En una carpeta blanca del IV Encuentro de Usuarios GENEXUS realizado en el año 1993, me encontré entre documentos del evento, una foto de un equipo de fútbol. La foto data del año 1977 cuando estando en plenos estudios informáticos, nos fuimos con compañeros y compañeras a Punta del Este (en pleno julio), a realizar un partido amistoso contra un equipo de la península y después degustar un excelente asado. Tan sólo éramos los once titulares y un suplente. Las chicas alentaban, apoyaban y sacaban las fotos. Ganamos 2 a 1, y realmente fue una demostración de ataque ofensivo como nunca habíamos realizado, sorprendiendo no solo al rival, sino que también a nosotros mismos. El equipo anfitrión contrato los árbitros de la Liga de Maldonado, o sea que todo era casi oficial. Pero la sorpresa me la llevé observando bien la foto, trayéndome nostalgia de compañeros que nunca más supe que fue de sus vidas, de momentos compartidos en aquella gloriosa época de estudiante...... pero bueno lo importante de la anécdota es que observando la foto como decía líneas arriba y viendo nuestros rostros jóvenes, el cabello largo, yo sentado al medio de la delantera sobre la pelota al mejor estilo de Fernando Morena, cuento los integrantes del equipo y somos once con camiseta, más el arquero, y no recuerdo que hayamos realizado algún cambio. Jugamos 12 contra 11 todo el encuentro !!!!, con razón nuestra delantera apabulló al rival e hicimos una demostración de ofensiva total, ni el árbitro, ni los rivales, ni nosotros sinceramente, nos dimos cuenta de la diferencia numérica. Una vieja foto y en blanco y negro es testimonia de lo acontecido. Cosas que mi baúl me hace saber.
sábado, 9 de junio de 2007
lunes, 19 de marzo de 2007
El Torrente del Pensamiento
Hemos llamado a este capitulo “Torrente del Pensamiento” a semejanza de unos de los capítulos de “Principios de Psicología” escrito por el filosofo William James precursor de la psicología contemporánea, porque además realizamos un paralelismo en lo señalado en sus escritos y lo necesario para obtener una excelente administración tecnológica, basándonos como él, en el conocimiento de la verdad y evitar los errores.
El pensamiento lejos de ser una mera agrupación de elementos simples, de carácter estático y mecánico, aparece como una corriente cambiante y continua, que acoge o rechaza, acentúa ciertos aspectos frente a otros, atiende, abstrae, valora, y en una palabra, exige.
Al pensamiento podemos presentarlo en cinco puntos:
1) Todo pensamiento tiende a formar parte de un objetivo.
2) Dentro de cada objetivo, el pensamiento y la información están cambiando siempre, evolucionando.
3) Dentro de cada objetivo, el pensamiento es sensiblemente continuo.
4) Siempre debe realizarse en objetivos independientes pero relacionados entre sí.
5) Estar interesado en los objetivos, con la opción de exclusión o modificación.
Desarrollamos entonces estos puntos:
1) El pensamiento tiende a formar parte del objetivo trazado, el objetivo como algo descriptivo. No se trata de aceptar una determinada teoría sobre el objetivo, sino que tomar la experiencia como base de conocimiento. Muchas veces hay casos en los cuales conjuntamente con el objetivo aparecen otros, secundarios y/o alternativos, no es más que una división del objetivo principal, es decir un conjunto mayor o menor de pensamientos que se separan del principal.
2) El pensamiento está en cambio constante, evolucionando siempre. Esto índica que los objetivos son irreversibles. El cambio o sustitución de un objetivo por otro, es un hecho que se da directamente con la experiencia. Las causas de la evolución o cambio constante del pensamiento son diversas; en primer lugar lo que se modifica es nuestra capacidad para captar las necesidades del momento; en segundo lugar que todo objetivo es una resultante de hechos y necesidades que se agrega a nuestra experiencia presente; y en tercer lugar, el conjunto de necesidades que forman el pensamiento que dará vida al objetivo. Entonces podemos decir que sí los objetivos se componen de partes, igualmente el pensamiento que da forma al objetivo es una suma de partes; sí el objetivo es sencillo, el pensamiento es sencillo; sí es múltiple, el pensamiento es múltiple; sí es permanente, el pensamiento será permanente, y siempre en todos lo casos evolutivo.
3) Que el pensamiento sea sensiblemente continuo dentro de un objetivo significa dos cosas: 1) que aún cuando haya hueco de tiempo, una intervención en las actividades, el pensamiento, las ideas, se relacionan las anteriores y las posteriores manteniendo un todo. 2) que los cambios nunca deben ser generalmente abruptos.
Este torrente del pensamiento, base fundamental para realizar los objetivos, podemos compararlo como bien lo hace el ya citado William James en sus Principios de Psicología, como la vida de un pájaro, la cual está compuesta de una sucesión de vuelos y posaduras.
Los momentos en que el torrente se posa o se detiene es donde por un tiempo indefinido pueden ser contemplados y sin cambiar; al contrario los sitios de vuelos están llenos de pensamientos, de ideas, de relaciones dinámicas, que la mayoría de las veces se obtienen entre las partes del objetivo contemplados en los periodos de relativo descanso. Entonces podemos llamarlos igual que James, estados sustantivos a los lugares de descanso y estados transitivos a los sitios de vuelo.
En la realización de un proyecto, y en esa concreción de sus objetivos, el pensamiento, las ideas, deben perseguir siempre obtener un nuevo estado sustantivo, entonces la principal función de las partes transitivas es llevarnos de un estado sustantivo a otro. De esta manera iremos alcanzando los puntos definidos dentro del objetivo, pudiendo también realizar modificaciones que mejoren la actividad y tener un completo control de lo que hemos diseñado. Los estados sustantivos serían como etapas de observación y control de sí el proyecto se va cumpliendo debidamente o hay que realizar cambios.
4) El pensamiento, base de la creatividad, para concretar el proyecto debe ser un comunicador entre los objetivos independientes, debe poseer por sobre todas las cosas la función del conocimiento, por más complejos que sean los objetivos el pensamiento debe ser una unidad, el cual tiene un comienzo, una duración y un final.
5) La exclusión o modificación de un objetivo hace que el pensamiento sea selectivo, se debe trabajar sobre la información que se recibe colocando todo el interés necesario para alcanzar lo propuesto. El conocimiento y la experiencia son quienes nos ayudan en esta etapa de deliberación.
Para finalizar este capitulo y no saliendo del ámbito psicológico, agregamos que Descartes afirmaba la existencia del yo partiendo del pensamiento, “Pienso, luego existo”; Maine de Brian sostenía que el punto de partida inmediato es la existencia del yo como actividad, “Actúo, luego existo”, o sea yo soy una fuerza actuante, de esta manera podríamos decir que “Me informo, luego existo”, dando así una importancia a esta era de la información en la que vivimos
El pensamiento lejos de ser una mera agrupación de elementos simples, de carácter estático y mecánico, aparece como una corriente cambiante y continua, que acoge o rechaza, acentúa ciertos aspectos frente a otros, atiende, abstrae, valora, y en una palabra, exige.
Al pensamiento podemos presentarlo en cinco puntos:
1) Todo pensamiento tiende a formar parte de un objetivo.
2) Dentro de cada objetivo, el pensamiento y la información están cambiando siempre, evolucionando.
3) Dentro de cada objetivo, el pensamiento es sensiblemente continuo.
4) Siempre debe realizarse en objetivos independientes pero relacionados entre sí.
5) Estar interesado en los objetivos, con la opción de exclusión o modificación.
Desarrollamos entonces estos puntos:
1) El pensamiento tiende a formar parte del objetivo trazado, el objetivo como algo descriptivo. No se trata de aceptar una determinada teoría sobre el objetivo, sino que tomar la experiencia como base de conocimiento. Muchas veces hay casos en los cuales conjuntamente con el objetivo aparecen otros, secundarios y/o alternativos, no es más que una división del objetivo principal, es decir un conjunto mayor o menor de pensamientos que se separan del principal.
