Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
Página 1 de 45 FINAL: Administración de Recursos U1 – ADMINISTRACIÓN Y ORGANIZACIÓN INFORMÁTICA Administración Proceso mediante el cual se diseña y mantiene un ambiente en el que individuos, que trabajan en grupos, cumplen metas específicas de manera eficaz. Esta definición básica necesita ampliarse: 1. Como gerentes, las personas realizan las funciones gerenciales de planear, organizar, integrar personal, dirigir y controlar. 2. La administración se aplica a cualquier tipo de organización. 3. También se adjudica a los gerentes de todos los niveles organizacionales. 4. La meta de todos los gerentes es la misma: crear valor agregado. 5. La administración se ocupa de la productividad, lo que supone efectividad y eficiencia, y la suma de los dos para lograr la eficacia. Las cinco tareas de la Administración Estratégica: 1. Desarrollar una visión estratégica de hacia dónde se dirige la organización con el fin de proporcionar una dirección a largo plazo, delinear en qué clase de empresa está tratando de convertirse la compañía e infundir en esta el sentido de una acción con un propósito terminado 2. Determinar objetivos, es decir, convertir la visión estratégica en resultados específicos del desempeño que deberá lograr la compañía 3. Crear una estrategia, con el fin de lograr los resultados deseados 4. Poner en práctica y ejecutar la estrategia elegida de una manera eficiente y efectiva 5. Evaluar el desempeño e iniciar ajustes correctivos en la visión, la dirección a largo plazo, los objetivos, la estrategia o la puesta en práctica, en vista de la experiencia real, de las condiciones cambiantes, de las nuevas ideas y de las nuevas oportunidades Administrar es un arte, es saber cómo hacer las cosas a la luz de la realidad de una situación; sin embargo, los administradores pueden trabajar mejor si utilizan el conocimiento organizado de la administración que constituye una ciencia. Entonces, si la práctica de la administración es un arte, el conocimiento organizado que subyace a esta práctica puede llamarse ciencia. En este contexto, ciencia y arte no son mutuamente excluyentes, sino complementarios. Organización: Grupo de personas que trabajan en conjunto para crear valor agregado. En organizaciones lucrativas dicho valor agregado se traduce en utilidades; en organizaciones no lucrativas, como las caritativas, puede ser la satisfacción de necesidades. Las universidades también crean valor agregado mediante la generación y difusión del conocimiento, y la prestación de servicios a la comunidad o sociedad. Empresa: Un negocio, una dependencia gubernamental, un hospital, una universidad o cualquier otro tipo de organización. La administración eficaz está a cargo del presidente de la corporación, el administrador del hospital, el supervisor de primera línea del gobierno, el líder de los niños exploradores, el obispo de una iglesia, el director de un equipo de beisbol y el presidente de una universidad. Los gerentes son responsables de actuar de manera que permitan a los individuos contribuir de la mejor forma al logro de los objetivos del grupo. Así, la administración se aplica a organizaciones grandes y pequeñas, empresas lucrativas y no lucrativas, y a industrias de manufactura y de servicios Página 2 de 45 Al estudiar administración es necesario desglosarla en cinco funciones gerenciales (planear, organizar, integrar personal, dirigir y controlar) – “PODIO/C”, alrededor de las cuales puede organizarse el conocimiento que las subyace. Si bien se habla acerca del diseño de un ambiente para el desempeño interno de una organización, cabe siempre recordar que también deben operar en el ambiente externo a ésta. Es evidente que los gerentes no pueden realizar bien sus tareas a menos que comprendan y respondan a los muchos elementos del ambiente externo (factores económicos, tecnológicos, sociales, ecológicos, políticos y éticos) que afectan sus áreas de operación; más aún, hoy muchas organizaciones operan en distintos países, por lo que se adopta una perspectiva global de la administración. Funciones gerenciales a diferentes niveles organizacionales Funciones de los Gerentes: (PODIO/C) / 5 Tareas de la Administración Estratégica (ESTO TOMÓ) Todos los gerentes realizan funciones gerenciales pero el tiempo dedicado a cada función puede variar. Los gerentes de alto nivel dedican más tiempo a planear y organizar que los de menor nivel; dirigir, por otra parte, ocupa más tiempo de los supervisores de primera línea. La diferencia en el tiempo dedicado a controlar varía un poco para los gerentes de los diversos niveles. Planear: Incluye elegir misiones y objetivos, y las acciones para lograrlos; requiere decidir, es decir, elegir proyectos de acciones futuras entre alternativas. Un plan verdadero no existe hasta que se tome una decisión: se comprometen los recursos humanos o materiales; antes de tomar una decisión, lo único que existe es un estudio de planeación, un análisis o una propuesta: no hay un plan real. Organizar: Las personas que trabajan juntas en grupos para alcanzar una meta deben tener funciones que desempeñar. El concepto de función supone que lo que las personas hacen tiene un propósito u objetivo definido: saben de qué manera se ajusta su objetivo de trabajo al esfuerzo del grupo y tienen la autoridad, las herramientas y la información necesarias para realizar la tarea. Esto puede verse en algo tan simple como el esfuerzo de un grupo para instalar el campamento en una expedición de pesca; todos podrían hacer lo que quisieran, pero seguro que la actividad sería más efectiva y se harían todas las tareas si se asigna una o dos personas a reunir leña para la fogata, otras a conseguir agua, una más a encender el fuego, varias a cocinar, etcétera. Página 3 de 45 Organizar es esa parte de la administración que supone el establecimiento de una estructura intencional de funciones que las personas desempeñen en una organización; es intencional en el sentido de asegurarse que todas las tareas necesarias para lograr las metas se asignen, en el mejor de los casos, a las personas más aptas para realizarlas. Dirigir: es influir en las personas para que contribuyan a las metas organizacionales y de grupo; asimismo, tiene que ver sobre todo con el aspecto interpersonal de administrar. Todos los gerentes coinciden en que la mayoría de sus principales problemas surgen de las personas, sus deseos y actitudes, así como de su comportamiento individual y en grupo, y en que los gerentes efectivos también requieren ser líderes efectivos. Como el liderazgo supone seguidores y las personas tienden a seguir a los que ofrecen medios para satisfacer sus necesidades, anhelos y deseos, es comprensible que dirigir suponga motivar, estilos y enfoques de liderazgo y comunicación. Integrar el personal: Requiere cubrir y mantener cubiertos los puestos de la estructura organizacional. Esto se logra al identificar los requisitos de fuerza de trabajo; inventariar a las personas disponibles y reclutar, seleccionar, colocar, promover, evaluar y planear sus carreras; compensar y capacitar o, de otra forma, desarrollar candidatos u ocupantes actuales de puestos para que las tareas puedan cumplirse con efectividad y eficiencia. Controlar: Es medir y corregir el desempeño individual y organizacional para asegurar que los hechos se conformen a los planes. Incluye medir el desempeño respecto de las metas y los planes, mostrar dónde existen desviaciones de los estándares y ayudar a corregir las desviaciones. En suma, controlar facilita el cumplimiento de los planes. Aun cuando planear debe preceder al control, los planes no se logran solos, sino que guían a los gerentes en el uso de recursos para alcanzar metas específicas; entonces las actividades son examinadas para determinar si se conforman a los planes.Las actividades de control casi siempre se relacionan con la medición del logro. Algunos de los medios de control, como el presupuesto de gastos, los registros de inspección y el registro de horas de trabajo perdidas son bastante conocidos; cada uno de estos índices muestra si los planes funcionan, y si las desviaciones persisten deben tomarse medidas correctivas, por supuesto que éstas deben llevarse a cabo por personas de la organización pero, ¿qué debe corregirse? Nada puede hacerse, por ejemplo, para reducir los sobrantes o comprar según las especificaciones, o gestionar las devoluciones de ventas, a menos que alguien sepa quién es el responsable de esas funciones. Asegurarse de que los hechos se conformen a los planes significa localizar a las personas responsables de los resultados que difieren de la acción planeada y luego dar los pasos necesarios para mejorar el desempeño. Así, los resultados se controlan al llevar un registro de lo que las personas hacen. MISIÓN Es la explicitación de la actividad que una determinada organización viene a realizar dentro de un mercado. Responde a la pregunta “¿cuál es nuestra actividad?”, o “¿cuál es nuestro negocio?”. La misión explica en grandes rasgos la dirección que tomará la organización en el futuro, y determina el alcance de sus operaciones en función de sus productos o servicios y el mercado objetivo al que están dirigidos. Incluir los aspectos de qué, quién y cómo en la definición del negocio: Una misión que sea estratégicamente reveladora incluye tres elementos: • Las necesidades del cliente, o qué es lo que se está tratando de satisfacer. • Los grupos de clientes o a quién se está tratando de satisfacer. Página 4 de 45 • Las actividades, las tecnologías y las capacidades de la empresa, o cómo la compañía se ocupa de la creación y suministro de valor a los clientes, así como de la satisfacción de sus necesidades. ¿Por qué debemos formular la misión? Porque en ella, la organización identifica su ramo de actividad, los nichos de mercado a los que pretende servir, los tipos de clientes que tendrá y las razones de su existencia. Puede incluir también una lista de ventajas competitivas que la empresa cree poseer. VISIÓN Una visión estratégica bien comunicada es una herramienta para comprometer al personal de la compañía con las acciones que la llevan en la dirección que se pretende. La visión encarna el horizonte al cual quiere dirigirse la organización. Es el desarrollo de cómo se ve a sí misma en el futuro, al responder a la pregunta “¿en qué nos queremos convertir?”