Publicada el 15 de Octubre de 2005. Es la norma principal de la serie y
contiene los requisitos del sistema de gestión de seguridad de la información. Tiene
su origen en la BS 7799-2:2002 y es la norma con arreglo a la cual se certifican por
auditores externos los SGSI de las organizaciones. Sustituye a la BS 7799-2,
habiéndose establecido unas condiciones de transición para aquellas empresas
certificadas en esta última. En su Anexo A, enumera en forma de resumen los
objetivos de control y controles que desarrolla la ISO 27002:2005 (nueva
numeración de ISO 17799:2005 desde el 1 de Julio de 2007), para que sean
seleccionados por las organizaciones en el desarrollo de sus SGSI; a pesar de no
ser obligatoria la implementación de todos los controles enumerados en dicho anexo,
la organización deberá argumentar sólidamente la no aplicabilidad de los controles
no implementados. Desde el 28 de Noviembre de 2007, esta norma está publicada
en España como UNE-ISO/IEC 27001:2007 y puede adquirirse online en AENOR. WWW.ISO27000.ES ©
4
Otros países donde también está publicada en español son, por ejemplo, Colombia ,
Venezuela y Argentina. El original en inglés y la traducción al francés pueden
adquirirse en ISO.org.
miércoles, 30 de octubre de 2013
ISO 27000
Desde 1901, y como primera entidad de normalización a nivel mundial, BSI (British
Standards Institution, la organización británica equivalente a AENOR en España) es
responsable de la publicación de importantes normas como:
1979 Publicación BS 5750 - ahora ISO 9001
1992 Publicación BS 7750 - ahora ISO 14001
1996 Publicación BS 8800 - ahora OHSAS 18001
La norma BS 7799 de BSI aparece por primera vez en 1995, con objeto de
proporcionar a cualquier empresa -británica o no- un conjunto de buenas prácticas
para la gestión de la seguridad de su información.
La primera parte de la norma (BS 7799-1) es una guía de buenas prácticas, para la
que no se establece un esquema de certificación. Es la segunda parte (BS 7799-2),
publicada por primera vez en 1998, la que establece los requisitos de un sistema de
seguridad de la información (SGSI) para ser certificable por una entidad independiente.
Las dos partes de la norma BS 7799 se revisaron en 1999 y la primera parte se adoptó
por ISO, sin cambios sustanciales, como ISO 17799 en el año 2000.
En 2002, se revisó BS 7799-2 para adecuarse a la filosofía de normas ISO de
sistemas de gestión. WWW.ISO27000.ES ©
3
En 2005, con más de 1700 empresas certificadas en BS7799-2, este esquema se
publicó por ISO como estándar ISO 27001, al tiempo que se revisó y actualizó
ISO17799. Esta última norma se renombra como ISO 27002:2005 el 1 de Julio de
2007, manteniendo el contenido así como el año de publicación formal de la revisión.
En Marzo de 2006, posteriormente a la publicación de la ISO27001:2005, BSI publicó
la BS7799-3:2006, centrada en la gestión del riesgo de los sistemas de información.
En la sección de Artículos y Podcasts encontrará un archivo gráfico y sonoro con la
historia de ISO 27001 e ISO 17799.
COBIT
COBIT es un acrónimo para Control Objectives for Information and related Technology (Objetivos de Control para tecnología de la información y relacionada); desarrollada por la Information Systems Audit and Control Association (ISACA) y el IT Governance Institute (ITGI).
COBIT es una metodología aceptada mundialmente para el adecuado control de proyectos de tecnología, los flujos de información y los riesgos que éstas implican. La metodología COBIT se utiliza para planear, implementar, controlar y evaluar el gobierno sobre TIC; incorporando objetivos de control, directivas de auditoría, medidas de rendimiento y resultados, factores críticos de éxito y modelos de madurez.
