Auditoria de la planificación

Ámbito de actuación de la auditoria 

El ámbito de actuación de la auditoria es bastante amplio. Puede actuar sobre: 

1.      La función la planificación

2.      La construcción o desarrollo de sistemas

3.      La organización y la administración

4.      El entorno operativo

5.      La explotación

6.      La gestión  

Auditoria de la función de planificación

            Conceptos relativos a la función de planificación  

Bajo el término planificación se engloban dos actividades relacionadas aunque diferentes: la actividad de diseñar planes y la de ejecutar las tareas según los planes previstos.

En un departamento  de computación los planes deben referirse a objetivos, actividades, plazos, costos y recursos.

Deben existir los mecanismos precisos (normas, procedimientos, órganos de planificación, seguimiento y control), que aseguren la existencia, adecuación y cumplimiento de planes, controles, administración y medidas de gestión. 

            Problemas asociados a la función de planificación 

Aplicaciones inconexas. La implantación de la computación en una empresa se produce normalmente para solucionar un problema muy concreto y local, que consiste en aglutinar en un solo departamento la gestión de stock, el proceso de capitalización y el control de cuentas de clientes.

A medida que se va verificando la utilidad de la computación, se amplía su uso a otros departamentos, pero en cada caso se contemplan soluciones concretas con un desarrollo de software específico para cada problema operacional. 

Información redundante, incoherente e inconexa. Hemos de considerar que los productos computarizados deben adecuarse a la estructura de la información empresarial.

La misión de desarrollo de sistemas es lograr un sistema integrado por subsistemas o aplicaciones interconectadas con software común y datos comunes, de redundancias controladas y coherentes. Este sistema integrado no se puede lograr sin los planes adecuados.  

Parque computarizado problemático. La política de adquisición (compra, alquiler,  leasing) de equipos computarizados a veces no está definida y planeada, y las responsabilidades en este sentido se hallan dispersas. Con ello se logra tener en una misma instalación elementos hardware y software incompatibles, e incluso en franca competencia. 

Rumbo indeterminado del departamento. La inexistencia o incumplimiento de planes provoca la existencia de instalaciones donde se realizan muchos anteproyectos, se empiezan menos proyectos, se determinan menos y muy pocos se usan o sirven para algo. 

Desconexión del departamento con la realidad de la empresa. Evidentemente, los planes de mayor nivel del departamento  son aprobados y controlados por la dirección de la empresa. Ello produce un deseable contraste del mundo computarizado con la empresa, con adecuación de aquel a las necesidades y objetivos de esta. 

Objetivos inexistentes, desconocidos o mal formulado. Los objetivos deben ser claros y medibles. Suelen encontrarse definiciones de objetivos que no son tal sino enumeraciones de medios. Por ejemplo, mecanizar un servicio no es un objetivo. Un  objetivo puede ser bajar en un 20% los costos de ese servicio. 

            Niveles de planificación

Existen diversas terminologías para definir los niveles y alcances de planes, en función de su contenido y alcance. Se adopta la siguiente clasificación en tres niveles: 

Planificación estratégica (alto nivel). El plan estratégico define las misiones, objetivos y políticas, que se contempla a largo plazo (cinco años) y su ámbito abarca el sistema de información (toda la empresa). Como ejemplo de objetivos  pueden citarse: 

a)     Tiempo medio de servicio a un cliente inferior a un minuto.

b)     Tiempo de servicio a un cliente inferior a dos minutos en el 95 % de los casos

c)      Costo por operación inferior a 25 unidades monetarias.

d)     Incrementar el margen de intermediación un 15%

e)     Aumentar el pasivo en un 25% 

Como ejemplos de políticas se pueden citar:

a)     Descentralizar los equipos y desarrollo de software

b)     Promover el uso de máquinas de autoservicio

c)      Frenar el incremento de la plantilla de personal  

Planificación táctica (medio nivel). Dispone en forma adecuada los recursos disponibles para cumplir las misiones y alcanzar los objetivos fijados dentro de las políticas determinadas. Tiene una duración de uno a dos años, se refiere a proyectos que son parte de la empresa. 

a)     ¿Menos clientes, más rentables?

b)     ¿Racionalizar diseño en plantas de oficinas?

c)      ¿Más oficinas?

d)     ¿Más clientes?

e)     ¿Mecanizar operaciones a, b, c?

f)        ¿Teleproceso? 