. Definición: Es la definición amplia y suficiente de adonde quiere llegar la organización, y como quisiera ser en un mediano plazo, expresa las perspectivas del futuro, consiste en pensar cuidadosamente. Define la dirección que debe tomar la empresa para tener éxito. Implica seleccionar los mercados en los que participara, colocar a la empresa en una celda estratégica y comprometerse a seguir dicha ruta. Otra definición (según el apunte que dejó Cordero): Es un mapa del futuro de la empresa que proporciona detalles específicos sobre su tecnología y su enfoque al cliente, la geografía y los mercados de producto que perseguirá, las capacidades que planea desarrollar y el tipo de compañía que la administración está tratando de crear Los tres elementos de la visión estratégica: (ESTO TOMÓ) Los administradores llevan a cabo 3 tareas discernibles al crear una visión estratégica, y al convertirla en una herramienta, útil que indique la dirección a seguir: a) Proponer una declaración de misión que defina en q negocio está actualmente la empresa y que exprese la esencia de “QUIENES SOMOS, lo que hacemos y donde estamos ahora”. b) Una declaración de la misión con una base para decidir el curso a largo plazo: elegir “hacia dónde vamos” y planear una ruta estratégica que la empresa debe recorrer. c) Comunicar la visión estratégica en términos claros apasionantes que proporcione el compromiso de la organización. ¿Para qué es necesario establecer la visión? La razón de establecer la visión de una empresa es que ésta sirva como guía que permita enfocar los esfuerzos de todos los miembros hacia una misma dirección, logrando que se establezcan objetivos, diseñen estrategias, tomen decisiones y se ejecuten tareas, bajo la guía de ésta; logrando así, coherencia y orden. El establecer la visión de una empresa, también permite que ésta sirva como fuente de inspiración, logrando que todos los miembros de la empresa se sientan identificados, comprometidos y motivados en poder alcanzarla. La diferencia entre una visión estratégica y una declaración de misión es muy clara: una visión estratégica retrata el horizonte de negocios futuro de la empresa (“hacia dónde vamos”); por lo general, la misión describe su actividad y propósito de negocios actuales (“quiénes somos”, “qué hacemos” y “por qué estamos aquí”). Página 5 de 45 Objetivos: Los objetivos son metas de desempeño de una organización; es decir, son los resultados y productos que la administración desea lograr. La palabra objetivo proviene de ob-jactum, que significa “a donde se dirigen nuestras acciones”. Los objetivos son los fines hacia los cuales está encaminada la actividad de una empresa, los puntos finales de la planeación, y aun cuando no pueden aceptarse tal cual son, el establecerlos requiere de una considerable planeación. Un objetivo se concibe algunas veces como el punto final de un programa administrativo, bien sea que se establezca en términos generales o específicos. Los objetivos tienen jerarquías, y también forman una red de resultados y eventos deseados. Una compañía u otra empresa es un sistema. Si las metas no están interconectadas y se sustentan mutuamente, la gente seguirá caminos que pueden parecer buenos para su propia función pero que pueden ser dañinos para la compañía como un todo. Estos objetivos deben ser racionalmente alcanzables y deben estar en función de la estrategia que se elija. Los objetivos son una obligación que se impone una empresa porque es necesaria, esencial para su existencia. Un objetivo debe ser INTELIGENTE, es decir SMART. (ESTO TOMÓ) Specific (Específico): El objetivo debe ser lo más concreto posible. Debe estar claro el qué, cuándo y cómo para definir el alcance. Por ejemplo: “Voy a ponerme en forma” no es un objetivo específico, en cambio “Voy a correr 30 minutos diarios de lunes a viernes” si es específico. Measurable (Medible): El objetivo debe ser medible, por lo que ha de ser una meta cuantificable. En algunos casos es complicado, pero debe poder ser medible para poder analizar nuestras estrategias. Es decir, debe ser posible cuantificarlo, para poder controlarlo. Se puede medir en cantidades, porcentajes, tamaños, etc. Acordable: Si tus objetivos involucran a varias personas, se debe hablar primero con ellos y lograr su compromiso. . Debe ser atractivo y ambicioso para el equipo lograr los objetivos. Hay dar la posibilidad de reajustar los objetivos si hay cambios en el entorno. Por ejemplo, una compañía que se propone generar $75,000 o 5% sobre las ventas netas totales, solo lo logrará si todos están enrolados con el objetivo común. En caso contrario puede pasar que lo que ahorra uno se lo gaste otro, y ello seguramente acarreará conflictos. Es importante la comunicación clara y asegurarnos que todos en el equipo estén alineados hacia el logro de estos objetivos Realistic(Realista): Debemos tener objetivos dentro de nuestras posibilidades (tanto por nuestros recursos disponibles, como por nuestra motivación por lograr dicho objetivo). Proponerse algo irrealizable es una puerta abierta al fracaso. El objetivo ‘voy a competir en las próximas olimpiadas’ puede no ser realista, pero quizá el objetivo de participar en las próximas olimpiadas puede que si ésteal alcance. Timely o Time-Based (Oportuno/Acotado en el tiempo): Un objetivo tiene que establecerse dentro de un marco de tiempo oportuno, es decir, se debe definir el período de tiempo para completarlo. Lo primero que se realizará es aquello para lo que se tiene un menor plazo y se dejará para después aquello que sea menor urgente. Si no se contara con un límite de tiempo el objetivo se postergaría hasta el infinito. Un ejemplo es: “Voy a hablar con mi cliente sobre el pedido hoy” Ejemplos de que NO son Objetivos S.M.A.R.T y como deberían ser: Página 6 de 45 ¿Aumentar el tráfico hacia nuestra web? ¡No! • Objetivos SMART: Dirigir 1000 visitas al sitio web de la empresa para finales de marzo. Aumentar un 2% Las visitas a nuestra web cada mes. ¿Aumentar las ventas? ¡No! • Objetivos SMART: Conseguir vender 100 unidades de “X” antes de mayo Aumentar las ventas un 5% del producto “x” en mayo con respecto al año anterior. Establecimiento de los objetivos El propósito de establecer los objetivos es convertir los lineamientos administrativos de la visión estratégica y de loa misión del negocio en indicadores de desempeño específicos, en resultados y consecuencias que la organización desea lograr. Esto ayuda a los administradores a tener un seguimiento del progreso de la empresa. El establecimiento de los objetivos es algo que deben contemplar todos los administradores. Establecer objetivos SMART crea un ambiente orientado a los resultados y existe muy poca o nula confusión interna acerca de lo que se debe lograr. Tipos de objetivos Objetivos Estratégicos: Se refieren a los resultados que fortalecen la posición general en los negocios y la vitalidad competitiva de una empresa Objetivos Financieros: Tienen que ver con las metas de desempeño financiero que la administración ha establecido que la organización debe cumplir ¿Cuál es la importancia de los objetivos? Los objetivos organizacionales dan a los directivos y a los demás miembros de la organización importantes parámetros para la acción en áreas como: Guía para la toma de decisiones: una parte importante en la responsabilidad de los gerentes es tomar decisiones que influyen en la operación diaria y en la existencia de la organización y del personal de la misma. Una vez que los gerentes formulan los objetivos organizacionales, saben hacia dónde deben dirigirse. Su responsabilidad se convierte, en tomar las decisiones que lleven a la empresa hacia el logro de sus objetivos. Guía para la organización: dado que la ineficiencia se convierte en un costoso desperdicio del esfuerzo humano y de los recursos, los directivos luchan por aumentar la eficiencia de la organización cuando sea posible. La eficiencia se define en términos de la calidad total del esfuerzo humano y de recursos que una empresa invierte para alcanzar sus objetivos. Por lo tanto, antes de que pueda mejorar la eficiencia de una empresa, los gerentes deben lograr una clara comprensión de los objetivos organizacionales. Sólo entonces los gerentes podrán utilizar los recursos limitados a su disposición tan eficientemente como les es posible. Guía para la coherencia de una organización: el personal de una organización necesita una orientación relacionada con su trabajo. Los objetivos de la empresa se usan como orientación para la actividad productiva, la toma de decisiones eficaz y la planeación efectiva. Guía para la evaluación de desempeño: el desempeño de todo el personal de una empresa debe ser evaluado para medir la productividad individual y determinar lo que se puede hacer para aumentar. Los objetivos organizacionales son los parámetros o criterios que deben utilizar como base de estas evaluaciones. Los individuos que aportan más al cumplimiento de los objetivos organizacionales deben ser considerados como los miembros más productivos de