2) El pensamiento está en cambio constante, evolucionando siempre. Esto índica que los objetivos son irreversibles. El cambio o sustitución de un objetivo por otro, es un hecho que se da directamente con la experiencia. Las causas de la evolución o cambio constante del pensamiento son diversas; en primer lugar lo que se modifica es nuestra capacidad para captar las necesidades del momento; en segundo lugar que todo objetivo es una resultante de hechos y necesidades que se agrega a nuestra experiencia presente; y en tercer lugar, el conjunto de necesidades que forman el pensamiento que dará vida al objetivo. Entonces podemos decir que sí los objetivos se componen de partes, igualmente el pensamiento que da forma al objetivo es una suma de partes; sí el objetivo es sencillo, el pensamiento es sencillo; sí es múltiple, el pensamiento es múltiple; sí es permanente, el pensamiento será permanente, y siempre en todos lo casos evolutivo.
3) Que el pensamiento sea sensiblemente continuo dentro de un objetivo significa dos cosas: 1) que aún cuando haya hueco de tiempo, una intervención en las actividades, el pensamiento, las ideas, se relacionan las anteriores y las posteriores manteniendo un todo. 2) que los cambios nunca deben ser generalmente abruptos.
Este torrente del pensamiento, base fundamental para realizar los objetivos, podemos compararlo como bien lo hace el ya citado William James en sus Principios de Psicología, como la vida de un pájaro, la cual está compuesta de una sucesión de vuelos y posaduras.
Los momentos en que el torrente se posa o se detiene es donde por un tiempo indefinido pueden ser contemplados y sin cambiar; al contrario los sitios de vuelos están llenos de pensamientos, de ideas, de relaciones dinámicas, que la mayoría de las veces se obtienen entre las partes del objetivo contemplados en los periodos de relativo descanso. Entonces podemos llamarlos igual que James, estados sustantivos a los lugares de descanso y estados transitivos a los sitios de vuelo.
En la realización de un proyecto, y en esa concreción de sus objetivos, el pensamiento, las ideas, deben perseguir siempre obtener un nuevo estado sustantivo, entonces la principal función de las partes transitivas es llevarnos de un estado sustantivo a otro. De esta manera iremos alcanzando los puntos definidos dentro del objetivo, pudiendo también realizar modificaciones que mejoren la actividad y tener un completo control de lo que hemos diseñado. Los estados sustantivos serían como etapas de observación y control de sí el proyecto se va cumpliendo debidamente o hay que realizar cambios.
4) El pensamiento, base de la creatividad, para concretar el proyecto debe ser un comunicador entre los objetivos independientes, debe poseer por sobre todas las cosas la función del conocimiento, por más complejos que sean los objetivos el pensamiento debe ser una unidad, el cual tiene un comienzo, una duración y un final.
5) La exclusión o modificación de un objetivo hace que el pensamiento sea selectivo, se debe trabajar sobre la información que se recibe colocando todo el interés necesario para alcanzar lo propuesto. El conocimiento y la experiencia son quienes nos ayudan en esta etapa de deliberación.
Para finalizar este capitulo y no saliendo del ámbito psicológico, agregamos que Descartes afirmaba la existencia del yo partiendo del pensamiento, “Pienso, luego existo”; Maine de Brian sostenía que el punto de partida inmediato es la existencia del yo como actividad, “Actúo, luego existo”, o sea yo soy una fuerza actuante, de esta manera podríamos decir que “Me informo, luego existo”, dando así una importancia a esta era de la información en la que vivimos
martes, 6 de febrero de 2007
Administración Tecnológica
La Administración Tecnológica de una institución pública debe implementar una gran cantidad de soluciones especializadas a las necesidades institucionales, buscando con ello su satisfacción de la manera más eficiente, eficaz y económica posible, en pos siempre de un mejor servicio al usuario y que esta Administración Tecnológica esté al nivel de lo exigido en estos tiempos en que estamos viviendo, la era de la información.
Para que sus tareas se realicen a satisfacción, esta dependencia debe estar constituida de una manera que contemple los métodos modernos de administración en términos tecnológicos, que realmente sea una Gestión Tecnológica que esté presente también con las diferentes definiciones de tecnología, acompañada de una Gerencia del Conocimiento, que sea un proceso que apoye a la institución en la búsqueda de una posición competitiva y nuevas oportunidades, para eso se proponen una serie de objetivos y actividades que deben cumplirse.
Objetivos:
*Formular una estrategia de alcance organizacional para el desarrollo, adquisición y aplicación del conocimiento.
*Implementar estrategias orientadas al conocimiento buscando el apoyo de los estamentos influyentes de la institución.
*Promover el mejoramiento continuo de los procesos del negocio, enfatizando la generación y utilización del conocimiento.
*Monitorear y evaluar los logros obtenidos mediante la aplicación del conocimiento.
Actividades:
*Divulgación del conocimiento (por ejemplo, lecciones aprendidas, mejores prácticas, etc.) para que todos los miembros de la organización puedan utilizar el conocimiento en el contexto de sus actividades diarias.
*Asegurarse que el conocimiento está disponible en el sitio donde es más útil para la toma de decisiones.
*Asegurarse que el conocimiento está disponible donde lo necesitan los procesos del negocio.
*Facilitar la efectiva y eficiente generación de nuevo conocimiento (por ejemplo, actividades de investigación y desarrollo, aprendizaje a partir de casos históricos etc.)
*Apoyar la adquisición de conocimiento de fuentes externas y desarrollar la capacidad de asimilarlo y utilizarlo.
*Asegurarse que el nuevo conocimiento está disponible para aquellas personas en la organización que realizan actividades basadas en ese nuevo conocimiento (por ejemplo, distribución de las lecciones aprendidas).
*Asegurarse que toda persona en la organización sabe dónde se encuentra disponible el conocimiento en la institución.
Para que sus tareas se realicen a satisfacción, esta dependencia debe estar constituida de una manera que contemple los métodos modernos de administración en términos tecnológicos, que realmente sea una Gestión Tecnológica que esté presente también con las diferentes definiciones de tecnología, acompañada de una Gerencia del Conocimiento, que sea un proceso que apoye a la institución en la búsqueda de una posición competitiva y nuevas oportunidades, para eso se proponen una serie de objetivos y actividades que deben cumplirse.
Objetivos:
*Formular una estrategia de alcance organizacional para el desarrollo, adquisición y aplicación del conocimiento.
*Implementar estrategias orientadas al conocimiento buscando el apoyo de los estamentos influyentes de la institución.
*Promover el mejoramiento continuo de los procesos del negocio, enfatizando la generación y utilización del conocimiento.
*Monitorear y evaluar los logros obtenidos mediante la aplicación del conocimiento.
Actividades:
*Divulgación del conocimiento (por ejemplo, lecciones aprendidas, mejores prácticas, etc.) para que todos los miembros de la organización puedan utilizar el conocimiento en el contexto de sus actividades diarias.
*Asegurarse que el conocimiento está disponible en el sitio donde es más útil para la toma de decisiones.
*Asegurarse que el conocimiento está disponible donde lo necesitan los procesos del negocio.
*Facilitar la efectiva y eficiente generación de nuevo conocimiento (por ejemplo, actividades de investigación y desarrollo, aprendizaje a partir de casos históricos etc.)
*Apoyar la adquisición de conocimiento de fuentes externas y desarrollar la capacidad de asimilarlo y utilizarlo.
*Asegurarse que el nuevo conocimiento está disponible para aquellas personas en la organización que realizan actividades basadas en ese nuevo conocimiento (por ejemplo, distribución de las lecciones aprendidas).
*Asegurarse que toda persona en la organización sabe dónde se encuentra disponible el conocimiento en la institución.
La institución pública a través de esta nueva dependencia tendrá como objetivos primordiales el gobierno digital, excelente operativa y relaciones exitosas, teniendo como estrategias principales dentro de la Tecnología de la Información estos puntos:
· Integrar los proyectos de Tecnológica de la Información con los objetivos de la institución
· Homogeneizar la plataforma tecnológica.
· Mejorar la infraestructura de comunicaciones.
