AUDITORÍA EN SEGURIDAD

Luis Francisco López Urrea

EJE 1
Conceptualicemos

Fuente: Shutterstock/611013410
 Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

Definición de auditoría . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

Origen de la auditoría . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

Fases de la auditoría . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

Fase 1. Planeación de la auditoría . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

Fase 2. Implementación de la auditoría . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

Fase 3. Monitoreo de la auditoría . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

Tipos de auditoría . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

Auditorías por su lugar de aplicación . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

Auditorías por su área de aplicación . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

Auditorías especializadas en áreas específicas . . . . . . . . . . . . . . . . . . . . . . 9

Auditorías de sistemas computacionales . . . . . . . . . . . . . . . . . . . . . . . . . 11

Auditoría informática . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

Objetivos de la auditoría informática . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

Normatividad en la auditoría de sistemas de información . . . . . . . . . . . . . 14

Control interno . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

Objetivos del control interno . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

Importancia del control interno . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

ÍNDICE

Elementos del control interno . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

Bibliografía . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
 Introducción

¿Cuáles son los conceptos fundamentales en la auditoría de la seguridad informática?

Al hablar de auditoría de la seguridad informática nos introduciremos en un mundo

donde los sistemas y procesos tecnológicos dentro de las empresas y organizaciones
fluye de manera constante y progresiva, adaptándose a cambios significativos que influ-
yen en el proceder de personas que están a la vanguardia para auditar estos sistemas
de manera lógica y veraz, razón por la cual el estudiante debe tener unos conocimientos
sobre auditoría de la seguridad informática, enfocándose en los objetivos y conceptos,
control interno y sistemas de calidad, para evaluar actividades, operaciones y resultados
INTRODUCCIÓN

en las diferentes áreas dentro de entidades, ya sean de carácter públicas y/o privadas.

La auditoría de la seguridad informática es vital dentro de las organizaciones a la hora

de tener un reconocimiento de la información que se necesita, si dicha información es
fiable o no, y no menos importante tener siempre claridad del origen de dicha informa-
ción, además de saber quién está usando la información y cuál es la finalidad de su uso.

Es de gran importancia tener claridad en los conceptos que anteriormente se men-

cionaron, para el desarrollo de este eje temático.
Definición de auditoría
 Auditoría es la exploración y/o revisión que se realiza a las diferentes actividades de
manera individual, en áreas designadas dentro de una organización, en donde se analizan
funciones y resultados. Esta auditoría se lleva a cabo por un profesional que se conoce
como auditor, el cual evalúa mediante un análisis la forma ideal como se están realizando
los procesos, y poder brindar un diagnóstico sobre resultados obtenidos, así como realizar
recomendaciones para optimizar estos procesos.

Origen de la auditoría

Se fundamenta en la necesidad que se presenta en las organizaciones para especificar

de manera clara la documentación contable, dando así un nivel de relevancia a la pro-
tección de los usuarios receptores de la información que se obtiene de manera contable,
entre estos receptores se encuentran: socios de las organizaciones, entes reguladores,
empleados, etc. La primera auditoría que se obtiene de manera globaliza es la auditoría
financiera, llamada externa; al tener procesos complejos dentro de las organizaciones,
surge la auditoría interna, la cual se caracteriza por un control interno de los riesgos.

Fases de la auditoría

Las auditorías precisan tres fases para su desarrollo, a continuación, se enumeran

estas fases:

Fase 1. Planeación de la auditoría

Se enfatiza que las organizaciones lleven a cabo las auditorías una vez al año, esto muchas
veces se adapta a las necesidades de la compañía. En la planeación se tiene en cuenta el ciclo
definido en los recursos y procesos, algo fundamental, determinar el tiempo que se dedicará
a la auditoría; inmediatamente se deben establecer revisiones y seguimientos al proceso que
es llevado en las organizaciones en torno a la seguridad y la privacidad de la información,
teniendo presentes detalles y observaciones de parte de la dirección, control interno y cambios
en el entorno laboral.

Es de orden primario que las auditorías se lleven a cabo con la interacción del equipo de
seguridad o con el personal de control interno, de esta manera, se alcanza el objetivo deseado,
una labor benéfica para la organización, evidenciado mediante resultados y acciones en pro
de la mejora de las actividades en las áreas de la compañía.

