LOS DOCUMENTOS Y

PROCEDIMIENTOS DE
EQUIPOS INFORMÁTICOS
LOS DOCUMENTOS Y PROCEDIMIENTOS
DE EQUIPOS INFORMÁTICOS

LAS NUEVAS TECNOLOGÍAS

Las tecnologías de información son el motor de cambio que conduce a una nueva
era post industrial que amenaza con dejar obsoletas todas las estructuras empre-
sariales que no sepan adaptarse. Es la herramienta básica para transformar datos
en información útil, dispuesta en tiempo y lugar correcto para la toma de decisiones.

En la figura 1 se puede observar a manera de esquema, el impacto que las tecno-

logías han venido a establecer en el área de servicios profesionales contables y
auditores, iniciando que los reportes que se deben generar ahora es para todo
usuarios, ya no es solo los accionistas.

FIGURA 1. EL IMPACTO QUE HA TENIDO LA TECNOLOGÍA DE INFORMACIÓN EN LAS

ÁREAS DE CONTABILIDAD Y FISCAL

CAMBIOS EN LA FORMA DE PRESENTACIÓN DE REPORTES

Sistema clásico Nuevo Sistema
Centrado en los accionistas Centrado en todos los usuarios
Publicado en papel Publicado en un sitio WEB
Información estándar Información a la medida
Información controlada por la compañía Información de diversas fuentes
Reportes periódicos Reportes continuos
Distribución de la información Diálogo
Estados financieros Mayor rango de información
Rendimiento pasado Rendimientos futuros
Auditorías de cuentas Confiabilidad en los sistemas
Nivel nacional Nivel global
Estático Cambiante
Para cumplir normas Para satisfacer demandas de mercado

Fuente: Recuperado y adaptado de Treviño, J. (2005). Tecnologías de información en el área contable.

Revista No 17 Vol 3. Consultoría, Instituto de Contadores Públicos de Nuevo León, México

22
SISTEMAS DE TECNOLOGÍA DE
INFORMACIÓN Y LA AUDITORÍA DE
ESTADOS FINANCIEROS
En la actualidad, las tecnologías de información son parte importante para el éxito
de los despachos, debido a la dependencia de información que ofrece la Internet,
y el bajo costo que esta genera. Además de la importancia que han adquirido las
tecnologías de información debido al gran volumen de operaciones que se procesan,
así como por la pérdida de huellas visibles y concentración de funciones contables
que reiteradamente se dan en un ambiente de este tipo. Es importante que el profe-
sional del despacho o sea el auditor conozca, evalúe, y pueda probar el sistema
de TI como parte fundamental del estudio y evaluación del control interno de su
despacho, a lo cual debe considerar lo siguiente:
»» Administración de la tecnología de información
»» Seguridad física y lógica
»» Continuidad del negocio
»» Administración de cambios
»» Desarrollo de sistemas
»» Pruebas específicas de control interno

3
 LA PREINSTALACIÓN
Se refiere al estudio de viabilidad y selección de equipo donde previamente efectuó
la adquisición de un equipo de cómputo, así como el acondicionamiento físico y
todas las medidas de seguridad en el área donde se ubicará el equipo, y la capaci-
tación de personal y adquisición o desarrollo de sistemas.

Como parte del procedimiento de estos equipos informáticos, la estructura organiza-

cional del despacho, debe tener definido la segregación funciones, establecimiento
de las políticas, y responsabilidades al personal seleccionado.

Además, el despacho debe tener documentado todos los estudios preliminares

que justifiquen las aplicaciones, así como con definición de los estándares para
el diseño, programación, prueba y mantenimiento de los sistemas. Al desarrollar
nuevos sistemas, puede ser necesario llevar un paralelo, por el tiempo necesario, el
sistema anterior y el nuevo.

En cuanto a la definición de los estándares para el desarrollo de sistemas, principal-

mente deben estar los procedimientos que garanticen que el sistema a desarrollar
ha sido autorizado por el director de proyecto asignado, u que en el desarrollo
haya una intervención activa del que va a ser usuario del sistema y de quien lo va
a auditar, esto último con el objeto de establecer desde esta etapa, los controles
necesarios y las pistas de auditoría.

4
ETAPA DE DOCUMENTACIÓN DE
PROCEDIMIENTOS INFORMATIVOS
El director del proyecto es el responsable de asignar la disposición de la información
dentro de la red o sea:
»» Directorios
»» Subdirectorios
»» Disposición de documentos, etc.

Debe definir los niveles de acceso, privilegios y claves de protección de los dife-
rentes usuarios, crear una correcta confección de los procedimientos de rotación
planificada en las tareas. Este depende que el despacho goce de autonomía de
funcionamiento respecto a cada componente.

