Seguridad

SEGURIDAD DE LOS SISTEMAS CONTABLES INFORMATIZADOS EN LAS PYMES

FEBRERO 2004

Hay una fuerza motriz más poderosa que el vapor, la electricidad y la energía atómica: la voluntad. Albert Eintein

Agradecimientos: A todos aquellos: docentes, amigos y familiares, que mediante su colaboración y su apoyo hicieron posible la realización de este trabajo, y a todas las empresas que nos brindaron la información necesaria para alcanzar nuestro objetivo.

INTRODUCCIÓN Objetivo del trabajo El propósito de la realización de este trabajo monográfico es, ante todo, concientizar a los usuarios de programas contables computarizados de los riesgos que puede enfrentar la información por ellos procesada, brindando un texto que analice la seguridad de la información en todos sus aspectos. En ningún momento el objeto perseguido será emitir un juicio de valor general ni específico sobre los diferentes programas a evaluar, sino que la evaluación se realizará solamente a los efectos de este trabajo y con el fin de lograr el objetivo definido anteriormente. Por otra parte, tampoco se pretende influir en la decisión del lector al momento de efectuar la compra de un programa contable. También nos planteamos como objetivo, que este trabajo nos proporcione nuevos conocimientos sobre un tema que será de gran interés en nuestra actividad profesional. Desarrollo Con el fin de facilitar la comprensión de este trabajo, hemos incluido una primera parte donde se desarrollan los principales conceptos relacionados, en primer lugar con el Sistema contable en general, para luego incursionar en el tema de la Seguridad informática. La segunda parte la constituirá el Trabajo de Campo, en el cual evaluaremos una serie de programas contables utilizados en las PYMES de nuestro país, seleccionados a tal efecto. Asimismo presentaremos un resumen de encuestas que brindará al lector una visión general de la tendencia en cuanto a la seguridad que tiene la información contable en dichas empresas. Metodología del Trabajo de campo En una primera instancia procederemos a enumerar los diferentes aspectos que vamos a considerar para la evaluación de los programas, efectuando una breve descripción de los mismos agrupados en categorías. Luego pasaremos a realizar dicha evaluación la cual será dividida en dos niveles: un primer nivel donde para los programas incluidos en el mismo se procederá a evaluar cada uno de los aspectos enumerados, y un segundo nivel más superficial en el cual se realizará una evaluación menos exhaustiva de estos aspectos. Para el primer nivel de evaluación, presentaremos en el cuerpo del Trabajo de campo un resumen de la evaluación realizada y las conclusiones para cada programa, y en la parte correspondiente a los Anexos, se adjuntarán para cada uno de ellos, una serie de interrogantes respondidas por nosotros a lo largo de la evaluación.

Luego, desarrollaremos conclusiones generales que se basarán en el primer nivel de evaluación, intentando compactar la información obtenida para cada uno de los programas, emitiendo las mismas por cada categoría de aspectos evaluada. El segundo nivel de evaluación, realizado a los efectos de ofrecer al lector una visión más completa de los programas utilizados en plaza y de la seguridad que ellos brindan, constará de una breve descripción de cada programa y los aspectos evaluados del mismo, presentada en el cuerpo del Trabajo de campo. Por último, presentaremos el resumen de las encuestas realizadas a empresas, estudios contables y contadores independientes utilizando los siguientes medios: e-mail y entrevistas personales.

Seguridad de los Sistemas Contables informatizados en las PYMES

EL SISTEMA CONTABLE 1) EL SISTEMA DE INFORMACIÓN DE LA EMPRESA Uno de los factores de mayor importancia en la administración actual, es poseer información oportuna y confiable, tanto en los distintos procesos de una organización, como para la toma de decisiones. Por lo tanto, es necesario controlar que cada etapa del sistema conformado para obtener la información se haya cumplido correctamente, es decir, se verifique que los procesos administrativos y electrónicos de datos sean coherentes y actúen como un todo que satisfaga los requerimientos de quienes deben hacer uso de dicha información. Podemos definir un sistema de información como el conjunto de elementos o funciones interrelacionados que recoge datos, los procesa y convierte en información, que almacena y posteriormente distribuye a sus usuarios. Los sistemas varían en cuanto a elementos, aspectos, volumen, atributos, relaciones y objetivos. Si lo miramos desde este punto de vista, la empresa es un sistema, así lo demuestran las diversas y múltiples interrelaciones que existen entre sus partes. De todas maneras, podemos decir que en el sistema de información de la empresa se pueden identificar claramente los elementos que se detallan a continuación:

Figura 1 – Elementos del Sistema de información. El sistema de información, a través de sus componentes, toma los datos desde la actividad para conducirlos en sucesivas etapas y grados de elaboración, al proceso de decisiones.

1

Seguridad de los Sistemas Contables informatizados en las PYMES 2) EL SISTEMA DE INFORMACIÓN CONTABLE En toda empresa conviven varios sistemas -o mejor dicho subsistemas- de información. “La Contabilidad, parte integrante del sistema de información de un ente, es la técnica de procesamiento de datos que permite obtener información sobre la composición y evolución del patrimonio de dicho ente, los bienes de propiedad de terceros en su poder, y ciertas contingencias. Dicha información debería ser de utilidad para facilitar las decisiones de los administradores del ente y de los terceros que interactúan o pueden llegar a interactuar con él, así como permitir una eficaz vigilancia sobre los recursos y obligaciones del ente”1. De la definición anterior surge que la contabilidad forma parte del sistema de información que maneja toda la empresa, es decir que el sistema de información contable puede entenderse como un subsistema del sistema de información de la misma. El procesamiento de información contable puede caracterizarse por los siguientes aspectos 2: Realiza tareas necesarias: habitualmente la legislación exige a toda empresa mantener un registro de sus actividades. Además elementos del entorno (por ejemplo el Gobierno), los accionistas y propietarios y la comunidad financiera, exigen que se realice el procesamiento de los datos contables. Incluso, de no ser exigido por estos, la gerencia siempre implementaría un sistema de información contable para establecer y mantener un control. Sigue procedimientos relativamente estandarizados: existen reglamentos y prácticas generalmente aceptadas por las empresas, que dictan la forma de procesar los datos. Maneja datos detallados: los registros de procesamiento de datos describen las actividades de las empresas en forma detallada, creando un rastro de auditoría. Tiene un enfoque primordialmente histórico: los datos manejados por este sistema describen situaciones pasadas, especialmente cuando se utiliza el sistema de procesamiento por lotes. Proporciona información para la resolución de problemas: los informes de contabilidad producidos por el sistema, son valiosos tanto en el área financiera de la empresa, como en los niveles gerenciales más altos. Asimismo, proporciona una rica base de datos que suministra gran parte de las entradas de otros subsistemas que contribuyen a la resolución de problemas. En la actualidad, la gran mayoría de las empresas utilizan sistemas computarizados para efectuar el procesamiento de la información contable. De esta manera podemos decir que estos sistemas forman parte del sistema de información contable de la empresa, considerándolos como subsistema del mismo. Hay quienes suelen confundir el sistema de información contable de la empresa con estos sistemas contables computarizados sin considerar que existen otras tareas necesarias para alcanzar el objetivo de la contabilidad, las cuales no es posible informatizar. Podemos citar a modo de

1 2

Organización de Sistemas Contables, Fowler Newton, Buenos Aires – Año 1982, Capítulo 1 – Página 4. Sistemas de Información Gerencial, Raymond Meteod Jr., México – Año 2000, Capítulo 12 – Página 312.

2

Seguridad de los Sistemas Contables informatizados en las PYMES ejemplo las siguientes: definición de criterios de valuación, selección de unidad de medida, asignación de tareas a personas, elaboración de manuales de procedimientos contables, etc. Por lo expuesto, debe quedar claro que si bien ambos son sistemas en sí mismos, no deben ser utilizados como sinónimos. MEDIO AMBIENTE EMPRESA SISTEMA DE INFORMACIÓN DE LA EMPRESA

SISTEMA DE INFORMACIÓN CONTABLE

Definición de Criterios de valuación

SISTEMA CONTABLE COMPUTARIZADO

Elección de Unidad de medida

Asignación de tareas a personas

Figura 2 – El Sistema de información contable. 3) EL PROCESAMIENTO DE LA INFORMACIÓN CONTABLE 3.1) Etapas del procesamiento El procesamiento de la información consiste en captar datos del contexto y transformarlos en información comunicable. En el caso del procesamiento de información contable el mismo puede ser dividido en una serie de etapas o subprocesos en los cuales interviene, directa o indirectamente el factor humano: a) Captación de datos: consiste en la recepción de información sobre hechos y transacciones que describen cada una de las acciones de la empresa, tanto internas como relacionadas con el entorno de la misma. b) Controles sobre la recepción de datos: no es suficiente tener la documentación respaldante de las transacciones, sino que es necesario analizar si la misma cumple con determinadas especificaciones y si se ha recibido toda la documentación correspondiente. 3

Seguridad de los Sistemas Contables informatizados en las PYMES c) Análisis de datos: este subproceso marca las pautas de cómo debe actuar quien se encarga de la registración frente a la documentación recibida, determinando si corresponde o no su registro así como la forma de llevarlo a cabo. d) Registro de datos: una vez controlados y analizados los hechos y transacciones que deben ser registrados contablemente, corresponde su registro, lo cual se traduce en los llamados “asientos de entrada”. Es necesario en esta etapa, efectuar una serie de controles en el ingreso de la información como forma de garantizar la correcta imputación contable. e) Cálculo de saldos y de su composición analítica: “Este proceso responde a la aplicación de un algoritmo habitualmente sencillo, dado que consiste en sumar algebraicamente el saldo anterior de la cuenta o concepto analítico de que se trate y los débitos y créditos registrados” 3 . f) Controles periódicos de saldos: “El sistema contable, prevé la aplicación de otros mecanismos de control destinados a obtener satisfacción de que los saldos mostrados por el sistema son razonablemente confiables y pueden servir como base para la preparación de informes” 3. g) Preparación de informes: cumplidas las etapas anteriores y sobre la base de saldos contables confiables, se procede a la preparación de los informes, los cuales en la mayor parte de los casos consistirán en documentos que serán utilizados por individuos y organizaciones tanto de dentro como de fuera de la empresa.

PROCESAMIENTO

REGISTRO ENTRADA (Datos)

CLASIFICACIÓN

ALMACENAMIENTO

SALIDA (Información)

CÁLCULO

Figura 3 – Procesamiento de datos contables.ª 3.2) Informatización de las tareas de procesamiento contable Como mencionamos anteriormente, algunas de las tareas de procesamiento contable de datos pueden efectuarse con la ayuda de computadores y además como consecuencia de esta informatización van a surgir nuevas tareas, entre ellas: 1) Captación de datos a ser registrados: para que sea posible, los datos deben ser susceptibles de lectura directa por el software contable. 3

Organización de Sistemas Contables, Fowler Newton, Buenos Aires – Año 1982, Capítulo 2 – Página 21. ª Organización de Sistemas Contables, Fowler Newton, Buenos Aires – Año 1982, Capítulo 5 – Página 93.

4

Seguridad de los Sistemas Contables informatizados en las PYMES 2) Registración de asientos: normalmente, estas registraciones implican anotaciones en bases de datos cuyo contenido permite en cualquier momento, “rearmar” los asientos, identificar los movimientos que afectan a las diversas cuentas y sus saldos. 3) Comparaciones lógicas, cálculos matemáticos y clasificación de datos: estas tareas son necesarias para la realización de controles, para la preparación de nuevos asientos, o para la preparación de informes. 4) Armado de respuestas a consultas aisladas y de informes periódicos: los tipos de consultas que posiblemente se puedan formular así como los informes de emisión periódica deben estar previstos por el software, para que éste sea capaz de entenderlos y resolverlos. 5) Grabación de dichas respuestas e informes en archivos electrónicos: dicha grabación se realiza para su posterior lectura, modificación, combinación con otro archivo, inserción en un documento, utilización por otro software o impresión. 6) Respaldo de datos: respaldo es la obtención de una copia exacta de la información en otro medio magnético de tal modo que a partir de dicha copia es posible restaurar el sistema al momento de haber realizado el respaldo. De esta manera obtenemos una solución al problema de la pérdida de datos así como también la seguridad contra la destrucción deliberada o accidental de los mismos. La informatización de este procesamiento permite que las tareas se realicen con mayor rapidez y eficacia por las características físicas de los computadores. Sin embargo, también es necesario tener en cuenta el grado de seguridad que pueda brindar este tipo de software, lo que dependerá de que el mismo haya sido desarrollado considerando de manera conveniente este aspecto. En cuanto al alcance de esta informatización, debe tenerse en cuenta que la misma no tiene porqué abarcar todas las áreas susceptibles de informatización y puede ser progresiva, alcanzando sucesivamente a diversos subsistemas del sistema contable. 4) TIPOS DE SISTEMAS CONTABLES COMPUTARIZADOS Los sistemas contables informatizados (o aplicaciones contables) se encuentran comprendidos dentro del concepto de “Software de aplicación”, que es definido como el conjunto de programas orientados a la resolución de problemas. Es decir, que son aquellos programas utilizados por los usuarios para poder llevar a cabo las tareas necesarias de procesamiento de datos. Existen varias formas de clasificar el software de aplicación, una de las posibles es en tres grandes categorías: 1) De uso general: son programas o conjuntos de programas que han sido realizados con el fin de solucionar una amplia gama de problemas. 2) De uso específico: están orientados a resolver problemas de un área específica. Pueden ser usados en varias empresas, pero en ocasiones, cuando las características de las empresas son particulares, puede ser necesario que el proveedor realice cambios en esos programas, o bien que la empresa decida adecuar sus procedimientos a los mismos. 3) Hechos a medida: son confeccionados a solicitud de una persona o empresa y pueden ser desarrollados por: 5

Seguridad de los Sistemas Contables informatizados en las PYMES personal de la empresa; proveedores de software externos contratados por la empresa. Estos sistemas surgen de acuerdo al estudio realizado de los requerimientos del usuario, por lo cual en general transcurre un tiempo entre la solicitud y el programa pronto para usar. Los sistemas contables pueden clasificarse dentro de las dos últimas categorías ya que están orientadas a un área específica, y pueden ser programas estándar, ya existentes en plaza, o programas confeccionados a medida. Por otra parte, algunos productos pueden ser solamente ejecutados en computadores individuales, mientras que otros también pueden utilizarse en redes. 5) CARACTERÍSTICAS DE LOS SISTEMAS CONTABLES 4 5.1) Mono o Multiusuario Un sistema es monousuario cuando un solo usuario puede hacer uso del mismo. Son multiusuario cuando permiten definir y manejar varios usuarios. Se pueden definir distintos “perfiles de usuarios” con nombre y contraseña, los que los habilitan a acceder a determinados datos y a realizar ciertas tareas. Esto quiere decir que varios usuarios pueden realizar tareas distintas, pero en diferentes momentos, con la posibilidad de que cada uno maneje sus propios datos sin afectar los de otros. También puede ser utilizado al mismo tiempo por diferentes usuarios desde equipos diferentes conectados en red. Esto es una ventaja, si los datos del sistema residen en un único equipo, al cual se conectan varios de ellos; si alguno de estos últimos falla, no se detiene la operativa ya que los restantes pueden seguir funcionando. En cambio si se produce una falla en el equipo que contiene los datos, por mas que los restantes estén operativos, no será posible acceder al sistema. 5.2) Grado de integración con otros sistemas Lo más importante respecto de un sistema contable computarizado es que permita obtener información para la toma de decisiones, el control patrimonial y el cumplimiento de disposiciones legales. Para alcanzar con mayor eficiencia este objetivo, es de esperar que el sistema contable computarizado esté ampliamente integrado con otros sistemas, como por ejemplo facturación y liquidación de sueldos, de modo que no sea necesario ingresar los mismos datos más de una vez o preparar resúmenes de ellos en forma manual. Generalmente dicha integración es posible debido a que estos sistemas son desarrollados por el mismo proveedor. 4

Contabilidad Computadorizada, Fowler Newton, Buenos Aires – Año 1995, Capítulo 3 – Página 46 y siguientes.

6

Seguridad de los Sistemas Contables informatizados en las PYMES Por el contrario, cuando para las distintas tareas se adquieren sistemas computarizadas de distinto origen, no es de esperar tal grado de integración automática. De todos modos debería considerarse si existen mecanismos que faciliten la conexión entre los diversos sistemas. 5.3) Sistema Operativo y Hardware requerido Un software sólo puede ser ejecutado en los sistemas operativos para los cuales fue diseñado, en sus versiones más avanzadas o en los compatibles con ellos. Asimismo deben tenerse en cuenta los requerimientos mínimos de hardware al diseñar o adquirir una aplicación, que generalmente se refieren a: procesador (tipo y velocidad); memoria principal (tipo, velocidad de acceso y cantidad); capacidad de almacenamiento en disco; otros componentes que dependen de cada software en particular. Estos requerimientos pueden condicionar el correcto funcionamiento de la aplicación, cuanto más sofisticado sea el software a utilizar, los requerimientos de hardware serán más críticos.

Las tareas contables

Se facilitan

Productos de Software

a través de

Los que

Requerimientos de Hardware

determinan los

Figura 4- Requerimientos de Hardware. Tanto el sistema operativo como el hardware deberían adecuarse a aquella aplicación que la empresa considere que satisface plenamente sus necesidades, pero deberá tenerse en cuenta el análisis de costo-beneficio de la implementación de la misma. 5.4) Instalación y desinstalación Existen diversas maneras de recibir los archivos necesarios para instalar una aplicación, ya sea respecto al medio magnético así como a los propios archivos. Cualquiera sea la forma en que el proveedor los suministre debería brindar al comprador toda la información necesaria para una instalación exitosa. Por otra parte, para evitar la violación de los derechos intelectuales del productor del software, algunos productos tienen controles sobre la cantidad y forma de instalación, por lo cual se deberá tomar en cuenta este aspecto en caso de producirse una desinstalación inesperada. 7

Seguridad de los Sistemas Contables informatizados en las PYMES 5.5) Personalización y parametrización (flexibilidad) Cuando hablamos de personalización nos referimos a la posibilidad de que la aplicación permita la modificación de aspectos puntuales de su funcionamiento. Debido a que en los sistemas contables esta posibilidad se encuentra más acotada que en las de propósito general, el usuario no debe adquirir aplicaciones que incluyan rigideces incompatibles con sus necesidades. En el caso de las aplicaciones hechas a medida, el usuario debe ser quien decida sobre los aspectos significativos en el diseño de dicho software. Gran parte de la funcionalidad del sistema está basada en un conjunto de valores que afectan de manera directa su comportamiento, por ello luego de la personalización se debe proceder a la parametrización del sistema, una vez que el implantador conoce los procesos del cliente procede a configurar el sistema, para que este se adapte, tanto como sea posible, a los procesos y requerimientos del cliente. 5.6) Conocimiento de las estructuras de las bases de datos Podemos definir una base de datos como una colección de archivos interrelacionados que engloba la información (almacenadas en archivos) de una organización, de tal manera que los datos estén disponibles para los usuarios. El conocimiento de las estructuras de las bases de datos puede considerarse innecesario cuando la aplicación brinda todos los informes solicitados por el usuario de acuerdo a sus necesidades, esta está totalmente integrada y ejecuta coordinadamente las principales tareas contables. En cambio, el mismo puede considerarse imprescindible para el desarrollo de programas especiales que puedan leer dichas bases de datos para obtener informes o archivos que la aplicación no genera; aunque si el desarrollo de la aplicación importadora prevé su lectura e interpretación, el conocimiento detallado de esa estructura dejaría de ser imprescindible. Por otra parte, si se realiza la exportación de datos de la aplicación contable con la expectativa de que ellos sean utilizados por otras no integradas a la misma, es necesario informarse sobre la estructura de tales archivos ya que esta información es imprescindible para diseñar programas que puedan leerlos. 5.7) Seguridad El control interno de cualquier empresa debe prever mecanismos para la protección de los datos contables, los cuales son considerados un activo valioso para la misma. Cuando se informatizan las tareas contables, la aplicación de los mecanismos referidos depende, en parte, del grado de seguridad de los sistemas computarizados que se utilicen. Sin embargo, también es necesario considerar el grado de seguridad en otros niveles, como lo son, el software de base y el hardware. Si el grado de seguridad en alguno de estos niveles no es el adecuado, la aplicación podrá ser atacada por más que esta posea un excelente nivel de seguridad.

8

Seguridad de los Sistemas Contables informatizados en las PYMES

Ética Software de aplicación

Seguridad a nivel de aplicación

Software de base

Seguridad a nivel de Sistema Operativo

Hardware

Seguridad física

Figura 5- Niveles de seguridad Otro punto muy importante a considerar es el de la seguridad que brinden las bases de datos utilizadas, ya que además de tomarse en cuenta los aspectos mencionados en el punto 5.6, deberá conocerse que herramientas de seguridad permiten definir dicha bases para proteger la información contenida en ellas. 6) PUESTA EN MARCHA Y MANTENIMIENTO DE SISTEMAS CONTABLES La puesta en marcha de una aplicación contable computarizada incluye diversas actividades: 6.1) Instalación Es la tarea durante la cual: a) b) c) d)

Se define los directorios que la aplicación utilizará para leer los programas. Se extraen los archivos que el proveedor hubiere entregado comprimidos. Se copian los archivos necesarios en los directorios adecuados. Se definen algunas pautas para el funcionamiento de la aplicación.

6.2) Personalización y parametrización La personalización se basa en las características del Hardware a utilizar y en las necesidades o preferencias del usuario, puede formar parte de la instalación o efectuarse luego de la misma; además puede ser modificada con posterioridad. En cuanto a parametrización, antes de poder utilizar ciertas funciones, se deberá alimentar al sistema con la información básica necesaria para su funcionamiento. 9

Seguridad de los Sistemas Contables informatizados en las PYMES Durante esta actividad el implantador puede configurar entre otras cosas, los parámetros de cada una de las empresas que el cliente maneja, las pantallas de los principales procesos que maneja el sistema, la seguridad de los datos. Asimismo el cliente luego de que el sistema esté en funcionamiento, seguirá definiendo parámetros para adecuarse a las nuevas necesidades. 6.3) Apertura de bases de datos Dicha apertura incluirá el registro de datos: Del contexto, utilizables en la contabilidad de más de una empresa. Necesarios para la contabilidad de cada una de ellas. 6.4) Selección y diseño de los informes a ser preparados Normalmente, los sistemas contables computarizados prevén un conjunto de consultas e informes prediseñados que los usuarios pueden requerir o no y no permiten que los usuarios elijan y diseñen otras consultas e informes. Por lo expuesto debería evaluarse si los informes prediseñados contemplan todos los datos que a juicio de la gerencia sean imprescindibles para: la toma de decisiones; el control patrimonial; la preparación de informes de uso externo; el cumplimiento de las normas legales. En el caso de las aplicaciones hechas a medida, el usuario deberá brindar al diseñador las pautas necesarias a efectos de confeccionar los informes que contemplen los datos referidos anteriormente. 6.5) Definición de medidas de seguridad Es importante que en la empresa se realice un análisis de riesgos de la información procesada, a efectos de identificarlos y establecer su importancia. A partir de este análisis se podrán desarrollar los mecanismos básicos de seguridad, que dependerán de la tecnología utilizada. Estos mecanismos deberán formar parte de una Política de Seguridad, la cual debe estar formalmente documentada y adecuadamente divulgada entre los funcionarios para lograr la concientización, entendimiento y compromiso de todos los involucrados. Asimismo deberán llevarse a cabo tareas de mantenimiento de dichos sistemas, que podrán consistir en revisar y actualizar las bases de datos generales, de modo de lograr una mayor eficiencia o seguridad.

10

Seguridad de los Sistemas Contables informatizados en las PYMES Las actividades descriptas anteriormente deberían ser asignadas a los diversos participantes del proceso de generación de información contable, documentando dicha asignación por escrito e incluyéndola en los correspondientes manuales de organización y procedimientos. 7) USUARIOS DE LOS SISTEMAS CONTABLES COMPUTARIZADOS En general, los analistas emplean el término usuario final para referirse a las personas que no son especialistas en sistemas de información pero que utilizan computadoras para hacer su trabajo. Estos usuarios finales pueden dividirse en cuatro categorías 5: 1) Usuarios finales directos (operadores): son los que interactúan con el sistema suministrando los datos de entrada al mismo y recibiendo sus salidas. 2) Usuarios finales indirectos (nivel operativo): son aquellos que se benefician de los resultados o reportes que genera el sistema, pero que no interactúan de manera directa con el Hardware o el Software. 3) Usuarios gerentes (nivel táctico): son quienes tienen responsabilidades administrativas en los sistemas de aplicación. Actúan como usuarios finales directos o indirectos y tienen autoridad para aprobar o no la adquisición de los los sistemas. Asimismo son responsables ante la organización de la efectividad de los mismos. 4) Usuarios directivos (nivel estratégico): son los que incorporan los usos estratégicos y competitivos de los sistemas de información en los planes y estrategias de la organización. Además evalúan los riesgos originados por fallas en los sistemas a los que se expone la misma. En el caso particular de los sistemas contables informatizados en las PYMES, podemos llegar a identificar estas cuatro categorías de usuarios, dependiendo de la organización de la empresa. Sin embargo podemos decir que las dos primeras siempre podrán ser identificadas independientemente de ello. Por otra parte los resultados o reportes obtenidos por los sistemas contables pueden prepararse para su uso exclusivo dentro de la empresa o para su suministro a terceros (sin perjuicio de ser también empleados internamente). De esta manera, la cantidad de posibles usuarios de la información contenida en dichos reportes, principalmente en los Estados Contables, puede variar. Como ejemplos de ellos podemos citar a: Propietarios; Prestamistas; Proveedores; Inversores potenciales; Empleados; Gerentes; Directores; Clientes; 5

Análisis y diseño de Sistemas de Información, James A. Seen, México – Año 1991, Capítulo 1 - Página 17.

11

Seguridad de los Sistemas Contables informatizados en las PYMES Autoridades impositivas; Organismos de control estatal; Analistas financieros, etc. Dada esta diversidad de usuarios con objetivos particulares y con intereses variables en cuanto a la información emitida, es necesario establecer algún tipo de limitación en cuanto a la cantidad de la misma a incluir en los informes. De todas formas, en todo este proceso de comunicación, sea interna o externa, los informes contables requieren, para ser útiles a cada usuario potencial, las siguientes características cualitativas 6: a) Comprensibilidad: deben ser fácilmente comprensibles para cualquier tercero interesado en la empresa que posea los conocimientos básicos de contabilidad y que esté dispuesto a estudiar la información con razonable diligencia. b) Relevancia: la información debe ser relevante con respecto a las necesidades de los usuarios en la toma de decisiones. Se entiende relevante cuando influye sobre las decisiones económicas de los usuarios al ayudarlos a evaluar acontecimientos pasados, presentes o futuros. c) Confiabilidad: los Estados Contables deben ser y son confiables si cumplen las siguientes características: presentación fiel de las transacciones del ente y eventuales riesgos al respecto; reflejar la sustancia económica antes que la formalidad; neutralidad e imparcialidad incluyendo solo realidades de la empresa, excluyendo expectativas particulares; prudencia y cautela al emitir los juicios y efectuar las estimaciones cuando no hay condiciones de certidumbre, de modo tal que los activos o los ingresos no hayan sido sobre valorados y los pasivos o egresos no hayan sido subvalorados; integridad en cuanto se incluyan todas las operaciones materiales y relevantes del ente en los estados contables. d) Comparabilidad: de modo que los usuarios puedan efectuar comparaciones válidas de los Estados Contables de una empresa para poder identificar tendencias en su situación patrimonial y en sus resultados de gestión. Esta característica implica que exista consistencia en los criterios utilizados o la necesidad de identificar las políticas y sus cambios.

6

Temas de Derecho Societario Coordinado por Alicia Ferrer, Aspectos económicos y contables de la Ley 16060, por Cr. Federico Heuer, Páginas 40 y 41.

12

Seguridad de los Sistemas Contables informatizados en las PYMES 8) INCIDENCIA DE LAS NORMAS CONTABLES 8.1) Consideraciones generales Según el Art. 1 del decreto 105/991 podemos entender por normas contables “todos aquellos criterios técnicos previamente establecidos y conocidos por los usuarios, que se utilizan como guía de las acciones que fundamentan la preparación y presentación de la información contable (Estados Contables) y que tienen como finalidad exponer en forma adecuada la situación patrimonial, económica y financiera de un ente” 6. Estas normas pueden variar según el emisor: a) Legales: establecidas por el derecho positivo. b) Profesionales: emanadas de un organismo profesional competente (Pronunciamientos del Colegio de Contadores, Economistas y Administradores del Uruguay, NICs). c) Institucionales: válidas en el marco de una determinada institución (normas banco centralistas, privadas, etc.). Al diseñar o adquirir un sistema contable computarizado deben considerarse aquellas normas contables que refieran tanto a la forma como al contenido de los informes emitidos por el mismo. Con respecto a los datos de entrada, en el marco legal no surge ningún aspecto relacionado con el respaldo documental de los hechos económicos que luego se ven reflejados en los Estados Contables y otros informes trascendentes para evaluar las características de confiabilidad y relevancia de los informes emitidos. Sin embargo, existe cierta reglamentación, como la emitida por la Dirección General Impositiva donde se establecen los requerimientos mínimos exigidos para la documentación respaldante de las operaciones comerciales. En cuanto al procesamiento de la información, las tareas del mismo deben ser diseñadas de modo de permitir el cumplimiento de las normas referidas a los informes contables a emitir, como por ejemplo el decreto 103/991 que refiere a la presentación de Estados Contables Uniformes. Por otra parte, los sistemas empleados también deberían facilitar la aplicación de normas legales o profesionales de valuación de activos y pasivos. 8.2) Principales normas vigentes en nuestro país 8.2.1) Informatización de los Libros de Comercio Los Libros de Comercio obligatorios: Diario e Inventario, se han ido trasladando al computador por las claras ventajas de eficacia y practicidad.

6

. Temas de Derecho Societario Coordinado por Alicia Ferrer, Aspectos económicos y contables de la Ley 16060, por Cr. Federico Heuer, Página 38. 13

Seguridad de los Sistemas Contables informatizados en las PYMES La primera norma que avala en forma genérica dicha situación es la ley Nº 16.060 de Sociedades Comerciales del año 1989, en su artículo 91, estableciendo: “que se podrá autorizar el empleo de todos los medios técnicos disponibles en reemplazo o complemento de los libros obligatorios impuestos a los comerciantes”. Posteriormente en 1991 mediante el decreto 104/991 se define totalmente la aceptación de hojas móviles impresas por el computador así como el empleo de fichas microfilmadas que las contengan, como sustituto de los Libros obligatorios tradicionales. Adicionalmente con su modificativo, el Decreto 540/991, se amplía la reglamentación con respecto a este tema. Dicha reglamentación fue complementada con la Ley 16.871 de 1997, mediante la cual se crea un nuevo régimen de registros públicos, y su decreto reglamentario Nº 99/998 que amplia el régimen para el comerciante individual que había quedado excluido del régimen previsto por la ley de sociedades, e incorpora otras organizaciones que antes también se encontraban excluidas. Respecto a los registros contables se continua considerando obligatorio el libro Copiador de Cartas, que a pesar de ser poco usado puede llegar a contener información relevante para la confección de los Estados Contables. Considerando el avance en la utilización de las tecnologías de la comunicación como lo es el Correo Electrónico, sería conveniente la adaptación de la normativa vigente en este sentido. Asimismo, la Ley Nº 15.985 que promulga el Código General del Proceso establece que el elemento de prueba representado por los Libros de Comercio se regirá por las disposiciones de las leyes mercantiles, por lo cual los libros registrados mediante sistemas computarizados son válidos como medio de prueba.

14

Seguridad de los Sistemas Contables informatizados en las PYMES 8.2.2) Normas del Código de Comercio (Ver Anexo 1 – A) Disposiciones

Implicancias

De acuerdo a esta disposición toda aplicación Art. 44 – Se establece la obligación por parte de contable debería prever los mecanismos de quienes profesan el comercio de seguir un orden registración y procesamiento adecuados a uniforme de contabilidad en idioma español y de efectos de poder emitir los informes necesarios tener los libros necesarios a tal fin. para la confección de los libros obligatorios (Diario e Inventario). Además, aunque parezca Art. 55 – Dispone que los libros obligatorios obvio, la aplicación debe estar diseñada para son: el Diario, Inventario y Copiador de cartas. operar en idioma español. Art. 56 - “En el libro Diario se asentará día por La aplicación debe permitir efectuar la día y según el orden en que se vayan efectuando registración día por día detallando las fechas todas las operaciones que haga el correspondientes. comerciante.....” Art. 57 – En caso de que el comerciante lleve Libro de Caja, se prevé su incorporación como Las aplicaciones deberían permitir el manejo de parte integrante del Libro Diario, no siendo libros auxiliares como lo es el Libro Caja. necesario asentar en este último los egresos e ingresos verificados. Debe permitir la emisión de informes que se Art. 59 – Establece disposiciones en cuanto al ajusten a los requisitos de contenido definidos contenido del Libro Inventario. en este artículo. Art. 66 – Se establecen tanto para los libros obligatorios como para los auxiliares una serie de prohibiciones entre las cuales se prohíbe dejar lugares para intercalaciones o adiciones así como registrar las operaciones en desorden.

La aplicación automáticamente no debe permitir la emisión de informes con espacios en blanco innecesarios y además debería tener la capacidad de ordenar los asientos cronológicamente antes de la emisión de los mismos.

15

Seguridad de los Sistemas Contables informatizados en las PYMES 8.2.3 Normas de la Ley de Sociedades Comerciales (Nº 16.060) (Ver Anexo 1 – B) Disposiciones

Implicancias

Es conveniente la flexibilidad de la aplicación Art. 88 – Dispone que el ejercicio económico con respecto a la elección de los períodos de será de un año. emisión de los informes. Art. 89 – Establece el grado de detalle y la La aplicación debe permitir la elaboración de un forma de exposición de las cuentas que integran Plan de Cuentas de manera que este se ajuste a estos requerimientos. el Estado de Situación Patrimonial.

Art. 89 – Dice que las Sociedades controlantes Conviene que la aplicación facilite la deben presentar Estados consolidados como preparación de Estados Contables consolidados información complementaria.

Art. 90 – Establece el grado de detalle y la Caben las mismas consideraciones que para el forma de exposición de las cuentas que integran Estado de Situación Patrimonial. el Estado de Resultados. La aplicación debería de suministrar los Art. 91- Como ya indicamos por medio de este informes susceptibles de reemplazar los Libros artículo se autoriza a utilizar todos los medios obligatorios que cumplan con los técnicos disponibles en reemplazo o requerimientos exigidos por los organismos de complemento de los Libros obligatorios. control para autorizar la sustitución.

16

Seguridad de los Sistemas Contables informatizados en las PYMES 8.2.3) Decreto 103/991 - Normas para formular sus Estados Contables las Sociedades Comerciales (Ver Anexo 1 –C) Disposiciones

Implicancias

Art. 1 – Establece que la formulación de Estados Contables de las Sociedades Comerciales se regirá por las normas establecidas en este decreto.

Esto implica que todo diseñador de una aplicación contable debe tomar en cuenta los requerimientos de dicho decreto al momento de diseñar la misma.

Se establece la estructura de los Estados Contables uniformes que es la siguiente: Estado de Situación Patrimonial Estado de Resultados Anexos Notas

Sería conveniente que los diseñadores se concientizaran de la estructura de los Estados Contables, para prever todos sus componentes al momento de diseñar los informes a emitir por la aplicación.

Esto afecta en los Planes de cuentas que se Con respecto al ESP y al ER se detallan las deben definir en la aplicación, los cuales diferentes cuentas que deben integrar estos deberán contener las diferentes cuentas estados y se establece la forma en que deben detalladas en el decreto, así como ser flexibles a agruparse las mismas. la hora de adaptarse a las diferentes empresas. Establece que se deben presentar los siguientes Anexos: Anexo 1 – Bienes de uso, intangibles, Sería conveniente que las aplicaciones inversiones en inmuebles y amortizaciones. incluyeran estos anexos entre los informes Anexo 2 – Estado de evolución del patrimonio. diseñados para su posterior emisión. Anexo 3 – Estado de origen y aplicación de fondos (en los casos que corresponda). Dado que la elaboración de notas a los Estados contables es un aspecto obligatorio y relevante Por último se dispone la existencia obligatoria para la correcta comprensión de los mismos por de notas que debe ser claramente referenciada, sus usuarios potenciales, sería conveniente que las cuales deberán ser relativas a determinada las aplicaciones tengan prevista su elaboración información. proporcionando un modelo estándar el cual sea adaptable a la realidad de cada empresa.

17

Seguridad de los Sistemas Contables informatizados en las PYMES 8.2.4) Pronunciamiento Nº 10 del Colegio de Contadores, Administradores y Economistas del Uruguay: Fuentes de Normas Contables para la presentación de Estados Contables. Este Pronunciamiento, el cual derogó el Pronunciamiento Nº 4 de 1981, define los informes contables, estados contables y normas contables. Asimismo establece las fuentes de normas contables y el criterio para la selección de normas contables adecuadas en el caso de existir varias de aquellas aplicables a un mismo caso. 8.2.5) Pronunciamiento Nº 6 del Colegio de Contadores, Administradores y Economistas del Uruguay: - Mantenimiento de registros contables En este pronunciamiento se define Registros Contables y cuales son los requisitos mínimos que técnicamente deben cumplir para ser considerados formalmente confiables. Reconoce que las disposiciones del Código de Comercio no contemplan los desarrollos de la técnica contable y de procesamiento de la información. Adicionalmente considera que es técnicamente imposible determinar ex- post si las registraciones en los libros de comercio se han efectuado operación por operación, día por día, así como asegurar que en los libros están registradas todas las operaciones de un ente. Consecuentemente concluye que, ajustándose al marco legal vigente, la profesión debía establecer bases técnicas para analizar la confiabilidad formal de los Registros Contables. Se entiende que los registros contables son formalmente confiables cuando existen elementos objetivos suficientes que permitan concluir que la documentación primaria está adecuadamente registrada, compilada, resumida y expuesta, como por ejemplo: Elementos Mantenimiento de registros de contabilidad que asienten las operaciones del ente de acuerdo a técnicas contables en forma sistemática, lógica y generalmente cronológica. Que dichos registros presenten aspectos formales que permitan suponer que no existen alteraciones efectuadas en su contenido. Que los registros contables se mantengan actualizados no existiendo atrasos considerables en las registraciones. Que exista concordancia entre los registros contables y respaldo documental.

Implicancias Nos remitimos a lo expresado anteriormente en cuanto a la posibilidad de registración diaria y del ordenamiento de los asientos cronológicamente. Además la aplicación debe permitir la registración en forma lógica y sistemática. En este caso debemos evaluar las posibilidades que ofrece el sistema en cuanto a la modificación de las registraciones con posterioridad al cierre del período. Sería conveniente que la aplicación posibilite la definición de un determinado período de atraso permitido en las registraciones, y que en caso de necesitar registrar en un período anterior se requiera determinada autorización especial. En el caso de importar datos de otros sistemas como por ejemplo de facturación, este elemento va a ser más fácil de cumplir.

18

Seguridad de los Sistemas Contables informatizados en las PYMES 8.2.6) Decreto 240/993 Presentación de Estados Contables ante Organismos Públicos Este decreto reglamenta las disposiciones mediante las cuales se regulan la forma de presentación de los Estados Contables, balances y rendiciones de cuentas ante organismos públicos, exceptuando las liquidaciones fiscales. En su Art. 6 se dispone que los Estados Contables deberán ser formulados de acuerdo con el decreto 103/991 anteriormente analizado. 8.2.7 Artículo 97 BIS agregado a la Ley Nº 16.060 por la Ley de Urgencia Nº 17.243 y Decreto reglamentario 253/001 Mediante este nuevo artículo se establece la obligatoriedad de registrar ante el órgano estatal de control (Auditoría Interna de la Nación) los Estados Contables, cumpliendo con determinados plazos, para todas aquellas sociedades que superen los topes de activos totales y/o ingresos operativos netos establecidos. Estos Estados Contables deberán ser formulados de acuerdo al decreto 103/991 y determinados de acuerdo a Normas Contables Adecuadas. Asimismo la AIN ha elaborado un instructivo donde se establece que la documentación a ser presentada ante el registro deberá seguir determinado formato tipo que será proporcionado por dicho organismo. De esta forma surge que no se podrán presentar para este fin de registro de Estados Contables, los informes emitidos directamente por la aplicación contable utilizada por la empresa, pero los mismos deben servir de base para ello. En Anexo 1 se adjuntan algunas de las normas referidas anteriormente.

19

Seguridad de los Sistemas Contables informatizados en las PYMES

SEGURIDAD INFORMÁTICA INTRODUCCIÓN Debido al amplio desarrollo de las tecnologías informáticas, actualmente están surgiendo nuevas conductas antisociales y delictivas. Este además está ofreciendo la posibilidad de cometer delitos tradicionales en formas no tradicionales. La mayoría de los usuarios de los computadores desconocen la magnitud del problema con el que se enfrentan. Si bien no siempre es imprescindible invertir en dinero ni en personal para aumentar la seguridad (por ejemplo para efectuar respaldos de la información), generalmente cuando esta inversión se torna necesaria, la misma no se realiza en el grado suficiente para prevenir, principalmente, el daño, alteración y/o pérdida de la información que, en última instancia, es el conocimiento con que se cuenta. La seguridad informática debe mantener la Integridad, Disponibilidad y Confidencialidad de la información manejada por computadora. 1) ANÁLISIS DEL OBJETIVO DE LA SEGURIDAD INFORMÁTICA Para comenzar el análisis de la Seguridad Informática se deberá conocer las características de lo que se pretende proteger: la Información. Definimos Dato como “las señales individuales en bruto y sin ningún significado que manipulan las computadoras” 7. A partir de dicha manipulación los computadores producen Información, la que podemos definir como el resultado de la transformación de datos, a efectos de que los mismos adquieran un significado específico más allá de cada uno de ellos. Establecer el valor de la información es algo totalmente relativo, pues constituye un recurso que, en muchos casos, no se valora adecuadamente debido a su intangibilidad. Existe Información que debe o puede ser pública: puede ser visualizada por cualquier persona; y aquella que debe ser privada: sólo puede ser visualizada por un grupo selecto de personas que trabaja con ella. En esta última debemos maximizar nuestros esfuerzos para preservarla de ese modo, reconociendo que la misma es: 1) Crítica: es indispensable para garantizar la continuidad operativa. 2) Valiosa: es un activo con valor en sí misma. 3) Sensitiva: debe ser conocida por las personas que la procesan y sólo por ellas.

7

Introducción a la Computación, Peter Norton, México – Año 1995, Capítulo 4 – Página 104.

20

Seguridad de los Sistemas Contables informatizados en las PYMES Esta información, para alcanzar el propósito de la seguridad informática, debería mantener las siguientes características:

Integridad: es la característica que hace que el contenido de la información permanezca inalterado a menos que sea modificado por personal autorizado, y esta modificación sea registrada para posteriores controles o auditorías. Un problema de integridad puede ser ocasionado por anomalías en el hardware, software, virus informáticos y/o modificación por personas que se infiltran en el sistema o por errores involuntarios de los propios usuarios del mismo.

Disponibilidad: es su capacidad de estar disponible en el momento en que es requerida para ser procesada por las personas autorizadas. Esto provoca la necesidad de que la misma se mantenga correctamente almacenada, con el hardware y el software funcionando perfectamente y que se respeten sus parámetros o valores, para su rápida y completa recuperación en caso de ocurrencia de una falla o un desastre.

Confidencialidad: es la necesidad de que la misma sólo sea conocida por personas autorizadas, manejándose en el marco de privacidad que su propietario disponga. Asimismo, cabe definir los siguientes conceptos en el entorno de la seguridad informática 8:

Amenaza, como cualquier elemento que comprometa al sistema, son acciones que ponen en peligro la integridad, disponibilidad y confidencialidad de los datos (por ejemplo: errores, accesos indebidos, desastres naturales, etc.)

Amenazas para la seguridad

Sistema Informático

Humanas Maliciosas

Externas I

No Maliciosas Internas

Fallas del HW

Fallas del SW

Empleados Ignorantes y/o

Desastres Naturales

Incendios Inundaciones, etc.

ineficientes

Figura 6- Amenazas para la seguridad. b 8 b

Seguridad informática: sus implicancias e implementación, F. Borghello, Argentina – Año 2001, Capítulo 1. Figura basada en Gráfico 1.1, Seguridad informática: sus implicancias e implementación, F. Borghello, Argentina Año 2001, Capítulo 1

21

Seguridad de los Sistemas Contables informatizados en las PYMES Las amenazas pueden ser analizadas en tres momentos: antes del ataque, durante y después del mismo. Estos mecanismos conformarán políticas que garantizarán la seguridad de nuestro sistema informático. a)- La Prevención (antes): mecanismos que aumentan la seguridad (o fiabilidad) de un sistema durante su funcionamiento normal. Por ejemplo el encriptado de información para su posterior transmisión. b)- La Detección (durante): mecanismos orientados a revelar violaciones a la seguridad y evitar el daño de la información. Estos mecanismos pueden ser activos, que detectan en el momento en que se está produciendo alguna anormalidad en el sistema, y pasivos que son por ejemplo las pistas de auditoría. c)- La Recuperación (después): mecanismos que se aplican, cuando el daño del sistema ya se ha causado, para retornar éste a su funcionamiento normal. Por ejemplo recuperación desde las copias de seguridad (backup) realizadas. De esta manera podemos definir tres tipos de control: preventivo, detectivo y correctivo. TIPO DE CONTROL 1) 2) PREVENTIVO

3) 4)

DETECTIVO

CORRECTIVO

FUNCIÓN Evitar problemas antes de que aparezcan. Monitorear las operaciones y las transacciones de entrada. Tratar de predecir problemas potenciales antes de que ocurran y hacer ajustes. Prevenir la ocurrencia de un error, omisión o acto delictivo.

1) Controles que detectan un error, omisión o acto delictivo que haya ocurrido, reportando su ocurrencia. 1) Reducir el impacto de una amenaza. 2) Corregir los problemas descubiertos por los controles detectivos. 3) Identificar la causa de un problema. 4) Modificar lo necesario para reducir las futuras ocurrencias del problema.

22

EJEMPLOS Emplear únicamente personal calificado. Segregar funciones Controlar el acceso a las instalaciones físicas. Control de acceso lógico. Respaldo. Mantenimiento preventivo de HW. Totales de comprobación. Doble verificación de cálculos. Pistas de auditoría. Planificación de contingencia. Procedimientos de respaldo. Elaboración de una política de administración de contraseñas. Auditoría informática.

Seguridad de los Sistemas Contables informatizados en las PYMES A su vez, existen multitud de amenazas que se materializan en ataques que se los puede clasificar en: 1) Ataques Pasivos: el atacante no altera los datos, sino que únicamente los consulta y/o monitorea, para obtener la información que le es necesaria para su propósito. 2) Ataques Activos: estos ataques implican algún tipo de modificación de los datos. Generalmente son realizados por hackers, piratas informáticos o intrusos remunerados y se los puede subdividir en cuatro categorías: Interrupción: si hace que todos o una parte de los datos se pierda, quede inutilizable o no disponible. Intercepción: si un elemento no autorizado consigue el acceso a ellos. Modificación: si además de conseguir el acceso consigue modificarlos. Destrucción: es una modificación que inutiliza los mismos.

Riesgo como “la proximidad o posibilidad de daño sobre un bien”, se definen distintos niveles del mismo de acuerdo a la probabilidad de que se materialice una amenaza y al grado de impacto que pueda producir en caso de que lo anterior ocurra. Los riesgos dependerán de las plataformas y tipos de equipamiento en donde se mantienen los datos, y del intercambio de la misma desde o hacia terceros. Ya se trate de actos naturales, errores u omisiones humanas y actos intencionales, cada riesgo debería ser atacado minimizando la posibilidad de su ocurrencia.

Daño como el resultado de la ocurrencia de la amenaza. Sin embargo, este también puede ser el resultado de la no–acción, o acción incorrecta, de quien pretende proteger la información. El daño puede producirse porque este último no supo identificar adecuadamente la amenaza y, si lo hizo, se impusieron criterios financieros por encima de los de seguridad. Luego de producido el mismo, es aconsejable actuar de la siguiente manera: a) Reduciendo al mínimo el perjuicio producido. b) Diseñando métodos para la más rápida recuperación de los daños experimentados. c) Corrigiendo las medidas de seguridad en función de la experiencia recogida. 2) VULNERABILIDADES DEL SISTEMA (computador /comunicaciones) 9 Es necesario para el logro de los objetivos de la empresa que los datos utilizados en la misma sean fiables; es decir, que los datos deben ser actualizados, íntegros, completos, confidenciales, etc. Un problema de hardware, un programa mal diseñado, un incendio o un delito informático nos puede demostrar cuan vulnerable es nuestro sistema de información. Por consiguiente proteger la información es asegurar la continuidad del negocio. Asimismo, se debería lograr la tranquilidad de 9

Aportes a la seguridad y privacidad en informática y computación, Reynaldo de la Fuente, Montevideo – Año 1995, Capítulo 1 – Página 5.

23

Seguridad de los Sistemas Contables informatizados en las PYMES que la organización (cualquiera sea su tamaño) cuenta con un Plan de Contingencias y de Continuidad del Negocio. Este abarca mucho más que aspectos tecnológicos y crea una cultura de la organización en materia de seguridad y protección de la información. Se deberán detectar cada una de las vulnerabilidades (debilidades) del sistema que pueden ser explotadas y empleadas por la amenaza, para comprometerlo. Las vulnerabilidades típicas a las que está sometida una empresa que trabaja con sistemas informatizados se pueden clasificar de la siguiente manera: 1) Físicas: un intruso puede ingresar a las instalaciones informáticas forzando los accesos a las mismas. 2) Naturales: las computadoras son vulnerables a los desastres naturales y las amenazas ambientales. Desastres tales como un incendio, un rayo y la pérdida inesperada de energía eléctrica que alimenta las mismas puede afectarlas y destruir sus datos. 3) Del hardware y del software: ciertas clases de fallas del hardware pueden comprometer la seguridad de un sistema de computación, por ejemplo el desgaste de los componentes mecánicos. Las fallas en el software de cualquier índole pueden abrir el sistema a penetraciones no autorizadas, un ejemplo de fallas en el software pueden ser errores de programación. 4) De los dispositivos de almacenamiento de información: los disquetes, CDS, etc. pueden ser robados o dañados por distintas razones pudiendo contener datos confidenciales que pueden llegar a manos de personas inescrupulosas. 5) De las comunicaciones de datos: si las computadoras están conectadas a una red o pueden ser accedidas por comunicaciones telefónicas, se incrementa mucho el riesgo de que alguien pueda acceder a los sistemas burlando sus recursos de control de acceso. Respecto de los mensajes que son enviados a través de múltiples medios de comunicación, debe tenerse en cuenta que pueden ser interceptados, alterados, etc. 6) Del factor humano: debe prevenirse la posibilidad de que tanto el administrador, como el operador o usuario del sistema puedan cometer errores importantes y/o delitos. También debe considerarse la posibilidad de que personas externas a la empresa, valiéndose de las debilidades de seguridad del sistema, ataquen el mismo con diferentes propósitos. 3) NIVELES DE PROTECCIÓN O DEFENSA

10

Se reconocen cuatro niveles de seguridad que protegen los recursos de un sistema de computación. Cada uno de ellos trabaja en estrecha vinculación con los otros y la debilidad de uno, compromete la eficacia de todo el sistema de defensa. 1) Marco legal y ético: consiste en la protección que brinda la legislación y la obligación moral que nuestra condición humana nos impone. 2) Auditoría y controles del sistema informático: es la protección provista por las políticas, la organización y la metodología de control de las personas, los procedimientos operativos y los programas de aplicación. 10

Aportes a la seguridad y privacidad en informática y computación, Reynaldo de la Fuente, Montevideo – Año 1995, Capítulo 1 – Página 8.