Fase 2. Implementación de la auditoría

En esta fase nos enfocamos en la preparación de la auditoría, empezando con una reunión
con el personal de control interno, personal de seguridad, y una selección de uno o varios
integrantes de las áreas a auditar. Después se realiza el proceso de recolección de la infor-
mación, identificando los hallazgos, analizando las opciones de mejora y las fortalezas. Para
finalizar, se lleva a cabo una reunión en donde se exponen las conclusiones de la auditoría.

Auditoría en seguridad - eje 1 conceptualicemos 5

Fase 3. Monitoreo de la auditoría

Se recomienda llevar a cabo un monitoreo periódico de los objetivos propuestos y de las

acciones, ya sean acciones para mejorar o en su defecto, preventivas. Una vez se revisen
y se ejecuten dichas acciones, las mejoras en el modelo de seguridad implementado se
verán reflejadas.

Monitoreo
de la
auditoría

Implementación
de la auditoría

Planeación de
la auditoría

Figura 1. Fases de la auditoría

Fuente: MinTic

Tipos de auditoría

A continuación, se darán a conocer una serie de auditorías con el objetivo de precisar

cómo se caracterizan y especifican en la actualidad.

Tipos de auditoría

Por su lugar de Por su área de Especializadas en De sistemas

aplicación aplicación áreas específicas computacionales

Figura 2. Tipos de auditoría

Fuente: propia

Auditoría en seguridad - eje 1 conceptualicemos 6

Auditorías por su lugar de aplicación

• Auditoría externa: se lleva a cabo por personal externo a la empresa. Para tener en
cuenta en este tipo de auditoría; el auditor emplea métodos y herramientas para brin-
dar resultados de manera independiente, partiendo de una evaluación de procesos y
operaciones en las organizaciones. Estas auditorías cuentan con la aprobación de las
organizaciones en el momento de certificar sus procesos, ya sean contables, financie-
ros o impuestos, satisfaciendo para estas organizaciones su estado legal, como todo
no puede ser ideal, estas auditorías representan mayores costos a las organizaciones,
así como tiempo y procesos adicionales, debido al desconocimiento de la empresa por
parte del auditor externo.

• Auditoría interna: este tipo de auditoría es llevada a cabo por personal que desem-
peña sus labores dentro de las organizaciones, razón por la cual, es bastante influyen-
te a la hora de evaluar las áreas a auditar. Esta auditoría tiene un objetivo y es encon-
trar un resultado o dictamen basado en un análisis interno a los procesos y actividades
dentro de la organización, lo cual va a evidenciar como se vienen desarrollando las
actividades administrativas u operativas y cómo se están desempeñando los emplea-
dos en las diferentes áreas donde se lleva a cabo la auditoría interna.

Esta auditoría a diferencia de la externa permite un análisis de manera más exhaustiva

debido al conocimiento de las áreas por parte del auditor, brindando un dictamen más
relevante. Como este dictamen es de carácter interno no sale de las organizaciones, lo cual nos
indica que sólo es funcional para las autoridades de la empresa. Además, en cuanto a recursos
adicionales, es un ahorro para las organizaciones debido a que este proceso es llevado por
personal interno.

Auditorías por su área de aplicación

Por su área de
aplicación

Auditoría
Auditoría Auditoría Auditoría Auditoría Auditoría de
financiera
administrativa operacional integral gubernamental sistemas
(contable)

Figura 3.
Fuente: propia

Auditoría en seguridad - eje 1 conceptualicemos 7

• Auditoría financiera (contable): se considera como el primer tipo de auditoría
que existe comercialmente hablando, el auditor se encarga de realizar un análi-
sis a los registros contables y procesos financieros dentro de las organizaciones,
con la finalidad de corroborar si dichos procesos están en orden y cumplan con
lo demandado por la parte contable y así, poder generar un dictamen sobre este
análisis financiero.

• Auditoría administrativa: es el análisis que se realiza a las diferentes áreas ad-

ministrativas dentro de las organizaciones, esta auditoría examina el rendimiento
en la parte de planeación y control, previamente establecidos en las empresas,
basándose en las leyes que rigen el uso de recursos.

• Auditoría operacional: es el estudio que se implementa en las organizaciones de

manera absoluta a todos los procesos en general; en cuanto a las operaciones, se
supervisa cómo se está procediendo en las técnicas que se están llevando a cabo
y en las operaciones en conjunto, junto con los recursos asignados, directrices y
formación que sistematizan el correcto funcionamiento de la organización.