ADQUISICIÓN DE LOS EQUIPOS

INFORMÁTICOS
Una vez concluido el estudio de viabilidad se procede con la contratación de lo
que implica desembolsar gran cantidad de dinero. Esta adquisición definida en el
contrato con un proveedor en el que se debe tomar una serie de precauciones.

A parte de las clausulas básicas que se establezca en el contrato, como el funcio-

namiento del ordenador y que cumpla las especificaciones también puede contener
clausulas adicionales, como cuáles son las funciones del sistema:
»» Fechas y plazos de instalación
»» Detalle del costo
»» Conformidad con las normas de calidad
»» Si los programas están amparados a las licencias de usuarios
»» Instalación del programa, pruebas y modificaciones
»» Mantenimiento y actualización futura

Es importante además considerar pólizas para los equipos físicos y los programas,
conocer la póliza que funciona bajo el principio de “lucro cesante”, que cubre tanto
el costo de la reposición del dañado como las perdidas por la interrupción de la
actividad.

5
 LUCRO CESANTE
De acuerdo con los formatos establecidos por el Colegio de Contadores Públicos de
Costa Rica, circular emitida el año 2010, el lucro cesante es el estudio de requisitos
y modelo para la emisión de la “Certificación de las variables para el cálculo del
lucro cesante (POR INTERRUPCIÓN DE LA ACTIVIDAD LUCRATIVA”), y con el propósito
de contribuir con el mejor desempeño de las instancias judiciales en pro de una
sociedad más justa, responsable y transparente.

ESTÁNDARES, PROCEDIMIENTOS Y
AUTORIZACIÓN DE CAMBIOS
Estos estándares, procedimientos y autorización de cambios son establecido por
la familia de las norma ISO-9000 misma que tratado todo lo relacionado de calidad
que ofrece el despacho.

CONTROL DE LA DOCUMENTACIÓN
Todos los programas, la operación y los procedimientos relativos deben estar
adecuadamente documentados y actualizados, es imprescindible que se tenga un
respaldo actualizado de esta documentación fuera de las instalaciones del centro
de cómputo, así como la historia de los cambios efectuados.

6
 CONTROL DE LA OPERACIÓN
Es la creación de un medio ambiente que garantice la efectividad en la creación
de la sección de operaciones, así como brinde la seguridad física suficiente sobre
los registros que se mantienen en el equipo de cómputo, y el establecimiento de
controles adecuados que eviten el acceso de personal
no autorizado.
ES MUY IMPORTANTE CONTAR Es muy importante también contar con una razonable
CON UNA RAZONABLE SEGURI- seguridad contra la destrucción accidental de los regis-
DAD CONTRA LA DESTRUCCIÓN tros durante el proceso y asegurar la continuidad de
ACCIDENTAL DE LOS REGISTROS la operación en lo que respecta la recaptura de datos.
Esto con el fin de prevenir y detectar la manipulación
fraudulenta de datos durante los procesos por el
personal del autorizado y así prevenir el mal uso de la
información, para no entorpecer los procesos cuando ocurran rupturas importantes
en el computador.

7
 CONTROLES DE APLICACIÓN O
ESPECÍFICOS
Controles de entrada: asegurar que toda la información que vaya a ser procesa-
da por el computador esté completa y correcta y que existan controles adecuados
para el manejo de información rechazada (revisión, corrección, previsión y oportuna
entrada).

Controles de proceso: asegurar la exactitud del proceso de la información por

el computador.

Autorización y controles de salida: asegurar que toda la información que se

procesa está debidamente autorizada y que existen controles sobre el acceso al
computador, ya sea para obtener información o para modificarla por alguna transac-
ción. Esto sobre todo cuando es a través de sistemas en línea, ya que únicamente
personal autorizado debe tener acceso a los datos e informes y que los cambios a
los archivos sean autorizados únicamente por el personal designado.

8
ESTABLECIMIENTO DE HUELLAS O PISTAS
En relación con las partes de la transformación de la información, cuando se realice
en un centro de cómputo externo, la revisión, estudio y evaluación del control interno
debe considerar los siguientes aspectos:

»» SELECCIÓN DEL CENTRO DE CÓMPUTO

Debe seleccionase un centro de cómputo que asegure la obtención de informa-
ción confiable y oportuna, vigilándose aspectos como: su localización, seguridad
en el manejo de datos y archivos, organización, capacidad instalada y soporte
técnico.

»» CONTRATO DE SERVICIO
El contrato con el centro de cómputo debe contener los términos en que el
servicio será prestado.