24

Seguridad de los Sistemas Contables informatizados en las PYMES

3) Seguridad física y ambiental: se refiere al uso de los medios tales como las técnicas de protección contra incendio, robo o acceso no autorizado a las instalaciones de computación y las medidas de protección del ambiente tales como la preservación de buena calidad de energía eléctrica. 4) Seguridad lógica: consiste en la protección provista por los dispositivos de hardware y las técnicas de software dentro del sistema operativo, los archivos o bases de datos y los programas de aplicación.

Seguridad Física y ambiental

Marco Legal y Ético

SI Seguridad Lógica

Auditoría y controles del Sistema informático

Figura 7 - Niveles de protección. c La seguridad indica el grado en que un Sistema Informático está libre de todo peligro, daño o riesgo, y esta característica es imposible de conseguir en un 100%, puesto que la seguridad informática absoluta, en general no existe. c Por ello es que sólo se habla de Fiabilidad y se la define como “la probabilidad de que un sistema se comporte tal y como se espera de él”, y se habla de sistema fiable en vez de sistema seguro. Para garantizar que un sistema sea fiable se deberá garantizar las características ya mencionadas de Integridad, Confidencialidad y Disponibilidad.

c

Figura 1.2, Aportes a la seguridad y privacidad en informática y computación, Reynaldo de la Fuente, Montevideo – Año 1995, Capítulo 1 – Página 9.

25

Seguridad de los Sistemas Contables informatizados en las PYMES 3.1) Marco Legal y Ético 3.1.1) La Ética de la Informática 11 3.1.1.1) Introducción La Ética de la Informática (EI) es una nueva disciplina que pretende abrirse campo dentro de las éticas aplicadas y que ha ganado importancia desde hace unos pocos años. El origen de la EI está en la introducción cada vez más masiva de los computadores en muchos ámbitos de nuestra vida social, cada vez más informatizada. Muchas profesiones demandan para sí una ética particular con la cual pueden regirse ante los problemas morales específicos de esa profesión o actividad. La existencia de la EI tiene como punto de partida el hecho de que los computadores suponen unos problemas éticos particulares y por tanto distintos a otras tecnologías. En la profesión informática se quiere pasar de la simple aplicación de criterios éticos generales a la elaboración de una ética propia de la profesión. Los códigos éticos de asociaciones profesionales y de empresas de informática van en esa dirección. Así como otras ciencias y profesiones han pasado mucho tiempo para desarrollar conceptos éticos con los cuales tratar sus problemas (entre ellos, los provocados por las nuevas tecnologías), las tecnologías de la información llevan poco tiempo de existencia para crear, como otras disciplinas lo han hecho, sus propios estándares éticos. 3.1.1.2) Definiciones de la Ética Informática La definición más restrictiva de la EI es el considerarla como la disciplina que analiza problemas éticos que son creados por la tecnología de los computadores o también los que son transformados o agravados por la misma, es decir, por las personas que utilizan los avances de las tecnologías de la información. Nuevas Tecnologías de Información

USO Sociedad Dilemas éticos

ÉTICA INFORMÁTICA

ÉTICA

Figura 8 – Ética informática. 11

Artículo sobre Ética Informática, Universidad de Deusto, José M. Guibert Ucín, SJ (Profesor de Ética Informática), Bilbao, Julio de 1997.

26

Seguridad de los Sistemas Contables informatizados en las PYMES Otras definiciones de la EI son mucho más amplias. No se reducen a un nuevo campo de ética aplicada sino que, por ejemplo, refieren a ella como el análisis de la naturaleza y el impacto social de la tecnología informática y la correspondiente formulación y justificación de políticas para un uso ético de dicha tecnología. Para estos casos, la tarea de la EI es aportar guías de actuación cuando no hay reglamentación o cuando la existente es obsoleta. Al vacío de políticas se añade generalmente un problema de vacío conceptual. Por ello la EI también ha de analizar y proponer una marco conceptual que sea adecuado para entender los dilemas éticos que ocasiona la informática. 3.1.1.3) Cuatro puntos éticos de la era de la información Asimismo, debido a que hoy día se involucra cada vez mayor cantidad de personas en la recolección, manejo, distribución y utilización de información, el autor Mason postula los siguientes puntos éticos de la Era de la Información: 12 Privacidad: se dice que toda información personal secreta es privada. Si la información privada es compartida con otros, sobreentendiendo que esos otros la compartirán sólo con aquellos que tengan derecho a ello, se dice que la información es confidencial. Por lo tanto se requiere que se trate la información privada y confidencial con respeto, no compartiéndola con otros que no tiene derecho a ellos. Exactitud: exactitud es la autenticidad y fidelidad de los datos. La información correcta debe ser guardada y asegurada de alteraciones inapropiadas para lograr su exactitud. Propiedad: Se refiere a los derechos que posee el autor de la información. Se debe respetar la propiedad intelectual personal de los otros. Los derechos de autor y otras protecciones legales de la misma deben ser obedecidos. Disponibilidad: se refiere a la información que puede acceder una persona dentro de la empresa así como a las condiciones y garantías para ello. El derecho de toda persona a tener determinada información debe ser respetado y se requiere que el mismo sea justo y equitativamente definido. Según este autor, estos cuatro principios forman un núcleo compuesto de los problemas más importantes que enfrenta nuestra sociedad informática sin una solución fácil o rápida. 3.1.1.4) Conclusiones El que la ciencia avance y la técnica ofrezca cada vez mejores soluciones a problemas prácticos no quiere decir que los problemas éticos o las cuestiones de sentido queden resueltos de manera satisfactoria o no tengan ya lugar. Los problemas éticos, sociales o de sentido de una sociedad no

12

Computación aplicada a la contabilidad, administración y economía, Volumen IV, Cátedra de Introducción a la Computación, Facultad de Ciencias Económicas y de Administración de la Universidad de la República – Curso 2000 – Montevideo, Uruguay, Página 6 y 7 (Ética Informática).

27

Seguridad de los Sistemas Contables informatizados en las PYMES se resuelven simplemente con un progreso tecnológico, en este caso un progreso en las tecnologías de la información. De lo anterior podemos concluir que estamos antes nuevos retos tanto en el mundo profesional como en el mundo educativo. La EI supone un reto para la vida educativa, en el sentido de que educar en concientización ética ha de ser también parte de la enseñanza e investigación informática 3.1.2) Delitos informáticos 3.1.2.1) La información y el delito El delito informático implica actividades criminales que los países han tratado de encuadrar en figuras típicas de carácter tradicional, tales como robos, hurtos, fraudes, falsificaciones, perjuicios, estafas y sabotajes. Sin embargo, debe destacarse que el uso de las técnicas informáticas ha creado nuevas posibilidades del uso indebido de las computadoras lo que ha fundado la necesidad de regulación por parte del derecho. Se considera que no existe una definición formal y universal de delito informático pero la Organización de Cooperación y Desarrollo Económico (OCDE) que ha desarrollado un estudio de las posibilidades de aplicar y armonizar en el plano internacional las leyes penales a fin de luchar contra el problema del uso indebido de los programas computarizados, define delito informático como “cualquier comportamiento antijurídico, no ético o no autorizado, relacionado con el procesado automático de datos y/o transmisiones de datos.” Los delitos informáticos se realizan necesariamente con la ayuda de los sistemas informáticos, pero tienen como objeto del ilícito la información en sí misma. Se podría definir también el delito informático como toda acción (acción u omisión) culpable realizada por un ser humano, que cause un perjuicio a personas sin que necesariamente se beneficie el autor o que, por el contrario, produzca un beneficio ilícito a su autor aunque no perjudique de forma directa o indirecta a la víctima, tipificado por la Ley, que se realiza en el entorno informático y está sancionado con una pena. Asimismo, una posible clasificación de los delitos informáticos es en base a dos criterios: a) Como instrumento o medio: se tienen a las conductas criminales que se valen de las computadoras como método, medio o símbolo en la comisión del ilícito. Ejemplos: Falsificación de documentos vía computarizada: tarjetas de créditos, cheques, etc. Variación de la situación contable. Planeamiento y simulación de delitos convencionales como robo, homicidio y fraude. Alteración el funcionamiento normal de un sistema mediante la introducción de código extraño al mismo: virus, bombas lógicas, etc. Intervención de líneas de comunicación de datos o teleprocesos. 28

Seguridad de los Sistemas Contables informatizados en las PYMES b) Como fin u objetivo: se enmarcan las conductas criminales que van dirigidas en contra de la computadora, accesorios o programas como entidad física. Ejemplos: Instrucciones que producen un bloqueo parcial o total del sistema. Destrucción de programas por cualquier método. Atentado físico contra la computadora, sus accesorios o sus medios de comunicación. Secuestro de soportes magnéticos con información valiosa, para ser utilizada con fines delictivos. 3.1.2.2) Características de los delitos Según dicho autor, los delitos informáticos presentan las siguientes características principales: En general (no en todos los casos) son conductas criminales de cuello blanco, en tanto que sólo un determinado número de personas con ciertos conocimientos (en este caso técnicos) puede llegar a cometerlas. Son acciones ocupacionales, en cuanto a que muchas veces se realizan cuando el sujeto se halla trabajando. Son acciones de oportunidad, ya que se aprovecha una ocasión creada en el mundo de funciones y organizaciones del sistema tecnológico y económico. Provocan serias pérdidas económicas, ya que casi siempre producen "beneficios" significativos a aquellos que las realizan. Ofrecen posibilidades de tiempo y espacio, ya que en menos de un segundo y sin una necesaria presencia física pueden llegar a consumarse. Son muchos los casos y pocas las denuncias, y todo ello debido a la misma falta de regulación por parte del Derecho. Presentan grandes dificultades para su comprobación, esto por su mismo carácter técnico. Tienden a propagarse cada vez más, por lo que requiere una urgente regulación. Por el momento siguen siendo ilícitos impunes de manera manifiesta ante la Ley. 3.1.2.3) Los elementos integrantes del delito Entre ellos podemos mencionar: a) El delito es un acto humano, es una acción (acción u omisión). b) Dicho acto humano ha de ser antijurídico, debe lesionar o poner en peligro un interés jurídicamente protegido. c) Debe corresponder a un tipo legal (figura de delito), definido por la Ley, ha de ser un acto típico. El acto ha de ser culpable, imputable a dolo (intención) o a culpa (negligencia), y una acción es imputable cuando puede ponerse a cargo de una determinada persona. La ejecución u omisión del acto debe estar sancionada por una pena.

29

Seguridad de los Sistemas Contables informatizados en las PYMES 3.1.2.4) Tipos de delitos informáticos En este punto señalaremos algunos de los delitos que pueden afectar a los programas contables: 1) Sabotaje informático: Una modalidad de este delito son las conductas dirigidas a causar daños lógicos, lo que se refiere a las conductas que causan destrozos lógicos, o sea, todas aquellas conductas que producen, como resultado, la destrucción, ocultación, o alteración de datos contenidos en un sistema informático. Este tipo de daño a un sistema se puede alcanzar de diversas formas, desde la más simple que podemos imaginar, como desenchufar el ordenador de la electricidad mientras se esta trabajando con él o el borrado de documentos o datos de un archivo, hasta la utilización de los más complejos programas lógicos destructivos (virus), sumamente riesgoso para los sistemas, por su posibilidad de destruir gran cantidad de datos en un tiempo mínimo. 2) Fraude a través de computadoras: Estas conductas consisten en la manipulación ilícita, a través de la creación de datos falsos o la alteración de datos o procesos contenidos en sistemas informáticos, realizada con el objeto de obtener ganancias indebidas. Los distintos métodos para realizar estas conductas se deducen, fácilmente, de la forma de trabajo de un sistema informático: En primer lugar, es posible alterar datos, omitir ingresar datos verdaderos o introducir datos falsos, en un computador. Esta forma de realización se conoce como manipulación del input. Para el caso de los datos contables, se podrían ingresar al sistema datos que no coinciden con la documentación respaldatoria de las operaciones de la empresa. En segundo lugar, es posible interferir en el correcto procesamiento de la información, alterando el programa o secuencia lógica con el que trabaja el computador. A diferencia de las manipulaciones del input que, incluso, pueden ser realizadas por personas sin conocimientos especiales de informática, esta modalidad es más específicamente informática y requiere conocimientos técnicos especiales. Este mecanismo puede utilizarse en los programas contables con el objetivo de alterar los resultados de la contabilidad. Por último, es posible falsear el resultado, inicialmente correcto, obtenido por un computador, a esta modalidad se la conoce como manipulación del output. Un ejemplo de ello es la posibilidad de modificar los informes luego de emitidos por el programa contable. 3) Obtención o rastreo de claves secretas: Se utilizan programas para identificar claves de usuarios, que más tarde se pueden usar para esconder su verdadera identidad y cometer otros delitos, desde el uso no autorizado de sistemas de computadoras hasta delitos financieros. 4) Espionaje informático: se engloban las conductas dirigidas a obtener datos, en forma ilegítima, de un sistema de información. Es común el apoderamiento de datos de nombres de empresas, balances, etc. 30

Seguridad de los Sistemas Contables informatizados en las PYMES 5) Infracción de los derechos de autor: incluye los conceptos de copia, distribución, cesión y comunicación pública de los programas informáticos. En general el proveedor de éstos últimos establece las condiciones de licencia de uso para que, quién no respete la misma, sea responsable de ello. 6) Uso ilegítimo de sistemas informáticos ajenos: esta modalidad consiste en la utilización sin autorización de los computadores y los programas de un sistema informático ajeno. Este tipo de conductas es comúnmente cometida por empleados de los sistemas de procesamiento de datos que utilizan los sistemas de las empresas para fines privados y actividades complementarias a su trabajo. En estos supuestos, sólo se produce un perjuicio económico importante para las empresas en los casos de abuso en el ámbito del teleproceso o en los casos en que las empresas deben pagar alquiler por el tiempo de uso del sistema. 7) Acceso no autorizado: la corriente reguladora sostiene que el uso ilegítimo de passwords y la entrada en un sistema informático sin la autorización del propietario debe quedar tipificado como un delito, puesto que el bien jurídico que acostumbra a protegerse con la contraseña es lo suficientemente importante para que el daño producido sea grave. En el caso de aquellos programas contables que tengan limitado su acceso por medio de contraseñas, pueden producirse accesos no autorizados por personas que utilizan la contraseñas de un verdadero usuario, o en caso de serlo, la de otro usuario distinto del propio. 8) Delitos informáticos contra la privacidad: grupo de conductas que de alguna manera pueden afectar la privacidad de una persona y/o institución mediante la acumulación, archivo y divulgación indebida de datos contenidos en sistemas informáticos. En el caso de los programas contables, puede suceder que una persona no autorizada realice una copia de los datos contables de una empresa, por ejemplo para entregárselos a la competencia. 3.1.2.5) Sujetos intervinientes a) Sujeto Activo: Se llama así a las personas que cometen los delitos informáticos. Son aquellas que poseen habilidades para el manejo de los sistemas informáticos y/o generalmente por su situación laboral se encuentran en lugares estratégicos donde se maneja información de carácter sensible, o bien son hábiles en el uso de los sistemas informatizados, aún cuando, en muchos de los casos, no desarrollen actividades laborales que faciliten la comisión de este tipo de delitos. b) Sujeto pasivo: es la víctima del delito, es el ente sobre el cual recae la conducta de acción u omisión que realiza el sujeto activo. Las víctimas pueden ser individuos, instituciones crediticias, instituciones militares, gobiernos, etc. que usan sistemas automatizados de información, generalmente conectados a otros. El sujeto pasivo del delito es sumamente importante para el estudio de los delitos informáticos, ya que mediante él es posible conocer los diferentes ilícitos que cometen los delincuentes informáticos.

31

Seguridad de los Sistemas Contables informatizados en las PYMES Es imposible conocer la verdadera magnitud de los delitos informáticos, ya que la mayor parte no son descubiertos o no son denunciados a las autoridades responsables y si a esto se suma la falta de leyes que protejan a las víctimas de estos delitos; la falta de preparación por parte de las autoridades para comprender, investigar y aplicar el tratamiento jurídico adecuado; el temor por parte de las empresas de denunciar este tipo de ilícitos por el desprestigio que esto pudiera ocasionar a su empresa y las consecuentes pérdidas económicas, trae como consecuencia que las estadísticas sobre este tipo de conductas se mantengan por debajo del nivel real. Por lo anterior, se reconoce que para conseguir una prevención efectiva de la criminalidad informática se requiere, en primer lugar, un análisis objetivo de las necesidades de protección y de las fuentes de peligro. Una protección eficaz contra la criminalidad informática presupone ante todo que las víctimas potenciales conozcan las correspondientes técnicas de manipulación, así como sus formas de encubrimiento. En el mismo sentido, podemos decir que con: la divulgación de las posibles conductas ilícitas derivadas del uso de las computadoras; alertar a las potenciales víctimas, para que tomen las medidas pertinentes a fin de prevenir la delincuencia informática; la creación de una adecuada legislación que proteja los intereses de las víctimas; una eficiente preparación por parte del personal encargado de la procuración, administración y la impartición de justicia para atender e investigar estas conductas ilícitas; se estaría avanzando mucho en el camino de la lucha contra la delincuencia informática, que cada día tiende a expandirse más. 3.2) Auditoría y controles del sistema informático La palabra Auditoría refiere al examen o la revisión de una serie de procedimientos que afectan a la empresa, así como a su comparación con un conjunto de estándares previamente fijados y a los que se les puede inferir una validez general, independientemente del tipo de empresa de que se trate. Se pueden encontrar distintos tipos de auditorías según las funciones distribuidas físicamente conforme a las necesidades, tamaño, problemas y recursos de la empresa: 13 Auditoría Financiera Auditoría Organizativa Auditoría de Gestión Auditoría Informática

13

Auditoría informática, Gonzalo Alonso Rivas, Madrid – Año 1998, Capítulo 2 – Página 18.

32

Seguridad de los Sistemas Contables informatizados en las PYMES Considerando el tema a tratar en nuestro trabajo monográfico, pasaremos a definir los conceptos de Auditoría Financiera y Auditoría Informática. 3.2.1) Auditoría Financiera Es un procedimiento mediante el cual las empresas someten al examen de un experto su información económica- financiera contenida en los Estados Contables, con el objeto de emitir una opinión acerca de su integridad y su razonabilidad, de acuerdo a los principios de contabilidad generalmente aceptados. 3.2.1.1) Impacto del procesamiento electrónico de la información contable El propósito de una auditoría de Estados Contables no es evaluar los sistemas computarizados, pero éstos pueden influir de diferentes maneras en el procesamiento de la información contable utilizada en la elaboración de los mismos. A modo de ejemplo: La salida de algún proceso es la entrada automática a otros y no queda evidencia de los cálculos intermedios. En algunos casos no queda un documento fuente firmado por quien lo generó y quien lo autorizó. El uso de contraseñas debe sustituir esta medida. Se puede acceder a los archivos sin que queden mayores evidencias de quien los modificó. Los registros pueden adulterarse con mayor disimulo. Para evitarlo se requiere que el personal tenga conciencia de la contraseña que posee y que se verifique el log de operaciones. La computación elimina pistas de auditoría. Hay datos que no se conservan impresos o que se conservan durante poco tiempo al borrar los archivos. A veces puede existir una confianza ciega en los resultados del proceso, disminuyendo los controles de entrada y salida. Esto es peligroso especialmente cuando el sistema no ha sido diseñado con controles adecuados. En general la transacción se registra una sola vez y actualiza varios archivos simultáneamente, esto ahorra tiempo y evita errores de transcripción, pero impide las comparaciones que existían cuando se registraban independientemente las diferentes vías de un documento. Por último, lo positivo es la existencia de un ahorro de tiempo con respecto a la registración manual y la disminución del error humano a través de controles automatizados de entrada, de proceso y de salida. 3.2.2) Auditoría Informática “Se define como el conjunto de procedimientos y técnicas para evaluar y controlar, total o parcialmente, un Sistema Informático, con el fin de proteger sus activos y recursos, verificar si sus actividades se desarrollan eficientemente y de acuerdo con la normativa informática y general existentes en cada empresa, y para conseguir la eficacia exigida en el marco de la organización correspondiente”. 14

14

Auditoría informática en la empresa, José Acha Iturmendi, Capítulo 2 – Página 21.

33

Seguridad de los Sistemas Contables informatizados en las PYMES Este tipo de auditoría verifica la correcta utilización de los recursos informáticos disponibles o por disponer, en función de la estrategia de la empresa y de los fines que ésta ha fijado. Aborda temas de fraudes que puedan realizarse directamente desde los computadores y con los computadores, y se realiza en el contexto de preservar y garantizar la información de la empresa y su confidencialidad. 3.2.2.1) Objetivo de la Auditoría informática El objetivo principal y prioritario es el mantenimiento de la Operatividad de las Computadoras. La Operatividad es una función de mínimos consistente en que la empresa y todo el hardware funcionen, aunque sea mínimamente. Tal objetivo debe conseguirse tanto a nivel general como en alguna área específica. Para lograr este objetivo deben realizarse: 1) Controles técnicos generales: que son los que se efectúan para hacer la verificación de la compatibilidad de funcionamiento simultáneo del Sistema Operativo y el software de base con todos los subsistemas existentes, así como la compatibilidad del Hardware y el Software en existencia. El no tomarlo en cuenta conduce a no aprovechar lo que ya está adquirido por la empresa. 2) Controles técnicos específicos: que son igualmente necesarios para lograr la operatividad de los sistemas y atienden a sistemas o aplicaciones específicas tales como el sistema de contabilidad central. La operatividad de los sistemas adquiere problemas adicionales si no se encuentran anexados a Planes de contingencia parciales o totales. Por el contrario, si se encuentran contemplados, por ejemplo la posibilidad de hacer backups hará posible la operatividad de los mismos. 3.2.2.2) Auditoría de la Seguridad Informática Los sistemas informáticos han de protegerse de modo global y particular. A ello se debe la existencia de la Auditoría de Seguridad Informática en general, o la Auditoría de la Seguridad de alguna de sus áreas. Así, podrán efectuarse auditorías de la seguridad global de una Instalación Informática- Seguridad General-, y auditorías de la Seguridad de un área informática de terminada- Seguridad Específica-. La seguridad en la informática abarca los conceptos de seguridad física y seguridad lógica. La Seguridad física se refiere a la protección del hardware y de los soportes de datos, así como los edificios e instalaciones que los albergan. Contempla las situaciones de incendios, sabotajes, robos, catástrofes naturales, etc.

34

Seguridad de los Sistemas Contables informatizados en las PYMES La seguridad lógica se refiere a la seguridad de uso del software, a la protección de los datos, procesos y programas, así como la del ordenado y autorizado acceso de los usuarios a la información. Las agresiones a instalaciones informáticas ocurridas durante los últimos años, han originado acciones para mejorar la seguridad informática a nivel físico. Los accesos y conexiones indebidos a través de las redes de comunicaciones, han acelerado el desarrollo de productos de seguridad lógica y la utilización de sofisticados medios criptográficos. La decisión de abordar una Auditoría Informática de Seguridad en una empresa, se fundamenta en el estudio cuidadoso de los riesgos potenciales a los que está sometida. Tal estudio incluye con frecuencia la elaboración de "Matrices de Riesgo" en donde se consideran los factores de las "Amenazas" a las que está sometida una instalación y de los "Impactos" que aquellas pueden causar cuando se presentan. Dichas matrices de riesgo se presentan en cuadros de doble entrada "Amenazas \ impacto", en donde se evalúan las probabilidades de ocurrencia de los elementos de la matriz. A título de ejemplo, se ilustra el concepto de matriz de riesgos en forma de cuadro de doble entrada. Los parámetros de evaluación son los siguientes: 0: despreciable 1: improbable (menor 1%) 2: probable 3: certeza Amenaza Error

Incendio

Sabotaje

---------

Impacto Destrucción del software

--

1

1

Borrado de información

3

1

1

El cuadro muestra que si por error codificamos un parámetro que ordene borrado de archivo, éste se borrará con certeza.

35

Seguridad de los Sistemas Contables informatizados en las PYMES 3.3) Seguridad física y ambiental La Seguridad Física consiste en la “aplicación de barreras físicas y procedimientos de control, como medidas de prevención y contramedidas ante amenazas a los recursos e información confidencial”. 15 Se refiere a los controles y mecanismos de seguridad dentro y alrededor del área de informática, así como a los medios de acceso remoto al mismo; implementados para proteger el hardware y medios de almacenamiento de datos. La Seguridad Ambiental consiste en los procedimientos para controlar que los efectos ambientales no perjudiquen el procesamiento, los equipamientos y el personal. Este tipo de seguridad (física y ambiental) está enfocado a cubrir las amenazas ocasionadas tanto por el hombre como por la naturaleza del medio físico en que se encuentra ubicada dicha área. Las principales amenazas que se prevén en la seguridad física son: 1) Desastres naturales, incendios accidentales tormentas e inundaciones. 2) Amenazas ocasionadas por el hombre. 3) Otros: señales de radar, instalación eléctrica, etc. Los esfuerzos apuntan al logro de los siguientes objetivos: La protección del edificio. La protección de la instalación central de computación contra accesos no autorizados. La protección de terminales y computadores personales contra usos no autorizados o robos. Mantener un ambiente en el que los equipos de procesamiento de datos y usuarios puedan trabajar en forma continuada. 3.3.1) Desastres naturales, incendios accidentales tormentas e inundaciones. 3.3.1.1) Incendios El fuego es una de las principales amenazas contra la seguridad. Es considerado el enemigo número uno de las computadoras ya que puede destruir fácilmente los archivos de información y los programas. Los diversos factores a contemplar para reducir los riesgos de incendio a los que se encuentra sometida un área de informática son: El área en la que se encuentran las computadoras debe estar en un local que no sea combustible o inflamable. El local no debe situarse encima, debajo o adyacente a áreas donde se procesen, fabriquen o almacenen materiales inflamables, explosivos, gases tóxicos o sustancias radioactivas. 15

Seguridad informática: sus implicancias e implementación, F. Borghello, Argentina – Año 2001, Capítulo 2.

36

Seguridad de los Sistemas Contables informatizados en las PYMES Las paredes deben hacerse de materiales incombustibles y extenderse desde el suelo al techo. No debe estar permitido fumar en el área de proceso. Deben emplearse muebles incombustibles. Deben evitarse los materiales plásticos e inflamables. El piso y el techo en el recinto del centro de cómputo y de almacenamiento de los medios magnéticos deben ser impermeables. Las áreas de computación deberían basar su protección del fuego en una combinación de los siguientes recursos: Extinguidores portátiles: deben estar ubicados en posiciones estratégicas en todo el centro, deben tener una etiqueta de inspección y deben ser revisados anualmente. Alarmas de incendio manuales: el aviso de alerta resultante de estas alarmas debe estar conectado con un sector de guardia en donde el personal esté siempre alerta. Detectores de humo: deben producir una señal audible cuando sean activados y deben estar conectados también con el sector de guardia. Estos deben complementar y no reemplazar los sistemas de supresión de incendios. Sistemas de supresión de incendios: están diseñados para que se activen en forma automática luego de que detecten una fuente de gran calor como las que produce un incendio. Sería ideal que este sistema accionara automáticamente otros mecanismos para delimitar el incendio. Asimismo, el sistema debe estar segmentado de manera que un incendio en una gran instalación no active todo el sistema. 3.3.1.2) Inundaciones El agua puede producir también importantes daños al área de informática. Debe examinarse el entorno físico que rodea dicha área para advertir posibles causas de inundaciones: conducciones de agua cercanas a los computadores, la instalación de aire acondicionado, etc. Los riesgos son evidentes y van desde la posible electrocutación de alguna persona, hasta las averías por humedad o un simple corto circuito. Es recomendable por ejemplo, instalar detectores de humedad que activen una alarma si es necesario. 3.3.1.3) Condiciones climatológicas Normalmente se reciben por anticipado los avisos de tormentas, tempestades y otras catástrofes similares. Las condiciones atmosféricas severas se asocian a ciertas partes del mundo y la probabilidad de que ocurran está documentada. Para el caso de nuestro país, este tipo de catástrofes naturales son muy poco frecuentes.

37

Seguridad de los Sistemas Contables informatizados en las PYMES 3.3.2) Amenazas ocasionadas por el hombre. 3.3.2.1) Robo Las computadoras son posesiones valiosas de las empresas y están expuestas, de la misma forma que lo están otros bienes, incluso el dinero. Es frecuente que los operadores utilicen la computadora de la empresa para realizar trabajos privados o para otras organizaciones y, de esta manera, robar tiempo de máquina. La información importante o confidencial puede ser fácilmente copiada. El software, es una propiedad muy fácilmente sustraíble y los soportes magnéticos donde se respalda información son fácilmente copiados sin dejar ningún rastro. 3.3.2.2) Fraude Cada año, millones de dólares son sustraídos de empresas y, en muchas ocasiones, las computadoras han sido utilizadas como instrumento para dichos fines. Sin embargo, debido a que ninguna de las partes implicadas (empresas, empleados, fabricantes, auditores, etc.), tienen algo que ganar, sino que más bien pierden en imagen, no se da ninguna publicidad a este tipo de situaciones. 3.3.2.3) Sabotaje El peligro más temido en los centros de procesamiento de datos, es el sabotaje. Empresas que han intentado implementar programas de seguridad de alto nivel, han encontrado que la protección contra el saboteador es uno de los retos más difíciles. Este puede ser un empleado o un sujeto ajeno a la propia empresa. Control de accesos El control de acceso no sólo requiere la capacidad de identificación, sino también asociarla a la apertura o cerramiento de puertas, permitir o negar acceso basado en restricciones de tiempo, área o sector dentro de una empresa o institución. A continuación se enumeran algunas de las formas de controlar el acceso al área de computación. a) Utilización de guardias El Servicio de Vigilancia es el encargado del control de acceso de todas las personas al edificio. Este servicio es el encargado de colocar los guardias en lugares estratégicos para cumplir con sus objetivos y controlar el acceso del personal. El uso de tarjetas de identificación es uno de los puntos más importantes del sistema de seguridad, a fin de poder efectuar un control eficaz del ingreso y egreso del personal a los distintos sectores de la empresa. Una desventaja de la aplicación de personal de guardia es que éste puede llegar a ser sobornado por un tercero para lograr el acceso a sectores donde no esté habilitado, como así también para

38

Seguridad de los Sistemas Contables informatizados en las PYMES poder ingresar o egresar de la planta con materiales no autorizados. Esta situación de soborno es muy frecuente. b) Utilización de detectores de metales El detector de metales es un elemento sumamente práctico para la revisión de personas, ofreciendo grandes ventajas sobre el sistema de palpación manual. La sensibilidad del detector es regulable, permitiendo de esta manera establecer un volumen metálico mínimo, a partir del cual se activará la alarma. La utilización de este tipo de detectores debe hacerse conocer a todo el personal. De este modo, actuará como elemento disuasivo. c) Utilización de sistemas biométricos Definimos a la Biometría como la parte de la biología que estudia en forma cuantitativa la variabilidad individual de los seres vivos utilizando métodos estadísticos. La Biometría es una tecnología que realiza mediciones en forma electrónica, guarda y compara características únicas para la identificación de personas. La forma de identificación consiste en la comparación de características físicas de cada persona con un patrón conocido y almacenado en una base de datos. Los lectores biométricos identifican a la persona por lo que es (manos, ojos, huellas digitales y voz). d) Utilización de protección electrónica Se llama así a la detección de robo, intrusión, asalto e incendios mediante la utilización de censores conectados a centrales de alarmas. Estas centrales tienen conectadas los elementos de señalización que son los encargados de hacerles saber al personal de una situación de emergencia. Cuando uno de los elementos sensores detectan una situación de riesgo, éstos transmiten inmediatamente el aviso a la central; ésta procesa la información recibida y ordena en respuesta la emisión de señales sonoras o luminosas alertando de la situación. 3.3.3) Otros 3.3.3.1) Señales de radar Las señales muy fuertes de radar pueden inferir en el procesamiento electrónico de la información. Ello podría ocurrir sólo si la antena respectiva fuera visible desde una ventana del centro de procesamiento respectivo y, en algún momento, estuviera apuntando directamente hacia dicha ventana.

39

Seguridad de los Sistemas Contables informatizados en las PYMES 3.3.3.2) Instalaciones eléctricas Trabajar con computadoras implica trabajar con electricidad. Por lo tanto esta una de las principales áreas a considerar en la seguridad física. En la medida que los sistemas se vuelven más complicados se hace más necesaria la presencia de un especialista para evaluar riesgos particulares y aplicar soluciones que estén de acuerdo con una norma de seguridad industrial. Evaluar y controlar permanentemente la seguridad física y ambiental es la base para comenzar a integrar la seguridad como una función primordial dentro de cualquier organismo. Tener controlado el ambiente y acceso físico permite: disminuir siniestros; trabajar mejor manteniendo la sensación de seguridad; descartar falsas hipótesis si se produjeran incidentes; tener los medios para luchar contra accidentes. Las distintas alternativas de seguridad mencionadas permiten conocer en todo momento el estado del medio en el que nos desempeñamos; y así tomar decisiones sobre la base de la información brindada por los medios de control adecuados. 3.4) Seguridad lógica El activo más importante que se posee es la información, y por lo tanto deben existir técnicas, más allá de la seguridad física, que la aseguren. Estas técnicas las brinda la Seguridad Lógica. Es decir que la Seguridad Lógica consiste en la aplicación de barreras y procedimientos que resguarden el acceso a los datos y sólo se permita acceder a ellos a las personas autorizadas para hacerlo. 3.4.1) Amenazas Lógicas 3.4.1.1) Identificación de las amenazas La identificación de amenazas requiere conocer los tipos de ataques, el tipo de acceso, la forma operacional y los objetivos del atacante. Las consecuencias de los ataques se podrían clasificar en: Corrupción de datos: la información que no contenía defectos pasa a tenerlos. Negación de servicios: servicios que deberían estar disponibles no lo están. Filtración de datos: los datos llegan a destinos a los que no deberían llegar. A su vez, podemos encontrar distintos tipos de infractores de acceso lógico:

40

Seguridad de los Sistemas Contables informatizados en las PYMES Intrusos (hackers): son los que normalmente ponen a prueba los límites de las restricciones de acceso para demostrar su capacidad de superar los obstáculos. Generalmente no utilizan una computadora con la intención de destruir, sin embargo ese es el resultado. Empleados. Personal de sistemas informáticos: estas personas tiene el más fácil acceso a la información computarizada dado que son los que la custodian. Usuarios finales. Ex – empleados. Personas externas interesadas: competidores, extranjeros, crackers, prhackers. Personal con dedicación parcial y temporal. Vendedores y consultores. Ignorantes accidentales: alguien que comete inadvertidamente una violación.

Atacantes

Herramientas

Hackers

Líneas de comando

Crackers Empleados Personal de informática

Intervención de líneas de comunicación

Métodos de acceso Vulnerabilidades en Implementación

Acceso no autorizado

Vulnerabilidades en diseño

Uso no autorizado

Procesos

Archivos Flujos de datos

Vulnerabilidades en configuración

Script o programas

Resultados

Objetivos

Corrupción de Información

Desafío

Revelación de información

Dañar

Accesos no autorizados

Ganancia financiera

Figura 9 – Amenazas lógicas. d

d

Tabla 7.2, Seguridad informática: sus implicancias e implementación, F. Borghello, Argentina – Año 2001, Capítulo 7.

41

Seguridad de los Sistemas Contables informatizados en las PYMES 3.4.1.2) Tipos de amenazas lógicas Asimismo podemos encontrar distintos tipos de ataques perpetrados, principalmente, por Hackers. Estos ataques pueden ser realizados sobre cualquier tipo de red, sistema operativo, usando diferentes protocolos, etc. 1) Ingeniería social Es la manipulación de las personas para convencerlas de que ejecuten acciones o actos que normalmente no realizan para que revelen todo lo necesario para superar las barreras de seguridad. Si el atacante tiene la experiencia suficiente (generalmente es así), puede engañar fácilmente a un usuario (que desconoce las mínimas medidas de seguridad) en beneficio propio. Esta técnica es una de las más usadas y efectivas a la hora de averiguar nombres de usuarios y passwords. Para evitar la ingeniería social es conveniente tener en cuenta estas recomendaciones: Tener servicio técnico propio o de confianza. Instruir a los usuarios para que no respondan ninguna pregunta sobre cualquier característica del sistema y deriven la inquietud a los responsables que tenga competencia para dar esa información. Asegurarse que las personas que llaman por teléfono son quienes dicen ser. 2) Ingeniería social inversa Consiste en la generación, por parte de los intrusos, de una situación inversa a la originada en ingeniería social. En este caso el intruso publicita de alguna manera que es capaz de brindar ayuda a los usuarios, y estos lo llaman ante algún imprevisto. El intruso aprovechará esta oportunidad para pedir la información necesaria para solucionar el problema del usuario y el suyo propio (la forma de acceso al sistema). La ingeniería social inversa es más difícil de llevar a cabo y por lo general se aplica cuando los usuarios están alertados acerca de las técnicas de ingeniería social. Puede usarse después de mucha preparación e investigación por parte del intruso y en algunas de las siguientes situaciones específicas: a) Generación de una falla en el funcionamiento normal del sistema. Generalmente esta falla es fácil de solucionar pero puede ser difícil de encontrar por los usuarios inexpertos (sabotaje). Requiere que el intruso tenga un mínimo contacto con el sistema. b) Comunicación a los usuarios de que la solución es brindada por el intruso (publicidad). c) Provisión de ayuda por parte del intruso encubierto como servicio técnico.

42

Seguridad de los Sistemas Contables informatizados en las PYMES 3) Ataques de autentificación Este tipo de ataque tiene como objetivo engañar al sistema de la víctima para ingresar al mismo. Generalmente este engaño se realiza tomando las sesiones ya establecidas por la víctima u obteniendo su nombre de usuario y password. Ejemplos de dichos ataques pueden ser: a) Spoofing–Looping Spoofing puede traducirse como “hacerse pasar por otro” y el objetivo de esta técnica, justamente, es actuar en nombre de otros usuarios, usualmente para realizar tareas de Snooping o Tampering. Una forma común de Spoofing es conseguir el nombre y password de un usuario legítimo para, una vez ingresado al sistema, tomar acciones en nombre de él. El intruso usualmente utiliza un sistema para obtener información e ingresar en otro, y luego utiliza este para entrar en otro, y así sucesivamente. Este proceso, llamado Looping, tiene la finalidad de “evaporar” la identificación y la ubicación del atacante. b) Utilización de Backdoors Las puertas traseras son trozos de código en un programa que permiten a quien las conoce saltearse los métodos usuales de autentificación para realizar ciertas tareas. Habitualmente son insertados por los programadores del sistema para agilizar la tarea de probar código durante la fase de desarrollo. Esta situación se convierte en una falla de seguridad si se mantiene, involuntaria o intencionalmente, una vez terminado el producto ya que cualquiera que conozca el agujero o lo encuentre en su código podrá saltarse los mecanismos de control normales. c) Utilización de Exploits Es muy frecuente ingresar a un sistema explotando agujeros en los algoritmos de encriptación utilizados, en la administración de las claves por parte la empresa, o simplemente encontrando un error en los programas utilizados. Los programas para explotar estos “agujeros” reciben el nombre de Exploits y lo que realizan es aprovechar la debilidad, fallo o error hallado en el sistema (hardware o software) para ingresar al mismo. d) Obtención de Passwords Este método comprende la obtención por “Fuerza Bruta” de aquellas claves que permiten ingresar a los sistemas, aplicaciones, cuentas, etc. atacados. Muchas passwords de acceso son obtenidas fácilmente porque involucran el nombre u otro dato familiar del usuario y, además, esta nunca (o rara vez) se cambia. En esta caso el ataque se simplifica e involucra algún tiempo de prueba y error. Otras veces se realizan ataques sistemáticos (incluso con varias computadoras a la vez) con la ayuda de programas especiales y “diccionarios” 43

Seguridad de los Sistemas Contables informatizados en las PYMES que prueban millones de posibles claves hasta encontrar la password correcta. Uso de Diccionarios Los Diccionarios son archivos con millones de palabras, las cuales pueden ser posibles passwords de los usuarios. Este archivo es utilizado para descubrir dicha password en pruebas de fuerza bruta. 4) Ataques de modificación o daño a) Tampering o Data Diddling Esta categoría se refiere a la modificación desautorizada de los datos o el software instalado en el sistema víctima, incluyendo borrado de archivos. Son particularmente serios cuando el que lo realiza ha obtenido derechos de administrador o supervisor, con la capacidad de disparar cualquier comando y por ende alterar o borrar cualquier información que puede incluso terminar en la baja total del sistema. Como siempre, esto puede ser realizado por Insiders o Outsiders, generalmente con el propósito de fraude o de dejar fuera de servicio a un competidor.

Borrado de huellas El borrado de huellas es una de las tareas más importantes que debe realizar el intruso después de ingresar en un sistema, ya que, si se detecta su ingreso, el administrador buscará como conseguir “tapar el hueco” de seguridad, evitar ataques futuros e incluso rastrear al atacante. Las huellas son todas las tareas que realizó el intruso en el sistema y por lo general son almacenadas en logs (archivo que guarda la información de lo que se realiza en el sistema) por el sistema operativo. Los archivos logs son una de las principales herramientas (y el principal enemigo del atacante) con las que cuenta un administrador para conocer los detalles de las tareas realizadas en el sistema y la detección de intrusos. 5) Errores de diseño, implementación y operación Muchos sistemas están expuestos a “agujeros” de seguridad que son explotados para acceder a archivos, obtener privilegios o realizar sabotaje. Estas vulnerabilidades ocurren por variadas razones, y miles de “puertas invisibles” son descubiertas cada día en sistemas operativos, aplicaciones de software, protocolos de red, browsers de Internet, correo electrónico y toda clase de servicios informáticos disponibles. 6) Ingeniería inversa Es una práctica que permite a un experto estudiar un producto legalmente adquirido para obtener la información necesaria para lograr un objetivo similar. 44

Seguridad de los Sistemas Contables informatizados en las PYMES Existen los de-compiladores, que a partir de un código objeto generan el correspondiente código fuente. Este código fuente no es el original, protegido por los derechos de autor, pero es muy similar al mismo y es discutido si es legal o no. La compilación de un programa de-compilado, genera un programa objeto similar al programa original, que está protegido por los derechos de autor. Por otra parte, es posible que otro programa fuente diferente genere también el mismo código objeto. Existen argumentos que consideran lícita la ingeniería y otros que consideran que no lo es, habiendo tendencia a rechazarla como válida por la protección del software. 3.4.2) Medidas de Seguridad lógica Los objetivos que se plantea una empresa al definir medidas de seguridad lógica pueden ser los siguientes: a) Restringir el acceso a los programas y archivos. b) Asegurar que los operadores puedan trabajar sin una supervisión minuciosa y no puedan modificar los programas ni los archivos que no correspondan. c) Asegurar que se estén utilizando los datos, archivos y programas correctos en y por el procedimiento correcto. d) Que la información transmitida sea recibida sólo por el destinatario al cual ha sido enviada y no a otro. e) Que la información recibida sea la misma que ha sido transmitida. f) Que existan sistemas alternativos secundarios de transmisión entre diferentes puntos. g) Que se disponga de pasos alternativos de emergencia para la transmisión de información. Algunas de las medidas a definir pueden ser las siguientes: 3.4.2.1) Controles de Acceso Estos controles pueden implementarse en el sistema operativo, sobre los sistemas de aplicación, en bases de datos, en un paquete específico de seguridad o en cualquier otro utilitario. Constituyen una importante ayuda para proteger al sistema operativo de la red, al sistema de aplicación y demás software, de la utilización o modificación no autorizada; para mantener la integridad de la información (restringiendo la cantidad de usuarios y procesos con acceso permitido) y para resguardar la información confidencial de accesos no autorizados. Identificación y autentificación Permite prevenir el ingreso de personas no autorizadas siendo la base para la mayor parte de los controles de acceso y para el seguimiento de las actividades de los usuarios. Se denomina Identificación al momento en que el usuario se da a conocer en el sistema; y Autenticación a la verificación que realiza el sistema sobre esta identificación. 45

Seguridad de los Sistemas Contables informatizados en las PYMES

La Seguridad Informática se basa, en gran medida, en la efectiva administración de los permisos de acceso a los recursos informáticos, basados en la identificación, autenticación y autorización de accesos. Esta administración abarca: a) Proceso de solicitud, establecimiento, manejo, seguimiento y cierre de las cuentas de usuarios. Es necesario considerar que la solicitud de habilitación de un permiso de acceso para un usuario determinado, debe provenir de su superior y, de acuerdo con sus requerimientos específicos de acceso, debe generarse el perfil en el sistema de seguridad, en el sistema operativo o en la aplicación según corresponda. b) Además, la identificación de los usuarios debe definirse de acuerdo con una norma homogénea para toda la organización. c) Revisiones periódicas sobre la administración de las cuentas y los permisos de acceso establecidos. Las mismas deben encararse desde el punto de vista del sistema operativo, y aplicación por aplicación, pudiendo ser llevadas a cabo por personal de auditoría o por la gerencia propietaria del sistema; siempre sobre la base de que cada usuario disponga del mínimo permiso que requiera de acuerdo con sus funciones. d) Las revisiones deben orientarse a verificar la adecuación de los permisos de acceso de cada individuo de acuerdo con sus necesidades operativas, la actividad de las cuentas de usuarios o la autorización de cada habilitación de acceso. Para esto, deben analizarse las cuentas en busca de períodos de inactividad o cualquier otro aspecto anormal que permita una redefinición de la necesidad de acceso. e) Detección de actividades no autorizadas. Además de realizar auditorías o efectuar el seguimiento de los registros de transacciones (pistas), existen otras medidas que ayudan a detectar la ocurrencia de actividades no autorizadas. Algunas de ellas se basan en evitar la dependencia hacia personas determinadas, estableciendo la obligatoriedad de tomar vacaciones o efectuando rotaciones periódicas a las funciones asignadas a cada una. f) Nuevas consideraciones relacionadas con cambios en la asignación de funciones del empleado. Para implementar la rotación de funciones, o en caso de reasignar funciones por ausencias temporales de algunos empleados, es necesario considerar la importancia de mantener actualizados los permisos de acceso. g) Procedimientos a tener en cuenta en caso de desvinculaciones de personal con la organización, llevadas a cabo en forma amistosa o no. Los despidos del personal de sistemas presentan altos riesgos ya que en general se trata de empleados con capacidad para modificar aplicaciones o la configuración del sistema, dejando "bombas lógicas" o destruyendo sistemas o recursos informáticos. No obstante, el personal de otras áreas usuarias de los sistemas también puede causar daños, por ejemplo, introduciendo información errónea a las aplicaciones intencionalmente. h) Para evitar estas situaciones, es recomendable anular los permisos de acceso a las personas que se desvincularán de la organización, lo antes posible. En caso de despido, el permiso de acceso debería anularse previamente a la notificación de la persona sobre la situación. i) Desde el punto de vista de la eficiencia, es conveniente que los usuarios sean identificados y autenticados solamente una vez, pudiendo acceder a partir de allí, a todas las aplicaciones y datos a los que su perfil les permita, tanto en sistemas locales como en sistemas a los que deba acceder en forma remota. Esto se denomina sincronización de passwords. Roles y Transacciones 46

Seguridad de los Sistemas Contables informatizados en las PYMES El acceso a la información también puede controlarse a través de la función o rol del usuario que requiere dicho acceso. En este caso los derechos de acceso pueden agruparse de acuerdo con el rol de los usuarios. También pueden implementarse controles a través de las transacciones, por ejemplo solicitando una clave al requerir el procesamiento de una transacción determinada. Limitaciones a los servicios Estos controles se refieren a las restricciones que dependen de parámetros propios de la utilización de la aplicación o preestablecidos por el administrador del sistema. Un ejemplo podría ser que en la organización se disponga de licencias para la utilización simultánea de un determinado producto de software para cinco personas, en donde exista un control a nivel sistema que no permita la utilización del producto a un sexto usuario. Modalidad de acceso Se refiere al modo de acceso que se permite al usuario sobre los recursos y a la información. Esta modalidad puede ser: Lectura: el usuario puede únicamente leer o visualizar la información pero no puede alterarla. Debe considerarse que la información puede ser copiada o impresa. Escritura: este tipo de acceso permite agregar datos, modificar o borrar información. Ejecución: este acceso otorga al usuario el privilegio de ejecutar programas. Borrado: permite al usuario eliminar recursos del sistema (como programas, campos de datos o archivos). El borrado es considerado una forma de modificación. Todas o una combinación de las anteriores. Además existen otras modalidades de acceso especiales, que generalmente se incluyen en los sistemas de aplicación: Creación: permite al usuario crear nuevos archivos, registros o campos Búsqueda: permite listar los archivos de un directorio determinado Ubicación y horario El acceso a determinados recursos del sistema puede estar basado en la ubicación física o lógica de los datos o personas. En cuanto a los horarios, este tipo de controles permite limitar el acceso de los usuarios a determinadas horas de día o a determinados días de la semana. De esta forma se mantiene un control más restringido de los usuarios y zonas de ingreso. Se debe mencionar que estos dos tipos de controles siempre deben ir acompañados de alguno de los controles anteriormente mencionados.

47

Seguridad de los Sistemas Contables informatizados en las PYMES Control de acceso interno a) Palabras claves (passwords): generalmente se utilizan para realizar la autenticación del usuario y sirven para proteger los datos y aplicaciones. Los controles implementados a través de la utilización de palabras clave resultan de muy bajo costo. Sin embargo cuando el usuario se ve en la necesidad de utilizar varias palabras clave para acceder a diversos sistemas encuentra dificultoso recordarlas y probablemente las escriba o elija palabras fácilmente deducibles, con lo que se ve disminuida la utilidad de esta técnica. b) Sincronización de passwords: consiste en permitir que un usuario acceda con la misma password a diferentes sistemas interrelacionados y, su actualización automática en todos ellos en caso de ser modificada. Podría pensarse que esta es una característica negativa para la seguridad de un sistema, ya que una vez descubierta la clave de un usuario, se podría tener acceso a los múltiples sistemas a los que tiene acceso dicho usuario. Sin embargo, estudios hechos muestran que las personas normalmente suelen manejar una sola password para todos los sitios a los que tengan acceso, y que si se los fuerza a elegir diferentes passwords tienden a guardarlas escritas para no olvidarlas, lo cual significa un riesgo aún mayor. Para implementar la sincronización de passwords entre sistemas es necesario que todos ellos tengan un alto nivel de seguridad. c) Caducidad y control: este mecanismo controla cuándo pueden y/o deben cambiar sus passwords los usuarios. Se define el período mínimo que debe pasar para que los usuarios puedan cambiar sus passwords, y un período máximo que puede transcurrir para que éstas caduquen. d) Encriptación: la Criptografía es la ciencia que consiste en transformar datos legibles en otros que no lo son (mediante claves que sólo el emisor y el destinatario conocen), para después devolverlos a su forma original, sin que nadie que vea los datos cifrados sea capaz de entenderlos. El texto cifrado recibe el nombre Criptograma. La información encriptada solamente puede ser desencriptada por quienes posean la clave apropiada. Existen dos tipos de encriptación: Los asimétricos: que utilizan dos claves distintas una para encriptar y otra para desencriptar Los simétricos: que utilizan la misma clave para encriptar.

