Control Una función administrativa, ya que conforma parte del proceso de administración, que permite verificar, constatar, palpar, medir, si la actividad, proceso, unidad, elemento o sistema seleccionado está cumpliendo y/o alcanzando o no los resultados que se esperan. Requisitos de un buen Control Corrección de fallas y errores: El control debe detectar e indicar errores de planeación, organización o dirección. Previsión de fallas o errores futuros: el control, al detectar e indicar errores actuales, debe prevenir errores futuros, ya sean de planeación, organización o dirección. Importancia del control Una de las razones más evidentes de la importancia del control es porque hasta el mejor de los planes se puede desviar. El control se emplea para: Crear mejor calidad: Las fallas del proceso se detectan y el proceso se corrige para eliminar errores. Enfrentar el cambio: Este forma parte ineludible del ambiente de cualquier organización. Los mercados cambian, la competencia en todo el mundo ofrece productos o servicios nuevos que captan la atención del público. Surgen materiales y tecnologías nuevas. Se aprueban o enmiendan reglamentos gubernamentales. La función del control sirve a los gerentes para responder a las amenazas o las oportunidades de todo ello, porque les ayuda a detectar los cambios que están afectando los productos y los servicios de sus organizaciones. Producir ciclos más rápidos: Una cosa es reconocer la demanda de los consumidores para un diseño, calidad, o tiempo de entregas mejorados, y otra muy distinta es acelerar los ciclos que implican el desarrollo y la entrega de esos productos y servicios nuevos a los clientes. Los clientes de la actualidad no solo esperan velocidad, sino también productos y servicios a su medida. Agregar valor: Los tiempos veloces de los ciclos son una manera de obtener ventajas competitivas. Otra forma, aplicada por el experto de la administración japonesa Kenichi Ohmae, es agregar valor. Tratar de igualar todos los movimientos de la competencia puede resultar muy costoso y contraproducente. Ohmae, advierte, en cambio, que el principal objetivo de una organización debería ser "agregar valor" a su producto o servicio, de tal manera que los clientes lo comprarán, prefiriéndolo sobre la oferta del consumidor. Con frecuencia, este valor agregado adopta la forma de una calidad por encima de la medida lograda aplicando procedimientos de control. Facilitar la delegación y el trabajo en equipo: La tendencia contemporánea hacia la administración participativa también aumenta la necesidad de delegar autoridad y de fomentar que los empleados trabajen juntos en equipo. Esto no disminuye la responsabilidad última de la gerencia. Por el contrario, cambia la índole del proceso de control. Por tanto, el proceso de control permite que el gerente controle el avance de los empleados, sin entorpecer su creatividad o participación en el trabajo. Evaluar la función de control La función de control involucra determinar cuando las tareas actuales de las funciones de los SI, se desvían de las actividades planificadas. Cuando la alta gerencia controla la función de los SI, surgen 2 preguntas: 1) ¿Cuánto debe invertir la organización en la función de los SI? 2) ¿Tiene la organización un beneficio económico por la función de los SI? Los auditores deben evaluar ambas. Con respecto a la primera, los gerentes buscan los promedios del mercado, para determinar cuanto se debería invertir. Esta estrategia se conoce como benchmarking. Benchmarking puede ser problemática por que: 1) Refleja una instancia reactiva en lugar de proactiva, 2) Podría desviarse voluntariamente (ej: tecnológicamente atrasados o adelantados), 3) La inversión en la función de los SI podría no estar ligada a la estrategia general de la organización. La tendencia es que la alta gerencia ve a la función de SI como un gasto y no como una inversión de capital. Si es una inversión de capital, se debe invertir hasta que no haya pérdidas o haya beneficios. (Resultado final >= 0). El problema de esta visión es: 1) sistemas de información plagados de intangibles 2) alto riesgo de pronta obsolescencia 3) posibilidad de hechos no previstos Los auditores deben evaluar: 1) si la alta gerencia decide sobre cuanto invertir, 2) controla cuidadosamente el análisis de inversión de capital. Para la segunda pregunta, (¿existe beneficio económico?) no existe un método fácil para evaluar: 1) Se puede realizar algo con post-auditoría y proyectos muy controlados. 2) Es muy difícil en entornos distribuidos y con varios proyectos en simultáneo. En el último caso, lo que se hace es evaluar cuanto de bien se está realizando la función de los SI. Otro problema difícil es sostener la ventaja obtenida por TI. En el caso de aplicaciones estratégicas, las innovaciones se copian, y los beneficios extras rápidamente se pierden. En general, es muy difícil mantener beneficios a largo plazo con TI. Por otro lado, si se atrasa tecnológicamente, no puede competir efectivamente. A pesar de estas dificultades, la base para una evaluación global son los planes estratégico y operacional. La performance actual debe evaluarse contra los objetivos a corto y largo plazo de ambos planes. Evaluación de la Función de Control A.I deberá comprobar si las actividades que se están realizando se corresponden con las planificadas. Los medios de control que deberá de tener a su disposición para esta evaluación serán: • Estándares de rendimiento • Estándares de documentación • Post-auditorías • Control de usuarios del ordenador • Etc. Control La actividad de auditoría debe asistir a las instituciones en el mantenimiento de controles efectivos, mediante la evaluación de la eficacia y eficiencia de los mismos y promoviendo la mejora continua Basada en los resultados de la evaluación de riesgos, la actividad de auditoría debe evaluar la adecuación y eficacia de los controles que comprenden el gobierno, las operaciones y los sistemas de información de las instituciones. Esto debe incluir lo siguiente: Confiabilidad e integridad de la información financiera y operativa, Eficacia y eficiencia de las operaciones, Protección de activos, y Cumplimiento de leyes, regulaciones y contratos. Los auditores deben cerciorarse del alcance de los objetivos y metas operativos y de programas que hayan sido establecidos y de que sean consistentes con aquellos de la institución Los auditores deben revisar las operaciones y programas para cerciorarse de que los resultados sean consistentes con los objetivos y metas establecidos, y de que las operaciones y programas estén siendo implantados o desempeñados tal como fueron planeados. Se requiere criterio adecuado para evaluar controles. Los auditores deben cerciorarse del alcance hasta el cual la dirección ha establecido criterios adecuados para determinar si los objetivos y metas han sido cumplidos. Si fuera apropiado, los auditores deben utilizar dichos criterios en su evaluación. Si no fuera apropiado, los auditores deben trabajar con la dirección para desarrollar criterios de evaluación adecuados.