ESTRUCTURA
CONCEPTUAL DEL SIG 302 ADMINISTRACION
Tiene como propósito establecer una adecuada planificación, organización, dirección, control y evaluación de los sistemas de información computadorizados (SIC). Comprende las normas relativas al sistema de información gerencial (302.01), a la estructura conceptual (302.02), planificación (302.03), políticas (302.04), y estructura de la organización de dicho SIG (302.05), a la ubicación de la Unidad de Informática (302.06), a la segregación de funciones incompatibles dentro de la organización (302.07), a la segregación de funciones dentro de la Unidad de Informática (302.08), al Comité Gerencial de Informática (302.09) y a los estudios y auditorías internas y externas (302.10).
302.01 Sistema de información gerencial (SIG)
El desarrollo de los SIC se efectuará dentro de la filosofía de un sistema de información gerencial.
Declaración interpretativa
Se emplean diversos nombres para referirse al sistema de información gerencial (SIG) de la organización. Algunos escritores utilizan una terminología alternativa tal como sistema de información administrativa, sistema de procesamiento de información, sistema de información y de decisiones, o simplemente sistema de información.
El SIG es el sistema formal computadorizado que examina, recupera y procesa datos internos y externos a la organización para proveer información de manera eficiente y eficaz que apoye las operaciones, la administración y las funciones de toma de decisiones.
El concepto de SIG es el de una federación de subsistemas que emplea bases de datos comunes, desarrollado e implementado de acuerdo con las necesidades de la organización y constituye una orientación como concepto y filosofía integradora que guía el desarrollo y la operación de los SIC.
GRAFICO No 1 SISTEMA DE INFORMACION GERENCIAL
SI para la planeación y control estratégico
SI para la planeación y control táctico
SI para la planeación y control operacional
Procesamiento de transacciones
El SIG conforme al Gráfico Nº 1, puede describirse como una estructura piramidal en la que la parte inferior comprende un sistema de información (SI) relacionado con el procesamiento de las transacciones; el siguiente nivel comprende el SI para apoyar la planeación y el control operacional; el tercer nivel agrupa el SI para ayudar a la planeación y el control tácticos; el nivel más alto comprende el SI necesario para apoyar la planeación y el control estratégicos en los niveles determinativos y gerenciales de la Administración. Bajo esa estructura, cada nivel indicado puede utilizar la información suministrada por los niveles inferiores respectivos.
Conforme con lo descrito, el SIG desempeña un papel fundamental en la formulación de la estrategia corporativa, en el sentido de que proporciona una estructura continua y formalizada que reúne información tanto interna como externa.
302.02 Estructura conceptual del SIG
La estructura conceptual del SIG se define como la federación de subsistemas de información para las diferentes funciones organizacionales.
Declaración interpretativa
La estructura conceptual definida, permite la descripción y comprensión del SIG como concepto y filosofía integradora y se fundamenta por una parte, en la clasificación de los subsistemas conforme con las funciones principales de la organización tales como ventas y mercadeo, producción, logística, recursos humanos, finanzas y contabilidad, procesamiento de información, alta gerencia, etc., y por otra parte en la clasificación de los subsistemas de las actividades de procesamiento de transacciones, planeación y control operacional, planeación y control administrativo y planeación y control estratégico, tal como se expone en el Gráfico Nº 2.
GRAFICO No. 2
ESTRUCTURA
CONCEPTUAL DEL SIG
Cada uno de los subsistemas funcionales del SIG dispone de archivos individuales de datos; también se emplean archivos de datos comunes como lo son las bases de datos institucionales y los programas comunes para funciones múltiples entre los que se citan la base de modelos, software de aplicación comunes y el sistema de administración de la base de datos.
302.03 Planificación del SIG
302.03.01 Se establecerá un sistema de planificación institucional para la actividad relativa al SIG, que coadyuve con un eficiente y eficaz desarrollo del mismo.
Declaración interpretativa
La planificación es la primera actividad en todo proceso administrativo y surge como esencial en materia de informática, ante la complejidad de los sistemas de información computadorizados y ante su relevancia fundamental dentro de la organización.
Se requiere por lo tanto que se planifique el desarrollo del SIG, integrado por los subsistemas de información computadorizados de la organización, con el propósito de alcanzar niveles adecuados de eficiencia y eficacia y sobre la adquisición y el empleo de los recursos necesarios para ello. La planificación provee la base para la asignación de recursos y el control relativo al desarrollo informático institucional por lo que requiere de su actualización periódica. Mediante el proceso de planificación se definen los objetivos, metas y acciones organizacionales del SIG, la arquitectura informática objetivo, la estructura de la organización del SIG y de la plataforma tecnológica requerida.