48

Seguridad de los Sistemas Contables informatizados en las PYMES

Texto original

Criptograma

Algoritmo f(x)

CLAVE Figura 10 – Encriptación de datos. e e) Listas de control de accesos: se refiere a un registro donde se encuentran los nombres de los usuarios que obtuvieron el permiso de acceso a un determinado recurso del sistema, así como la modalidad de acceso permitido. Este tipo de listas varía considerablemente en su capacidad y flexibilidad. f) Límites sobre la interfase de usuario: estos límites, generalmente, son utilizados en conjunto con las listas de control de accesos y restringen a los usuarios a funciones específicas. Básicamente pueden ser de tres tipos: menús, vistas sobre la base de datos y límites físicos sobre la interfase de usuario. Control de acceso externo a) Dispositivos de control de puertos: estos dispositivos autorizan el acceso a un puerto determinado y pueden estar físicamente separados o incluidos en otro dispositivo de comunicaciones, como por ejemplo un módem. b) Firewalls o puertas de seguridad: permiten bloquear o filtrar el acceso entre dos redes, usualmente una privada y otra externa (por ejemplo Internet). Los firewalls permiten que los usuarios internos se conecten a la red exterior al mismo tiempo que previenen la intromisión de atacantes o virus a los sistemas de la organización. c) Acceso de personal contratado o consultores: debido a que este tipo de personal en general presta servicios temporarios, debe ponerse especial consideración en la política y administración de sus perfiles de acceso.

e

Basada en la figura de la página 8 (Seguridad Informática), Computación aplicada a la contabilidad, administración y economía, Volumen IV, Cátedra de Introducción a la Computación, Facultad de Ciencias Económicas y de Administración de la Universidad de la República – Curso 2000 – Montevideo, Uruguay. 49

Seguridad de los Sistemas Contables informatizados en las PYMES

4) POLÍTICAS DE SEGURIDAD Las políticas, estándares y procedimientos para la seguridad de la información son una serie de múltiples documentos interrelacionados que utiliza una organización para administrar y proteger la información de la que depende para sus operaciones actuales y futuras. El objetivo de una política de seguridad explicita el posicionamiento de la empresa con respecto a la misma, además de servir de base para desarrollar los procedimientos de seguridad. El proponer o identificar una política de seguridad requiere un alto compromiso con la organización, capacidad técnica para establecer fallas y debilidades, y constancia para renovar y actualizar dicha política en función del dinámico ambiente que rodea las organizaciones modernas. Cualquier política de seguridad ha de contemplar los elementos claves de seguridad ya mencionados: la Integridad, Disponibilidad, Confidencialidad y, adicionalmente, Control, Autenticidad y Utilidad. No debe tratarse de una descripción técnica de mecanismos de seguridad, ni de una expresión legal que involucre sanciones a conductas de los empleados. Es más bien una descripción de los que deseamos proteger y el porqué de ello. 4.1) Definición de políticas, estándares y procedimientos

Figura 12 – Componentes de una política de seguridad. h

h

Figura extraída del Artículo: Introducción a las Políticas, Estándares y Procedimientos de Seguridad de la información, www.symantec.com/region/mx/enterprisesecurity/content/framework, Julio de 2002

50

Seguridad de los Sistemas Contables informatizados en las PYMES Una política de seguridad explica con documentación el por qué una organización protege su información. Los estándares de la organización explican con documentación lo qué la organización quiere hacer para implementar y administrar la seguridad de su información. Los procedimientos explican con documentación exactamente cómo la organización obtendrá los requerimientos ordenados por estándares y políticas de nivel superior. 4.1.1) Política de seguridad de la información Es importante destacar que la política de seguridad de la información de una organización es un simple documento que articula la filosofía, los requerimientos reglamentarios y las creencias que la organización tiene en relación con la protección a los recursos de la información. Esta política explica con documentación el enfoque del medio ambiente, del personal y de los procesos en donde la aplica, así como las consecuencias de su incumplimiento. La política de seguridad de la información es parte de un conjunto de políticas que generalmente cumplen las organizaciones. Otras políticas solucionan áreas críticas como los recursos humanos, las instalaciones y las finanzas. Estas otras políticas deben ser complementadas y respaldadas con la política de seguridad de la información. 4.1.2) Estándares Los estándares de seguridad de la información constan de documentos múltiples que se aplican a todas las áreas de la empresa que utilizan la información. Estos estándares abarcan controles de seguridad físicos, administrativos y lógicos (técnicos) que están diseñados para proteger la información. Uno de los documentos de estándares define el contenido y presentación de toda la documentación de seguridad de la empresa de manera que muchas organizaciones contarán con docenas de documentos de los estándares para la seguridad de la información. 4.1.3) Procedimientos Los procedimientos de seguridad de la información establecen de manera detallada las operaciones que necesitan realizarse para satisfacer los requerimientos especificados en el estándar que se aplica a una actividad determinada, proceso de seguridad o protección a un recurso de la información. 4.2) Determinación del valor de la información Muchas organizaciones abordan la seguridad de la información con un enfoque aislado y asumen implícitamente que toda la información debe ser protegida. Pero, a fin de proteger adecuadamente los recursos de información de su organización, es importante entender las clases de recursos de información y sus valores respectivos. A continuación se presentan las siguientes definiciones:

51

Seguridad de los Sistemas Contables informatizados en las PYMES 1) Recurso de la información: todo equipo, proceso o información que se asocia con la información y se considera que debe ser protegida por la empresa. 2) Valor de la información: el valor o costo relacionado con lo siguiente: El valor intrínseco de la información. La creación de la información. El almacenaje de la información. La retención y administración de la información. Sólo cuando se aprecia el valor de la información, se pueden determinar los esfuerzos necesarios para protegerla. La protección de la información requiere una inversión inicial y progresiva bien se trate del hardware, software, almacenaje o personal. A continuación se presentan algunos parámetros básicos que se deben tener en cuenta al evaluar el nivel de protección que necesita la información: Si la información no tiene valor, no se debe proteger. Si la pérdida (temporal o permanente), divulgación o modificación de la información no afecta el funcionamiento de la empresa, entonces ¿para qué almacenarla o protegerla? No toda la información es igual, entonces, ¿por qué proteger toda la información al mismo nivel? En todos los casos, se debe realizar una evaluación de riesgos y un análisis del impacto en la empresa por la pérdida (temporal o permanente), divulgación o modificación de la información para determinar el nivel de protección necesario. Para ello: Se debe poder obtener una evaluación económica del impacto de estos sucesos. Este valor se podrá utilizar para comparar el costo de la protección de la información en análisis, con el costo de volverla a producir. Se debe tener en cuenta la probabilidad de que suceda cada uno de los problemas posibles. De esta forma se pueden priorizar los problemas y su costo potencial desarrollando un plan de acción adecuado. Se debe conocer qué se quiere proteger, dónde y cómo, asegurando que con los costos en los que se incurren se obtengan beneficios efectivos. Para esto se deberá identificar los recursos (hardware, software, información, personal, accesorios, etc.) conque se cuenta y las amenazas a las que se está expuesto. 4.3) Componentes claves de una política de seguridad de la información Los componentes claves de esta política incluyen los siguientes: 1) El apoyo y el compromiso de los directivos: los directivos tienen que demostrar que están comprometidos con la seguridad. Este compromiso lo demuestran al aprobar abiertamente y respaldar formalmente los procesos de concientización y entrenamiento en seguridad. 52

Seguridad de los Sistemas Contables informatizados en las PYMES 2) Filosofía de acceso: el acceso a la información computarizada debe otorgarse sobre las bases de “necesidad de saber, necesidad de hacer”. 3) Autorización de acceso: el propietario de la información o el ejecutivo responsable de usar y reportar correctamente la información, debe suministrar autorización escrita a los usuarios para que obtengan acceso a la información computarizada, la cual debe ser entregada directamente al administrador de seguridad, para evitar cualquier tipo de alteraciones 4) Verificación de las autorizaciones de acceso: los controles de acceso deben evaluarse regularmente para garantizar que siempre estén vigentes y de acuerdo a las pautas establecidas en la política de seguridad. 5) La percepción de la seguridad: todos los empleados, incluso los ejecutivos, necesitan adquirir conciencia sobre la importancia de la seguridad. Para ello se pueden utilizar mecanismos como los siguientes: Distribuir una política escrita de seguridad. Capacitación. Compromisos de no divulgar información firmados por los empleados. Auditorías periódicas. También podemos describir a modo de ejemplo algunas de las responsabilidades de los empleados ante esta política de seguridad: Leer la política de seguridad. Mantener secretas las identificaciones y contraseñas. Denunciar posibles violaciones de seguridad al administrador de seguridad. Mantener los aspectos de seguridad física. Asimismo, las personas que no son empleadas de la empresa, pero que tienen acceso a sus sistemas, también deberían tener conocimiento de las políticas y responsabilidades sobre seguridad. 4.4) Características principales de una Política de Seguridad de la Información Entre ellas podemos citar las siguientes: Debe estar escrita en lenguaje simple, pero jurídicamente viable. Debe basarse en las razones que tiene la empresa para proteger la información. Debe ser consistente con las demás políticas organizacionales. Debe hacerse cumplir (se exige y se mide su cumplimiento). Debe tener en cuenta los aportes hechos por las personas afectadas por la política. Debe definir el papel y responsabilidades de las personas, departamentos y organizaciones para los que aplica la política. Debe definir las consecuencias en caso de incumplimiento de la política. Debe estar respaldada por documentos tangibles, como los estándares y procedimientos para la seguridad de la información, que se adapten a los cambios en las operaciones de las empresas, las necesidades, los requerimientos jurídicos y los cambios tecnológicos.

53

Seguridad de los Sistemas Contables informatizados en las PYMES La creación de una política de seguridad de la información es labor de la empresa y requiere mucha interacción humana para garantizar que el resultado final satisfaga las necesidades de ésta y debe ser aceptada como parte normal de las operaciones por parte de las personas para quienes aplica la política. Lo más importante es que la introducción de una política efectiva de seguridad de la información debe contar con el respaldo y el más alto compromiso de la gerencia ejecutiva de la organización. 5) PLAN DE CONTINGENCIA Es frecuente que en las empresas no existan planes de contingencia que especifiquen que hacer ante una falla no prevista, lo que provoca que los funcionarios desconozcan los procedimientos que deben ejecutar y la situación problemática se vuelve más grave, ya que a la tensión existente se agregan errores de operación por falta de especificaciones. Por lo tanto en toda empresa que se trabaje con sistemas informáticos deberían existir planes de contingencia que especifiquen claramente que hacer frente a una situación crítica y describan los procedimientos para volver a la empresa operativa ante cualquiera de estas situaciones. 5.1) Beneficios de un plan de contingencia para la seguridad Las ventajas de crear y contar con un plan de contingencia abarcan elementos tangibles e intangibles, como por ejemplo: Reducción de los costos por perjuicios si ocurre un siniestro. Mayor comunicación y mejores relaciones en el interior de la empresa. Una mayor conciencia entre el personal de seguridad sobre la importancia de la misma y el valor de la información que se está protegiendo. 5.2) Etapas clave en la elaboración de planes de contingencia Las partes involucradas en el desarrollo de un plan de contingencia deben saber escuchar y comunicarse. Aunque existen algunas etapas importantes de desarrollo, mantener un buen plan significa repetir continuamente estas etapas, volver a evaluar el plan y revisarlo. 1) Determinación del objetivo: el punto de partida para el desarrollo de un plan de contingencia es determinar un objetivo claro. Es necesario identificar el objetivo operativo en caso de una emergencia en materia de seguridad. Por ejemplo, determinar si el objetivo es proteger cierta información y bienes, es mantener operaciones comerciales, etc. Esto permitirá definir un plan estratégico de acción y determinar los recursos que se deben proteger primero. 2) Realización de un inventario completo: se deben identificar las principales herramientas, los recursos y las tareas necesarias para realizar negocios y atender las funciones críticas establecidas en el objetivo de la elaboración de planes de contingencia. El inventario debe incluir recursos auxiliares como suministros de energía y recursos de respaldo. 54

Seguridad de los Sistemas Contables informatizados en las PYMES 3) Análisis de riesgos: se debe evaluar los perjuicios financieros, técnicos, jurídicos y operativos totales que pudieran ocurrir como resultado de una falla del sistema de seguridad. 4) Desarrollo de un plan de acción: es necesario repasar los escenarios detallados de "qué pasaría si..." que implican diferentes amenazas a la seguridad y los efectos posibles en las operaciones. Para cada escenario potencial de disminución de riesgos, se debe tener en cuenta a las personas involucradas, sus responsabilidades, las consideraciones presupuestales, etc. 5) Prever un "Plan B": aún los mejores planes de contingencia encuentran problemas técnicos, por lo tanto hay que anticiparse a estos problemas y crear soluciones alternativas. 6) Planeación de las comunicaciones y compras: los mejores planes son efectivos solo si los empleados tienen en cuenta su importancia y entienden sus mensajes y procesos. Los departamentos de recursos humanos, de aspectos jurídicos y finanzas deben revisar y responder a los planes de contingencia de seguridad en cada etapa de desarrollo. 5.3) Especificaciones del plan de acción Los planes de contingencia variarán dependiendo del tipo específico de fallas del sistema de seguridad, como el ataque de virus que podría afectar las operaciones de la empresa de manera diferente a como lo haría una negación de servicio. Debido al rango de amenazas a la seguridad, los planes de contingencia deben ser adaptables. Sin embargo, todos los planes efectivos deben responder por lo siguiente: 1) Pérdida de la información: eventualmente las fallas en el fluido eléctrico, los virus, los hackers u otras fuerzas perjudicarán la información importante de una empresa o la hará inaccesible. Es necesario prepararse para lo inevitable haciendo copias de seguridad del sistema y de la información. Será necesario realizar un análisis costo / beneficio para determinar qué información será almacenada, los espacios de almacenamiento destinados a tal fin, la forma de realización, las estaciones de trabajo que cubrirá el backup, etc. Para una correcta realización y seguridad de backups se deberán tener en cuenta estos puntos: Se debe contar con un procedimiento de respaldo de los sistemas operativos y de la información de los usuarios, para poder reinstalar fácilmente en caso de sufrir un accidente. Se debe determinar el medio y las herramientas correctas para realizar las copias, basándose en análisis de espacios, tiempos de lectura / escritura, tipo de backup a realizar, etc. El almacenamiento de los Backups debe realizarse en locales diferentes de donde reside la información primaria. De este modo se evita la pérdida si el desastre alcanza a todo el edificio o local. 55

Seguridad de los Sistemas Contables informatizados en las PYMES

Se debe verificar, periódicamente, la integridad de los respaldos que se están almacenando. No hay que esperar hasta el momento en que se necesitan para darse cuenta de que están incompletos, dañados, mal almacenados, etc. Se debe contar con un procedimiento para garantizar la integridad física de los respaldos, en previsión de robo o destrucción. Se debe contar con una política para garantizar la privacidad de la información que se respalda en medios de almacenamiento secundarios. Por ejemplo, la información se puede encriptar antes de respaldarse. Se debe contar con un procedimiento para borrar físicamente la información de los medios de almacenamiento, antes de desecharlos. Mantener equipos de hardware, de características similares a los utilizados para el proceso normal, en condiciones para comenzar a procesar en caso de desastres físicos. Puede optarse por: 1) Modalidad Externa: otra organización tiene los equipos similares que brindan la seguridad de poder procesar la información, al ocurrir una contingencia, mientras se busca una solución definitiva al siniestro producido, 2) Modalidad Interna: se tiene más de un local, en donde uno es espejo del otro en cuanto a equipamiento, características técnicas y capacidades físicas. Ambos son susceptibles de ser usados como equipos de emergencia. En todos los casos se debe asegurar reproducir toda la información necesaria para la posterior recuperación sin pasos secundarios ni operación que dificulte o imposibilite la recuperación. 2) Respaldo del hardware: sería conveniente que las empresas con computadoras y servidores propios contaran con equipos de respaldo rápido, que estén disponibles en caso que el servidor principal se dañe. 3) Suministros de energía de reserva: una falla en la energía puede dañar la información y afectar la capacidad de la empresa para operar. Una fuente de energía ininterrumpida o UPS es un componente indispensable de todo plan de contingencia. Los costos de las UPS varían dependiendo del "tiempo de ejecución" del modelo o del tiempo de energía disponible. 4) Recursos humanos: en el caso de detectar una falla de seguridad, la empresa podría necesitar personal de informática adicional. Es recomendable que se establezca relaciones con una agencia temporal de personal antes que ocurra una emergencia, también se pueden identificar consultores expertos de cuya experiencia se puedan beneficiar el personal de informática de la empresa. También puede ser adecuado negociar contratos de asistencia con los distribuidores antes que ocurra una crisis en la seguridad. 5) Difusión: debe especificarse detalladamente en un plan de contingencia la cantidad de información que debe revelarse (en caso de que se deba revelar) y quién debe comunicar esta información. 56

Seguridad de los Sistemas Contables informatizados en las PYMES 6) Aprobación de fondos: las situaciones de emergencia requieren gastos que no están contemplados en el presupuesto. Las partes responsables de elaborar un plan de contingencia deben revisar los estatutos de constitución y el reglamento de la empresa para determinar quién puede declarar cuando una situación es una emergencia y quién tiene autoridad para asignar los recursos de emergencias. En situaciones de emergencia se debe establecer un proceso de rápida asignación de fondos para las emergencias con el fin de evitar procesos demorados de solicitud y aprobación. 5.4) Creación de un documento y equipo de respuestas a incidentes El documento de respuesta a incidentes explica de manera resumida el orden jerárquico a respetar para llevar a cabo los procedimientos de emergencia y trata los siguientes aspectos: ¿Quién reporta a quién? ¿Quién es responsable de qué? ¿En qué circunstancias debería suspenderse un servicio de correo electrónico o un servidor de Internet? ¿Cuáles son los procedimientos para la comunicación y alerta de emergencias? Un equipo de respuesta a incidentes realiza muchas de las acciones explicadas en el documento de respuesta a incidentes. Este equipo tiene papeles asignados previamente. En caso de identificar una falla de seguridad, los integrantes del equipo están familiarizados con sus responsabilidades. Los siguientes son los aspectos clave que se deben tener en cuenta cuando se conforma un equipo de respuestas a incidentes: ¿Están representados los integrantes de los diferentes departamentos? ¿En qué condiciones actuarían los integrantes del equipo? ¿Cuál es la cadena de mando? ¿Qué grado de autonomía tienen los integrantes para la toma de decisiones? 5.5) Medidas de seguridad Los planes de contingencia no son únicamente estratégicos. Mientras que los planes solucionan principalmente escenarios hipotéticos, también es necesario que se tomen algunas medidas en tiempo real: 1) Seguro: en caso de una falla de seguridad, el seguro cibernético puede ayudar a cubrir los costos debido a la pérdida de información, interrupción de las empresas, demandas de terceros como consecuencia de la negligencia en seguridad, etc. Las primas de seguro varían dependiendo del tamaño y naturaleza de los negocios en línea de la empresa. Las compañías de seguros casi siempre realizan auditorías de seguridad antes de dar cubrimiento a los solicitantes. Los planes de contingencia pueden ayudar a disminuir los costos de las primas de seguro. 2) Aplicaciones de la seguridad: los antivirus, la detección de intrusos y el software para el filtrado de contenidos de Internet y del correo electrónico pueden ayudar a proteger la red contra una variedad de amenazas a la seguridad como las siguientes: 57

Seguridad de los Sistemas Contables informatizados en las PYMES Ataques de piratas. Ataques de virus. Negación de servicio. Intrusión de códigos móviles maliciosos. Fugas de información confidencial. 5.6) Planes de contingencia específicos Todas las etapas de análisis e implementación de un plan de contingencia deben respaldar el objetivo del plan. Debido a la variedad de fallas de seguridad, los planes de contingencia deberán ser adaptados a los diferentes escenarios. Sin embargo, se debe planear algunas constantes como el suministro de energía, los respaldos de la información, etc. Los costos para el desarrollo e implementación de un plan de contingencia completo pueden ser significativos, aunque siempre serán mayores los costos de tiempo de inactividad de la empresa y detrimento a la reputación debido a las fallas de seguridad. 6) SEGURIDAD EN REDES Es importante tener una política de seguridad de red bien concebida y efectiva que pueda proteger la inversión y los recursos de información de la empresa. Vale la pena implementar una política de seguridad si los recursos y la información que la organización tiene en sus redes merecen protegerse. 6.1) Definición de las medidas de seguridad 6.1.1) Identificación de usuarios autorizados para usar los recursos de la red Debe hacerse una lista de los usuarios que necesitan acceso a los recursos de la red y pueden dividirse en grupos como usuarios de contabilidad, abogados, ingenieros, etc. También se deben tener en cuenta los usuarios externos, que son aquellos usuarios que tienen acceso a las redes de la empresa desde otras partes, como estaciones de trabajo autónomas y otras redes; pueden no ser empleados, o bien, pueden ser empleados que tengan acceso a la red desde sus hogares o durante un viaje. 6.1.2) Identificación del uso adecuado de los recursos Una vez determinados los usuarios autorizados a tener acceso a los recursos de la red, se deben establecer los lineamientos del uso aceptable de dichos recursos. Los lineamientos dependen de la clase de usuarios, ya que se deben tener lineamientos aparte para cada clase. Dichos lineamientos deben establecer que tipo de uso es aceptable y cual es inaceptable, así como que tipo de uso esta restringido. Si el acceso a un recurso de la red esta restringido, se debe considerar el nivel de acceso que tendrá cada clase de usuario. Es necesario establecer con claridad que cada usuario es responsable de sus acciones. La responsabilidad de cada usuario existe al margen de los mecanismos de seguridad implantados.

58

Seguridad de los Sistemas Contables informatizados en las PYMES Muchos productos de software con licencia para redes determinan su uso y restringen el número de usuarios que pueden tener acceso a la red. Sin embargo, algunos acuerdos de licencia quizá requieran que se vigile su uso para que no se viole el acuerdo. 6.1.3) Responsables de conceder acceso y aprobar el uso Se debe identificar quién esta autorizado para conceder acceso a los servicios. También se debe determinar qué tipo de acceso se puede conceder dichas personas. Si no se puede controlar a quien se le da acceso al sistema, será difícil controlar a quien use la red. Identificar a las personas encargadas de conceder acceso a la red, permite rastrear qué tipo de acceso o control se ha otorgado. Esto es útil para identificar las causas de las fallas de seguridad como resultado de que se hayan concedido privilegios excesivos a ciertos usuarios. Lo esencial es equilibrar el acceso restringido a los privilegios especiales para hacer más segura la red, con el otorgamiento de acceso a las personas que necesitan esos privilegios para realizar sus tareas. En general, se debe conceder solo los privilegios suficientes para cumplir con las tareas necesarias. Además, las personas que tengan privilegios deben ser responsables y rendir cuentas ante algún responsable previamente definido. Algunos sistemas podrán tener mecanismos de auditorías personales, que pueden usarse para que los usuarios con privilegios no abusen de la confianza. 6.1.4) Recomendaciones para el comportamiento del usuario Al conectarse a una red insegura desde un terminal controlado por la empresa, el usuario tiene que cumplir con unas elementales normas de ética y con las normas de seguridad definidas por la empresa, entre las que cabe destacar las siguientes: Utilizar siempre su propia identidad, nunca una ajena. No enviar ni almacenar información clasificada, a menos que esté cifrada. No introducir ningún producto sin haber verificado previamente que cumple los requisitos legales de licencia y autorización del fabricante, no obtener ningún producto para usarlo en la empresa, sin la previa autorización expresa de la Dirección, debiendo cumplir los requisitos legales de licencia y autorización del fabricante. Cualquier producto obtenido de redes externas no puede ser incorporado a los sistemas de la empresa sin verificar previamente que no contiene ningún tipo de código dañino (virus) Si existe un sistema de correo electrónico en la empresa, no usar este tipo de redes como correo interno entre empleados. Los usuarios no deben intentar comprobar la seguridad de la red interna, ni de ninguna red externa. 6.1.5) Sistema Firewall (Cortafuegos) Un Sistema Firewall consta de un conjunto de mecanismos, filtros de protocolo y dispositivos de control de accesos que manejan de forma segura la conexión entre una red protegida y una red insegura, tales como Internet o cualquier otra, incluyendo posibles sub-redes inseguras de la propia red interna de la empresa. 59

Seguridad de los Sistemas Contables informatizados en las PYMES Este sistema protege las comunicaciones entre un usuario y una red externa, de la forma más transparente posible para el usuario, facilitándole al máximo los servicios que dicha red ofrece. La mayoría de los sistemas firewall están diseñados para asegurar el tráfico con la red Internet, debido a que representa la mayor fuente de información y de medios de comunicación con terceros, incluyendo: clientes, proveedores y cualquier otro tipo de personas que comparten intereses comunes. 6.1.6) Transferencia de activos La transmisión de mensajes, notas y documentos o datos y programas se considera una transferencia de activos, siempre que se realice a través de un gateway y desde o hacia un servicio interno de la empresa. Un gateway es el entorno de proceso que permite la conexión, ya sea un recurso informático (hardware), o un activo de información (software o aplicación). Normalmente, un gateway suministra el enlace de comunicaciones inicial entre sistemas internos y externos. El responsable del sistema que suministra el servicio para el establecimiento de la conexión, debe ser considerado como propietario del gateway. Tiene que haber un proceso que asegure la notificación de transmisiones no autorizadas al propietario del gateway y poderlas prevenir y/o interrumpir. Debe considerarse no autorizada la transmisión de material ofensivo y los activos que contengan virus, y adicionalmente el uso con fines fraudulentos de la red interna de la empresa. 6.1.7) Correo Electrónico Es un medio de comunicación entre empleados, generalmente dentro del ámbito de la empresa, aunque también fuera de ella, que va adquiriendo un uso creciente. Este medio concebido para la transmisión de mensajes o notas, permite habitualmente la transmisión de todo tipo de activos. Además de las consideraciones generales de seguridad a aplicar en cualquier sistema de uso público, hay que tener en cuenta: La posibilidad de interceptación de mensajes o notas, por lo que no debe incluirse en ellos información sensible que no esté cifrada. La posible inclusión de virus o código dañino en los activos de información recibidos. 6.1.8) Registros auditables Hay que guardar registros auditables de las conexiones externas para, en caso de investigación de un incidente, poder determinar el uso de la conexión a los servicios internos de la empresa. Para satisfacer este requerimiento, hay que crear un registro de la actividad de los gateways, que tiene que reflejar como mínimo para cada sesión establecida o acceso: 60

Seguridad de los Sistemas Contables informatizados en las PYMES la fecha y hora; identificación del origen (Ej. usuario del que proviene); cuando la tecnología lo permite, tipo de acceso, destinatario y el nombre del activo transferido. Estos registros de actividades tienen que ser guardados, al menos, durante un año. Adicionalmente, estos registros deben usarse para detectar ataques sistemáticos contra un gateway y como respuesta a cualquier requerimiento del propietario del gateway para su análisis.

61

Seguridad de los Sistemas Contables informatizados en las PYMES

INTRODUCCIÓN En esta parte de nuestro trabajo monográfico, nos centraremos en la investigación de los riesgos que afectan el manejo de la información en los sistemas contables computarizados utilizados en nuestro medio por pequeñas y medianas empresas. Para ello hemos realizado una recopilación de los diferentes programas contables utilizados en nuestro medio, a los efectos de evaluar la seguridad brindada por los mismos, sin intención de emitir un juicio de valor general o específico acerca de ellos, sino de concientizar a los usuarios de los riesgos que puede enfrentar la información contable procesada. Además, como ya mencionamos, tampoco se pretende influir en la decisión del lector al momento de efectuar la compra de un programa contable.

1) DIFERENTES ASPECTOS A EVALUAR DE LOS PROGRAMAS CONTABLES A continuación describiremos los aspectos que consideraremos al evaluar cada uno de los programas contables seleccionados a tal efecto. Debido al objetivo perseguido al crear este tipo de software, entendiendo que el mismo debe cumplir con ciertos requerimientos mínimos, ya sea de acuerdo a la incidencia de la normativa existente en nuestro país, así como a las funciones necesarias para llevar adelante la contabilidad de una empresa, debemos considerar en la evaluación otros aspectos generales antes de la evaluación de la seguridad proporcionada por los programas. 1.1) ASPECTOS GENERALES Podemos dividir estos aspectos en las siguientes áreas: 1.1.1)- Capacidad General Los aspectos de capacidad general deben ser lo primero que se debe evaluar al momento de adquirir un sistema contable computarizado, ya que si no permite lograr los objetivos planteados por la empresa, si no es posible que sea utilizado por todos los usuarios potenciales del mismo y no se adapta a la capacidad informática de ésta, no será conveniente adquirir ese sistema, por más que brinde un alto grado de seguridad. 1.1.2)- Identificación de Cuentas Otro punto a evaluar, y no menos importante, es el correspondiente a las cuentas que permite manejar el sistema, ya que si no es posible ingresar todas las cuentas y clasificarlas de acuerdo a las características de la empresa, no se podrá llevar adelante la contabilidad de manera adecuada mediante el uso de ese programa. 1.1.3)- Integración con Otros Sistemas También será necesario evaluar si el sistema permite la importación o exportación de datos desde / hacia otros sistemas que la empresa también utilice en su operativa, como por ejemplo otros sistemas contables o planillas electrónicas. 62

Seguridad de los Sistemas Contables informatizados en las PYMES

Asimismo debe tenerse en cuenta si el programa forma parte de un sistema integrado de gestión o bien permite relacionarse en forma automática con otros programas diseñados por el mismo proveedor, posibilitando el intercambio de datos. Dichos aspectos se consideran relevantes ya que pueden simplificar la tarea de procesamiento de la información, al no ser necesario ingresar todos datos en forma manual. 1.1.4)- Rendición de Informes Este punto es de gran importancia para todos los usuarios que requieran informes del programa, debido a que es necesario que los informes emitidos por el mismo sean útiles y cumplan con los requerimientos del usuario. Además, es conveniente que posean una flexibilidad adecuada para que, en los casos en que los informes predefinidos por el sistema no sean los requeridos por el usuario, sea posible su adaptación o bien la creación de nuevos informes. 1.1.5) Incidencia de las normas legales y profesionales Como último punto dentro de los aspectos generales del sistema, evaluaremos si éste permite cumplir con las exigencias de las normas legales y profesionales analizadas en el marco teórico. Para ello, tomaremos como referencia las implicancias que cada norma analizada tiene en el sistema contable computarizado de acuerdo a lo detallado en dicho análisis. 1.2)- SEGURIDAD BRINDADA POR EL SISTEMA 1.2.1) Seguridad del Sistema Operativo Como mencionamos en nuestro Marco Teórico, es necesario considerar el grado de seguridad en otros niveles, como lo es el software de base, es decir, el Sistema Operativo. Si el grado de seguridad en este nivel no es el adecuado, se podrá acceder a los datos procesados por el programa, por más que este posea un excelente nivel de seguridad. De esta manera realizaremos una breve descripción de los diferentes Sistemas Operativos en los cuales funcionan los programas contables a evaluar, analizando el grado de seguridad que brindan los mismos y las implicancias que esto puede tener en la seguridad de estos últimos. 1.2.2) Seguridad de las Bases de Datos utilizadas por el programa Otro aspecto que consideramos relevante es la seguridad que brinda la base de datos utilizada por el programa. A nuestro criterio, la seguridad brindada por el programa dependerá también de las características de seguridad que presente dicha base de datos, ya que si la misma no posee las herramientas de seguridad necesarias para limitar el acceso a los datos se podrá acceder a ellos mediante otras aplicaciones y/o utilitarios incluidos en el Sistema Operativo. Para ambos casos, Sistemas Operativos y bases de datos, debe tomarse en cuenta que, por más que los mismos posean herramientas que permitan definir un nivel de seguridad aceptable, si éstas no se configuran adecuadamente, no se logrará dicho nivel de seguridad. 63

Seguridad de los Sistemas Contables informatizados en las PYMES

Consideramos necesaria esta aclaración puesto que tanto los Sistemas Operativos como las bases de datos, en ocasiones, pueden funcionar con una mínima configuración, sin sacar provecho de todas sus ventajas de seguridad. 1.2.3) Acceso a datos Todo sistema contable debería incluir mecanismos de seguridad que impidan el acceso a los datos o su modificación por parte de personas no autorizadas. Cada individuo debe tener la autorización explícita por la Dirección de la empresa para el acceso a los mismos. La alteración no autorizada de los registros contables no sólo puede afectar la integridad y confidencialidad de la información contable sino que también puede ser un medio para la comisión o encubrimiento de fraudes. En general, el acceso a los datos es limitado mediante la utilización de distintos perfiles de usuarios y el manejo de contraseñas, las cuales deberían ser confidenciales, es decir, conocidas únicamente por el usuario para el cual fueron definidas. Asimismo, es posible utilizar otros mecanismos ya sea para limitar el acceso a las bases de datos o impedir la comprensión de éstos en ocasión de producirse un acceso no autorizado. En este último caso puede emplearse el mecanismo de encriptación de datos. 1.2.4)- Metodologías del Sistema Es importante considerar ciertas metodologías de trabajo del sistema y su vinculación con la seguridad del mismo. Existen diferentes aspectos que pueden influir en la integridad y/o exactitud de la información que se está manejando en el sistema, como por ejemplo: la metodología de ingreso (directamente o en lote), la posibilidad de borrado de información, etc. Asimismo podemos decir que no siempre aquellas metodologías que proporcionan un mayor grado de seguridad le resultarán amigables al usuario. Sería conveniente considerar ambos aspectos simultáneamente al momento de analizar y evaluar dichas metodologías. 1.2.5)- Controles del Sistema En este punto se verificará si el sistema posee pistas de auditoría u otros tipos de controles que permitan a la empresa obtener información, ya sea sobre los accesos que se han producido en el sistema (autorizados o no autorizados), así como las tareas realizadas en el mismo. 1.2.6) Respaldo y recuperación de datos Por último, analizaremos si el sistema posibilita la creación de copias de seguridad de los datos, así como su recuperación desde esas copias, en caso de ser necesario. Se tendrá en cuenta en dicho análisis si este proceso es posible de realizar desde el propio sistema, o bien si lo deja en manos del Sistema Operativo. 64

Seguridad de los Sistemas Contables informatizados en las PYMES 1.3) POLITÍCA DE SEGURIDAD Y PLAN DE CONTINGENCIA DE LA EMPRESA Más allá de las posibilidades de seguridad que brinde el sistema, en la empresa debería existir una política de seguridad adecuadamente establecida y un plan de contingencia que minimice las consecuencias de un imprevisto. A los efectos de evaluar si las empresas tienen en cuenta estos aspectos hemos realizado cuestionarios con el fin de recabar información sobre la realidad existente en nuestro medio en relación a ellos, lo cual se describirá más adelante.

2) EVALUACIÓN DE LOS PROGRAMAS 2.1) SEGURIDAD DE LOS SISTEMAS OPERATIVOS Los Sistemas Operativos aportan mecanismos y reglas básicas de funcionamiento, de forma tal que los programas puedan acceder a los recursos del computador de una forma adecuada. Aunque ésta fue la funcionalidad inicial de los Sistemas Operativos, con el tiempo se han añadido otras, y actualmente podemos decir que las distintas funciones de un Sistema Operativo son: Aceptar todos los trabajos y conservarlos hasta su finalización. Interpretación de comandos: interpreta los comandos que permiten al usuario comunicarse con el computador. Control de recursos: coordina y manipula el hardware de la computadora, como la memoria, las impresoras, las unidades de disco, el teclado o el mouse. Manejo de dispositivos de E/S: organiza los archivos en diversos dispositivos de almacenamiento, como discos flexibles, discos duros, discos compactos o cintas magnéticas. Manejo de errores: gestiona los errores de hardware y la pérdida de datos. Secuencia de tareas: el sistema operativo debe administrar la manera en que se reparten los procesos, definir el orden. Protección: evitar que las acciones de un usuario afecten el trabajo que esta realizando otro usuario. Multiacceso: un usuario se puede conectar a otra máquina sin tener que estar cerca de ella. Contabilidad de recursos: establece el costo que se le cobra a un usuario por utilizar determinados recursos. A continuación efectuaremos una breve descripción de los distintos Sistemas Operativos en los cuales funcionan las aplicaciones contables que vamos a evaluar, centrándonos en la seguridad de los mismos:

65

Seguridad de los Sistemas Contables informatizados en las PYMES 2.1.1) MS-DOS MS-DOS es un sistema operativo monotarea y monousuario con una interfaz de línea de comandos en modo texto. En cuanto a seguridad, al ser monousuario, no define usuarios diferentes con contraseñas asociadas, por lo cual cualquier persona que tenga acceso al computador, siempre que no existan medidas de seguridad brindadas por otros medios independientes del sistema operativo, podrá tener acceso a los archivos manejados por el sistema. 2.1.2) WINDOWS 2.1.2.1) Windows 95 Con este sistema operativo Microsoft se propuso superar algunas de las limitaciones del MS-DOS, pero conserva su compatibilidad ya que permite ejecutar aplicaciones de Windows 3.1 ó 3.1 I (versiones anteriores), MS-DOS y obviamente las nuevas aplicaciones diseñadas específicamente para este sistema operativo. Sin embargo, Windows 95 dispone únicamente de un rudimentario sistema de seguridad en el inicio de sesión, solicitando usuario y contraseña, el cual puede saltearse fácilmente, y no dispone de seguridad a nivel de objetos. 2.1.2.2) Windows 98 Microsoft Windows 98 hace que el computador funcione mejor integrando Internet, ofreciendo un mejor rendimiento del sistema y un sistema de diagnósticos y mantenimiento más sencillo. Pero, en cuanto a la seguridad posee las mismas características que Windows 95. 2.1.2.3) Windows NT Es un sistema operativo de apariencia similar a Windows 95. Posee la misma interfase de usuario, pero aprovecha mejor los recursos del computador, lo que implica que las aplicaciones se ejecuten más rápido y con mayor seguridad. Es un Sistema Operativo para uso empresarial, introduce el concepto de dominio en una red (conjunto de usuarios y recursos) definiendo qué usuario puede acceder a cuáles recursos y a cuáles archivos. Dicho dominio es utilizado para definir diferentes usuarios con distintos niveles de permisos, para uso en oficinas (empresas), en particular para redes.

66

Seguridad de los Sistemas Contables informatizados en las PYMES Con respecto a la seguridad, Windows NT dispone de firmes funciones de seguridad que controlan el acceso de los usuarios a los objetos como archivos, directorios, registro de sistema e impresoras. Garantiza la estabilidad mediante la asignación de áreas de memoria independientes para el sistema operativo y para las aplicaciones, con el fin de impedir la alteración de los datos. También incluye un sistema de auditoría que permite a los administradores rastrear los accesos a los archivos u a otros objetos, reintento de inicio de sesión, apagados y encendidos del sistema, etc. Para sacar provecho de los niveles de seguridad que permite Windows NT, se necesita tanto el hardware como el software adecuados. Es fundamental la correcta configuración de los aspectos mencionados de seguridad, ya que cuando se instala lo hace con un mínimo nivel de seguridad. 2.1.2.4) Windows 2000 Representa un esfuerzo por unificar lo que hasta ahora eran dos sistemas operativos distintos, Windows 9X y Windows NT. Windows 2000 trata de ofrecer la solidez y seguridad de Windows NT y la facilidad de manejo, soporte de hardware y multimedia de Windows 98. La familia de Windows 2000 está compuesta por cuatro versiones: Windows 2000 Professional (sucesor de NT Estación de trabajo) Windows 2000 Server (sucesor de NT Server) Windows 2000 Advanced Server Windows 2000 Data Center Server Con respecto a la infraestructura de seguridad de Windows 2000 la misma funciona en tres niveles: Local: se refiere a la protección de los datos en el computador, dicho sistema está diseñado para evitar que usuarios no autorizados se “salten”el sistema de arranque, y por lo tanto, las funciones de seguridad. Asimismo agrega la posibilidad de encriptación de los archivos utilizando claves definidas por el usuario. Corporativo: se refiere a la protección de datos en una red local, utiliza un protocolo de autenticación estándar de seguridad en redes locales e Internet que verifica y hace un seguimiento de la actividad de cada usuario dentro de la red. Público: utiliza también sistemas de claves públicas y protocolos de autenticación para mantener la seguridad de las comunicaciones que se realizan por Internet de forma que verifique la procedencia de los mensajes de correo o garantice las fuentes de donde proceden las descargas.

67

Seguridad de los Sistemas Contables informatizados en las PYMES 2.1.2.5) Windows XP Hasta ahora Microsoft disponía de dos sistemas operativos diferentes, para el entorno personal o doméstico tenía Windows 98 y para el entorno profesional ( o de negocios) el Windows NT/2000. Con Windows XP se produce una convergencia entre ambas versiones ya que se ha partido del núcleo del sistema de Windows 2000 para crear Windows XP y a partir de ahí se han realizado algunos retoques para diferenciar dos versiones de Windows XP, una para el ámbito personal llamada Windows XP Home Edition, y otra para el ámbito profesional denominada Windows XP Professional. El principal beneficio de esta estrategia para los usuarios domésticos es que WindowsXP ha adquirido la solidez y estabilidad de WindowsNT/2000. Windows XP dispone de un nuevo sistema de usuarios completamente diferente respecto a Windows 98. Este nuevo sistema ha sido heredado de Windows NT/2000. Ahora se pueden definir varios usuarios con perfiles independientes. Esto quiere decir que cada usuario puede tener permisos diferentes que le permitirán realizar unas determinadas tareas. Cada usuario tendrá una carpeta Mis documentos propia que podrá estar protegida por contraseña, un menú de inicio diferente. También se dispone de una carpeta a la que tienen acceso todos los usuarios y donde se pueden colocar los documentos que se quieren compartir con los demás usuarios. 2.1.3) UNIX/LINUX UNIX es un sistema operativo multiusuario y multitarea, fácilmente portable a diferentes tipos de computadores, por lo que existen versiones de Unix para casi todos los tipos. Linux es un sistema operativo gratuito y de libre distribución inspirado en el sistema Unix. Ambos sistemas brindan las herramientas de seguridad necesarias para proteger la información, como por ejemplo, el control de acceso a los usuarios donde todos los usuarios de Unix/Linux deben tener una cuenta en el sistema que establezca los privilegios del mismo. A su vez organiza a los usuarios en grupos de forma que se puedan establecer privilegios a un determinado grupo de trabajo, para el acceso a determinados archivos o servicios del sistema. 2.1.4) NOVELL Netware Es un sistema operativo para redes, y basa su seguridad en el control de acceso a los archivos que residen en el servidor. Se utiliza en redes pequeñas y grandes basadas en un servidor central y varias estaciones que usan datos de dicho servidor. No es rentable su utilización en redes pequeñas donde en general se utiliza Windows. 68

Seguridad de los Sistemas Contables informatizados en las PYMES Tiene herramientas de seguridad y auditoría que permiten lograr un buen nivel de seguridad. A modo de observación general, podemos decir que todo Sistema Operativo que ofrece los mecanismos de seguridad suficientes para definir un nivel adecuado de seguridad requieren de una mínima puesta a punto, en cuanto a seguridad se refiere, antes de ponerlos a trabajar con unas mínimas garantías de fiabilidad. Si se quiere aprovechar al máximo la seguridad que el sistema es capaz de brindar, es necesario que se configuren adecuadamente todas las herramientas de seguridad por él proporcionadas. 3) LISTADO DE PROGRAMAS CONTABLES UTILIZADOS EN URUGUAY A los efectos de realizar un relevamiento y así obtener un registro de los programas contables que se están utilizando en nuestro medio, hemos efectuado: Consultas a empresas, estudios contables, contadores y otras personas relacionadas con el procesamiento de datos contables Búsquedas en Internet Consultas en la Cámara uruguaya del software, etc. De esta forma, logramos obtener información de una serie de programas que están siendo utilizados en diferentes empresas y/o estudios contables de nuestro medio, los cuales detallamos a continuación:

69

Seguridad de los Sistemas Contables informatizados en las PYMES

Nombre

Información sobre la empresa

Proveedor

Se obtuvo versión?

SALVADOR 2000

AMÉRICA SOFTWARE

Tel: 403.34.14

SI

MEMORY Contabilidad Central

MEMORY COMPUTACIÓN

www.memory.com.uy

NO

www.memory.com.uy

NO

www.memory.com.uy

NO

WINCONT CONTY ALEXIS

MEMORY COMPUTACIÓN MEMORY COMPUTACIÓN SAICO SISTEMAS S.R.L ZETASOFTWARE URUSYS DESIGNWARE

www.saico.com.uy

SI

www.zetasoftware.com www.urusys.com www.designware.com.uy

SI SI SI

www.contawin.net

SI

PROCONT XXI

INFORMATICA PERSONALIZADA www.infoper.com S.A

NO

BITWIN Contabilidad

BIT SISTEMAS

www.bit-sistemas.com

NO

AKROS CONTABLE

AKROS Soluciones informáticas

www.akros.com.uy

NO

PSIG Contabilidad Central

AT & J Informática

www.atg.com.uy

NO

www.raddteam.com

NO

www.bcn.com.uy

NO

www.insis.com.uy

NO

SIGMA BRUJULA RESULT CONTAWIN Contabilidad Central

RT-CONTA PAULYA GCI Contabilidad y Finanzas

EXCEL WAIS S.A

RADD TEAM URUGUAY Soluciones informáticas BCN Informática INSIS

70

Seguridad de los Sistemas Contables informatizados en las PYMES 4) EVALUACIÓN DE LOS PROGRAMAS Nuestra evaluación estará dividida en dos niveles: un primer nivel donde evaluaremos todos los aspectos descriptos anteriormente, y un segundo nivel de evaluación más superficial. Para el primer nivel de evaluación hemos seleccionado los siguientes sistemas: SALVADOR 2000 MEMORY Contabilidad Central WINCONT CONTY ALEXIS SIGMA BRUJULA RESULT CONTAWIN Contabilidad Central Estos sistemas fueron incluidos en este primer nivel, debido a que fue posible obtener una versión sin costo para la evaluación de los mismos, y por lo tanto, analizar y observar en ellas los diferentes aspectos a evaluar. Sin embargo, para el caso de las versiones de MEMORY Computación si bien esto no fue posible, puesto que son utilizadas por la mayor parte del mercado y además se pudo acceder a ellas mediante la colaboración de algunas empresas que las utilizan, se han incluido en esta lista. El segundo nivel está integrado por el resto de los sistemas detallados en el cuadro anterior. Como mencionamos, esta evaluación será realizada de una manera más superficial, debido a que no fue posible acceder a una versión sin costo y tampoco acceder a ellos mediante la colaboración de alguna empresa que lo utilice. Por lo tanto, la evaluación se basará en la información que fue posible obtener de cada programa, con la salvedad de no haber verificado la misma. Desde nuestro punto de vista, consideramos adecuado incluir este segundo nivel de evaluación, para brindar al lector un panorama más amplio de los programas utilizados en plaza, sin limitarnos solamente a evaluar los programas incluidos en el primer nivel.

71

Seguridad de los Sistemas Contables informatizados en las PYMES

4.1) PRIMER NIVEL DE EVALUACIÓN 4.1.1) SALVADOR 2000 Este sistema fue creado por la empresa América Software y la versión que analizaremos será la 1.14 (release 1.4287) de Octubre/2001. 4.1.1.1) Aspectos generales Requerimientos de hardware y software Salvador 2000, es un sistema creado para su funcionamiento bajo el Sistema Operativo DOS, pero a su vez es multiplataforma, por lo que puede funcionar por medio de una ventana en varias versiones por ejemplo de Windows. Es un sistema de bajo porte, creado para pequeñas y medianas empresas y con mínimos requerimientos de Hardware. Ocupa muy poco espacio en el disco duro, esto se puede apreciar desde el momento de su instalación, ya que la misma es posible mediante el uso de un disquete. Condiciones de licencia de uso Con respecto a las restricciones en su uso, podemos decir que es posible adquirir la respectiva Licencia de uso del programa, así como también copiarlo libremente ya que la piratería no molesta al proveedor del mismo (según lo especificado en la Ayuda del sistema). Por esta razón, el programa es comercializado por personas ajenas al proveedor a muy bajo costo. Capacidad general En general, comparándolo con otros sistemas, posee una interfase no muy amigable para el usuario al momento de operar con el mismo, por ejemplo en el ingreso de los asientos (1).

(1) En esta pantalla podemos observar el formato para el ingreso de los asientos.

72

Seguridad de los Sistemas Contables informatizados en las PYMES Esto puede considerarse como una desventaja propia de funcionar bajo el sistema operativo DOS. No es posible el acceso simultáneo de los usuarios; sí pueden usarlo varias personas en el mismo equipo con sus usuarios correspondientes pero en diferentes momentos. Es multiempresa, permitiendo trabajar con varias empresas al mismo tiempo. Podemos destacar que tiene un Plan de Cuentas adaptado para la contabilidad del Sector Público, el cual considera en su estructura el Sistema S.I.I.F (Sistema integrado de información financiera) utilizado por este Sector. Con respecto a la parametrización, el sistema prevé esta posibilidad en varias tablas de datos, ya que permite ingresar los valores que se necesite por ejemplo de monedas, tasas de impuestos, índices, y otros valores que pueden ser útiles para la operativa de la empresa (por ejemplo valores de combustible, boletos de transporte, etc.). Identificación de cuentas Es posible adaptar el Plan de cuentas a las diferentes necesidades de las empresas. Integración con otros sistemas En relación a la integración con otros sistemas, es posible la importación y exportación de datos desde / hacia Memory (en sus versiones DOS y Windows) y además la importación y exportación de datos desde / hacia planilla electrónica. Emisión de informes En cuanto a los informes que brinda, se puede decir que contiene aquellos que son útiles para el usuario de la información contable, de los cuales podemos citar: Diarios, Mayores, Estado de Situación Patrimonial, Estado de Resultados, entre otros (2). Además incluye una opción para editar texto, donde tiene predefinidos informes estándar, como por ejemplo varios estilos de informes de Auditoría.

(2) En esta pantalla podemos observar la lista de informes que es posible emitir.

73

Seguridad de los Sistemas Contables informatizados en las PYMES Incidencia de las normas legales y profesionales Dadas las exigencias de las normas legales y profesionales de nuestro país, podemos decir, en cuanto al Libro Diario, que si bien es capaz de ordenar los asientos cronológicamente, deja espacios en blanco y lista asientos sin terminar con lo cual no cumple con los aspectos de presentación establecidos por la normativa vigente. Respecto al Libro Inventarios, al tener un Plan de Cuentas totalmente flexible, permite un nivel de detalle adecuado para ser posible la composición del mismo por Estados de Situación con el detalle correspondiente. Asimismo, consideramos que no es posible cumplir con el Decreto 103/91 en cuanto a la estructura de los Estados Contables, ya que no prevé la elaboración de todos los Anexos obligatorios (sólo es posible elaborar el EOAF). Tampoco tiene prevista la elaboración de las Notas a los Estados Contables en un formato estándar. 4.1.1.2) Seguridad brindada por el sistema Como primer punto podemos referirnos a los usuarios y contraseñas. El programa tiene previstos dos niveles de usuarios (distinguidos con el número 1 y el número 9) pero los usuarios creados con cualquiera de estos perfiles pueden realizar todas las tareas posibles en el programa. De esta manera no es posible limitar las tareas a realizar de cualquier persona que necesite ingresar al mismo. Por otra parte, si las contraseñas son olvidadas es posible borrar el archivo de usuarios y volver a crearlo, consiguiendo ingresar con el usuario predefinido por el sistema que no requiere contraseña (hasta que el usuario decida definirla). Por lo expuesto, la limitación al ingreso del sistema por medio de usuarios y contraseñas no cumple con su cometido. Utiliza archivos DBF (Data Base File), que es un formato común de archivos de datos y se pueden ver o modificar los mismos con varios programas y/o utilitarios, con lo cual no es necesario entrar al sistema para poder modificarlos. Esto además es posible ya que los datos no se encuentran encriptados. Otro punto a destacar es que el sistema no posee registro de pistas de auditoría, con lo cual, no sólo que cualquier persona puede ingresar al mismo, sino que no queda un registro de ello. Además, se puede borrar tanto asientos ya creados como cualquier cuenta del Plan de Cuentas, aunque tenga registros. Esto hace que el sistema sea muy vulnerable ante la pérdida de información y esta deje de ser íntegra. En conclusión, la seguridad brindada es nula. Toda persona que quiera acceder a los datos manejados en el sistema puede hacerlo fácilmente, aunque no cuente con la autorización correspondiente y sin dejar rastros. También al utilizar bases de datos DBF es posible ver y modificar los datos desde fuera del sistema.-

Aclaración: esta evaluación se realiza a los efectos de esta monografía sin intención de emitir un juicio de valor general ni específico sobre los programas contables evaluados y no pretendiendo influir al lector en una eventual decisión de compra de un programa.