· Reorganizar el recurso humano de la dependencia tecnológica.
· Sistematizar la capacitación.
· Aumentar el porcentaje de la inversión en tecnología de la información.
Esta nueva dependencia debe basarse fundamentalmente en el conocimiento, en esos activos intangibles que existen en la institución y que hasta ahora no han sido explotados para bien de la misma, debe transmitir una sinergia motivadora, debe ser dinámica, creativa e innovadora.
La administración tecnológica abarca muchos aspectos, tanto en el campo operativo como también en el administrativo y las tareas concernientes a una Administración Tecnológica Orientada Mediante Objetivos van más allá del cumplimiento con lo estrictamente formal referente al tema técnico, aunque este también se debe administrar.
· Integrar los proyectos de Tecnológica de la Información con los objetivos de la institución
· Homogeneizar la plataforma tecnológica.
· Mejorar la infraestructura de comunicaciones.
· Reorganizar el recurso humano de la dependencia tecnológica.
· Sistematizar la capacitación.
· Aumentar el porcentaje de la inversión en tecnología de la información.
Esta nueva dependencia debe basarse fundamentalmente en el conocimiento, en esos activos intangibles que existen en la institución y que hasta ahora no han sido explotados para bien de la misma, debe transmitir una sinergia motivadora, debe ser dinámica, creativa e innovadora.
La administración tecnológica abarca muchos aspectos, tanto en el campo operativo como también en el administrativo y las tareas concernientes a una Administración Tecnológica Orientada Mediante Objetivos van más allá del cumplimiento con lo estrictamente formal referente al tema técnico, aunque este también se debe administrar.
ESTRUCTURA de la DEPENDENCIA
La estructura de esta nueva dependencia debe estar conformada de una forma moderna y práctica, cada oficina tiene implícita su secretaría para elaborar sus documentaciones y manuales de cada actividad, mantener el archivo técnico y documental, las oficinas interactúan entre sí, siendo administradas por el Administrador Tecnológico que tiene como máxima responsabilidad hacer cumplir el Plan Estratégico de Tecnología de la Información de la Institución.
La estructura de esta nueva dependencia debe estar conformada de una forma moderna y práctica, cada oficina tiene implícita su secretaría para elaborar sus documentaciones y manuales de cada actividad, mantener el archivo técnico y documental, las oficinas interactúan entre sí, siendo administradas por el Administrador Tecnológico que tiene como máxima responsabilidad hacer cumplir el Plan Estratégico de Tecnología de la Información de la Institución.
PROCEDIMIENTOS Y FUNCIONES
ADMINISTRADOR TECNOLÓGICO:
· Promover el desarrollo tecnológico integral de la institución, así como establecer y coordinar una política institucional en tecnología basado en un Plan Estratégico de Tecnología de la Información, con el fin de propiciar y mantener una organización inteligente y de avanzada, que aproveche sus recursos intensa y eficazmente.
· A través del Plan Estratégico de Tecnología de la Información coordinar las tareas de:
Ø Diseño, control, evaluación e implementación de los proyectos.
Ø Estudio de los análisis y controles realizados por la Auditoria Tecnológica permanente.
Ø Emitir informes al Sr. Ministro sobre situación de los proyectos, de los controles realizados por la auditoría tecnológica permanente y sobre irregularidades encontradas en el cumplimiento de las normas, políticas y estándares tecnológicos.
· Construir un modelo de negocios de alto nivel que describa cómo el negocio será estructurado en el futuro y que considere los macro procesos de negocios, las localizaciones donde se ejecutarán los procesos y la información clave de alto nivel requerida por esos procesos.
· Definir una arquitectura de sistemas que describa cómo las aplicaciones, la información y los datos serán estructurados para soportar el modelo de negocios definido.
· Definir la Arquitectura Tecnológica para la alternativa seleccionada, de acuerdo a la siguiente definición de Arquitectura Tecnológica; es la descripción de los principios, estándares y guías necesarios para dirigir los procesos de adquisición e implementación de futuras tecnologías de tal forma que apoyen el criterio de interoperabilidad.
· Identificar los servicios del proceso de tecnología de información que requiere la organización y cómo estos deben ser estructurados para garantizar su adecuado funcionamiento, considerando los recursos (habilidades y competencias requeridos para apoyar y administrar eficientemente estos servicios).
· Definir el marco de organización, administración y control que permita que el proceso de Tecnología de Información, tanto en sus procesos y recursos, se adapte al escenario deseado.
· Revisar, actualizar y modificar el Plan Estratégico de Tecnología de la Información e incorporar las estrategias y planes requeridos para administrar eficientemente la transición de la situación actual al escenario escogido.
· Revisar, actualizar y modificar el Portafolio de Proyectos identificando las tareas, recursos y factores críticos de éxito, para adecuarlo al Plan Estratégico de Tecnología de la Información.
· Crear una visión a futuro de la utilización de la tecnología en la institución que permita identificar oportunidades en la utilización de nuevas tecnologías.
· Recomendaciones para la administración de cambios y riesgos de los proyectos del Portafolio de Proyectos.
OFICINA “PORTAFOLIO DE PROYECTOS”:
En esta oficina llamada de Portafolio de Proyectos, se definen los objetivos de cada proyecto que permitirán instrumentar el Plan Estratégico de Tecnología de la Información, proyectos que abarcarán el total de la institución, modernizando las actividades, creando sistemas integrados de información, además desde esta oficina se administrarán, evaluarán y controlarán los diversos proyectos implementados.
METODOLOGIA
· Enfoque del Proyecto
. Formación del equipo de trabajo
. Planificación inicial de actividades
. Plan detallado del proyecto
. Entrevistas
. Recolección de información
. Análisis de la información
. Presentación de la situación actual
. Definición del proyecto
. Presentación final
. Cronograma de trabajo
En esta oficina llamada de Portafolio de Proyectos, se definen los objetivos de cada proyecto que permitirán instrumentar el Plan Estratégico de Tecnología de la Información, proyectos que abarcarán el total de la institución, modernizando las actividades, creando sistemas integrados de información, además desde esta oficina se administrarán, evaluarán y controlarán los diversos proyectos implementados.
METODOLOGIA
· Enfoque del Proyecto
. Formación del equipo de trabajo
. Planificación inicial de actividades
. Plan detallado del proyecto
. Entrevistas
. Recolección de información
. Análisis de la información
. Presentación de la situación actual
. Definición del proyecto
. Presentación final
. Cronograma de trabajo
. Reunión de inicio del proyecto
. Plan de comunicación del proyecto
· Capturar la dirección del negocio
. Se confirman las principales estrategias de la organización
. Se realiza análisis de la misión y del grado de alineación estratégico entre la tecnología y el negocio.
· Establecer la situación actual
. Determinar el estado de la practica de la Tecnología de la Información en el M.O.P.C.
. Enfocar la practica de la Tecnología de la Información hacia la arquitectura y sistemas, recurso humano y procesos.
· Diseño del escenario objetivo
. Establecer las tendencias mundiales en tecnología y especialmente en la industria de gobierno
. Basado en los hallazgos encontrados en la situación actual se establece el escenario objetivo.
. Diseñar la tecnología a utilizarse en el proyecto.
· Instrumentalización del proyecto
. Basados en la situación actual y el diseño del escenario objetivo se establecen los objetivos a cumplirse por el proyecto definido.
. Establecer el cronograma de trabajo.
. Plan de comunicación del proyecto
· Capturar la dirección del negocio
. Se confirman las principales estrategias de la organización
. Se realiza análisis de la misión y del grado de alineación estratégico entre la tecnología y el negocio.
· Establecer la situación actual
. Determinar el estado de la practica de la Tecnología de la Información en el M.O.P.C.
. Enfocar la practica de la Tecnología de la Información hacia la arquitectura y sistemas, recurso humano y procesos.
· Diseño del escenario objetivo
. Establecer las tendencias mundiales en tecnología y especialmente en la industria de gobierno
. Basado en los hallazgos encontrados en la situación actual se establece el escenario objetivo.