• Auditoría integral: con el crecimiento de las organizaciones se vio la necesidad

de implementar una auditoría que abarcara todas las áreas de las compañías, es
como así surge la auditoría integral, la cual basa su análisis enfocándose en un
grupo de personas especializadas encargadas de auditar las diferentes áreas de
las organizaciones, brindando mediante un análisis especializado, un dictamen
de las funciones y procesos establecidos, por ejemplo: las operaciones en el área
financiera y contable, comunicaciones, gerencia, TI, etc., de manera conjunta para
lograr las metas propuestas en la empresa.

• Auditoría gubernamental: es el estudio minucioso que se realiza a las operacio-

nes y procesos de un ente gubernamental, con la finalidad de examinar el desem-
peño de las áreas dentro de estos organismos, enfatizando su análisis en objetivos
planteados desde un principio como son: inversión de los recursos (presupuesto
público), regímenes, procedimientos, que normalizan la interacción y asistencia de
servicios a la sociedad.

• Auditoría de sistemas: es el estudio de nivel técnico y especializado que se imple-

menta minuciosamente a los sistemas de cómputo, software y hardware usados
dentro de las compañías, los cuales pueden ser de carácter independiente o gru-
pal (redes), a la vez que instalaciones, telecomunicaciones, etc. El objetivo de la
auditoría de sistemas es, inspeccionar la manera en que se están procesando los
datos y asegurar que la veracidad que se obtiene de los resultados sea coherente
y de acuerdo con la normatividad y operatividad de la organización, enfatizando
en la necesidad de realizar un diagnóstico a las funciones, actividades y procesos
ejercidos por el personal de la compañía en las diferentes áreas que tienen una
relación directa con los sistemas de cómputo.

Auditoría en seguridad - eje 1 conceptualicemos 8

Auditorías especializadas en áreas específicas

Especializadas en áreas específicas

Auditoría al área médica Auditoría de proyectos

(evaluación médico-sanitaria) de inversión

Auditoría al desarrollo de obras y Auditoría a la caja chica o caja

construcciones (evaluación de ingeniería) mayor (arqueos)

Auditoría al manejo de
Auditoría fiscal
mercancías (inventarios)

Auditoría laboral Auditoría ambiental

Figura 4.
Fuente: propia

• Auditoría al área médica (evaluación médico-sanitaria): es la revisión minu-

ciosa y especializada que se implementa a las ciencias de la salud por parte de
auditores especializados en esta área, orientados a generar un dictamen de los
procesos y funciones ejercidas por el personal médico, técnicos, enfermeros, etc.,
a la vez, determinar cómo es la atención prestada al usuario final, en este caso el
paciente, en las diferentes áreas dentro de estos organismos de la salud.

• Auditoría al desarrollo de obras y construcciones (evaluación de ingeniería):

es la evaluación que se implementa a las construcciones y edificaciones, casas,
puentes, etc., de manera especializada por parte de un auditor en esta rama de
la ingeniería, concentrado en emitir un dictamen especializado en la manera en
que se están desarrollando las técnicas, cálculos, y procesos en la parte civil y la
arquitectura.

• Auditoría fiscal: es la revisión a los procesos contables y financieros dentro de

una organización, llevada a cabo con el objetivo de brindar un dictamen alrededor
de dichos procesos, como lo son: el pago de impuestos en la empresa o el pago a
personal, socios y clientes.

Auditoría en seguridad - eje 1 conceptualicemos 9

• Auditoría laboral: es la evaluación que se detalla en las diferentes actividades y
procesos, relacionada con el factor humano dentro de las organizaciones, con la
finalidad de generar un dictamen en cuanto a la escogencia, formación, y progre-
so del personal, así como la adecuada gestión de las prestaciones (sociales - eco-
nómicas), implementación de contratos laborales (individual – colectivo), norma-
tividad interna, etc.

• Auditoría de proyectos de inversión: es la evaluación que se desarrolla a los

procesos de planeación y ejecución destinados a los recursos económicos en las
organizaciones (públicas – privadas) midiendo minuciosamente las inversiones de
estos recursos, con el objetivo de diagnosticar la manera en que se está llevando a
cabo este proceso de inversión.

