Professional Documents
Culture Documents
1.3 Conocimiento de Control Interno en La Auditoría y La Ciberseguridad
1.3 Conocimiento de Control Interno en La Auditoría y La Ciberseguridad
30 de septiembre de 2022
Boletín de investigación
Comisión
D. Auditoría
Autores
1. Presentación
Una auditoría de ciberseguridad es una parte importante de un sistema de bloqueo ante un posible
ataque, por lo cual es esencial saber en qué consiste y cómo mantener los ciberataques lejos de las
organizaciones. En este sentido, la finalidad de este boletín es dar a conocer la relevancia que tiene la
utilización de una auditoría de ciberseguridad.
2. Introducción
Alcance
En los últimos 20 años, las grandes empresas, las pyme y las personas físicas han sido objetivo de los
hackers o ciberdelincuentes para el robo de la información, afectando así la disponibilidad, integridad y
confidencialidad de la misma.
Lo anterior se facilita cuando existe descuido humano, siendo el llamado phishing y el malware los medios
más comunes con los que los hackers logran entrar a los sistemas informáticos y conseguir su objetivo,
aprovechando descuidos de los usuarios de la información.
3. Desarrollo
Como parte del proceso de la planeación de una auditoría de estados financieros, para los auditores
externos es importante conocer y evaluar el control interno existente, a fin de saber si los mismos ayudan
a mitigar diferentes tipos de riesgos y, como resultado de dicha evaluación, definir los alcances de su
revisión y la aplicación de una estrategia de confianza alta o baja en los controles de la empresa auditada
para su revisión sustantiva.
Dentro del estudio del control interno, y dependiendo del tamaño de la empresa, así como de la
dependencia de los sistemas de información para poder operar, el auditor externo (y los auditores
internos, en caso de contar con esta área) deben evaluar los controles generales, los de aplicación y los
aspectos de seguridad física y lógica de sus sistemas de información. Para esto, es importante que se
apoyen en lo que establece el COBIT 2019, que es un marco de referencia de gobierno de Tecnologías de
la Información (TI) para atender los riesgos en el requerimiento de control y el desarrollo de las políticas y
buenas prácticas.
Dentro de esta revisión un punto muy importante a evaluar es conocer cuáles son los controles y
sistemas con los que cuenta la empresa para mantener a un riesgo bajo la pérdida de su información y
evitar que sea robada por hackers o ciberdelincuentes, lo cual, de llegarse a presentar, afectaría de manera
muy importante en la operación del negocio, debido a la falta de disponibilidad, integridad y la
confidencialidad de la misma, pudiendo impactar también en la adecuada toma de decisiones, así como
https://www.contadoresmexico.org.mx/Boletin/control-interno-ciberseguridad 1/3
16/11/22, 23:08 Conocimiento de control interno en la auditoría y la ciberseguridad
Ciberseguridad
En este sentido, el contar con ciberseguridad ayuda a los dueños de la información a identificar riesgos,
proteger datos y detectar posibles intentos de robo de información para responder a dichos ataques de
ciberdelincuentes y, en su caso, la recuperación y restauración de la información.
Los métodos que comúnmente utilizan los hackers o ciberdelincuentes para el robo de información son
por el llamado phishing o suplantación de identidad y el malware, atacando por medio de virus cuando el
usuario enlaza un archivo adjunto.
Un ejemplo de phishing es cuando los usuarios reciben correos apócrifos pero muy similares de
destinatarios “conocidos":
Asimismo, el riesgo de que la información sea hackeada se debe al acceso de los usuarios a páginas de
internet no permitidas, así como a la facilidad de subir y bajar información por medio de dispositivos
portátiles de almacenamiento USB, facilitando que los hackers logren el robo de la información en los
sistemas.
Debido a todo lo aquí mencionado, es conocido que muchas empresas en México -transnacionales y
nacionales- han perdido su información al ser hackeadas, ocasionando casos como éstos:
1. Tener que implementar -en forma reactiva y no preventiva- sistemas para cuidar la ciberseguridad
de su información.
2. Afectar de forma importante la continuidad del negocio en marcha de la empresa, tomando en
cuenta el grado de dependencia de los sistemas de información para poder operar de manera
normal.
3. Costos financieros altos y no presupuestados para recuperar la información por medio de
especialistas en la materia o, en su caso, pagar las extorsiones que pidan los hackers.
4. Levantar una denuncia ante el ministerio público contra quien resulte responsable del robo de
información.
5. Dar aviso ante el SAT del robo de información en caso de que se presente alguna revisión de
gabinete o de cualquier otra índole.
6. Retrasos importantes para recuperación de saldos a favor de ISR, IVA, entre otros, originando, a su
vez, costos financieros y problemas de flujo en la tesorería.
7. En el caso de las firmas de contadores o fiscalistas, la pérdida de papeles de trabajo de auditoría o
contabilidades, lo que puede requerir a las autoridades fiscales para revisiones secuenciales o de
gabinete.
Asimismo, es conveniente que el auditor a cargo del compromiso evalúe la necesidad de utilizar el trabajo
de un especialista en ciberseguridad de la información para examinar el grado de control y riesgo de robo
de información; para esto, es necesaria la aplicación de la NIA 620: Utilización del trabajo de un experto
del auditor.
a. Las políticas para el uso de USB (existen portales de USB bloqueados a ciertos niveles operativos.
b. El uso de contraseñas fáciles de adivinar; por ejemplo, cuando los usuarios usan su RFC, la fecha de
su nacimiento o la serie numérica 12345, etc.
c. Contestar correos apócrifos, que generalmente son mensajes urgentes para actualizar aplicaciones.
d. Descargar malware.
e. Evaluar la capacidad técnica del personal de TI.
f. Conocer si la empresa tiene y/o actualiza los antivirus oportunamente.
g. Promover el uso de contraseñas seguras y que éstas se cambien periódicamente.
h. Conocer si la empresa tiene políticas y capacitación frecuente para evitar el robo de información.
i. Acceso a redes gratuitas de wifi y, por lo tanto, de alto riesgo.
4. Conclusiones
La falta de atención de las empresas en materia de ciberseguridad de la información podría ocasionar
problemas graves para la operación inmediata.
El auditor externo debe atender este riesgo de control interno para informarlo a la administración y así dar
un mayor valor a sus recomendaciones de auditoría.
5. Referencias
1. COBIT 2019.
2. Norma Internacional de Auditoría 300 Planeación de la auditoría de estados financieros.
3. Norma Internacional de Auditoría 315 identificación y valoración de los riesgos de incorrección
material mediante el conocimiento de la entidad y su entorno.
4. Norma Internacional de Auditoría 620 Utilización del trabajo de un experto del auditor.
Texto de investigación editado por el Colegio de Contadores Públicos de México, A.C. con el objeto investigar y analizar temas de
actualidad relacionados con la contaduría pública y los negocios como una aportación técnica y objetiva para los lectores. El
contenido de este material es responsabilidad exclusiva de sus autores y no refleja la opinión o postura del Colegio de Contadores
Públicos de México, A.C. sobre los temas abordados en él. Se prohíbe la reproducción total o parcial del material contenido en esta
publicación sin autorización previa de los autores y el Colegio de Contadores Públicos de México, A.C.
https://www.contadoresmexico.org.mx/Boletin/control-interno-ciberseguridad 3/3