Los profesionales analizan el rol que deben desempeñar los colegas en ciencias económicas a raíz de las nuevas Tecnologías de la Información.
Exponen la necesidad de actualizar los planes de estudio para brindar servicios de mayor calidad, trabajando de manera interdisciplinaria con profesionales informáticos expertos en seguridad y abogados especialistas en derecho informático.

Edición N. 111 - Septiembre / Octubre 2019

NOTAS DE AUTOR




Dr. Carlos A. Rumitti
Prof. Especialización en Contabilidad y Auditoría con participación en congresos nacionales e internacionales. Autor de artículos técnicos y miembro invitado del CENCyA.



Dra. Lic. en Adm. Melisa Gómez
Prof. Especialización en Contabilidad y Auditoría, Investigadora categorizada, Coautora de trabajos presentados en jornadas, congresos y otros eventos, nacionales e internacionales y de artículos publicados en revistas científicas.

Recientemente la Federación Internacional de Contadores (IFAC, por sus siglas en inglés) ha publicado el resumen por el año 2018 de su Encuesta Global SMP (pequeñas y medianas empresas), de público acceso. El relevamiento se realizó sobre 6.258 empresas distribuidas en 150 países de los cinco continentes.

Algunos datos son confirmatorios -de ningún modo sorprendentes- acerca del impacto de la tecnología en la creación de valor en los negocios y de las tendencias que genera en los encuestados. En este contexto, la selección de una muestra sobre pequeñas y medianas empresas es útil para desterrar la idea sobre a quienes impactan las cuestiones de tecnología, incluida la llamada “auditoría de sistemas”. No sólo es de aplicación en las grandes empresas.

Algunos datos expuestos en el documento merecen nuestra atención:

- 38% ve el desarrollo tecnológico como un desafío significativo.
- 28% invertirá más del 10% de sus ingresos totales en tecnología en un plazo de 12 meses. El 6% de las empresas, más del 20%.
- 32% adoptará servicios de nube para interfaz y atención de sus clientes.
- 29% se centrará en el análisis de datos para ofrecer nuevos servicios.
- 23% considera no reclutar contadores, en su defecto, especialistas en tecnologías de la información (TI).

La tendencia no genera dudas, ofreciendo oportunidades y desafíos para el ejercicio profesional.

 

Actuación profesional

En esta era digital, es innegable el rol que debe desempeñar el profesional en ciencias económicas en la definición, análisis, diseño e implementación de sistemas de información basados en TI, así como en su evaluación. Sin embargo, la difusión de ciertos temas y la formación académica no han evolucionado al ritmo de los requerimientos de los usuarios, generando carencias con las consecuencias ya mencionadas.

Dada la amplitud de la cuestión, en este artículo sólo nos referiremos a los servicios sobre sistemas de información que puede ofrecer un Contador Público aplicando la normativa vigente en nuestro país, esto es Resoluciones Técnicas 32, 33, 35 y 37 de la FACPCE. El tratamiento de las etapas de definición, análisis, diseño e implementación, muy ricas en contenidos, excede la extensión de este artículo.

En el cuadro que sigue exponemos en forma sintética los servicios que pueden brindarse:

Servicio a prestar
Normativa nacional
1. Evaluaciones de TI en Auditoría de Estados Contables o revisión de Estados Contables de períodos intermedios. RT 32, 33
RT 37 Sec. III, IV.
Informe 15 FACPCE
2. Evaluar objetivos de control específicos de TI. RT 35
RT 37 Sec V, Va
2a. Un encargo de aseguramiento a nivel general.
2b. Un informe sobre controles de una organización de servicios.
3. Informe descriptivo/informativo. Procedimientos convenidos. RT 35
RT 37 Sec VI

Breve descripción sobre el encuadre normativo de los servicios de TI

 

Evaluaciones de TI en auditoría de estados contables o revisión de estados contables de períodos intermedios

En este caso, la materia subyacente del análisis es el estado contable y sobre él se emitirá opinión. Por lo tanto, se enmarca en los servicios de auditoría o revisión dispuestos en las RT 32, 33 y en la RT 37 Secciones III y IV. La evaluación de las TI aplicadas, “son un requisito para” concluir sobre la integridad de la información contable, pero no un fin en sí mismo.

