Efectos de la Tecnología de la Información sobre Control Interno Cada día son mayores los riesgos de seguridad informática, por lo que se vuelve imperativo asegurar su control. Es habitual que el profesional en ciencias económicas, como auditor interno o externo, deba llevar a cabo una evaluación del control interno. El objetivo puede ser planificar su labor, reducir el alcance de las pruebas sustantivas u obtener evidencia cuando no es posible utilizar solo pruebas sustantivas o brindar una opinión, basada en su información sobre si el sistema satisface las necesidades para las que fue concebido o los requerimientos legales y estatutarios. La evaluación del control interno consiste básicamente en tres aspectos: La evaluación del diseño del control: si el control se aplica en la forma prevista y cumple con los objetivos. La evaluación de la implementación del control: si el control fue puesto en funcionamiento. La evaluación de la efectividad operativa del control: si el control funciona correctamente durante el periodo analizado. Para evaluar, en primer lugar, debemos entender por qué se diseñó e implementó un control. Esto es, qué riesgo de la operatoria debe ser controlado, ya sea para prevenir su ocurrencia o para detectar y corregir el impacto de que acontezca. En definitiva, un procedimiento de control es la forma en que se planifica cumplir con un objetivo de control, es decir, la enunciación de que riesgo se considera y como se mitigara. Un requisito fundamental para evaluar el control interno es conocer cuáles son los riesgos significativos que afectan a los objetivos de la labor. Así, se podrá apreciar adecuadamente como los mecanismos de control dan a La información es un activo valioso, cuya integridad debe preservarse por medio de controles. Dr. Raúl Alberto Presa N. Socio de Crowe Horwath, a cargo de Auditoría y Risk Consulting evitar, prevenir el impacto o detectar y corregir los desvíos que se pudieran producir. Para comprender como influyen las TI en la evaluación del control interno, debemos estimar el impacto de la tecnología en los riesgos controlados. En otras palabras, que riesgos agrega la tecnología a los objetivos de la labor. Algunos de los riesgos que ejemplifica la Norma Internacional de Auditoría NIA 315 atribuibles a las TI son: Confiar en sistemas o programas que procesan datos de manera distorsionada o datos distorsionados o ambas cosas a la vez. El acceso no autorizado a datos que pueda generar su pérdida o cambios no apropiados en los mismos, como el registro de transacciones no autorizadas o inexistentes, o el registro inexacto de transacciones. Los cambios no autorizados en datos de los archivos maestros. La evaluación de los riesgos y los controles diseñados por la empresa, la determinación del alcance de las pruebas a llevar a cabo y la consideración de los resultados representan un desafío para los profesionales en Ciencias Económicas. A quienes deseen profundizar en estos conceptos, les recomiendo la lectura del Cuaderno Profesional No.65, "Efectos de la Tecnología de la Información sobre el Control Interno", elaborado en el marco de la Comisión de Estudios de Tecnología de la Información del Consejo y publicado en enero pasado. “Para comprender como influyen las TI en la evaluación del control interno, debemos estimar que riesgos agrega la tecnología a los objetivos de la labor.”