ella. Las recomendaciones específicas para aumentar la productividad deben incluir sugerencias sobre lo que los individuos pueden hacer para contribuir a que la empresa se dirija hacia el alcance de sus objetivos. Página 7 de 45 Estrategia Es un proceso formal que consiste en los esfuerzos competitivos y los enfoques de negocio que los administradores utilizan para satisfacer a los clientes, competir exitosamente y alcanzar los objetivos de la organización. Los objetivos son los “fines” y la estrategia es el “medio” para lograrlos, tienen que ver con cómo hacer realidad la visión estratégica de la administración de la empresa, representa el plan de acción para llevar a la compañía a una posición de negocios atractiva y para lograr una ventaja competitiva sustentable. Las estrategias conciernen al cómo: “cómo lograr el crecimiento del negocio, cómo satisfacer a los clientes, cómo superar la competencia de los rivales, cómo responder a las condiciones cambiantes del mercado, cómo administrar cada parte funcional del negocio y desarrollar las capacidades organizaciones necesarias, cómo lograr los objetivos estratégicos y financieros. La formulación de la estrategia lleva implícita la misión, visión y valores de la organización, debe contener con claridad el diagnóstico interno y el pronóstico externo, los objetivos de largo plazo, las estrategias y acciones que permitirán alcanzar esos objetivos y las estrategias alternativas o planes de contingencia. Valores Los valores son aquellas características morales en los seres humanos, tales como la humildad, la piedad y el respeto. Son un conjunto de pautas que la sociedad establece para las personas en las relaciones sociales. También podemos decir que los valores son aquellos conceptos que pueden ser puestos en práctica en nuestra vida para que podamos vivir mejor. Tanto en forma íntima, personal, familiar, grupal y social. Por ello todo valor es un concepto operativo. Los valores se refieren a necesidades humanas y representan ideales, sueños y aspiraciones, con una importancia independiente de las circunstancias. Valores son: Pasión, Respeto, Integridad, Tolerancia, Calidad, Confianza, Honestidad, Compromiso, Responsabilidad, etc. U2 – AUDITORIA CAPÍTULO 2: CONCEPTOS BÁSICOS DE LA AUDITORÍA INFORMÁTICA Auditoría: Es un examen crítico que se realiza con el objetivo de evaluar la eficiencia y eficacia de una sección o de un organismo y determinar cursos alternativos de acción para mejorar la organización y lograr los objetivos propuestos. Es de carácter estrictamente económico-financiero. Contiene elementos de análisis, de verificación y de exposición de debilidades y disfunciones. Subsidiariamente, aparecen o pueden aparecer sugerencias y planes de acción para eliminar las disfunciones o debilidades antedichas. Las sugerencias contrastadas y plasmadas en el correspondiente informe reciben el nombre de Recomendaciones Auditoría Informática: Se define como el conjunto de Procedimientos y Técnicas para evaluar y controlar total o parcialmente un Sistema Informático con el fin de proteger sus activos y recursos, verificar si sus actividades se desarrollan eficientemente y de acuerdo con la normativa informática y general existentes en cada empresa y para conseguir la eficacia exigida en el marco de la organización correspondiente. Según Mario Piattini, la Auditoria Informática es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema informatizado salvaguarda los activos y mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización y utiliza eficientemente los recursos. El auditor evalúa y comprueba en determinados momentos del tiempo los controles y procedimientos informativos más complejos, desarrollando y aplicando técnicas Página 8 de 45 mecanizadas de auditoría, incluyendo el uso del Sw. Además, es responsable de revisar e informar a la Dirección de la Organización sobre el diseño y funcionamientode los controles implantados y sobre la fiabilidad de la información suministrada Auditoría Interna: Es la realizada con recursos materiales y personas que pertenecen a la empresa auditada. Los auditores internos son empleados de la empresa y, por tanto, son remunerados por ella. Sin embargo, la auditoría interna puede ser veraz y objetiva, si es un órgano staff de la Dirección, sin ninguna otra dependencia. La presencia del auditor informático interno puede producir conflictos si no se consigue su admisión como tal por parte del personal de las diversas áreas informáticas. La existencia del mismo descansa en dos soportes: la independencia y la confianza. Independencia, en tanto en cuanto sea siempre un órgano de Staff de la Dirección y en donde ningún otro órgano de la estructura informática, por importante que sea, tenga poder sobre ella. Confianza por cuanto a su significado de confiar y por tanto, creer. Creer que el auditor se limita a describir hechos y situaciones débiles de la informática y de su entorno inmediato, sin que quepan juicios de valor ni meras opiniones carentes de soportes de prueba. La confianza en el auditor interno debe existir desde todos los niveles profesionales. Si dicha confianza desaparece, aquel habrá fracasado, cuya función final y útil debe permanecer sin daño. Auditoria Externa: Realizada por personas ajenas a la empresa auditada. Es siempre remunerada. Es muy diferente este tipo de auditoria de los entes como la Intervención, la Institución Censora, etc. Presuponen una mayor objetividad que en la interna, apoyada tal presunción en el distanciamiento entre auditores y auditados. Las conclusiones de las compañías auditoras externas podrían estar influenciadas voluntaria o involuntariamente por las propias empresas auditadas, produciéndose discusiones que podrían afectar grave, negativa y no fundadamente a la empresa en su conjunto o a importantes sectores de la misma. Una empresa o institución que posee auditoria interna puede y debe en ocasiones contratar servicios de auditoria externa. Las razones para hacerlo suelen hallarse en: a) Necesidad de auditar una materia de gran especialización, para la cual los servicios propios no están suficientemente preparados. b) Contrastar algún informe interno con el que resulte del externo, en aquellos supuestos de emisión interna de graves recomendaciones que choquen con la opinión generalizada de la propia empresa c) Servir como mecanismo protector de posibles auditorías informáticas externas decretadas por la propia empresa. Obsérvese la doble función que la auditoria informática interna cumple en este caso. Las auditorías informáticas externas e internas no son excluyentes, si bien se debe procurar restringir la coexistencia de ambas a casos excepcionales, además de razones económicas. La auditoría informática (interna y/o externa), debe ser una actividad exenta de cualquier contenido político ajeno a la propia estrategia y política general de la empresa. Esta función auditora puede actuar de oficio, por iniciativa del propio órgano o por encargo de la dirección o cliente. Es indispensable que en ambas auditorias se conozcan perfectamente y sin lugar a duda, los objetivos a lograr en la realización de la auditoría informática. La Auditoria informática verifica la correcta autorización y uso de los Recursos Informáticos. No ve el fraude económico, sino desde qué ordenador y con un sentido amplio. Objetivo tácito y fundamental Operatividad: Es una función de mínimos consistente en que la organización y las máquinas funcionen, siquiera mínimamente (Es de máxima importancia, un sistema informático debe ser por sobre todo, Operativo). No es admisible detener la maquinaria informática para descubrir sus fallos Página 9 de 45 y comenzar de nuevo. La operatividad de los Sistemas constituye la principal preocupación del auditor informático. Para conseguirla hay que acudir a la realización de Controles Técnicos Generales de Operatividad y Controles Técnicos Específicos de Operatividad, previos a cualquier otra actividad de aquel. Controles Técnicos Generales: Son los que se realizan para verificar la compatibilidad de funcionamiento simultáneo del SO y el Sw de base con todos los subsistemas existentes, así como la compatibilidad del Hw y del Sw instalados. Son de suma importancia en las instalaciones que cuentan con varios ordenadores, debido a que la profusión de entornos de trabajo muy diferenciados obliga a la contratación de diversos productos de Sw básico. Su inobservancia conduce a desaprovechar lo que ya está pagado. Controles Técnicos Específicos: Son igualmente necesarios para lograr la Operatividad de los Sistemas, se centran en parámetros de asignación automática de espacio en disco, los cuales dificultan o impiden su utilización posterior Revisión de Controles de la Gestión Informática Una vez conseguida la operatividad de los sistemas, se debe realizar la verificación de la observancia de las normas teóricamente existentes en el departamento de informática y su coherencia con las del resto de la empresa. Se deben revisar sucesivamente y en este orden: a) Las Normas Generales de la Instalación Informática: Se realizará una revisión inicial sin estudiar a fondo las contradicciones que pudieran existir, pero registrando las áreas que carezcan de normativa y sobre todo verificando que esta Normativa General Informática no esté en contradicción con alguna Norma General no Informática de la empresa. b) Los Procedimientos Generales Informáticos: Se verificará su existencia, al menos en los sectores más importantes. c) Los Procedimientos Específicos Informáticos: Se revisará su existencia en las áreas fundamentales. Habrá que verificar para cada uno que no existe contradicción alguna con la Normativa y los Procedimientos Generales de la