Los objetivos, metas y acciones constituyen los criterios orientadores para dirigir el desarrollo informático, los cuales deberán ser concordantes y derivados de los objetivos, estrategias y metas organizacionales.
La arquitectura informática objetivo o estructura conceptual del SIG (302.02), constituye el conjunto de subsistemas de información computadorizados con sus interfaces internas y externas que la organización requiere y su definición exige la realización de los estudios preliminar (301.01) y de factibilidad (301.02).
La definición de la estructura de la organización del SIG (302.05) se refiere entre otros asuntos, a la ubicación jerárquica de la Unidad de Informática, su organización interna, funciones, procedimientos y estandarización del trabajo, necesarios para un eficiente y eficaz desarrollo del SIG.
Finalmente, la plataforma tecnológica constituye el hardware, el software y las comunicaciones requeridas por la organización.
302.03.02 El sistema de planificación institucional del SIG se constituirá por un plan estratégico y un plan anual operativo.
Declaración interpretativa
El propósito básico de la planificación estratégica para el SIG, es establecer objetivos, metas y acciones, de mediano y largo plazo acordes con y derivados de los objetivos y metas organizacionales establecidas para el cumplimiento de la misión institucional. El proceso de planificación estratégica puede subdividirse en dos fases: formular la estrategia general y formular los pasos, tiempos y costos que se requieren para implantar la estrategia, que en forma conjunta constituyen el plan estratégico el cual involucra la planeación de mediano y largo plazo.
La ejecución del plan estratégico del SIG, que también forma parte del plan estratégico corporativo, se realizará mediante la formulación y ejecución del plan anual del SIG como parte integrante del plan anual operativo institucional (PAO) que deberá formularse y ejecutarse de conformidad con el ordenamiento jurídico y la normativa técnica vigente sobre el particular.
Tanto el plan estratégico como los planes anuales operativos relativos al SIG, requerirán la aprobación del máximo jerarca, sea este unipersonal o colegiado, de la entidad u órgano, quien podrá obtener la asesoría del Comité Gerencial de Informática (302.09).
302.04 Políticas relativas al SIG
Se definirán y se darán a conocer las políticas relativas al sistema de información gerencial.
Declaración interpretativa
Las políticas son lineamientos o criterios generales dictados por la autoridad superior, que tienen como propósito orientar la acción, en este caso, de los sistemas de información computadorizados como componentes del SIG, para el cumplimiento de los objetivos y metas de la organización. Las políticas que se dicten deberán ser documentadas y divulgadas en los niveles pertinentes de la organización y objeto de actualización permanente.
El jerarca del ente u órgano público, con el apoyo del Comité Gerencial de Informática, conforme se comenta en la norma 302.09, y de la Unidad de Informática, deberá dictar políticas para áreas como las siguientes: centralización o descentralización de los recursos informáticos, adquisición del hardware y software, prioridades en el desarrollo de los sistemas, la protección de información confidencial, telecomunicaciones, compatibilidad de hardware y software, mantenimiento de equipo, el entrenamiento del personal y en general para la administración del SIG.
302.05 Estructura de la organización del SIG
Se establecerá una adecuada estructura de la organización del Sistema de Información Gerencial que coadyuve en el logro eficiente y eficaz de su finalidad.
Declaración interpretativa
De conformidad con las normas 302.01 y 302.02, el SIG tiene como propósito el examinar, recuperar y procesar datos internos y externos a la organización para proveer información de manera eficiente y eficaz para la planeación y el control en los niveles operacional, táctico y estratégico, así como para el procesamiento de las transacciones.
Para el logro de la finalidad indicada, la Administración definirá y establecerá la estructura de la organización del SIG que considere más apropiada, sea esta centralizada, departamental, personal o del usuario final, o una combinación de las anteriores. La diferencia principal entre las citadas estructuras, radica en la posesión de la función y de las personas designadas para ejecutar las tareas de operación y desarrollo de los SIC, de planeación y control globales y demás tareas vinculadas al SIG.
La estructura centralizada se concibe como la organización tradicional del SIG, constituida por una Unidad de Informática que administra los recursos del computador y sirve a usuarios multi-organizacionales y a necesidades heterogéneas, la cual típicamente la integran las unidades de desarrollo de sistemas, operación del computador y soporte técnico, entre otras.