. Diseñar la tecnología a utilizarse en el proyecto.
· Instrumentalización del proyecto
. Basados en la situación actual y el diseño del escenario objetivo se establecen los objetivos a cumplirse por el proyecto definido.
. Establecer el cronograma de trabajo.
OFICINA DE AUDITORIA TECNOLÓGICA:
Esta oficina se encargará de realizar un estudio de control que incluye el análisis y comprensión de los métodos que se utilizan para procesar la información, con objeto de determinar si las técnicas establecidas cumplen con los objetivos definidos en el Portafolio de Proyectos, determinando los puntos fuertes y débiles del proceso tecnológico, realizando de esta manera una Auditoria Tecnológica permanente.
A: Primera Fase
Se realiza el estudio preliminar, obligatorio y necesario sobre la obtención de la información mediante procesamiento electrónico de datos.
A.1 Objetivos de los procedimientos
Los objetivos de la primera fase son:
a) Determinar las aplicaciones y la obtención de la información necesaria.
b) Realizar una conclusión sobre el efecto del procesamiento electrónico de datos en la obtención de la información, basándose en la característica de ese procesamiento, el grado de transformación de la información y la seguridad de la misma.
A.2 Procedimientos recomendados
El estudio preliminar en la Primera Fase está enfocado a determinar la importancia que el procesamiento electrónico de datos tiene en la obtención de la información y al conocimiento general de los equipos utilizados.
a) Descripción de las aplicaciones
Conocer las aplicaciones, volúmenes de operación, objetivos del sistema, identificar los principales controles de aplicación específicos, determinando la información que se procesa y se obtiene.
b) Estudio general de los equipos informáticos
Realizar la descripción de los servidores de base de datos, internet y/o aplicaciones, y las unidades que componen la red, tales como terminales, Ups, Hubs, Switchs, etc... Esta descripción incluye los datos de configuración, capacidad de memoria, sistema operativo, motor de base de datos, protocolo de comunicación, capacidad en dispositivos electromagnéticos, dispositivos de entrada, proceso y salida, marca y modelo, etc.
c) Conclusión
Documentación total del estudio preliminar.
B: Segunda Fase
Esta fase se enfoca a la organización de la dependencia informática, análisis de los sistemas, documentación, etc.
B.1 Objetivos de los procedimientos
a) Evaluar la organización de la dependencia informática.
b) Conocer las características de las aplicaciones y su impacto en la información a obtenerse, evaluar los controles inherentes a las mismas, considerando el grado de transformación de la información y el volumen de operaciones que dependen del procesamiento electrónico de datos.
c) Formar un juicio sobre la eficacia del control interno existente en el procesamiento electrónico de datos que permita la naturaleza, el alcance y oportunidad de los procedimientos de auditoría.
B.2 Procedimientos recomendados
Estos procedimientos están enfocados para conocer con más detalles las características de los sistemas de gestión, y así formarse un juicio sobre la eficiencia de los controles internos.
a) Análisis de la organización de la dependencia informática
No debe existir incompatibilidad de funciones, que exista un buen soporte
técnico, que existan líneas de autoridad bien definidas, que haya
planificación orientada mediante objetivos, políticas definidas y acordes a la
importancia de la dependencia y de los equipos.
b) Análisis de los sistemas
Se debe verificar que el análisis, diseño, programación, prueba de datos y mantenimiento de los sistemas esté documentado y de acuerdo a los estándares establecidos, debiéndose juzgar lo apropiado de dichos estándares y del flujo de la información
c) Evaluación de los controles sobre el proceso de las aplicaciones
Verificar constantemente que la información procesada esté sujeta a controles que aseguren que dicha información es válida y completa, y que no se procesa información errónea y duplicada. Asegurar que existan huellas o pistas que determinen el grado de transformación de la información permitiendo la reconstrucción y errores.
Cuando la información es rechazada, ésta debe ser analizada, corregida y evitada para el futuro, y luego sea nuevamente procesada.
Es importante la verificación que toda la información procesada esté previamente autorizada.
d) Revisión de los estudios de viabilidad
Verificar si los equipos informáticos responden a las necesidades particulares de la institución.
e) Determinación de la existencia de manuales operativos
Comprobar que existan manuales actualizados de operación de los equipos informáticos y de los sistemas de operación, y que exista una historia de los cambios en los manuales, sus causas, etc.
f) Determinación de la existencia de copias de los manuales operativos
Verificar que se cuenta con copias de los manuales de operación debidamente protegidas fuera de la dependencia informática.
g) Determinación de la existencia de manuales para los usuarios
Verificar la existencia de manuales actualizados para los usuarios.
h) Evaluación de los controles sobre las bitácoras
Debe existir una bitácora en la dependencia informática donde se registren los cambios de programas, mantenimiento y desarrollo de los mismos, etc., y además debiendo existir supervisión adecuada y oportuna de esta bitácora.
i) Evaluación de los controles contra contingencias
Verificar que exista un plan para evitar contingencias y cuando estas sucedan, que existan controles que aseguren una continuidad razonable en el proceso de la información.
j) Determinación de la existencia de planes contra fallas
Verificar si en caso de fallas se encuentra con equipos de soporte y procedimientos de reinicio.
k) Documentación de las características de los sistemas de gestión
Comprobar que la documentación que soportan los sistemas de gestión esté de acuerdo con los estándares establecidos, que estén completos y que existe evidencia y autorización de los cambios efectuados.
l) Evaluación de los controles para la protección de sistemas
Verificar que copias actualizadas de la documentación de los sistemas estén debidamente protegidos.
m) Determinación de los controles para la protección de archivos
Cerciorarse de que existan copias actualizadas de la información que reside en la base de datos y de las aplicaciones, conservándose en un lugar seguro, debiendo existir una copia en la dependencia informática y otra en un edificio distinto.
n) Determinación de los elementos de seguridad física
Verificar la seguridad física de la dependencia informática, que se cuente con extintores, detectores de humo, cobertura de seguros y medidas preventivas contra posibles sabotajes.
o) Determinación de normas y políticas
Ø Política para solicitud y uso de códigos de acceso a servicios informáticos.
Ø Normas y políticas en el uso de servicios de correo y acceso a internet.
Ø Políticas de formulación de proyectos de tecnología de la información
Ø Creación de claves de acceso.
Ø Solicitud y creación de cuentas de correo electrónico.
p) Evaluación de la página web
Evaluación de la página web institucional, priorizando los servicios al usuario que pueda ofrecer y la seguridad de la misma contra ataques de piratas.
q) Conclusión
Documentación total de la Segunda Fase.
C: Tercera Fase
En la Tercera Fase se realizan pruebas a los controles del procesamiento electrónico de datos.
C.1 Objetivos de los procedimientos
El objetivo de la Tercera Fase es verificar los controles específicos de las aplicaciones mediante pruebas de cumplimiento.
C.2 Procedimientos recomendados
Las pruebas a los controles de procesamiento electrónico de datos están enfocadas a que se obtenga la evidencia que los sistemas de procesamiento electrónico de datos funciona como fueron determinados en la Segunda Fase.
a) Análisis de sistemas
Determinar los procedimientos para lograr un conocimiento detallado de los sistemas seleccionados para pruebas.
b) Evaluación de los controles de aplicación o específicos
Evaluar que los controles de aplicación o específicos establecidos sean los adecuados, lo cual se debe efectuar a través de pruebas de seguimiento o de reestructuración de la información para verificar que dichos controles funcionan en forma satisfactoria.
c) Determinación y desarrollo de las pruebas de auditoría
Seleccionar las pruebas de cumplimiento para probar los controles de aplicación o específicos establecidos en los sistemas de gestión.
d) Evaluación de las pruebas de cumplimiento
Evaluar los resultados de las pruebas de cumplimiento y determinar sí estos cumplieron con los resultados esperados y, por lo tanto, confirmar sí los controles funcionan como se conocieron en las fases anteriores. Sí existieran deficiencias o desviaciones no esperadas, estas deberán ser evaluadas para definir como su efecto trascendió a la obtención de la información.