• Auditoría a la caja chica o caja mayor (arqueos): este tipo de auditoría es una
evaluación de manera repetitiva de los movimientos de efectivo asignados dentro
de las organizaciones a las diferentes áreas de trabajo, con la prioridad de gene-
rar un diagnóstico alrededor del uso de los recursos dispuestos a gastos menores,
analizando su uso y administración de los fondos de la compañía.
• Auditoría al manejo de mercancías (inventarios): evaluación
física que se realiza mediante inventarios a los materiales, bienes o
productos de consumo de las compañías ubicados en stocks para Stocks
su posterior distribución; con la finalidad de analizar si hay una Conjunto de mercancías en
concordancia entre los registros contables y existencias físicas, así depósito o reserva.
como los inventarios de entrada y salida de las compañías.
• Auditoría ambiental: es la revisión que se realiza al ambiente en general; océa-
nos, ríos, atmósfera, aire, lagos, incluyendo la fauna y flora silvestre, con el objetivo
de generar un dictamen para prever y conservar el ambiente y la vida humana
sobre el planeta.

Instrucción

En este punto, los invito a revisar el

recurso de aprendizaje: memonota
para reforzar lo que hemos visto
hasta ahora.

Auditoría en seguridad - eje 1 conceptualicemos 10

Auditorías de sistemas computacionales

Por su área de aplicación

Informática

Con la computadora

Sin la computadora

A la gestión informática

Al sistema de computo

Alrededor de la computadora

De la seguridad de sistemas
computacionales

A los sistemas de redes

Integral a los centros de computo

Figura 5.
Fuente: propia

Auditoría en seguridad - eje 1 conceptualicemos 11

Auditoría informática
 Esta auditoría se enfoca en el estudio o revisión detallado de los sistemas informáticos
partiendo del software y hardware implementados en la compañía, con la finalidad de
reunir información que permitirá generar un informe sobre la veracidad de los activos de la
organización, una vez tenida la información, el estudio se hace de manera íntegra y eficaz
reconociendo el buen accionar de los recursos de la organización. Para tener en cuenta,
la manera en que se estén procesando los datos por cada uno de los diferentes miembros
de la organización y su correcta evaluación caracterizan la auditoría informática.

Es preciso mencionar una serie de factores que influyen a la hora de implementar la

auditoría de la seguridad informática, partiendo de una supervisión de todos los elementos
que forman parte del proceso de la información, como son los dispositivos de cómputo y su
empleabilidad, con ello se logra el resultado óptimo de desempeño en cuanto a la información
obtenida, la cual será el pilar en el momento de la toma de decisiones por parte de los entes
administrativos de la organización. A continuación, se enumeran estos factores:

• Saber en qué momento realizar actualización de los computadores.

• Costos excesivos una vez se cometen errores.

• Mal uso de los computadores.

• Toma de decisiones erradas.

• Valor de los recursos de la organización, ya sean humanos o físicos.

• Seguridad en la información.

• Privacidad por normas establecidas una vez comenzadas las operaciones dentro
de la organización.

• Rendimiento en el proceso de gestión de datos.

Objetivos de la auditoría informática

Al implementar una auditoría de la seguridad informática en las organizaciones, es

preciso tener presente cuales son los objetivos que se estiman para determinada área
dentro de las compañías, a continuación, se darán a conocer estos objetivos:

• Evaluar con personal especializado en el área de sistemas, las operaciones y acti-

vidades en la empresa, brindando un dictamen sobre estos procesos.

• Evaluar los recursos financieros implementados en las áreas de información, par-

tiendo de la empleabilidad de periféricos en estas áreas.

Auditoría en seguridad - eje 1 conceptualicemos 13

 • Examinar la disposición de equipos de cómputo dentro de las áreas de trabajo, así
como los periféricos y material técnico.

• Examinar el desempeño y beneficio que brindan los sistemas operativos y de proce-

samiento, a la vez que los programas, lenguajes y adopción de nuevas aplicaciones.

• Analizar los tiempos asignados en los lineamientos designados a las actividades y

procesos en las áreas de la compañía.

• Desarrollar un análisis en las áreas de la compañía mediante sistemas computa-

cionales empleando programas adecuados para auditar procesos en las áreas de
la empresa.

Normatividad en la auditoría de sistemas de información

En términos generales la auditoría se basa en la parte contable y financiera de las

compañías, por medio de normas establecidas por asociaciones expertas en estas áreas,
estos organismos se encargan de regular el accionar profesional de los asociados. El
conocimiento de estas normas, le permite al educando alcanzar unas fortalezas a la hora
de gestionar una auditoría de sistemas de información.