propia empresa, a los que la Informática debe estar sometida. Los procedimientos generales y específicos de la Informática deben ser Coherentes, Consistentes, Compatibles y Subordinados a los Procedimientos y Procesos de la Empresa. CÁPITULO 3: CARACTERÍSTICAS DE LA AUDITORÍA INFORMÁTICA Desde el punto de vista de la Utilidad Económica-Empresarial Los administradores y directivos de las empresas son conscientes de la necesidad de invertir en información para su compañía, mientras esta información sea susceptible de reportar beneficios. Este conjunto de datos procesados representa el Activo Real de la empresa, por tanto, existe una Auditoría de Inversión Informática. Debido a la protección de esos activos, existe la Auditoría Informática de Seguridad Física y Lógica. Además, debido a que hay que rentabilizar los datos disponibles mediante su uso inteligente, independiente de su función en una aplicación específica, debe existir una Auditoria Informática de Aplicaciones. Tendencias El concepto de usuario informático se desarrolla rápidamente. Proliferan varias clases de estos con características diferentes que modifican el entorno general de la informática. La informática se hacía para usuarios finales receptor de la actividad informática y sin conocimientos informáticos o al menos muy limitados. La utilización de ordenadores se masificó en los últimos años. Página 10 de 45 Crisis del concepto de usuario: falta de evolución en la informática y la empresa no eran sensibles a sus necesidades respecto al tipo de usuario, grados de conocimientos. ¿Cuántos tipos de usuarios distintos existen en una empresa compleja? ¿Qué grado de conocimientos informáticos han adquirido los “usuarios no informáticos”? ¿Cómo rentabilizar los costes crecientes que la difusión informática comporta? Para conocer y decidir el modelo informático de la empresa hay que: a) Analizar si el modelo cumple los fines u objetivos de la empresa. b) Analizar el grado de facilidad con quedicho modelo cumple esos fines. c) Analizar la economía del modelo más eficiente y eficaz. Clasificación de usuarios: a. Final no informático puro: mero receptor de información es estable puede establecer sesión con el ordenador central (host). En su terminal aparecen paneles que le permiten navegar fácilmente y efectuar las consultas previstas por quien diseño la Aplicación. Puede además imprimir la información que se le brinda en la pantalla. b. En evolución: considerables conocimientos informáticos, capaces de reelaborar información. c. De centro de información: modifica los datos del ordenador central. En el ámbito de los usuarios finales existe un denominador común: La necesidad de información personalizada y de resultados tangibles, en donde las cuestiones técnicas sean resueltas por los técnicos y en donde pueda obtenerse la información necesaria a través de herramientas sencillas y auto explicativas. Sucede a menudo que el usuario final no utiliza de hecho tales herramientas por razones diversas (falta de información, dificultades de instalación, falta de información sobre los datos disponibles, etc.). Solicita entonces a su organización informática la información que necesita, muchas veces selectiva, esporádica y variada. La invasión de entornos, las explotaciones paralelas, la redundancia e inconsistencia de datos y el desaprovechamiento de recursos son las principales deficiencias del Centro de Información. La multiplicidad de usuarios es un fenómeno natural, si se considera que son éstos los que realmente gestionan el negocio de la empresa y no la Informática. Tras experiencias las empresas muestran tendencia a mantener centralizadas las máquinas y la administración de sus datos. La descentralización de datos implica redundancia e inconsistencia lo que puede comprometer al sistema de información de la empresa. Síntomas de necesidad de la auditoria informática: La Auditoria Informática Interna tiene la ventaja de que puede actuar periódicamente realizando revisiones globales, como parte de su plan anual y de su actividad normal. La Auditoría Informática externa tiene un elevado coste. Las empresas acuden a ella cuando existen síntomas bien perceptibles de debilidad. Los síntomas pueden agruparse en clases: 1. Descoordinación y desorganización: a. No coinciden los objetivos de la informática de la compañía y de la propia compañía: Los objetivos informáticos deberán subordinarse a los generales de la empresa b. Los estándares de productividad se desvían de los promedios conseguidos habitualmente. Página 11 de 45 2. Síntomas de una mala imagen e insatisfacción de los usuarios: a. No se atienden las peticiones de cambios de los usuarios: Referido a cambios de Sw en las terminales de los usuarios. b. No se reparan las averías Hw ni se resuelven en plazos razonables. c. No se cumplen los plazos de entrega de resultados periódicos. 3. Síntomas de debilidades económico-financieras: a. Incrementos de costes: Analizar donde se han producido o si es un incremento generalizado b. Necesidad de justificar inversiones informáticas: La empresa no está absolutamente convencida de tal necesidad y decide contrastar opiniones c. Desviaciones presupuestarias d. Costes de plazos y nuevos proyectos. 4. Síntomas de inseguridad: a. Seguridad física. b. Seguridad lógica. c. Confidencialidad: Los datos son “propiedad”, inicialmente, de la organización que los genera. Aquellos datos de personal son especialmente confidenciales d. Continuidad de servicio: Es un concepto más importante que la seguridad. Establece las estrategias de continuidad ante fallos mediante Planes de Contingencia Totales y Locales. e. Centro de procesos de datos fuera de control. La operatividad de los sistemas y la continuidad del servicio son verdaderos objetivos comunes a cualquier auditoría informática. CAPÍTULO 4: TIPOS Y CLASES DE AUDITORÍAS INFORMÁTICAS AREAS GENERALES Y ESPECÍFICAS Áreas Específicas Áreas Generales Interna Dirección Usuario Seguridad Explotación Desarrollo Sistemas Comunicaciones Seguridad Cada área específica puede ser auditada desde los criterios generales: a) Desde su propio funcionamiento interno b) Desde el apoyo que recibe de la dirección y en sentido ascendente, del grado de cumplimiento de las direcciones de ésta c) Desde la perspectiva de los usuarios, destinatarios reales de la Informática. d) Desde el punto de vista de la seguridad que ofrece la informática general. Página 12 de 45 Áreas generales: Soporte para que las áreas específicas funcionen: auditoria de usuario, auditoria de actividades internas, auditoria de dirección, auditoria de la seguridad. Dentro de las áreas generales es posible establecer las siguientes decisiones. Áreas específicas: Ejecutan directamente actividades informáticas: de explotación, de sistemas, de desarrollo de proyectos, de comunicaciones, de seguridad. Auditoria informática de explotación: La explotación informática se ocupa de producir resultados informáticos de todo tipo, para ello se dispone de materia prima, los datos, que es necesario transportar los resultados son sometidos a uno o varios controles de calidad y finalmente son distribuidos al usuario. La explotación informática se puede considerar como una fábrica con ciertas peculiaridades. Auditar explotación consiste en auditar secciones del centro productivo, básicamente la planificación de la producción y la producción misma de resultados informáticos. La explotación se divide en tres grandes áreas: Planificación, producción y soporte técnico. ▪ Control de entrada de datos: Se analizará la captura de información en soporte compatible, cumplimiento de plazos, transmisión y entrega de datos, se verificará que controles de integridad y calidad se realicen de acuerdo con normas. ▪ Planificación y recepción de aplicaciones: se auditarán normas de entregas de aplicaciones por parte de Desarrollo, se realizarán muestreos de la documentación de las aplicaciones explotadas. ▪ Centro de control y seguimiento de trabajo: Se analizará cómo se prepara, se lanza y se sigue la producción diaria. La explotación informática ejecuta procesos por lotes (batch) o en tiempo real (teleproceso). ▪ Operación. Sala de ordenadores: Se analizarán las relaciones personales, coherencia de cargos y salarios, así como la equidad en la asignación de turnos de trabajo. Se verificará la existencia de un responsable de sala en cada turno, la existencia y uso de manuales de operación, existencia de planes de formación y el tiempo transcurrido para cada operador desde el último curso recibido. ▪ Centro de control de Red y Centro de Diagnosis: Sus funciones refieren al ámbito de las comunicaciones donde se analiza fluidez y coordinación, también se verificara la existencia de un punto focal único desde el cual sean perceptibles todas las líneas asociadas a los sistemas. El centro de Diagnosis es el ente donde se atiende las llamadas de los usuarios que se han sufrido incidencias tanto de Sw como de Hw. El Centro de Diagnosis está especialmente indicado para informáticos grandes y con usuarios dispersos en un amplio territorio. Debe ser auditada desde esta perspectiva, desde la sensibilidad del usuario sobre el servicio que se le dispone. No basta con comprobar la eficiencia técnica del Centro, es necesario analizarlo simultáneamente en el ámbito de Usuario. Auditoria informática de desarrollo de proyectos: Una aplicación recorre las siguientes fases: a) Prerrequisitos del Usuario y del entorno b) Análisis Funcional c) Diseño d) Análisis orgánico (reprogramación y programación) e) Pruebas f) Entrega a Explotación y alta para el proceso La auditoría informática deberá comprobar la seguridad de los programas, en el sentido de garantizar que los ejecutados por la maquina sean exactamente los provistosy no otros. Una razonable auditoria de aplicaciones pasa por la observación y análisis de estas consideraciones: Página 13 de 45 1. Revisión de las metodologías utilizadas: se asegura modularidad de las posibles ampliaciones de la aplicación y de su fácil mantenimiento. 