Planificación operacional (bajo nivel). Es un desglose de mayor nivel de detalle del plan táctico. Sus características son análogas a las de este en cuanto a la definición de su contenido. Este a corto plazo y se refiere a subproyectos o a fases de los mismos. 

Como ejemplo del plan operacional:

a)     Realizar curso "X” para los puestos “Y, Z” de trabajo.

b)     Realizar el programa  P: Programación, pruebas. 

Plan estratégico de sistemas 

El plan estratégico de sistemas se conoce también con los nombres de plan computación, plan de sistemas o plan a largo plazo. 

Sus características son:

Duración de 4 a 5 años, ya que dada la evolución del mercado es poco práctico y realista hacer planes a más largo plazo.

Realización y responsabilidad del plan corresponde a la dirección del departamento, empleándose para ello los asesores internos o externos que se precisen. Debe estar enmarcado en los planes de la empresa y ser coherente con ellos. Además requiere ser revisado y aprobado por las áreas del negocio y la dirección de la empresa.  

La información de que se nutre esta formada por: 

1.      Planes de la empresa

2.      Directrices que le han sido fijadas

3.      Información del entorno técnico, del mercado y la competencia.

4.      Información procedente de órganos usuarios

5.      Información procedente de intercambio de experiencia con otros centros similares. 

Después de revisarse y aprobarse, debe ser publicado en los ámbitos de difusión pertinentes de la empresa, con objeto de que sea conocido por quienes deban usarlo. Su revisión y corrección (o confirmación) se realiza cada 6 o a lo sumo 12 meses, o en cualquier momento en caso de presentarse desviaciones de importancia de las hipótesis, previsiones o desarrollos de plan.

 Podrá usarse como marco de referencia para todos los trabajos del departamento:

Desarrollo de sistemas, adquisición de equipo o software básico, comunicaciones, etc. 

            Contenido del plan estratégico de sistemas 

El plan debe formularse de acuerdo a una serie de premisas, puntos de partida y previsiones (hipótesis), sobre el cumplimiento en las cuales se basa. Un modelo de contenido puede ser el siguiente:

1.      Situación actual. En esta etapa se analiza el punto de partida, definiendo no solo la situación del departamento sino, sobre todo, teniendo en cuenta el alcance del plan, la de  la empresa, y la de la competencia. La existencia de productos tecnológicos (hardware, software, facilidades de comunicación) determina también los posibles útiles en que se puede apoyar el sistema de información mecanizado. Por otra parte se especifica la situación (puntos débiles y fuertes) del propio departamento, para aprovechar en el futuro los puntos fuertes (oportunidades) y corregir los débiles (amenazas).

2.      Hipótesis. Se formulan unas previsiones sobre el comportamiento de la empresa en cuanto a capacidad, necesidades, oferta y demanda, la tecnología, competencia, etc., Para el periodo de tiempo en que se deberá aplicar el plan. Se supone que se cumplirán esas previsiones, en cuyo caso se deberán alcanzar los objetivos fijados. A lo largo de la vida del plan deberán hacerse las revisiones precisas, sobre todo, si se detecta que alguna de las previsiones no se cumple, en cuyo caso habrá que realizar las correcciones pertinentes al plan.

3.      Políticas de empresa. Las impone la dirección de la misma, y consiste en restricciones a las posibles variables de actuación para cumplir las misiones y alcanzar los objetivos. Se trata de decisiones de alto nivel, como de descentralización o centralización del proceso de datos, descentralización del desarrollo de software, autonomía o conexión a grandes centros, líneas privadas o públicas de comunicación, modelo de centro usuario computacional, estructura, personal, equipo, etc. Todas estas decisiones, se respetaran durante largo tiempo, y usarse en todos los subsistemas a implantar, vienen fijadas por la dirección.

4.      Objetivos del departamento. Constituyen la parte fundamental del plan y consisten en definir los objetivos claros y medibles que deben conseguir la función computacional en la empresa.   

