EVALUACIÓN Y AUDITORÍA ADMINISTRATIVA DE NEGOCIOS

Auditoría operacional de los sistemas administrativos

7. Auditoría operacional de los sistemas administrativos

Se trata de un tipo de auditoría que busca revisar el estado de diversos elementos como sistemas de
seguridad, seguridad física de los equipos, software, entre otros.

7.1. Concepto de sistema administrativo

La revisión en la administración de sistemas busca evaluar:

— La eficiencia en la compra y uso de los recursos informáticos.

— La fiabilidad, la unidad, la seguridad y la veracidad en la información.
— La eficiencia de los sistemas de información (Castello, 2006).

Este tipo de auditoría es diferente a la financiera, ya que esta última revisa las prácticas contables, mien-
tras que la de sistemas evalúa los protocolos de seguridad y los procesos de desarrollo o de supervisión,
con la intención de proteger los activos de información, evaluar los riesgos e implementar controles.
Engloba los subsistemas de teleproceso, entrada/salida y el software básico.

3
EVALUACIÓN Y AUDITORÍA ADMINISTRATIVA DE NEGOCIOS

7.2. Objetivos

El objetivo de la auditoría de sistemas consiste en:

— La colocación y mantenimiento de sistemas en la seguridad.

— La disminución de los riesgos que tienen que ver con los sistemas de información.
— El aumento de la fiabilidad de los usuarios internos y externos en los sistemas de información.

Este tipo de auditoría evita la toma de decisiones que perjudiquen el manejo de la seguridad en los sis-
temas, disminuye el costo de las tecnologías en informática, protege el valor del hardware, software y al
personal, así como la privacidad de datos personales y el hackeo en redes.

7.3. Alcance de los sistemas administrativos en la organización

El alcance define con precisión el entorno y los límites en que va a desarrollarse la auditoría informática,
por lo que se deben plantear las siguientes preguntas: ¿se someterán los registros grabados a un control
de integridad exhaustiva?, ¿se comprobará que los controles de validación de errores son adecuados
y suficientes? (Universidad Autónoma del Estado de Hidalgo, s.f.).

Dentro de la auditoría informática se establecen tres áreas generales: de explotación, de sistemas, de

comunicaciones y de desarrollo de proyectos (Universidad Autónoma del Estado de Hidalgo, s.f.):

— La auditoría de la explotación informática busca resultados en los sistemas de todo tipo: listados
impresos, ficheros con grabación de soporte para otros informáticos u órdenes programadas, para
mejorar procesos industriales, etcétera.
— La auditoría en los sistemas de redes se enfoca en la revisión de los tipos de red, para establecer
mejoras y verificar los grados de eficiencia.
— La auditoría informática de desarrollo de proyectos o aplicaciones consiste en la revisión de los
pasos para desarrollar proyectos por parte de la empresa auditada.

El análisis se basa en cuatro aspectos fundamentales según Betancourt (2015):

a. Revisión de las estrategias más útiles

b. Control interno de las aplicaciones: estudio de factibilidad de la aplicación
a. Definición lógica de la aplicación
b. Desarrollo técnico de la aplicación
c. Diseño de programas
d. Métodos de pruebas
e. Documentación

4
EVALUACIÓN Y AUDITORÍA ADMINISTRATIVA DE NEGOCIOS

f. Equipos de programación
g. Satisfacción de usuarios
h. Control de procesos y ejecuciones de programas críticos.

Si los programas fuente y los programa módulo no coincidieran podría provocar graves y altos costos
de mantenimiento, incluso fraudes, sabotaje, espionaje, etcétera.

7.4. Revisión manual de procedimientos

De acuerdo con Betancourt (2015), los manuales de procesos y procedimientos conforman uno de los
elementos principales del sistema de control interno, ya que permiten un mayor desarrollo en la búsqueda
del autocontrol, al dirigir de manera sistemática la ejecución del trabajo que se realiza en la unidad de
auditoría interna.

Funcionan como una herramienta que permitirá a la unidad de auditoría interna integrar una serie de
acciones encaminadas a agilizar el trabajo que se realiza, fomentando la calidad de las auditorías que
se practiquen a través de lineamientos uniformes.

7.5. Estudio y evaluación de control interno

El informe coso (2019) define el control interno como las normas, los procedimientos, las prácticas y
las estructuras organizativas diseñadas para proporcionar seguridad razonable de que los objetivos de
la empresa se alcanzarán y que los eventos no deseados se preverán, detectarán y corregirán.