74

Seguridad de los Sistemas Contables informatizados en las PYMES 4.1.2) MEMORY Contabilidad Central

El sistema MEMORY Contabilidad Central es el primer sistema computarizado de contabilidad creado por MEMORY Computación. La versión analizada es la 5.11c. 4.1.2.1) Aspectos generales Capacidad General Funciona bajo el Sistema Operativo DOS, por lo cual es monousuario. (1)

(1) Esta pantalla muestra el menú principal del sistema.

En el enfoque general se hizo hincapié en darle generalidad y flexibilidad al sistema, por lo cual intenta permitir la mayor variedad de opciones posibles para adaptarlo a las características particulares de cada empresa y además posibilita llevar la contabilidad de varias empresas a la vez. El ingreso de comprobantes y asientos se hace una única vez, el operador puede definir el tipo de comprobante a imputar y luego el sistema numera automáticamente cada comprobante, calculando automáticamente los impuestos en el caso que corresponda y generando automáticamente cada asiento contable. Con respecto a la parametrización, el sistema permite definir las distintas monedas a utilizar por la empresa y sus cotizaciones, así como diferentes tasas de IVA.

75

Seguridad de los Sistemas Contables informatizados en las PYMES Identificación de Cuentas Permite que el usuario defina que códigos de cuentas va a utilizar para cada uno de los capítulos del Balance predefinidos por el sistema (1.Activo, 2.Pasivo, 3.Capital, 4.Ganancias y 5.Pérdidas). (2)

(2) A la izquierda de esta pantalla se puede apreciar los diferentes capítulos del Plan de Cuentas.

Integración con Otros Sistemas El sistema permite la exportación de los siguientes datos a otros sistemas: Plan de cuentas. Comprobantes. Saldos. Números y Saldos. Asimismo genera los informes en formato estándar que pueden ser tomados desde cualquier otro lenguaje de programación o utilitario, por ejemplo los informes generados pueden ser leídos por planillas electrónicas. También posee vinculación directa con otros módulos de Memory Computación como por ejemplo Fígaro (módulo de facturación). Emisión de Informes Dentro de los informes que brinda podemos mencionar los siguientes: Libros Diarios, Mayores, Balances (Estado de Situación, Estado de Resultados, etc.) y Balancetes. También permite el análisis de la información contable por medio de informes de evolución mensual de las diferentes cuentas o grupos de cuentas así como la realización de análisis comparativos de saldos de las mismas. 76

Seguridad de los Sistemas Contables informatizados en las PYMES Incidencia de las normas legales y profesionales En cuanto al Libro Diario, el sistema es capaz de ordenar los asientos cronológicamente y además exige validar todos los datos de los asientos antes de emitir el mismo, por lo cual podemos decir que cumple con los requisitos de exposición establecidos por la normativa vigente. Respecto al Libro Inventarios, al tener un Plan de Cuentas totalmente flexible, permite un nivel de detalle adecuado para ser posible la composición del mismo por Estados de Situación con el detalle correspondiente. Sin embargo, no es posible cumplir con las exigencias del Decreto 103/91 ya que no prevé la emisión de todos los componentes obligatorios de los Estados Contables establecidos (por ejemplo los Anexos obligatorios y las Notas). 4.1.2.2) Seguridad brindada por el sistema Cada usuario tiene una ficha en el sistema en la cual se indica su nombre, la clave de acceso y controla a que puntos del programa puede el usuario ingresar y a cuáles no (que incluye todos los puntos del menú) y la antigüedad de la información a ingresar y/o modificar (3). Únicamente el usuario principal tiene la posibilidad de definir y modificar los perfiles de cada usuario.

(3) Esta pantalla muestra las diferentes opciones a autorizar al momento de definir los perfiles de usuarios.

El sistema registra pistas de auditoría, donde mantiene una historia de la utilización del programa indicando quién trabajó, en que empresa, que día y en que horario. No utiliza archivos de bases de datos sino que utiliza archivos.dat cuyo acceso por fuera del sistema es totalmente libre con aplicaciones y/o utilitarios con formatos de archivo compatibles.

77

Seguridad de los Sistemas Contables informatizados en las PYMES Respaldo y recuperación de datos El sistema permite realizar respaldos de los datos en disquetes, pero no es posible la recuperación de los mismos desde el propio sistema sino que hay que realizarla a nivel del Sistema Operativo.-

-

Aclaración: esta evaluación se realiza a los efectos de esta monografía sin intención de emitir un juicio de valor general ni específico sobre los programas contables evaluados y no pretendiendo influir al lector en una eventual decisión de compra de un programa.

78

Seguridad en los Sistemas Contables informatizados en las PYMES 4.1.3) WINCONT Este sistema fue desarrollado por Memory Computación S.R.L basándose en la anterior versión de MEMORY Contabilidad Central desarrollada para funcionar bajo DOS. La versión analizada es la 1.2.8. 4.1.3.1) Aspectos generales Es un sistema de Contabilidad Central para Windows 95 o posterior. Es multiusuario y multitarea, flexible y capaz de adaptarse a las características particulares de cada empresa. Condiciones de la licencia de uso Podemos detallar algunos aspectos que nos parecen relevantes, mencionados por el proveedor en la Licencia de Uso: Memory otorga el derecho de uso y goce respecto al contenido de los programas pero el comprador es responsable de que el programa seleccionado cumpla con sus objetivos así como del uso y de la calidad y los resultados obtenidos, sin garantías expresadas o implícitas de ningún tipo. El comprador podrá modificar el programa para su propio uso enteramente a su riesgo, teniendo en cuenta que el programa está hecho para ser utilizado como se indica en el manual del mismo. No se garantiza que el programa no sea interrumpido o libre de errores. La única garantía brindada por Memory es que los CR-ROMs en los cuales el programa está contenido están libres de defectos materiales (bajo un uso normal) por un período de 90 días desde el momento de su compra. Capacidad General Es un sistema multiempresa, permitiendo llevar la contabilidad de todas las empresas que se quiera en forma totalmente independiente, en un mismo computador. Como mencionamos anteriormente, WINCONT es un sistema multiusuario que permite funcionar en red, con varios usuarios emitiendo informes e ingresando datos simultáneamente. Controla y restringe automáticamente las tareas que no se pueden hacer al mismo tiempo para garantizar la validez de la información (1). Asimismo un mismo usuario puede abrir varias veces el sistema en su propia máquina para procesar varias empresas a la vez.

79

Seguridad en los Sistemas Contables informatizados en las PYMES

(1) Este es el mensaje emitido por el sistema cuando dos usuarios pretenden ingresar simultáneamente a los asientos de un mismo mes.

Presenta un ingreso de datos más ágil manteniendo el formato de planilla mejorado de la versión DOS. A diferencia de la versión anterior, Memory WINCONT permite insertar líneas e ingresar asientos de varias líneas directamente en cualquier libro. Asimismo permite el ingreso de lotes de asientos, dando la posibilidad de trabajar con planillas auxiliares de asientos para cada mes por usuario. Los lotes pueden integrarse recién cuando están validados. Al salir del ingreso de los asientos, si existen errores, los mismos se informan todos juntos en otra ventana que se puede imprimir y con un clic en cada error se va a la línea correspondiente para poder corregirlos. En cuanto a parametrización, cualquier cuenta puede operar en una o varias monedas y los informes se pueden emitir en dos monedas cualesquiera. Permite además definir los diferentes impuestos y otras tablas necesarias para la operativa de la empresa. Identificación de Cuentas Hay cantidad ilimitada de cuentas a definir en el Plan de Cuentas, el cual es totalmente parametrizable, donde los códigos de las cuentas pueden ser de hasta diez dígitos. Integración con Otros Sistemas Con respecto a la integración con otros sistemas, todas las tablas se pueden exportar directamente a planilla electrónica, base de datos o procesador de texto. Asimismo permite la transmisión de datos con las diferentes versiones existentes (Memory Contabilidad Central y CONTY) y con otros módulos de Memory (Fígaro, Administración de personal). Emisión de Informes Todos los informes que posee el sistema se pueden emitir con distintos niveles de apertura y se pueden exportar a otras aplicaciones. Dentro de ellos podemos citar los siguientes: Auxiliares Diarios Mayores Balances (Estado de Situación y Estado de Resultados, etc.) Estadísticas (Análisis de saldos, Comparativo y Evolución mensual) (2) 80

Seguridad en los Sistemas Contables informatizados en las PYMES

(2) En esta pantalla podemos observar las distintas estadísticas que permite emitir el sistema y los aspectos que es posible establecer para su emisión.

Cabe destacar que el sistema ofrece además la posibilidad del diseño propio de informes contables o de gestión, así como la emisión de comparativos de varias empresas a la vez en un mismo informe, para lo que se requiere la herramienta Plus! y Microsoft Excel. Incidencia de las normas legales y profesionales En cuanto al Libro Diario, el sistema es capaz de ordenar los asientos cronológicamente y además exige validar todos los datos de los asientos antes de emitir el mismo, por lo cual podemos decir que cumple con los requisitos de exposición establecidos por la normativa vigente, permitiendo incluso hasta foliar las páginas de los informes. Respecto al Libro Inventarios, al tener un Plan de Cuentas totalmente flexible, permite un nivel de detalle adecuado para ser posible la composición del mismo por Estados de Situación con el detalle correspondiente. Memory WINCONT sólo posibilita la emisión de los Estados Contables básicos, no permitiendo emitir los Anexos obligatorios y las Notas, con lo cual no es posible emitir los Estados Contables con todos los componentes establecidos por el Decreto 103/91. 4.1.3.2) Seguridad brindada por el sistema Se pueden definir distintos usuarios y sus contraseñas. Existen dos usuarios predefinidos: SUPERVISOR, con acceso a todas las operaciones y OPERADOR, con acceso a las operaciones más comunes, siendo el primero el que creará los nuevos usuarios. Es posible asignarle a cada usuario distintos permisos y restricciones, de modo que cada usuario puede ingresar al sistema y acceder únicamente a las operaciones que tiene permitidas (3)-(4).

81

Seguridad en los Sistemas Contables informatizados en las PYMES

(3) En esta pantalla se permite definir los permisos por Libro y la antigüedad de los asientos a editar.

(4) En esta pantalla se permite definir los permisos por items del menú.

82

Seguridad en los Sistemas Contables informatizados en las PYMES Asimismo, si es un comando de edición de tabla, es posible indicar si el usuario puede acceder para modificarla o sólo en modo lectura. El sistema también registra pistas de auditoría, cada vez que un usuario ingresa al sistema, abre o cierra una empresa, este registra la operación realizada junto con la fecha y la hora en que se realizó. No utiliza archivos de base de datos sino archivos.dat, los cuales están ubicados dentro de subcarpetas. Cada subcarpeta corresponde a cada una de las empresas definidas a administrarse con el sistema. Prevé la posibilidad de encriptar los archivos donde se guardan los datos de la empresa de modo de que no sean accesibles para quiénes no conozcan las claves adecuadas. Pero si este proceso no es realizado, las tablas de datos podrán ser accedidas y modificadas por fuera del sistema mediante aplicaciones y/o utilitarios incluidos en el Sistema Operativo con un formato de datos compatible. En conclusión, el sistema posee un mecanismo adecuado en cuanto al acceso al sistema y a las tareas que pueden realizar los diferentes usuarios, dejando además un registro de auditoría con datos suficientes. Sin embargo, hay que considerar que si la empresa no toma la precaución de encriptar las tablas de datos, se podrá acceder a ellas por fuera del sistema sin requerir ninguna autorización especial. Respaldo y recuperación de datos El sistema permite respaldar todos los datos de una empresa, y existe el comando RECUPERAR, el que recuperará la información desde las copias de seguridad rescribiendo sobre todos los datos que puedan existir al momento de recuperar los datos de la empresa. -

-

Aclaración: esta evaluación se realiza a los efectos de esta monografía sin intención de emitir un juicio de valor general ni específico sobre los programas contables evaluados y no pretendiendo influir al lector en una eventual decisión de compra de un programa.

83

Seguridad de los Sistemas Contables informatizados en las PYMES. 4.1.4) CONTY CONTY es el último sistema contable desarrollado por Memory Computación. La versión analizada es la 2.6.00. 4.1.4.1) Aspectos generales Requerimientos mínimos de Hardware: Pentium Intel Celeron 233 Mhz o Pentium 66 Mhz. 32 Mb. de Memoria RAM Super VGA 1 Mb. 256 colores, resolución 800x600 30 Mb. de espacio libre en disco para Memory Conty 10 Mb. de espacio libre en disco para los datos de la empresa Requerimientos de Software: Microsoft Windows 95, 98 y Me, NT 4.0 o 5.0, 2000 o XP. Microsoft Internet Explorer 4.0 o superior Con respecto a las condiciones de la licencia de uso, nos referimos a lo mencionado para WINCONT. Capacidad General Es multimoneda y multiempresa, permite ingresar y reexpresar los importes en tantas monedas como se desee, y permite llevar la contabilidad de todas las empresas que se quiera en forma totalmente independiente, en un mismo computador. Es multiusuario, permitiendo ser utilizado en una red por varios usuarios ingresando datos y emitiendo informes simultáneamente en la misma empresa, pero, al igual que para Wincont, por restricciones de integridad de la información no es posible que más de un usuario esté ingresando asientos en el mismo mes de una misma empresa. Cualquier otro usuario que pretenda ingresar datos en el mismo mes tiene opción de hacerlo en lote y luego, éstos serán integrados automáticamente una vez que queden liberados los asientos del mes. Posee dos formatos distintos de ingreso de asientos, un formato clásico y uno rápido, lo cual permite que el usuario seleccione cualquiera de los dos de acuerdo a cuál de ellos le resulte más adecuado (1).

84

Seguridad de los Sistemas Contables informatizados en las PYMES.

(1) En esta pantalla podemos ver las opciones mencionadas para el ingreso de asientos

El formato rápido permite ingresar los asientos en una planilla de muy fácil uso, mientras que el formato clásico permite ingresar los asientos de forma idéntica a como se imputan los asientos en el libro diario, utilizando el formato convencional de dicho libro. Además de ingresar asientos dentro de la carpeta de cada mes, como ya se mencionó anteriormente, es posible definir carpetas auxiliares para ingresar lotes de asientos, que no integran la contabilidad y por consiguiente no son considerados al momento de la emisión de informes. Posteriormente podrán ser integrados a la contabilidad de la empresa. Con respecto a la parametrización, CONTY permite definir las diferentes monedas en las que trabaja la empresa, los impuestos, los comprobantes, etc., adaptándose a las realidades de diferentes empresas y a los cambios que éstas puedan sufrir. Identificación de Cuentas Permite definir la estructura contable que requiera la empresa en forma jerárquica para representar su situación y resultados contables. Está diseñado para agrupar las cuentas por capítulos, subcapítulos y cuentas imputables, pudiendo manejarse hasta diez niveles de detalle. Integración con Otros Sistemas En cuanto a la integración con otros sistemas, es posible tomar en forma automática asientos generados por otros Sistemas, ya sean de Memory Computación u otros desarrollados en forma específica para la empresa por terceros, siempre que se adapten a su interfase estándar de importación de datos. También es posible enviar cualquier tabla o informe generado por el Sistema a una base de datos, planilla electrónica o procesador de textos. El Sistema soporta los formatos estándar de intercambio de datos de Windows, pudiendo copiar, cortar y pegar información entre las distintas tablas del sistema o de otros sistemas (2).

85

Seguridad de los Sistemas Contables informatizados en las PYMES.

(2) Esta pantalla muestra los diferentes archivos que es posible exportar por ejemplo a una planilla electrónica.

Por último, brinda la posibilidad de recibir información automáticamente de otras aplicaciones generadas por Memory (Fígaro, Worky y Megasus) u otras aplicaciones de terceros. Emisión de Informes Los informes que genera el sistema poseen el formato clásico de contabilidad, brindando la posibilidad de definir Estados Contables en los que se incluya el Estado de Situación, el Estado de Resultados, el Cuadro de Bienes de Uso e Intangibles, el Cuadro de Evolución del Patrimonio, el Informe de compilación, las Notas y los Cuadros de detalle del activo y del pasivo. También permite emitir subdiarios definibles por el usuario, diarios analíticos, mayores y estadísticas que ofrecen información y gráficos de gestión totalmente configurables (3).

(3) Este es un ejemplo de las gráficas que posibilita emitir el sistema.

Todos los informes pueden ser emitidos con una indicación variable de los niveles de análisis así como de los períodos y nivel de apertura del Plan de Cuentas. 86

Seguridad de los Sistemas Contables informatizados en las PYMES. Cabe destacar que el sistema además ofrece la posibilidad del diseño propio de informes contables o de gestión, así como la emisión de comparativos de varias empresas a la vez en un mismo informe, para lo que se requiere la herramienta ContyPlus! y Microsoft Excel (4).

(4) En esta pantalla podemos observar las diferentes opciones que brinda el sistema al emitir un Estado Contable.

Incidencia de las normas legales y profesionales En cuanto al Libro Diario, el sistema es capaz de ordenar los asientos cronológicamente y además exige validar todos los datos de los asientos antes de emitir el mismo, por lo cual podemos decir que cumple con los requisitos de exposición establecidos por la normativa vigente, permitiendo incluso hasta foliar las páginas de los informes. Respecto al Libro Inventarios, al tener un Plan de Cuentas totalmente flexible, permite un nivel de detalle adecuado para ser posible la composición del mismo por Estados de Situación con el detalle correspondiente Asimismo, CONTY posibilita la emisión tanto de los Estados Contables básicos, como de los Anexos obligatorios y las Notas, permitiendo configurar los mismos de modo que respeten los lineamientos establecidos por el Decreto 103/91. 4.1.4.2) Seguridad brindada por el sistema En cuanto a usuarios y contraseñas, CONTY tiene preestablecidos dos usuarios, OPERADOR y SUPERVISOR, siendo este último el que creará los nuevos usuarios. Es necesario definir cada uno de los usuarios a los que se le permitirá trabajar en el sistema y cuáles son los permisos que se le conceden a los mismos para poder restringir el acceso a usuarios no autorizados y para poder identificar a los distintos usuarios Permite optar entre diferentes comandos del menú del sistema para autorizar el manejo o no de ellos por los usuarios que se creen, así como limitar las tareas específicas a realizar en el ingreso de los asientos, los libros en los cuáles puede operar y los períodos en los que pueden trabajar los 87

Seguridad de los Sistemas Contables informatizados en las PYMES. diferentes usuarios, posibilitando definir perfiles que se pueden adaptar a las necesidades de las diferentes empresas. Asimismo, permite definir dos modalidades de acceso diferentes para todos los puntos del menú que se autoricen al usuario: -

Permite acceder Permite acceder sin modificación

El sistema también registra pistas de auditoría, cada vez que un usuario ingresa al sistema, abre o cierra una empresa, registra la acción realizada junto con la fecha y la hora en que se realizó (5).

(5) Esta pantalla muestra el formato del registro de auditoría del sistema.

CONTY está desarrollado en Delphi V y no utiliza archivos de base de datos sino archivos.dat, los cuales están ubicados dentro de subcarpetas. Cada subcarpeta corresponde a cada una de las empresas definidas a administrarse con el sistema. Encripta la información por defecto, por lo cual por más que sea posible acceder a las tablas de datos por fuera del sistema, la información que ellas contengan resultará ilegible (6).

88

Seguridad de los Sistemas Contables informatizados en las PYMES.

(6) En esta pantalla se muestra el mecanismo de encriptación que ofrece el sistema.

Considerando todos los aspectos mencionados anteriormente, podemos concluir que CONTY brinda mecanismos de seguridad adecuados para la protección de la información contable. Respaldo y recuperación de datos Permite respaldar todos los datos de una empresa y existe el comando RECUPERAR, que recuperará la información desde las copias de seguridad, rescribiendo sobre todos los datos que puedan existir al momento de recuperar los datos de la empresa.

-

-

Aclaración: esta evaluación se realiza a los efectos de esta monografía sin intención de emitir un juicio de valor general ni específico sobre los programas contables evaluados y no pretendiendo influir al lector en una eventual decisión de compra de un programa.

89

Seguridad de los Sistemas Contables informatizados en las PYMES 4.1.5) ALEXIS 4.1.5.1) Aspectos generales Alexis es un programa de contabilidad general, compuesto de un módulo básico que provee las funciones estrictamente contables (diarios, estados contables, mayores) y módulos adicionales que suministran información analítica. La vesión analizada es la 4.04, vigente a Diciembre/03. Debido a que la empresa que desarrolló el mismo (SAICO SISTEMAS) también ha desarrollado otros productos de gestión de recursos humanos y de procesamiento de la comercialización de productos y/o servicios, el sistema de contabilidad general tiene vinculación directa con éstos, recibiendo la información automáticamente. Requerimientos de hardware y software Es un sistema creado para su utilización en Windows 95 o posterior y posee los siguientes requerimientos mínimos de hardware para ejecutarlo: Procesador Pentium 100 MHZ 16 Mb de memoria RAM Disco Duro de 1 Gb Condiciones de la licencia de uso La licencia de uso permite instalar y usar el programa en una sola computadora. Para usarlo en más de una computadora (inclusive las conectadas en red) deben adquirirse las licencias adicionales correspondientes. Asimismo, la empresa prohíbe realizar copias del programa (excepto con fines de respaldo) y prohíbe también realizar copias de la documentación, ni la entrega del programa y/o la documentación a terceros. Capacidad General ALEXIS es un programa que resulta amigable para el usuario y de fácil manejo, permitiendo una rápida familiarización con el mismo. Presenta un menú principal con una simple estructura conteniendo las tareas básicas para llevar adelante la Contabilidad de una pequeña o mediana empresa. Es multiusuario y multiempresa, permitiendo que varios usuarios ingresen simultáneamente al mismo y posibilitando el proceso de la contabilidad de varias empresas al mismo tiempo. Sólo permite el ingreso de asientos en lote los cuales deberán ser confirmados (por un usuario con la debida autorización) para su incorporación a las bases de datos del sistema (1). 90

Seguridad de los Sistemas Contables informatizados en las PYMES

(1) En esta pantalla podemos observar el formato de ingreso de los asientos

Con respecto a la posibilidad de parametrización de los valores utilizados por el sistema, sólo es posible realizarla para las cotizaciones de las diferentes monedas utilizadas, ya que no tiene la opción de definir diferentes impuestos ni ninguna otra variable que pueda ser utilizada en la Contabilidad y requiera definir diferentes valores. Identificación de Cuentas Para definir el plan de cuentas se suministra un plan de cuentas modelo que el usuario puede completar y adaptar a sus necesidades particulares. Al crear una empresa nueva, el usuario puede optar entre el plan de cuentas modelo, copiar el plan de cuentas de otra empresa o generarla con un plan de cuentas vacío. Sin embargo, tiene una codificación obligatoria para que el sistema pueda calcular correctamente los totales del balance: 1. Activo, 2. Pasivo, 3. Patrimonio, 4. Pérdidas, 5. Ganancias y 6. Orden. No es obligatorio tener cuentas de las seis clases en el plan. Integración con Otros Sistemas Permite la vinculación directa con otros productos de gestión de recursos humanos y de procesamiento de la comercialización de productos y/o servicios, creados por el mismo proveedor, recibiendo la información automáticamente. Además, permite importar y exportar datos de otros programas contables. Estos programas son ALEXIS DOS y MEMORY (2). También se pueden exportar datos hacia otras aplicaciones como Word y planillas Excel.

91

Seguridad de los Sistemas Contables informatizados en las PYMES

(2) Esta pantalla muestra la opción del menú que permite la vinculación con Memory y Alexis DOS.

Emisión de Informes Los informes predeterminados que brinda el sistema son los básicos para que el usuario pueda acceder a los datos contables. Sin embargo, permite generar Estados Contables con los requerimientos propios del usuario, mediante la opción “Generador de Estados Contables”, lo cual lo hace más flexible permitiendo tanto modificar los informes predeterminados así como crear otros nuevos (3).

(3) Esta pantalla muestra el formato para la creación de un nuevo Estado Contable.

92

Seguridad de los Sistemas Contables informatizados en las PYMES

Incidencia de las normas legales y profesionales Dadas las exigencias de las normas legales y profesionales en nuestro país, podemos decir que en cuanto al Libro Diario, es posible cumplir con los requisitos de exposición debido a que ordena los asientos cronológicamente y valida los datos antes de confirmar los asientos, permitiendo remplazar el mismo por hojas móviles emitidas por el sistema. Respecto al Libro Inventarios, al tener un Plan de Cuentas totalmente flexible, permite un nivel de detalle adecuado para ser posible la composición del mismo por Estados de Situación con el detalle correspondiente Sin embargo, no prevé la elaboración de todos los componentes de los Estados Contables según el Decreto 103/91, ya que no es posible emitir ninguno de los Anexos obligatorios ni tiene prevista la elaboración de las Notas a los Estados Contables en un formato estándar. 4.1.5.2) Seguridad brindada por el sistema Con respecto a usuarios y contraseñas, es posible definir los usuarios solamente mediante el usuario SUPERVISOR predefinido por el sistema, estableciendo las tareas permitidas para ese usuario dentro de las tres tareas entre las que es posible optar (4): Confirmación Desconfirmación Configuración

(4) En esta pantalla vemos cuando el programa nos da la opción de elegir las tareas permitidas al nuevo usuario.

Todas las demás tareas existentes pueden ser ejecutadas por todos los usuarios que se creen. Esto obliga a la empresa a moverse dentro de limitados perfiles, que quizá no se adecuen a sus necesidades. Lo más adecuado sería que sea posible optar por todas las opciones del menú a la hora de autorizar las tareas permitidas a los diferentes usuarios. 93

Seguridad de los Sistemas Contables informatizados en las PYMES En cuanto a las bases de datos utilizadas, el sistema utiliza bases de datos Microsoft ACCES. El acceso a éstas está protegido por el uso de una contraseña (conocida solamente por el proveedor del sistema), con lo cual no es posible acceder, y por lo tanto, modificar las mismas. Este es un aspecto muy importante, ya que si no se cuenta con el usuario y la contraseña correspondiente para acceder al sistema, no es posible ver ni modificar los datos desde fuera del mismo. El programa no registra pistas de auditoría a efectos de obtener información sobre los accesos y las tareas realizadas en el mismo, lo cual se puede observar como una carencia importante, ya que el registro de pistas de auditoría brinda información muy valiosa cuando se realizan operaciones no esperadas por la empresa. Otros aspectos a considerar relacionados con las metodologías del sistema: Los puntos más importantes a destacar en cuanto a la operativa del sistema, que directa o indirectamente influyen en la exactitud e integridad de la información procesada por el mismo son los siguientes: El registro de los asientos solamente en lote: lo que permite (siempre que las tareas de confirmación y desconfirmación estén otorgadas a los usuarios adecuados) que la información que ingresa a las tablas de datos del sistema sea más fidedigna. Que los asientos no se puedan confirmar si no balancean y si sus datos no están debidamente validados: esto evita la emisión de informes incorrectos y hace que la información más íntegra (5).

(5) En esta pantalla podemos observar cuando el sistema da el aviso de que el asiento no balancea, impidiendo la confirmación del mismo.

Es posible el borrado de asientos así como de las empresas sin que se requiera autorización especial para llevarlo a cabo, lo que hace que existan mayores riesgos que afecten la integridad de la información. 94

Seguridad de los Sistemas Contables informatizados en las PYMES

Respaldo y recuperación de datos El sistema permite crear una copia de la empresa, con todos los datos de la misma, incluyendo las cotizaciones. Tiene dos opciones de copia, una primera que copia en el disco, y otra que pude ser en CD, disquete u otro disco de la red. Asimismo, permite la recuperación de los datos desde dicha copia (o respaldo). Esta operación hace que se sustituyan los datos vigentes de la empresa en cuestión, por los que estaban grabados en el respaldo que se seleccione. Al recuperar los datos se pierden la totalidad de los datos vigentes en ese momento en el sistema. Cabe destacar que el sistema tiene prevista una opción de "Reparar la base de datos" en el caso que la base de datos se dañara. Sin embargo, se especifica que esto no siempre es posible. -

--

Aclaración: esta evaluación se realiza a los efectos de esta monografía sin intención de emitir un juicio de valor general ni específico sobre los programas contables evaluados y no pretendiendo influir al lector en una eventual decisión de compra de un programa.

95

Seguridad de los Sistemas Contables informatizados en las PYMES 4.1.6) SIGMA-Edición profesional

Sigma-edición profesional es la solución de Zetasoftware para gestionar la contabilidad central de las empresas, estudios contables, contadores y demás profesionales del área. La versión analizada es la 2.5 del 27 de octubre/2003.

4.1.6.1) Aspectos generales Requerimientos de hardware y software Sus requerimientos mínimos en cuanto a hardware son: procesador 200 Mhz, memoria 64 Mb y espacio libre en disco 50 Mb. Con respecto Sistema Operativo, SIGMA opera en Windows 98 o posterior. Condiciones de Licencia de Uso: Se puede instalar el software en tantas computadoras como se necesite, siempre y cuando pertenezcan al usuario / empresa que adquirió la licencia del producto. Este característica hace que la misma licencia se instale en tantas PCs como el usuario necesite con solo digitar el Nº de Licencia otorgado a la empresa y sin pagar un costo adicional. Capacidad General Es multiempresa, con la misma licencia del sistema se podrá llevar en forma independiente la gestión de tantas empresas como desee sin límite de empresas a gestionar. La base de datos se almacenará en un directorio distinto para cada empresa, el cual podrá estar ubicado en cualquiera de los discos de la red o del disco local. Es multimoneda, mantiene actualizada una tabla de cotizaciones diarias que le permiten emitir los informes expresados en cualquier moneda, ya sea la moneda origen del asiento o cualquier otra. Es multiusuario, ha sido programado para habilitar el trabajo simultáneo de varios usuarios en red sobre la misma base de datos. Esto significa que varias personas podrán estar ingresando asientos, emitiendo informes o graficando, a la misma vez sobre la misma base de datos. Permite ingresar nuevos asientos en tres formatos diferentes: Rápido, Estándar y por Comprobantes (1). Podemos destacar que es posible realizar notas al asiento, que es un texto que no posee límite de espacios y sirve para especificar información más detallada de la transacción que el asiento representa y que no puede ser ingresada en el concepto por falta de espacio. Estas notas u observaciones podrán ser mostradas en el Diario Analítico marcando la opción Mostrar notas del asiento. 96

Seguridad de los Sistemas Contables informatizados en las PYMES

(1) A la derecha de esta pantalla podemos observar las diferentes modalidades de ingreso de asientos.

Con respecto a la parametrización, permite la definición de diferentes monedas e impuestos con las cuales necesita trabajar la empresa, entre otros aspectos. Identificación de Cuentas El Plan de Cuentas es totalmente parametrizable permitiendo definir los rubros necesarios para la registración, representados y ordenados jerárquicamente por un código (2).

(2) Esta pantalla nos muestra los diferentes campos a determinar al definir un nuevo rubro contable.

Integración con Otros Sistemas En cuanto a la integración con otros sistemas, permite exportar los asientos de su base de datos a otros sistemas, así como también permite importarlos desde archivos externos hacia la base de datos de Sigma-edición profesional. Además permite la integración con otros sistemas desarrollados por Zetasoftware, ABACOedición profesional y ABACO-edición estándar, que generan asientos en forma automática y pueden ser exportados a Sigma-edición profesional para ser procesados. 97

Seguridad de los Sistemas Contables informatizados en las PYMES Emisión de Informes Para cada informe que emite el sistema, se presenta en una ventana al estilo Vista Previa donde el usuario podrá navegar entra las diferentes páginas, podrá buscar información dentro de ellas, agrandar o achicar las hojas, o guardar en el disco. Permite almacenar los informes en un archivo con lo cual es posible enviar dichos archivos vía Email. Los formatos de almacenamiento son RTF y DOC (Word), PDF (Acrobat) y GXR (GeneXus Report Viewer). Dentro de los informes que permite emitir podemos citar los diarios analíticos, resumidos por día y resumidos por mes para el período de fechas que el usuario indique, mayores por rubro, Balances y Balancetes (3), etc.

(3) En esta pantalla podemos observar los diferentes balances y balancetes que permite emitir el sistema y los aspectos que es posible definir antes de la emisión del informe.

También habilita a definir tantos Libros Auxiliares como se necesite: Ventas Crédito, Compras Crédito, Ingresos de Caja, Egresos de Caja, Débitos Bancarios, Créditos Bancarios, Devoluciones, etc. Incidencia de las normas legales y profesionales Dadas las exigencias de las normas legales y profesionales en nuestro país, en cuanto al Libro Diario, considerando que el sistema es capaz de ordenar los asientos cronológicamente y además que exige validar todos los datos de los asientos antes de emitir el mismo, podemos decir que es posible cumplir con los requisitos de exposición establecidos por la normativa vigente. Respecto al Libro Inventarios, al tener un Plan de Cuentas totalmente flexible, permite un nivel de detalle 98

Seguridad de los Sistemas Contables informatizados en las PYMES adecuado para ser posible la composición del mismo por Estados de Situación con el detalle correspondiente. Por otra parte, no es posible cumplir con las exigencias del decreto 103/91 ya que no prevé la emisión de todos los componentes obligatorios de los Estados Contables (por ejemplo los Anexos y las Notas). 3.6.2) Seguridad brindada por el sistema Con respecto a usuarios y contraseñas, es posible definir los primeros mediante el usuario SUPERVISOR predefinido por el sistema, estableciendo las tareas que le son permitidas a partir de una lista brindada por el mismo que incluye todos los items del menú (4). De este modo es posible definir todos los perfiles de usuarios que la empresa considere convenientes para su operativa.

(4) En esta pantalla podemos observar los diferentes puntos del menú a seleccionar como autorizados o no para la definición de los diferentes perfiles de usuarios.

Sin embargo, el usuario SUPERVISOR, al realizar la configuración general del sistema mediante el ítem “Parámetros y preferencias”, tiene la posibilidad de optar porque el programa no solicite contraseña al momento del ingreso al mismo (5). Esto, si bien algunos usuarios que le restan importancia a la seguridad de los datos pueden considerarlo una ventaja desde el punto de vista práctico, es una gran debilidad ya que cualquier persona puede acceder a los datos sin restricción alguna.

99

Seguridad de los Sistemas Contables informatizados en las PYMES

(5) A la izquierda de esta pantalla puede observarse la opción de “Pedir contraseña al ingresar a l sistema”

El sistema utiliza bases de datos Microsoft Visual FoxPro, el acceso no está protegido por lo cual es posible acceder, y por lo tanto, modificar las mismas desde fuera del sistema, accediendo mediante el uso de otras aplicaciones y/o utilitarios. Consideramos este punto como otra debilidad que posee el sistema ya que deja totalmente al descubierto los datos manejados por el mismo, y por lo tanto, cualquier persona con mínimos conocimientos de informática puede acceder a ellos y modificarlos sin necesidad de tener un usuario y contraseña. Además, como es posible acceder a todas las bases de datos, también existe la posibilidad de que cualquier persona por fuera del sistema pueda crear usuarios para luego poder entrar al mismo. Los datos del sistema no están encriptados, lo que hace aún más fácil el acceso a los mismos desde fuera de este, ya que como dijimos, las bases de datos utilizadas no tiene protegido el acceso y si a eso le sumamos que los datos no están encriptados, tenemos libre acceso a las tablas de datos. Como último punto podemos citar el registro de pistas de auditoría que posee el sistema, el que permite listar para el usuario que se desee, los asientos a los cuales ha ingresado y las modificaciones efectuadas en el sistema eligiendo el período a analizar. Dicho listado detallará el número de asiento, la fecha y la hora de cada modificación (6).

100

Seguridad de los Sistemas Contables informatizados en las PYMES

(6) Esta pantalla muestra la posibilidad de listar los asientos y/o modificaciones realizadas por cada usuario.

Desde nuestro punto de vista, podemos concluir que, considerando los aspectos mencionados anteriormente, la seguridad brindada por este sistema es considerablemente baja. Respaldo y recuperación de datos Tanto el respaldo como la recuperación de los datos debe manejarse a nivel de Sistema Operativo y/o con otras aplicaciones. -

-

Aclaración: esta evaluación se realiza a los efectos de esta monografía sin intención de emitir un juicio de valor general ni específico sobre los programas contables evaluados y no pretendiendo influir al lector en una eventual decisión de compra de un programa.

101

Seguridad de los Sistemas Contables informatizados en las PYMES 4.1.7) BRUJULA - CONTABILIDAD Este sistema fue diseñado por la empresa Urusys, siendo parte del sistema integrado de gestión comercial “BRUJULA”. La versión analizada es la V2.60 desarrollada en el mes de setiembre del año 2003.

4.1.7.1) Aspectos Generales Requerimientos de hardware y software: Brújula Contabilidad fue desarrollado por Urusys y es un sistema compatible con Windows 95, 98, Me, XP, NT, 2000. Posee los siguientes requerimientos mínimos de hardware para ejecutarlo: Procesador Pentium II. 128 Mb de memoria RAM. Disco Duro de 1 Gb. Capacidad General BRÚJULA es un programa de fácil manejo, permitiendo una rápida familiarización con el mismo. El ingreso de asientos se efectúa directamente en las bases de datos del sistema y no posee la opción de implementar el ingreso en lote (1).

(1) Esta pantalla muestra el formato para el ingreso de los asientos.

102

Seguridad de los Sistemas Contables informatizados en las PYMES Es multiusuario y multiempresa, permitiendo que varios usuarios ingresen a la vez al mismo y posibilitando el proceso de la contabilidad de varias empresas al mismo tiempo. Con respecto a la posibilidad de parametrización de los valores utilizados por el sistema, tanto en el caso de cotizaciones de monedas así como de impuestos, es posible ingresar los diferentes valores vigentes de los mismos. Identificación de Cuentas El sistema tiene preestablecidos los tipos de cuentas (Activo, Pasivo, Patrimonio, Ganancia y Pérdida) pero es posible cambiar el código de ellos y crear el Plan de Cuentas a la medida del usuario. Integración con Otros Sistemas En cuanto a la integración con otros sistemas, existe el sistema integrado de gestión comercial “BRUJULA” del cual BRUJULA – CONTABILIDAD forma parte. De esta manera es posible su integración directa con el resto de los módulos integrantes de este sistema. Además, brinda la posibilidad de exportar la información a formato Excel y texto, así como también la generación de gráficas que pueden ser exportadas a documentos Word. Emisión de Informes Posee informes predeterminados que son los básicos para que el usuario pueda acceder a los datos contables. Estos informes son los únicos posibles de obtener del sistema, ya que no se pueden modificar ni crear otros nuevos adecuándolos a las necesidades del usuario (2).

(2) En esta pantalla podemos observar las diferentes modalidades de emisión de balances que brinda el sistema.

103

Seguridad de los Sistemas Contables informatizados en las PYMES Incidencia de las normas legales y profesionales Dadas las exigencias de las normas legales y profesionales existentes en nuestro país, podemos decir que en cuanto al Libro Diario, al ser capaz de ordenar los asientos cronológicamente, y al validar los datos ingresados es posible la sustitución del mismo con las hojas móviles que emite el sistema. Respecto al Libro Inventarios, al tener un Plan de Cuentas totalmente flexible, permite un nivel de detalle adecuado para ser posible la composición del mismo por Estados de Situación con el detalle correspondiente. Asimismo, como no prevé la elaboración de todos los componentes de los Estados Contables al no permitir la emisión de todos los Anexos obligatorios ni la elaboración de las Notas a los mismos en un formato estándar, no es posible cumplir con el decreto 103/91. 4.1.7.2) Seguridad brindada por el sistema Con respecto a usuarios y contraseñas, es posible definir los primeros mediante el usuario ADMINISTRADOR DEL SISTEMA predefinido por el mismo, estableciendo las tareas que le son permitidas a partir de una lista brindada por el sistema que incluye todas las tareas que es posible realizar en el mismo. De este modo, es posible definir todos los perfiles de usuarios que la empresa considere convenientes para su operativa, tanto para grupos de usuarios como para usuarios individuales (3).

(3)En esta pantalla podemos observar los diferentes puntos del menú que es posible autorizar o no a los diferentes usuarios.

El sistema utiliza bases de datos Microsoft ACCES y el acceso a ellas no está protegido, por lo cual es posible acceder, y por lo tanto, modificarlas, considerando además que los datos no se encuentran encriptados. 104

Seguridad de los Sistemas Contables informatizados en las PYMES Consideramos este punto como la principal debilidad que posee el sistema ya que deja totalmente al descubierto los datos manejados por el mismo, y por lo tanto, cualquier persona con mínimos conocimientos de informática puede acceder a ellos y modificarlos sin necesidad de tener un usuario y contraseña. Además, como es posible acceder a todas las bases de datos, también existe la posibilidad de que cualquier persona, por fuera del sistema, pueda crear usuarios para luego poder entrar al mismo. El programa no registra pistas de auditoría a efectos de obtener información sobre los ingresos al mismo, lo cual se puede observar como una carencia importante, ya que el registro de pistas de auditoría brinda información muy valiosa cuando se realizan operaciones no esperadas por la empresa. Otros aspectos relacionados con las metodologías del sistema: Los puntos más importantes a destacar en cuanto a la operativa del sistema, que directa o indirectamente influyen en la exactitud e integridad de la información procesada por el sistema son los siguientes: No permite ninguna modificación en períodos ya cerrados, y además para cerrar un ejercicio, verifica que los anteriores hayan sido cerrados: dicha restricción está establecida sin considerar los diferentes usuarios que se puedan definir, con lo cual brinda mayor seguridad a la información contenida en dichos períodos, pero en caso de que ocurra algún hecho posterior que amerite ajustar el balance contable, esto se presenta como una limitación. No es posible salir del registro de un asiento hasta que el mismo no cierre: esto evita la emisión de informes incorrectos y hace que la información más íntegra (4).

(4) En esta pantalla podemos observar cuando el sistema da el aviso de que el asiento no balancea, impidiendo la salida del ingreso del mismo.

105

Seguridad de los Sistemas Contables informatizados en las PYMES A pesar de considerar estos aspectos como ventajosos, debe tenerse en cuenta lo mencionado para las bases de datos utilizadas por el sistema, debilidad que le quita utilidad a todos los mecanismos de seguridad definidos dentro del sistema. Respaldo y recuperación de datos El sistema permite crear una copia de seguridad pero no tiene la opción de recuperar los datos desde el propio sistema, lo que hace suponer que la recuperación su debe hacerse a nivel de Sistema Operativo o con otra aplicación. -

-

Aclaración: esta evaluación se realiza a los efectos de esta monografía sin intención de emitir un juicio de valor general ni específico sobre los programas contables evaluados y no pretendiendo influir al lector en una eventual decisión de compra de un programa.

106

Seguridad de los Sistemas Contables informatizados en las PYMES. 4.1.8) RESULT Es un sistema diseñado por la empresa Designware para llevar la contabilidad de las pequeñas y medianas empresas. La versión analizada es la 2.40 de Octubre del año 2003. 4.1.8.1) Aspectos generales Requerimientos de Hardware y Software Está diseñado en ambientes totalmente gráficos, soportando plataformas Windows 95/98/ Me/2000/XP y arquitecturas de Servidor de archivos o Cliente / servidor. La memoria RAM recomendada depende del sistema operativo, por ejemplo para Windows 95/98/ME/NT se recomienda 32 MB de RAM, para 2000/XP como mínimo 64 MB. El espacio en disco es 10 MB para ser ocupado por el sistema y se recomienda un procesador de por lo menos 300 MHz. Capacidad General Es multiusuario y multiempresa (en una misma instalación procesa información de múltiples empresas). Su manejo es fácil y práctico ya que se requieren únicamente conocimientos básicos de computación; las pantallas de ingreso y consulta de datos representan los objetos que el usuario utiliza a diario (1).

(1) Esta pantalla muestra el menú principal de Movimientos del sistema.

107

Seguridad de los Sistemas Contables informatizados en las PYMES. El ingreso de datos se hace directamente en las tablas de datos y existe una opción de “Ingreso Rápido” donde se puede acceder a ingresar asientos repetitivos más velozmente, definiendo tipos de asientos rápidos, los cuales son un esquema de un tipo de comprobante determinado (2).

(2)A la derecha de esta pantalla puede observarse las diferentes opciones que el sistema le brinda al usuario al trabajar con el ingreso de los asientos.

Con respecto a la parametrización, define impuestos por empresa, fuentes de asientos y listas de análisis para una rápida visualización de cuentas. Las cuentas se pueden definir en saldos en moneda nacional y en moneda extranjera, con conversión automática en el ingreso de información. Identificación de Cuentas El Plan de Cuentas es identificable en diferentes niveles de agrupamiento, teniendo así la posibilidad de emisión de mayores, balancetes y balances con distinto grado de apertura. Integración con Otros Sistemas En cuanto a la integración con otros sistemas, RESULT exporta datos para Memory y permite la exportación del Plan de Cuentas a Planillas Excel o formato Word. Además tiene total integración con BRICKS, el Sistema Integrado de Gestión de la empresa. Emisión de Informes Las consultas y listados que permite emitir el sistema son: Listado de asientos, Mayor, Diario, Balancete de saldos, aplicando los filtros que se deseen y hasta en dos monedas. También presenta la opción de emitir gráficas por cuenta permitiendo graficar para un período y una moneda, el crecimiento o saldos de cuentas, utilizando distintas opciones de filtros. Incidencia de las normas legales y profesionales No valida los asientos y no controla si estos cierran debidamente o bien si les falta ingresar el importe de debe o haber hasta que se intente cerrar el ejercicio. De este modo, si se quiere emitir el Libro Diario más periódicamente, y existen asientos con errores, el mismo no cumplirá con los requisitos de exposición establecidos (3). 108

Seguridad de los Sistemas Contables informatizados en las PYMES.

(3)En esta pantalla puede apreciarse un Diario emitido por el sistema que incluye asientos con errores de balanceo y con la falta de importes al haber.

Para el caso del Libro inventarios, el programa permite la emisión de un Balancete de saldos que se puede realizar hasta el máximo nivel de análisis. En cuanto a las exigencias de estructura de los Estados Contables establecidas por el Decreto 103/91, el sistema no permite emitir ninguno de los informes requeridos por este decreto. 4.1.8.2) Seguridad brindada por el sistema En cuanto a usuarios y contraseñas, es necesario definir usuarios para poder ingresar al sistema, permitiendo definir contraseñas de manera opcional. También es posible definir perfiles de usuario optando entre diferentes opciones del menú, donde a las opciones a las cuales un usuario accede son todas aquellas las cuales estén autorizadas en los perfiles a los cuales pertenece. También los usuarios pueden acceder a todos los objetos que no tengan definida seguridad. Asimismo el programa posee la opción de “Trabajar con Objetos”, desde esta opción es posible manejar todo lo referente a los objetos que se utilizan en el esquema de seguridad del sistema. Las opciones disponibles en esta opción, son similares a las de Trabajar con Usuarios, pero la de edición permite determinar para el objeto seleccionado, cuál será el grado de seguridad que se le aplicará. Existen 4 modos de protección los cuales son: Sin control: el objeto carece de protección por lo cual puede ser accedido por cualquier usuario. Control por perfil: al intentar acceder a la opción se controla que el usuario que está ingresando pertenezca a un perfil que tenga autorizado este objeto. Control por contraseña: al intentar acceder al objeto, se pedirá la contraseña del objeto Control por perfil y contraseña: además del control por perfil, se pedirá la contraseña del objeto. 109

Seguridad de los Sistemas Contables informatizados en las PYMES.

(4) En esta pantalla podemos observar las diferentes opciones incluidas en el mantenimiento de usuarios.

En cuanto a las bases de datos, RESULT puede adquirirse en dos versiones: una que utiliza bases de datos DBF y otra que utiliza bases de datos Cliente / servidor. Si se lo utiliza en DBF no se encriptan los datos. En cambio, en Cliente / servidor el sistema usa una clave que queda encriptada en el disco con la cual permite acceder a la base de datos. El almacenamiento es totalmente seguro y el acceso depende de las claves y accesos definidos en la misma. Por ejemplo, una base de datos Cliente / servidor a utilizar puede ser SQL Server. Cuando el sistema se utiliza en DBF, los datos son accesibles con FoxPro desde fuera del sistema o con otros programas con formato de datos compatible. De esta manera, podemos concluir que el riesgo de que se acceda a los datos desde fuera del sistema dependerá de la versión que se adquiera de sistema. El programa no registra pistas de auditoría a efectos de obtener información sobre los ingresos al mismo, lo cual se puede observar como una carencia importante, ya que el registro de pistas de auditoría brinda información muy valiosa cuando se realizan operaciones no esperadas por la empresa. Respaldo y recuperación de datos El sistema permite crear una copia de seguridad en disquete y recuperar los datos desde las mismas. -

-

Aclaración: esta evaluación se realiza a los efectos de esta monografía sin intención de emitir un juicio de valor general ni específico sobre los programas contables evaluados y no pretendiendo influir al lector en una eventual decisión de compra de un programa.

110

Seguridad de los Sistemas Contables informatizados en las PYMES. 4.1.9) CONTAWIN ContaWin® es un sistema creado por la compañía Wais Consultores para resolver el área Administrativa - Contable de la empresa. Esta solución se compone de módulos (Contabilidad, Facturación, Stock, Deudores, Acreedores, etc.) que pueden funcionar interconectados o en forma independiente. Contabilidad es el módulo central de los sistemas ContaWin® y la versión analizada es la versión estudiantil disponible en la página web de la empresa al mes de Diciembre/2003. 4.1.9.1) Aspectos generales Requerimientos de Hardware y Software Con respecto a los requerimientos de hardware y software, CONTAWIN ha sido diseñado para funcionar en Windows 95 o posterior y requiere procesador Pentium I o Celeron 300 y una memoria RAM de 16 Mb como mínimo. Condiciones de Licencia de uso Existen dos modalidades de adquisición del producto, una que es la suscripción o licencia de uso y otra que es el arrendamiento. En esta última sólo se deberá pagar una cuota cuando el programa sea utilizado. Capacidad General Es un sistema multiusuario, multiempresa y multimoneda. Posee una “Supervista” (interfase de análisis) que permite ver en una sola pantalla y en forma simultánea el balance, el mayor y el asiento. Esta pantalla no es sólo de consulta, se puede por ejemplo modificar un asiento mientras el usuario observa como el mayor y el balance se actualizan automáticamente (1).

(1) En esta pantalla podemos observar las relaciones entre los importes de los diferentes Informes que permite ver la “supervista”.

111

Seguridad de los Sistemas Contables informatizados en las PYMES. Con respecto al ingreso de datos, los asientos y comprobantes pueden registrarse por el método de “Ingreso de Asientos” (formato clásico) o por la interfaz de “Ingreso de Comprobantes” que mejora los tiempos y reduce los errores de digitación. En este último caso se dispone de una planilla donde se ingresan los comprobantes, sin tener porque seguir estos un orden determinado (por ejemplo, no tienen porque estar ordenados cronológicamente) (2).