Normas generales de auditoría Normas para los auditores

Normas para la
Normas generales
capacitación del auditor

Normas para la conducta observable

Normas para el trabajo
del auditor

Normas para el desarrollo del

Normas de la información
trabajo del auditor

Normas para la emisión del

informe de la auditoría

Figura 6.
Fuente: propia

Auditoría en seguridad - eje 1 conceptualicemos 14

 A continuación, se enunciarán normas generales que son asimiladas y trabajadas por
el auditor:

Normas generales de auditoría, dispuestas por el AICPA (American Institute Certified

Public Accounting):

• Normas generales: capacitación técnica del personal a cargo de la auditoría, en

este caso el auditor debe tener una actitud sólida mentalmente hablando en cada
uno de los departamentos a auditar, así como ser consecuente con el dictamen
generado.

• Normas para el trabajo: la auditoría goza de la excelencia y eficiencia al mo-

mento de una planeación articulada con una adecuada supervisión; argumentos
que conllevan a gestionar un control interno en disposición y contenido, con la
finalidad de aplicarlo en dicha planeación, así como también las diferentes varia-
bles que forman una buena auditoría, entre las variables que podemos mencionar
están las siguientes: esencia, tiempo empleado y grado de análisis empleado en la
realización de la auditoría.

• Normas de la información: los informes generados en la auditoría deben estar

ceñidos a la normatividad contable y financiera, enfocándose en dar a conocer
las recomendaciones después del informe generado de la auditoría, es importan-
te que se den a conocer mediante observaciones, las falencias encontradas en el
accionar de las organizaciones y de las normas establecidas en un comienzo de
estas entidades.

Todo auditor debe guiar su labor por una serie de normas, las cuales debe implemen-
tar en su vida profesional, independientemente de su especialidad, a continuación, se
enuncian cuatro normas para los auditores:

1. Normas para la capacitación del auditor: es prioridad tener una capacitación

en cualquier labor que vaya a ejercer el ser humano, razón por la cual es vital para
un auditor, estar en constante capacitación para afrontar los retos y necesidades
que se encuentran frecuentemente en las compañías.

2. Normas para la conducta observable del auditor: la sola palabra auditoría nos
da un sentido de gran responsabilidad e integridad, debido a lo que está en juego,
en este caso: el desempeño de las compañías mediante un informe detallado so-
bre cómo se están desarrollando los procesos y actividades, por estas razones es
primordial que el auditor sea una persona íntegra y que goce de valores, así como
se pueda establecer unas normas que determinen el accionar del auditor, entre
estas se pueden mencionar las siguientes: normas de actitud de carácter mental,
seguida del “actuar profesional”, y posteriormente las actividades de la auditoría.

Auditoría en seguridad - eje 1 conceptualicemos 15

 3. Normas para el desarrollo del trabajo del auditor: la labor desempeñada por
un auditor tiene que ser eficaz en cada una de las áreas de las compañías, argu-
mento que motiva a que existan unos parámetros o normas para unificar esta
labor; en la actualidad se cuentan con organismos especializados orientados al
análisis y difusión de dichas normas, se contempla que las normas se empleen en
la planificación y obtención de resultados mediante el análisis de las actividades
de auditoría, empleando la supervisión y un control de manera interna, poniendo
en práctica todos los mecanismos para el desarrollo de la auditoría.

4. Normas para la emisión del informe de la auditoría: toda auditoría tiene un

objetivo, y es determinar mediante un informe detallado los incidentes obtenidos
dentro de las áreas de la compañía, este informe debe ceñirse a unas normas
para que sea consecuente y eficaz, y se obtenga el mayor beneficio dentro de las
entidades, estas normas se deben establecer en la presentación y punto de vista
del auditor, enfocándose en las directrices y fundamentos de una buena auditoría.

Control interno

El control interno se define como las pautas establecidas en las organizaciones, con la
finalidad de coadyuvar en la gestión y seguridad de las actividades y funciones, lo cual
se enfoca en una adecuada administración y por lo tanto un acato de dichas pautas.

Una vez estas pautas o medidas sean desarrolladas en su totalidad, se obtendrán

grandes ventajas a la hora de la auditoría, entre las cuales podemos mencionar: prevenir
y proteger la información dentro de las compañías; puntualmente, al hablar de control
interno se prioriza el cuidado a la información de manera contable, administrativa y
financiera; al implementar estas medidas es fundamental impulsar dentro de la compañía
el buen accionar en las funciones y actividades.