»» CONTROL DE LOS DATOS

Es necesario que toda la información enviada, ya sea a través de unidades de
proceso directo (terminales) o bien, físicamente, se someta a un control que
asegure que se incluyen todos los datos, que la información transmitida sea
correcta, que existan archivos de soporte en caso de pérdida accidental de
información y que la información se devuelva completa y oportunamente a la
empresa una vez procesada.

»» PERSONAL
La relación con el centro de cómputo, así como el envió de la documenta-
ción, recepción y revisión de la información debe estar asignada a personal
competente.

»» OTROS CONTROLES
En general, la empresa que contrate servicios de Tecnologías de Información
(TI) a través de un centro de cómputo externo, debe asegurarse de que dicho
centro reúna los controles comentados en la sección de controles generales y
de aplicación o específicos.

9
 LA IMPORTANCIA DE LAS APLICACIONES
El grado de transformación de la información desde compilaciones sencillas de
datos hasta transformaciones sofisticadas de las huellas o pistas dejadas en estos
procesos, ya sean visibles o incorporadas en los mismos sistemas; estas últimas
solamente pueden ser localizadas y verificadas a través de pruebas usando el
mismo computador

LA CONFIANZA DEL AUDITOR EN LOS

SISTEMAS DE CONTROL INTERNO
INTEGRADO A LAS TECNOLOGÍAS
Primera etapa. Estudio preliminar, obligatorio y necesario efectuar en todas las
empresas que usen en alguna forma la TI para la obtención de su información
financiera.

Segunda etapa. Ampliación del estudio de control interno, es obligatoria cuando

en el estudio preliminar se ha determinado que se tienen aplicaciones de impor-
tancia para la obtención de la información finan-
ciera, que existen cambios importantes en la
información y de que el auditor tiene que
confiar en una medida importante en el
control interno existente sobre dichas
aplicaciones.

10
Tercera etapa. Pruebas a los controles de TI, son de aplicación obligatoria cuando
la importancia de los sistemas sujetos a procesos sea cuanto a los cambios de
información y del grado de confianza que el auditor depositará en el control interno,
que él no efectuara pruebas de cumplimiento a los controles de TI, limita el alcance
de trabajo del auditor al no obtener la necesaria evidencia suficiente y competente.

Algunos que el auditor deba, necesariamente, confiar en el control interno de TI y,

por lo tanto, tenga que evaluarlo y después probarlo en forma completa e integral
a través de pruebas de cumplimiento, igualmente el resultado esperado de sus
pruebas sustantivas, de importancia relativa y de riesgo probable. El auditor obtendrá
la necesaria evidencia, suficiente y competente que le permita solamente evaluar
ciertos controles internos importantes y reducir sustancialmente sus pruebas de
cumplimiento, limitándolas estas aprobar controles internos importantes de entrada,
proceso y salida. Por lo tanto, solamente cumplir con la primera fase y, según las
circunstancias, cubrir parcialmente la segunda y omitir la tercera.

Es importante señalar que desde la primera fase, se requiere de experiencia en

auditoría de TI por parte del auditor y conforme se vaya pasando a las siguientes
fases, se requerirá de mayor capacitación.

EVALUACIÓN DE RIESGOS
Una vez documentado y probado el control interno de TI, debemos evaluar los
resultados de dicho proceso para determinar el alcance y oportunidad de nuestros
procedimientos de auditoría. Los riesgos identificados son evaluados en relación
con el impacto que podrían tener en los estados financieros, durante las etapas de
planeación, estrategia y ejecución del trabajo, ya que cualquier riesgo de la compa-
ñía se transforma en un riesgo de auditoría.

Asimismo, se debe identificar como la gerencia mitiga dichos riesgos y qué riesgo
remanente debemos evaluar. Dependiendo de la evidencia que encontremos en el
área de sistemas, concluiremos si los controles del área de TI son efectivos o no.

11
 BIBLIOGRAFÍA OBLIGATORIA

Guirado, J. (2007). Casos prácticos para la gestión organización de despachos

profesionales. Madrid, España. Edición Grupo Especial Directivos ISBN
97884993602826

BIBLIOGRAFÍA DE CONSULTA

Guirado, J. (2007). Casos Prácticos para la Gestión Despachorial de Despachos

Profesionales. Madrid, España. Editorial Especial Directivos Grupo Wolters
Kluwer.

Jones, G. (2005). Administración estratégica: un enfoque integrado. Bogotá Colombia.

Editorial McGraw-Hill.

Peters, T. (2005). Educación. La esencia. (Vol. 3). Gaithersburg, MD Editorial.

Treviño, J. (2005). Tecnologías de información en el área contable. Revista No 17 Vol.

3. Consultoría, Instituto de Contadores Públicos de Nuevo León, México.

12