Pueden resumirse en:

a)     Calidad y cantidad del servicio

b)     Costo del servicio 

Es misión del auditor, entre otras, lograr que el profesional de la computación hable en términos de costo y magnitudes medibles, en lugar de referirse a beneficios intangibles. Como ejemplo de posibles objetivos pueden citarse: 

a)     Tiempo de respuesta a procesos en líneas

b)     Capacidad de proceso de trabajo y transacciones; tráficos.

c)      Tasas de errores e indisponibilidad

d)     Costo de cada servicio

e)     Servicios mecanizados a implantar y correspondiente justificación económica  

Captación de mercado  por medio de  servicios a clientes.

5.      Arquitectura del subsistema de información mecanizada. Indica el diseño funcional global del subsistema a lograr. Es posible que a lo largo del plazo del plan no se prevea obtener la totalidad del subsistema. En cualquier caso, ha de indicarse la arquitectura total, aclarando que parte del mismo deberá realizarse a lo largo del periodo planificado. Se deberá indicar que aplicaciones se realizarán, su impacto sobre áreas usuarias y la interrelación entre ellas.

6.      Necesidades de seguridad, confidencialidad y control. La importancia de este punto radica en el hecho de que, actualmente, la posesión de información de calidad condiciona más que nunca el éxito de una empresa. Además, la capacidad de procesar los elevados volúmenes de información que guardan las computadoras, y la posibilidad de copiar, esa información a un bajo costo, hace preciso considerar la información como un activo de la empresa, y equiparar la pérdida de confidencialidad o la destrucción de  información a pérdida de dinero. El fraude por medio de la computación puesto de relieve en los medios de computación a de preocupar lo bastante como para que se  adopten adecuados sistemas de control de acceso a la información.

7.      Arquitectura técnica. Una vez definido el modelo funcional, se deberá definir en que elementos de hardware y software se implantará ese modelo. En cuanto a hardware habrá que considerar:

a)     Equipos centrales: clase, cantidad y configuración

b)     Equipos distribuidos: clase, cantidad y configuración

c)     Redes de comunicaciones: volumen, clase y tipología

d)     Maquinas para el incremento de la calidad y la productividad del propio departamento.

Y en lo  que se refiere a software:

a)     Software básico

b)     Sistemas operativos

c)     Gestores de base de datos

d)     Gestores de comunicaciones

e)     Paquetes de aplicaciones

f)       Software para incrementar la calidad y productividad del propio departamento

g)     Aplicaciones propias.

No se trata de definir marcas y modelos sino características y requisitos que han de cumplir. 

La selección de los mismos podrá hacerse posterior.

8.      Necesidades de personal.

a)     Cantidad de personas por cada perfil preciso.

b)     Planes de formación

c)     Planes de contratación

d)     Manera de contactar con personas e instantes en que se deberá poder disponer de ellas.

9.      Riesgos y contingencias. Dado que en el análisis de la situación actual han detectado puntos débiles, que en el futuro podrán convertirse en amenazas, y que el plan se basa en el cumplimiento de unas previsiones, es posible, que desde el momento en que sé este elaborando el plan se definirá una lista de posibles riesgos con el impacto que tendrían sobre el mismo, y las medidas correctoras a adoptar en caso de que se presentara. En definitiva, se tratarían en este punto de describir los posibles riesgos explicar cuales serian sus síntomas, que elementos se verían afectados y cuales serian las acciones a ejecutar si estos hechos se produjesen. 

            Revisión de la planificación 

El auditor debe verificar:

1.      Que existan documentos aprobados por los órganos competentes en que se reflejan los tres niveles de planificación.

2.      Que estén publicados y que sean conocidos por las personas dentro de sus ámbitos de difusión.

3.      Que sean realistas y armónicos con lo de la empresa.

4.      Que existan las normas y procedimientos precisos para su confección, publicación y mantenimiento.

5.      Que esas normas y procedimientos sean adecuados y seguidas.

6.      Que se revisen con la periodicidad adecuada, así como en caso de ocurrir algún suceso que lo exigiera.

7.      Que se incorpore  a los planes las modificaciones que se hayan creído preciso indicando:

a)     Porque (causa)

b)     Quien decide la modificación

c)     En que consiste la modificación

d)     Beneficios u objetivos a conseguir con ella.