En la estructura departamental, el equipo de cómputo que generalmente consiste en un minicomputador o una red de área local, se localiza en el área del usuario, satisfaciendo de esa manera necesidades homogéneas del mismo. En esta modalidad, el personal de apoyo del usuario es reducido y puede consistir de uno o dos operadores del computador y un programador; como resultado una sola persona podría realizar diversas funciones consideradas incompatibles, lo cual hace necesario establecer otros controles compensatorios.
La estructura personal o del usuario final se caracteriza porque los recursos del computador, que consisten básicamente en microcomputadores o estaciones de trabajo, están dedicados a un usuario individual quien podrá recibir algún soporte técnico de la Unidad de Informática, cuando esta exista.
302.06 Ubicación de la Unidad de Informática
La Unidad de informática deberá estar ubicada en un nivel jerárquico adecuado dentro de la organización, que le permita realizar de manera independiente y objetiva, la función de servicio que le corresponde.
Declaración interpretativa
La Unidad de Informática, constituida bajo una filosofía de una estructura de la organización centralizada, debe brindar servicio a toda la institución, de apoyo a los sistemas de recursos o adjetivos, operativos o sustantivos y de administración, por lo que requiere de una ubicación adecuada dentro de la estructura organizacional de la institución, que le permita actuar con objetividad e independencia en su relación con todos los sectores usuarios del servicio que ofrece, tales como el desarrollo de sistemas, la operación del computador, el soporte técnico y demás actividades vinculadas.
302.07 Segregación de funciones incompatibles dentro de la organización
Se mantendrá una segregación efectiva de las funciones de iniciación, autorización, ejecución y registro de transacciones dentro de la organización.
Declaración interpretativa
Las funciones incompatibles son aquellas que colocan a cualquier persona en una situación en la que pueda cometer y ocultar errores o irregularidades en el curso normal de sus obligaciones. Consecuentemente, los controles dependen en gran grado de la eliminación de la oportunidad de encubrimientos, de manera que los procedimientos diseñados para detectar errores o irregularidades, deben desempeñarse por personas distintas de aquellas que están en posición de cometerlos, esto es, por personas que no realicen funciones incompatibles.
De conformidad con lo anterior, la Unidad de Informática en su condición de servidora o de apoyo a las otras unidades de la organización, se limitará al registro y procesamiento de los datos. Como regla, no deberá originar ni autorizar transacciones, ejecutar la preparación inicial de los datos para su procesamiento y tener autoridad para iniciar los cambios en los sistemas computadorizadas, con excepción de las actividades necesarias para cumplir con su competencia. Tampoco deberá tener acceso a los registros contables preparados manualmente, excepto a los documentos fuente que serán necesarios para la entrada y el procesamiento de los datos.
302.08 Segregación de funciones dentro de la Unidad de Informática
Se segregarán las funciones de análisis y diseño de sistemas, programación, operación del equipo, control de los datos y manejo de la cintoteca.
Declaración interpretativa
El control interno se verá fortalecido si dentro de la estructura de la organización de la Unidad de Informática, existe una segregación adecuada de funciones incompatibles, lo cual también dará como resultado, una mayor eficiencia operacional debido al diferente nivel de entrenamiento, conocimiento y habilidad requeridos en cada función.
Con el propósito de mantener la segregación requerida, el análisis de los sistemas y el diseño de éstos, hasta donde sea posible lo realizarán personas diferentes, quienes no intervendrán en la programación y en la operación del equipo; estas dos últimas funciones también deberán estar segregadas. Los grupos de control de datos pueden formar parte de la unidad usuaria, pero con frecuencia son parte integrante de la Unidad de Informática, en cuyo caso deberán ser independientes de los grupos de análisis de sistemas, programación y operación.
El acceso a la biblioteca de discos, cintas y otros archivos magnéticos y de otra naturaleza, deberá estar permitido sólo al personal autorizado. La disposición de los archivos magnéticos por parte de los operadores del computador para la ejecución de sus funciones, se realizará respetando procedimientos formales de control.
En forma adicional, es necesario establecer otros procedimientos apropiados como la rotación de tareas y el disfrute de vacaciones anuales.
La segregación de tareas en una organización pequeña puede ser difícil de ponerse en práctica en razón del poco personal que labora dentro de la Unidad de Informática, en cuyo caso deberán implantarse controles compensatorios.
302.09 Comité Gerencial de Informática
Se constituirá un Comité Gerencial de Informática coadyuvante de la administración superior del SIG.
Declaración interpretativa
El Comité Gerencial de Informática constituye la instancia técnica entre el máximo jerarca y la Unidad de Informática, brindando una asesoría al primero en lo relativo a la administración del SIG y de los recursos humanos, materiales y financieros que se destinen para su desarrollo.