COBIT es una metodología aceptada mundialmente para el adecuado control de proyectos de tecnología, los flujos de información y los riesgos que éstas implican. La metodología COBIT se utiliza para planear, implementar, controlar y evaluar el gobierno sobre TIC; incorporando objetivos de control, directivas de auditoría, medidas de rendimiento y resultados, factores críticos de éxito y modelos de madurez.
Permite a las empresas aumentar su valor TIC y reducir los riesgos asociados a proyectos tecnológicos. Ello a partir de parámetros generalmente aplicables y aceptados, para mejorar las prácticas de planeación, control y seguridad de las Tecnologías de Información.
COBIT contribuye a reducir las brechas existentes entre los objetivos de negocio, y los beneficios, riesgos, necesidades de control y aspectos técnicos propios de un proyecto TIC; proporcionando un Marco Referencial Lógico para su dirección efectiva.
COBIT contribuye a reducir las brechas existentes entre los objetivos de negocio, y los beneficios, riesgos, necesidades de control y aspectos técnicos propios de un proyecto TIC; proporcionando un Marco Referencial Lógico para su dirección efectiva.
CONTROLES
Conjunto de disposiciones metódicas, cuyo fin es vigilar las funciones y actitudes de las empresas y para ello permite verificar si todo se realiza conforme a los programas adoptados, ordenes impartidas y principios admitidos.
Clasificación general de los controles
Son aquellos que reducen la frecuencia con que ocurren las causas del riesgo, permitiendo cierto margen de violaciones .
Ejemplos: Letrero "No fumar" para salvaguardar las instalaciones
Sistemas de claves de acceso
Son aquellos que no evitan que ocurran las causas del riesgo sino que los detecta luego de ocurridos. Son los mas importantes para el auditor. En cierta forma sirven para evaluar la eficiencia de los controles preventivos.
Ejemplo: Archivos y procesos que sirvan como pistas de auditoría
Procedimientos de validación
Ayudan a la investigación y corrección de las causas del riesgo. La corrección adecuada puede resultar dificil e ineficiente, siendo necesaria la implantación de controles detectivos sobre los controles correctivos, debido a que la corrección de errores es en si una actividad altamente propensa a errores.
Principales Controles físicos y lógicos
Controles particulares tanto en la parte fisica como en la lógica se detallan a continuación
Autenticidad
Permiten verificar la identidad
- Passwords
- Firmas digitales
Exactitud
Aseguran la coherencia de los datos
- Validación de campos
- Validación de excesos
Totalidad
Evitan la omisión de registros así como garantizan la conclusión de un proceso de envio
- Conteo de regitros
- Cifras de control
Redundancia
Evitan la duplicidad de datos
- Cancelación de lotes
- Verificación de secuencias
Privacidad
Aseguran la protección de los datos
- Compactación
- Encriptación
Existencia
Aseguran la disponibilidad de los datos
- Bitácora de estados
- Mantenimiento de activos
Protección de Activos
Destrucción o corrupción de información o del hardware
- Extintores
- Passwords
Efectividad
Aseguran el logro de los objetivos
- Encuestas de satisfacción
- Medición de niveles de servicio
Eficiencia
Aseguran el uso óptimo de los recursos
- Programas monitores
- Análisis costo-beneficio
Controles automáticos o lógicos
Periodicidad de cambio de claves de acceso
Los cambios de las claves de acceso a los programas se deben realizar periódicamente. Normalmente los usuarios se acostumbran a conservar la misma clave que le asignaron inicialmente.
El no cambiar las claves periódicamente aumenta la posibilidad de que personas no autorizadas conozcan y utilicen claves de usuarios del sistema de computación.
Por lo tanto se recomienda cambiar claves por lo menos trimestralmente.
Combinación de alfanuméricos en claves de acceso
No es conveniente que la clave este compuesta por códigos de empleados, ya que una persona no autorizada a través de pruebas simples o de deducciones puede dar con dicha clave.
Para redefinir claves es necesario considerar los tipos de claves que existen:
Individuales
Pertenecen a un solo usuario, por tanto es individual y personal. Esta clave permite al momento de efectuar las transacciones registrar a los responsables de cualquier cambio.
