¿Quién tiene la responsabilidad de asegurar la infraestructura tecnológica frente a eventuales ataques cibernéticos que afecten la contabilidad?
El Consejo Técnico de la Contaduría Pública -CTCP- fue consultado por un particular en los siguientes términos:
“(…)
1. La empresa que represento “Contador” presta servicios profesionales de procesamiento contable y presentación de declaraciones tributarias a un “Cliente” (empresa legalmente constituida), para lo cual nosotros como Contador a su vez designamos personal profesional y técnico contable contratados por nosotros para que se desplace a las instalaciones del cliente y mediante la infraestructura física y tecnológica de propiedad y preferencia proporcionada por el cliente según lo acordado contractualmente, se disponga a procesar bajo nuestra dirección profesional, la información contable proporcionada por el Cliente en el marco de la normatividad contable vigente en Colombia, así como para efectuar las respectivas declaraciones tributarias a que haya lugar. Consulta 1: ¿Cuál de las partes (Contador o Cliente), en esta modalidad de prestación del servicio, tiene la responsabilidad de asegurar la infraestructura tecnológica frente a eventuales ataques cibernéticos que pueda afectar la información contable procesada?
2. En la misma modalidad de prestación del servicio profesional mencionado en el punto anterior, ahora en el evento de dar por terminada la relación contractual el día 15 de enero de 2022 por solicitud del Contador. Consulta 2: ¿Es responsabilidad del Contador presentar las declaraciones tributarias o información exógena que se venza después de la fecha de finalizado el contrato, es decir responsabilidades tributarias que tengan como fecha de vencimiento posterior al 15 de enero de 2022? ¿Inclusive aquellas que correspondan a períodos en los cuales se procesó información contable pero que las respectivas declaraciones tributarias vencen posterior a la fecha de finalización del contrato?
3. Por último, con el objetivo de concretar la finalización del contrato y en la eventualidad de que el Cliente no designe un profesional o nuevo Contador para recibir la contabilidad al 15 de Enero de 2022. Consulta 3: ¿De qué forma puede proceder el Contador Saliente para asegurar la entrega de su trabajo y poder finalizar de forma legal y profesionalmente correcta su relación contractual y por lo tanto finalizar su responsabilidad profesional con el Cliente?”
¿Cuál de las partes (contador o cliente), en esta modalidad de prestación del servicio, tiene la responsabilidad de asegurar la infraestructura tecnológica frente a eventuales ataques cibernéticos que pueda afectar la información contable procesada?
Al amparo de los hechos narrados en la consulta, el CTCP destacó que se trata de un contrato para el procesamiento contable y presentación de declaraciones tributarias y, por tanto acorde con el artículo 46 de la Ley 43 de 1990, debió suscribirse el acuerdo contractual con el objeto del mismo, las funciones y responsabilidades, así como lo atinente a la terminación del mismo, límite de dichas responsabilidades entre el cliente y el contador responsable de la prestación de los servicios acordados. En este documento, que regularía la relación contractual entre la entidad que contrata los servicios y el contador que los presta, pudiendo incluir entre otros como se anota, los siguientes asuntos:
- El objetivo u objeto del compromiso y alcance del contrato.
- Las responsabilidades de cada una de las partes: contratante y contratista.
- La indicación clara del servicio a que se compromete el contratista.
- Las responsabilidades del contador y cualquier tipo de limitación que pudiere existir respecto de la preparación de los estados financieros.
- La identificación del marco de información financiera aplicable.
- Las responsabilidades en cuanto a la seguridad de la información que se recibe para el procesamiento.
Así las cosas, para el CTCP
en el contrato suscrito debe estar la evidencia de lo pactado y las condiciones pactadas entre las partes, en cuanto a la prestación del servicio y será en dicho documento donde debió quedar establecido el responsable en cuanto a la seguridad informática necesaria para prevenir posibles ataques de carácter cibernético a la información procesada por parte del contador.
En lo tocante a los interrogantes 2 y 3, el Consejo reiteró que las responsabilidades a cargo del contador deben quedar plasmadas en el contrato suscrito entre las partes, como se expuso anteriormente, su alcance en cuanto su cumplimiento que incluye la presentación de las declaraciones tributarias, información exógena, etc.
Consejo Técnico de la Contaduría Pública, concepto Nº 0495 del 4 de octubre de 2021