IAP -1001 ENTORNOS INFORMATIZADOS CON ORDENADORES PERSONALES COMO PUESTOS DE TRABAJO INDIVIDUALES Introducción 1. La finalidad de esta Declaración es ayudar al auditor en el cumplimiento de la NIA 400 "Evaluación de Riesgo y Control Interno". así como de la Declaración Complementaria 1008, "Evaluación del Riesgo y Control Interno. Características y Consideraciones de un contexto informatizado", describiendo los sistemas en los que se utilizan ordenadores personales como puestos de trabajo individuales. La declaración contempla los efectos de los ordenadores personales en los sistemas contables y en los controles internos relativos a los mismos, así como en los procedimientos de auditoría. Sistemas basados en ordenadores personales 2. Los ordenadores personales, conocidos también como microcomputadoras o "PCs", son instrumentos, económicos pero potentes, que constituyen ordenadores multipropósito, formados normalmente por un procesador, memoria, pantalla, sistemas de almacenamiento de datos, teclado, y conexiones con una impresora y con sistemas de comunicación. Los programas y los datos pueden almacenarse en soportes removibles o fijos. 3. Los ordenadores personales pueden utiliz arse para procesar las transacciones contables y para producir informes que son esenciales para la preparación de los estados financieros. Los ordenadores personales pueden constituir la base de la informatización del sistema contable, o simplemente una parte de la misma. 4. Por lo general, los contextos informatizados en los que se utilizan los ordenadores personales son diferentes de otros en los que el grado de informatización es superior. Algunos controles y medidas de seguridad utilizados en otros sistemas pueden no ser practicables en el caso de los ordenadores personales. Por otro lado, es necesario intensificar ciertos controles internos debido a las características de los ordenadores personales y del entorno en el que se utilizan. Configuración de los ordenadores personales 5. El ordenador personal puede utilizarse con diferentes configuraciones, tales como un instrumento de trabajo: - individual, utilizado por un único usuario o por varios en diferentes momentos; - que forma parte de una red local de ordenadores personales; - conectado a un ordenador central; 6. El ordenador personal, concebido como instrumento de trabajo, puede ser utilizado por un único usuario o por diferentes personas que pueden tener acceso al mismo o a diferentes programas. Estos y los datos se almacenan en el ordenador personal o en un entorno próximo al mismo y, por lo general, los datos tienen entrada manualmente a través del teclado. El usuario de este instrumento de trabajo que procesa las aplicaciones contables puede tener conocimientos de programación y normalmente realiza varias funciones (por ejemplo, introducción de datos, ejecución de aplicaciones de programas operativos y, en cualquier caso, incluso diseño de programas). La programación puede incluir la utilización de paquetes de "software" para el desarrollo de aplicaciones específicas de trabajo o de base de datos.

7. Una rede local es un sistema en el que dos o más ordenadores personales trabajan conectados utilizando el mismo "software" y las mismas líneas de comunicación. Normalmente uno de estos ordenadores personales realiza las funciones de dirección de la red. La red suele compartir recursos de almacenamiento e impresión, de modo que los diferentes usuarios pueden acceder a la información, bases de datos y programas almacenados en los archivos compartidos. Una red local de ordenadores puede concebirse como un sistema descentralizado. 8. Los ordenadores personales pueden estar conectados a ordenadores centrales y ser utilizados como una parte de tales sistemas, por ejemplo, como un puesto de trabajo inteligente el línea o como una parte de la descentralización del sistema contable. Tal sistema puede conocerse con la denominación "sistema en línea". Un ordenador personal puede actuar como una terminal inteligente, dadas sus capacidades de actuación lógica, transmisión, almacenamiento y posibilidades de realización de operaciones de computación. 9. Puesto que las consideraciones relativas al control y a las características del "hardware" y del "software" son diferentes cuando un ordenador personal esta conectando a otros ordenadores, tal contexto será descrito en otras Declaraciones Complementarias a la norma 400, "Evaluación del Riesgo y Control Interno". No obstante, la información contenida en esta Declaración Complementaria es útil, en la medida en que un ordenador personal conectado a otro ordenador puede ser utilizado también como un puesto de trabajo individual. Características de los ordenadores personales 10. Aunque los ordenadores personales suministran al usuario aplicaciones informáticas importante, son de tamaño reducido, de forma que pueden ser fácilmente cambiados de lugar, su coste es relativamente bajo y pueden ser puestos en funcionamiento de manera rápida. Los usuarios con conocimiento básicos de informática pueden aprender fácilmente el funcionamiento del ordenador personal, teniendo en cuenta, además, que muchos de los sistemas de "software" y sus aplicaciones son fácilmente utilizables y contienen instrucciones detalladas en cada una de sus etapas. Otra característica es que los sistemas operativos de "software", facilitados normalmente por el suministrador del ordenador personal, suelen ser menos amplios que los instalados en contextos con un nivel superior de informatización; por ejemplo, pueden no prever otros mecanismos de control y seguridad más allá de unos simples códigos personales. 