Instrucción

A continuación, lo invito a realizar el control de lectura que

encontrará en los recursos de aprendizaje de este eje, el cual
se basa en el documento:

Informe evaluación anual del sistema de control

interno contable del Ministerio y fondo de TIC

Ministerio de TIC

Auditoría en seguridad - eje 1 conceptualicemos 16

 Objetivos del control interno

Mediante el estudio del control interno de las organizaciones, se establecen unos objetivos,
los cuales se enuncian a continuación:

• Establecimiento de seguridad y protección de activos de la compañía: es vital

para las organizaciones desarrollar e implementar medidas que protejan y aseguren
los activos y recursos de la compañía, previamente asignados a los sitios de trabajo.
En sí lo que se busca, es enfocar a los miembros de la compañía a valorar los recursos
y bienes.

• Promover la confiabilidad, oportunidad y veracidad de los recursos contables,

así como de la emisión de la información financiera de la empresa: al momento
de establecer la prioridad de la protección de los bienes y activos de la compañía, el
enfoque es inspeccionar que exista un registro adecuado y veraz de los activos que
posee la compañía, este registro se consolida con el paso a paso de los movimientos
de manera contable y financiera. La finalidad de este registro, es dar a conocer el
desempeño de activos y bienes, a la vez que los beneficios o utilidades a partir de las
actividades y movimientos dentro de la compañía.

• Incrementar la eficiencia y eficacia en el desarrollo de las operaciones y activi-

dades de la empresa: para incrementar la eficacia y eficiencia en las actividades de
las áreas de la empresa, el control interno se debe enfocar en un correcto análisis en
torno del cumplimiento de las funciones y actividades dentro de la organización.

• Establecer y hacer cumplir las normas, políticas y procedimientos que regulan

las actividades de la empresa: el control interno precisa la importancia de la imple-
mentación de las normas y directrices mencionadas anteriormente para el éxito en las
actividades de la compañía.

• Implantar los métodos, técnicas y procedimientos que permitan desarrollar

adecuadamente las actividades, tareas y funciones de la empresa: este objetivo
del control interno, enfatiza la necesidad e importancia de analizar que se cumplan
los métodos, procesos y técnicas que potenciarán las actividades al interior de las
organizaciones.

Lectura recomendada

Para profundizar más en el tema, los invito a realizar la lectura

complementaria de las páginas 38 a la 40 de:

Fundamentos de auditoría: aplicación práctica de las normas

internacionales de auditoría

Carmen Karina Tapia Iturriaga

Auditoría en seguridad - eje 1 conceptualicemos 17

 Instrucción

Revise el recurso de aprendizaje: podcast, que le

ayudará a afianzar lo visto en este tema.

Importancia del control interno

Es realmente visible y claro que mediante el control interno las organizaciones obtienen una
evaluación detallada de las diferentes áreas con que cuentan para tomar medidas y salva-
guardar los bienes y activos, por este motivo, es fundamental que las empresas establezcan
un control interno, el cual brindará mediante los entes evaluadores una supervisión y posterior
informe sobre la planificación y presupuestos que serán vitales en el encaminamiento de la
organización con respecto a lo establecido en la conformación de esta, como son: objetivos,
misión y visión. Para resaltar, una vez cumplido lo mencionado, se evidencia la importancia
del control interno.

Ahora bien, en el ámbito contable existen tres métodos mediante el cual se desarrolla el
control interno en las organizaciones y suman importancia en la auditoría, a continuación,
se enuncian estos tres métodos:

• Método de cuestionario: en este método, mediante cuestionarios, se examinan los

procesos implementados en desarrollar las actividades dentro de la organización.

• Método gráfico: en este método, mediante gráficos, esquemas y tablas, se exami-

nan los procesos implementados para desarrollar las actividades dentro de las orga-
nizaciones.

• Método mixto: en este método encontramos una composición de los dos métodos
descritos anteriormente, debido a que mezcla los procesos mediante la realización de
cuestionarios con procesos llevados a cabo con gráficas y esquemas al interior de las
organizaciones.