2. Control interno de las aplicaciones: a. Estudio de viabilidad: importante para Aplicaciones largas, complejas y caras b. Definición lógica de las aplicaciones: se analizará que se han observado los postulados lógicos de actuación, en función de la metodología elegida y la finalidad que persigue el proyecto c. Desarrollo técnico de las aplicaciones: Se verificará que éste es ordenado y correcto. Las herramientas técnicas utilizadas en los diversos programas deberán ser compatibles d. Diseño de programas: Deberán poseer la máxima sencillez, modularidad y economía de recursos e. Métodos de prueba: Se realizarán de acuerdo con las Normas de la Instalación. Se utilizarán juegos de ensayo de datos, sin que sea permisible el uso de datos reales f. Documentación: Ccumplirá la Normativa establecida en la Instalación, tanto la de Desarrollo como la de entrega de Aplicaciones a Explotación g. Equipo de programación: Deben fijarse las tareas de análisis puro, de programación y las intermedias. En Aplicaciones complejas se producirían variaciones en la composición del grupo, pero estos deberán estar previstos 3. Satisfacción de usuarios, deben satisfacer al usuario que lo solicitó. 4. Control de procesos y ejecución de programas críticos: el auditor habrá de comprobar la correspondencia entre el programa codificado y el producto de su compilación y su conversión en ejecutable. Auditoria informática de sistemas: Se ocupa de analizar la actividad propia, conocida como “Técnica de Sistemas”, en todas sus facetas. Los grupos a revisión son: ▪ Sistemas operativos: Proporcionados por el fabricante junto con la máquina, engloba subsistemas de teleproceso, E/S etc. Permite descubrir incompatibilidades. ▪ Sw básico: Conjunto de productos que sin pertenecer al sistema operativo configuran completamente los sistemas informáticos haciendo posible la realización de funciones básicas. El Sw básico es abandonado por el cliente, existe Sw desarrollado por el personal informático de la empresa el cual no debe agredir ni condicionar al sistema. El auditor debe tener en cuenta esto y considerar el esfuerzo realizado en términos de costes, por si hubiera alternativas más económicas. ▪ Sw de teleproceso: Es agregado del Sw básico, Ej.: Sw de tiempo real. ▪ Tuning: Es el conjunto de técnicas de observación encaminadas a la evaluación del comportamiento de los subsistemas y del sistema en su conjunto. Tiene una función revisora, previamente se establece planes y programas de actuación según los síntomas observados. Debe realizarse ante sospecha de deterioro o periódicamente. ▪ Optimización de Sistemas y subsistemas: Acciones permanentes de optimización como consecuencia de tunings. El auditor verifica que las acciones de optimización fueron efectivas y no comprometieron la Operatividad de los sistemas ni el plan crítico de producción diaria de la explotación. ▪ Administración de bases de datos: El auditor de bases de datos deberá asegurar que explotación conoce las que son accedidas por procedimientos que ella ejecuta, analizara sistemas de salvaguardas, revisara integridad y consistencia de los datos, así como la ausencia de redundancia entre ellos. ▪ Investigación y desarrollo: Algunas empresas no dedicadas a la venta de productos informáticos potencian la investigación de sus equipos de técnicas de sistemas y desarrollo de forma que sus productos puedan convertirse en fuentes de ingresos adicionales, el auditor Página 14 de 45 deberá cuidar que dicha investigación no interfiera las tareas fundamentales internas, en todo caso el auditor advertirá en su informe de los riesgos que haya observado. Auditoria Informática de Comunicaciones y Redes: Las comunicaciones son el soporte Físico- Lógico de la informática en tiempo real. El auditor de comunicaciones deberá inquirir sobe índices de utilización de las líneas contratadas como así también de la asignación de los puestos de trabajo correspondientes, con información abundante sobre tiempo de desuso, deberá proveerse además de la topología de red actualizada. Auditoria de Seguridad Informática: Abarca conceptos de seguridad física y lógica. La seguridad física se refiere a la protección del Hw y de los soportes de datos, así como a la de los edificios e instalaciones que los albergan, contemplando situaciones de incendios, robos, sabotajes, catástrofes naturales, etc. La seguridad lógica se refiere a la seguridad de uso del Sw, a la protección de los datos, procesos y programas, así como al acceso de los usuarios a la información La seguridad informática tiene una doble condición: como área general (seguridad global de una instalación) y como área específica (seguridad de explotación de las aplicaciones). La seguridad global se fundamenta en el estudio de los riesgos, para ello se elabora una matriz de riesgos en donde se consideran factores de amenazas e impactos. CAPITULO 5: TECNICAS, HERRAMIENTAS Y CONTROLES Cuestionarios Previos: Las auditorias se materializan recabando información y documentación de todo tipo para la emisión de un juicio global objetivo, siempre amparado en hechos demostrables. Suele ser habitual comenzar con cuestiones preimpresos. Entrevistas: Es una de las actividades personales más importantes del auditor. En ellas, éste recoge más información y mejor matizada, que la proporcionada por medios propios puramente técnicos o por las respuestas escritas a cuestionarios. Checklist: Conjunto de preguntas estudiadas que han de formularse flexiblemente salvo excepciones respondidas oralmente. El auditor deberá aplicar la check list de modo que el auditado responda clara y brevemente. Pueden ser idénticas formuladas en términos aparentemente distintos; el cruzamiento de respuestas permite aumentar el rigor del análisis. Responden a dos tipos de evaluación: de rango (preguntas puntuadas dentro de un rango establecido); binaria (preguntas con respuesta única y, excluyente, SI-NO, 1-0). Trazas o huellas: Paquetes de Sw especiales para auditorias (informáticas o no), son muy modulares, a nivel programa rastrean los datos para comprobar la ejecución de validaciones; en general son más ocupadas en auditorias no informáticas (control de ingresos, programas de facturación), la auditoria informática acude a información generada por el propio sistema (backup, syslog, accounting, etc.). No deben agredir a los sistemas operativos. Sw de interrogación: Se orientan a lenguajes que permiten la interrogación de ficheros y bases de datos de la empresa auditada. El trabajo de campo del auditor debe realizarse con los productos del cliente, conviene que el mismo confeccione determinadas partes del informe. Es imprescindible el manejo de Procesadores de Texto, Paquetes de Gráficos, Hojas de Cálculo, etc. Página 15 de 45 CAPITULO 6: METODOLOGIAS DE TRABAJO Una vez definida la auditoria, sus fines y utilidades, se procede a describir el método de trabajo que el equipo auditor ha de seguir, desde la contratación por parte del cliente o la orden de la Dirección, hasta la confección y entrega del informe final. El método de trabajo pasa por las siguientes fases: Definición de Alcance y Objetivos: Ámbito o marco en el que se va a desarrollar la auditoria, expresa los límites de esta. A los efectos de acotar el trabajo, resulta muy beneficioso para ambas partes expresar las excepciones de alcance de la auditoría, es decir cuales materias, funciones u organizaciones no van a ser auditadas. Tanto los alcances como las excepciones deben figurar al comienzo del Informe Final. Las personas que realizan la auditoríahan de conocer con la mayor exactitud posible los objetivos a los que su tarea debe llegar. Deben comprender los deseos y pretensiones del cliente, de forma que las metas fijadas puedan ser cumplidas. Una vez definidos los objetivos (objetivos específicos), éstos se añadirán a los objetivos generales y comunes de a toda auditoría Informática: La operatividad de los Sistemas y los Controles Generales de Gestión Informática. Estudio Inicial del Entorno: Para realizar dicho estudio ha de examinarse las funciones y actividades generales de la informática. Para su realización el auditor debe conocer lo siguiente: 1- Organización: Para el equipo auditor, el conocimiento de quién ordena, quién diseña y quién ejecuta es fundamental, ya que no podrá realizar su misión sin conocer con bastante aproximación la estructura organizativa de la informática sujeta a auditoría. Para realizar esto en auditor deberá fijarse en: a) Organigrama: Expresa la estructura oficial de la organización a auditar, el auditor lo dibujará sin omitir funciones auxiliares, lo que le permitirá comprobar la identidad entre lo oficial y lo real. b) Departamentos: Son los órganos que siguen inmediatamente a la Dirección. El auditor describirá brevemente las funciones de cada uno de ellos. Ejemplo: Jefe de Explotación, de Planeación, de Producción, etc. c) Relaciones Jerárquicas y funcionales entre órganos de la Organización: El equipo auditor verificará si se cumplen las relaciones funcionales y Jerárquicas previstas por el organigrama, o por el contrario detectará, por ejemplo, si algún empleado tiene dos jefes. Las relaciones de Jerarquía implican la correspondiente subordinación y las relaciones funcionales indican relaciones complementarias y no estrictamente subordinables. d) Flujos de Información: además de las corrientes verticales intradepartamentales y de las directrices de