Los criterios a aplicar por el contador con respecto a los EC son las normas legales y reglamentarias vigentes y las que regulan su ejercicio profesional pero que no contemplan los criterios para evaluar los sistemas de información, para ese cometido hay que recurrir al Informe N° 15 del CECyT emitido en el año 2007 que proporciona una guía acerca de cómo realizar la tarea. Particularmente, en lo referente a seguridad informática se requieren estándares específicos.

En esta era digital, es innegable el rol que debe desempeñar el profesional en ciencias económicas en la definición, análisis, diseño e implementación de sistemas de información basados en TI, así como en su evaluación.

Tampoco disponemos de una metodología para enfoque integral de riesgo de TI. Solo la NIA 315 de IFAC se refiere discretamente a riesgos de TI. Por lo tanto, es aconsejable que el contador complemente con otros criterios (estándares) más recientes para satisfacer este fin1. Si además el auditado utilizara servicios de nube para sus registros, correspondería al menos contar con un informe sobre controles de la organización que le provee los servicios2.

Los avances de las TI y particularmente la exponencial participación de evidencias digitales en los componentes que sustentan la información, exigen diligencia profesional sobre estos temas.

 

Evaluar objetivos de control específicos de TI

Nos referiremos en este punto a la evaluación de los sistemas de información como un fin en sí mismo, independientemente de su utilización. Estos servicios pueden prestarse como Encargos de Aseguramiento a Nivel General3 o como Informes sobre Controles de una Organización de Servicios4 según la materia sobre la que traten.

 

a) Encargos de aseguramiento a nivel general

El objetivo es brindar seguridad sobre una materia distinta de información financiera histórica, en este caso el aseguramiento se otorga sobe la seguridad, disponibilidad, integridad de procesamiento, confidencialidad y privacidad de los datos y sistemas. Por ejemplo: evaluar el nivel de control interno de TI; cumplimiento de la Ley de Protección de Datos Personales; integridad de informes de gestión.

Los sujetos intervinientes en este encargo serían tres, la parte responsable (quien encarga el servicio), el contador y los usuarios. Eventualmente, la parte responsable puede ser a la vez usuario, cuando el encargo es para su propia utilización.

Los criterios o parámetros de evaluación son normas legales o reglamentarias, estándares de TI y normas técnicos profesionales. Con respecto a estas últimas, el AICPA de EEUU ha sido líder histórico en el tema.

Los informes deben adaptarse a lo previsto en la normativa vigente5 y en este marco, pueden emitirse sobre una afirmación de la parte responsable o bien, elaborarse en forma directa cuando es el profesional el que realiza las descripciones del caso.

Por último, la seguridad que otorgan puede ser razonable o limitada según las características del encargo y el alcance otorgado a la evaluación de los sistemas.

b) Informes sobre los controles de una organización de servicios

El objetivo de este informe es brindar seguridad sobre los controles de la organización que presta servicios de TI a empresas usuarias, para el procesamiento de información financiera. Esto es necesario porque el auditor de la empresa usuaria, emisora de los EC no tiene competencia para evaluar el control interno de la prestadora. Por lo tanto, se vería ante una limitación en el alcance de su labor.

Este servicio está normado en nuestro país desde la vigencia de las RT 35 y 37 de la FACPCE, aunque existe de antigua data, por ejemplo, en EEUU desde 1992 mediante la Statement on Auditing Standards N° 70 (SAS 70) del AICPA. En esta norma tienen origen los informes Tipo 1 (sobre diseño e implementación de los controles) y Tipo 2 (sobre diseño, implementación y eficacia operativa de los controles) descriptos en la RT 37 Sección V.c) FACPCE y en la NIEA 3402 de IFAC.

A nuestro criterio, sólo el Tipo 2 permite al auditor de la entidad emisora de EC sortear la limitación al alcance en su labor. La estructura de estos informes es sumamente descriptiva y pueden ser consultados en el Informe N° 13 del CENCyA6. Siempre se emiten sobre una afirmación (Informe sobre controles elaborado por la organización de servicios) y otorgan seguridad razonable.

Los avances de las TI y particularmente la exponencial participación de evidencias digitales en los componentes que sustentan la información, exigen diligencia profesional sobre estos temas.