Esta oficina se encargará de realizar un estudio de control que incluye el análisis y comprensión de los métodos que se utilizan para procesar la información, con objeto de determinar si las técnicas establecidas cumplen con los objetivos definidos en el Portafolio de Proyectos, determinando los puntos fuertes y débiles del proceso tecnológico, realizando de esta manera una Auditoria Tecnológica permanente.
A: Primera Fase
Se realiza el estudio preliminar, obligatorio y necesario sobre la obtención de la información mediante procesamiento electrónico de datos.
A.1 Objetivos de los procedimientos
Los objetivos de la primera fase son:
a) Determinar las aplicaciones y la obtención de la información necesaria.
b) Realizar una conclusión sobre el efecto del procesamiento electrónico de datos en la obtención de la información, basándose en la característica de ese procesamiento, el grado de transformación de la información y la seguridad de la misma.
A.2 Procedimientos recomendados
El estudio preliminar en la Primera Fase está enfocado a determinar la importancia que el procesamiento electrónico de datos tiene en la obtención de la información y al conocimiento general de los equipos utilizados.
a) Descripción de las aplicaciones
Conocer las aplicaciones, volúmenes de operación, objetivos del sistema, identificar los principales controles de aplicación específicos, determinando la información que se procesa y se obtiene.
b) Estudio general de los equipos informáticos
Realizar la descripción de los servidores de base de datos, internet y/o aplicaciones, y las unidades que componen la red, tales como terminales, Ups, Hubs, Switchs, etc... Esta descripción incluye los datos de configuración, capacidad de memoria, sistema operativo, motor de base de datos, protocolo de comunicación, capacidad en dispositivos electromagnéticos, dispositivos de entrada, proceso y salida, marca y modelo, etc.
c) Conclusión
Documentación total del estudio preliminar.
B: Segunda Fase
Esta fase se enfoca a la organización de la dependencia informática, análisis de los sistemas, documentación, etc.
B.1 Objetivos de los procedimientos
a) Evaluar la organización de la dependencia informática.
b) Conocer las características de las aplicaciones y su impacto en la información a obtenerse, evaluar los controles inherentes a las mismas, considerando el grado de transformación de la información y el volumen de operaciones que dependen del procesamiento electrónico de datos.
c) Formar un juicio sobre la eficacia del control interno existente en el procesamiento electrónico de datos que permita la naturaleza, el alcance y oportunidad de los procedimientos de auditoría.
B.2 Procedimientos recomendados
Estos procedimientos están enfocados para conocer con más detalles las características de los sistemas de gestión, y así formarse un juicio sobre la eficiencia de los controles internos.
a) Análisis de la organización de la dependencia informática
No debe existir incompatibilidad de funciones, que exista un buen soporte
técnico, que existan líneas de autoridad bien definidas, que haya
planificación orientada mediante objetivos, políticas definidas y acordes a la
importancia de la dependencia y de los equipos.
b) Análisis de los sistemas
Se debe verificar que el análisis, diseño, programación, prueba de datos y mantenimiento de los sistemas esté documentado y de acuerdo a los estándares establecidos, debiéndose juzgar lo apropiado de dichos estándares y del flujo de la información
c) Evaluación de los controles sobre el proceso de las aplicaciones
Verificar constantemente que la información procesada esté sujeta a controles que aseguren que dicha información es válida y completa, y que no se procesa información errónea y duplicada. Asegurar que existan huellas o pistas que determinen el grado de transformación de la información permitiendo la reconstrucción y errores.
Cuando la información es rechazada, ésta debe ser analizada, corregida y evitada para el futuro, y luego sea nuevamente procesada.
Es importante la verificación que toda la información procesada esté previamente autorizada.
d) Revisión de los estudios de viabilidad
Verificar si los equipos informáticos responden a las necesidades particulares de la institución.
e) Determinación de la existencia de manuales operativos
Comprobar que existan manuales actualizados de operación de los equipos informáticos y de los sistemas de operación, y que exista una historia de los cambios en los manuales, sus causas, etc.
f) Determinación de la existencia de copias de los manuales operativos
Verificar que se cuenta con copias de los manuales de operación debidamente protegidas fuera de la dependencia informática.
g) Determinación de la existencia de manuales para los usuarios
Verificar la existencia de manuales actualizados para los usuarios.
h) Evaluación de los controles sobre las bitácoras
Debe existir una bitácora en la dependencia informática donde se registren los cambios de programas, mantenimiento y desarrollo de los mismos, etc., y además debiendo existir supervisión adecuada y oportuna de esta bitácora.
i) Evaluación de los controles contra contingencias
Verificar que exista un plan para evitar contingencias y cuando estas sucedan, que existan controles que aseguren una continuidad razonable en el proceso de la información.
j) Determinación de la existencia de planes contra fallas
Verificar si en caso de fallas se encuentra con equipos de soporte y procedimientos de reinicio.
k) Documentación de las características de los sistemas de gestión
Comprobar que la documentación que soportan los sistemas de gestión esté de acuerdo con los estándares establecidos, que estén completos y que existe evidencia y autorización de los cambios efectuados.
l) Evaluación de los controles para la protección de sistemas
Verificar que copias actualizadas de la documentación de los sistemas estén debidamente protegidos.
m) Determinación de los controles para la protección de archivos
Cerciorarse de que existan copias actualizadas de la información que reside en la base de datos y de las aplicaciones, conservándose en un lugar seguro, debiendo existir una copia en la dependencia informática y otra en un edificio distinto.
n) Determinación de los elementos de seguridad física
Verificar la seguridad física de la dependencia informática, que se cuente con extintores, detectores de humo, cobertura de seguros y medidas preventivas contra posibles sabotajes.
o) Determinación de normas y políticas
Ø Política para solicitud y uso de códigos de acceso a servicios informáticos.
Ø Normas y políticas en el uso de servicios de correo y acceso a internet.
Ø Políticas de formulación de proyectos de tecnología de la información
Ø Creación de claves de acceso.
Ø Solicitud y creación de cuentas de correo electrónico.
p) Evaluación de la página web
Evaluación de la página web institucional, priorizando los servicios al usuario que pueda ofrecer y la seguridad de la misma contra ataques de piratas.
q) Conclusión
Documentación total de la Segunda Fase.
C: Tercera Fase
En la Tercera Fase se realizan pruebas a los controles del procesamiento electrónico de datos.
C.1 Objetivos de los procedimientos
El objetivo de la Tercera Fase es verificar los controles específicos de las aplicaciones mediante pruebas de cumplimiento.
C.2 Procedimientos recomendados
Las pruebas a los controles de procesamiento electrónico de datos están enfocadas a que se obtenga la evidencia que los sistemas de procesamiento electrónico de datos funciona como fueron determinados en la Segunda Fase.
a) Análisis de sistemas
Determinar los procedimientos para lograr un conocimiento detallado de los sistemas seleccionados para pruebas.
b) Evaluación de los controles de aplicación o específicos
Evaluar que los controles de aplicación o específicos establecidos sean los adecuados, lo cual se debe efectuar a través de pruebas de seguimiento o de reestructuración de la información para verificar que dichos controles funcionan en forma satisfactoria.
c) Determinación y desarrollo de las pruebas de auditoría
Seleccionar las pruebas de cumplimiento para probar los controles de aplicación o específicos establecidos en los sistemas de gestión.
d) Evaluación de las pruebas de cumplimiento
Evaluar los resultados de las pruebas de cumplimiento y determinar sí estos cumplieron con los resultados esperados y, por lo tanto, confirmar sí los controles funcionan como se conocieron en las fases anteriores. Sí existieran deficiencias o desviaciones no esperadas, estas deberán ser evaluadas para definir como su efecto trascendió a la obtención de la información.
AUDITORÍA OPERACIONAL DE LA DEPENDENCIA INFORMÁTICA
Los recursos económicos destinados a la actividad de una dependencia informática y su interacción con las otras áreas de la institución, representan cantidades importantes, lo cual hace indispensable que el rendimiento obtenido sobre dicha inversión deba ser satisfactorio, o sea que el aprovechamiento de la capacidad instalada en esa dependencia informática incluya aspectos especiales en la ejecución y el enfoque de algunos procedimientos.