(2) En esta pantalla podemos observar el formato de Ingreso de asientos por comprobantes.

En cuanto a la parametrización, se pueden manejar hasta cien monedas, cada una con su tabla de tipos de cambio. La moneda cero que se considera la moneda base, tiene siempre cotización 1, la cotización de las demás monedas está expresadas en función de la moneda base. Asimismo permite definir diferentes tasas de IVA y COFIS. Identificación de Cuentas Este sistema posee un plan de cuentas 100% definible por el usuario, las cuentas tienen como máximo diez dígitos que se pueden usar libremente para hacer las subagrupaciones que sean necesarias (3).

(3) Esta pantalla muestra el formato del Plan de Cuentas.

112

Seguridad de los Sistemas Contables informatizados en las PYMES. Integración con Otros Sistemas En relación a la integración con otros sistemas, CONTAWIN permite la exportación de todos sus informes a Planillas Electrónicas, Bases de Datos y Archivos de texto. También utiliza la combinación con dichas planillas por ejemplo para la elaboración del Balance Tipo Completo. Asimismo permite la integración con otros módulos desarrollados por la empresa como por ejemplo de Facturación, Stock y Cuentas corrientes. Emisión de Informes Permite la emisión de Informes a cualquier fecha y en cualquier moneda. Dentro de los informes en formatos de contabilidad estándar que emite el sistema podemos detallar, entre otros: Diario, Diario analítico, Diario resumen. Auxiliares de Cajas, Ventas, Compras. Mayor, Mayor analítico, Mayor Resumen. Análisis de Vencimientos. Estados de Cuenta. Balances y Balancetes. Estado de Situación y de Resultados. Cuadro de Bienes de Uso. Estado de Evolución del Patrimonio. Estado de Origen y Aplicación de Fondos. Asimismo, CONTAWIN integra diversos mecanismos para el análisis de la información más allá de la contabilidad, como la generación automática de gráficos, ratios, costos y presupuestos (4).

(4) En esta pantalla podemos observar un informe de presupuesto.

Incidencia de las normas legales y profesionales Si el usuario no corrige o realiza una validación de los asientos, el sistema de todas maneras permite la emisión del Libro Diario no cumpliendo con los requisitos de exposición establecidos. 113

Seguridad de los Sistemas Contables informatizados en las PYMES. Respecto al Libro Inventarios, al tener un Plan de Cuentas totalmente flexible, permite un nivel de detalle adecuado para ser posible la composición del mismo por Estados de Situación con el detalle correspondiente. Por otra parte, no es posible cumplir con el decreto 103/91 en cuanto a la estructura de los Estados Contables, ya que no permite la emisión de los Anexos obligatorios ni las Notas a los mismos. 4.1.9.2) Seguridad brindada por el sistema En cuanto a usuarios y contraseñas, permite la definición de diferentes perfiles de usuarios eligiendo entre las diferentes opciones del menú como autorizadas o no. Además es de destacar la posibilidad que brinda el sistema de crear empresas con el atributo de “confidencial”, a las que podrán acceder sólo los usuarios que tengan autorizada la opción de “Acceso a confidenciales”. Esto es muy importante, ya que habilita, por ejemplo al Estudio Contable que maneja varias empresas, a restringir el acceso a los datos de todos aquellos clientes que considere necesario. Otro punto a destacar, es que al crear un usuario, es posible fijar el período de caducidad de la clave correspondiente (5).

(5) A la derecha de esta pantalla podemos observar el período en el que caducan las contraseñas.

Utiliza bases de datos Microsoft ACCES, las cuales están ubicadas en la carpeta del sistema y es posible el acceso a ellas sin ningún tipo de autorización especial. Además de poder acceder por fuera del sistema mediante Microsoft ACCES, también es posible hacerlo con otras aplicaciones con formatos compatibles. 114

Seguridad de los Sistemas Contables informatizados en las PYMES. Consideramos este punto como una debilidad que posee el sistema ya que deja totalmente al descubierto los datos manejados por el mismo, y por lo tanto, cualquier persona con mínimos conocimientos de informática puede acceder a ellos sin necesidad de tener un usuario y contraseña. Sin embargo, las tablas de datos de perfiles y usuarios se encuentran encriptadas, por lo tanto no es posible dilucidar los datos contenidos en ellas. El programa no registra pistas de auditoría a efectos de obtener información sobre los ingresos al mismo, lo cual se puede observar como una carencia importante, ya que el registro de pistas de auditoría brinda información muy valiosa cuando se realizan operaciones no esperadas por la empresa. Por lo expuesto anteriormente, podemos concluir que el sistema brinda un adecuado mecanismo de seguridad en cuanto a perfiles de usuarios y contraseñas se refiere (excepto por la carencia de registro de pistas de auditoría). Pero a pesar de considerar este aspecto como un punto fuerte de la seguridad del mismo, debe tenerse en cuenta lo mencionado para las bases de datos que utiliza, ya que como dijimos, los datos son accesibles desde fuera del sistema. Respaldo y recuperación de datos Permite realizar un respaldo el cual debe hacerse por empresa, si hay definidas varias empresas, se debe acceder a cada una de ellas y realizar el respaldo, pero no tiene la opción en el sistema de recuperar los datos desde el respaldo, lo que hace suponer que esto deberá realizarse a nivel de Sistema Operativo. Sin embargo, tiene la opción de reconstruir índices en caso de los mismos se hayan destruido por causa por ejemplo de cortes en la energía eléctrica. -

-

Aclaración: esta evaluación se realiza a los efectos de esta monografía sin intención de emitir un juicio de valor general ni específico sobre los programas contables evaluados y no pretendiendo influir al lector en una eventual decisión de compra de un programa.

115

Seguridad de los Sistemas Contables informatizados en las PYMES 4.2) SEGUNDO NIVEL DE EVALUACIÓN 4.2.1) PROCONT XXI Es desarrollado y distribuido por Informática Personalizada S.A., empresa dedicada al desarrollo de software y soporte de redes. La versión analizada es la versión para Windows de la cual se obtuvo información en la página web de la empresa a Diciembre/2003. 4.2.1.1) Aspectos generales PROCONT XXI es una versión para Windows, multiusuario y multiempresa, permitiendo además el manejo de múltiples períodos, con flexibilidad en la elección de las fechas. El ingreso de asientos puede efectuarse en dos modalidades: clásico y borrador (sin control de balanceo), en una o varias monedas a la vez y además permite el manejo de asientos predefinidos. Con respecto a la parametrización, podemos detallar las siguientes características del sistema que hacen que el mismo sea parametrizable: Definición y modificación de las características generales de los reportes estándar para la presentación del balance. Plan de cuentas y capítulos contables totalmente parametrizables Ingreso de tipos de cambio específicos y por tabla de cotizaciones. Estados contables totalmente parametrizables. Generación de gráficas totalmente configurables utilizando Excel. Selección del nivel de apertura del plan de cuentas en los informes hasta diez dígitos. Entre los informes que brinda, podemos obtener aquellos tradicionales para el manejo de la contabilidad de la empresa (diarios analíticos, mayores analíticos, balances de números y saldos, balances de saldos de clientes y proveedores), los Estados de Situación patrimonial y de Resultados, así como otros informes no tan tradicionales ya que permite como mencionamos la generación de gráficas totalmente configurables utilizando Excel, la realización de análisis de saldos, evolución mensual de cuentas, generación de estadísticas por saldos acumulados, saldos mensuales, débitos y créditos, entre otros. 4.2.1.2) Seguridad brindada por el sistema En cuanto a la seguridad que brinda el sistema fue posible obtener la siguiente información sobre el acceso al mismo y a los datos que se manejan. El sistema dispone de un programa PROCONT XXI Manager que es el administrador del sistema. Para ingresar al mismo solicita una contraseña.

116

Seguridad de los Sistemas Contables informatizados en las PYMES En relación a las empresas y los usuarios, es posible crear una empresa y luego de creada la misma debe darse de alta a los usuarios que la van utilizar. A una empresa se le pueden asignar más de un usuario (1).

(1) La pantalla está dividida en 2 secciones, una planilla de empresas y una planilla de usuarios y en cada una de las secciones están las opciones de Agregar, Modificar y Eliminar.

Es posible crear usuarios presionando el botón agregar donde se ingresa en un formulario los datos del usuario y su contraseña y es posible también definir un rol a ese usuario creado asignándole los items (puntos del menú) que corresponda (2).

(2)En la parte inferior de esta pantalla se observa la planilla con los items que corresponden a cada punto del menú.

Esta forma de definición de usuarios y empresas que brinda el sistema, permite limitar el acceso tanto con perfiles de usuarios y sus contraseñas así como a las empresas que éstos pueden acceder. 117

Seguridad de los Sistemas Contables informatizados en las PYMES Asimismo el sistema permite el registro de pistas de auditoría. La información que es posible obtener a partir del sistema de auditoría demuestra la imagen del registro antes de ser modificado o eliminado, el usuario y la hora. Las bases de datos utilizadas son SoftVelocity y están ubicadas en el camino que se indique a la empresa. La forma de acceder al camino de las empresas es desde un punto específico del sistema y está sujeto a las reglas de seguridad del mismo. Los datos se escriben encriptados y el tipo de encriptación es propio, no siendo posible acceder a la clave, la que debe ser solicitada al proveedor. De esta manera, considerando las medidas de seguridad brindadas y las bases de datos utilizadas, podemos concluir con respecto a este programa, que es posible definir un nivel de seguridad adecuado para la información procesada en el mismo. 4.2.2) BITWIN – CONTABILIDAD Es un sistema desarrollado por BIT SISTEMAS y está concebido para el trabajo permanente en tiempo real, ingresando las transacciones necesarias y siendo las mismas actualizadas en ese instante en las bases de datos analíticas y en las de resumen. La versión analizada es aquella de la cual se obtuvo información en la página web de la empresa a Diciembre/2003. 4.2.2.1) Aspectos generales Es un sistema estándar que se parametriza en forma personalizada para cada empresa, adaptándose a casi todas las pequeñas y medianas empresas del mercado. Funciona bajo ambiente Windows 98 o posterior siendo multiusuario y multiempresa. Con respecto al ingreso de asientos, podemos destacar que el sistema posee modelos de asientos, con lo cual es necesario ingresar sólo los datos imprescindibles, permitiendo un ingreso más ágil de la información. Asimismo, trabaja simultáneamente y en tiempo real en tres monedas: la moneda origen de la transacción, la moneda nacional y una moneda constante que permite el análisis de la información corregida por inflación. En cuanto a la integración con otros sistemas, este módulo de contabilidad central recibe datos en forma automática desde otros módulos de Bit Sistemas, generando en forma automática asientos analíticos o resumidos de dicha información. A través de interfaces adecuadas es posible además integrarlo con información proveniente de otras fuentes. Asimismo, permite la exportación de información a una planilla Excel. En cuanto a los informes podemos destacar que posee un Navegador Contable que permite el análisis de débitos y créditos de cada cuenta en cualquier período o un grupo de las mismas. 118

Seguridad de los Sistemas Contables informatizados en las PYMES

También, a través de su apertura simultánea en cuentas y centros de costos, se obtiene información analítica o consolidada al nivel de detalle que se desee sin manejar extensos Planes de Cuenta. 4.2.2.2) Seguridad brindada por el sistema En cuanto al acceso a datos, cuenta con protección de acceso al sistema general a través del uso de contraseñas y es posible definir diferentes perfiles de usuarios. Asimismo se pudo saber que utiliza bases de datos SQL Server , producto de Microsoft que tiene las herramientas para ser considerada una base de datos segura y confiable si se configura adecuadamente, pero ello también depende del sistema operativo en el cual se instale. Dada la información recopilada, podemos concluir que, siempre que los perfiles de usuarios que permite definir el sistema sean los adecuados para la empresa y además se configuren de manera adecuada las herramientas de seguridad que brinda la base de datos utilizada, los datos que se manejen en el sistema podrán gozar de una seguridad aceptable. 4.2.3) AKROS – CONTABLE Akros Contable es parte del Sistema de Gestión Administrativo / Financiero / Contable desarrollado por AKROS Soluciones informáticas. Opera en forma autónoma o consolidado con el resto de las aplicaciones. La versión analizada es aquella de la cual se obtuvo información en la página web de la empresa a Diciembre/2003. 4.2.3.1) Aspectos generales Con respecto al software el sistema requiere Windows 98 o posterior y en cuanto al hardware es necesario procesador Pentium II o posterior. Permite manejar múltiples empresas en una misma instalación y múltiples usuarios. En cuanto al ingreso de asientos, podemos destacar que el sistema se apoya en dos premisas: Si todos y cada uno de los asientos realizados tienen el cierre de la partida doble asegurado, la contabilidad siempre cierra. Si se logra simplificar el ingreso de los asientos, de modo que soliciten la menor cantidad de datos posibles, el margen de error será mínimo. Posee un Manejador de Esquemas Contables, que permite predefinir las diferentes operativas de la empresa, de modo que cualquier usuario, tenga o no conocimientos contables, pueda ser un generador de asientos contables. 119

Seguridad de los Sistemas Contables informatizados en las PYMES Con respecto a la parametrización, el sistema maneja múltiples monedas, con arbitraje y/o cotización automática y asienta simultáneamente en dos monedas definibles. Además brinda gran flexibilidad en la definición del Plan de Cuentas. En cuanto a la integración con otros sistemas, el sistema cuenta con una bandeja de entrada para contabilizar asientos desde otros sistemas. Asimismo tiene comunicación con Planillas Excel. Brinda una gran variedad de informes tradicionales y hay determinados reportes financieros donde el usuario puede definir las características principales y permite realizar consultas desde el máximo nivel de detalle al mínimo. También realiza un análisis presupuestal y su seguimiento en diferentes momentos. Posibilita llevar los Libros Contables atendiendo a las necesidades de la empresa. También permite la consolidación de las empresas manejadas en el sistema, esto lo hace un producto viable para la gestión y administración de grupos económicos. 4.2.3.2) Seguridad brindada por el sistema En cuanto al acceso a datos se pueden definir los usuarios que se deseen, el sistema no usa contraseña propia, se toma el usuario del Sistema Operativo que es quién se encarga de la validación de la contraseña. Esto quiere decir que el programa no maneja la seguridad en el acceso a los datos, sino que la deja en manos del Sistema Operativo. Cuando se prende el equipo, este pide clave y contraseña (es el usuario de Windows) y luego el programa toma este usuario para ingresar al mismo. Por lo tanto, la seguridad depende de si el Sistema Operativo es seguro, lo que implica una alta dependencia. Con respecto a las bases de datos utilizadas, el sistema ha sido desarrollado en Genexus, y puede ser utilizado con las bases de datos SQL Server, Oracle, DB2 e Informix. También existe la posibilidad de ejecutarlo en DBFs. Además, los datos del sistema no se encuentran encriptados. El sistema registra pistas de auditoría y la información que es posible obtener de estas es quién y cuando realizó cada asiento, más allá de su fecha contable. Considerando la información detallada anteriormente, concluimos que: Respecto a usuarios y contraseñas, la seguridad en el acceso al sistema, dependerá del Sistema Operativo que utilice la empresa, así como de la configuración que se realice de las herramientas de seguridad que proporcione el mismo. Por otra parte la seguridad de los datos dependerá de la seguridad que brinde la base de datos utilizada, considerando además que los mismos no se encuentran encriptados.

120

Seguridad de los Sistemas Contables informatizados en las PYMES A modo de ejemplo, si se utiliza Sistema Operativo Windows 98 y base de datos DBFs, el acceso a los datos será totalmente libre. Por el contrario, si se utiliza Windows 2000 y bases de datos SQL Server, ambos con las herramientas de seguridad debidamente configuradas, el acceso a los mismos va a ser más restringido. 4.2.4) PSIG – Contabilidad central El módulo de Contabilidad Central constituye la herramienta que brinda la empresa A T & J Informática para el procesamiento de la información contable de cualquier empresa o grupo de empresas. La versión analizada es aquella de la cual se obtuvo información en la página web de la empresa a Diciembre/2003. Es parte de un sistema integrado que posee otros módulos principales además de Contabilidad Central, como los siguientes: Tratamiento de Documentos Caja Conciliaciones Bancarias Facturación y Compras Importaciones Stock y Estadísticas Activo Fijo Planificación de Producción Análisis Financiero Control Presupuestal Administración de Personal 4.2.4.1) Aspectos generales Es multiusuario y puede correr en múltiples plataformas (DOS, NOVELL, UNIX) en modalidad monousuario o multiusuario. Los requerimientos de hardware van a depender del Sistema operativo y de la base de datos a utilizar. Es multiempresa, permite procesar la información de un número ilimitado de empresas con la misma instalación. Es multimoneda, esta característica permite manejar hasta noventa monedas diferentes para registrar la información. Es capaz de soportar cualquier volumen de transacciones, lo que garantiza un funcionamiento adecuado tanto en empresas pequeñas como en instalaciones donde se procesan grandes volúmenes de información.

121

Seguridad de los Sistemas Contables informatizados en las PYMES En cuanto a la integración con otros sistemas, permite la importación y exportación de datos desde otros sistemas externos a P-SIG, así como exportar datos a planillas electrónicas u otras aplicaciones como procesadores de texto y Microsoft Access. Es fácilmente adaptable a cualquier tipo de negocio ya que su diseño paramétrico y la posibilidad de definir Planes de cuentas, permite adoptar diferentes clasificaciones de rubros según las normas locales para la presentación de balances o el modelo contable que se quiera aplicar. Entre los informes que brinda podemos detallar los siguientes: Balancetes de saldos. Estado de Situación Patrimonial y Estado de Resultados. Posición en cualquier moneda extranjera. Balancetes con evolución y variaciones de saldos. Diario general y auxiliares. Mayores de rubros. Informes especiales para el análisis de saldos y movimientos de cualquier rubro. Consultas de saldos con gráficas. Permite definir en forma opcional diarios múltiples para la registración de asientos. 4.2.4.2) Seguridad brindada por el sistema El acceso al sistema se permite a través de códigos y contraseñas, y es posible definir usuarios con diferentes perfiles de acceso a diferentes tareas e informes. En cuanto a las Bases de datos, utiliza archivos planos Btrieve o Informix que tienen el acceso restringido por medio de una clave. Considerando la información detallada anteriormente, podemos concluir que, ya que permite definir diferentes perfiles de usuarios y el acceso a los datos está protegido por medio de una clave, la seguridad brindada por el sistema puede ser aceptable. 4.2.5) RT-CONTA! Es un sistema desarrollado por la empresa Radd Team Uruguay formando parte del conjunto de Núcleos RT!. La versión analizada es aquella de la cual se obtuvo información en la página web de la empresa a Diciembre/2003, estando operativa desde el año 2002. 4.2.5.1) Aspectos generales Es operativo en la mayoría de las plataformas de hardware y Sistemas Operativos, funcionando por ejemplo en Windows, Redes NT, Novell, Unix, Linux, entre otros.

122

Seguridad de los Sistemas Contables informatizados en las PYMES Entre las características del programa podemos detallar las siguientes: Multiempresa. Multimoneda. Cuentas auxiliares y centros de costos. Asientos tipo para operaciones cotidianas y repetitivas. Con respecto a la parametrización, podemos mencionar que es totalmente parametrizable a través de mantenimiento de tablas, permite la presentación balances doble formato, entre otros puntos. Dentro de los informes que posibilita emitir tenemos los siguientes: Consulta y listados de movimientos por cuenta de mayor. Consulta y listados de movimientos de cuentas por centro de costo. Listados de movimientos de auxiliares independientes de la cuenta de mayor. Listados de vencimientos de cuentas. Balance según decreto 103. Realiza la presentación de balances en doble formato parametrizable, además el sistema posee importantes capacidades de búsqueda, ordenamiento y filtrado por parte del usuario final. En cuanto a la integración con otros sistemas, permite la actualización automática desde los demás NúcleosRT! (1) y acceso directo desde Excel.

(1) Esta pantalla muestra la vinculación entre los diferentes Núcleos RT!.

4.2.5.2) Seguridad brindada por el sistema Según la información brindada se pueden definir distintos perfiles de usuarios y sus contraseñas y no registra pistas de auditoría. 123

Seguridad de los Sistemas Contables informatizados en las PYMES En cuanto a las bases de datos, por defecto utiliza Btrieve que es una base de dato abierta, pensado para que la empresa disponga de su información para el desarrollo de otras aplicaciones que alimenten o consulten sus archivos, lo que hace que se pueda acceder a ellas sin restricciones. Sin embargo, hay versiones para Oracle, Informix, DBII, MSSQL, etc. Con lo descripto anteriormente, podemos concluir que, aunque los perfiles de usuarios sean los adecuados, si el programa funciona con la base de datos utilizada por defecto, el acceso a los datos por fuera del sistema será libre. Por el contrario, si se adquiere una versión que utilice una base de datos con las herramientas de seguridad adecuadas, éstas podrán configurarse de modo que se pueda restringir el acceso a los mismos. 4.2.6) PAULYA - Contabilidad Central PAULYA es un sistema integrado creado por BCN Informática, para brindar a la pequeña y mediana empresa una herramienta que le permita manejar y controlar su gestión administrativo-contable. La versión analizada es aquella de la cual se obtuvo información en la página web de la empresa a Diciembre/2003. Además del módulo de Contabilidad Central, incluye los módulos de cuentas corrientes de Clientes, de Proveedores, Gestión de Stock e Inventarios, Gestión de Pedidos, Facturación, movimientos de Caja y Bancos y Documentos en Cartera. 4.2.6.1) Aspectos generales El software mínimo requerido es Microsoft Windows 95 o superior, y el hardware necesario como mínimo es procesador Pentium 64Mb de memoria RAM y 45Mb de espacio libre en disco. Es multiusuario y multiempresa, muy sencillo de usar e intenta simplificar la gestión de la pequeña o mediana empresa. Los asientos pueden ser ingresados manualmente o bien automáticamente a partir de los comprobantes ingresados en los demás módulos del sistema. Es multimoneda, posee una tabla de monedas donde se ingresaran los diferentes tipos necesarios así como una tabla de tipos de cambio. En cuanto a la parametrización, posee una tabla llamada grupos de rubros donde permite definir los rubros contables a utilizar por la empresa, permitiendo además, entre otros aspectos, la definición de diferentes impuestos. En cuanto a la integración con otros sistemas, además de la integración del módulo de Contabilidad con los demás módulos del sistema, permite exportar informes a planillas Excel.

124

Seguridad de los Sistemas Contables informatizados en las PYMES Dentro de los informes que brinda podemos citar: Diarios (Analítico, por día, por mes, detalle de operaciones) Libros Auxiliares (Ventas y Compras Crédito, Ingresos y Egresos de Caja) Mayor de Rubros Balances (Balance completo de 4 columnas, Estado de Situación y Resultados, Números y Saldos) Vencimientos 4.2.6.2) Seguridad brindada por el sistema El sistema cuenta con protección de acceso al sistema general a través del uso de usuarios y contraseñas y posee una auditoría de usuarios. Utiliza Microsoft VisualFox Pro como manejador de base de datos, con lo cual si los datos no se encuentran encriptados, será posible su acceso por fuera del sistema sin ningún tipo de restricción. 4.2.7) GCI – Módulo Contabilidad y Finanzas GCI – Contabilidad y Finanzas es parte del sistema integrado GCI el cual integra en un único sistema todos los procesos administrativos de la empresa, desde la preparación de cotizaciones y recepción de pedidos de los clientes, hasta la entrega y cobranza de los productos, pasando por los distintos procesos de Compras, Producción, Almacén, Distribución, Contabilidad y Finanzas. La versión analizada es la 7.0. de la cual se obtuvo información en la página web de la empresa a Diciembre/2003. 4.2.7.1) Aspectos generales Ofrece una interfaz de usuario común y homogénea, facilitando de esta forma el proceso de aprendizaje. En cuanto a la parametrización, GCI ha sido diseñado con un alto grado de flexibilidad para adaptarse a las necesidades del negocio mediante la definición de un conjunto de parámetros. Un conjunto de interfaces de programación permiten enlazar las funciones estándar del sistema con las personalizadas. Diversas características del sistema sustentan esta flexibilidad, entre ellas: Dispone de un amplio conjunto de reportes estándar, además de permitir al usuario definir sus propias estructuras de informes. Puede disponer de múltiples planes de cuentas y empresas. Maneja de manera integrada las cuentas de sus bancos, clientes y proveedores, manteniendo los inventarios de documentos, análisis de vencimientos, preventivos de cobros y pagos, estados de cuenta, etc. 125

Seguridad de los Sistemas Contables informatizados en las PYMES Dispone de consultas que permiten acceder a la información, permitiendo ir de lo general a lo particular, con múltiples opciones en los informes que permiten listar sólo la información deseada y ordenarla según diversos criterios. El usuario tiene la posibilidad de definir sus propios informes y conectarse con planillas electrónicas u otras herramientas de oficina para realizar análisis más complejos. La contabilidad de gestión también se integra al permitir desagregar la información a nivel de centros de costos, proyectos o actividades, líneas de productos, etc. Permite definir de una manera muy flexible criterios de asignación de los costos indirectos. Las funciones de conversión monetaria pueden usarse tanto para convertir a una moneda extranjera (por ejemplo para consolidar con la casa matriz) como para realizar ajustes por inflación. 4.2.7.2) Seguridad brindada por el sistema Permite definir distintos perfiles de usuarios, indicando para cada uno qué es lo que puede hacer a nivel de empresa, tareas y funciones dentro de las tareas. Registra pistas de auditoría, registrando las tareas realizadas por cada usuario y la fecha. El sistema está desarrollado con la herramienta Genexus y puede manejar diferentes bases de datos. Actualmente está disponible en SQL Server, Oracle, Informix y DB2. Con la información obtenida, podemos decir que al brindar mecanismos de acceso con perfiles de usuarios adecuados y utilizar bases de datos que poseen herramientas para definir un buen nivel de seguridad, la información contable procesada en el programa estará protegida de manera adecuada. -

-

Aclaración: esta evaluación se realiza a los efectos de esta monografía sin intención de emitir un juicio de valor general ni específico sobre los programas contables evaluados y no pretendiendo influir al lector en una eventual decisión de compra de un programa.

126

Seguridad de los Sistemas Contables informatizados en las PYMES 5) CONCLUSIONES GENERALES SOBRE LA EVALUACIÓN DE LOS PROGRAMAS CONTABLES A lo largo de nuestra investigación, hemos intentado evaluar diferentes aspectos de aquellos programas contables de los que fue posible obtener información respecto a su utilización por pequeñas y medianas empresas de nuestro medio, centrándonos principalmente en la seguridad brindada por los mismos. Como mencionamos en la metodología de trabajo, esta etapa de conclusiones generales se basará en el primer nivel de evaluación, ya que para cada uno de los programas incluidos en dicho nivel, fue posible evaluar todos y cada uno de los aspectos detallados en el comienzo de este trabajo, los cuales consideramos adecuados para lograr el objetivo del mismo. Al igual que en la etapa de evaluación, las conclusiones serán desarrolladas en dos partes, una primera parte donde se arribará a las conclusiones sobre los aspectos generales de los programas, y una segunda parte donde se tratará el tema central de este trabajo referente a la seguridad brindada por dichos programas. Antes de comenzar con el desarrollo de nuestras conclusiones, queremos recordar que el objetivo de este trabajo no es emitir un juicio de valor respecto a los programas evaluados, sino concientizar a los diferentes usuarios de programas contables computarizados, de los riesgos que puede enfrentar la información procesada en los mismos, de acuerdo a las características de cada programa. 5.1) ASPECTOS GENERALES Comenzaremos exponiendo un cuadro de resumen de doble entrada, donde por una parte tendremos los nueve programas integrantes del primer nivel de evaluación, y por otra parte los diferentes aspectos generales evaluados. En el cuerpo del cuadro, se podrá observar si cada programa cumple o no con el aspecto correspondiente, así como una columna donde se refleja la proporción del total de los mismos que sí cumplen con dicho aspecto. También en la parte inferior se totalizan los aspectos cumplidos por cada uno de los programas. Luego, frente a cada aspecto o grupo de ellos evaluados, realizaremos un análisis de su cumplimiento o no por los programas y las consideraciones que en nuestra opinión serán relevantes y aportarán información valiosa al lector. A continuación presentamos el cuadro referido:

127

ASPECTOS GENERALES

PROGRAMA ASPECTO

SALVADOR 2000

MEMORY Contabilidad Central

TOTAL Proporción (2) (1)

WINCONT

CONTY

ALEXIS

SIGMA

BRUJULA

RESULT

CONTAWIN

a a a

a a a

a a a

a a a

a a a

a a a

7

77.78%

9

100.00%

9

100.00%

1 Multiusuario.

X

X

2 Multiempresa.

a a

a a

a a a

X

a

a

a

a

a

a

a

a

8

88.89%

a

a

a

a

a

a

a

a

a

9

100.00%

a

a

a

a

a

a

a

a

a

9

100.00%

X

X

a

a

a

X

X

X

X

3

33.33%

a

a

a

a

a

a

a

X

a

8

88.89%

X

a

a

a

X

a

X

X

X

4

44.44%

X

a

a

a

a

a

a

X

X

6

66.67%

a

a

a

a

a

a

a

a

a

9

100.00%

Todos los componentes 12 de Estados Contables según Decreto 103/91

X

X

X

a

X

X

X

X

X

1

11.11%

TOTAL (3) Proporción (4)

6 50.00%

9 75.00%

11 92.00%

12 100.00%

10 83.00%

10 83.00%

9 75.00%

7 58.00%

8 67.00%

3 Multimoneda. 4 5 6 7 8

Integración con otros módulos. Plan de cuentas flexible. Vinculación con otros sistemas. Informes a la medida del usuario. Libros auxiliares.

Consolidación de empresas. Cumplimiento de las exigencias de 10 exposición en cuanto a Libro Diario. Cumplimiento de las exigencias de 11 exposición en cuanto a Libro Inventario. 9

Referencias:

a X (1) (2) (3) (4)

Significa que el programa cumple con el aspecto correspondiente. Significa que el programa no cumple con el aspecto correspondiente. Es el total de programas que cumple con los aspectos correspondeintes. Es la proporción del total anterior, con respecto al universo de programas evaluados que totaliza 9 programas. Es el total de aspectos cumplidos por cada programa. Es la proporción del total anterior, con respecto al total de aspectos evaluados. 128

Seguridad de los Sistemas Contables informatizados en las PYMES En primer lugar nos referiremos al aspecto multiusuario, como se desprende del cuadro anterior, el 78% del total de programas cumple con este aspecto. El 22% restante está integrado por dos programas que funcionan bajo el Sistema Operativo DOS, el cual sólo les permite ser monousuario. Cabe aclarar que se tuvieron en cuenta dichos programas, aunque el Sistema Operativo en el que funcionan hoy día ya es poco usado, por la sencilla razón de que aún existen empresas que los utilizan, información que pudimos obtener cuando realizamos la recopilación de los diferentes programas utilizados por PYMES de nuestro medio. En segundo lugar analizaremos los aspectos: multiempresa, multimoneda y Plan de cuentas flexible, que darán una pauta de la parametrización brindada por el sistema. Estos aspectos, son contemplados por el 100% de los programas, de lo que podemos concluir, de acuerdo a la muestra seleccionada, que la mayoría de los programas contables son capaces de adaptarse a las diferentes realidades empresariales. Debemos precisar con respecto al primer aspecto, multiempresa, que el mismo permite al sistema adecuarse para ser utilizado en Estudios Contables. En tercer lugar, consideraremos los aspectos de integración con otros módulos y vinculación con otros sistemas. Con respecto al primero, el único sistema que no permite integrarse en forma automática con otros módulos desarrollados por el mismo proveedor es Salvador 2000. Todos los demás sistemas, o bien forman parte de un sistema integrado donde puede vincularse en forma automática con el resto de los módulos integrantes del mismo, o pueden vincularse con otros programas creados por el mismo proveedor para llevar a cabo el resto de las actividades desarrolladas por la empresa (facturación, administración de personal, etc.). En relación al segundo aspecto, el 100% de los programas permite la vinculación con otros sistemas externos al mismo. Debemos destacar que todos los programas tienen en común la vinculación con Planillas Excel. En último lugar haremos referencia a los cinco aspectos restantes: si incluyen la definición de Libros auxiliares, si permiten la consolidación de empresas, el cumplimiento de las exigencias de exposición en cuanto al Libro Diario e Inventario y la emisión de todos los componentes de Estados Contables según Decreto 103/91. En cuanto a los dos primeros aspectos, como se muestra en el cuadro, la mayoría de los programas permite la definición de libros auxiliares para simplificar el proceso de su información contable. Sin embargo, sólo el 44% de los programas permite consolidar empresas, punto que creemos que no tiene demasiada incidencia en el tipo de empresas que estamos estudiando en este trabajo, ya que por más que las mismas cuenten con sucursales, la contabilidad comúnmente es procesada en la casa central. Los dos aspectos restantes están relacionados con la incidencia que tienen las normas legales y profesionales vigentes en nuestro país, en los informes emitidos por el sistema.

129

Seguridad de los Sistemas Contables informatizados en las PYMES Para el cumplimiento de las exigencias de exposición en cuanto al Libro Diario, podemos decir que los programas que permiten cumplir con las mismas exigen la validación de todos los datos ingresados antes de emitirlo. Para el resto de los programas, aunque existe la posibilidad de validación de los datos, si el usuario no la realiza, se podrá emitir el Diario y por consiguiente dicho informe presentará los errores de exposición correspondientes a los datos faltantes o mal ingresados en los asientos. El 100% de los programas permiten cumplir con las exigencias en cuanto al Libro Inventario, esto es consecuencia de la flexibilidad en la definición de los Planes de cuentas que caracteriza a la totalidad de los programas. Por último, sólo un programa, CONTY, permite la emisión de todos los componentes de los Estados Contables establecidos como obligatorios según el Decreto 103/91. Desde nuestro punto de vista, consideramos que todos los programas que pretendan procesar la contabilidad de una empresa, deben posibilitar la emisión de todos y cada uno de estos componentes ya que la presentación de los mismos es obligatoria para la empresa. Para culminar con el desarrollo de esta primera parte, presentamos las siguientes gráficas:

ASPECTOS GENERALES 100,00% 90,00% 80,00%

Porcentaje

70,00% 60,00% 50,00% 40,00% 30,00% 20,00% 10,00% 0,00% 1

2

3

4

5

6

7

8

9

10

11

12

Aspecto

Gráfica 1 Esta primera gráfica ilustra para cada aspecto el porcentaje del total de programas incluidos en la muestra que cumple con el mismo.

130

Seguridad de los Sistemas Contables informatizados en las PYMES

CONTAWIN

RESULT

BRUJULA

SIGMA

ALEXIS

CONTY

WINCONT

MEMORY Contabilidad Central

100,00% 90,00% 80,00% 70,00% 60,00% 50,00% 40,00% 30,00% 20,00% 10,00% 0,00%

SALVADOR 2000

Porcentaje

CUMPLIMIENTO DE ASPECTOS GENERALES POR PROGRAMA

Gráfica 2 Esta segunda gráfica muestra para cada programa, el porcentaje de aspectos cumplidos del total de aspectos evaluados. Cabe destacar que CONTY es el único programa que contempla el 100% de los mismos. 5.2) SEGURIDAD BRINDADA POR EL SISTEMA Al igual que para la primera parte, comenzaremos exponiendo cuadros de resumen de doble entrada, donde por una parte tendremos los nueve programas integrantes del primer nivel de evaluación, y por otra parte los diferentes aspectos de seguridad evaluados. El cuerpo de los cuadros estará dividido en las diferentes áreas contempladas en los anexos de evaluación de cada uno de los programas. Se podrá observar si cada programa cumple o no con el aspecto correspondiente, así como en el caso de los Sistemas Operativos y Bases de Datos se expondrá el nombre de los/as mismos/as. También, en cada uno de ellos, presentaremos la columna donde se refleja la proporción del total de programas que sí cumplen con el aspecto analizado. Para cada una de las áreas referidas anteriormente, realizaremos un análisis de los aspectos que las integran considerando su cumplimiento o no por los programas. Asimismo, efectuaremos todas aquellas observaciones que permitan al lector, y más que nada a los usuarios de programas contables computarizados, conocer las características de seguridad que pueden brindar o no los mismos, y los riesgos que puede correr la información contable procesada en ellos. A continuación presentamos los cuadros referidos:

131

PROGRAMA ASPECTO ASPECTO

Sistema operativo utilizado

SALVADOR 2000

MEMORY Contabilidad Central

WINCONT

DOS

DOS

Windows 95 o posterior

CONTY

ALEXIS

SIGMA

BRUJULA

Windows 95 Windows 95 Windows 98 Windows 95 o posterior o posterior o posterior o posterior

RESULT

CONTAWIN

TOTAL (1) Proporción (2)

Windows 95 o posterior

Windows 95 o posterior

*******

*******

ACCESO AL SISTEMA Usuarios y contraseñas

a

a

a

a

a

a

a

a

a

9

100.00%

X

a

a

a

X

a

a

a

a

7

77.78%

X

X

X

X

a

X

X

X

X

1

11.11%

Modalidades de acceso.

X

X

a

X

X

X

X

X

2

22.22%

Limitación a las empresas que puede acceder el usuario.

a

X

X

X

X

X

X

X

X

a

1

11.11%

Período de expiración de contraseñas.

X

X

X

X

X

X

X

X

a

1

11.11%

Definición de perfiles eligiendo entre todos los ítems del menú. Definición de perfiles eligiendo entre algunos ítems del menú.

BASES DE DATOS Base de datos utilizada.

DBF

Archivos de datos .dat

Archivos de datos .dat

Archivos de datos .dat

Microsoft ACCES

Microsoft Visual FoxPro

Microsoft ACCES

DBF (Fox Pro) Cliente/Servidor

Microsoft ACCES

******

******

Libre acceso.

a

a

a

a

X

a

a

a

8

88.89%

X

a a

X

2

22.22%

Acceso restringido. Encriptación antomática. Posibilidad de encriptación por el usuario.

X

X

X

X

a

X

X

X

X

a

X

X

X

X

X

1

X

X

a

a

X

X

X

X

X

2

Referencias:

a Significa que el programa

cumple con el aspecto correspondiente. X Significa que el programa no cumple con el aspecto correspondiente. (1) Es el total de programas que cumple con los aspectos correspondeintes. (2) Es la proporción del total anterior, con respecto al universo de programas evaluados que totaliza 9 programas. 132

11.11%

22.22%

PROGRAMA ASPECTO

SALVADOR 2000

MEMORY Contabilidad Central

WINCONT

CONTY

ALEXIS

SIGMA

BRUJULA

RESULT

CONTAWIN

TOTAL (1)

Poporción (2)

METODOLOGÍAS DEL SISTEMA Registro de asientos directo en tablas. Registro de asientos en lote. Verificación de balanceo de asientos. Validación de datos. Borrado de datos con autorización especial. No permite el borrado de cuentas con registros. Cierre de períodos permitiendo modificación posterior. Cierre de períodos no permitiendo modificación posterior.

a

a

a

a

X

a

a

a

a

8

88.89%

X

X

a

a

a

X

X

X

a

3

33.33%

a a

a a a

a a a

a a

a a a

100.00%

8

88.89%

a

a a a

9

X

a a a

a

X

a a a

7

77.78%

X

X

X

X

a

a

a

a

X

4

44.44%

a

a

a

a

a

a

X

a

a

8

88.89%

X

X

X

X

X

X

a

X

X

1

11.11%

X

CONTROLES DEL SISTEMA Registro de pistas de auditoría. Acceso restringido a las mismas.

X

a

a

a

X

a

X

X

X

4

44.44%

X

a

a

a

X

a

X

X

X

4

44.44%

RESPALDO Y RECUPERACIÓN DE DATOS Permite crear copias de seguridad en el propio sistema. Permite recuperar los datos desde el propio sistema. Respaldo sólo por medio de Sistema Operativo. Recuperación sólo por medio de Sistema Operativo.

a

a

a

a

a

X

a

a

a

8

88.89%

a

X

a

a

a

X

X

a

X

5

55.56%

X

X

X

X

X

a

X

X

X

1

11.11%

X

a

X

X

X

a

a

X

a

4

44.44%

Referencias:

a X

(1) (2)

Significa que el programa cumple con el aspecto correspondiente. Significa que el programa no cumple con el aspecto correspondiente. Es el total de programas que cumple con los aspectos correspondeintes. Es la proporción del total anterior, con respecto al universo de programas evaluados que totaliza 9 programas.

133

Seguridad de los Sistemas Contables informatizados en las PYMES Sistema operativo utilizado: A excepción de los dos programas que, como mencionamos en los aspectos generales funcionan bajo el Sistema Operativo DOS, todos los demás han sido diseñados para su funcionamiento en Windows 95/98 o versiones posteriores. En el comienzo de nuestro trabajo de campo, hemos realizado una breve descripción de la seguridad brindada por las diferentes versiones de Sistemas Operativos. Para el caso de DOS, arribamos a la conclusión de que el mismo no presenta mecanismos de seguridad, por lo tanto la seguridad de los datos procesados por aplicaciones que funcionen bajo este Sistema Operativo, estará sujeta sólo a los mecanismos de seguridad que éstas brinden. También surge que las versiones 9X brindan mínimos mecanismos de seguridad, y que luego en versiones posteriores, se implementan herramientas de seguridad más fuertes como por ejemplo para el caso de Windows 2000 y Windows XP. No debemos olvidar que aunque estas últimas versiones posibiliten implementar dichas herramientas, la seguridad no mejorará si no se configuran adecuadamente. Considerando que la seguridad comienza a nivel de Sistema Operativo y que la seguridad que brinde este último influye en la seguridad de las aplicaciones, podemos decir que dependerá de la versión de Windows que utilice la empresa, la seguridad de la información manejada con la aplicación contable. Acceso al sistema: El 100% de los programas restringe el acceso al mismo mediante el uso de usuarios y contraseñas. Sin embargo, sólo un programa permite definir un período de expiración de la contraseña. Sería importante que todos los programas brindaran esta última posibilidad, ya que en caso de que un usuario no utilice el sistema por un período prolongado, su contraseña caducaría evitando que otro usuario la descubra y pueda utilizarla para ingresar al sistema. En cuanto a los perfiles de los usuarios, no todos los programas permiten definirlos adecuadamente. Desde nuestro punto de vista la mejor manera para definir los perfiles de usuarios que se adapten a las realidades de las diferentes empresas es optando entre todas las opciones del menú del sistema como autorizadas o no. Como se desprende del primer cuadro, el 78% de los programas permite hacerlo. Otro aspecto evaluado es el referente a la posibilidad de definir distintas modalidades de acceso a los datos, por ejemplo acceder sólo en modo lectura. Sólo las versiones de Memory Computación para Windows permiten optar entre el acceso con modificación o en el modo ejemplificado a la hora de definir los perfiles de usuario. Por último, consideramos la posibilidad de limitación a las empresas que puede acceder el usuario. A nuestro criterio, la posibilidad de efectuar esta restricción cuando se manejan varias empresas en el mismo sistema (por ejemplo en el caso de los Estudios Contables) permite limitar el acceso a 134

Seguridad de los Sistemas Contables informatizados en las PYMES empresas que manejen datos considerados confidenciales. Además, en general los usuarios no trabajan con todas las empresas, por lo cual mediante este mecanismo pueden evitarse accesos y/o modificaciones innecesarias a las empresas en las cuales no trabajan. Este aspecto sólo ha sido considerado por uno de los programas evaluados en este nivel, lo que a nuestro entender representa un bajo porcentaje en relación a la totalidad de dichos programas. Sin embargo, teniendo en cuenta que en general la carpeta correspondiente a cada empresa a administrar puede estar en diferentes discos o dispositivos, es posible definir seguridad de acceso por fuera del sistema. Bases de datos utilizadas: Como hemos mencionado a lo largo de nuestro trabajo, la seguridad de los datos manejados en el sistema tiene una alta dependencia de la seguridad que brinden las bases de datos utilizadas por el mismo. Esto es así, debido a que si estas últimas no tienen restringido el acceso, cualquier persona con mínimos conocimientos de informática podrá acceder libremente a ellas por fuera del sistema contable. La mayoría de los programas evaluados utilizan bases de datos o archivos de datos que permiten acceder libremente a los datos por fuera del sistema, mediante aplicaciones y/o utilitarios incluidos en el Sistema Operativo con formatos de datos compatible. El único que tiene el acceso restringido por medio de una clave es ALEXIS. Cabe aclarar que los programas podrán utilizar más de un tipo de bases de datos siempre que su lenguaje de programación lo permita. Este es el caso de RESULT, desarrollado en Genexus, el cual tiene dos versiones que utilizan diferentes bases de datos. Si bien puede ser utilizado en Fox Pro que permite el libre acceso por fuera del sistema, también tiene una versión que posibilita a utilizar bases de datos Cliente/Servidor con acceso restringido como por ejemplo SQL Server (siempre que se configuren adecuadamente las herramientas de seguridad que brinda). Debe tenerse en cuenta también un aspecto no menos importante como lo es la encriptación de los datos. Ésta puede ser realizada automáticamente por el sistema o bien éste puede brindar al usuario la opción de hacerlo. Si bien la mayoría de los programas evaluados no permiten encriptar los datos, tanto CONTY como WINCONT brindan esta posibilidad al usuario, y sólo CONTY encripta los datos por defecto donde este último lo que hará será sólo definir una clave para seguridad adicional. Metodologías del sistema: Pasaremos ahora a analizar diferentes metodologías de los programas que afectan directa o indirectamente en la integridad y exactitud de la información. Como se ha descripto en otras partes del trabajo, el ingreso de asientos se puede efectuar en dos modalidades diferentes: directo en las tablas de datos o en lotes para luego de verificados ingresarlos a éstas. 135

Seguridad de los Sistemas Contables informatizados en las PYMES Desde el punto de vista desde el cual se realiza este trabajo, es decir, la seguridad de los datos contables, consideramos que los programas contables deberían permitir solamente el ingreso de los asientos en lotes por las siguientes razones: Preserva la exactitud de la información ya que los datos son ingresados a las tablas luego de verificados. El usuario sólo accede a los datos que él está ingresando, sin poder ver y/o modificar los demás datos que integran la tabla correspondiente. De los sistemas evaluados sólo ALEXIS permite el registro exclusivamente en lote y los otros que lo permiten no lo hacen en forma exclusiva. Con relación a la verificación de balanceo de los asientos y a la validación de los demás datos ingresados, todos los sistemas brindan esta posibilidad, (excepto para el caso de RESULT que no tiene la opción de validar datos) a pesar de hacerlo en diferentes momentos. En algunos casos, que a nuestro criterio deberían ser la generalidad, los sistemas no permiten salir del ingreso de los asientos si los errores no son corregidos. En otros, si bien el sistema avisa de los mismos, es posible corregirlos en otro momento y a veces, hasta emitir informes que los contengan. Otro punto evaluado es el referente a la posibilidad de borrado de cuentas con registros, donde el 56% de los programas permite hacerlo con los consecuentes problemas al momento de emitir informes que incluyen asientos relacionados con las cuentas eliminadas. Consideramos que la prohibición de borrar cuentas con registros es un control básico que debería hacer el sistema, y sin embargo sólo lo realiza el 44% de los sistemas analizados. Con respecto al cierre de ejercicio, la mayoría de los sistemas permiten cerrar los ejercicios de diferentes maneras, pero permitiendo su modificación posterior. Esto no es así para el caso de BRUJULA, que no permite modificaciones una vez cerrado el ejercicio, lo cual desde el punto de vista de la seguridad es ventajoso, pero se presenta como una limitación si se produce un hecho posterior que según la normativa amerite el ajuste del balance contable. Controles del sistema: En esta área hemos evaluado el aspecto de registro de pistas de auditoría que provean a la empresa de la información necesaria a los efectos de aclarar accesos y/o acciones no esperadas y/o no autorizadas. Sólo el 44% de los sistemas evaluados en este primer nivel permite el registro de estas pistas permitiendo el acceso a las mismas sólo a los usuarios con la autorización correspondiente. Respaldo y recuperación de datos: Finalizando el primer nivel de evaluación, hemos considerado el aspecto de respaldo y recuperación de datos, donde surgieron tres modalidades diferentes de respaldo/recuperación:

136

Seguridad de los Sistemas Contables informatizados en las PYMES Sistemas que permiten crear copias de seguridad y recuperar los datos en el propio sistema. Sistemas que permiten crear copias de seguridad en el propio sistema y recuperar los datos por medio de Sistema Operativo. Sistemas que permiten hacer el respaldo y recuperación sólo por medio de Sistema Operativo. Creemos que cualquiera de ellas es válida para cumplir con el fin que persiguen, pero sería recomendable que todos los sistemas se incluyeran dentro de la primera modalidad. 5.3) CARACTERÍSTICAS QUE DEBERÍA POSEER UN SISTEMA COMPUTARIZADO PARA BRINDAR SEGURIDAD ADECUADA A LA INFORMACIÓN CONTABLE: Buscando que resulten más interesantes los resultados de este trabajo, nos atreveremos a exponer las características que a nuestro criterio debería tener un sistema contable computarizado, para brindar seguridad a la información procesada en el mismo, preservando su integridad, exactitud y confidencialidad. Debemos aclarar al lector que esta exposición se realizará estrictamente desde el punto de vista de la seguridad, sin tomar en cuenta que algunas metodologías puedan considerarse no muy prácticas para aquellos usuarios que no creen necesario, por las características de sus empresas o por otras razones, la implementación de un programa con este nivel de seguridad. Asimismo, aún cuando este nivel de seguridad se considere necesario, puede suceder que las medidas de seguridad implementadas resten funcionalidad al sistema, llegando a obstaculizar las tareas que necesite realizar el usuario en el mismo. Tomando en cuenta las características de todos los programas evaluados, esta vez sin basarnos exclusivamente en los programas integrantes del primer nivel de evaluación, sino considerando también las características de los del segundo nivel, intentaremos tomar de cada uno de ellos aquellas que nos parecen adecuadas para unirlas en un sólo programa. Puede también suceder que alguna de las características que expondremos no sea contemplada en ninguno de los programas evaluados. De este modo, pasamos a exponer las características mencionadas: Acceso a datos: Restricción del acceso mediante el uso de usuarios y contraseñas. Definición de diferentes niveles de usuarios, a modo de ejemplo: Supervisor, Operador, Consulta.

137

Seguridad de los Sistemas Contables informatizados en las PYMES Definición de perfiles para cada uno de los niveles permitiendo optar entre todos y cada uno de los items del menú, con la siguiente consideración: que sólo los usuarios de los niveles superiores puedan encargarse del mantenimiento de los demás usuarios. Obligación de establecer un período de expiración de las contraseñas, con un período máximo de corta duración. Posibilidad de que al momento de crear una empresa, se pueda definir qué usuarios trabajarán con ella y que sólo a ellos se le permita el acceso. Posibilidad de que para cada uno de los items en los cuáles sea posible acceder, autorizar al usuario acceder en modo lectura o con modificación. Obligación de definir la antigüedad de los datos a modificar y/o consultar por el usuario. Bases de datos utilizada: El programa debería poseer versiones que sólo permitan utilizar bases de datos con las herramientas necesarias para definir un nivel de seguridad adecuado de manera de no permitir el acceso y/o modificación desde fuera del sistema. Encriptación de datos: Encriptación automática de los datos almacenados en la base de datos. Posibilidad de definir una clave propia del usuario para la encriptación, como medida de seguridad adicional. Controles del sistema: Registro de pistas de auditoría con la siguiente información: -

Equipo. Usuario. Fecha. Hora. Empresa. Acción realizada especificando que tabla de datos fue afectada. Situación anterior al acceso y/o modificación. Acceso restringido a los informes de auditoría. Prohibición a todo usuario, independientemente de la autorización que posea, de borrar los registros de estos informes. Mantenimiento de estos registro por un período razonable. 138

Seguridad de los Sistemas Contables informatizados en las PYMES Metodologías del sistema: Ingreso de datos exclusivamente en lote. Prohibición de cerrar un asiento si el mismo no balancea. Exigencia de la validación de todos los datos antes de integrar el lote a las tablas de datos. Prohibición de eliminar datos que afecten asientos relacionados con ellos (cuentas, cotizaciones, monedas, etc.) Posibilidad de cerrar los períodos contables, donde sólo el usuario principal predefinido por el sistema tenga la opción de reabrirlo para su modificación. Respaldo y recuperación de datos: Creación automática de copias de seguridad con una periodicidad razonable. Posibilidad de recuperación de los datos desde el propio sistema, con un mecanismo que permita retener los datos existentes antes de la recuperación.

