Evaluación de la Función de Dirección La dirección incluye coordinación de actividades, proveer liderazgo, guías y motivación personal. Su propósito es que los objetivos individuales no estén en conflicto con los objetivos de grupo. El proceso esta basado en tres principios:
Unidad de comandos: Todo empleado debe tener un solo supervisor para evitar conflictos en instrucciones y promover un mayor sentimiento de responsabilidad para el logro de los resultados. Supervisión directa: La administración debe proporcionar métodos objetivos para la supervisión con un contacto personal directo. Apropiada variación de las técnicas de supervisión para diferente personal, tareas y ambiente organizacional
Se requiere que el auditor entienda las áreas fundamentales para una efectiva dirección: como motivar a sus subordinados, como darles liderazgo y como comunicar claramente los requerimientos de trabajo a sus subordinados. Motivación Existen muchas teorías de motivación como son la escala de las necesidades de Maslow, la teoría de la motivación-higiene de Herzberg, la teoría de expectativas de Vroom. Sin embargo la teoría de la contingencia es la mejor aceptada por mencionar que no hay forma ideal para motivar a los empleados; la mejor manera depende del individuo y su medio ambiente. El auditor usualmente no cuenta con el tiempo ni el conocimiento suficiente para ir a una instalación computacional y evaluar desde un punto de vista motivacional la existencia de un enlace entre el empleado y el trabajo que realiza. Lo que el auditor puede hacer, sin embargo, es examinar variables indicadoras de problemas motivacionales, por ejemplo: estadísticas de rotación de personal, frecuentes fallas de proyectos, niveles de ausentismo, etc. Liderazgo Un administrador que adopta un estilo de liderazgo efectivo cuenta con las siguientes características:
Conocimiento: Entiende lo esencial de motivación y liderazgo Empatía: Son capaces de ponerse en el lugar de otros Objetividad: Pueden examinar y evaluar eventos sin ser subjetivos o mezclarlos sentimientos Auto-conocimiento: Están conscientes de los resultados que provocan sus acciones.
Se considera como la mejor teoría de liderazgo a la de contingencia que dice: no hay una manera de liderazgo efectiva para toda la gente en todas las situaciones; depende de la personalidad y de las tareas. También aquí, el auditor usualmente no tiene ni el tiempo ni el conocimiento para evaluar la habilidad de la administración de escoger el estilo de liderazgo apropiada a una situación dada. El auditor debe estar al pendiente de indicadores que sugieren pobre liderazgo: rotación de personal, falla de proyectos por bajos presupuestos, etc. Comunicación Se requiere de una comunicación precisa, efectiva y eficiente entre la administración y el staff de una instalación computacional. Los mensajes deben ser claramente entendidos, la integridad de los mensajes debe ser asegurada y cualquier mensaje enviado debe obtener atención de quien lo recibe. El auditor tiene ambas fuentes formales e informales de evidencia para evaluar que tan bien la alta dirección y la dirección de informática se comunican con sus subordinados. Fuentes formales: las minutas de las juntas son fuentes formales de evidencia en el éxito o fracaso de la comunicación en una instalación computacional. Fuentes informales: Entrevistas con el staff de la instalación, existencia de un sentido de propósito entre los miembros del grupo de proyectos, conocimiento general del staff de otros desarrollos dentro de la instalación, aún cuando no estén directamente involucrados con esos desarrollos. Evaluación de la Función de Control El control consiste en comparar el desempeño actual contra el planeado, lo cual sirve como una base para ajustar acciones. Cuando se evalúa la alta dirección y la dirección de informática, los auditores se enfocan en las actividades de control que deben ser desarrolladas en la instalación para asegurar el cumplimiento de los objetivos. Hipótesis de Etapas de Crecimiento. Las etapas de crecimiento de Nolan indican que la evolución de un procesamiento electrónico de datos tiene cuatro partes. Desde un punto de vista de control, los puntos de cambio de la grafica representan tiempos críticos en la vida de la instalación. Etapa Iniciación
Contagio
Características Instalación de la computadora, Computadora frecuentemente localizada en el departamento del usuario principal, ausencia de controles, presupuesto flojo, no se utiliza sistema de transferencia de precios, proyectos son priorizados en base a PEPS. (primeros entran, primeros salen) Administración orientada a ventas intenta mostrar la utilidad de la computadora, se da mayor estatus a los administradores de informática,
Control
Integración
controles flojos permiten el rápido desarrollo de aplicaciones, pocos estándares. Administración orientada a control, la computadora se mueve fuera del área .del usuario, proliferación de controles, establecimiento del comité del manejo de estándares, control de proyectos, precios de transferencia. Planeación y control orientada a recursos, el de informática se convierte en un área funcional, alguna descentralización de analistas y programadores en las áreas del usuario, alta especialización de funciones, se introducen sistemas avanzados, refinamiento de los controles, establecimiento de un plan maestro.