Una limitación no menor a destacar es que el servicio de aseguramiento sobre empresas prestadoras de servicios de nube, sólo está reglamentado en Argentina para procesamiento de información financiera. Por ejemplo, si una empresa prestadora de servicios sobre activos digitales quisiera otorgar a sus clientes una garantía sobre continuidad de servicio, disponibilidad y privacidad, el profesional actuante tendría dificultades para encuadrar normativamente este servicio, dado que solo puede hacerlo mediante la Sección V.a) de la RT 37 o la RT 35.

La normativa estadounidense tiene resuelto esta cuestión mediante los informes SOC 1, SOC 2 y SOC 37. Los informes SOC 2 y 3 se aplican para servicios distintos de procesamiento de información financiera. Los informes SOC 1 y 2, admiten Tipo 1 y Tipo 2.

Por último, en cuanto a los criterios a aplicar, no están definidos. Por lo tanto, recomendamos considerar el TSP Section a.100 del AICPA (Trust Services Principles and Criteria for Security, Availability, Processing Integrity, Confidentiality, and Privacy) que se refieren a: seguridad, disponibilidad, integridad de procesamiento, confidencialidad y privacidad de los datos y sistemas, que brinda una guía adecuada para la labor.

La generalización en el uso de cloud services y blockchain, harán de estos servicios una necesidad imperiosa.

 

Informe descriptivo/informativo. Procedimientos convenidos.

Finalmente, no debemos descartar que la intervención del contador en este tema, puede consistir en un servicio que proporcione un informe de tipo descriptivo, sin otorgar mayor seguridad que la confianza que despierta su profesionalismo. Esta alternativa se encuadraría en la Sección VII de la RT 37 o la RT 35.

A fin de no redundar, remitimos en cuanto a usuarios y criterios a lo descripto en párrafos que anteceden.

 

Las posibilidades de brindar servicios de aseguramiento o no sobre TI independientemente de los requeridos como parte de la auditoría de estados contables son amplísimas e inagotables, pero es una asignatura pendiente en la profesión.

Conclusiones

- Las posibilidades de brindar servicios de aseguramiento o no sobre TI independientemente de los requeridos como parte de la auditoría de estados contables son amplísimas e inagotables, pero es una asignatura pendiente en la profesión.

- La difusión de estos servicios es mínima con relación a las necesidades de los usuarios. Si bien algunas de ellas aún no se han exteriorizado, subyacen latentes. Sólo un ejemplo, ¿una compañía aseguradora otorgaría un seguro sobre datos sin un informe SOC 2 provisto por el cloud service provider? No lo vemos posible. Sin dudas, quien oferte cloud services y esté amparado por un informe SOC, tendrá una ventaja competitiva importante con respecto a quien no disponga de él.

- La realidad de los hechos y nuestra experiencia profesional, nos permite asegurar que es imprescindible el trabajo interdisciplinario con profesionales informáticos expertos en seguridad y abogados especialistas en derecho informático.

- La formación académica de grado de profesionales en ciencias económicas requiere una pronta actualización de los programas de estudio en razón de las circunstancias.

- En cuanto a la normativa vigente, si bien como se explicó en este artículo permite encuadrar los servicios sobre TI, su complemento con marcos de referencia específicos facilitaría la actuación en esta competencia.

BIBLIOGRAFÍA Y REFERENCIAS

(1) Normas ISO Serie 27000, COBIT, ITAF fmk.Eng 1014 ISACA, entre otros.
(2) RT 37 Sección V.c FACPCE. También previstos en la RT 35 FACPCE que adopta lo dispuesto por la NIEA 3402 de IFAC.
(3) RT 37 Sección V.a FACPCE. También previstos en la RT 35 FACPCE que adopta lo dispuesto por la NIEA 3000 IFAC.
(4) Citado en (2).
(5) RT 37 Sección V.a o RT 35 que adopta el modelo de la NIEA 3000 de IFAC.
(6) Informe N° 13 CENCyA – Modelos de Informes Diversos – Modelos 7.2 y 7.4.
(7) Los informes SOC (System and Organization Controls) tienen su origen en la SSAE 16, posteriormente reemplazada por la SSAE 18 del AICPA.


TAGS •

Melisa Gómez, Carlos Rumitti, TI, nuevas tecnologías, big data, servicio de nube, móviles, redes sociales, blockchain, generación de valor, negocios,
Vorknews Sistema para diarios online