Esperamos que esta exposición pueda resultar un aporte apreciable para los usuarios de programas contables, sin perder de vista el equilibrio que estos buscarán entre lo “práctico” y lo “seguro”.

139

Seguridad de los Sistemas Contables informatizados en las PYMES 6) RESUMEN DE ENCUESTAS 6.1) Objetivo En las partes anteriores de nuestro Trabajo de Campo hemos evaluado diferentes sistemas contables computarizados, analizando, además de ciertos aspectos generales que en nuestra opinión son de interés para los potenciales usuarios, la seguridad brindada por los mismos. Como establecimos en el Marco Teórico, la seguridad de los datos, no sólo pasa por la seguridad lógica que puedan ofrecer los sistemas, sino que además existen otros aspectos de la misma que es necesario tener en cuenta. A efectos de tener una visión general de la situación existente en nuestro medio con respecto a estos otros aspectos, hemos realizado una serie encuestas a diferentes empresas y estudios contables, lo cual procederemos a detallar a continuación. 6.2) Aspectos incluidos en el cuestionario Los aspectos incluidos en el cuestionario se clasifican de la siguiente manera: A)

ASPECTOS DE SEGURIDAD FÍSICA Los aspectos de seguridad física fueron a su vez divididos en tres sub-aspectos: Incendio. Inundación. Acceso físico. Para los tres casos se realizaron preguntas a los efectos de obtener información sobre las precauciones tomadas o no por la empresa con respecto a los mismos.

B)

ASPECTOS DE SEGURIDAD LÓGICA En este caso podemos dividir en dos partes los aspectos cuestionados: Sobre la seguridad brindada por el sistema contable utilizado. Sobre las políticas de seguridad lógica establecidas por la empresa. Para la primer parte, si bien en la mayoría de los casos el sistema utilizado por la empresa estaba dentro de los evaluados en nuestro trabajo, y por lo tanto conocíamos la seguridad que el mismo brinda, creímos conveniente realizar las preguntas a los efectos de obtener información sobre el grado de conocimiento que tiene el usuario de estos aspectos.

140

Seguridad de los Sistemas Contables informatizados en las PYMES En la segunda parte, el objetivo de las preguntas fue conocer si la empresa ha establecido o no políticas de seguridad para limitar el acceso a los datos. C)

PLAN DE CONTINGENCIA En este punto se intentó conocer si las empresas poseen un Plan de Contingencias y, en caso de respuesta afirmativa, las condiciones en que el mismo ha sido implementado.

D)

RESPALDO DE DATOS Por último, se realizaron preguntas con respecto a la política de la empresa en cuanto a respaldo de datos, cuestionando sobre diferentes aspectos como: Medios utilizados Lugar donde se almacenan los mismos Encriptación de los datos, etc.

Adjuntamos el cuestionario donde figuran las preguntas realizadas para cada uno de los aspectos mencionados anteriormente en Anexo 3. 6.3) Resumen de la información obtenida A los efectos de describir la situación constatada por medio de las encuestas realizadas, presentaremos dos cuadros de resumen con los resultados de las mismas. En el primer cuadro, expondremos por una parte un resumen de los aspectos que se abordaron en el cuestionario divididos por las áreas descriptas en el punto 2, y por la otra el porcentaje del total de encuestas realizadas, correspondiente a respuestas positivas y negativas respectivamente. En el segundo cuadro, mostraremos para dos de los aspectos: Seguridad Física y Plan de Contingencia, del total de respuestas negativas, la causa de las mismas agrupándolas en tres categorías diferentes y exponiendo el porcentaje del total de dichas respuestas que corresponde a cada una de ellas. Luego de presentados los cuadros, efectuaremos el análisis de los resultados que surgen de los mismos, realizando las consideraciones correspondientes a cada área. A continuación presentamos los cuadros referidos:

141

RESUMEN DE RESULTADOS DE ENCUESTAS % respuestas positivas

ASPECTO

% respuestas negativas

SEGURIDAD FÍSICA Precauciones contra incendio.

58.00%

42.00%

Precauciones contra inundación.

0.00%

100.00%

Protección de acceso al lugar físico.

58.00%

42.00%

SEGURIDAD LÓGICA Consideración de este aspecto al adquirir el sistema.

50.00%

50.00%

Aprovechamiento de los mecanismos de seguridad brindados por el sistema.

83.00%

17.00%

Existencia de políticas de administración de usuarios y contraseñas.

67.00%

33.00%

67.00%

33.00%

42.00%

58.00%

Encriptación de datos.

17.00%

83.00%

Precaución ante el ataque de virus.

100.00%

0.00%

Definición del responsable de esta administración. Análisis de pistas de auditoría.

Otros mecanismos de 25.00% seguridad. PLAN DE CONTINGENCIAS Existencia de un Plan de 25.00% Contingencias. Adecuada documentación.

25.00%

Comunicación a las 25.00% personas involucradas. Dispositivos para el suministro de energía de 42.00% reserva. RESPALDO DE DATOS Identificación y priorización de los archivos a 100.00% respaldar. Almacenamiento de los 42.00% respaldos fuera del local.

75.00%

75.00% 75.00% 75.00% 58.00%

0.00% 58.00%

Verificación periódica de la integridad de los respaldos.

83.00%

17.00%

Encriptación de la información antes de respaldarse.

25.00%

75.00%

142

CAUSA ASPECTO ASPECTO

Nunca se consideró tomar esta precaución (%).

No es posible por el costo que ello implica. (%)

No se considera necesario. (%)

% TOTAL

SEGURIDAD FÍSICA Precauciones contra incendio.

24.00%

9.00%

9.00%

42.00%

Precauciones contra inundación.

33.00%

0.00%

67.00%

100.00%

Protección de acceso al lugar físico.

7.00%

28.00%

7.00%

42.00%

PLAN DE CONTINGENCIAS Existencia de un Plan de Contingencias. Dispositivos para el suministro de energía de reserva.

37.50%

0.00%

37.50%

75.00%

17.00%

24.00%

17.00%

58.00%

143

Seguridad de los Sistemas Contables informatizados en las PYMES Seguridad Física: Del primer cuadro se desprende que el 58% de las empresas y estudios contables encuestados poseen algún tipo de prevención contra incendio, pero sin embargo el 100% de los mismos no toma precauciones en cuanto a posibles inundaciones. Para este último caso, el 67% no considera necesario tomar estas medidas, y en general se fundamentan en la ubicación de las instalaciones, ya que generalmente consideran como única causa de una inundación el hecho de que ingrese agua por la salida de cauce de una corriente de agua cercana. Desde nuestro punto de vista, deberían tenerse en cuenta además otras causas por las que el agua pueda dañar los equipos, como por ejemplo, la rotura de un caño o el filtrado de agua por el techo. En relación a las empresas que poseen precauciones contra incendio, estas últimas se constituyen de las medidas mínimas exigidas por Dirección Nacional de Bomberos. En algunos casos, como precaución adicional, se instruye al personal en cursos dictados por esta Dirección. Por otra parte, como puede apreciarse en el segundo cuadro, la principal razón por la que no se toman precauciones contra incendio es que nunca se consideró hacerlo. Por último, nos referiremos a la limitación del acceso al lugar físico donde se encuentran los computadores. Si bien más de la mitad de las empresas encuestadas manifestaron tener algún tipo de limitación, ésta en general no es total, sino que está condicionada al tipo y funcionamiento de la empresa así como a la estructura del local. Si se observa el segundo cuadro, podrá visualizarse que la principal causa de no tener limitado el acceso al lugar físico es por el costo que ello implica, ya que de acuerdo a la información recopilada debería reestructurarse el local. Seguridad lógica: El 50% de las empresas consideró dicho aspecto al adquirir el sistema. El 50% restante en general contestó que tomó en cuenta otros aspectos generales de su funcionamiento que se adecuaban a las características de la empresa. La mayoría manifestó aprovechar los diferentes mecanismos de seguridad brindados por el sistema. Sin embargo, debemos aclarar que dicho aprovechamiento en general se refiere a la definición de perfiles de usuarios y contraseñas, lo que es consecuencia de la falta de información o interés en cuanto a los mecanismos de seguridad que brindan los mismos, lo que surgió de las preguntas realizadas sobre ese punto. Asimismo, la mayor parte de quienes respondieron que utilizan el mecanismo de definición de usuarios y contraseñas, posee políticas de administración de los mismos con la definición del responsable de esta administración. En cuanto al análisis de pistas de auditoría, puede apreciarse en los resultados obtenidos, que la mayoría de las empresas encuestadas no analiza las pistas de auditoría que permite definir el 144

Seguridad de los Sistemas Contables informatizados en las PYMES sistema. Creemos que esto es así porque las empresas nunca se han enfrentado a accesos y/o modificaciones no autorizadas, o bien no se han percatado de su existencia. Refiriéndonos a la encriptación de datos por parte de la empresa, en muchos casos las personas encuestadas solicitaron explicación cuando se efectuó la pregunta correspondiente a este punto, lo cual fundamenta el alto porcentaje de respuestas negativas, ya que de haber implementado este mecanismo deberían conocerlo. Si se observa el primer cuadro, se notará que el único aspecto dentro de esta área cumplido por todas las empresas encuestadas, es el poseer mecanismos de prevención ante el ataque de virus. Sin embargo, dicho resultado no nos sorprende ya que los virus informáticos atacan cotidianamente la información de las empresas y hoy día el uso de antivirus está altamente generalizado. Plan de Contingencias: La existencia de un Plan de Contingencias en las empresas encuestadas representa tan sólo un 25,00% del total, los cuales según lo manifestado por las mismas están adecuadamente documentados y comunicados a las personas involucradas. Las causas de inexistencia de dicho Plan en el resto de las empresas, se deben en igual proporción a que nunca se consideró realizarlo o bien no se consideró necesario hacerlo. Debido a que su implementación no implica mayores costos y pueden ser de gran utilidad al momento de enfrentar un imprevisto, creemos que en cada empresa debería realizarse un esfuerzo conjunto para definir un Plan de Contingencias con las características adecuadas. Otro punto que por su importancia fue incluido independientemente en la encuesta realizada es el referido a que las empresas cuenten con dispositivos para el suministro de energía de reserva. Del resumen de los resultados obtenidos surge que sólo el 42% de las empresas cuentan con estos dispositivos, y que la principal causa por la cual el resto no cuenta con ellos, es el costo que ello implica. Respaldo de datos: La totalidad de las empresas ha manifestado identificar y priorizar los archivos a respaldar, y en su gran mayoría efectuar la verificación periódica de la integridad de los respaldos. Sin embargo, sólo el 42% realiza un almacenamiento de una copia de los respaldos fuera del local y un porcentaje menor aún encripta la información antes de respaldarla.

145

Seguridad de los Sistemas Contables informatizados en las PYMES 7) CONCLUSIÓN FINAL Para terminar, resumiremos en pocas palabras las consideraciones y conclusiones expresadas durante nuestro trabajo de campo. Cabe aclarar que en esta conclusión final, emitiremos nuestra opinión sin pretender generalizar esto a todos los programas contables o empresas proveedoras de ellos, sino que estamos manejando tendencias de acuerdo a la muestra seleccionada. Así, comenzaremos por indicar que la mayoría de los programas contables evaluados brindan características generales que les permiten adaptarse a las realidades de las distintas empresas. Por lo que pudimos observar durante la investigación objeto de este trabajo, podemos decir que en general quién desarrolla un sistema contable se centra sobretodo en los aspectos de parametrización y aquellos que permitan simplificar a las empresas el procesamiento de la información contable. Esto es visible por ejemplo, en las páginas web de las empresas propietarias de los sistemas, que en general describen el mismo destacando los aspectos mencionados, entre otros a los que brindan menor relevancia. Dentro de estos “otros” que mencionamos anteriormente, se encuentra el aspecto de la seguridad que brinda el sistema. La minimización de la importancia de este punto, es una tendencia general que no sólo se produce a nivel de los diseñadores de los programas, sino que como concluiremos más adelante, se produce también a nivel de los usuarios de los mismos, y por lo tanto, de quienes se encargan de procesar la información contable. De acuerdo a esta tendencia, la mayoría de los programas utilizados por PYMES de nuestro medio, si bien permiten en general la definición de medidas de seguridad con respecto al acceso al sistema, están diseñados para funcionar con bases de datos que no proveen las herramientas de seguridad adecuadas para restringir el acceso a los mismos desde fuera del sistema. Sin embargo, si nos remitimos a lo descripto para el segundo nivel de evaluación, podemos apreciar que aquellos módulos contables que forman parte de sistemas integrados de gestión, al estar éstos dirigidos a empresas de mayor porte que las pequeñas, utilizan bases de datos que ofrecen herramientas de seguridad más firmes. En ocasiones, se permite optar al potencial usuario entre diferentes versiones del programa de acuerdo a la base de datos utilizada, incluyendo versiones que pueden funcionar con bases de datos de libre acceso por fuera del sistema o con bases de datos que prevén las herramientas para restringirlo. En éste último caso, la seguridad proporcionada a la información contable estará sujeta a la decisión del potencial usuario del sistema. Otro aspecto que permite al usuario decidir indirectamente la seguridad que brindará a la información, es el representado por la seguridad del Sistema Operativo a utilizar, ya que, como hemos mencionado en otras oportunidades, el software de base puede influir en la seguridad de las aplicaciones que funcionan bajo el mismo. Tomando en cuenta estas consideraciones, podemos concluir que la seguridad de la información contable dependerá de la seguridad que brinde el sistema en el que se maneje y además de las bases de datos que éste utilice así como del Sistema Operativo en el que pueda funcionar. 146

Seguridad de los Sistemas Contables informatizados en las PYMES Para el caso de los programas que posean distintas versiones que posibiliten utilizar bases de datos con mayor o menor seguridad y que funcionan en diferentes Sistemas Operativos con mayor o menor seguridad, la seguridad que tendrá la información contable manejada por el programa será en su mayor parte decisión del potencial usuario. Lo será también, la configuración que haga de las herramientas de seguridad que brinden las bases de datos y/o los Sistemas Operativos en caso de optar por trabajar con los tipos de estos/as más seguros. Y a modo de brindar información de la importancia que le dan los usuarios de los distintos programas contables a la implementación de medidas de seguridad para proteger la información, podemos decir que, como se desprende de nuestro resumen de encuestas, la tendencia resultante es bastante baja. Esperamos que lo expuesto haya sido de utilidad para el lector a quién nuestro trabajo le haya podido interesar y así cumplir el objetivo del mismo, reiterando que este último no fue realizar una valoración general ni específica sobre ninguno de los programas evaluados.

147

ANEXO 1 ANEXO 1 - A: Código de comercio Art. 44. Los que profesan el comercio contraen por el mismo hecho la obligación de someterse a todos los actos y formas establecidos en la ley mercantil. Entre estos actos se cuentan: 1º. La inscripción en un registro público de los documentos que según la ley exige ese requisito. 2º. La obligación de seguir un orden uniforme de contabilidad en idioma español, y de tener los libros necesarios para tal fin. 3º. La conservación de la correspondencia que tenga relación con el giro del comerciante, así como la de todos los libros de la contabilidad. 4º. La obligación de rendir cuentas en los términos de la ley. Art. 55. Los libros que los comerciantes deben tener indispensablemente, son los siguientes: 1º. El libro diario. 2º. El de inventarios. 3º. El copiador de cartas. Art. 56. En el libro diario se asentará día por día, y según el orden en que se vayan efectuando, todas las operaciones que haga el comerciante, letras u otros cualesquier papeles de crédito que diere, entregare, de su cuanta o de la ajena, por cualquier título que fuera, de modo que cada partida manifieste quién sea el acreedor y quién el deudor en la negociación a que se refiere. Las partidas de gastos domésticos basta asentarlas en globo, en la fecha en que salieren de la caja. Art. 57. Si el comerciante lleva libro de caja, no es necesario que asiente en el diario los pagos verificados. En tal caso, el libro de caja se considera parte integrante del diario. Art. 59. El libro de inventarios se abrirá con la descripción exacta del dinero, bienes muebles y raíces, créditos y otra cualquiera especie de valores que formen el capital del comerciante al tiempo de empezar su giro. Después formará todo comerciante en los tres primeros meses de cada año, y extenderá en el mismo libro, el balance general de su giro, comprendiendo en él, todos sus bienes, créditos y acciones, así como todas sus deudas y obligaciones pendientes a la fecha del balance, sin reserva ni omisión alguna. Los inventarios y balances generales se firmarán por todos los interesados en el establecimiento, que se hallen presentes al tiempo de su formación.

148

ANEXO 1

Art. 66. En cuanto al modo de llevar así los libros prescritos por el artículo 55 como los auxiliares que no son exigidos por la ley, se prohíbe: 1º. Alterar en los asientos el orden progresivo de las fechas y operaciones con que deben hacerse según lo prescrito en el artículo 56. 2º. Dejar blancos ni huecos, pues todas sus partidas se han de suceder unas a otras, sin que entre ellas quede lugar para intercalaciones ni adiciones. 3º. Hacer interlineaciones, raspaduras ni enmiendas, sino que todas las equivocaciones y omisiones que se cometan, se han de salvar por medio de un nuevo asiento hecho en la fecha en que se advierta la omisión o el error. 4º. Tachar asiento alguno. 5º. Mutilar alguna parte del libro, arrancar alguna hoja o alterar la encuadernación y foliación. ANEXO 1. B: Ley Nº 16.060: Sociedades Comerciales Artículo 88. (Normas generales). El ejercicio económico será de un año y su fecha de cierre determinada por los administradores de la sociedad. La duración del ejercicio sólo podrá ser modificada excepcionalmente con aprobación de la mayoría social o de la asamblea en su caso y tratándose de una sociedad anónima abierta, con la conformidad del órgano estatal de control. Los estados contables deberán ser confeccionados de acuerdo a normas contables adecuadas que sean apropiadas a cada caso, de tal modo que reflejen, con claridad y razonabilidad, la situación patrimonial de la sociedad, los beneficios obtenidos o las pérdidas sufridas. Para la elaboración de los estados contables correspondientes a cada ejercicio, se seguirán las mismas formas y los mismos métodos de avaluación utilizados en los ejercicios precedentes. Toda variación en tal sentido, deberá ser razonablemente fundada y aprobada expresamente por la mayoría social o la asamblea en su caso. Artículo 89. (Estado de situación patrimonial). El estado de situación patrimonial deberá reflejar la situación económica y financiera de la sociedad al cierre del ejercicio y expondrá las cuenta del activo, las del pasivo y las del capital, reservas, previsiones y resultados con un grado de detalle que sea suficiente para permitir formarse un juicio sobre la composición del patrimonio a dicha fecha y sobre el valor de los elementos que lo integren. Deberán indicarse en notas, que formarán parte integrante del estado de situación patrimonial, los criterios empleados para la avaluación de los activos y pasivos y deberá aclararse expresamente si los mismos coinciden o no con los aplicados en el balance inmediato anterior. En caso de cambio de criterio, deberá informarse la incidencia que los mismos hay an tenido en el patrimonio y los resultados.

149

ANEXO 1 Las sociedades controlantes en virtud de participaciones sociales o accionarias deberán presentar como información complementaria, estados contables anuales consolidados. Artículo 90. (Estado de resultados). El estado de resultados del ejercicio deberá indicar, por separado, los originados en la actividad ordinaria de la sociedad y los provenientes de operaciones extraordinarias, discriminando los rubros positivos y negativos en la medida necesaria para permitir formarse un juicio claro sobre el volumen y contenido de cada uno de los rubros. Artículo 91. (Norma especial). La reglamentación establecerá las normas contables adecuadas a las que habrán de ajustarse los estados contables de las sociedades comerciales. Asimismo podrá autorizar para estas sociedades, el empleo de todos los medios técnicos disponibles en reemplazo o complemento de los libros obligatorios impuestos a lo s comerciantes. ANEXO 1 - C: Decreto: 103/991: Normas para formular sus Estados Contables las Sociedades Comerciales Fecha Promulgación: 27/02/1991 Fecha Diario Oficial: 14/03/1991 Visto: el artículo 91 de la Ley nº 16.060 de 4 de setiembre de 1989 y el artículo 115 de la Ley nº 12.802 de 30 de noviembre de 1960. Considerando: I) Que la formulación de los estados contables uniformes ha constituido una experiencia de suma utilidad para los Entes Públicos encargados de su control legal, los organismos dedicados a elaborar informaciones estadísticas y para los propios empresarios, accionistas, inversores y terceros interesados; II) Que la derogación del Título III del Libro II del Código de Comercio preceptuado por el artículo 5º de la Ley nº 16.060 de 4 de setiembre de 1989, quitó respaldo legal al Decreto nº 827/976 de 22 de diciembre de 1976, que había impuesto los estados contables uniformes, siendo su vigencia reimplantada transitoriamente por el artículo 7º del Decreto nº 335/990 de 26 de julio de 1990; III) Que se hace aconsejable su reimplantación a efectos de que los estados contables sean estructurados siguiendo normas técnicas dictadas según criterios modernos de contabilidad, que facilitarán su interpretación y la evaluación de la situación patrimonial económica y financiera de las empresas; IV) Que los estados contables uniformes constituyen por sí, una forma de normas contables adecuadas. Atento: a lo informado por la Comisión Asesora del Poder Ejecutivo creada por Resolución nº 768/989 de 15 de noviembre de 1989, el Presidente de la República DECRETA: Artículo 1. Las sociedades comerciales deberán formular sus estados contables de acuerdo a las normas establecidas en este decreto, el anexo y los modelos que se agregan y forman parte del mismo. (*)

150

ANEXO 1 Artículo 2. Los estados contables que sean presentados ante Organismos Públicos, deberán cumplir los siguientes requisitos: 1º) Estar formulados de acuerdo a las normas contables adecuadas y en especial a las contenidas en este decreto; 2º) Haber sido aprobados por la mayoría social o el órgano competente de la sociedad; 3º) Estar acompañados por informe de compilación emitido por profesional que posea título de Contador Público o equivalente expedido por la Facultad de Ciencias Económicas y de Administración de la Universidad de la República, de acuerdo con los diferentes planes de estudio (1932, 1944, 1954, 1966, 1977, 1980). En caso de modificaciones futuras de planes de estudios de los cursos superiores de la Facultad de Ciencias Económicas y de Administración quedarán habilitados a los efectos de este pronunciamiento, aquellos títulos profesionales que reúnan un nivel técnico equivalente a los mencionados precedentemente de acuerdo con la resolución que al respecto establezca la referida Facultad.(*) Artículo 3. A efectos de la publicación dispuesta por el artículo 416 de la ley 16.060 de 4 de setiembre de 1989 el Órgano Estatal de Control podrá autorizar la utilización de fórmulas resumidas, de acuerdo con los instructivos que la misma establezca.(*) Artículo 4. Los estados contables uniformes previstos por el artículo 1 serán obligatorios para los ejercicios que se inicien a partir de la publicación del presente decreto. Para los ejercicios iniciados con anterioridad, las Sociedades Comerciales podrán optar entre su aplicación o por lo dispuesto en el artículo 7º del decreto 335/990 de 26 de julio de 1990.(*) Artículo 5. Comuníquese, publíquese, etc. (*) Firmantes: LACALLE HERRERA - ENRIQUE BRAGA SILVA ESTADOS CONTABLES UNIFORMES OBJETIVO Las finalidades perseguidas al presentar estados contables uniformes son las de mejorar la información de las empresas, evitando la heterogeneidad de criterios en la presentación de los mismos, facilitar su comparación y perfeccionar el análisis de los estados contables, tanto por parte de los directores o propietarios en su utilización interna en la empresa como por otros terceros interesados. Se utilizarán las notas a los mismos para revelar las políticas contables aplicadas por la empresa, y los detalles explicativos de situaciones que si se expusieran en el cuerpo de los estados contables harían perder la adecuada visión de conjunto. En tal sentido, se prefiere que los estados contables presenten en forma sintética la situación económica patrimonial y financiera. ALCANCE Las normas se han estructurado para ser aplicadas a sociedades comerciales con objeto industrial, comercial, agropecuario y de servicios, sin perjuicio de su adaptación a empresas con distinto objeto de los indicados.

151

ANEXO 1 CARACTERÍSTICAS Las denominaciones utilizadas en los grupos o rubros de este instructivo pueden suprimirse cuando no proceda su utilización, o incorporadas aquellas que no correspondan, aunque no se hayan mencionado en forma expresa en los diferentes grupos de cuentas. Podrán incluirse en partidas de "conceptos diversos" u "otros" aquellos importes que no sean de significación relativa. La flexibilidad en cuanto al uso de denominaciones deberá darse respetando en todos los casos los lineamientos generales que se establecen en estas instrucciones. ESTRUCTURA DE LOS ESTADOS CONTABLES UNIFORMES Los estados contables uniformes tendrán la siguiente estructura: A) Estado de Situación Patrimonial B) Estado de Resultados C) Anexos D) Notas A) Estado De Situación Patrimonial Activos y Pasivos Corrientes Los activos y pasivos deben separarse en corrientes y no corrientes. Un activo o un pasivo será considerado corriente cuando se estima que su realización o vencimiento se producirá dentro de los doce meses a partir de la fecha cierre del ejercicio considerado. Por realización debe entenderse la transformación del activo en dinero o su equivalente. La estimación para juzgar el período de realización deberá basarse en las características propias el activo que permitan su realización dentro del plazo de un año a partir de la fecha de los Estados Contables y en la intención de su realización que tengan los órganos encargados de dirigir la gestión de la empresa. Asimismo, deben considerarse corriente las prestaciones en bienes o servicios a recibir en el período de un año a partir de la fecha de los estados contables, pagadas por adelantado y otros activos destinados específicamente a cancelar pasivos corrientes. Activo Activo corriente: El ordenamiento se hace de acuerdo con su grado decreciente de liquidez, globalmente considerada en cada grupo. Disponibilidades: Las disponibilidades comprenden las existencias de dinero, los cheques, giros a la vista bancarios, depósitos bancarios (cuentas corrientes, cajas de ahorro en caso de no existir limitaciones para retirar fondos, depósitos a plazo fijo, si pueden retirarse aún con pérdida de los intereses u otros valores que tengan las características de liquidez, certeza y efectividad en moneda nacional y extranjera. Al determinar las disponibilidades se considerarán solamente como ingresos aquellos en poder efectivo de la empresa a la fecha de los estados contables. De igual manera no deberán ser tomados como egresos aquellos que están a disposición de pago pero no han salido del poder de la empresa a dicha fecha. Inversiones temporarias: Constituyen inversiones temporarias aquellas colocaciones de carácter transitorio realizadas para obtener una renta, de fácil realización, y que no forman parte de la estructura comercial, industrial o de servicios de la empresa. También es necesaria la intención que respecto a su realización

152

ANEXO 1 tengan los órganos responsables de la empresa, puesto que si tal intención no existiera, estos bienes, no serán aplicados a la cancelación de pasivos corrientes. Entre otras, se incluirán los títulos públicos reajustables, bonos del tesoro, letras de tesorería, acciones, obligaciones, depósitos a plazo fijo, préstamos, etc.. Cuando corresponda deben deducirse los intereses no ganados y aquellos montos estimados que permiten cubrir la pérdida de valor en el mercado (previsiones por desvalorización). Créditos: Los créditos están constituidos por los derechos que la empresa tiene contra terceros para percibir sumas en dinero u otros bienes o servicios, con excepción de aquellos que por sus características deben ser incluidos en disponibilidades o inversiones temporarias. No deberán compensarse saldos deudores con saldos acreedores. Los créditos provenientes de las prestaciones que constituyen las actividades principales de la empresa deben exponerse en forma separada de aquellos que provienen de otras operaciones. Los primeros se presentarán separados según sean deudores comunes o documentados. Entre los otros créditos se incluirán separadamente, los directores y personal de la empresa, los anticipos a proveedores, los créditos con sociedades controlantes, controladas o vinculadas, las ganancias que se constituyen mediante depósitos de dinero, los gastos pagados por adelantado (en este caso el crédito, representa el derecho a recibir de terceros prestaciones de servicio),etc..Deben deducirse los montos estimados para cubrir el riesgo de incobrabilidad (previsiones por incobrabilidad), los descuentos y bonificaciones a conceder, los intereses no ganados, los ingresos diferidos a realizar en ejercicios futuros, etc. Bienes de Cambio: Los bienes de cambio comprenden aquellos que se adquieren o producen para la venta, los que se encuentran en proceso de producción o aquellos que resultan consumidos en la producción o comercialización de los bienes o servicios que se destinan a la venta. Deben separarse los bienes de intercambio ordinario o habitual según los distintos tipos de explicación de la empresa y dentro de cada uno de ellos, deberá efectuarse una discriminación por categorías de bienes. Por ejemplo, en el caso de empresas industriales, se presentarán las existencias de materias primas, productos en proceso, productos terminados, mercaderías de reventa, materiales y suministros, bienes de uso desafectados (destinados a la venta). En actividades de tipo específico, como la agropecuaria, inmobiliaria, de prestación de servicios, deben usarse los títulos que correspondan para la apropiada identificación de los bienes. Por ejemplo en la agropecuaria se incluirán, entre otras, la hacienda (excluidos reproductores, semovientes destinados a la tracción y otros categorizables como bienes de uso) productos ganaderos, productos agrícolas, etc.; en la inmobiliaria se incluirán los terrenos, los edificios, etc. Deben ser mostrados por separado, aquellos montos estimados para cubrir el riesgo de que ciertos bienes reduzcan su valor (previsiones por desvalorización) exponiéndose de tal modo el valor neto de los bienes. Activos no corrientes: El ordenamiento debe hacerse atendiendo en forma principal la importancia cuantitativa de cada grupo. Créditos a largo plazo: Corresponden a aquellos créditos ya enunciados cuyo plazo de realización excede el período de doce meses a partir del cierre del ejercicio considerado. Bienes de cambio no corrientes: Corresponden a aquellos bienes de cambio ya enunciados que por su plazo de realización no pueden ser considerados corrientes.

153

ANEXO 1 Inversiones a largo plazo: Son aquellas colocaciones a plazo mayor de doce meses efectuadas con ánimo de obtener una renta u otro beneficio y que no forman parte de la estructura comercial, industrial o de servicios de la empresa. Se incluyen entre otras los valores públicos y privados y participaciones en otras empresas, mostrándose por separado aquellas sociedades controlantes, controladas y vinculadas, préstamos, inmuebles y propiedades. Se deducen los intereses no ganados y los montos estimados para cubrir su desvalorización (previsiones por desvalorización). Bienes de Uso: Son aquellos bienes tangibles que se utilizan en la actividad de la empresa, que tienen una vida útil estimada superior a un año y que no están destinados a la venta. Estos bienes pueden no estar sujetos a depreciación o agotamiento, como son los terrenos. Pueden estar sujetos a depreciación como ser edificios, maquinaria y equipo, muebles y útiles, sementales, animales de tiro, ganado de leche, ovinos criados para la esquila de lana y otros análogos, pueden estar sujetos a agotamiento como ser minas, yacimientos, canteras y bosques no maderables (los maderables corresponde clasificarlos como bienes de cambio). También se considerarán bienes de uso aquellos en construcción o en proceso de instalación, que reunieran las características antes referidas y toda aplicación de recursos destinada a la incorporación de bienes de esta clase. Debe exponerse por separado el monto de las amortizaciones acumuladas y el valor neto. Intangibles: Constituyen activos intangibles los representativos de franquicias, privilegios, etc. y aquellos cuya existencia depende de su capacidad potencial de generar ganancias futuras. Pueden estar sujetos a depreciación, en cuyo caso se debe exponer por separado el monto de los mismos, las amortizaciones acumuladas y los valores netos. Pasivo Pasivo Corriente: El ordenamiento debe efectuarse en función del grado de certidumbre de su existencia, en sentido decreciente. Deudas: Las deudas son obligaciones ciertas, determinadas o determinables. Representan obligaciones efectivas hacia terceros, específicamente determinadas en cuanto a su concepto e importe. En este grupo se incluyen las deudas a favor de terceros, cualquiera sea su origen y naturaleza, indicándose separadamente las comerciales, las financieras, las existentes con sociedades controlantes, controladas y vinculadas (comerciales o financieras), los saldos acreedores de los clientes, los dividendos a pagar en efectivo, las deudas con cargas sociales, los sueldos y jornales, los cobros anticipados, etc.. También se incluirán en este grupo los pasivos devengados que corresponda calcular, como sucede en el caso de ciertos impuestos y otros consumos estimados como luz, agua, etc. No deberán compensarse saldos deudores con saldos acreedores. Deben deducirse los intereses no devengados. Previsiones: Son aquellas partidas que a la fecha de cierre del ejercicio considerado, representan importes estimados para hacer frente a situaciones contingentes que pueden originar obligaciones para la empresa. En las previsiones, las estimaciones consisten en cuantificar tanto el monto probable de la obligación contingente, como la probabilidad de su concreción. Entre otras, se incluirán las indemnizaciones por despido, garantías de producción, reparaciones y otras responsabilidades hacia terceros.

154

ANEXO 1 También se denominarán Previsiones aquellas estimaciones que representan una corrección al valor asignado a ciertos activos, como ser Inversiones (pérdida de valor en el mercado); Créditos (riesgo de incobrabilidad); Bienes de Cambio (obsoletos, fuera de moda etc.). Estas previsiones siempre se presentarán en el Activo disminuyendo el valor de la cuenta o grupos de cuenta que corresponda. Pasivo no corriente: El ordenamiento debe hacerse en forma similar al de los pasivos corrientes. Deudas a largo plazo: Corresponden a aquellas deudas ya enunciadas cuyo plazo de vencimiento excede el período de doce meses a partir del cierre del ejercicio considerado. Previsiones no corrientes: Son aquellas previsiones ya enunciadas que se estima determinarán obligaciones cuyo vencimiento supone un plazo mayor de doce meses. Patrimonio Todas las cuentas que representan el patrimonio deben separarse y agruparse en función a su naturaleza. El ordenamiento se hace de acuerdo al grado decreciente de limitaciones legales o contractuales para su distribución. Capital: Es el valor legal del capital emitido por la empresa, según su forma jurídica (acciones, partes sociales, etc.). Deben distinguirse las acciones o partes sociales integradas (Capital integrado). En el caso de sociedades anónimas también deben distinguirse las acciones a distribuir o sea aquellas que se encuentran emitidas en cartera o pendientes de entrega por dividendos declarados en acciones. Siempre se presentarán deducidos los saldos de los accionistas o socios por aportes pendientes de integración. Aportes y compromisos a capitalizar: Son aquellas suscripciones (Capital suscrito en trámite) y aportes (Capital integrado en trámite) que no se han capitalizado por exceder el monto actual del capital contractual, estando éste en trámite de ampliación luego de su aprobación por el órgano social competente. Se presentarán deducidos los saldos de los accionistas o socios por aportes pendientes de integración. También se incluirán los aportes provenientes de una emisión sobre la par (prima de emisión), luego de cubrir la Reserva Legal según el artículo 297 de la Ley Nº 16.060. Ajustes al patrimonio: Son el resultado de correcciones a la expresión monetaria del patrimonio. Se incluirán las cuentas resultantes de ajustes a los estados contables para reflejar las variaciones en el poder adquisitivo de la moneda. Cuando los ajustes correspondan a la reexpresión de los saldos de las cuentas del patrimonio podrán ser expuestos en los grupos del patrimonio, en forma separada de la cuenta principal, o podrán incorporarse al saldo de cada cuenta excepto la de capital, o podrá revelarse el total del ajuste en este grupo, detallándose por concepto, en su caso, en una nota a los estados contables. Reservas: Son aquellas ganancias retenidas en la empresa por la expresa voluntad social o por disposiciones legales o contractuales. Deben distinguirse las que pueden ser desafectadas por una nueva expresión de la voluntad social, de la reserva legal y de todas aquellas otras restringidas en su disposición por exigencias legales o contractuales.

155

ANEXO 1 En el caso de la reserva legal debe exponerse en una nota a los estados contables las primas por emisión de acciones que se han incluido en virtud de lo dispuesto por el artículo 297 de la Ley Nº 16.060 de 4/9/989. Resultados Acumulados: Corresponden a las pérdidas o las ganancias acumuladas sin asignación específica. Cuando se proceda a una distribución anticipada de dividendos, estos deberán deducirse de este grupo. Deben mostrarse por separado los resultados del período considerado. B) Estados De Resultados: En el estado de resultado de cada ejercicio económico se incluyen los resultados atribuidos al mismo, distinguiendo los ordinarios de los extraordinarios y además los ajustes al resultado de ejercicios anteriores. Son ordinarios aquellos resultados atribuibles al ejercicio, que resultan de las operaciones normales que constituyen el objeto de la empresa. Son extraordinarios aquellos resultados atípicos y excepcionales, identificados con el ejercicio económico en el que se registran y cuya importancia material justifica su expresa demostración. Son ajustes a resultados de ejercicios anteriores aquellos puestos de manifiesto en un ejercicio económico pero originados, ya sea en correcciones de errores u omisiones producidas en ejercicios anteriores, o bien, en correcciones que provengan de ajustes en el balance inicial, resultantes de cambios en la aplicación de normas efectuadas con el propósito de uniformar los criterios de valuación del patrimonio al comienzo y a la finalización del ejercicio. Los ajustes contabilizados por cambios en estimaciones contables no se considerarán ajustes a resultados de ejercicios anteriores. Si su efecto en los resultados es importante se revelará esta situación en una nota. Ingresos Operativos: Son aquellos que provienen de las ventas de bienes o prestaciones de servicios realizadas en ejercicio de las actividades principales de la empresa. Deben exponerse separando aquellos locales de los provenientes del exterior. Descuentos, Bonificaciones, Impuestos, etc.. Son aquellos descuentos, rebajas o reducciones que se produzcan sobre los bienes vendidos o los servicios prestados y aquellos importes facturados en concepto de gastos que son de cargo de quien recibe la prestación (p.e.: impuestos al consumo, seguros y fletes en las ventas C.I.F. etc.). Ingresos Operativos Netos: Son los ingresos operativos de la empresa una vez deducidos los descuentos, bonificaciones, impuestos, etc.). Costo de los Bienes Vendidos o de los Servicios Prestados: Se incluirán todos aquellos atribuibles a la producción de los bienes, a la generación de los servicios o a la adquisición y acondicionamiento de los bienes, cuya venta da origen a los ingresos operativos. Gastos de Administración y Ventas: Se incluirán aquellos realizados en relación directa con la venta y distribución y los de administración general ocasionados en razón de las actividades principales de la empresa que no estén originados en la compra, producción y financiación de los bienes y servicios. Podrán desglosarse los importes más significativos. Resultados Diversos: Son los que se originan en actividades que no constituyen los fines principales de la empresa. Deben exponerse separadamente los resultados positivos y negativos.

156

ANEXO 1 Resultados Financieros: Se incluirán los intereses, diferencias de cambio y otros conceptos relativos a la financiación de la empresa. Asimismo comprenderán los resultados provenientes de los ajustes realizados por la variación en el poder adquisitivo la moneda. Las ganancias y las pérdidas financieras deben exponerse separadamente. Resultados Extraordinarios: Aquellos resultados que por su naturaleza se reputen atípicos y excepcionales, deberán exponerse separando las ganancias de las pérdidas. Ajustes a Resultados de Ejercicios Anteriores: Cuando los resultados por este concepto fueran significativos deberán ser claramente identificados, exponiendo separadamente los resultados positivos y negativos. Impuesto a la Renta Deberá incluirse el importe cargado a resultados en el ejercicio por tal concepto, de acuerdo con el método contable que se haya aplicado. C) ANEXOS A fin de aclarar determinadas situaciones de los estados contables mediante una discriminación apropiada se presentarán los siguientes anexos: Anexo 1.Bienes de Uso. Intangibles. Inversiones en Inmuebles y Amortizaciones. Anexo 2.Estado de Evolución del Patrimonio. Anexo3.Estado de Origen y Aplicación de Fondos (en casos que corresponda).

157

ANEXO 1 D) NOTAS A LOS ESTADOS CONTABLES Las notas son parte integrante de los estados contables, y constituyen un agrupamiento orgánico de información que tiene por objeto facilitar su adecuada interpretación. La existencia de notas debe ser claramente indicada, mostrándose agrupadas en una única sección. Las notas deberán tener un título que permita identificar con claridad el tema que cada una trata, y serán numeradas correlativamente cuando corresponda. Dicho número será referenciado en los estados contables, mencionando su existencia entre paréntesis, a continuación del capítulo o rubro. Debe aplicarse por medio de notas la información relativa a: Información básica sobre la empresa descripta brevemente: -Naturaleza Jurídica. En caso de sociedades anónimas debe indicarse si es abierta; -La actividad principal efectivamente desarrollada y los cambios ocurridos durante el ejercicio; -Si se trata de una empresa en liquidación o en concordato, o sujeta a intervención de cualquier naturaleza; -Las disposiciones legales, reglamentarias o contractuales que colocan a la empresa en una situación especial, por ejemplo acogimiento a leyes de promoción industrial, de inversiones extranjeras, de refinanciación, de regulación de precios, etc.; -La participación de la empresa en otras sociedades, ya sea como sociedad vinculada o controlante, indicando el nombre de la sociedad, el monto de su participación y el porcentaje que representa su participación en el capital de las otra sociedades. Principales políticas contables: Se deberá incluir una revelación clara y concisa de todas las políticas contables significativas que se han usado en la preparación de los estados contables, indicando especialmente: a) Los criterios generales de valuación. b) El método aplicado para corregir el efecto que produce la inflación en la información contable. c) La definición de fondos adoptada para la preparación del Estado de Origen y Aplicación de Fondos. d) El concepto de capital utilizado (capital financiero o como capacidad operativa) para la determinación del resultado e) Los criterios de conversión de la moneda extranjera; f) Las normas aplicadas para realizar la consolidación del estado contable, si este fuera el caso; -Cualquier cambio habido en las políticas contables. -Información referente a los activos y pasivos.

158

ANEXO 1 En notas deberán detallarse cuando corresponda, para cada uno de los rubros contenidos en los estados contables, lo siguiente: - El criterio de valuación; - Toda limitación a la libre disposición de los activos o del patrimonio y cualquier restricción al derecho de propiedad; - Las garantías otorgadas con respecto a los pasivos; - Los cambios en los criterios de valuación y su cuantificación; - Cualquier otro hecho que por su importancia justifique su exposición; Además se deberá indicar para los rubros que se mencionan a continuación lo siguiente: Inversiones Temporarias y a Largo Plazo Detalle por tipo de inversión. Para el caso de que se incluyan valores negociables se deberá revelar el valor de mercado de los mismos, si éste difiere de la cifra registrada. Si las Inversiones a Largo Plazo corresponden a empresas vinculadas o controladas, se deberá indicar el grado de participación y el valor patrimonial proporcional cuando por su importancia así se requiera. Créditos: Se deberán indicar los saldos de cada una de las sociedades vinculadas, controlantes o controladas, cuando éstos no estén revelados expresamente. Bienes de Cambio: Se indicará el ordenamiento de las salidas (FIFO, LIFO, etc.). Bienes de Uso: Se indicará el criterio adoptado para calcular las amortizaciones. Deudas -Corto y Largo Plazo: Se revelarán los saldos con empresas vinculadas, controladas o controlantes. Para las deudas a largo plazo, se revelarán además los vencimientos y demás información que se estime pertinente. Moneda Extranjera: Cuando corresponda por su importancia, se deberá indicar la posición de cada moneda extranjera y su equivalente en moneda nacional, detallando los rubros activos y pasivos que las componen. Hechos posteriores: Deberán indicarse todos aquellos hechos ocurridos entre la fecha de los estados contables y la de su emisión, cuyo efecto aunque no se compute en el ejercicio cerrado, proporcione información al lector sobre alteraciones significativas a la estructura patrimonial y los resultados del nuevo período. Criterios aplicados para la determinación del beneficio: Se explicarán los criterios aplicados para la revelación de los ingresos y la imputación de sus respectivos costos, los principales gastos y el impuesto a la renta.

159

ANEXO 1 Bienes de terceros y contingencias: Los bienes de terceros que la empresa administra en forma de consignación, custodia, prenda y cualquier otro título que no implica transferencia de dominio, serán informados por medio de notas a los estados contables. Ese grupo de bienes ajenos, que está separado de aquellos que componen el activo de la empresa, pueden mostrarse también por medio de cuentas de orden, al pie del Estado de Situación Patrimonial. Las contingencias que representan aquellas eventualidades a que está sujeta la empresa y en donde siempre está implícito un riesgo, por ejemplo, por avales o garantías otorgadas, descuentos de documentos, etc., serán informadas por medio de notas a los estados contables. También pueden utilizarse las cuentas de contingencias que se expondrán al pie del Estado de Situación Patrimonial. (*) Los términos contables y los criterios de exposición utilizados en el presente decreto tienen prioridad sobre los contenidos en las Normas Internacionales de Contabilidad

160

ANEXO 2 ANEXO 2 –A SALVADOR 2000 A continuación presentamos una serie de interrogantes que permitirán evaluar los aspectos descriptos en el comienzo de nuestro Trabajo de Campo. ASPECTOS GENERALES Capacidad General ¿Cuenta con la capacidad suficiente para múltiples usuarios, incluyendo acceso simultáneo? No permite el acceso simultáneo. ¿Se puede adaptar para cubrir necesidades futuras de la empresa, es decir, permite añadir otros módulos con el transcurso del tiempo? Es un sistema rígido, no fue creado para la integración con otros programas (por ejemplo de facturación, administración de personal, etc.) ¿Es adaptable a los escenarios locales (por ejemplo, formatos de fecha / moneda) programado para varios tipos de monedas?

y está

Posibilita definir varios tipos de monedas y sus cotizaciones. ¿ Permite copiar datos entre empresas? Permite copiar el Plan de cuentas de una empresa a otra. ¿ El sistema es parametrizable (permite ingresar por ejemplo varias tasas de IVA)? Es parametrizable en el sentido de que permite definir distintos tipos de monedas y sus cotizaciones, impuestos, y otros valores (boletos, combustibles, etc.). Identificación de cuentas ¿Puede aceptar diferentes estructuras de codificación de cuentas? Es posible adaptar el Plan de cuentas a las diferentes necesidades de las empresas. ¿Hasta que número de cuentas y de subclasificaciones de las cuentas se pueden ingresar? Permite ingresar cuentas hasta de 12 dígitos. Integración con otros sistemas ¿Puede importar o exportar datos contables de otros programas? Es posible la importación y exportación de datos desde / hacia Memory (en sus versiones DOS y Windows). ¿Puede vincularse con hojas de cálculo? Es posible la importación y exportación de datos desde / hacia planilla electrónica.

161

ANEXO 2 Emisión de informes ¿Se pueden ver los informes en pantalla? Da la opción de ver el informe en pantalla, imprimirlo y verlo en otros formatos. ¿Los informes estandarizados son útiles? En general tiene predefinidos los informes que se utilizan usualmente. ¿Se pueden adecuar los informes a la medida del usuario (por ejemplo, cambiar divisiones o columnas) o bien ser programados por el mismo? Sólo es posible obtener los informes que el sistema tiene predefinidos, eligiendo el período, la moneda y si arrastra saldos iniciales. Incidencia de las normas profesionales y legales ¿Permite efectuar la registración día por día y detallando las fechas correspondientes? Permite registrar los asientos con la fecha del día que corresponda. ¿Permite el manejo de libros auxiliares? Cuenta con una serie de diarios auxiliares, como por ejemplo: compras, ventas, documentos y cheques diferidos a cobrar. ¿Es flexible en cuanto a la elección del período de emisión de los informes? Se puede elegir el período que el usuario desee. ¿Verifica la inexistencia de espacios en blanco innecesarios en la emisión de informes? Permite la emisión de un Diario Analítico con un asiento que tiene solo ingresado el día, quedando el espacio en blanco correspondiente al mismo. ¿Tiene la capacidad de ordenar los asientos cronológicamente antes de la emisión de los mismos? Por más que los asientos se ingresen sin seguir un orden cronológico en las fechas, al momento de emitir los informes los ordena. ¿Es capaz de facilitar la preparación de Estados Contables consolidados? A pesar de que la opción aparece en el menú del programa, la misma aún no ha sido puesta en marcha. ¿Los informes suministrados son susceptibles de reemplazar los Libros obligatorios cumpliendo con los requerimientos exigidos por los organismos de control para autorizar tal sustitución? En cuanto al Libro Diario, si bien es capaz de ordenar los asientos cronológicamente, deja espacios en blanco y lista asientos sin terminar con lo cual no cumple con los aspectos de presentación establecidos. Respecto al Libro Inventarios, al tener un Plan de Cuentas totalmente flexible, permite un nivel de detalle adecuado para ser posible la composición del mismo por Estados de Situación con el detalle correspondiente.

162

ANEXO 2 ¿Es posible cumplir con el Decreto 103/91 en cuanto a la estructura de los Estados Contables, para prever todos sus componentes al momento de diseñar los informes a emitir? No prevé la elaboración de todos los componentes de los Estados Contables, ya que de los Anexos obligatorios, sólo es posible elaborar el EOAF. Tampoco tiene prevista la elaboración de las Notas a los Estados Contables en un formato estándar. SEGURIDAD BRINDADA POR EL SISTEMA Acceso a datos ¿Cuenta el sistema con protección de acceso al sistema general a través del uso de contraseñas? Al instalar el programa sólo existe un usuario (llamado NUEVO) el cual puede ejecutar todas las funciones y no tiene contraseña predefinida (hay que presionar enter cuando la pida). Luego este usuario NUEVO puede crear los usuarios que quiera con las contraseñas correspondientes. Sin embargo si esta contraseña es olvidada, o no es posible ingresarla por algún motivo, se puede mediante el sistema operativo, borrar el archivo de usuarios y crear uno nuevo, siguiendo los mismos pasos que al instalar el programa. Además si el usuario NUEVO no es borrado, se puede seguir ingresando al sistema sin contraseña. ¿Hay restricciones al uso de contraseñas para funciones específicas del sistema, es decir, existen diferentes perfiles de usuarios? Existen dos niveles de usuarios predefinidos en el sistema (el nivel 1 y el nivel 9) pero ambos pueden hacer todas las tareas posibles en el sistema. Además no es posible que el usuario pueda definir los perfiles necesarios, todos los usuarios creados podrán efectuar toda las tareas. ¿Es posible definir diferentes modalidades de acceso? ¿Cuáles? No. ¿Se puede definir o está previsto en el sistema un período máximo en el cual caduquen las contraseñas? No. ¿Se encuentran encriptados los datos del sistema? No. ¿Cuáles son las bases de datos utilizadas? Usa archivos "DBF" (Data Base File). ¿Dónde están ubicadas las bases de datos? En la carpeta del programa. ¿ Cuáles son las reglas de acceso y de modificación de las mismas? No existen, es posible ingresar a ellas solamente entrando a la carpeta del programa, sin necesitar ningún tipo de autorización. ¿Es posible acceder a los datos del sistema utilizando otra aplicación provistas por terceros, utilitarios del Sistema Operativo, etc. (Acces, Excel, Visual Fox Pro, Notepad, etc.)? Es posible porque utiliza DBF (Data base file) que es un formato común de archivos de datos y se pueden ver o modificar los datos con varios programas y/o utilitarios.