Elementos del control interno

El control interno cuenta con unos elementos que nos brindan las herramientas para
comprender su funcionamiento, a continuación, se enunciarán estos elementos:

1. Elementos de organización: al momento de emplear este elemento de control in-

terno, debemos enfocarnos en la conexión que debe existir entre las diferentes áreas
de la compañía con los entes administrativos, partiendo de la adopción de deberes
y responsabilidades en torno a los recursos y funciones de la compañía, para alcan-
zar esta premisa es necesario un excelente diseño estructural de la organización de
las compañías. A continuación, encontraremos unos subelementos que nos brindarán
herramientas para entender este elemento:

Auditoría en seguridad - eje 1 conceptualicemos 18

 • Dirección: su principal función es la de coordinar y supervisar acciones
conjuntas entre las actividades en las diferentes áreas de la compañía y recursos
humanos, pero sin dejar de lado recursos de tipo económico y todo lo concerniente
con la infraestructura.

• Coordinación: para entender este subelemento es vital enfatizar que

debe existir en los recursos humanos una coherencia, afinidad y sensatez en la
puesta en marcha de todas las actividades, y poder contar con el apoyo de los de-
más recursos de la organización, para alcanzar este objetivo es necesario que las
actividades y procesos sean llevados a cabo con cierto grado de disciplina y orden.

• Asignación de responsabilidades: al momento de establecer los objeti-

vos de la compañía, se busca garantizar una armonía y concordancia en la ejecu-
ción de las actividades en las áreas de dicha organización; en este sentido el éxito
de las compañías depende en gran manera de la asignación de las responsabili-
dades de forma correcta a los diferentes integrantes en las áreas de la compañía.

2. Elementos de procedimientos: al momento de emplear este segundo elemento

de control interno se precisa la importancia de llevar una lógica, orden y establecer
un cronograma en los procesos y actividades en la organización para garantizar
que los objetivos establecidos se cumplan, para llevar a cabalidad este elemento
se necesita comprender unos subelementos que, a continuación, se enuncian:

• Planeación y sistematización: al momento de implementar este subele-

mento se garantiza que se construya una metodología en cuanto al desarrollo de
las actividades dentro de las organizaciones, esta premisa ligada a estar siempre
sujeto a una serie de normas y directrices que fortalecerán el accionar de los di-
ferentes entes de la organización, así como la gestión conforme a los recursos en
estos entes.

• Registros y formas: por medio de este subelemento del control interno, las
organizaciones tienen la capacidad de llevar un registro y control de las activida-
des y procesos al interior de estas, permitiendo que operaciones, transacciones y
resultados sean un elemento primordial para el desarrollo de las compañías. Para
destacar, al momento de llevar registros se pueden estandarizar de manera que se
unifiquen dentro de la organización.

• Informe: mediante los informes las organizaciones tienen una visión de to-
dos los procesos llevados a cabo hasta el momento; al tener estos informes, se
pueden establecer relaciones con los objetivos planteados desde un comienzo,
lo cual brinda herramientas para tomar medidas en pro de mejoras dentro de la
organización.

Auditoría en seguridad - eje 1 conceptualicemos 19

3. Elementos de personal: este subelemento es el más importante dentro del con-
trol interno, debido a que el recurso humano es invaluable; mediante este recurso
la organización puede llevar a cabo todas las actividades, procesos, informes, etc.
Por consiguiente, es necesario tener presentes los siguientes subelementos:

• Entrenamiento: con la adopción de este subelemento se garantiza que las

actividades sean llevadas a cabo por el personal de la organización de ahí su gran
importancia y la necesidad de capacitar al personal implementando seminarios,
cursos, autocapacitación, etc.

• Eficiencia y eficacia: al referirnos a lo eficiente y eficaz que son las personas

en una organización, debemos analizar las habilidades y destrezas que poseen
para realizar los procesos y tareas dentro de las determinadas áreas, para lograr el
objetivo una vez planteado.

• Moralidad: todos los seres humanos nos guiamos por unos principios mo-
rales, al implementar este subelemento de control interno en la organización, se
asegura que la gestión en el desarrollo de los procesos sea de manera idónea y
adecuada garantizando un objetivo común, el bienestar de la empresa.

• Retribución: la importancia que tiene este subelemento para el recurso

humano dentro de las organizaciones es prioridad, debido a que debe existir una
relación conforme a las prestaciones y la labor desempeñada, partiendo de las
habilidades, destrezas, conocimientos y desempeño en las diferentes áreas de la
empresa.