Los componentes del control interno son:

1. Actividades de control: son las políticas y procedimientos que ayudan a asegurar que se toman
las medidas para limitar los riesgos.
2. Informática y comunicación: se debe identificar, ordenar y comunicar lo que los subordinados
requieren para cumplir con su trabajo.
3. Supervisión: debe existir una vigilancia de que sistema de control interno funciona.

Las auditorías que se pueden aplicar, según el informe coso (2019), son las siguientes:

— Auditoría de la gestión: contratación de bienes y servicios, documentación de los programas,

etcétera.
— Auditoría legal del reglamento de protección de datos: cumplimiento legal de las medidas
de seguridad exigidas por el reglamento de desarrollo de la Ley Federal de Protección de Datos
Personales.

5
EVALUACIÓN Y AUDITORÍA ADMINISTRATIVA DE NEGOCIOS

— Auditoría de los datos: clasificación de los datos, estudio de las aplicaciones y análisis de los
flujogramas.
— Auditorías de las bases de datos: controles de acceso, de actualización, de integridad y calidad
de los datos.
— Auditoría de la seguridad: disponibilidad, integridad, confidencialidad, autenticación y no repudio
de datos.
— Auditoría de la seguridad física: se refiere a la ubicación de la organización, busca evitar
ubicaciones de riesgo y en algunos casos no revela la situación física de ésta. También está referida
a las protecciones externas (arcos de seguridad, cctv, vigilantes, etcétera) y protecciones del
entorno.
— Auditoría de la seguridad lógica: comprende los métodos de autenticación de los sistemas de
información.
— Auditoría de las comunicaciones: se refiere a la auditoría de los procesos de autenticación en los
sistemas de comunicación.
— Auditoría de la seguridad en producción: frente a errores, accidentes y fraude.

Los controles internos se clasifican en:

a. Controles preventivos para evitar un evento no deseado en todas las áreas y en equipo de cómputo
o sistemas de telecomunicaciones; por ejemplo, este sería un software que impida los accesos no
autorizados al sistema.
b. Controles detectivos para descubrir errores posteriores, como registros de intentos de acceso no
autorizados.
c. Controles correctivos para elaborar planes de contingencia, tal como una copia de seguridad.

Según Muñoz (2002), la metodología general para la auditoría es la siguiente:

— Planeación: consiste en la elaboración de los programas de trabajo que se llevarán a cabo durante
la revisión.
— Trabajos preliminares: entrevistas para aclarar las características básicas del trabajo y lo que hará
el auditor.
— Diagnóstico administrativo: proporcionar una panorámica de cómo la empresa percibe y practica
la administración.
— Investigación previa: la idea es obtener una idea de cómo se encuentra la empresa y el trabajo
que se deberá realizar.
— Elaboración del programa de la ai: planeación del trabajo con actividades a realizarse, tiempos
y responsables.
— Atención de la información: uso de entrevistas, encuestas, observación dependiendo del tipo de
información que se necesite.

6
EVALUACIÓN Y AUDITORÍA ADMINISTRATIVA DE NEGOCIOS

— Análisis clasificación y evaluación de la información: uso de métodos estadísticos para la

evaluación de la información.
— Informe: elaboración y presentación del informe final; presentación de los resultados
— Implementación y seguimiento: revisión de que las acciones se están siguiendo de acuerdo a lo
planeado y funcionan.

Algunos de los problemas que se presentan regularmente en las áreas de sistema son:

1. Sistemas no integrales o aislados.

2. Deficiente comunicación entre usuarios y personal del procesos electrónicos de datos.
3. Escasez de personal profesional.
4. Expectativas no cumplidas, insatisfechas de los usuarios.
5. Ausencia de pistas de auditoría.
6. Falta de revisiones técnicas a detalle.
7. Entrenamiento deficiente.
8. Carencia o incompleta documentación de sistemas.
9. Desaprovechamiento tecnológico.

La auditoría del equipo de cómputo, según Muñoz (2002), debe incluir los siguientes aspectos:

1. Determinación del presupuesto.

2. Consideraciones financieras.
3. Requisitos de la aplicación.
4. Selección de posibles proveedores.
5. Petición formal de propuestas.
6. Licencias.
7. Plan de instalación.
8. Plan de implantación.