Esas características son:
a) Concentración de la administración de los servicios tecnológicos en una función de la empresa.
Los computadores son usados para procesar información de muchos tipos, independientemente del departamento, área, localidad, etc,, de la institución donde se generan los datos fuente o se necesiten los informes, por esto en la dependencia informática se administran los servicios tecnológicos de la institución, lo cual originan una concentración de las actividades en una función especifica de la institución, ya sea una o más localizaciones físicas.
b) La dependencia informática es solo parte del flujo total de los sistemas
En la mayoría de los sistemas hay algunos procedimientos que no es posible o práctico automatizar, originando que existen partes manuales y partes automatizadas.
Esto motiva que, considerando las diversas operaciones de la institución desde su origen hasta su terminación, la dependencia informática comprende solamente una parte del flujo total de las operaciones.
Existen 2 aspectos:
1) Aspectos que incluye
a) Las dependencias tecnológicas que forman parte de la organización administrativa de una institución y que solamente proporcionan servicio a otras divisiones, áreas o departamentos de la misma institución.
b) Todas las funciones realizadas dentro de una dependencia informática y que son necesarias para su operación.
2) Aspectos que excluye
a) Muchas veces no todos los procedimientos de una institución son automatizados. Pero en otras oportunidades puede realizarse una auditoría de algún sistema en particular que no haya sido automatizado, lo cual debe considerarse como un trabajo adicional a la auditoría operacional de la dependencia informática.
b) Estudio de viabilidad para la adquisición de equipos informáticos, inicialmente o con motivo de ampliaciones, ya que su revisión detallada requiere de procedimientos diferentes y conocimientos más profundos de los necesarios para la auditoría operacional de una dependencia informática.
Propósitos de la Auditoría Operacional
1) Establecer el concepto básico de la dependencia informática y el alcance que se da a su actividad para efectos de una revisión operacional.
2) Definir el objetivo de la auditoría operacional de la dependencia informática.
3) Señalar la metodología aplicable a esta revisión, orientando acerca de las técnicas disponibles.
4) Ilustrar algunos ejemplos de utilidad al informar sobre los resultados de la auditoría operacional de la dependencia informática.
Concepto y alcances de las actividades desarrolladas en la dependencia informática.
Una dependencia informática es la unidad organizacional dentro de una institución de donde:
a) Se realiza la administración de los servicios informáticos de la institución que generarán informes a través de la información registrada.
b) Se desarrollan los sistemas, se administra la red, se reparan los equipos informáticos.
Entonces una dependencia informática abarca por lo menos las siguientes actividades:
1) El manejo de archivos de datos registrados y la actualización de los mismos en los sistemas que así lo requieren.
2) La custodia de los archivos de datos y de los programas fuentes, así como la documentación que los ampara.
3) El establecimiento y ejercicio de procedimientos de seguridad y protección física de las instalaciones de la dependencia informática, los equipos, los archivos de datos, los programas y la documentación.
4) El establecimiento y prueba de procedimientos de respaldo y recuperación de los equipos informáticos, los archivos de datos, los programas y la documentación.
5) El desarrollo de nuevos sistemas, incluyendo el estudio preliminar, la definición de requerimientos y especificaciones técnicas, el diseño, la preparación y prueba de programas, el establecimiento de procedimientos, la prueba, implementación del sistema y el desarrollo de la documentación soporte relacionada con cada uno de los puntos anteriores.
6) El mantenimiento a los sistemas y programas existentes y el desarrollo de la documentación respectiva.
7) El desarrollo, establecimiento y documentación de políticas, procedimientos y estándares relacionados con las actividades de la dependencia informática.
8) El desarrollo y mantenimiento de la página web
Objetivos de la Auditoría Operacional de la dependencia informática
El objetivo de la Auditoría Operacional de la dependencia informática, es examinar críticamente las actividades indicadas en el capítulo anterior, con la finalidad de detectar problemas que estuviesen obstaculizando la eficiencia en su manejo o pudiera poner en riesgo su operación.
A: Metodología
A continuación describimos el método para auditar la operación de la dependencia informática.
A.1 Familiarización
Quién realiza auditoría de una dependencia informática debe familiarizarse
con la misma mediante el estudio de:
a) La estructura de organización de la dependencia informática y su ubicación dentro de la organización general de la institución.
b) Los planes de corto y largo plazo relacionados con la información de los procedimientos y su coordinación con los planes y objetivos generales de la institución.
c) Los manuales de políticas y procedimientos de las diferentes actividades desarrolladas en la dependencia informática, incluyendo su administración.
d) Los informes resultantes de revisiones efectuadas anteriormente por auditores internos y externos, y consultores.
e) Los antecedentes de la dependencia informática con relación a su origen, desarrollo, equipo de proceso de datos original y sus modificaciones, relacionadas con usuarios, prioridades en el desarrollo de sistemas, etc.
f) Conocer cuales son las principales áreas que reciben servicio de la dependencia informática y que importancia tienen esta con relación a la institución, tanto financiera como operativamente.
g) Conocer cuales procedimientos están automatizados y en que grado y cuáles procedimientos importantes, susceptibles de automatizar y no lo están.
h) Conocer una descripción detallada de la configuración de los equipos de la dependencia informática y de la institución toda, del sistema operativo de la red. En el caso de los equipos conocer marca, modelo, capacidad, procesador; en relación a los softwares, tipo, versión y proveedor.
A.2 Visita a las instalaciones
Se deberán visitar las instalaciones correspondientes a la dependencia informática, incluyendo los lugares en donde se guardan los archivos de respaldo y hacer observaciones sobre:
a) Lo adecuado de su ubicación y de la distribución de las áreas de trabajo y las medidas para restringir el acceso a personal no autorizado.
b) Los controles y aparatos para conservar la temperatura y el grado de humedad.
c) Las medidas establecidas para la detección y contención de incendios (detectores de humo, prohibición de fumar, sistemas de extinción de fuego, etc).
d) El orden y limpieza de los equipos y accesorios (disquetes, cinta, discos compactos, etc.)
e) Las condiciones ambientales (luz, ventilación, etc.)
f) Las relaciones de trabajo entre jefes y subordinados y de estos entre sí.
A.3 Análisis de la información financiera y operativa
a) Presupuesto de gastos de la dependencia informática comparado contra los gastos reales.
b) Estadísticas de uso de los equipos centrales y periféricos que muestren:
- Producción normal
- Reprocesos
- Corridas especiales
- Pruebas y compilaciones de nuevos programas
- Mantenimiento de equipos y sistema operativo
- Fallas de equipo
- Tiempo ocioso
c) Reportes de actividad por terminal (frecuencia de uso, duración, errores de operación, etc.)
d) Estadísticas de mantenimiento por cada unidad de equipo (preventivo y por fallas)
e) Reportes de tiempo incurrido y grado de avance, comparados contra presupuestos, por los diferentes proyectos de desarrollo de nuevas aplicaciones y mantenimiento de las existentes.
f) Estadísticas de ocupación de personal, mostrando tiempo productivo, de entrenamiento, vacaciones, rotación, etc.
A.4 Entrevistas
La técnica de la entrevista proporciona información importante para el desarrollo de la auditoría, se deberá entonces:
a) Planear las entrevistas necesarias para obtener información sobre la ejecución practica de las políticas y procedimientos estudiados en la fase de familiarización.
b) Utilizar cuestionarios que sirvan como guía para obtener información sobre la dependencia informática y las actividades que en ella se realizan.
c) Efectuar entrevistas con el personal que se considere conveniente y que deberán abarcar los siguientes grupos:
- Personal que trabaja en la dependencia informática incluyendo las siguientes áreas: gerencia, análisis y desarrollo de sistemas, reparación y mantenimiento de equipos, administración de la red interna y externa, respaldo de archivos de datos.
