Muchas veces escuchamos cuando ocurre alguna “situación” en una determinada empresa, que la misma se debe a la falta de controles y empezamos a hacer nuestras propias conjeturas respecto al hecho.

Efectivamente los controles internos en una empresa, han sido provistos para garantizar en forma razonable que los objetivos trazados sean alcanzados y que los eventos de riesgo sean evitados, detectados o corregidos.

Es en ese sentido que básicamente los controles los clasificamos en: Preventivos, detectivos y correctivos.

Los controles preventivos denominados también controles de entrada, son aquellos que anuncian la causa del riesgo, pero no la evitan, por ejemplo: Un letrero de NO FUMAR, es un control preventivo, porque asume un posible riesgo de incendio, contaminación, etc., pero no impedirá que puedan fumar.

Los controles detectivos o controles de proceso, son aquellos que detectan la causa del riesgo, alertan sobre la misma y tampoco la evitan. Como ejemplo, siguiendo el anterior, tenemos los detectores de humo, que podrían detectar en el momento que alguien quiera o este fumando, pero ya encendió el cigarrillo y no se pudo evitar. Otros ejemplos serian las: alarmas, cámaras, etc., en seguridad física de accesos, doble verificación de cálculos, puntos de control en producción, reportes periódicos, actividades de auditoría interna, mensajes de error, que pueden detectar el riesgo cuando esté ocurriendo.

Finalmente tenemos los controles correctivos o de salida, que podríamos considerar la última línea de defensa frente a los posibles riesgos, teniendo la finalidad de eliminar o minimizar. Ejemplo de estos tenemos los Planes de Contingencia, los backups, controles de acceso lógico (claves), antivirus, etc. Si volvemos al ejemplo de los 2 puntos anteriores, tendríamos que suponer que en el Plan de Contingencia, se ha considerado como un riesgo, un posible incendio, por tanto se tiene establecidos cuales serian las acciones a tomar, como ser el uso de los extintores, evacuación o llamar a los bomberos, etc.

Con esta clasificación podríamos deducir el tipo de control que ha sido establecido en una determinada empresa y para un determinado objetivo.

Si aplicamos en los sistemas de información, por ejemplo de una entidad financiera que presta sus servicios mediante los ATMs (cajeros automáticos) que día a día vemos el incremento de los riesgos de fraude, podríamos indicar que la publicidad que hacen, los bipticos, las recomendaciones de cómo usar la tarjeta y su respectiva clave son controles preventivos. El mejoramiento de los accesos físicos a los puntos ATMs, las cámaras de video, etc. Son los controles detectivos y los controles de acceso lógico al cajero automatico se constituyen en los controles correctivos.

Corresponde a partir de esto a los Auditores de SI, evaluar la fortaleza de los CONTROLES INTERNOS, considerando a los mismos, como: controles fuertes, controles débiles, controles compensatorios y controles solapados, puntos que los ampliaremos en el siguiente capítulo.

Escrito por el Lic. Hugo Rosales Uriona, CPA, ASIC, FCA, CISO.