4. Elementos de supervisión: este elemento es el pilar de la auditoría debido a que,

mediante la revisión y supervisión de los procesos y actividades en los recursos de
la organización, se le da sentido a la auditoría. Para comprender este elemento se
enunciarán unos subelementos:

• Revisión para precisar: se fundamenta en conseguir lo más valioso que

tienen las organizaciones y es la información, una vez obtenida esta, se procede al
análisis y posterior evalúo, con el objetivo de identificar si el proceso dentro de las
compañías se está llevando a cabo de la mejor manera, esta revisión debe volverse
un quehacer de la empresa.

• Pérdidas y deficiencias: uno de los objetivos de desarrollar las auditorías

en las organizaciones, es evitar las pérdidas, esto se logra en buena medida a la
supervisión constante en las diferentes áreas de la organización.

• Mejores métodos: cuando se tienen métodos de trabajo adecuados e idó-

neos se garantiza que mediante el control interno en las organizaciones las activi-
dades y procesos sean llevados a cabo de la mejor manera, con algo fundamental
y es una supervisión periódica.

Auditoría en seguridad - eje 1 conceptualicemos 20

 • Mejores formas de control: al establecer dentro de las buenas prácticas, el
control interno en las organizaciones, la supervisión de los procesos se realiza de la
mejor manera en las actividades, por eso se recomienda implementar.

• Operaciones más eficientes: con el control interno establecido de la mejor

manera dentro de las organizaciones y una buena supervisión, se está garantizan-
do que las operaciones sean óptimas y las esperadas por la compañía.

• Mejor uso de recursos físicos y humanos: con una adecuada supervisión se

garantiza la mejor adecuación de los recursos físicos y desempeño de los recursos
humanos, enfatizando que el control interno es el fundamento de las auditorías.

Mediante la realización de este eje, los estudiantes han adquirido conocimientos sobre
temas fundamentales en la auditoría de la seguridad informática, partiendo de los con-
ceptos y características de auditoría, objetivos y clases de auditorías, así como la temática
relacionada con el control interno y sus elementos.

Instrucción

Para finalizar lo invito a revisar la infografía de los recursos de aprendizaje, y

desarrollar la actividad de aprendizaje: emparejamiento.

Adicionalmente, con lo expuesto en este eje y con ayuda de los recursos que
hemos dispuesto para usted, puede proceder a realizar la actividad evaluativa.

Auditoría en seguridad - eje 1 conceptualicemos 21

 Bibliografía

Alcántara, P. (2009). El auditor frente a la evolución tecnológica. Recuperado de

http://www.ilustrados.com/tema/2148/auditor-frente-evolucion-tecnologica.
html

Aumatell, C. (2013). Auditoría de la información: identificar y explotar la infor-

mación en las organizaciones. Barcelona, España: Editorial UOC.

Cacho, S. (2013). El proceso iberoamericano de convergencia con las normas inter-

nacionales de auditoría. Barcelona, España: Plaza y Valdés, S.A.

Derrien, Y. (2009). Técnicas de la auditoría informática. Marcombo.

BIBLIOGRAFÍA

González, E. (2010). Modelo sistémico de auditoría interna con enfoque de riesgo.

Santiago de Chile, Chile: Editorial Universitaria.

Instituto Mexicano de Contadores Públicos (2017). Normas de auditoría para ates-

tiguar, revisión y otros servicios relacionados. México, México: Instituto Mexicano
de Contadores Públicos.

Jiménez, A. (2009). Historia de la auditoría. Bogotá, Colombia: El Cid Editor.

Pérez, M. (2012). Fundamentos teóricos de auditoría financiera. Madrid, España:

Difusora Larousse - Ediciones Pirámide.

Portera, A. (2009). La auditoría de seguridad en la protección de datos de carácter

personal. Ediciones experiencia.

Riquelme, J. (2016). Teoría y práctica de la auditoría I: concepto y metodología.

Madrid, España: Difusora Larousse - Ediciones Pirámide.

Santos, J. (2014). Seguridad informática. Bogotá, Colombia: RA-MA Editorial.

Tapia, C. (2016). Fundamentos de auditoría: aplicación práctica de las normas in-

ternacionales de auditoría. México, México: Instituto Mexicano de Contadores
Públicos.

Tejada, E. (s.f.). Auditoría de seguridad informática (MF0487_3). Málaga, España:

IC Editorial.

Troncoso, R. V. (2005). Apuntes del estudiante de auditoría. Bogotá, Colombia: El

Cid Editor.

Urbina, G. B. (2016). Introducción a la seguridad informática. Guadalajara, México:

Grupo Editorial Patria.