163

ANEXO 2 Metodologías del Sistema ¿Se pueden registrar los asientos contables directamente en las tablas de datos? Sí. ¿Se pueden registrar temporalmente en otro lugar y posteriormente se registran en grupos después de haberlas verificado (en lote)? Tiene una opción de registro en lote pero aún no está en funcionamiento. ¿ Verifica que los asientos ingresados cierren debidamente? Verifica si los asientos tienen errores y da la opción de corregirlos. ¿ Verifica que todos los datos ingresados para la registración sean válidos? En general avisa cuando el asiento tiene errores. ¿ Permite ingresar tipos de datos diferentes a los definidos para un determinado campo? No. ¿ Es posible borrar un asiento luego de ingresado? Es posible borrarlo siempre que no esté trabado, pero como todos los usuarios pueden trabar asientos cualquiera puede destrabarlos y por lo tanto borrarlos. ¿ Se pueden borrar los datos de las empresas u otras tablas sin que se requiera autorización especial para hacerlo? Cualquier usuario puede borrar los datos de una empresa y este procedimiento es irreversible. ¿ Es posible borrar cuentas luego de definido el Plan de Cuentas de una empresa? ¿Qué sucede si tiene registros? Se puede borrar cualquier cuenta del Plan de Cuentas, aunque tenga registros. ¿Existe un procedimiento a seguir por el usuario, pre-establecido en el sistema, en caso de existir la necesidad de modificar un asiento? No. ¿El sistema "cierra" los períodos contables y no permite modificaciones en los períodos cerrados excepto cuando se ajustan los asientos contables en el mes actual, o se mantiene "abierto" para cualquier modificación? Permite trabar los asientos de un ejercicio cerrado, pero al destrabarlos es posible su modificación. Controles del sistema ¿El sistema registra pistas de auditoría? No. Respaldo y recuperación de datos ¿El sistema prevé algún mecanismo de respaldo automático sin que sea necesario que el usuario lo ordene? En la ayuda del sistema se especifica claramente que el usuario debe ser quién debe dar la orden de guardar los datos. ¿ Permite crear una copia de seguridad? Permite respaldar los datos en un disquete. ¿ Si el disco duro del equipo se dañara, es posible recuperar los datos (o la copia de seguridad)? Sólo es posible recuperar los datos hasta aquellos que el usuario guardó en otro disco duro o en otros dispositivos de almacenamiento.

164

ANEXO 2 ANEXOS 2 - B MEMORY - Contabilidad Central A continuación presentamos una serie de interrogantes que permitirán evaluar los aspectos descriptos en el comienzo de nuestro Trabajo de Campo. ASPECTOS GENERALES Capacidad General ¿Cuenta con la capacidad suficiente para múltiples usuarios, incluyendo acceso simultáneo? No. Es un sistema monousuario. ¿Se puede adaptar para cubrir necesidades futuras de la empresa, es decir, permite añadir otros módulos con el transcurso del tiempo? Es un sistema adaptable a diferentes empresas y además posee vinculación directa con otros módulos de Memory Computación como por ejemplo Fígaro (módulo de facturación). ¿Es adaptable a los escenarios locales (por ejemplo, formatos de fecha / moneda) programado para varios tipos de monedas?

y está

Es posible definir diferentes monedas y sus cotizaciones y al momento de emitir un informe el sistema pregunta en qué moneda se desea emitir el mismo. ¿ Permite copiar datos entre empresas? Existen determinadas tablas de datos, como por ejemplo cotizaciones y Plan de Cuentas, que pueden ser copiadas a todas las empresas. Identificación de cuentas ¿Puede aceptar diferentes estructuras de codificación de cuentas? Sí, el Plan de Cuentas es parametrizable, pero el sistema tiene prenumerados los diferentes capítulos. ¿Hasta que número de cuentas y de subclasificaciones de las cuentas se pueden ingresar? Permite ingresar cuentas hasta de 7 niveles. Integración con otros sistemas ¿Puede importar o exportar datos contables de otros programas? Permite la exportación de los informes a cualquier otro programa ya que utiliza un formato estándar. Asimismo permite exportar otros datos como ejemplo Plan de Cuentas y Comprobantes. ¿Puede vincularse con hojas de cálculo? Sí, genera informes para ser leídos por planillas electrónicas.

165

ANEXO 2 Rendición de informes ¿Se pueden ver los informes en pantalla? Sí, es posible verlos en pantalla, grabarlos en disco, o imprimirlos. ¿Los informes estandarizados son útiles? Sí, ya que brinda los informes básicos necesarios para el proceso de la información contable. ¿Se pueden adecuar los informes a la medida del usuario (por ejemplo, distintos niveles de análisis, divisiones, columnas, etc.) o bien ser programados por el mismo? Sólo permite la definición de cualquier fecha y/o moneda para los informes a emitir. Incidencia de las normas profesionales y legales ¿Permite efectuar la registración día por día y detallando las fechas correspondientes? Sí. ¿Permite el manejo de libros auxiliares? Es posible emitir diarios auxiliares de Cajas, Ventas y Compras. ¿Es flexible en cuanto a la elección del período de emisión de los informes? Sí. ¿Es capaz de facilitar la preparación de Estados Contables consolidados? Permite consolidar cualquier informe de distintas empresas siempre que las mismas tengan Planes de Cuenta compatibles. ¿Verifica la inexistencia de espacios en blanco innecesarios en la emisión de informes y tiene la capacidad de ordenar los asientos cronológicamente antes de la emisión de los mismos? El sistema ordena los datos cronológicamente y también exige la validación de todos los datos de los asientos antes de emitir los informes. Debido a esta exigencia los informes siempre se emitirán con una correcta exposición. ¿Los informes suministrados son susceptibles de reemplazar los Libros obligatorios cumpliendo con los requerimientos exigidos por los organismos de control para autorizar tal sustitución? En cuanto al Libro Diario, el sistema es capaz de ordenar los asientos cronológicamente y además exige validar todos los datos de los asientos antes de emitir el mismo, por lo cual podemos decir que cumple con los requisitos establecidos. Respecto al Libro Inventarios, al tener un Plan de Cuentas totalmente flexible, permite un nivel de detalle adecuado para ser posible la composición del mismo por Estados de Situación con el detalle correspondiente. ¿Es posible cumplir con el Decreto 103/91 en cuanto a la estructura de los Estados Contables, para prever todos sus componentes al momento de diseñar los informes a emitir? No es posible cumplir con las exigencias de este decreto ya que no prevé la emisión de todos sus componentes (por ejemplo los Anexos obligatorios y las Notas).

166

ANEXO 2 SEGURIDAD DEL SISTEMA Acceso a datos

¿Cuenta el sistema con protección de acceso al sistema general a través del uso de contraseñas? Sí. Al intentar ingresar al sistema se requiere un usuario y contraseña. ¿Hay restricciones al uso de contraseñas para funciones específicas del sistema, es decir, existen diferentes perfiles de usuarios? Cada usuario tiene una ficha en el sistema en el cual se indica su nombre, la clave de acceso y controla a que puntos del programa puede el usuario ingresar y a cuáles no (que incluye todos los puntos del menú) y la antigüedad de la información a ingresar y/o modificar. Únicamente el usuario principal tiene la posibilidad de definir y modificar los perfiles de cada usuario. ¿Los perfiles de usuarios previstos son adecuados? Sí, debido a que es posible determinar para cada punto del menú si es posible el acceso o no. ¿Es posible definir diferentes modalidades de acceso? ¿Cuáles? No. ¿Se puede definir o está previsto en el sistema un período máximo en el cual caduquen las contraseñas? No. ¿Se encuentran encriptados los datos del sistema? No. ¿Cuáles son las bases de datos utilizadas y donde están ubicadas? No utiliza archivos de bases de datos sino que utiliza archivos.dat y se encuentran en la carpeta del sistema. ¿Es posible acceder a los datos del sistema utilizando otra aplicación provistas por terceros y/o utilitarios incluidos en el Sistema Operativo? Sí, se puede acceder a los datos por fuera del sistema sin requerir autorización especial, con aplicaciones que utilicen formatos de datos compatibles. Metodologías del Sistema ¿Se pueden registrar los asientos contables directamente en los libros de cuentas? Sí. ¿Se pueden registrar temporalmente en otro lugar y posteriormente se registran en grupos después de haberlas verificado (en lote)? No. ¿ Verifica que los asientos ingresados cierren debidamente? Sí. ¿ Verifica que todos los datos ingresados para la registración sean válidos? Posee un mecanismo de validación de asientos y de Plan de Cuentas.

167

ANEXO 2

¿Permite ingresar tipos de datos diferentes a los definidos para un determinado campo? No. ¿ Es posible borrar un asiento luego de ingresado? Sí, siempre que se tenga la autorización correspondiente. ¿ Se pueden borrar los datos de las empresas u otras tablas sin que se requiera autorización especial para hacerlo? No. Es requerida la autorización correspondiente. ¿ Es posible borrar cuentas luego de definido el Plan de Cuentas de una empresa? ¿Qué sucede si tiene registros? Sí. Cuando se elimina una cuenta que tenía registros el sistema no permite la emisión de los informes ni el ingreso a los asientos relacionados con esa cuenta. ¿El sistema "cierra" los períodos contables y no permite modificaciones en los períodos cerrados excepto cuando se ajustan los asientos contables en el mes actual, o se mantiene "abierto" para cualquier modificación? Es posible trabar / destrabar los períodos que se deseen. Controles del sistema ¿El sistema registra pistas de auditoría? Sí. ¿Qué información es posible obtener de estas pistas de auditoría, es suficiente? Mantiene una historia de la utilización del programa indicando quién trabajó, en que empresa, que día y en que horario. ¿El sistema prevé algún tipo de restricción al acceso a dichas pistas? Es necesario tener la autorización para acceder a este punto del menú. Respaldo y recuperación de datos ¿El sistema prevé algún mecanismo de respaldo automático sin que sea necesario que el usuario lo ordene? No. ¿ Permite crear una copia de seguridad? Sí, el sistema permite realizar respaldos en disquetes indicando la cantidad de estos que será necesaria. ¿ Si el disco duro del equipo se dañara, es posible recuperar los datos (o la copia de seguridad)? No da la opción de recuperar los datos desde el propio sistema, sino que lo deja en manos del Sistema Operativo.

168

ANEXO 2 ANEXO 2 - C WINCONT A continuación presentamos una serie de interrogantes que permitirán evaluar los aspectos descriptos en el comienzo de nuestro Trabajo de Campo. ASPECTOS GENERALES Capacidad General ¿Cuenta con la capacidad suficiente para múltiples usuarios, incluyendo acceso simultáneo? Sí. ¿Se puede adaptar para cubrir necesidades futuras de la empresa, es decir, permite añadir otros módulos con el transcurso del tiempo? Memory WINCONT brinda la posibilidad de recibir información automáticamente de otras aplicaciones generadas por Memory (Fígaro, Administración de Personal, entre otros). ¿Es adaptable a los escenarios locales (por ejemplo, formatos de fecha / moneda) y está programado para varios tipos de monedas? Sí, es posible definir las distintas monedas en que necesite trabajar la empresa ¿ Permite copiar datos entre empresas? Se puede copiar datos de un mes a otro copiándolos y pegándolos del portapapeles. Al crear una empresa, se debe seleccionar una empresa de la que se usará o se copiará su plan de cuentas y otra de la que se usará o copiará sus cotizaciones. Estas empresas pueden ser eventualmente la misma o ninguna para usar su propio Plan de cuentas o cotizaciones. ¿El sistema es parametrizable (permite ingresar por ejemplo varias tasas de IVA)? Sí, permite definir varios impuestos y sus tasas, diferentes monedas y sus cotizaciones, etc. Identificación de cuentas ¿Puede aceptar diferentes estructuras de codificación de cuentas? Sí, permite definir el Plan de Cuentas que mejor se adapte a la empresa. ¿Hasta que número de cuentas y de subclasificaciones de las cuentas se pueden ingresar? Su diseño permite agrupar las cuentas por capítulos, subcapítulos y cuentas imputables, pudiendo manejarse hasta 10 niveles de detalle. Integración con otros sistemas ¿Puede importar o exportar datos contables de otros programas? Como mencionamos, brinda la posibilidad de recibir información automáticamente de otras aplicaciones generadas por Memory u otras aplicaciones de terceros. Además se pueden importar y exportar datos de otras versiones de Memory. También es posible exportar cualquier tabla o informe generado por el sistema a una base de datos, planilla electrónica o procesador de textos.

169

ANEXO 2 Emisión de informes ¿Se pueden ver los informes en pantalla? Todos los informes pueden verse en una 'vista previa' en pantalla tal como saldrían impresos. ¿Los informes estandarizados son útiles? Podemos considerarlos útiles ya que permite emitir los informes contables tradicionales así como otros informes que pueden ser de utilidad para la empresa. ¿Se pueden adecuar los informes a la medida del usuario (por ejemplo, cambiarlas divisiones, columnas, etc.) o bien ser programados por el mismo? Mediante la herramienta Plus! el usuario puede diseñar sus propios Estados Contables así como acceder a otros informes adicionales. Incidencia de las normas profesionales y legales ¿Permite efectuar la registración día por día y detallando las fechas correspondientes? Sí. ¿Permite el manejo de libros auxiliares? Sí, tiene predefinidos los libros auxiliares de Compras, Ventas, Ingresos y Egresos permitiendo agregar otros de acuerdo a las necesidades del usuario. ¿Es flexible en cuanto a la elección del período de emisión de los informes? Los informes pueden solicitarse para un determinado período, pudiendo emitirlo desde cualquier día de un mes y no importando que abarque más de un ejercicio. ¿Es capaz de facilitar la preparación de Estados Contables consolidados? Posee el proceso de consolidar empresas que permite agrupar todos los asientos de un período de las empresas que indique el usuario en la empresa que se está utilizando actualmente. Pueden consolidarse más de dos empresas en la misma operación. Es necesario que las mismas tengan Planes de cuentas, monedas, impuestos y libros compatibles entre sí, debido a que en caso contrario la información consolidada de los asientos no reflejará correctamente la información de cada una de las empresas consolidadas. ¿Verifica la inexistencia de espacios en blanco innecesarios en la emisión de informes y tiene la capacidad de ordenar los asientos cronológicamente antes de la emisión de los mismos? El sistema ordena los datos cronológicamente y también exige la validación de todos los datos de los asientos antes de emitir los informes. Debido a esta exigencia los informes siempre se emitirán con una correcta exposición. ¿Los informes suministrados son susceptibles de reemplazar los Libros obligatorios cumpliendo con los requerimientos exigidos por los organismos de control para autorizar tal sustitución? En cuanto al Libro Diario, el sistema es capaz de ordenar los asientos cronológicamente y además exige validar todos los datos de los asientos antes de emitir el mismo, por lo cual podemos decir que cumple con los requisitos establecidos, permitiendo incluso hasta foliar las páginas de los informes. Respecto al Libro Inventarios, al tener un Plan de Cuentas totalmente flexible, permite un nivel de detalle adecuado para ser posible la composición del mismo por Estados de Situación con el detalle correspondiente.

170

ANEXO 2 ¿Es posible cumplir con el Decreto 103/91 en cuanto a la estructura de los Estados Contables, para prever todos sus componentes al momento de diseñar los informes a emitir? Memory WINCONT sólo posibilita la emisión de los Estados Contables básicos, no permitiendo emitir los anexos obligatorios y las notas, con lo cual no es posible emitir los Estados Contables con todos sus componentes mediante este sistema. SEGURIDAD DEL SISTEMA Acceso a datos ¿Cuenta el sistema con protección de acceso al sistema general a través del uso de contraseñas? Se pueden definir distintos usuarios y sus contraseñas. Existen dos usuarios predefinidos: SUPERVISOR, con acceso a todas las operaciones y OPERADOR, con acceso a las operaciones más comunes, siendo el primero el que creará los nuevos usuarios. ¿Hay restricciones al uso de contraseñas para funciones específicas del sistema, es decir, existen diferentes perfiles de usuarios? Es posible asignarle a cada usuario distintos permisos y restricciones, de modo que cada usuario puede ingresar al sistema y acceder únicamente a las operaciones que tiene permitidas. ¿Los perfiles de usuarios previstos son adecuados? Considerando que permite optar entre diferentes puntos del menú del sistema para autorizar el manejo o no de ellos por los usuarios que se creen, podemos decir que los perfiles serán adecuados ya que se pueden adaptar a las necesidades de las diferentes empresas. ¿Es posible definir diferentes modalidades de acceso? ¿Cuáles? Si es un comando de edición de tabla, es posible indicar si ese usuario puede acceder para modificarla o sólo para consultarla. ¿Se puede definir o está previsto en el sistema un período máximo en el cual caduquen las contraseñas? Las contraseñas no tienen fecha de expiración. ¿Se encuentran encriptados los datos del sistema? Prevé la posibilidad de encriptar los archivos donde se guardan los datos de la empresa de modo de que no sean accesibles para quiénes no conozcan las claves adecuadas. ¿Cuáles son las bases de datos utilizadas, donde están ubicadas, cuáles son las reglas de acceso y de modificación de las mismas? El sistema no utiliza archivos de base de datos sino archivos.dat, los cuales están ubicados dentro de subcarpetas. Cada subcarpeta corresponde a cada una de las empresas definidas a administrarse con el sistema. ¿Es posible acceder a los datos del sistema utilizando otra aplicación provistas por terceros y/o utilitarios incluidos en el Sistema Operativo? Es posible acceder a las tablas de datos con aplicaciones y/o utilitarios con formato de datos compatible, pero si el usuario encriptada la información, aunque se acceda a ella ésta será ilegible.

171

ANEXO 2 Metodologías del Sistema ¿Se pueden registrar los asientos contables directamente en las tablas de datos? Sí. ¿Se pueden registrar temporalmente en otro lugar y posteriormente se registran en grupos después de haberlas verificado (en lote)? Sí, es posible definir lotes de asientos los cuales serán ingresados luego de validados. ¿ Verifica que los asientos ingresados cierren debidamente? Sí. Al cerrar asientos que no balancean avisa de tal error y da la opción de corregirlo. ¿ Verifica que todos los datos ingresados para la registración sean válidos? Además de verificar lo anterior, valida todos los datos ingresados listando en caso de corresponder, los diferentes errores o avisos encontrados dando la opción de corregir los mismos. Cabe destacar que si existen asientos con errores o avisos no permite emitir los informes. ¿ Permite ingresar tipos de datos diferentes a los definidos para un determinado campo? No. ¿ Es posible borrar un asiento luego de ingresado? Sí, siempre que se cuente con la autorización correspondiente. ¿ Se pueden borrar los datos de las empresas u otras tablas sin que se requiera autorización especial para hacerlo? No, se requiere la autorización correspondiente ¿ Es posible borrar cuentas luego de definido el Plan de Cuentas de una empresa? ¿Qué sucede si tiene registros? Sí. Cuando la cuenta tiene registros y ha sido borrada, no es posible acceder a los asientos ni emitir los informes relacionados con los mismos. ¿Existe un procedimiento a seguir por el usuario, pre-establecido en el sistema, en caso de existir la necesidad de modificar un asiento? En primer lugar la carpeta de la empresa de la cual se quiera modificar el asiento no debe estar trabada, de lo contrario se debe tener la autorización para destrabarla y el único que conoce la clave para trabar / destrabar es el usuario SUPERVISOR. En segundo lugar, aunque el asiento no esté trabado, el usuario debe poseer autorización para acceder y modificar. ¿Cuenta con una integridad referencial (es decir, si se modifica o elimina un asiento contable, esto afecta a todos los demás asientos e informes contables relacionados con el mismo)? Al cambiar un dato está la opción de recalcular la información en caso de ya tener el informe emitido en pantalla. Luego de modificado un asiento los nuevos informes emitidos ya tendrán incluida dicha modificación. ¿El sistema "cierra" los períodos contables y no permite modificaciones en los períodos cerrados excepto cuando se ajustan los asientos contables en el mes actual, o se mantiene "abierto" para cualquier modificación? Permite trabar las carpetas de asientos de una empresa para los períodos deseados y es necesario destrabarlos para su modificación (sólo puede hacerlo el usuario SUPERVISOR).

172

ANEXO 2 Controles del sistema ¿El sistema registra pistas de auditoría? Sí. ¿Qué información es posible obtener de estas pistas de auditoría, es suficiente? Cada vez que un usuario ingresa al sistema, abre o cierra una empresa, este registra la operación realizada junto con la fecha y la hora en que se realizó. Dicha información podrá conocerse mediante la emisión del informe de auditoría predefinido por el sistema. ¿ El sistema prevé algún tipo de restricción al acceso a dichas pistas? Sí, desde el momento en que se puede permitir el acceso o no a los diferentes usuarios. Respaldo y recuperación de datos ¿El sistema prevé algún mecanismo de respaldo automático sin que sea necesario que el usuario lo ordene? No. ¿ Permite crear una copia de seguridad? Sí, permite respaldar todos los datos de una empresa. ¿ Si el disco duro del equipo se dañara, es posible recuperar los datos (o la copia de seguridad)? Existe el comando RECUPERAR, el que recuperará la información desde las copias de seguridad rescribiendo sobre todos los datos que puedan existir al momento de recuperar los datos de la empresa.

173

ANEXO 2 ANEXO 2 - D CONTY A continuación presentamos una serie de interrogantes que permitirán evaluar los aspectos descriptos en el comienzo de nuestro Trabajo de Campo. ASPECTOS GENERALES Capacidad General ¿Cuenta con la capacidad suficiente para múltiples usuarios, incluyendo acceso simultáneo? Sí. ¿Se puede adaptar para cubrir necesidades futuras de la empresa, es decir, permite añadir otros módulos con el transcurso del tiempo? Memory Conty brinda la posibilidad de recibir información automáticamente de otras aplicaciones generadas por Memory (Fígaro, Worky y Megasus) u otras aplicaciones de terceros. ¿Es adaptable a los escenarios locales (por ejemplo, formatos de fecha / moneda) y está programado para varios tipos de monedas? Sí, es posible definir las distintas monedas en que necesite trabajar la empresa permitiendo trabajar, además de en una moneda nacional, con hasta 99 monedas extranjeras. ¿ Permite copiar datos entre empresas? Al crear una empresa, se debe seleccionar una empresa de la que se usará o se copiará su plan de cuentas y otra de la que se usará o copiará sus cotizaciones. Estas empresas pueden ser eventualmente la misma o ninguna para usar su propio Plan de cuentas o cotizaciones. ¿El sistema es parametrizable (permite ingresar por ejemplo varias tasas de IVA)? Tiene una alta parametrización, donde cada una de las empresas posee una serie de atributos sobre su configuración buscando que los datos a administrar para cada empresa reflejen con mayor exactitud la realidad. Identificación de cuentas ¿Puede aceptar diferentes estructuras de codificación de cuentas? Sí, permite definir la estructura contable que requiera la empresa en forma jerárquica para representar su situación y resultados contables. ¿Hasta que número de cuentas y de subclasificaciones de las cuentas se pueden ingresar? Su diseño permite agrupar las cuentas por capítulos, subcapítulos y cuentas imputables, pudiendo manejarse hasta diez niveles de detalle. Integración con otros sistemas ¿Puede importar o exportar datos contables de otros programas? Brinda la posibilidad de recibir información automáticamente de otras aplicaciones generadas por Memory u otras aplicaciones de terceros. Además se pueden importar y exportar datos de las

174

ANEXO 2 versiones anteriores de Memory, DOS y Wincont, donde para el caso de la exportación desde Conty el mismo realiza un control previo para la identificación de incompatibilidades existentes. También es posible exportar cualquier tabla o informe generado por el sistema a una base de datos, planilla electrónica o procesador de textos. Tiene conexión total con Microsoft Office XP. Emisión de informes ¿Se pueden ver los informes en pantalla? Todos los informes permiten emitirse en pantalla, ser impresos directamente en la impresora, obtener una vista previa de la impresión, ser exportados a archivos de texto, planillas electrónicas y bases de datos. ¿Los informes estandarizados son útiles? Podemos decir que son útiles ya que permite emitir todos los informes contables tradicionales así como también informes de gestión y análisis de la empresa. ¿Se pueden adecuar los informes a la medida del usuario (por ejemplo, cambiarlas divisiones, columnas, etc.) o bien ser programados por el mismo? Mediante la herramienta Conty Plus! el usuario puede diseñar sus propios Estados Contables así como acceder a otros informes adicionales. Incidencia de las normas profesionales y legales ¿Permite efectuar la registración día por día y detallando las fechas correspondientes? Sí. ¿Permite el manejo de libros auxiliares? Sí, tiene predefinidos los libros auxiliares de Compras, Ventas, Ingresos y Egresos permitiendo agregar otros de acuerdo a las necesidades del usuario. ¿Es flexible en cuanto a la elección del período de emisión de los informes? Los informes pueden solicitarse para un determinado período, pudiendo emitirlo desde cualquier día de un mes y no importando que abarque más de un ejercicio. ¿Es capaz de facilitar la preparación de Estados Contables consolidados? Posee el proceso de consolidar empresas que permite agrupar todos los asientos de un período de las empresas que indique el usuario en la empresa que se está utilizando actualmente. Es necesario que estas empresas tengan Planes de cuentas, monedas, impuestos y libros compatibles entre sí, debido a que en caso contrario la información consolidada de los asientos no reflejará correctamente la información de cada una de las empresas consolidadas. ¿Verifica la inexistencia de espacios en blanco innecesarios en la emisión de informes y tiene la capacidad de ordenar los asientos cronológicamente antes de la emisión de los mismos? El sistema ordena los datos cronológicamente y también exige la validación de todos los datos de los asientos antes de emitir los informes. Debido a esta exigencia los informes siempre se emitirán con una correcta exposición. ¿Los informes suministrados son susceptibles de reemplazar los Libros obligatorios cumpliendo con los requerimientos exigidos por los organismos de control para autorizar tal sustitución?

175

ANEXO 2 En cuanto al Libro Diario, el sistema es capaz de ordenar los asientos cronológicamente y además exige validar todos los datos de los asientos antes de emitir el mismo, por lo cual podemos decir que cumple con los requisitos establecidos, permitiendo incluso hasta foliar las páginas de los informes. Respecto al Libro Inventarios, al tener un Plan de Cuentas totalmente flexible, permite un nivel de detalle adecuado para ser posible la composición del mismo por Estados de Situación con el detalle correspondiente ¿Es posible cumplir con el Decreto 103/91 en cuanto a la estructura de los Estados Contables, para prever todos sus componentes al momento de diseñar los informes a emitir? Memory Conty posibilita la emisión tanto de los Estados Contables básicos, como de los anexos obligatorios y las notas, permitiendo configurar los mismos de modo que respeten los lineamientos establecidos por este decreto. SEGURIDAD DEL SISTEMA Acceso a datos ¿Cuenta el sistema con protección de acceso al sistema general a través del uso de contraseñas? Sí. Tiene preestablecidos dos usuarios, OPERADOR y SUPERVISOR, siendo este último el que creará los nuevos usuarios. ¿Hay restricciones al uso de contraseñas para funciones específicas del sistema, es decir, existen diferentes perfiles de usuarios? Es necesario definir cada uno de los usuarios a los que se le permitirá trabajar en el sistema y cuáles son los permisos que se le conceden a los mismos para poder restringir el acceso a usuarios no autorizados ¿Los perfiles de usuarios previstos son adecuados? Considerando que permite optar entre diferentes comandos del menú del sistema para autorizar el manejo o no de ellos por los usuarios que se creen, así como limitar las tareas específicas a realizar en el ingreso de los asientos, los libros en los cuáles puede operar y los períodos en los que pueden trabajar los diferentes usuarios, podemos decir que los perfiles serán adecuados ya que se pueden adaptar a las necesidades de las diferentes empresas. ¿Es posible definir diferentes modalidades de acceso? ¿Cuáles? Sí. Permite definir dos modalidades de acceso diferentes para todos los puntos del menú que se autoricen al usuario: -

Permite acceder Permite acceder sin modificación

¿Se puede definir o está previsto en el sistema un período máximo en el cual caduquen las contraseñas? Las contraseñas no tienen fecha de expiración. ¿Se encuentran encriptados los datos del sistema? Todos los archivos de la contabilidad de las empresas se guardan encriptados, y además prevé la posibilidad de encriptar los archivos con una clave del usuario.

176

ANEXO 2

¿Cómo puede accederse a las claves de encriptación y quienes pueden hacerlo? Cuando el usuario realiza la encriptación definiendo una clave será sólo él quién la conozca, incluso si la misma es olvidada no hay modo de recuperar los datos de la empresa ni siquiera con asistencia por parte de Memory Computación. ¿Cuáles son las bases de datos utilizadas, donde están ubicadas, cuáles son las reglas de acceso y de modificación de las mismas? CONTY está desarrollado en Delphi V y no utiliza archivos de base de datos sino archivos.dat, los cuales están ubicados dentro de subcarpetas. Cada subcarpeta corresponde a cada una de las empresas definidas a administrarse con el sistema. ¿Es posible acceder a los datos del sistema utilizando otra aplicación provistas por terceros y/o utilitarios incluidos en el Sistema Operativo? Si bien es posible acceder a las tablas de datos con aplicaciones y/o utilitarios con formato de datos compatible, como CONTY encripta la información por defecto, ésta resulta ilegible. Metodologías del Sistema ¿Se pueden registrar los asientos contables directamente en las tablas de datos? Sí. ¿Se pueden registrar temporalmente en otro lugar y posteriormente se registran en grupos después de haberlas verificado (en lote)? Sí, es posible definir lotes de asientos de manera que un operador sólo tenga acceso a la información ingresada por él. ¿ Verifica que los asientos ingresados cierren debidamente? Sí. Al cerrar asientos que no balancean avisa de tal error y da la opción de corregirlo. ¿ Verifica que todos los datos ingresados para la registración sean válidos? Además de verificar lo anterior, valida todos los datos ingresados listando en caso de corresponder, los diferentes errores o avisos encontrados dando la opción de corregirlos. Cabe destacar que si existen asientos con errores o avisos no permite emitir los informes. ¿ Permite ingresar tipos de datos diferentes a los definidos para un determinado campo? No. ¿ Es posible borrar un asiento luego de ingresado? Sí, siempre que se cuente con la autorización correspondiente. ¿ Se pueden borrar los datos de las empresas u otras tablas sin que se requiera autorización especial para hacerlo? No, se requiere la autorización correspondiente ¿Es posible borrar cuentas luego de definido el Plan de Cuentas de una empresa? ¿Qué sucede si tiene registros? Sí, es posible borrar las cuentas aunque tengan registros, pero surgen inconvenientes al momento de emitir informes con asientos relacionados a una cuenta eliminada, ya que el sistema no lo permite debido a que realiza la validación de los datos.

177

ANEXO 2

¿Existe un procedimiento a seguir por el usuario, pre-establecido en el sistema, en caso de existir la necesidad de modificar un asiento? En primer lugar la carpeta de la empresa de la cual se quiera modificar el asiento no debe estar trabada, de lo contrario se debe tener la autorización para destrabarla y el único que conoce la clave para trabar / destrabar es el usuario SUPERVISOR. En segundo lugar, aunque el asiento no esté trabado, el usuario debe poseer autorización para acceder y modificar. ¿Cuenta con una integridad referencial (es decir, si se modifica o elimina un asiento contable, esto afecta a todos los demás asientos e informes contables relacionados con el mismo)? Al cambiar un dato está la opción de actualizar la información en caso de ya tener el informe emitido en pantalla. Luego de modificado un asiento los nuevos informes emitidos ya tendrán incluida dicha modificación. ¿El sistema "cierra" los períodos contables y no permite modificaciones en los períodos cerrados excepto cuando se ajustan los asientos contables en el mes actual, o se mantiene "abierto" para cualquier modificación? Permite trabar las carpetas de asientos de una empresa para los períodos deseados y es necesario destrabarlos para su modificación (sólo puede hacerlo el usuario SUPERVISOR). Controles del sistema ¿El sistema registra pistas de auditoría? Sí. ¿Qué información es posible obtener de estas pistas de auditoría, es suficiente? Cada vez que un usuario ingresa al sistema, abre o cierra una empresa, este registra la operación realizada junto con la fecha y la hora en que se realizó. Dicha información podrá conocerse mediante la emisión del informe de auditoría predefinido por el sistema. ¿ El sistema prevé algún tipo de restricción al acceso a dichas pistas? Sí, desde el momento en que se puede permitir el acceso o no a los diferentes usuarios. Respaldo y recuperación de datos ¿El sistema prevé algún mecanismo de respaldo automático sin que sea necesario que el usuario lo ordene? No. ¿ Permite crear una copia de seguridad? Sí, permite respaldar todos los datos de una empresa. ¿ Si el disco duro del equipo se dañara, es posible recuperar los datos (o la copia de seguridad)? Existe el comando RECUPERAR, el que recuperará la información desde las copias de seguridad rescribiendo sobre todos los datos que puedan existir al momento de recuperar los datos de la empresa.

178

ANEXO 2 ANEXO 2 – E ALEXIS A continuación presentamos una serie de interrogantes que permitirán evaluar los aspectos descriptos en el comienzo de nuestro Trabajo de Campo. ASPECTOS GENERALES Capacidad General ¿Cuenta con la capacidad suficiente para múltiples usuarios, incluyendo acceso simultáneo? Sí.

¿Se puede adaptar para cubrir necesidades futuras de la empresa, es decir, permite añadir otros módulos con el transcurso del tiempo? Permite la vinculación directa con otros productos de gestión de recursos humanos y de procesamiento de la comercialización de productos y/o servicios, creados por el mismo proveedor, recibiendo la información automáticamente. ¿Es adaptable a los escenarios locales (por ejemplo, formatos de fecha / moneda) programado para varios tipos de monedas?

y está

Es posible definir varios tipos de monedas a utilizar así como las cotizaciones correspondientes. . ¿ Permite copiar datos entre empresas? Permite crear empresas como copia de otras ya existentes (con todos los datos). ¿ El sistema es parametrizable (permite ingresar por ejemplo varias tasas de IVA)? Sí, ya que permite definir diferentes tasa de IVA, distintas monedas y cotizaciones entre otros aspectos. Identificación de cuentas ¿Puede aceptar diferentes estructuras de codificación de cuentas? Para definir el plan de cuentas se suministra un plan de cuentas modelo que el usuario puede completar y adaptar a sus necesidades particulares. Al crear una empresa nueva, el usuario puede optar entre el plan de cuentas modelo, copiar el plan de cuentas de otra empresa o generarla con un plan de cuentas vacío. Sin embargo, tiene una codificación obligatoria para que el sistema pueda calcular correctamente los totales del balance: 1. Activo, 2. Pasivo, 3. Patrimonio, 4. Pérdidas, 5. Ganancias y 6. Orden. No es obligatorio tener cuentas de las 6 clases en el plan. ¿Hasta que número de cuentas y de subclasificaciones de las cuentas se pueden ingresar? La estructura puede tener hasta 9 niveles de hasta 6 cifras cada uno, con un tope de 15 cifras en total. Integración con otros sistemas ¿Puede importar o exportar datos contables de otros programas?

179

ANEXO 2 Permite importar y exportar datos de otros programas contables, estos programas son ALEXIS DOS y MEMORY. También se pueden exportar datos hacia otras aplicaciones como Word. ¿Puede vincularse con hojas de cálculo? Permite importar y exportar datos de planillas electrónicas como Excel, por ejemplo todos los informes pueden ser guardados en formatos apropiados para su posterior exportación a Excel. Rendición de informes ¿Se pueden ver los informes en pantalla? Los informes se visualizan con el mismo formato en el que se verán impresos. ¿Los informes estandarizados son útiles? En general contiene los informes básicos necesarios para analizar la situación económico-financiera de la empresa. ¿Se pueden adecuar los informes a la medida del usuario (por ejemplo, cambiar las fechas del informe, divisiones, columnas) o bien ser programados por el mismo? Existe una opción "Generador de estados contables" la cual permite adecuar el contenido de los mismos a las necesidades del usuario. Incidencia de las normas profesionales y legales ¿Permite efectuar la registración día por día y detallando las fechas correspondientes? Sí. ¿Permite el manejo de libros auxiliares? Sí, permite llevar libros auxiliares de Ventas, Compras y Cajas. ¿Es flexible en cuanto a la elección del período de emisión de los informes? Permite definir el período deseado por el usuario, sin ningún tipo de restricciones. ¿Verifica la inexistencia de espacios en blanco innecesarios en la emisión de informes y tiene la capacidad de ordenar los asientos cronológicamente antes de la emisión de los mismos? Considerando que el sistema no permite la confirmación de los lotes de asientos si no están validados todos sus datos, es imposible que el mismo emita informes con errores de exposición. En cuanto a ordenar cronológicamente, el sistema ordena todos los asientos, independientemente del orden en el cual hayan sido ingresados. ¿Los informes suministrados son susceptibles de reemplazar los Libros obligatorios cumpliendo con los requerimientos exigidos por los organismos de control para autorizar tal sustitución? En cuanto al Libro Diario, es posible cumplir con los requisitos de exposición debido a que ordena los asientos cronológicamente y valida los datos antes de confirmar los asientos, permitiendo remplazar el mismo por hojas móviles emitidas por el sistema. Respecto al Libro Inventarios, al tener un Plan de Cuentas totalmente flexible, permite un nivel de detalle adecuado para ser posible la composición del mismo por Estados de Situación con el detalle correspondiente ¿Es posible cumplir con el Decreto 103/91 en cuanto a la estructura de los Estados Contables, para prever todos sus componentes al momento de diseñar los informes a emitir?

180

ANEXO 2 No prevé la elaboración de todos los componentes de los Estados Contables, ya que no es posible emitir ninguno de los Anexos obligatorios. Tampoco tiene prevista la elaboración de las Notas a los Estados Contables en un formato estándar. ¿Incluye los anexos a los Estados Contables establecidos en el decreto 103/91 entre los informes diseñados para su posterior emisión? No, sólo prevé el Estado de Situación y de Resultados. ¿Tiene previsto la elaboración de notas a los Estados Contables, proporcionando un modelo estándar el cual sea adaptable a la realidad de cada empresa? No. SEGURIDAD DEL SISTEMA Acceso a datos ¿Cuenta el sistema con protección de acceso al sistema general a través del uso de contraseñas? Es posible la creación de usuarios con contraseña, definiendo el nombre de quién es titular del usuario. Sólo el usuario SUPERVISOR predefinido por el sistema puede crear usuarios. Al instalar el sistema este usuario tiene la clave en blanco (hay que ingresarle una clave). No existe forma de borrarla y volver a cargar la contraseña del SUPERVISOR en caso de olvidarla, se deberá recurrir al proveedor. ¿Es posible cambiar la contraseña luego de definida? Cada usuario puede cambiar únicamente su propia contraseña. No hay forma de visualizar las mismas. Si se olvida la contraseña, se deberá solicitar al Supervisor que borre al usuario y lo cree nuevamente, este lo creará con la contraseña en blanco y luego éste deberá cambiarla. ¿Hay restricciones al uso de contraseñas para funciones específicas del sistema, es decir, existen diferentes perfiles de usuarios? Los usuarios pueden ser definidos estableciendo determinadas tareas permitidas entre las siguientes: configuración, confirmación, desconfirmación. ¿Los perfiles de usuarios previstos son adecuados? De acuerdo a las tareas que se pueden definir como permitidas para el usuario, los perfiles de usuarios a definir son muy limitados. Sería necesario que se tuviera una gama más amplia de actividades para elegir como permitidas o no a los efectos de poder crear los perfiles adecuados para cada empresa ya que la mayor parte de las tareas pueden ser realizadas por todos los usuarios, como por ejemplo, el borrado de datos. ¿Se pueden agregar otros perfiles definidos por la propia empresa? Por lo especificado anteriormente, sólo se pueden definir los perfiles de acuerdo a esas tres tareas permitidas o no. ¿Se puede definir o está previsto en el sistema un período máximo en el cual caduquen las contraseñas? No. ¿Se encuentran encriptados los datos del sistema?

No.

¿Cuáles son las bases de datos utilizadas, donde están ubicadas?

181

ANEXO 2

El sistema utiliza bases de datos Microsoft ACCES y las mismas están ubicadas en la carpeta del programa. ¿Cuáles son las reglas de acceso y de modificación de las mismas? El acceso a estas bases de datos está protegido por el uso de contraseña, con lo cual no es posible acceder, y por lo tanto, modificar las mismas. ¿Es posible acceder a los datos del sistema utilizando otra aplicación provistas por terceros, con programas incluidos en el Sistema Operativo y/o utilitarios? No. Sólo sería posible acceder a los datos utilizando algún mecanismo que permita conocer la contraseña Metodologías del Sistema ¿Se pueden registrar los asientos contables directamente en las tablas de datos? No. ¿Se pueden registrar temporalmente en otro lugar y posteriormente se registran en grupos después de haberlas verificado (en lote)? Los asientos son ingresados en lotes, y sólo después de confirmados podrán verse en el Mayor o en un Diario. Los asientos deberán estar cerrados día a día para poder ser confirmados. ¿ Verifica que los asientos ingresados cierren debidamente y que todos los datos ingresados para la registración sean válidos? Todos los datos son controlados interactivamente y no se permitirá confirmarlos si los asientos no cierran. ¿ Permite ingresar tipos de datos diferentes a los definidos para un determinado campo? No. ¿ Es posible borrar un asiento luego de ingresado? Si, no se requiere ninguna autorización especial para hacerlo. ¿ Se pueden borrar los datos de las empresas u otras tablas sin que se requiera autorización especial para hacerlo? Si, no se requiere ninguna autorización especial para hacerlo. Una vez eliminada una empresa la única forma de recuperar la empresa es creándola nuevamente y restaurando una copia de respaldo hecha antes de la eliminación. ¿ Es posible borrar cuentas luego de definido el Plan de Cuentas de una empresa? ¿Qué sucede si tiene registros? Existe un mecanismo automático que prohíbe el borrado de cuentas con registros. ¿Existe un procedimiento a seguir por el usuario, pre-establecido en el sistema, en caso de existir la necesidad de modificar un asiento? En caso de que los asientos ya hayan sido confirmados, es necesario tener permitida la tarea de desconfirmación para poder hacerlo. Si los mismos aún no fueron confirmados se permite su modificación sin restricción alguna.

182

ANEXO 2 ¿El sistema "cierra" los períodos contables y no permite modificaciones en los períodos cerrados excepto cuando se ajustan los asientos contables en el mes actual, o se mantiene "abierto" para cualquier modificación? Los lotes de asientos son confirmados y para modificarlos se debe tener la clave para poder desconfirmar, pero con esta autorización es posible modificar asientos contabilizados en períodos anteriores. Controles del sistema ¿El sistema registra pistas de auditoría?

No.

Respaldo y recuperación de datos ¿El sistema prevé algún mecanismo de respaldo automático sin que sea necesario que el usuario lo ordene? No. ¿ Permite crear una copia de seguridad? Permite la copia de la empresa, con todos los datos de la misma, incluyendo las cotizaciones. Tiene dos opciones de copia, una primera que copia en el disco, y otra que pude ser en CD, disquete u otro disco de la red. En su forma estándar esta opción respalda los datos en formato comprimido usando el programa Pkzip y el archivo de comandos Copis.bat. En caso de que el usuario desee ejecutar una copia que use otro programa, deberá crear el archivo Copi.bat en la carpeta de instalación. ¿ Si el disco duro del equipo se dañara, es posible recuperar los datos (o la copia de seguridad)? Permite la recuperación de los datos desde la copia (o respaldo). Esta operación hace que se sustituyan los datos vigentes de la empresa en cuestión, por los que estaban grabados en el respaldo que se seleccione. Al restaurar los datos se pierden la totalidad de los datos vigentes en ese momento en el sistema. Por otra parte, el sistema tiene prevista una opción de "Reparar la base de datos" en el caso que la base de datos se dañara. Sin embargo, se especifica que esto no siempre es posible.

183

ANEXO 2 ANEXO 2 – F SIGMA – Edición profesional A continuación presentamos una serie de interrogantes que permitirán evaluar los aspectos descriptos en el comienzo de nuestro Trabajo de Campo. ASPECTOS GENERALES Capacidad General ¿Cuenta con la capacidad suficiente para múltiples usuarios, incluyendo acceso simultáneo? Sí, habilita el trabajo simultáneo de varios usuarios en red sobre la misma base de datos. Esto significa que varias personas podrán estar ingresando asientos, permitiendo informes o graficando, a la misma vez sobre la misma base de datos. ¿Se puede adaptar para cubrir necesidades futuras de la empresa, es decir, permite añadir otros módulos con el transcurso del tiempo? Además permite la integración con otros sistemas desarrollados por Zetasoftware, ABACO-edición profesional y ABACO-edición estándar, que generan asientos en forma automática y pueden ser exportados a Sigma-edición profesional para ser procesados. ¿Es adaptable a los escenarios locales (por ejemplo, formatos de fecha / moneda) y está programado para varios tipos de monedas? No hay límite de monedas a utilizar. Los comprobantes y asientos se podrán ingresar en su moneda origen y luego listar en cualquier otra moneda. Para ello el sistema almacena el tipo de cambio diario de cada una de las monedas extranjeras que el usuario defina. ¿ Permite copiar datos entre empresas? Sí, es posible copiar todos los archivos de una empresa a otra. Identificación de cuentas ¿Puede aceptar diferentes estructuras de codificación de cuentas? Sí, el Plan de Cuentas es totalmente parametrizable permitiendo definir los rubros necesarios para la registración, representados y ordenados jerárquicamente por un código. Integración con otros sistemas ¿Puede importar o exportar datos contables de otros programas? Permite exportar los asientos de su base de datos a otros sistemas como también permite importarlos desde archivos externos hacia la base de datos de Sigma-edición profesional. Cabe destacar que los registros importados se mostrarán en una planilla para su validación y posterior incorporación definitiva a la base de datos de la empresa. No se podrán importar los asientos hasta que éstos no sean validados. ¿Puede vincularse con hojas de cálculo? Sí. Permite la exportación de todos los informes emitidos por el sistema a Planillas Excel.

184

ANEXO 2 Rendición de informes ¿Se pueden ver los informes en pantalla? Se pueden ver en una ventana de vista previa donde el usuario podrá ver toda las páginas de los informes. Todos los listados que emite Sigma pueden ser vistos por pantalla, por impresora, o guardados en un archivo en el disco para lo que utiliza el programa GeneXus Report Viewer. ¿Los informes estandarizados son útiles? Sí, ya que brinda los informes necesarios para el proceso de la información contable. ¿Se pueden adecuar los informes a la medida del usuario (por ejemplo, distintos niveles de análisis, divisiones, columnas, etc.) o bien ser programados por el mismo? No. Sólo permite elegir la moneda y el período. Incidencia de las normas profesionales y legales ¿Permite efectuar la registración día por día y detallando las fechas correspondientes? Sí. ¿Permite el manejo de libros auxiliares? Habilita a definir tantos tipos Libros Auxiliares como se necesite: Ventas Crédito, Compras Crédito, Ingresos de Caja, Egresos de Caja, Débitos Bancarios, Créditos Bancarios, Devoluciones, etc. ¿Es flexible en cuanto a la elección del período de emisión de los informes? Sí. ¿Verifica la inexistencia de espacios en blanco innecesarios en la emisión de informes y tiene la capacidad de ordenar los asientos cronológicamente antes de la emisión de los mismos? El sistema ordena los datos cronológicamente y también exige la validación de todos los datos de los asientos antes de emitir los informes. Debido a esta exigencia los informes siempre se emitirán con una correcta exposición. ¿Es capaz de facilitar la preparación de Estados Contables consolidados Permite consolidar empresas, unificando los datos de dos empresas distintas en una tercera empresa. ¿Los informes suministrados son susceptibles de reemplazar los Libros obligatorios cumpliendo con los requerimientos exigidos por los organismos de control para autorizar tal sustitución? En cuanto al Libro Diario, el sistema es capaz de ordenar los asientos cronológicamente y además exige validar todos los datos de los asientos antes de emitir el mismo, por lo cual podemos decir que cumple con los requisitos establecidos. Respecto al Libro Inventarios, al tener un Plan de Cuentas totalmente flexible, permite un nivel de detalle adecuado para ser posible la composición del mismo por Estados de Situación con el detalle correspondiente. ¿Es posible cumplir con el Decreto 103/91 en cuanto a la estructura de los Estados Contables, para prever todos sus componentes al momento de diseñar los informes a emitir? No es posible cumplir con las exigencias de este decreto ya que no prevé la emisión de todos sus componentes (por ejemplo los Anexos obligatorios y las Notas).

185

ANEXO 2 SEGURIDAD DEL SISTEMA Acceso a datos ¿Cuenta el sistema con protección de acceso al sistema general a través del uso de contraseñas? Dispone de un sistema de contraseñas de acceso, cada usuario podrá tener su propia contraseña de identificación para acceder al sistema. Sin embargo, al realizar la configuración general del sistema por medio del ítem “Parámetros y preferencias” existe la opción de “No pedir contraseña al ingresar al sistema”. Si se marca esta opción no se solicitará contraseña y nombre de usuario al acceder al sistema, se asumirá que el usuario que ingresa es aquel con código 1 – Supervisor. ¿Hay restricciones al uso de contraseñas para funciones específicas del sistema, es decir, existen diferentes perfiles de usuarios? El usuario principal podrá restringir el uso de cada uno de los items del menú del sistema controlando de esa forma el acceso a información reservada. ¿Los perfiles de usuarios previstos son adecuados? Debido a que se puede optar entre cada uno de los items del sistema, se podrán crear los perfiles de usuarios que la empresa necesite para su operativa, lo cual hace que sean adecuados. ¿Es posible definir diferentes modalidades de acceso? ¿Cuáles? No. ¿Se puede definir o está previsto en el sistema un período máximo en el cual caduquen las contraseñas? No. ¿Se encuentran encriptados los datos del sistema? No, sí están encriptadas las claves de acceso al sistema. ¿Cuáles son las bases de datos utilizadas, donde están ubicadas, cuáles son las reglas de acceso y de modificación de las mismas? El sistema está 100% diseñado con GeneXus y generado para Microsoft Visual FoxPro. Cada empresa se almacena en su propio directorio, y cada ejercicio se almacena como subdirectorio de la carpeta de la empresa. ¿Es posible acceder a los datos del sistema utilizando otra aplicación provistas por terceros, utilitarios del Sistema Operativo, etc. (Acces, Excel, Visual Fox Pro, Notepad, etc.)? Es posible acceder a estas bases de datos desde fuera del sistema sin necesidad de autorización alguna, ya que el formato de datos de Visual Fox Pro es reconocido por muchos otros programas (además los datos no están encriptados). Metodologías del Sistema ¿Se pueden registrar los asientos contables directamente en las tablas de datos? Sí. ¿Se pueden registrar temporalmente en otro lugar y posteriormente se registran en grupos después de haberlas verificado (en lote)? No. Si bien brinda varias modalidades para el ingreso de los asientos, todas ellas se realizan directamente en las tablas de datos. ¿ Verifica que los asientos ingresados cierren debidamente? Si el asiento no balancea el sistema no permitirá emitir los informes.