la Dirección, la estructura organizativa cualquiera que sea, produce corrientes de información horizontales y oblicuas extra departamentales. Las organizaciones crean canales alternativos de información, sin los cuales las funciones no podrían ejercerse con eficiencia, estos se producen por fallos en la estructura que los representa, debido a que no existe el organigrama perfecto, pero no se debe excusar la proliferación de dichos flujos. Los flujos de información entre los grupos de una organización son necesarios para su eficiente gestión, siempre y cuando tales corrientes no distorsionen el propio organigrama. Otras veces, la aparición de flujos de información no previstos obedece a afinidades personales o simple comodidad. Estos flujos de información son indeseables y producen graves perturbaciones en la organización. Página 16 de 45 e) Número de Puestos de trabajo: El equipo auditor comprobará que los nombres de los Puestos de Trabajo de la organización auditada corresponden con las funciones reales distintas. Se deben poner de manifiesto las funciones operativas redundantes, lo que ocasiona deficiencias estructurales. f) Número de personas por Puesto de Trabajo: Es un parámetro que los auditores informáticos deben considerar. La inadecuada distribución del personal o la falta de plantilla en algunas secciones y la sobrantía en otras, hace que rara vez se coincida con la estructura oficial de la organización, el auditor deberá exponer el número real de empleados de cada sección, de este modo se pone de manifiesto una distribución ineficiente de recursos o a la necesidad de una reorganización. 2-Entorno Operacional: Se debe poseer una adecuada referencia del entorno en el que va a desenvolverse. Este conocimiento se logra determinando: a) Situación geográfica de los Sistemas: Se determinará la ubicación geográfica de los distintos Centros de Proceso de Datos en la empresa. A continuación, se verificará la existencia de responsables en cada uno de ellos, así como el uso de los mismos estándares de trabajo. b) Arquitectura y configuración de Hardware y Software: Ccuando existen varios equipos, es fundamental la configuración elegida para cada uno de ellos, ya que los mismos deben constituir un sistema compatible e intercomunicado. La configuración de los sistemas está muy ligada a las políticas de seguridad lógica de las compañías. Los auditores, en su estudio inicial, deben tener en su poder la distribución e interconexión de los equipos. c) Inventario de Hardware y Software: El auditor recabará información escrita, en donde figuren todos los elementos físicos y lógicos de la instalación. En cuanto a Hardware figurarán las CPUs, unidades de controles locales y remotos, periféricos de todo tipo, etc. El inventario de software debe contener todos los productos lógicos del Sistema, desde el software básico hasta los programas de utilidad adquiridos o desarrollados internamente. Suele ser habitual clasificarlos en facturables y no facturables. d) Comunicación y Redes de Comunicación: En el estudio inicial los auditores dispondrán del número, situación y características principales de las líneas, así como de los accesos a la red pública de comunicaciones. Igualmente, poseerán información de las Redes Locales de la empresa. 3-Aplicación de bases de datos y ficheros: Idea general de los procesos informáticos: a) Volumen, antigüedad y complejidad de las Aplicaciones: El equipo de auditoría informática hallará un promedio de los conceptos epigrafiados. Se pondrá énfasis en la periodicidad de la carga. b) Metodología del Diseño: Se clasificará globalmente la existencia total o parcial de metodología en el desarrollo de las aplicaciones. Si se han utilizados varias a lo largo del tiempo se pondrá de manifiesto. c) Documentación: La existencia de una adecuada documentación de las aplicaciones proporciona beneficios tangibles e inmediatos muy importantes. La documentación de programas disminuye gravemente el mantenimiento de estos. d) Cantidad y complejidad de DB y Ficheros: El auditor recabará información de tamaño y características de las DB, clasificándolas en relación y jerarquías. Hallará un promedio de número de Página 17 de 45 accesos a ellas por hora o días. Esta operación se repetirá con los ficheros, así como la frecuencia de actualizaciones de estos. Estos datos proporcionan una visión aceptable de las características de la carga informática Determinación de recursos necesarios: Se procede a determinar recursos humanos y materiales que han de emplearse en la auditoria. Recursos materiales: Es muy importante su determinación, por cuanto la mayoría de ellos son proporcionados por el cliente. Las herramientas software propias del equipo van a utilizarse igualmente en el sistema auditado, por lo que han de convenirse en lo posible las fechas y horas de uso entre el auditor y cliente, los recursos materiales del auditor son de dos tipos: o Sw: Programas propios de la auditoria (potentes y flexibles, se añaden a los procesos del cliente para verificar los recorridos de aquellos), monitores (se utilizan en función del desarrollo observado en la actividad de técnica de sistemas del auditado y de la cantidad y calidad de los datos ya existentes). o Hw: Los recursos hardware que el auditor necesita son proporcionados por el cliente, los procesos de control deben efectuarse en los ordenadores del auditado, por lo tanto, habrán de convenirse tiempo de máquina, duración de las sesiones de media; cantidad de pantallas, impresoras. Recursos humanos: La cantidad de recursos depende el volumen auditable, las características y perfiles del personal seleccionado depende de la materia auditable. Aparte de la agregación de expertos es necesaria su cohesión, la auditoria suele ser ejecutada por profesionales universitarios y por personas de experiencia multidisciplinaria. PERFILES PROFESIONALES DE LOS AUDITORES INFORMÁTICOS (ESTO TOMÓ) Profesión Actividades y conocimientosdeseables Informático Generalista Con experiencia amplia en ramas distintas. Deseable que su labor se haya desarrollado en Explotación y en Desarrollo de Proyectos. Conocedor de Sistemas. Experto en Desarrollo de Proyectos Amplia experiencia como responsable de proyectos. Experto analista. Conocedor de las metodologías de Desarrollo más importantes. Técnico de Sistemas Experto en Sistemas Operativos y Software Básico. Conocedor de los productos equivalentes en el mercado. Amplios conocimientos de Explotación. Experto en DB y administración de las mismas Con experiencia en el mantenimiento de DB. Conocedor de productos compatibles y equivalentes en el mercado. Amplios conocimientos de explotación Experto en Sw de comunicaciones Alta especialización dentro de la técnica de sistemas. Conocimientos profundos de redes. Muy experto en Subsistemas de teleproceso. Experto en Explotación y Gestión de CPD’s Responsable de algún Centro de Cálculo. Amplia experiencia en Automatización de trabajos. Experto en relaciones humanas. Buenos conocimientos de los sistemas. Técnico de organización Experto organizador y coordinador. Especialista en el análisis de flujos de información. Técnico de evaluación de costes Economista con conocimiento de Informática. Gestión de costes. Página 18 de 45 Elaboración del plan y de los programas de trabajo: Una vez asignados los recursos, el auditor y sus colaboradores establecen un plan de trabajo, luego se realiza la programación del mismo por parte del responsable de cada sector. El plan se elabora teniendo en cuenta, entre otros criterios, los siguientes: a) Si la Revisión debe realizarse por áreas generales o áreas específicas. En el primer caso, la elaboración es más compleja y costosa. b) Si la auditoría es global, de toda la Informática, o parcial. El volumen determina no solamente el número de auditores necesarios, sino las especialidades necesarias del personal. • En el plan no se consideran calendarios, porque se manejan recursos genéricos y no específicos. • En el Plan se establecen los recursos y esfuerzos globales que van a ser necesarios. • En el Plan se establecen las prioridades de materias auditables, de acuerdo siempre con las prioridades del cliente. • El Plan establece disponibilidad futura de los recursos durante la revisión. • El Plan estructura las tareas a realizar por cada integrante del grupo. • En el Plan se expresan todas las ayudas que el auditor ha de recibir del auditado. • Una vez elaborado el Plan, se procede a la Programación de actividades. Esta ha de ser lo suficientemente como para permitir modificaciones a lo largo del proyecto. La programación de actividades debe ser flexible. Los programas son la cuantificación del plan en ellos establece un calendario real de actividades, y la asignación de recursos concretos. Actividades de la auditoria informática: Se realizan por áreas generales o específicas, si se examina por grandes temas es evidente la mayor calidad y el empleo de más tiempo total y mayores recursos, por ejemplo: todas las tareas relacionadas con seguridad informática y luego comenzar todas las de DB. Por el contrario, cuando la auditoria se realiza por áreas específicas el resultado se obtiene más rápidamente y con menos calidad, por ejemplo: todas las tareas de control de líneas y luego todas las tareas de control de los terminales. Técnicas de Trabajo: Análisis de la información recabada del auditado, Análisis de la información propia, Cruzamiento de las informaciones anteriores, Entrevistas, Simulación y Muestreos. Herramientas: Cuestionario general inicial, Cuestionario Checklist, Estándares, Monitores, Simuladores (Generadores de datos), Paquetes de auditoría (Generadores de Programas) y Matrices de riesgo. INFORME FINAL: (ESTO TOMÓ) La función auditora se materializa por escrito. El auditor avala personalmente su juicio de forma documental Resulta evidente la necesidad de redactar borradores e informes parciales previos al informe final, los que son elementos de contraste de opinión entre auditor y auditado y que pueden descubrir fallos de apreciación en el auditor. Estructura del informe final: (ESTO TOMÓ) El informe comienza con la fecha de comienzo de la auditoría y la fecha de redacción de este. Se incluyen los nombres del equipo auditor y los nombres de todas las personas entrevistadas, con indicación de la jefatura, responsabilidad y puesto de trabajo que ostente. Página 19 de 45 1. Definición de objetivos y alcance de la auditoría. 