Desde un punto de vista de auditoria, este modelo se enfoca en el estado de controles dentro de la instalación de la computadora a medida que pasa por varias etapas. Si los auditores externos pueden determinar la etapa alcanzada por la instalación, pueden predecir los problemas de control más seguros de ocurrir. Auditores internos pueden usar este modelo como guía para diseñar controles apropiados para cada etapa y alertar a la administración sobre los problemas que pueden aparecer. Medios de Control La administración ejerce control sobre las actividades de la instalación computacional a través de los medios normales: planes y presupuestos, medir el desempeño actual y determinar variaciones. Estándares de Desempeño Junto con el plan de proyecto, estándares de desempeño forman la base de construcción de presupuestos para proyectos de sistemas de información. Los estándares de desempeño describen el uso de recursos que debería ser esperado al realizar diferentes actividades en la instalación. Esto abarca cuatro áreas principalmente:
Uso de equipo Análisis de sistemas Programación Operaciones
Estándares de Documentación Los estándares de documentación forman una parte importante para el éxito o fracaso de los proyectos de sistemas de información. Estos tienen cuatro propósitos:
Comunicación inter áreas o tareas Control de calidad y control de proyectos Referencia histórica
Referencia instruccional.
El problema de la administración es determinar el nivel de documentación necesaria en la instalación. Preparar la documentación es una actividad que consume tiempo. Los beneficios deben sobrepasar los costos. Revisión de los Puntos de Chequeo Muchos proyectos pueden ser divididos en una serie de pasos. Al final de cada paso, un punto de chequeo puede ser definido. Cuando el punta de chequeo es alcanzado, la administración puede revisar el progreso del proyecto y determinar si necesita mas trabajo. Si las revisiones de los puntos de chequeo son bien llevadas acabo, pueden ser medios para detectar áreas problema en la conducción del proyecto. Ayuda para el Control del Proyecto Deben existir medios para proveer una alarma temprana a desviaciones de proyecto. Técnicas tradicionales de control de proyectos pueden ser usadas ya que permiten que el proyecto sea monitoreado (Gantt y Pert) Post-Auditorias Junto con las auditorias realizadas por el grupo de informática, la administración del informática debe realizar regularmente sus propias auditorias como un control fundamental. Ambos equipos deben tener los mismos objetivos; sin embargo la auditoria de la administración del informática puede estar mas involucrada en aspectos más detallados del análisis, diseño e implementación de sistemas. Además los miembros de este equipo de auditoria pueden ser escogidos especialmente por su conocimiento profunda de los sistemas. Controlando el Uso de los Servicios Computacionales Existen dos formas de controlar a los usuarios
Algún tipo de comité de revisión puede analizar las peticiones de servicio de los usuarios. Se puede utilizar algún mecanismo para evaluar prioridades como el presupuesto base cero. Lo primero es reducir todas las actividades de sistemas de información a cero. Segundo todas las actividades potenciales de sistemas de información son identificadas y estructuradas en forma secuencial dependiendo un nivel de servicio. Para cada nivel de servicio estimaciones de beneficios esperados y con sumo de recursos. Finalmente el comité debe de establecer prioridades. Precios de transferencia 0 un esquema de cargos puede ser usado para evaluar las peticiones de los usuarios. Esto involucra determinar las unidades de servicio ofrecidas por la instalación del procesamiento de datos (segundos de uso de CPU, espacio de almacenamiento en disco, líneas impresas) y una tabla de honorarios. A los usuarios se les cobra por los servicios que consumen.
El auditor debe determinar que aspectos de cada función son críticos para la organización desde el punto de vista del control y evaluar el desempeño de la función contra las guías normales de cada función.
Aseguramiento Información.
de
la
Calidad
en
el
Departamento
de
Servicios
de
Responsabilidades Estas pueden ser asignadas a miembros del staff del Departamento de Servicios de Información. Tener un grupo de Aseguramiento de la Calidad (Quality Asurence) que sea responsable de las funciones de QA.
Se deberá hacer un análisis para establecer la necesidad de formar un grupo de QA. Evaluar el nivel general de la satisfacción del usuario con los servicios del Departamento de Servicios de Información. Revisar los problemas existentes y determinar las responsabilidades del Departamento de Servicios de Información en estos requerimientos para solucionar el problema.
Características del Personal Evaluar el conocimiento de los sistemas de operación y de los lenguajes de comunicación, así como de aplicación de controles de procesos, conceptos internos de control. Determinar que la función del QA del Departamento de Servicios de Información no tenga deficiencias. Planes de Revisión Será necesario evaluar el estado de los siguientes puntos:
Logros de los objetivos del Departamento de Servicios de Información Adherencia de los servicios de información a los estándares y procedimientos de la empresa. Utilización de sistemas de control para el logro de los objetivos. Reportes de aseguramiento de la calidad deben ser presentados a los usuarios y al administrador de departamento de servicios de información.
Funciones de Auditoria Interna Es como un complemento de otros elementos de control administrativo, la función de una auditoria interna es establecer con suficiente competencia técnica, independencia y autoridad para revisar los objetivos de control de sistemas de información y para preparar reportes en donde se encuentren y den recomendaciones aplicables a todas las áreas de sistemas de información. Su función debe ser establecida por el administrador general quien dictara sus responsabilidades y autoridad para realizar su función de auditoria interna, esto debe ser periódicamente revisado para verificar que se mantenga lo establecido. Requerimientos Externos Aspectos como las regulaciones gubernamentales deben ser considerados ya que pueden afectar el uso y control de los sistemas computacionales así como el uso de las computadoras, programas y datos. Se deben identificar las áreas afectadas ya que deben ser consideradas en los planes políticas, estándares y procedimientos.
El conocimiento del auditor sobre la tecnologĂa para el procesamiento de datos debe de incrementarse a medida que aumentan los requisitos del gobierno y del medio ambiente. Los controles deben ser suficientemente buenos para asegurar el buen funcionamiento de los sistemas aĂşn y cuando el gobierno haga nuevos requerimientos.