11. El "software" para una amplia gama de aplicaciones en ordenadores personales puede adquirirse de terceros y puede ser aplicado de inmediato (por ejemplo, programas generales de contabilidad, de cuentas a cobrar o de control de producción e inventarios). Tales aplicaciones de "software" se utilizan normalmente sin modificación de los programas. Los usuarios pueden también desarrollar otras aplicaciones junto a la utilización de paquetes genéricos de "software" adquiridos a terceros, relativas a operaciones o a bases de datos. 12. Los sistemas operativos de "software", los programas de aplicación y los datos utilizados pueden almacenarse en soportes tales como dis quetes, discos compactos o discos duros intercambiables. Dada su reducida dimensión y, por tanto, la facilidad para su traslado, tales soportes están sujetos a riesgos tales como ser borrados o dañados accidentalmente, ser archivados de forma errónea o, incluso, ser hurtados, por personas poco familiarizadas con este tipo de soportes o

no autorizadas como usuarios. El "software", los programas y los datos pueden también situarse en discos duros no removibles. Control interno en un contexto de ordenadores personales 13. por lo general, el contexto informatizado en el que se utilizan los ordenadores personales está menos estructurado que si el sistema informático estuviera centralizado. En aquéllos, los programas de aplicación pueden ejecutarse de manera relativamente rápida por usuarios que sólo tengan conocimientos básicos de procesamiento de datos. En tales casos, los controles sobre el sistema de desarrollo del proceso (por ejemplo, la adecuada documentación) y de las operaciones (por ejemplo, procedimientos de control de acceso), esenciales para el control efectivo de un contexto altamente informatizado, pueden no ser considerados importantes o adecuados en un contexto con ordenadores personales en cuanto su relación coste-eficacia por quien realiza la programación, por el usuario o por la gerencia empresarial. No obstante, en la medida en que los datos se procesan en un ordenador, los usuarios de tales datos pueden tender a confiar injustificadamente en la información financiera almacenada o generada de este modo. Dado que los ordenadores personales están orientados a usuarios individuales, el grado de precisión y garantía de la información financiera producida dependerá de los controles internos prescritos por la gerencia y adoptados por el usuario. Por ejemplo, cuando existen varios usuarios de un único ordenador personal sin los controles adecuados, los programas y datos almacenados en un soporte no removible por un usuario existe la posibilidad de acceso no autorizado, utilización, alteración o hurto por otros usuarios. 14. En un contexto típico de ordenadores personales, la discusión entre controles generales y controles de aplicación en un contexto informatizado puede no ser fácilmente determinable. Los párrafos 15 a 32 describen los controles de seguridad y los procedimientos de control que pueden ayudar a mejorar los dos niveles de control interno. Autorización de la dirección para la utilización de ordenadores personales 15. La gerencia puede contribuir a la eficacia en la operatividad de los ordenadores personales prescribiendo y aplicando políticas para su control y utilización. Tales políticas pueden incluir: - responsabilidades gerenciales; - instrucciones para la utilización de los ordenadores personales; - requisitos de formación; - autorización para el acceso a programas de datos; - políticas para prevenir las copias no autorizadas de programas y datos; - requerimientos de seguridad en copias y operaciones de borrado; - normas para el desarrollo de aplicaciones y documentación; - normas de información de formatos y de distribución de controles; - políticas en relación con la utilización por el personal;

- normas sobre la integridad de los datos; - responsabilidad por la corrección de programas, datos, errores; - adecuada separación de tareas. Seguridad física de los equipos 16. Dadas sus características físicas, los ordenadores personales son susceptibles de hurtos, daños físicos, acceso no autorizado o utilización indebida. Con ello puede causarse la pérdida o borrado de información en el ordenador personal, que puede referirse a datos de importancia para el sistema contable. 