- Directivos de la institución, con objeto de conocer el grado en que participan en el desarrollo de los planes relativos a la dependencia informática y la coordinación con los planes generales de la institución, el grado de supervisión que ejercen sobre la dependencia informática y las expectativas con relación al servicio que debe proporcionar esta a la institución en general.
- Usuarios de los servicios informáticos, para conocer el grado en que participan en el desarrollo de nuevos sistemas, la forma en que se atienden sus solicitudes de servicio, la calidad y oportunidad de la información que reciben y la naturaleza de las relaciones con el personal de la dependencia informática.
A.5 Examen de la documentación
Además de los documentos estudiados en las etapas de familiarización y análisis de la información financiera y operativa, se deberá examinar otra documentación, las cuales pueden ser:
a) Descripciones de puestos
b) Evaluaciones periódicas de la actuación del personal de la dependencia informática.
c) Programas de entrenamiento para el personal de la dependencia informática y los usuarios.
d) Estudios de viabilidad para adquisición y ampliación de los equipos, compra de programas paquete y desarrollo de nuevos sistemas. En relación a los estudios para la adquisición y ampliación de equipos y compra de programas paquete, se deberá únicamente examinar que la documentación sea adecuada y que los elementos de juicio, las conclusiones y recomendaciones sean razonables, ya que la evaluación de los aspectos técnicos relacionados con estos estudios requieren de conocimientos y procedimientos diferentes a los necesarios para la auditoría operacional de una dependencia informática.
e) Manuales de estándares, de análisis, diseño y documentación de sistemas, de programación y de operación.
f) Registros de datos erróneos con información sobre su corrección y reincorporación al proceso.
g) Procedimientos de custodia, retención y reconstrucción de archivos y programas.
h) Planes de acción en caso de siniestros o fallas prolongadas de los equipos.
A.6 Ejecución
Durante la ejecución de la revisión se deberá tener presente aquellos aspectos que deben existir en una dependencia informática y cuya ausencia puede afectar la eficiencia de sus operaciones y con el objeto de evaluar la información obtenida en el desarrollo de los pasos anteriores y determinar la existencia de posibles problemas algunos de los principales aspectos a considerar serían los siguientes:
a) Estructura de organización balanceada y con una adecuada segregación de funciones.
b) Entrenamiento y supervisión adecuados, debidamente documentados, para asegurar competencia e integridad personal.
c) Existencia de estándares de actuación y vigilancia de su cumplimiento.
d) Sí la Dirección de la institución interviene en un grado satisfactorio en los planes, y administración de la dependencia informática y el desarrollo de aplicaciones y vigila su coordinación con las políticas, objetivos y planes generales de la empresa.
e) Existencia de procedimientos relacionados con el desarrollo de nuevos sistemas y el mantenimiento de los existentes, que permitan una administración adecuada de los proyectos, así como una orientación de los recursos de la dependencia informática hacia las áreas de la institución en donde se obtendrá el mayor beneficio, incluyendo un grado satisfactorio de participación del usuario.
f) La capacidad de los equipos instalados es adecuada para las necesidades de la institución a corto plazo y tiene la flexibilidad para incrementarse de
acuerdo a futuros requerimientos. Además los conocimientos del personal informático y el apoyo que proporciona el proveedor de los equipos, permiten utilizar el equipo actual en una forma eficiente, tomando en consideración el uso del sistema operativo y otros programas de soporte más adecuados al tipo de aplicaciones existentes.
g) Existencia de procedimientos para programar y controlar adecuadamente el uso del o de los equipos centrales incluyendo terminales remotas y para detectar oportunamente las fallas.
h) Existencia de procedimientos de seguridad y protección que aseguren razonablemente, acceso restringido a personas no autorizadas a la información, programas y actividades de operación, medidas preventivas y correctivas en caso de siniestros y fallas prolongadas en los equipos, reconstrucción de archivos y programas destruidos accidentalmente o por otras causas, continuidad en las actividades del procesamiento de datos en caso de incapacidad de la dependencia informática de la institución para operar normalmente.
Los recursos económicos destinados a la actividad de una dependencia informática y su interacción con las otras áreas de la institución, representan cantidades importantes, lo cual hace indispensable que el rendimiento obtenido sobre dicha inversión deba ser satisfactorio, o sea que el aprovechamiento de la capacidad instalada en esa dependencia informática incluya aspectos especiales en la ejecución y el enfoque de algunos procedimientos.
Esas características son:
a) Concentración de la administración de los servicios tecnológicos en una función de la empresa.
Los computadores son usados para procesar información de muchos tipos, independientemente del departamento, área, localidad, etc,, de la institución donde se generan los datos fuente o se necesiten los informes, por esto en la dependencia informática se administran los servicios tecnológicos de la institución, lo cual originan una concentración de las actividades en una función especifica de la institución, ya sea una o más localizaciones físicas.
b) La dependencia informática es solo parte del flujo total de los sistemas
En la mayoría de los sistemas hay algunos procedimientos que no es posible o práctico automatizar, originando que existen partes manuales y partes automatizadas.
Esto motiva que, considerando las diversas operaciones de la institución desde su origen hasta su terminación, la dependencia informática comprende solamente una parte del flujo total de las operaciones.
Existen 2 aspectos:
1) Aspectos que incluye
a) Las dependencias tecnológicas que forman parte de la organización administrativa de una institución y que solamente proporcionan servicio a otras divisiones, áreas o departamentos de la misma institución.
b) Todas las funciones realizadas dentro de una dependencia informática y que son necesarias para su operación.
2) Aspectos que excluye
a) Muchas veces no todos los procedimientos de una institución son automatizados. Pero en otras oportunidades puede realizarse una auditoría de algún sistema en particular que no haya sido automatizado, lo cual debe considerarse como un trabajo adicional a la auditoría operacional de la dependencia informática.
b) Estudio de viabilidad para la adquisición de equipos informáticos, inicialmente o con motivo de ampliaciones, ya que su revisión detallada requiere de procedimientos diferentes y conocimientos más profundos de los necesarios para la auditoría operacional de una dependencia informática.
Propósitos de la Auditoría Operacional
1) Establecer el concepto básico de la dependencia informática y el alcance que se da a su actividad para efectos de una revisión operacional.
2) Definir el objetivo de la auditoría operacional de la dependencia informática.
3) Señalar la metodología aplicable a esta revisión, orientando acerca de las técnicas disponibles.
4) Ilustrar algunos ejemplos de utilidad al informar sobre los resultados de la auditoría operacional de la dependencia informática.
Concepto y alcances de las actividades desarrolladas en la dependencia informática.
Una dependencia informática es la unidad organizacional dentro de una institución de donde:
a) Se realiza la administración de los servicios informáticos de la institución que generarán informes a través de la información registrada.
b) Se desarrollan los sistemas, se administra la red, se reparan los equipos informáticos.
Entonces una dependencia informática abarca por lo menos las siguientes actividades:
1) El manejo de archivos de datos registrados y la actualización de los mismos en los sistemas que así lo requieren.
2) La custodia de los archivos de datos y de los programas fuentes, así como la documentación que los ampara.
3) El establecimiento y ejercicio de procedimientos de seguridad y protección física de las instalaciones de la dependencia informática, los equipos, los archivos de datos, los programas y la documentación.
4) El establecimiento y prueba de procedimientos de respaldo y recuperación de los equipos informáticos, los archivos de datos, los programas y la documentación.
5) El desarrollo de nuevos sistemas, incluyendo el estudio preliminar, la definición de requerimientos y especificaciones técnicas, el diseño, la preparación y prueba de programas, el establecimiento de procedimientos, la prueba, implementación del sistema y el desarrollo de la documentación soporte relacionada con cada uno de los puntos anteriores.
6) El mantenimiento a los sistemas y programas existentes y el desarrollo de la documentación respectiva.
7) El desarrollo, establecimiento y documentación de políticas, procedimientos y estándares relacionados con las actividades de la dependencia informática.
8) El desarrollo y mantenimiento de la página web
Objetivos de la Auditoría Operacional de la dependencia informática
El objetivo de la Auditoría Operacional de la dependencia informática, es examinar críticamente las actividades indicadas en el capítulo anterior, con la finalidad de detectar problemas que estuviesen obstaculizando la eficiencia en su manejo o pudiera poner en riesgo su operación.