Muñoz (2002) menciona que la revisión del sistema operativo incluye:

1. Carga inicial del sistema.

2. Aplicación de actualizaciones o modificaciones.
3. Retención del registro de la actividad en consola y contabilidad del trabajo.

La revisión de la seguridad física incluye establecer medidas cuando suceden fenómenos naturales
como incendios, terremotos, huracanes, tormentas, inundaciones o picos de voltaje, y cuando ocurran

7
EVALUACIÓN Y AUDITORÍA ADMINISTRATIVA DE NEGOCIOS

actos como vandalismo, robo de equipo y documentos, copias, consulta o divulgación de información
confidencial, alteración de equipos sensibles o cambio no autorizado de datos.

Asimismo, Téllez (2004) menciona que la seguridad física debe proteger las áreas de:

1. Sala de cómputo.
2. Consola del operador.
3. Impresoras.
4. Equipo de teleproceso.
5. Fuente de poder.
6. Lugar donde se guardan las cintas.
7. Bóvedas de respaldos.
8. Oficina de control de entradas y salidas.
9. Área de programación.

La revisión abarca la verificación de controles sobre la ubicación del equipo, facilidad de acceso, alimen-
tación de energía eléctrica, líneas telefónicas privadas de respaldo, índice de delincuencia, sismos y el
material de construcción y mobiliario. En este sentido, es importante evitar alfombras que causen estática
y puertas y ventanas cerca del equipo de cómputo; también se debe contar con bóvedas resistentes al
calor, detectores de humo, sismos, agua y mobiliario resistente al fuego.

El control de acceso se encarga de revisar cerraduras de combinación, cerraduras para terminales,

circuito cerrado de televisión, alarmas, puertas blindadas, registro de visitantes y uso de credenciales.

La identificación, autenticación y autorización de los accesos del personal se logran mediante el uso de:

1. Información memorizada de las contraseñas.

2. Objetos, tarjetas plásticas con bandas magnéticas, llaves.
3. Características personales voz, huella digital, retina del ojo.

7.6. Informe, conclusiones y recomendaciones

El informe de auditoría deberá contener, según Téllez (2004), como mínimo los siguientes elementos
básicos:

1. A quién se dirige y quienes lo encargaron.

2. El párrafo de alcance.
3. El párrafo de opinión.
4. El párrafo o párrafos de énfasis.
5. El párrafo o párrafos de salvedades.

8
EVALUACIÓN Y AUDITORÍA ADMINISTRATIVA DE NEGOCIOS

6. El párrafo sobre el informe de gestión.

7. La firma del informe por el auditor.
8. El nombre, dirección y datos registrales del auditor.
9. La fecha del informe.
10. El párrafo legal o comparativo.
11. Debe indicar el alcance del trabajo, si ha sido posible llevarlo a cabo y con base en qué normas
de auditoría.
12. Expresa si las cuentas anuales de gastos en los recursos informáticos han sido formuladas de
acuerdo con la legislación vigente.
13. Se opina también sobre la concordancia de la información contable versus recursos informáticos.
14. Explica, en su caso, desviaciones contra el plan original.

Ahora bien, existen cuatro tipos de opinión en auditoría:

1. Opinión favorable: el auditor está de acuerdo sobre la presentación y contenido de los

procedimientos.

2. Opinión con salvedades: el auditor está de acuerdo con los procedimientos y utilización de los
recursos informáticos, pero con ciertas reservas.

3. Opinión desfavorable o negativa: el auditor está en desacuerdo con los procedimientos utilizados
para el manejo de los recursos informáticos.

4. Opinión denegada: el auditor no expresa ningún dictamen sobre el manejo de los recursos
informáticos.

Caso práctico

A continuación se presenta el proceso para realizar la auditoría a la escuela primaria “Nueva Creación”,
tomado de Gonzalez y De la Rosa (2016). Se inicia exponiendo los objetivos y alcances del proceso
de auditoría y datos generales de la institución obtenidos en la visita, así como la misión, la visión y
el organigrama. Después se incluye el plan de auditoría, donde se plasman los cuestionarios con las
preguntas correspondientes según los aspectos que serán evaluados.

Para que todo esté bien fundamentado, se incluyeron evidencias correspondientes a las situaciones
encontradas y también sobre los datos que durante la entrevista se obtuvieron. Por último, se anexaron
los cuestionarios con las respuestas obtenidas durante la entrevista realizada a la directora del plantel
y el dictamen final emitido por los evaluadores.