17. Un procedimiento para asegurar su integridad física es la restricción del acceso a los ordenadores personales cuando no se utilizan, estableciendo un código de acceso o cualquier otro sistema de protección durante el horario diferente al laboral. También pueden establecerse otras medidas físicas de seguridad en relación con los ordenadores personale s, tales como: - situarlos en una cabina o similar. - utilización de un sistema de alarma que se active cuando el ordenador personal se desconecte o se desplace de su situación habitual. - fijar el ordenador personal a una mesa; o - instalar un mecanismo de cierre que suponga el control de acceso al interruptor de encendido. Ello no previene el hurto del ordenador personal, pero puede resultar efectivo en el control de las utilizaciones indebidas. Seguridad física de los soportes removibles y fijos 18. Los programas y datos utilizados en un ordenador personal pueden almacenarse en soportes removibles o fijos. Los disquetes y discos compactos normalmente constituyen elementos separables del ordenador personal, mientras que los discos duros están unidos al mismo o a una unidad aneja. Cuando un ordenador personal se utiliza por diferentes individuos, los usuarios pueden desarrollar una actitud despreocupada en relación al almacenamiento de los disquetes o discos compactos de los que son responsables. Como consecuencia, tales elementos, pueden ser indebidamente archivados, alterados sin autorización o destruidos. 19. El control sobre los soportes removibles puede establecerse asignando la responsabilidad sobre ellos entre el personal que tiene atribuciones sobre la custodia del "software" o del almacenamiento de los diferente programas. El control puede intensificarse si existe un sistema se comprobación de los programas y datos, que detecte el acceso a los mismos y si los mecanismos que impiden el borrado de datos están activados. Tales controles internos ayudan a asegurar que los soportes de almacenamiento removibles no se pierdan, se archiven inadecuadamente o se entreguen a personal no autorizado. El control físico sobre los soportes fijos se establece más adecuadamente con mecanismos que impidan el acceso. 20. Dependiendo de la naturaleza de los programas y de los archivos, es adecuado realizar copias actualizadas de disquetes, discos compactos y discos duros de un archivo resistente al fuego, en el propio puesto de trabajo, fuera del mismo, o en ambos lugares a la vez. Ello se aplica también a los sistemas operativos y a los programas de "software".

Seguridad de los programas y datos 21. Cuando los ordenadores personales son accesibles a varios usuarios, existe el riesgo de que los programas y los datos puedan ser alterados sin autorización. 22. Saso que los sistemas operativos de "software" en los ordenadores personales pueden no contener demasiados elementos de control y seguridad, existen varias técnicas de control interno que pueden incorporarse a los programas para asegurar que los datos se procesan y autorizan de acuerdo con la autorización previa, y que se previene la destrucción de los datos. Estas técnicas, que limitan al personal autorizado el acceso a los programas y a los datos incluyen: - segregación de datos en archivos organizados en directorios separados; - utilización de archivos ocultos o de nombres secretos se archivos; - empleo de códigos de acceso, y - utilización de sistemas criptográficos. 23. La utilización de directorios separados permite al usuario segregar la información en soportes removibles y fijos. Para información especialmente importante, esta técnica puede contemplarse con asignación de nombres secretos a los archivos ocultos. 24. Cuando los ordenadores personales se utilizan por múltiples usuarios, una técnica efectiva de control interno es la utilización de códigos que determinan el grado de acceso permitido a cada usuario. El código debe ser asignado y controlado por un empleado independiente del sistema específico en el que tal código se aplica. El "software" relativo a estos códigos puede ser desarrollado por la entidad, pero también puede adquirirse a terceros. En ambos casos, los controles internos pueden reforzarse instalando "software" con baja probabilidad de ser modificado o interferido por los usuarios. 25. La criptografía puede suministrar un control efectivo en la protección de programas o de información sensibles o confidenciales. Normalmente se utiliza cuando se transmiten datos confidenciales a través de líneas de comunicación, pero también pueden utilizarse en la información procesada por el ordenador personal. La criptografía es el proceso de hacer ininteligibles los programas y la información. La traducción de datos requiere el uso de programas especiales y de un código conocido únicamente por aquellos usuarios designados previamente para la utilización de determinados programas e información. 26. Los directorios y archivos ocultos, la utilización "software" con códigos de acceso y los sistemas criptográficos pueden utilizarse en ordenadores personales que tengan tanto soportes de almacenamiento removibles como fijos. En el primer caso -ordenadores con soportes de almacenamiento removibles- un medio eficaz de seguridad de programas y datos es separar los disquetes y discos compactos del ordenador personal y colocarlos bajo la custodia del responsable de los datos o de los archivos de programas. 27. Un control adicional de acceso en relación con la información confidencial almacenada en soportes fijos es copiarla en un disquete o en un disco compacto y borrar los archivos del soporte fijo.