2. Enumeración de temas considerados: Antes de tratarlos con profundidad, se enumerarán lo más exhaustivamente posible todos los temas objeto de la auditoría. 3. Cuerpo Expositivo: Para cada tema, se seguirá el siguiente orden a saber: a) Situación actual. Cuando se trate de una revisión periódica, en la que se analiza no solamente una situación sino además su evolución en el tiempo, se expondrá la situación prevista y la situación real b) Tendencias. Se tratarán de hallar parámetros que permitan establecer tendencias futuras. c) Puntos débiles y amenazas. d) Recomendaciones y planes de acción. Constituyen junto con la exposición de puntos débiles, el verdadero objetivo de la auditoría informática. e) Redacción posterior de la Carta de Introducción o Presentación. Modelo Conceptual de Exposición de Informe Final Se basa en los dos principios: 1) incluir solo hechos importantes. 2) consolidar los hechos que se describen en el mismo. El término de “hechos consolidados” adquiere un especial significado de verificación objetiva y de estar documentalmente probados y soportados. La consolidación de los hechos debe satisfacer, al menos los siguientes criterios: • El hecho debe poder ser sometido a cambios. • Las ventajas del cambio deben superar los inconvenientes derivados de mantener la situación. • No deben existir alternativas viables que superen al cambio propuesto. • La recomendación del auditor sobre el hecho debe mantener o mejorar las normas y estándares existentes en la instalación. Cumplidos los dos principios y los criterios de consolidación expuestos el hecho pasa al informe. Carta de Presentación del Informe Final: Debe resumir la auditoría realizada en 3 o 4 folios e incluirá: objetivos, naturaleza y alcance de la revisión, fecha, importancia del área (cuantificación), conclusión general, presentación de debilidades en orden de importancia, no debe expone recomendaciones, ya están en el informe. Se destina exclusivamente al responsable máximo de la empresa o a la persona concreta que encargó o contrató la misma, o a la persona en quien ella hubiese delegado expresamente. Pautas del Lenguaje y Redacción: Títulos expresivos y breves, párrafos de 8 o 10 líneas que traten un solo asunto, frases con una sola idea que no superen las 3 líneas en voz activa o reflexiva, omitiendo palabras innecesarias y redundancias, no usar adverbios y adjetivos, no cambiar verbos por nombres. CAPITULO 7: METODOLOGIA ABREVIADA DE REVISION DE RECURSOS INFORMÁTICOS A TRAVÉS DEL MANAGEMENT CRMR (COMPUTER RESOURCE MANAGEMENT REVIEW) (ESTO TOMÓ) Definición de la Metodología CRMR: su traducción seria evaluación de la gestión de los recursos informáticos. Lo que quiere destacar es la evaluación de la eficiencia de utilización de los recursos a Página 20 de 45 través de los procedimientos y métodos gerenciales. No tiene la profundidad de una auditoria, pero proporciona soluciones más rápidas a problemas concretos y notorios. El CRMR es aplicable cuando: • Los resultados obtenidos en el Centro de Procesos de Datos no están disponibles para el usuario en el momento convenido • Existe un alto nivel de Costes de proceso • Se genera información inexacta • Existen fuentes de sobrecargas de capacidad de proceso • Mal nivel de respuestas a necesidades y peticionesde usuarios Áreas de Aplicación: Las atrás en el que el método CRMR puede ser aplicado corresponde a: 1) gestión de datos. 2) control de operaciones. 3) control y utilización de recursos. 4) relaciones con usuarios. 5) planificación. 6) organización y administración. Objetivos: Tiene como objetivo fundamental evaluar el grado de bondad o ineficiencia de los procedimientos y métodos de gestión de un centro de procesos de datos. Las Recomendaciones que se emitan como resultado de la aplicación del CRMR, tendrán como finalidad lo siguiente: Identificar y fijar responsabilidades, Mejorar la flexibilidad de realización de actividades, aumentar la productividad, disminuir costes y mejorar los métodos y procedimientos de dirección Alcance: Abarca tres clases: a) Reducido: identificar sectores con potencialidad de beneficio inmediato. b) Medio: establece conclusiones y recomendaciones. c) Amplio: desarrolla conclusiones y aporta técnicas de implementación. Información Necesaria para Evaluar el CRMR: el CRMR necesita datos de: procedimientos estándar y operaciones, mantenimiento de librerías y hardware, rendimiento del sistema, informe de averías y disponibilidad, gestión de espacio en disco, monitorización del sistema, CPU, canales, discos, etc. 4 PILARES DE LA ADM DE RRHH: 1) MOTIVACION La motivación es la cualidad que mejor demuestra la modernidad del Administrador ❖ Antes se basaba en su jerarquía. Hoy debe tener conocimientos que sean valorados. ❖ Antes ejercía su autoridad sobre la base del mando Hoy tiene que hacerlo sobre la base de la convicción (sin abandonar su poder). ❖ Antes el manager debía tener moderación en los procesos. Hoy debe tener velocidad, agilidad y habilidad para el cambio. Como motivar es dar motivo, la manera más concreta de buscar las bases de la motivación es buscar aquellas cuestiones por las cuales nos movilizamos los seres humanos. ❖ Tomar en cuenta cuáles son las causas generales por las que los seres humanos nos movilizamos. ❖ Tomar en cuenta en qué proporción las personas a quienes nos referimos priorizan estas causas generales; cuáles pesan más para esas personas, en ese momento. ES DECIR, CONOCER CUALES SON SUS NECESIDADES Página 21 de 45 El manager debe ser claro sobre las cosas que no puede hacer o dar con respecto a quien está a su cargo CONFIANZA Y PERTENENCIA Un manager tiene que lograr que las personas que trabajen con él le tengan confianza, sean partes y se sientan parte de ese grupo y de esa empresa. Para que una persona confíe en su superior, este tiene que ser transparente. La misma transparencia que reclamamos en la sociedad en general es las que las personas reclaman en la empresa. ➢ Primer elemento de transparencia La visión no puede ser una imposición “compartida”. La visión, para tener sentido, debe ser efectivamente compartida y discutida con cada uno de los niveles sucesivos, para que cuando se habla de hacia dónde vamos, los directores, el máximo responsable de la empresa, los gerentes, los jefes y el resto de la organización comprendan que se quiere decir, De ahí en adelante accionarán en esa dirección. ➢ Segundo elemento de transparencia El análisis de la realidad tiene que ser aceptada como cierto y, por lo tanto, las brechas deben ser bien definidas. ➢ Tercer elemento de transparencia Las estrategias deben ser desarrolladas por grupo en común si deben funcionar cuando sean objetivos. ➢ Cuarto elemento de transparencia Los objetivos tienen que ser acordados y revisados en cada momento preestablecido. El formulario de objetivos debe estar sobre el escritorio de cada manager. Los resultados obtenidos tienen que ser claramente comunicados y los cambios, analizados y discutidos. Las órdenes al estilo tradicional son útiles solamente en los casos de reales emergencias y en Asuntos de menor importancia. No puede ser una forma cotidiana de relación. En la medida en que los objetivos y los resultados no sean tratados de esta manera, se resentirán la relación y los resultados futuros. ➢ Quinto elemento de transparencia El poder se entrega con claridad. Esto significa que cada persona tiene una cantidad de poder que le ha sido delegado para desempeñar su tarea y que debe estar claramente delimitado y mantenido. Página 22 de 45 ➢ Sexto elemento de transparencia En todo proceso hay momentos en los que hace el control gerencial. Los tiempos de control son los tiempos en que se debe tratar el estado del proceso y estos tiempos habrán sido determinados en el objetivo No se deben intervenir antes, salvo emergencias. Pero la emergencia debe ser extraordinaria. En los objetivos o en los procesos habituales hay momentos de control o de revisión de avance. Hasta se llega a ese punto, no se debe intervenir. Hay que evitar el tipo de supervisor que esta “con el aliento en la nuca” del supervisado. Y hacer preguntas “inocentes”, del tipo de: ¿cómo va ese asunto?, ¿conseguiste el material?, etc. 2) LIDERAZGO Y PODER Para partir de una descripción amplia, podemos decir que líder es una persona que tiene la capacidad de lograr que otros la sigan, es alguien cuya voluntad, sentimientos e intuiciones dirigen y controlan a otros en la prosecución de una causa común. El líder logra este fenómeno: en relación con un grupo de personas en una situación determinada y en una causa determinada. En las organizaciones no existen los Lideres, pero si los conductores que, además, tienen muchas virtudes que podremos ver. En la organización hay personas que tienen empatía, que logran la adhesión de otras basadas en y a partir del poder que les da la organización; Pero si el manager con empatía se queda sin el poder, el grupo no lo sigue. Este directivo, al que llamamos CONDUCTOR (o Manager), debe tener