Como parte de sus responsabilidades específicas le corresponde dictar las especificaciones necesarias para los estudios preliminar (301.01.02) y de factibilidad (301.02.02), asesorar al nivel jerárquico superior en la aprobación de los resultados de los estudios de factibilidad (301.02), de los planes estratégico y operativo anual de la función de informática (302.03) y en la emisión de políticas relativas al SIG (302.04), controlar y evaluar la ejecución de los planes aprobados, evaluar la necesidad de disponer de hardware y software adicional y asegurar que el nuevo equipo sea contratado bajo los criterios de oportunidad y con una relación adecuada de beneficio-costo.
El Comité Gerencial de Informática se conformará por acuerdo del máximo jerarca, unipersonal o colegiado, y estará presidido por un representante de este. Usualmente lo integran además, un representante de las unidades de Planificación Institucional, Financiera e Informática como secretaría técnica, así como dos representantes de otras unidades usuarias. Eventualmente el Comité podrá convocar a otros representantes de unidades usuarias, en consideración de los asuntos por tratar.
302.10 Estudios y auditorías internas y externas
302.10.01 La Unidad de Auditoría Interna evaluará el cumplimiento, la suficiencia y la validez del control interno en los SIC.
Declaración interpretativa
Para cumplir con su competencia, la Auditoría Interna deberá planear y ejecutar auditorías de los sistemas de información computadorizados y como parte de ellas, evaluar el cumplimiento, la suficiencia y la validez del sistema de control interno teniendo como marco de referencia la normativa expuesta en el presente Manual.
La Auditoría Interna verificará que los sistemas operen en forma eficiente y eficaz y que brinden información útil y confiable; deberá emplear las técnicas y herramientas computadorizadas que considere convenientes y oportunas.
302.10.02 Las auditorías y estudios especiales de auditoría por parte de la Contraloría General de la República, relativos a los SIC, se realizarán en coordinación con la Unidad de Auditoría Interna.
Declaración interpretativa
El propósito de la coordinación entre la Contraloría General de la República y la Unidad de Auditoría Interna para la realización de auditorías y estudios especiales relativos a los SIC, es minimizar la duplicidad de esfuerzos y hacer un uso más eficiente de los recursos públicos, todo dentro de la filosofía del Ordenamiento de Control y Fiscalización Superiores de la Hacienda Pública.
La coordinación involucra actividades como reuniones previas para planear la labor por realizar y determinar las áreas de mayor interés, obtener el acceso a los programas de auditoría, papeles de trabajo e informes emitidos, e incluso para la utilización de personal capacitado, de técnicas de auditoría con ayuda del computador (TAAC) y de métodos y herramientas de empleo mutuo en poder de la Auditoría Interna.
La labor de la auditoría externa a cargo del Organo Contralor, involucra evaluar tanto la gestión de la Auditoría Interna en relación con los SIC, como la evaluación misma de tales sistemas. La evaluación del trabajo ejecutado por el auditor interno constituye un elemento coadyuvante en la determinación de la naturaleza, oportunidad y alcance de los procedimientos del auditor externo. Una función de auditoría interna adecuada y eficaz justificará con frecuencia una reducción de los procedimientos ejecutados por el auditor externo.
302.10.03 El auditor deberá poseer el entrenamiento técnico y capacidad profesional relativa a la auditoría de los SIC.
Declaración interpretativa
El enunciado anterior se fundamenta en la norma personal de auditoría relativa al entrenamiento técnico y capacidad profesional.
A efecto de darle cumplimiento a la norma en comentario, el auditor, en especial aquel designado a realizar auditorías de los SIC, debe tener suficiente conocimiento y experiencia sobre hardware, software y sistemas de procesamiento automatizado de datos, así como de la aplicación de los procedimientos de auditoría incluyendo las técnicas de auditoría con ayuda del computador (TAAC), que le permita llevar a cabo las auditorías y estudios especiales de auditoría requeridos para los sistemas de información computadorizados de la organización que integran el SIG. A manera de ejemplo, deberá poseer conocimientos y adquirir experiencia en las áreas de administración, seguridad, desarrollo y control sobre el mantenimiento de los SIC; planes de contingencia; administración de bases de datos; telecomunicaciones y software de sistemas.
Cuando el auditor, no disponiendo de las habilidades necesarias para llevar a cabo estudios muy técnicos, requiera del apoyo de uno o varios especialistas en la materia, seguirá siendo responsable de los resultados de dichos estudios, por lo que deber dirigir, supervisar y revisar el trabajo de sus colaboradores.