A: Metodología
A continuación describimos el método para auditar la operación de la dependencia informática.
A.1 Familiarización
Quién realiza auditoría de una dependencia informática debe familiarizarse
con la misma mediante el estudio de:
a) La estructura de organización de la dependencia informática y su ubicación dentro de la organización general de la institución.
b) Los planes de corto y largo plazo relacionados con la información de los procedimientos y su coordinación con los planes y objetivos generales de la institución.
c) Los manuales de políticas y procedimientos de las diferentes actividades desarrolladas en la dependencia informática, incluyendo su administración.
d) Los informes resultantes de revisiones efectuadas anteriormente por auditores internos y externos, y consultores.
e) Los antecedentes de la dependencia informática con relación a su origen, desarrollo, equipo de proceso de datos original y sus modificaciones, relacionadas con usuarios, prioridades en el desarrollo de sistemas, etc.
f) Conocer cuales son las principales áreas que reciben servicio de la dependencia informática y que importancia tienen esta con relación a la institución, tanto financiera como operativamente.
g) Conocer cuales procedimientos están automatizados y en que grado y cuáles procedimientos importantes, susceptibles de automatizar y no lo están.
h) Conocer una descripción detallada de la configuración de los equipos de la dependencia informática y de la institución toda, del sistema operativo de la red. En el caso de los equipos conocer marca, modelo, capacidad, procesador; en relación a los softwares, tipo, versión y proveedor.
A.2 Visita a las instalaciones
Se deberán visitar las instalaciones correspondientes a la dependencia informática, incluyendo los lugares en donde se guardan los archivos de respaldo y hacer observaciones sobre:
a) Lo adecuado de su ubicación y de la distribución de las áreas de trabajo y las medidas para restringir el acceso a personal no autorizado.
b) Los controles y aparatos para conservar la temperatura y el grado de humedad.
c) Las medidas establecidas para la detección y contención de incendios (detectores de humo, prohibición de fumar, sistemas de extinción de fuego, etc).
d) El orden y limpieza de los equipos y accesorios (disquetes, cinta, discos compactos, etc.)
e) Las condiciones ambientales (luz, ventilación, etc.)
f) Las relaciones de trabajo entre jefes y subordinados y de estos entre sí.
A.3 Análisis de la información financiera y operativa
a) Presupuesto de gastos de la dependencia informática comparado contra los gastos reales.
b) Estadísticas de uso de los equipos centrales y periféricos que muestren:
- Producción normal
- Reprocesos
- Corridas especiales
- Pruebas y compilaciones de nuevos programas
- Mantenimiento de equipos y sistema operativo
- Fallas de equipo
- Tiempo ocioso
c) Reportes de actividad por terminal (frecuencia de uso, duración, errores de operación, etc.)
d) Estadísticas de mantenimiento por cada unidad de equipo (preventivo y por fallas)
e) Reportes de tiempo incurrido y grado de avance, comparados contra presupuestos, por los diferentes proyectos de desarrollo de nuevas aplicaciones y mantenimiento de las existentes.
f) Estadísticas de ocupación de personal, mostrando tiempo productivo, de entrenamiento, vacaciones, rotación, etc.
A.4 Entrevistas
La técnica de la entrevista proporciona información importante para el desarrollo de la auditoría, se deberá entonces:
a) Planear las entrevistas necesarias para obtener información sobre la ejecución practica de las políticas y procedimientos estudiados en la fase de familiarización.
b) Utilizar cuestionarios que sirvan como guía para obtener información sobre la dependencia informática y las actividades que en ella se realizan.
c) Efectuar entrevistas con el personal que se considere conveniente y que deberán abarcar los siguientes grupos:
- Personal que trabaja en la dependencia informática incluyendo las siguientes áreas: gerencia, análisis y desarrollo de sistemas, reparación y mantenimiento de equipos, administración de la red interna y externa, respaldo de archivos de datos.
- Directivos de la institución, con objeto de conocer el grado en que participan en el desarrollo de los planes relativos a la dependencia informática y la coordinación con los planes generales de la institución, el grado de supervisión que ejercen sobre la dependencia informática y las expectativas con relación al servicio que debe proporcionar esta a la institución en general.
- Usuarios de los servicios informáticos, para conocer el grado en que participan en el desarrollo de nuevos sistemas, la forma en que se atienden sus solicitudes de servicio, la calidad y oportunidad de la información que reciben y la naturaleza de las relaciones con el personal de la dependencia informática.
A.5 Examen de la documentación
Además de los documentos estudiados en las etapas de familiarización y análisis de la información financiera y operativa, se deberá examinar otra documentación, las cuales pueden ser:
a) Descripciones de puestos
b) Evaluaciones periódicas de la actuación del personal de la dependencia informática.
c) Programas de entrenamiento para el personal de la dependencia informática y los usuarios.
d) Estudios de viabilidad para adquisición y ampliación de los equipos, compra de programas paquete y desarrollo de nuevos sistemas. En relación a los estudios para la adquisición y ampliación de equipos y compra de programas paquete, se deberá únicamente examinar que la documentación sea adecuada y que los elementos de juicio, las conclusiones y recomendaciones sean razonables, ya que la evaluación de los aspectos técnicos relacionados con estos estudios requieren de conocimientos y procedimientos diferentes a los necesarios para la auditoría operacional de una dependencia informática.
e) Manuales de estándares, de análisis, diseño y documentación de sistemas, de programación y de operación.
f) Registros de datos erróneos con información sobre su corrección y reincorporación al proceso.
g) Procedimientos de custodia, retención y reconstrucción de archivos y programas.
h) Planes de acción en caso de siniestros o fallas prolongadas de los equipos.
A.6 Ejecución
Durante la ejecución de la revisión se deberá tener presente aquellos aspectos que deben existir en una dependencia informática y cuya ausencia puede afectar la eficiencia de sus operaciones y con el objeto de evaluar la información obtenida en el desarrollo de los pasos anteriores y determinar la existencia de posibles problemas algunos de los principales aspectos a considerar serían los siguientes:
a) Estructura de organización balanceada y con una adecuada segregación de funciones.
b) Entrenamiento y supervisión adecuados, debidamente documentados, para asegurar competencia e integridad personal.
c) Existencia de estándares de actuación y vigilancia de su cumplimiento.
d) Sí la Dirección de la institución interviene en un grado satisfactorio en los planes, y administración de la dependencia informática y el desarrollo de aplicaciones y vigila su coordinación con las políticas, objetivos y planes generales de la empresa.
e) Existencia de procedimientos relacionados con el desarrollo de nuevos sistemas y el mantenimiento de los existentes, que permitan una administración adecuada de los proyectos, así como una orientación de los recursos de la dependencia informática hacia las áreas de la institución en donde se obtendrá el mayor beneficio, incluyendo un grado satisfactorio de participación del usuario.
f) La capacidad de los equipos instalados es adecuada para las necesidades de la institución a corto plazo y tiene la flexibilidad para incrementarse de
acuerdo a futuros requerimientos. Además los conocimientos del personal informático y el apoyo que proporciona el proveedor de los equipos, permiten utilizar el equipo actual en una forma eficiente, tomando en consideración el uso del sistema operativo y otros programas de soporte más adecuados al tipo de aplicaciones existentes.
g) Existencia de procedimientos para programar y controlar adecuadamente el uso del o de los equipos centrales incluyendo terminales remotas y para detectar oportunamente las fallas.
h) Existencia de procedimientos de seguridad y protección que aseguren razonablemente, acceso restringido a personas no autorizadas a la información, programas y actividades de operación, medidas preventivas y correctivas en caso de siniestros y fallas prolongadas en los equipos, reconstrucción de archivos y programas destruidos accidentalmente o por otras causas, continuidad en las actividades del procesamiento de datos en caso de incapacidad de la dependencia informática de la institución para operar normalmente.
Suscribirse a:
Entradas (Atom)