El control del disquete o del disco compacto puede establecerse de la misma manera que el aplicado a otros datos confidenciales almacenados en el mismo tipo de soporte. El usuario debe ser consciente de que algunos programas incluyen una función de "borrado", pero que no puede ser utilizada con archivos de disco duro. Tales funciones únicamente borran el nombre del archivo en el disco duro cuando se insertan nuevos datos en los archivos antiguos o cuando se utilizan programas especiales para limpiar los archivos. Integridad del software y de los datos 28. Los ordenadores personales se utilizan por usuarios concretos para el desarrollo o aplicación de programas, entrada y proceso de datos y confección de informes. El grado de precisión y garantía de la información financiera producida dependerá de los controles internos prescritos por la gerencia y adoptados por los usuarios, así como de los controles incluidos en la aplicación de los programas. Los controles de integridad del "software" y de los datos pretenden asegurar que la información procesada está libre de errores y que tal "software" no es susceptible de manipulación no autorizada (por ejemplo, que los datos autorizados se procesan de la manera prevista). 29. La integridad de los datos puede reforzarse incorporando procedimientos de control interno tales como comprobaciones de formato y adecuación de los resultados. La revisión del "software" adquirido puede determinar si contiene adecuados sistemas de detección de errores. Para la utilización de "software" avanzado, que incluya modelos o plantillas de hojas de cálculo y aplicaciones de bases de datos, la dirección puede especificar por escrito los procedimientos para desarrollar y probar las aplicaciones de los programas. Para algunas aplicaciones críticas o especialmente delicadas, el personal que procesa los datos apropiados y que los cálculos y las operaciones similares se realizan adecuadamente. El usuario final puede utilizar dicha información para validar los resultados de la aplicación. 30. La adecuada documentación escrita de las aplicaciones que se ejecutan en el ordenador personal puede fortalecer el "software" y los controles adicionales de integridad de los datos. Tal documentación puede incluir las instrucciones por etapas del proceso, la descripción de los informes preparados, la fuente de los datos procesados, la enumeración de los archivos y otras especificaciones, tales como la naturaleza de los cálculos realizados. 31. Si la misma aplicación contable se utiliza en varios lugares, la integridad y consistencia de la aplicación de "software" puede aumentarse cuando los programas de aplicación se desarrollen y mantengan en un sólo lugar, y no dispersos en la entidad, en los distintos puestos de trabajo de cada usuario. Copias de seguridad de "hardware", "software" y datos 32. La copia de seguridad se refiere a los medios utilizados por la entidad para poder disponer de un "hardware", "software" y datos iguales, en caso de si deterioro, pérdida o destrucción. En un contexto con ordenadores personales, los usuarios normalmente son responsables de su procesamiento, que incluye la identificación de los programas importantes y de los archivos que deben ser copiados periódicamente y almacenados en un lugar diferente al ordenador personal. Es especialmente importante establecer procedimientos de este tipo que se apliquen regularmente por los usuarios. Los paquetes de "software" adquiridos a terceros normalmente acompañan una copia de seguridad o las instrucciones necesarias para realizarla. Efecto de los ordenadores personales en el sistema contable y en los correspondientes controles internos

33. El efecto de los ordenadores personales en el sistema contable y en los riesgos asociados al mismo depende generalmente de: - la amplitud con que se utiliza el ordenador personal en aplicaciones de carácter contable; - el tipo e importancia de las transacciones financieras procesadas; - la naturaleza de los archivos y programas utilizados en las aplicaciones. 34. Las características de los sistemas de ordenadores personales descritos hasta aquí en esta Declaración ilustran alguna de las consideraciones necesarias para diseñar procedimientos de control con la adecuada economicidad. A continuación se incluye un sumario de estas consideraciones básicas y de sus efectos en los contextos informatizados y en los controles de aplicación de tales contextos. Controles generales en un contexto informatizado. Segregación de responsabilidades 35. En un contexto de ordenadores personales, es normal que los usuarios realicen dos o más de las siguientes funcione en el sistema contable: - iniciación y autorización de los documentos base u origen de los apuntes; - introducción de datos en el sistema; - utilización del sistema operativo del ordenador; - cambio de programas y archivos; - utilización o distribución de la información obtenida; y - modificación de los sistemas operativos. En otros contextos con ordenadores personales, tales funciones deben normalmente estar separadas, con