archivo se denomina “programa fuente”. Una vez capturado se procede a “compilarlo”, acción que en forma automática hace el equipo, usando el software proporcionado por el proveedor del lenguaje, llamado “compilador”, que es un traductor que convierte el programa fuente al llamado “programa objeto”, que estará representado en “lenguaje máquina”, el único que entienden las computadoras. Podemos encontrar estos programas en nuestro equipo, por ser aquellos con extensión .exe (executable).

Una vez compilado está listo para ser ejecutado y revisados sus resultados por los usuarios. Aquí conviene aclarar que: “Solo puede ser modificado el programa fuente y nunca el programa objeto”. Si hay algún cambio o error, el programador procede a corregir el programa fuente, lo vuelve a compilar y ejecutar para una nueva revisión. Una vez terminado y aprobado, el equipo no requiere el programa fuente para trabajar, solo el objeto.

¿Por qué interesa esto al Auditor?

En la práctica profesional, me he encontrado empresas que hicieron desarrollos de software, pero no tienen los programas fuente y se dan cuenta justo cuando necesitan urgentemente hacerle algún cambio, a veces por motivos fiscales o legales. En estas ocasiones las empresas no tuvieron la precaución de incluir en los contratos de desarrollo de software con terceros, una cláusula que especifique que “los programas fuente serán propiedad del cliente” (nunca del proveedor). Incluso, una vez concluido el sistema, las empresas deberían registrar dichos programas fuente ante la Dirección General de Derechos de Autor, para mayor seguridad jurídica.

Si los programas fueron desarrollados por empleados de la empresa no está de más incluir una cláusula en el contrato de trabajo, especificando que “los desarrollos hechos por el empleado son propiedad de la empresa”. Un programador descontento podría borrarlos, así que hay que tenerlos respaldados. En realidad nunca debería estar junto con los sistemas en producción.

He visto casos en que una empresa en esa situación carece de tiempo para hacer un nuevo desarrollo, no encuentra un paquete que se lo resuelva y prácticamente se encuentra paralizada. Así, el Auditor, cuando se enfrenta con un cliente en que hay desarrollos de software, deberá indagar si existen los programas fuente, si son propiedad de la empresa y si están a buen resguardo. Lo contrario puede significar un riesgo de que la compañía deje de funcionar (Empresa en funcionamiento: NIA200- A51 y NIA570-6, 7 y A14). Desde luego que cuando se adquiere un paquete, el proveedor nunca va a entregar los programas fuente. Si hicimos una adecuada investigación sobre la seriedad, solvencia, estabilidad, referencias, etcétera, de dicho proveedor, no los necesitamos. Parte de su negocio es tener listas, cualquier tipo de modificaciones necesarias a sus paquetes, para venderlas a sus clientes o instalarlas como parte de un contrato de mantenimiento.

NIA 620. Utilización del trabajo de un experto.

“A4.- Puede resultar necesario un experto para la obtención del conocimiento de la entidad y su entorno, incluido su control interno”. Podemos usar los servicios de un informático, propio o subcontratado, para aspectos de TI que estén fuera de las capacidades del Auditor.

Visto primero en Revista Veritas del CCPM

2013-06_Veritas

Clic en imagen para descargar gratis la Revista Veritas Junio 2013

Mirror: https://dl.dropbox…pdf

Image courtesy of jscreationzs / FreeDigitalPhotos.net