186

ANEXO 2 ¿ Verifica que todos los datos ingresados para la registración sean válidos? Sí, posee un mecanismo de validación para todos los datos ingresados. ¿ Permite ingresar tipos de datos diferentes a los definidos para un determinado campo? No. ¿ Es posible borrar un asiento luego de ingresado? Sí, siempre que el usuario tenga la autorización correspondiente (siempre que se opte por el manejo de usuarios y contraseñas). ¿ Se pueden borrar los datos de las empresas u otras tablas sin que se requiera autorización especial para hacerlo? No. El usuario debe tener la autorización correspondiente (siempre que se opte por el manejo de usuarios y contraseñas). ¿ Es posible borrar cuentas luego de definido el Plan de Cuentas de una empresa? ¿Qué sucede si tiene registros? Sí, siempre que se tenga la autorización adecuada. Cuando la cuenta tiene asientos relacionados el sistema informa de tal situación no permitiendo su eliminación. ¿Existe un procedimiento a seguir por el usuario, pre-establecido en el sistema, en caso de existir la necesidad de modificar un asiento? El usuario debe tener la autorización correspondiente (siempre que se opte por el manejo de usuarios y contraseñas). ¿El sistema "cierra" los períodos contables y no permite modificaciones en los períodos cerrados excepto cuando se ajustan los asientos contables en el mes actual, o se mantiene "abierto" para cualquier modificación? Existe la opción de trabar modificaciones donde se marca una fecha que será usada para trabar la modificación o eliminación de aquellos asientos con fecha menor a la establecida en este dato. Controles del sistema ¿El sistema registra pistas de auditoría? Sí. ¿Qué información es posible obtener de estas pistas de auditoría, es suficiente? Los informes que se obtienen brindan la siguiente información: fecha del asiento, Nº del asiento, detalle, última modificación del registro (incluyendo la hora) para cada usuario. ¿ El sistema prevé algún tipo de restricción al acceso a dichas pistas? Podrá acceder a las mismas todo usuario que tenga la autorización correspondiente. Respaldo y recuperación de datos ¿El sistema prevé algún mecanismo de respaldo automático sin que sea necesario que el usuario lo realice? No. ¿ Permite crear una copia de seguridad? No, esto se debe manejar a nivel de Sistema Operativo y/o con otras aplicaciones. ¿ Si el disco duro del equipo se dañara, es posible recuperar los datos (o la copia de seguridad)?

Ídem anterior. 187

ANEXO 2 ANEXO 2 - G BRÚJULA A continuación presentamos una serie de interrogantes que permitirán evaluar los aspectos descriptos en el comienzo de nuestro Trabajo de Campo. ASPECTOS GENERALES Capacidad general ¿Cuenta con la capacidad suficiente para múltiples usuarios, incluyendo acceso simultáneo? Sí. ¿Se puede adaptar para cubrir necesidades futuras de la empresa, es decir, permite añadir otros módulos con el transcurso del tiempo? Sí. Brújula – Contabilidad forma parte de un sistema integrado de gestión comercial permitiendo integrarse con el resto de los módulos que integran el mismo. ¿Es adaptable a los escenarios locales (por ejemplo, formatos de fecha / moneda) programado para varios tipos de monedas?

y está

Permite la definición de los tipos de monedas que el usuario requiera para su trabajo, los informes son posibles de emitir en moneda local y en una segunda moneda. ¿ Permite copiar datos entre empresas? Existe la opción de copiar datos entre empresas, eligiendo cuáles datos se quiere copiar y cuáles no. ¿ El sistema es parametrizable (permite ingresar por ejemplo varias tasas de IVA)? Es posible ingresar los datos de los impuestos que el usuario requiera y con los distintos porcentajes. Identificación de cuentas ¿Puede aceptar diferentes estructuras de codificación de cuentas? El sistema tiene preestablecidos los tipos de cuentas (Activo, Pasivo, Patrimonio, Ganancia y Pérdida) pero es posible cambiar el código de ellos y crear el Plan de Cuentas a la medida del usuario. Asimismo se puede copiar un Plan de Cuentas existente y copiarlo a una nueva empresa. ¿Hasta que número de cuentas y de subclasificaciones de las cuentas se pueden ingresar? Permite ingresar cuentas de hasta 8 niveles, que totalizan 30 dígitos. Integración con otros sistemas ¿Puede importar o exportar datos contables de otros programas?

Sí, brinda la posibilidad de exportar la información a formato Excel y texto, así como también la generación de gráficas que pueden ser exportadas a documentos Word. Además permite la integración con otros módulos de BRUJULA.

188

ANEXO 2 Emisión de informes ¿Se pueden ver los informes en pantalla? Es posible ver el informe en pantalla, o bien cuando se manda a imprimir se ve tal y como saldrá impreso. Asimismo da la opción de emitir informes en Excel. ¿Los informes estandarizados son útiles? En general tiene predefinidos los informes que se utilizan usualmente. ¿Se pueden adecuar los informes a la medida del usuario (por ejemplo, cambiar las fechas del informe, divisiones, columnas) o bien ser programados por el mismo? Sólo es posible adaptar el informe al período requerido, el sistema no da la opción de crear informes a la medida del usuario. Incidencia de las normas profesionales y legales ¿Permite efectuar la registración día por día y detallando las fechas correspondientes?

Sí.

¿Permite el manejo de libros auxiliares? Sí. Es posible definir los libros auxiliares que el usuario requiera. ¿Es flexible en cuanto a la elección del período de emisión de los informes? Se puede elegir el período que el usuario desee. ¿Es capaz de facilitar la preparación de Estados Contables consolidados? No. ¿Verifica la inexistencia de espacios en blanco innecesarios en la emisión de informes y tiene la capacidad de ordenar los asientos cronológicamente antes de la emisión de los mismos? Debido a que el sistema no permite cerrar los asientos con errores en los datos ingresados y es capaz de ordenar los asientos cronológicamente, no emitirá los informes con errores de exposición. ¿Los informes suministrados son susceptibles de reemplazar los Libros obligatorios cumpliendo con los requerimientos exigidos por los organismos de control para autorizar tal sustitución? En cuanto al Libro Diario, al ser capaz de ordenar los asientos cronológicamente, y al validar los datos ingresados es posible la sustitución del mismo con las hojas móviles que emite el sistema. Respecto al Libro Inventarios, al tener un Plan de Cuentas totalmente flexible, permite un nivel de detalle adecuado para ser posible la composición del mismo por Estados de Situación con el detalle correspondiente. ¿Es posible cumplir con el Decreto 103/91 en cuanto a la estructura de los Estados Contables, para prever todos sus componentes al momento de diseñar los informes a emitir? No prevé la elaboración de todos los componentes de los Estados Contables, ya que no posee los Anexos obligatorios. Tampoco tiene prevista la elaboración de las Notas a los Estados Contables en un formato estándar.

189

ANEXO 2 SEGURIDAD DEL SISTEMA Acceso a datos ¿Cuenta el sistema con protección de acceso al sistema general a través del uso de contraseñas? Sí. Es necesario tener un usuario definido con una contraseña para ingresar al sistema. Al instalar el sistema existe el usuario predefinido BRUJULA que es el Administrador del sistema, al cual se le deberá cambiar la contraseña y será el que tenga la posibilidad de crear nuevos usuarios. ¿Hay restricciones al uso de contraseñas para funciones específicas del sistema, es decir, existen diferentes perfiles de usuarios? Sí. Al definir nuevos usuarios el sistema permite, mediante una lista de procesos del mismo (que incluye todas las actividades que realiza el sistema), elegir cuáles de ellos podrá hacer el usuario que se va a crear, de esta manera se podrán crear los perfiles de usuarios que la empresa crea adecuados. Además es posible crear grupos de usuarios así como usuarios individuales. ¿Se puede definir o está previsto en el sistema un período máximo en el cual caduquen las contraseñas? No. ¿Se encuentran encriptados los datos del sistema? No. ¿Cuáles son las bases de datos utilizadas? El sistema utiliza bases de datos Microsoft ACCES. ¿Dónde están ubicadas las bases de datos? Las mismas están ubicadas en la carpeta del programa. ¿Cuáles son las reglas de acceso y de modificación de las mismas? Es posible ingresar a las mismas con sólo dar doble clic sobre el ícono correspondiente en la carpeta del sistema, ya que no existe contraseña ni otra restricción para hacerlo. ¿Es posible acceder a los datos del sistema utilizando otra aplicación provistas por terceros, utilitarios del Sistema Operativo, etc. (Acces, Excel, Visual Fox Pro, Notepad, etc.)? Debido a lo anterior, es posible acceder a los datos del sistema mediante Microsoft ACCES u otros programas con formato de datos compatibles, sin necesidad de ingresar al mismo. Metodologías del Sistema ¿Se pueden registrar los asientos contables directamente en los libros de cuentas? Sí. ¿Se pueden registrar temporalmente en otro lugar y posteriormente se registran en grupos después de haberlas verificado (en lote)? No. ¿ Verifica que los asientos ingresados cierren debidamente? No se puede salir del ingreso de asientos hasta que el saldo (comparando debe y haber) sea cero, o sea el asiento cierre. ¿ Verifica que todos los datos ingresados para la registración sean válidos?

190

ANEXO 2 El sistema cuenta con un mecanismo de validación de datos. ¿ Permite ingresar tipos de datos diferentes a los definidos para un determinado campo? No es posible por ejemplo ingresar letras en los campos que necesariamente deben ser números. Verifica tipo, composición y longitud correcta de los datos ingresados en los campos correspondientes. ¿ Es posible borrar un asiento luego de ingresado? Es posible eliminar asientos siempre que el usuario tenga autorización para ejecutar esa opción. No es posible eliminar asientos de ejercicios que están cerrados. ¿ Se pueden borrar los datos de las empresas u otras tablas sin que se requiera autorización especial para hacerlo? Es necesario tener autorización para ejecutar ese proceso. ¿ Es posible borrar cuentas luego de definido el Plan de Cuentas de una empresa? ¿Qué sucede si tiene registros? Es posible eliminar una cuenta siempre que no se hallan registrado asientos o tenga subcuentas asociadas a ella. Además es necesario tener la autorización para hacerlo. ¿Cuál es el procedimiento a seguir por el usuario, en caso de existir la necesidad de modificar un asiento? Para poder modificar un asiento es necesario en primer lugar tener la autorización correspondiente. También puede suceder que el asiento esté bloqueado, para lo cual hay que desbloquearlo y para ello también se requiere autorización. Si el asiento pertenece a ejercicios cerrados no se puede modificar. ¿El sistema "cierra" los períodos contables y no permite modificaciones en los períodos cerrados excepto cuando se ajustan los asientos contables en el mes actual, o se mantiene "abierto" para cualquier modificación? Cierra los períodos contables, verificando que los anteriores están debidamente cerrados, y no es posible trabajar con los asientos luego de cerrado el ejercicio. Controles del sistema ¿El sistema registra pistas de auditoría? No. Respaldo y recuperación de datos ¿El sistema prevé algún mecanismo de respaldo automático sin que sea necesario que el usuario lo ordene? No. ¿ Permite crear una copia de seguridad? Sí

¿ Si el disco duro del equipo se dañara, es posible recuperar los datos (o la copia de seguridad)? Si bien permite crear una copia de seguridad, no tiene la opción de recuperar los datos desde el propio sistema lo que hace suponer que la recuperación de los datos debe hacerse a nivel de Sistema Operativo o con otra aplicación.

191

ANEXO 2 ANEXO 2 - H RESULT A continuación presentamos una serie de interrogantes que permitirán evaluar los aspectos descriptos en el comienzo de nuestro Trabajo de Campo. ASPECTOS GENERALES Capacidad General ¿Cuenta con la capacidad suficiente para múltiples usuarios, incluyendo acceso simultáneo? Sí. ¿Se puede adaptar para cubrir necesidades futuras de la empresa, es decir, permite añadir otros módulos con el transcurso del tiempo? El sistema tiene total integración con otros módulos pertenecientes a BRICKS, el sistema integrado de gestión de la empresa. ¿Es adaptable a los escenarios locales (por ejemplo, formatos de fecha / moneda) y está programado para varios tipos de monedas? Sí, es un sistema multimoneda. ¿ Permite copiar datos entre empresas? Sí, por ejemplo se pueden exportar e importar asientos entre empresas. ¿El sistema es parametrizable (permite ingresar por ejemplo varias tasas de IVA)? Permite la definición de diferentes monedas, impuestos entre otros aspectos. Identificación de cuentas ¿Puede aceptar diferentes estructuras de codificación de cuentas? Sí. ¿Hasta que número de cuentas y de sub-clasificaciones de las cuentas se pueden ingresar? Permite definir cuentas de hasta 5 niveles. Integración con otros sistemas ¿Puede importar o exportar datos contables de otros programas? RESULT exporta datos hacia Memory y puede exportar del Plan de Cuentas a Planillas Excel o formato Word. Además, tiene total integración con BRICKS. Rendición de informes ¿Se pueden ver los informes en pantalla? Sí. ¿Los informes estandarizados son útiles? Sí, son los básicos para el manejo de la información contable.

192

ANEXO 2 ¿Se pueden adecuar los informes a la medida del usuario (por ejemplo, cambiar las fechas del informe, divisiones, columnas) o bien ser programados por el mismo? No. Sólo permite definir los distintos niveles de apertura y otros aspectos como las monedas, no listar saldos en cero, etc., pero no es posible definir nuevos informes por el usuario ni cambiar la estructura de los mismos. Incidencia de las normas profesionales y legales ¿Permite efectuar la registración día por día y detallando las fechas correspondientes? Sí. ¿Permite el manejo de libros auxiliares? No. ¿Es flexible en cuanto a la elección del período de emisión de los informes? Sí. ¿Es capaz de facilitar la preparación de Estados Contables consolidados? No. ¿Verifica la inexistencia de espacios en blanco innecesarios en la emisión de informes y tiene la capacidad de ordenar los asientos cronológicamente antes de la emisión de los mismos? No. No valida los asientos y no controla si estos cierran debidamente o bien les falta ingresar el importe de debe o haber, con lo cual si se emite un diario que incluye asientos con este último error dejará el blanco correspondiente. ¿Los informes suministrados son susceptibles de reemplazar los Libros obligatorios cumpliendo con los requerimientos exigidos por los organismos de control para autorizar tal sustitución? No es posible cumplir con los requisitos de exposición para el caso del Libro diario. Para el caso del Libro inventarios, el programa permite la emisión de un Balancete de saldos que se puede realizar hasta el máximo nivel de análisis. ¿Es posible cumplir con el Decreto 103/91 en cuanto a la estructura de los Estados Contables, para prever todos sus componentes al momento de diseñar los informes a emitir? No. No permite emitir ninguno de los informes requeridos por este decreto. SEGURIDAD DEL SISTEMA Acceso a datos ¿Cuenta el sistema con protección de acceso al sistema general a través del uso de contraseñas? Es necesario definir usuarios para poder ingresar al sistema, permitiendo definir contraseñas de manera opcional. ¿Hay restricciones al uso de contraseñas para funciones específicas del sistema, es decir, existen diferentes perfiles de usuarios? También es posible definir perfiles de usuario optando entre diferentes opciones del menú, donde a las opciones a las cuales un usuario accede son todas aquellas las cuales estén autorizadas en los perfiles a los cuales pertenece. También los usuarios pueden acceder a todos los objetos que no tengan definida seguridad, por lo cual hay tareas que las pueden efectuar todos los usuarios. ¿Los perfiles de usuarios previstos son adecuados?

193

ANEXO 2 Sí. El programa posee la opción de “Trabajar con Objetos”, desde esta opción es posible manejar todo lo referente a los objetos que se utilizan en el esquema de seguridad del sistema, por lo cual la empresa podrá decidir que objetos tendrán restricciones para los usuarios definiendo las mismas para cada uno de ellos en los correspondientes perfiles. ¿Es posible definir diferentes modalidades de acceso? ¿Cuáles? No. ¿Se puede definir o está previsto en el sistema un período máximo en el cual caduquen las contraseñas? No. ¿Se encuentran encriptados los datos del sistema? No. ¿Cuáles son las bases de datos utilizadas, donde están ubicadas, cuáles son las reglas de acceso y de modificación de las mismas? Existen dos versiones del producto DBF y Cliente / servidor. Si se lo utiliza en DBF no se encriptan los datos. En Cliente / servidor el sistema usa una clave que queda encriptada en el disco y con esta clave permite acceder a la base de datos. El almacenamiento es totalmente seguro y el acceso depende de las claves y accesos definidos en la misma. Como ejemplo de la BD puede ser SQL. ¿Es posible acceder a los datos del sistema utilizando otra aplicación provistas por terceros, con programas incluidos en el Sistema Operativo y/o utilitarios? Cuando el sistema se utiliza en DBF, los datos son accesibles con FoxPro desde fuera del sistema o con otros programas con formato de datos compatible. Metodologías del Sistema ¿Se pueden registrar los asientos contables directamente en las tablas de datos? Permite ingresar asientos directamente en las tablas de datos, pero es necesario confirmar los mismos para que sean efectivamente ingresados. ¿Se pueden registrar temporalmente en otro lugar y posteriormente se registran en grupos después de haberlas verificado (en lote)? No. ¿Verifica que los asientos ingresados cierren debidamente? No. Permite cerrar los asientos aunque no balanceen y además emite los diarios con estos asientos. Recién al momento de cerrar el ejercicio avisa que existen asientos que no balancean y no permite cerrarlo. ¿ Verifica que todos los datos ingresados para la registración sean válidos? No. ¿Permite ingresar tipos de datos diferentes a los definidos para un determinado campo? No. ¿ Es posible borrar un asiento luego de ingresado? Es necesario contar con la autorización correspondiente. ¿ Es posible borrar cuentas luego de definido el Plan de Cuentas de una empresa? ¿Qué sucede si tiene registros? Permite eliminar las cuentas, pero cuando tiene movimientos esto no es posible. Cuando se intenta eliminar una cuenta con registros el sistema da la opción de “dejarla en desuso”.

194

ANEXO 2 ¿Cuenta con una herramienta para volver al paso anterior (es decir, si el sistema no logra completar una transacción compuesta, con más de una acción, la operación se revierte a la etapa en la que se encontraba antes de iniciar la transacción compuesta)? No. ¿El sistema "cierra" los períodos contables y no permite modificaciones en los períodos cerrados excepto cuando se ajustan los asientos contables en el mes actual, o se mantiene "abierto" para cualquier modificación? El estado de un ejercicio puede ser Actual, Abierto o Cerrado, el cual puede modificarse en cualquier momento. Permite cerrar los ejercicios siempre que todos los ejercicios anteriores estén cerrados y que exista uno posterior abierto. Controles del sistema ¿El sistema registra pistas de auditoría? No. Respaldo y recuperación de datos ¿El sistema prevé algún mecanismo de respaldo automático sin que sea necesario que el usuario lo ordene? No. ¿ Permite crear una copia de seguridad? Sí. Permite realizar un respaldo de los datos en disquetes. ¿ Si el disco duro del equipo se dañara, es posible recuperar los datos (o la copia de seguridad)? Sí. Permite reemplazar los datos del sistema por los de los disquetes de respaldo.

195

ANEXO 2 ANEXO 2 - I CONTAWIN – Contabilidad Central A continuación presentamos una serie de interrogantes que permitirán evaluar los aspectos descriptos en el comienzo de nuestro Trabajo de Campo. ASPECTOS GENERALES Capacidad General ¿Cuenta con la capacidad suficiente para múltiples usuarios, incluyendo acceso simultáneo? Sí, habilita el trabajo simultáneo de varios usuarios. ¿Se puede adaptar para cubrir necesidades futuras de la empresa, es decir, permite añadir otros módulos con el transcurso del tiempo? Sí, ya que permite la integración con otros módulos desarrollados por la empresa como por ejemplo de Facturación, Stock y Cuentas corrientes. ¿Es adaptable a los escenarios locales (por ejemplo, formatos de fecha / moneda) programado para varios tipos de monedas?

y está

Puede trabajar con hasta cien monedas, cada una con su tabla de tipos de cambio. El código de moneda cero está reservado para la moneda base (los tipos de cambio de las demás monedas se expresan en función de la moneda base). Los comprobantes y asientos se podrán ingresar en más de una moneda, y los informes se podrán emitir hasta en dos monedas diferentes, independientemente de la moneda de origen del registro. ¿ Permite copiar datos entre empresas? Posee una opción de intercambio de datos, que permite intercambiar archivos entre empresas. Identificación de cuentas ¿Puede aceptar diferentes estructuras de codificación de cuentas? Sí, el Plan de Cuentas es 100% parametrizable, es posible hacer las subagrupaciones que sean necesarias. ¿Hasta que número de cuentas y de subclasificaciones de las cuentas se pueden ingresar? Las cuentas tienen como máximo diez dígitos. Integración con otros sistemas ¿Puede importar o exportar datos contables de otros programas? Permite exportar todos los informe a diferentes formatos (Base de Datos, Archivo de Texto, Planillas electrónicas Excel y Lotus).

196

ANEXO 2 Emisión de informes ¿Se pueden ver los informes en pantalla? Sí. Podemos destacar que posee una “Supervista” (interfase de análisis) que permite ver en una sola pantalla y en forma simultánea: el balance, el mayor y el asiento. ¿Los informes estandarizados son útiles? Sí, ya que brinda los informes necesarios para el proceso de la información contable. ¿Se pueden adecuar los informes a la medida del usuario (por ejemplo, distintos niveles de análisis, divisiones, columnas, etc.) o bien ser programados por el mismo? No, si bien permite definir en la opción de “Configuración del sistema” ciertos aspectos de los informes que se deseen incluir o no en los mismos, así como contraer y expandir la información de los diferentes capítulos del balance, no es posible modificar la estructura predefinida de los informes ni crear otros nuevos. Incidencia de las normas profesionales y legales ¿Permite efectuar la registración día por día y detallando las fechas correspondientes? Sí. ¿Permite el manejo de libros auxiliares? Es posible emitir auxiliares de Cajas, Ventas y Compras. ¿Es flexible en cuanto a la elección del período de emisión de los informes? Sí. ¿Es capaz de facilitar la preparación de Estados Contables consolidados? No. ¿Verifica la inexistencia de espacios en blanco innecesarios en la emisión de informes y tiene la capacidad de ordenar los asientos cronológicamente antes de la emisión de los mismos? No. Si bien cuando se cometen errores en el ingreso de asientos da la opción de corregirlos, es posible salir de la planilla de ingreso sin hacerlo y el sistema permite emitir los informes con estos asientos y los consecuentes errores de exposición. ¿Los informes suministrados son susceptibles de reemplazar los Libros obligatorios cumpliendo con los requerimientos exigidos por los organismos de control para autorizar tal sustitución? Por lo expuesto en la pregunta anterior, si el usuario no corrige o realiza una validación de los asientos, el sistema de todas maneras permite la emisión del Libro Diario no cumpliendo con los requisitos de exposición establecidos. Respecto al Libro Inventarios, al tener un Plan de Cuentas totalmente flexible, permite un nivel de detalle adecuado para ser posible la composición del mismo por Estados de Situación con el detalle correspondiente. ¿Es posible cumplir con el Decreto 103/91 en cuanto a la estructura de los Estados Contables, para prever todos sus componentes al momento de diseñar los informes a emitir? No es posible cumplir con el decreto 103/91 en cuanto a la estructura de los Estados Contables, ya que no permite la emisión de los Anexos obligatorios ni las Notas a los mismos.

197

ANEXO 2 SEGURIDAD DEL SISTEMA Acceso a datos ¿Cuenta el sistema con protección de acceso al sistema general a través del uso de contraseñas? Sí. ¿Hay restricciones al uso de contraseñas para funciones específicas del sistema, es decir, existen diferentes perfiles de usuarios? Sí, es posible elegir entre las diferentes opciones del menú. Además es de destacar la posibilidad que brinda el sistema de crear empresas con el atributo de “confidencial”, a las que podrán acceder sólo los usuarios que tengan autorizada la opción de “Acceso a confidenciales”. ¿Los perfiles de usuarios previstos son adecuados? Se puede considerar adecuado el mecanismo que posee el sistema con respecto a perfiles de usuario ya que permite definir los perfiles que la empresa considere necesarios para su operativa. ¿Es posible definir diferentes modalidades de acceso? ¿Cuáles? No. ¿Se puede definir o está previsto en el sistema un período máximo en el cual caduquen las contraseñas?

Sí, al crear un usuario es posible fijar la caducidad de la clave correspondiente. ¿Se encuentran encriptados los datos del sistema? No. ¿Cuáles son las bases de datos utilizadas, donde están ubicadas, cuáles son las reglas de acceso y de modificación de las mismas? Utiliza bases de datos Microsoft ACCES, están ubicadas en la carpeta del sistema y es posible el acceso a ellas sin ningún tipo de autorización especial. ¿Es posible acceder a los datos del sistema utilizando otra aplicación provistas por terceros y/o utilitarios incluidos en el Sistema Operativo? Sí, además de poder acceder por fuera del sistema mediante Microsoft ACCES, también es posible hacerlo con otras aplicaciones con formatos compatibles. Metodologías del Sistema ¿Se pueden registrar los asientos contables directamente en las tablas de datos? Sí. ¿Se pueden registrar temporalmente en otro lugar y posteriormente se registran en grupos después de haberlas verificado (en lote)? Sí, permite el ingreso en Planillas auxiliares que cumplen la misma función que un lote de asientos. ¿ Verifica que los asientos ingresados cierren debidamente? Sí. ¿ Verifica que todos los datos ingresados para la registración sean válidos? Al cerrar la ventana de ingreso de asientos el sistema realiza un control de los datos registrados indicando el número de línea en que se encuentra cualquier posible error. Es posible corregir los

198

ANEXO 2 errores en cualquier otro momento y para un rango de meses, por ejemplo, antes de cerrar un ejercicio. ¿ Permite ingresar tipos de datos diferentes a los definidos para un determinado campo? No. ¿ Es posible borrar un asiento luego de ingresado? Sí, siempre que se cuente con la autorización correspondiente. ¿ Se pueden borrar los datos de las empresas u otras tablas sin que se requiera autorización especial para hacerlo? Existe una opción de “Borrar empresa”, para acceder a ella es necesario que el usuario tenga autorización para efectuar esa tarea. Además hay que tomar en cuenta que si la empresa está definida como confidencial el usuario que no tenga autorización no podrá acceder a ella. ¿ Es posible borrar cuentas luego de definido el Plan de Cuentas de una empresa? ¿Qué sucede si tiene registros? Es posible borrar las cuentas luego de creadas aunque tenga registro. En éste último caso, luego de eliminada la cuenta en los asientos relacionados con la misma da el error de que la ésta no existe y en el Libro Diario muestra el código que correspondía a dicha cuenta y el importe, pero no muestra la descripción de la cuenta. ¿El sistema "cierra" los períodos contables y no permite modificaciones en los períodos cerrados excepto cuando se ajustan los asientos contables en el mes actual, o se mantiene "abierto" para cualquier modificación? Sí, es posible cerrar el ejercicio. Una vez cerrado se podrán ver y consultar datos anteriores al cierre, pero no se podrán modificar salvo que se re-abra el ejercicio. El sistema brinda la posibilidad de borrar los cierres ya hechos, esto significa que podemos "reabrir" un ejercicio, modificarlo, y volver a cerrarlo. Es importante destacar que se puede seguir registrando información del nuevo ejercicio sin haber cerrado el anterior.

Controles del sistema ¿El sistema registra pistas de auditoría? No. Respaldo y recuperación de datos ¿El sistema prevé algún mecanismo de respaldo automático sin que sea necesario que el usuario lo ordene? No. ¿ Permite crear una copia de seguridad? Permite realizar un respaldo el cual debe hacerse por empresa, si hay definidas varias empresas, se debe acceder a cada una de ellas y realizar el respaldo. ¿ Si el disco duro del equipo se dañara, es posible recuperar los datos (o la copia de seguridad)? No tiene la opción en el sistema de recuperar los datos desde el respaldo, lo que hace suponer que esto deberá realizarse a nivel de Sistema Operativo. Sin embargo, tiene la opción de reconstruir índices en caso de los mismos se hayan destruido por causa por ejemplo de cortes en la energía eléctrica.

199

ANEXO 3 CUESTIONARIO SOBRE SEGURIDAD DE LOS DATOS CONTABLES INFORMACIÓN SOBRE ESPECIFICAR):

LA

EMPRESA

(EN

CASO

DE

SER

CR.

INDEPENDIENTE

Ramo: Cantidad de empleados: Cantidad de computadores en las que se encuentra instalado el programa de contabilidad utilizado: Se utiliza una única base de datos centralizada en un servidor o cada computador tiene la suya propia? ¿Cuántos usuarios usan el mismo computador? PROGRAMA UTILIZADO:

200

ANEXO 3 A) - SEGURIDAD FÍSICA INCENDIO 1) ¿Se ha tomado algún tipo de precaución para los casos de incendio? En caso de que la respuesta sea negativa completar la misma llenando el siguiente cuadro: CAUSA DE LA RESPUESTA NEGATIVA Nunca se consideró tomar esta precaución No es posible por el costo que ello implica. No se considera necesario. Otros:

2) ¿Se han comunicado las mismas al personal de la empresa y se le ha proporcionado entrenamiento sobre cómo proceder en dichos casos? 3) ¿Existen salidas de emergencia y se encuentran claramente señaladas? En caso de que la respuesta sea negativa completar la misma llenando el siguiente cuadro: CAUSA DE LA RESPUESTA NEGATIVA Nunca se consideró tomar esta precaución No es posible por el costo que ello implica. No se considera necesario. Otros:

INUNDACIÓN 4)

¿Se ha tomado algún tipo de precaución para los casos de inundaciones? En caso de que la respuesta sea negativa completar la misma llenando el siguiente cuadro: CAUSA DE LA RESPUESTA NEGATIVA Nunca se consideró tomar esta precaución No es posible por el costo que ello implica. No se considera necesario. Otros:

5)

¿Están los computadores ubicados en lugares donde existe menos probabilidades de inundación?

6)

¿En caso de existir inundación, se han hecho las provisiones adecuadas para la eliminación del agua del lugar donde se encuentran los computadores?

201

ANEXO 3 ACCESO FÍSICO 7) ¿Está el lugar donde se encuentran los computadores localizado para el ingreso sólo del personal autorizado? En caso de que la respuesta sea negativa completar la misma llenando el siguiente cuadro: CAUSA DE LA RESPUESTA NEGATIVA Nunca se consideró tomar esta precaución No es posible por la estructura del local. No se considera necesario. Otros:

8) ¿Está controlado el acceso al lugar por algún procedimiento especial, cerraduras, señales y observación para que el acceso sea consecuente con la política establecida? En caso de que la respuesta sea negativa completar la misma llenando el siguiente cuadro: CAUSA DE LA RESPUESTA NEGATIVA Nunca se consideró tomar esta precaución No es posible por el costo que ello implica. No se considera necesario. Otros:

9) ¿Están todas las ventanas o puertas inaccesibles desde afuera? 10) ¿Está el lugar visible para afuera o para lugares innecesarios o su visibilidad es baja?

202

ANEXO 3 B) - SEGURIDAD LÓGICA 11) ¿Fue considerado este aspecto al adquirir el sistema contable que utiliza? En caso de que la respuesta sea negativa completar la misma llenando el siguiente cuadro: CAUSA DE LA RESPUESTA NEGATIVA Fueron considerados otros aspectos de funcionamiento del sistema. Se adquirió el mismo considerando su bajo costo. No se considera necesario que el sistema tenga medidas de seguridad. Otros:

12) ¿Qué mecanismos de seguridad le brinda el mismo? 13) ¿Son aprovechados esos mecanismos de seguridad? 14) ¿Es posible definir distintos perfiles de usuarios así como limitar el acceso mediante el uso de contraseñas? 15) ¿Existe una política de administración de los mismos y se ha definido claramente el responsable de ella? 16) ¿ El programa registra pistas de auditoría automáticamente, son analizadas por la empresa? 17) ¿Qué otros mecanismos de seguridad se han establecido para el acceso a los datos? 18) ¿Se han tomado precauciones contra los ataques de virus informáticos (por ejemplo: antivirus)? 19)

¿La empresa encripta los datos para evitar que toda persona que logre acceder a los mismos sin autorización pueda entender su significado?

203

ANEXO 3 C) - PLAN DE CONTINGENCIAS 20) ¿Existe un Plan de Contingencias? En caso de que la respuesta sea negativa completar la misma llenando el siguiente cuadro: CAUSA DE LA RESPUESTA NEGATIVA No se conoce el significado de un Plan de Contingencias. No se considera necesario. Otros:

21) ¿Está adecuadamente documentado para que las personas apropiadas tengan conocimiento sobre el mismo? 22) ¿Ha sido desarrollado en conjunción con sus potenciales usuarios? 23) ¿Ha sido revisado y aceptado por la Directiva de la empresa? 24) ¿Ha sido comprobado con algún tipo de práctica? 25) ¿Han sido todas las responsabilidades adecuadamente documentadas y comunicadas? 26) ¿Han sido bien identificados los actuantes e individuos alternativos en caso de ausencia de los primeros? 27) ¿Ha sido el personal entrenado para situaciones de emergencia? 28) ¿En caso de falla en el suministro de energía eléctrica, se cuenta con dispositivos para el suministro de energía de reserva? En caso de que la respuesta sea negativa completar la misma llenando el siguiente cuadro: CAUSA DE LA RESPUESTA NEGATIVA Nunca se consideró tomar esta precaución No es posible por el costo que ello implica. No se considera necesario. Otros:

204

ANEXO 3 D) - RESPALDO Y RECUPERACIÓN DE DATOS 29) ¿Han sido identificados y priorizados todos los trabajos críticos y pasibles de ser respaldados? 30) ¿ Se ha determinado el medio y las herramientas correctas para realizar los respaldos, basándose en análisis de espacios, tiempos de lectura / escritura, tipo de backup a realizar, etc? ¿Qué medios se utilizan? 31) ¿ Dónde se realiza el almacenamiento de los respaldos? ¿Se realiza en locales diferentes de donde reside la información primaria? 32) ¿ Existe una verificación periódica de la integridad de los respaldos que se están almacenando? 33) ¿Se cuenta con una política para garantizar la privacidad de la información que se respalda en medios de almacenamiento secundarios? Por ejemplo, ¿la información es encriptada antes de respaldarse?

205

BIBLIOGRAFÍA

BIBLIOGRAFÍA LIBROS CONSULTADOS: Seguridad en los sistemas informáticos – Royal P. Fisher – Madrid – Año 1998 - 271p. Auditoría informática – Gonzalo Alonso Rivas – Madrid – Año 1998 - 185 p. Auditoría informática en la empresa – José Acha Iturmendi – Madrid – Año 1994 - .177 p. Auditoría y seguridad de los sistemas de computación – Jorge R. Nardelli – Buenos Aires – Año 1992 – 536 p. Auditoría informática: un enfoque práctico – Mario Piattini, Emilio del Peso – México – Año 1998 – 609 p. Sistemas de información gerencial – Raymond Meteod Jr. – México – Año 2000 – 655 p. Manual de repaso de información técnica para el examen CISA 2000 – ISACA (Asociación de Auditoría y control de Sistemas de Información) – E.E.U.U – Año 2000 – 494 p. El Contador público en la era de la información – Colegio de Contadores públicos de México – México – Año 1994 – 311 p. Ingeniería del Software: un enfoque práctico – Roger S. Pressman – Madrid – Año 1998 – 628 p. Aportes a la seguridad y privacidad en informática y computación – Reynaldo de la Fuente – Montevideo – Año 1995 – 375 p. Contabilidad Computadorizada – Folwer Newton – Buenos Aires – Año 1995 – 559 p. Organización de Sistemas Contables (libro 5) – Folwer Newton – Buenos Aires – Año 1982 – 294 p. Análisis y diseños de sistemas de información – James A. Seen – México – Año 1991 – 942 p. Temas de Derecho Societario: 10 años de la Ley de Sociedades Comerciales, Análisis y perspectivas – Federico Heuer, Alicia Ferrer, Siegbert Rippe, entre otros – Montevideo – Año 2001 – 325 p. Introducción a la computación – Peter Norton – México – Año 1995 – 567 p.

206

BIBLIOGRAFÍA OTROS TEXTOS CONSULTADOS: Computación aplicada a la contabilidad, administración y economía, Volumen I-III-IV, Cátedra de Introducción a la Computación, Facultad de Ciencias Económicas y de Administración de la Universidad de la República – Curso 2000 – Montevideo, Uruguay. Seguridad informática: sus implicancias e implementación – F. Borghello – Argentina – Año 2001 Artículo sobre Ética Informática, Universidad de Deusto, José M. Guibert Ucín, SJ (Profesor de Ética Informática), Bilbao, Julio de 1997. NORMAS LEGALES CITADAS: Decreto 540/991 – Libro Diario e inventario. Ley 16.871 de 1997 – Registros Públicos, Decreto reglamentario Nº 99/998. Código de Comercio. Ley Nº 16.060: Sociedades Comerciales Decreto 103/991: Normas para formular sus Estados Contables las Sociedades Comerciales Pronunciamiento Nº 10 del Colegio de Contadores, Administradores y Economistas del Uruguay: Fuentes de Normas Contables para la presentación de Estados Contables. Pronunciamiento Nº 6 del Colegio de Contadores, Administradores y Economistas del Uruguay: Mantenimiento de registros contables. Decreto 240/993: Estados contables, balances y rendiciones de cuentas. Decreto 253/001: Reglamentación del registro de Estados Contables a cargo de la AIN en su carácter de Organismo Estatal de Control.

207

BIBLIOGRAFÍA SITIOS DE INTERNET CONSULTADOS: www.ccea.org.uy Uruguay)

(Pronunciamientos del Colegio de Contadores y Economistas del

www.onnet.es (La información como activo estratégico, Xavier Rivas) www.sedisi.es/05index.htm (Guía de seguridad informática) www.ciberconta.unizar.es/docencia/sic/ (Universidad de Zaragoza- Sistemas Informativos Contables) www.cbsoft.com.ar (Seguridad informática: sus implicancias e implementación) www.symantec.com/region/mx/enterprisesecurity/content/framework erc.msh.org/readroom/espanol/fnmgspsp.htm Contable)

(Guía para Computarizar su Sistema

www.parlamento.gub.uy/decretos http://www.seguridadysistemas.com/modules.php?name=Sections&sop=viewarticle&artid =42 (La necesidad de proteger nuestros datos) www25.brinkster.com/educarodo/manuales/manual0011.asp (EducaRodo: Ética Informática) www.cusoft.org.uy

(Cámara Uruguaya del Software)

Páginas web de los programas contables evaluados: www.memory.com.uy www.saico.com.uy www.zetasoftware.com www.urusys.com www.designware.com.uy www.contawin.net www.bit-sistemas.com www.akros.com.uy www.atg.com.uy www.raddteam.com www.bcn.com.uy www.insis.com.uy 208

Índice

ÍNDICE PARTE I – MARCO TEORICO EL SISTEMA CONTABLE 1. El Sistema de información de la empresa....................................................................................... 1 2. El Sistema de información contable............................................................................................... 2 3. El procesamiento de la información contable................................................................................. 3 3.1 Etapas del procesamiento.............................................................................................................. 3 3.2 Informatización de las tareas de procesamiento contable............................................................. 4 4. Tipos de sistemas contables computarizados.................................................................................. 5 5. Características de los sistemas contables........................................................................................ 6 5.1 Mono o Multiusuario.....................................................................................................................6 5.2 Grado de integración con otros sistemas.......................................................................................6 5.3 Sistema Operativo y Hardware requerido..................................................................................... 7 5.4 Instalación y desinstalación...........................................................................................................7 5.5 Personalización y parametrización (flexibilidad) .........................................................................8 5.6 Conocimiento de las estructuras de las bases de datos..................................................................8 5.7 Seguridad.......................................................................................................................................8 6. Puesta en marcha y mantenimiento de sistemas contables............................................................. 9 6.1 Instalación..................................................................................................................................... 9 6.2 Personalización y parametrización................................................................................................9 6.3 Apertura de bases de datos.......................................................................................................... 10 6.4 Selección y diseño de los informes a ser preparados..................................................................10 6.5 Definición de medidas de seguridad........................................................................................... 10 7. Usuarios de los sistemas contables computarizados.................................................................... 11 8. Incidencia de las normas contables............................................................................................... 13 8.1 Consideraciones generales.......................................................................................................... 13 8.2 Principales normas vigentes en nuestro país...............................................................................13 8.2.1 Informatización de los Libros de Comercio.............................................................................13 8.2.2 Normas del Código de Comercio............................................................................................. 15 8.2.3 Normas de la Ley de Sociedades Comerciales (Nº 16.060) ....................................................16 8.2.3 Decreto 103/991 - Normas para formular sus Estados Contables las Sociedades Comerciales......................................................................................................17 8.2.4 Pronunciamiento Nº 10 del Colegio de Contadores, Administradores y Economistas del Uruguay: Fuentes de Normas Contables para la presentación de Estados Contables. ........................................................................................18 8.2.5 Pronunciamiento Nº 6 del Colegio de Contadores, Administradores y Economistas del Uruguay: - Mantenimiento de registros contables.................................... 18 8.2.6 Decreto 240/993 Presentación de Estados Contables ante Organismos Públicos.................................................................................................................................... 19 8.2.7 Artículo 97 BIS agregado a la Ley Nº 16.060 por la Ley de Urgencia Nº 17.243 y Decreto reglamentario 253/001............................................................................19

Índice SEGURIDAD INFORMATICA INTRODUCCIÓN 1. Análisis del objetivo de la seguridad informática......................................................................... 20 2. Vulnerabilidades del sistema (computador /comunicaciones)...................................................... 23 3. Niveles de protección o defensa....................................................................................................24 3.1 Marco Legal y Ético....................................................................................................................26 3.1.1 La Ética de la Informática........................................................................................................ 26 3.1.1.1 Introducción.......................................................................................................................... 26 3.1.1.2 Definiciones de la Ética Informática.....................................................................................26 3.1.1.3 Cuatro puntos éticos de la era de la información.................................................................. 27 3.1.1.4 Conclusiones......................................................................................................................... 27 3.1.2 Delitos informáticos................................................................................................................. 28 3.1.2.1 La información y el delito..................................................................................................... 28 3.1.2.2 Características de los delitos................................................................................................. 29 3.1.2.3 Los elementos integrantes del delito..................................................................................... 29 3.1.2.4 Tipos de delitos informáticos................................................................................................ 30 3.1.2.5 Sujetos intervinientes............................................................................................................ 31 3.2 Auditoría y controles del sistema informático............................................................................ 32 3.2.1 Auditoría Financiera................................................................................................................ 33 3.2.1.1 Impacto del procesamiento electrónico de la información contable..................................... 33 3.2.2 Auditoría Informática...............................................................................................................33 3.2.2.1 Objetivo de la Auditoría informática.................................................................................... 34 3.2.2.2 Auditoría de la Seguridad Informática..................................................................................34 3.3 Seguridad física y ambiental....................................................................................................... 36 3.3.1 Desastres naturales, incendios accidentales tormentas e inundaciones.................................. 36 3.3.1.1 Incendios............................................................................................................................... 36 3.3.1.2 Inundaciones......................................................................................................................... 37 3.3.1.3 Condiciones climatológicas.................................................................................................. 37 3.3.2 Amenazas ocasionadas por el hombre..................................................................................... 38 3.3.2.1) Robo.....................................................................................................................................38 3.3.2.2) Fraude.................................................................................................................................. 38 3.3.2.3) Sabotaje................................................................................................................................38 3.3.3 Otros......................................................................................................................................... 39 3.3.3.1 Señales de radar.....................................................................................................................39 3.3.3.2 Instalaciones eléctricas..........................................................................................................40 3.4 Seguridad lógica..........................................................................................................................40 3.4.1 Amenazas Lógicas....................................................................................................................40 3.4.1.1 Identificación de las amenazas............................................................................................. 40 3.4.1.2 Tipos de amenazas lógicas.................................................................................................... 42 3.4.2 Medidas de Seguridad lógica................................................................................................... 45 3.4.2.1 Controles de Acceso .............................................................................................................45 4. Políticas de seguridad....................................................................................................................50 4.1 Definición de políticas, estándares y procedimientos................................................................. 50 4.1.1 Política de seguridad de la información................................................................................... 51 4.1.2 Estándares................................................................................................................................ 51 4.1.3 Procedimientos......................................................................................................................... 51

Índice 4.2 Determinación del valor de la información.................................................................................51 4.3 Componentes claves de una política de seguridad de la información.........................................52 4.4 Características principales de una Política de Seguridad de la Información.............................. 53 5. Plan de contingencia..................................................................................................................... 54 5.1 Beneficios de un plan de contingencia para la seguridad........................................................... 54 5.2 Etapas clave en la elaboración de planes de contingencia.......................................................... 54 5.3 Especificaciones del plan de acción........................................................................................... 55 5.4 Creación de un documento y equipo de respuestas a incidentes................................................ 57 5.5 Medidas de seguridad................................................................................................................. 57 5.6 Planes de contingencia específicos............................................................................................. 58 6 Seguridad en redes......................................................................................................................... 58 6.1 Definición de las medidas de seguridad......................................................................................58 6.1.1 Identificación de usuarios autorizados para usar los recursos de la red...................................58 6.1.2 Identificación del uso adecuado de los recursos...................................................................... 58 6.1.3 Responsables de conceder acceso y aprobar el uso..................................................................59 6.1.4 Recomendaciones para el comportamiento del usuario........................................................... 59 6.1.5 Sistema Firewall (Cortafuegos) ...............................................................................................59 6.1.6 Transferencia de activos.......................................................................................................... 60 6.1.7 Correo Electrónico................................................................................................................... 60 6.1.8 Registros auditables................................................................................................................. 60 PARTE II- TRABAJO DE CAMPO INTRODUCCIÓN 1 Diferentes aspectos a evaluar de los programas contables............................................................ 62 1.1 Aspectos generales ..................................................................................................................... 62 1.1.1 Capacidad General................................................................................................................... 62 1.1.2 Identificación de Cuentas......................................................................................................... 62 1.1.3 Integración con otros Sistemas................................................................................................ 62 1.1.4 Rendición de Informes............................................................................................................. 63 1.1.5 Incidencia de las normas legales y profesionales.....................................................................63 1.2 Seguridad brindada por el sistema.............................................................................................. 63 1.2.1 Seguridad del Sistema Operativo............................................................................................. 63 1.2.2 Seguridad de las Bases de Datos utilizadas por el programa................................................... 63 1.2.3 Acceso a datos..........................................................................................................................64 1.2.4 Metodologías del Sistema........................................................................................................ 64 1.2.5 Controles del Sistema...............................................................................................................64 1.2.6 Respaldo y recuperación de datos............................................................................................ 64 1.3 Política de seguridad y plan de contingencia de la empresa....................................................... 65 2 Evaluación de los programas...................................................................................................... 65 2.1 Seguridad de los sistemas operativos.......................................................................................... 65 2.1.1 MS-DOS...................................................................................................................................66 2.1.2 WINDOWS.............................................................................................................................. 66 2.1.2.1 Windows 95.......................................................................................................................... 66 2.1.2.2 Windows 98.......................................................................................................................... 66 2.1.2.3 Windows NT ........................................................................................................................ 66 2.1.2.4 Windows 2000 ..................................................................................................................... 67

Índice 2.1.2.5 Windows XP......................................................................................................................... 68 2.1.3 UNIX/LINUX.......................................................................................................................... 68 2.1.4 NOVELL Netware................................................................................................................... 68 3 Listado de programas contables utilizados en Uruguay.................................................................69 4 Evaluación de los programas..........................................................................................................71 4.1 Primer nivel de evaluación..........................................................................................................72 4.1.1 SALVADOR 2000................................................................................................................... 72 4.1.1.1 Aspectos generales................................................................................................................ 72 4.1.1.2 Seguridad brindada por el sistema........................................................................................ 74 4.1.2 MEMORY Contabilidad Central............................................................................................. 75 4.1.2.1 Aspectos generales................................................................................................................ 75 4.1.2.2 Seguridad brindada por el sistema........................................................................................ 77 4.1.3 WINCONT............................................................................................................................... 79 4.1.3.1 Aspectos generales................................................................................................................ 79 4.1.3.2 Seguridad brindada por el sistema........................................................................................ 81 4.1.4 CONTY.................................................................................................................................... 84 4.1.4.1 Aspectos generales................................................................................................................ 84 4.1.4.2 Seguridad brindada por el sistema........................................................................................ 87 4.1.5 ALEXIS................................................................................................................................... 90 4.1.5.1 Aspectos generales................................................................................................................ 90 4.1.5.2 Seguridad brindada por el sistema........................................................................................ 93 4.1.6 SIGMA..................................................................................................................................... 96 4.1.6.1 Aspectos generales................................................................................................................ 96 4.1.6.2 Seguridad brindada por el sistema........................................................................................ 99 4.1.7 BRÚJULA..............................................................................................................................102 4.1.7.1 Aspectos generales.............................................................................................................. 102 4.1.7.2 Seguridad brindada por el sistema...................................................................................... 104 4.1.8 RESULT.................................................................................................................................107 4.1.8.1 Aspectos generales.............................................................................................................. 107 4.1.8.2 Seguridad brindada por el sistema...................................................................................... 109 4.1.9 CONTAWIN.......................................................................................................................... 111 4.1.9.1 Aspectos generales.............................................................................................................. 111 4.1.9.2 Seguridad brindada por el sistema...................................................................................... 114 4.2 Segundo nivel de evaluación.....................................................................................................116 4.2.1 PROCONT XXI..................................................................................................................... 116 4.2.1.1 Aspectos generales.............................................................................................................. 116 4.2.1.2 Seguridad brindada por el sistema...................................................................................... 116 4.2.2 BITWIN – Contabilidad.........................................................................................................118 4.2.2.1 Aspectos generales.............................................................................................................. 118 4.2.2.2 Seguridad brindada por el sistema...................................................................................... 119 4.2.3 AKROS – Contable................................................................................................................119 4.2.3.1 Aspectos generales.............................................................................................................. 119 4.2.3.2 Seguridad brindada por el sistema...................................................................................... 120 4.2.4 PSIG – Contabilidad central...................................................................................................121 4.2.4.1 Aspectos generales.............................................................................................................. 121 4.2.4.2 Seguridad brindada por el sistema...................................................................................... 122

Índice 4.2.5 RT-CONTA!.......................................................................................................................... 122 4.2.5.1 Aspectos generales.............................................................................................................. 122 4.2.5.2 Seguridad brindada por el sistema...................................................................................... 123 4.2.6 PAULYA - Contabilidad Central...........................................................................................124 4.2.6.1 Aspectos generales.............................................................................................................. 124 4.2.6.2 Seguridad brindada por el sistema...................................................................................... 125 4.2.7 GCI – Módulo Contabilidad y Finanzas................................................................................ 125 4.2.7.1 Aspectos generales.............................................................................................................. 125 4.2.7.2 Seguridad brindada por el sistema...................................................................................... 126 5 Conclusiones generales................................................................................................................ 127 5.1 Aspectos generales.................................................................................................................... 127 5.2 Seguridad brindada por el sistema............................................................................................ 131 5.3 Características que debería poseer un sistema computarizado para brindar seguridad adecuada a la información contable.............................................................137 6 Resumen de encuestas................................................................................................................. 140 6.1 Objetivo.................................................................................................................................... 140 6.2 Aspectos incluidos en el cuestionario....................................................................................... 140 6.3 Resumen de la información obtenida........................................................................................141 7 Conclusión final...........................................................................................................................146 ANEXOS Anexo I A- Código de Comercio.................................................................................................... 148 Anexo I B- Ley 16.060................................................................................................................... 149 Anexo I C- Decreto 103/91.............................................................................................................150 Anexo II A- (Salvador 2000).......................................................................................................... 161 Anexo II B- (Memory Contabilidad Central)................................................................................. 165 Anexo II C- (Wicont)......................................................................................................................169 Anexo II D- (Conty)....................................................................................................................... 174 Anexo II E- (Alexis)....................................................................................................................... 179 Anexo II F- (Sigma)........................................................................................................................184 Anexo II G- (Brújula)..................................................................................................................... 188 Anexo II H- (Result)....................................................................................................................... 192 Anexo II I- (Contawin).................................................................................................................. 196 Anexo III - Cuestionario................................................................................................................. 200 Bibliografía..................................................................................................................................... 206