condiciones que pueden adquirirse, porque el carisma no es una cualidad necesaria. El conductor: ➢ Debe tener sentido de hacia dónde va, saber qué es lo que quiere dentro de la organización y con ella. ➢ Debe saber dividir los poderes por debajo de él, para que se cumplan los planes. ➢ Debe tener iniciativa, un hombre que sepa adelantarse a Lo que vendrá. ➢ Debe saber hacerlo con sentido de eficiencia global, sabrá privilegiar lo que sea más útil para el resultado global de la organización. ➢ Debe tener claridad en la comunicación, así no perderá enorme cantidad de energía dedicadas a cosas que no interesan o en tratar de saber qué es lo que interesa, lo que implica en realidad tener respecto por las personas que trabajan para él; esto no se termina en la claridad en la comunicación, sino que se amplía al trato en general. ➢ Debe mantenerse bajo el nivel de conflicto. En la medida en que las persona están ocupadas en el conflicto, no están trabajando para la organización y esto, nuevamente es energía desperdiciada. ➢ Debe motivar a su personal. ➢ Cebe ser reconocido por su gente. LAS FORMAS DEL PODER El poder en una empresa es pues una delegación que recibe a aquel a quien se le otorga. Esto significa una relación doble para el manager, por una parte, la relación de poder que ejerce con quienes trabajan para él, con sus partes y con la comunidad, y por último, la relación que tiene con quienes le ha otorgado el poder. El poder se clasifica de cientos de maneras. Vamos a clasificar según tres características Que nos parecen adecuados para estudiarlo: Página 23 de 45 ❖ La legitimidad ❖ La motivación ❖ Los medios de comunicación empleados. Cuadro que expuso cordero sobre los ejes del poder. Explicación: La legitimidad es fundamental para el ejercicio del poder. En las empresas se da siempre porque el poder lo otorga el nombramiento mediante los mecanismos establecidos por el orden social. En este caso, en una empresa el manager siempre es nombrado por sus superiores. Respecto de la motivación, se puede cuestionarla inclusión entre los ejes del poder. Podría ser considerada parte de la cultura. Pero quien ejerce el poder lo que hace es coordinar un grupo de personas. El narcisista parte, en un grado inferior, de algo positivo ya que, en última instancia, todos necesitamos cierta cuota de narcisismo, porque esto significa que buscamos el logro y que estamos satisfechos con nosotros mismos. De este modo nuestra autoestima aumenta, y entonces entramos en un círculo virtuoso en el cual, a mayor posibilidad de logro, más satisfacción y más autoestima, y así sigue. O sea que hasta este punto el narcisismo parece positivo. Es más, podemos decir que todos los managers tienen su cuota de narcisismo. Valiente es el hombre que se sobrepone a su miedo, cobarde el que se deja dominar por él. No es malo tener miedo a pesar de lo que nos han dicho desde pequeños, porque temer es una emoción que nos ayuda en circunstancias en las cuales la prudencia es lo aconsejable. El asunto es cómo lo manejamos. Los logros de otros nos producen celos o envidia, pero también alegría. Esto depende de cada persona y respecto de quién se trate. A veces, lo que algunos hacen nos produce rabia, y otras veces no importa quién lo haga igualmente nos da rabia, y hay personas de las que no admitimos nada. El rondó es largo, y cuando la alegría y la envidia se unen, lo que es muy habitual, las posibilidades son infinitas. La cuestión es que estos sentimientos se manifiestan claramente en la empresa. Tanto los celos como la envidia son ejes del poder. En general, las personas nos movemos por estas emociones; así, se exacerban por la competencia y la inseguridad que nos produce el ejercicio del poder. 3) COMUNICACIÓN Los seres humanos nos comunicamos permanentemente Lo hacemos no solamente con nuestras palabras, sino también con nuestra presencia o nuestra ausencia, con nuestros gestos o nuestros silencios. En las empresas hay una tendencia a no comunicarse. La tendencia es natural si aceptamos el hecho de que la información es “PODER”. Sería más útil si quien tiene información la transmitiera, porque esto permitiría que más personas pudieran saber de qué se trata y, entonces, le daría más claridad. Por esto lo más útil es comunicar, pero no es lo que hacemos los seres humanos en las empresas en la medida en que conviene. Página 24 de 45 Por otra parte, los empleados parecen tener un ansia insaciable por conocer cosas. Cuando la información es mayor, la sensación disminuye y se pierde mucho menos tiempo en buscar “de qué se trata”, “qué pasa”, “quien se va”. “RADIO PASILLO” Otro aspecto de la comunicación la variabilidad de Comprensión y la Percepción que tenemos como individuos particulares y unido a las experiencias y sentimientos. Proceso de comunicación Emisor : un Individuo, grupo, empresa Receptor: destinatario que recibe el mensaje Mensaje: contenido de la comunicación conjunto de signos perceptibles que aportaran información Canal: vía de circulación de los mensajes. Codificación: transformación en signos reconocibles Descifrado: es posible si el receptor percibe e identifica los signos los combina y entiende Rumores: procesos que desnaturalizan el mensaje y dificultan la comprensión COACHING El coaching es un mecanismo de consejo y apoyo a una persona en un campo determinado por parte de otra reconocida como de mayor habilidad y experiencia en ese campo. El coaching es visto como una tutoría y se trata de evitar porque que lleva mucho tiempo. El coaching es un proceso de soporte y en este sentido: ❖ Ayuda a solucionar problemas. ❖ Aumenta la autoestima. ❖ Ayuda a tomar nuevas responsabilidades. Un coacher Se centra en ayudar al otro a desarrollar su potencial. Habilidades requeridas por parte del coacher: ❖ Escuchar. ❖ Hacer preguntas. ❖ Chequear si el otro ha comprendido. ❖ Observar. ❖ Dar feedback sobre temas específicos. ❖ Presentar información con claridad. ❖ Llegar a acuerdos. ❖ Hacer el seguimiento. ❖ No discutir personalidades. ❖ No evitar los temas difíciles. ❖ No comunicarse en exceso. El proceso de coaching requiere un trabajo cotidiano de observación. Entrevista y plan de análisis: ❖ ¿Cuál es el propósito? ❖ ¿Qué y porqué se trata? ❖ ¿Qué está pasando en ese tema? ❖ ¿Cuál sería el resultado deseable? Discusión del tema hay que: ❖ Aclarar de que se trata la discusión y cuál es su importancia. ❖ Discutir diferentes maneras de manejar la situación. ❖ Aclarar la situación y qué es preocupante. Página 25 de 45 ❖ Acordar qué se desea alcanzar. ❖ Pedir que la otra parte se comprometa. ❖ Expresar la necesidad de confidencialidad y fijar fechas para una nueva reunión Seguimiento, se debe hacer: ❖ Chequeando los progresos que se hacen. ❖ Haciendo notar los progresos que se han logrado. ❖ Observando a la persona en acción. Cualidades del Coaching OBSERVACION ❖ No debe juzgar. ❖ Tiene que relacionar las conductas observadas con el impacto que producen ❖ Debe testear las teorías que tenga sobre la situación. ❖ Debe examinar su propio comportamiento. ESCUCHA (La calidad de escucha es fundamental ) ❖ No distraerse. ❖ Mirar a la persona. ❖ No interrumpir. ❖ Evitar el ceño fruncido. ❖ Estar relajado. ❖ Usar afirmaciones casuales como “ajá”, “claro”, “sí”, etc. ❖ Hablar en un tono amigable y no dando órdenes. ❖ Repetir lo que se está diciendo. Técnicas del Coaching DE APERTURA • Invitar a la participación. • Explorar alternativas. • Examinar perspectivas diferentes. • Descubrir actitudes o necesidades que se esconden. • Establecer prioridades. • Hacer más preguntas abiertas, es decir, que invitan al otro a analizar. • Las técnicas de cierre que ver con expresiones como: • “Sí”, “no”, “nunca”, etc. • Respuesta focalizada ¿está esto hecho? FEEDBACK • El coaching requiere feedback o retroalimentación. El feedback debe cumplir con ciertas condiciones, a saber: • Ser descriptivo del tema en vez de buscar razones. • Estar en tiempo, esto es, ser hecho lo más cercano posible al problema, pero solamente cuando las emociones han bajado de nivel. Página 26 de 45 • Estar centrado en el tema concreto. • Estar focalizado en el comportamiento y en sus consecuencias. • Ser claro y simple, motivado en el deseo de ayudar. 4) CULTURA ORGANIZACIONAL La cultura es uno de los ejes del poder en la organización. Es, en última instancia, el medio en el cual se mueven las personas. Las definiciones de cultura son muchas. La cultura es algo perfectamente visible y tangible. Comprender la cultura de una sociedad, de una empresa o de un grupo, permite entender por qué las personas actúan y trabajan de determinada manera. En las empresas se suele hablar indistintamente de cultura, filosofía, ideología, clima, estilo, etc., lo cual da lugar a que no se interprete cada una de ellas en forma adecuada. En la empresa se tiene en cuenta: Visión lo que pretende la organización a futuro. Dirección administración Responsabilidad Delegación estado de madurez de una persona Entrenamiento Disciplina Formalidad Estilo de vida Respeto y dignidad Recompensa Honestidad Orientación a los beneficios ganar más la organización por la diferenciación con otras empresas. Orientación de los costos Como se debe trabajar en todas las etapas para elaboración de los productos Orientación al cliente procesos y atención orientado al cliente Responsabilidad social Beneficios que doy a la sociedad Con esto se trata de conocer cuál es la imagen que la sociedad tiene de la empresa y de la misma forma que queremos conocer el mercado antes de iniciar una campaña o un lanzamiento. Las encuestas de satisfacción o de clima nos dan respuestas parciales. Las encuestas de cultura abarcan los distintos aspectos, que nos darán EFECTIVAMENTE la satisfacción o
Compartir