los controles adecuados en el marco del sistema informático. La falta de segregación de funciones en un contexto con ordenadores personales puede: - producir errores que permanezcan sin detectar; y - permitir que se cometan o se oculten fraudes. Controles de aplicación en un contexto informatizado 36. La existencia y utilización de controles adecuados de acceso al "software", "hardware" y a los archivos de datos, combinados con controles de los datos de salida, pueden, en conjunción con las políticas implantadas por la dirección, compensar algunos de los puntos débiles de control del sistema informático en el caso de los ordenadores personales. Entre los controles que pueden resultar efectivos se incluyen los siguientes: - sistemas de corte de transacciones y de comprobación de saldos; - supervisión directa; y - reconciliación de apuntes o saldos totales; El control puede establecerse como una función independiente que normalmente puede:

- aprobar los datos que deben ser procesados; - asegurar que todos los datos son debidamente autorizados y procesados; - controlar los errores detectados durante el proceso; - verificar la adecuada distribución de los datos de salida; y - restringir el acceso físico a los programas de aplicación y a los archivos de datos. Efectos de un contexto de ordenadores personales en los procedimientos de auditoría 37. En un contexto con ordenadores personales, puede no ser practicable o excesivamente costoso para la gerencia la implantación de controles suficientes para reducir al mínimo nivel posible el riesgo de errores no detectados. Por tanto, el auditor puede con frecuencia tener que asumir que el riesgo de control es alto en tales sistemas. 38. En tales situaciones, desde el punto de vista de la economicidad, después de obtener el necesario conocimiento del control del entorno y del flujo de transacciones, más que realizar una revisión de los controles generales y de los controles de aplicación del sistema informático, puede ser más adecuado para el auditor concentrar sus esfuerzos de auditoría en pruebas sustantivas en fechas próximas al cierre del ejercicio. Ello puede implicar exámenes físicos y confirmaciones con mayor extensión de los activos, pruebas de detalle más amplias, muestras de mayor tamaño y mayor utilización de técnicas de auditoría asistidas por ordenador, cuando todo ello sea adecuado. 39. Las técnicas de auditoría asistidas por ordenador pueden incluir el uso del "software" del cliente (bases de datos, hojas de cálculo o utilidades de "software"), que ha sido sometido a revisión por el auditor, o la utilización de los programas del "software" de este último. Tal "software" puede utilizarse por el auditor, por ejemplo, para sumar las transacciones o los saldos en los archivos de datos para su comparación con los registros de control o con los balances de saldos, para seleccionar los saldos o transacciones a los que han de aplicarse pruebas detalladas o para confirmar o examinar la existencia de partidas inusuales en las bases de datos. 40. En algunas circunstancias, sin embargo, el auditor puede decidir adoptar un enfoque diferente. Tales circunstancias pueden proceder de sistemas de ordenadores personales que procesen amplios volúmenes de transacciones cuando se considere de mayor economicidad realizar el trabajo de auditoría sobre los datos en fechas preliminares. Por ejemplo, una entidad que procese un amplio número de transacciones de ventas en un ordenador personal puede establecer procedimientos de control que reducen el control del riesgo; el auditor puede decidir, en base a una revisión preliminar de los controles, desarrollar un enfoque de auditoría que incluya la prueba de esos controles en los que espera confiar. 41. A continuación de enumeran algunos ejemplos de procedimientos de control que un auditor debe tener en cuenta cuando pretende confiar en los controles internos relacionados con los ordenadores personales: a) Segregación de tareas de control de saldos: - separación de las funciones enumeradas en el párrafo 36; - rotación de tareas y responsabilidades entre los empleados;

- reconciliación de saldos con los controles generales del mayor. - revisiones periódicas por la gerencia de los procedimientos de inventario e informes que identifiquen a los individuos que utilicen el sistema. b) Acceso a los ordenadores personales y a sus archivos: - Localización de los ordenadores personales a la vista de los individuos responsables de controlar el acceso a los mismos. - Utilización de llaves de acceso en los computadores y terminales. - utilización de códigos de acceso a los programas y archivos de datos de los ordenadores personales. - Restricciones a la utilización de programas. c) Utilización del "software" de terceros: - Revisión de las aplicaciones del "software" antes de la adquisición. incluidas sus funciones, capacidad y controles. - Adecuada prueba del "software" y de sus modificaciones antes de su utilización. - Evaluación global de la adecuación del "software" para cumplir los requerimientos de sus usuarios.