Confidenciales
De forma confidencial los usuarios deberán ser instruidos formalmente respecto al uso de las claves.
No significativas
Las claves no deben corresponder a números secuenciales ni a nombres o fechas.
Verificación de datos de entrada
Incluir rutinas que verifiquen la compatibilidad de los datos mas no su exactitud o precisión; tal es el caso de la validación del tipo de datos que contienen los campos o verificar si se encuentran dentro de un rango.
Conteo de registros
Consiste en crear campos de memoria para ir acumulando cada registro que se ingresa y verificar con los totales ya registrados.
Totales de Control
Se realiza mediante la creación de totales de linea, columnas, cantidad de formularios, cifras de control, etc. , y automáticamente verificar con un campo en el cual se van acumulando los registros, separando solo aquellos formularios o registros con diferencias.
Verficación de limites
Consiste en la verificación automática de tablas, códigos, limites mínimos y máximos o bajo determinadas condiciones dadas previamente.
Verificación de secuencias
En ciertos procesos los registros deben observar cierta secuencia numerica o alfabetica, ascendente o descendente, esta verificacion debe hacerse mediante rutinas independientes del programa en si.
Dígito autoerificador
Consiste en incluir un dígito adicional a una codificación, el mismo que es resultado de la aplicación de un algoritmo o formula, conocido como MODULOS, que detecta la corrección o no del código. Tal es el caso por ejemplo del decimo dígito de la cédula de identidad, calculado con el modulo 10 o el ultimo dígito del RUC calculado con el módulo 11.
Utilizar software de seguridad en los microcomputadores
El software de seguridad permite restringir el acceso al microcomputador, de tal modo que solo el personal autorizado pueda utilizarlo.
Adicionalmente, este software permite reforzar la segregación de funciones y la confidencialidad de la información mediante controles para que los usuarios puedan accesar solo a los programas y datos para los que están autorizados.
Programas de este tipo son: WACHDOG, LATTICE,SECRET DISK, entre otros.
Controles administrativos en un ambiente de Procesamiento de Datos
La máxima autoridad del Area de Informática de una empresa o institución debe implantar los siguientes controles que se agruparan de la siguiente forma:
1.- Controles de Preinstalación
2.- Controles de Organización y Planificación
3.- Controles de Sistemas en Desarrollo y Producción
4.- Controles de Procesamiento
5.- Controles de Operación
6.- Controles de uso de Microcomputadores
Hacen referencia a procesos y actividades previas a la adquisición e instalación de un equipo de computación y obviamente a la automatización de los sistemas existentes.
ANÀLISIS DE RIESGO
Análisis
de Riesgo
El
análisis de riesgo es un proceso sistemático para estimar la magnitud de los
riesgos a que está expuesta una organización o empresa.
Es
la identificación de las amenazas que acechan a los distintos componentes
pertenecientes o relacionados con un sistema de información (activos) para
determinar la vulnerabilidad del sistema ante esas amenazas y para estimar el
impacto o grado de perjuicio que una seguridad insuficiente puede afectar a la
organización.
Acorde
al punto 5.4 de Magerit (España) es importante crear escenarios de ataque,
imaginar amenazas a los activos, pensar cómo un atacante se enfrentaría a
nuestros sistemas o activos.
Hay
que ponerse en la piel del atacante e imaginar qué haría con sus conocimientos
y recursos. Es importante plantear diferentes situaciones dependiendo del
perfil técnico del atacante o de sus recursos técnicos y humanos.
Estos
escenarios de ataque o dramatizaciones son importantes para evaluar impactos y
riesgos.
Los procesos de auditoría y análisis de riesgos son un componente clave
en la definición de seguridad de la información y seguridad informática. El
principal objetivo de un análisis de riesgo y programa de auditoría es
identificar los activos involucrados en la organización, sus metodologías y
procesos de estimar el riesgo asociado. De esta manera que usted puede proteger
la organización y la infraestructura no sólo. Un análisis de riesgo o de
auditoría es un proceso que debe ser mirado desde el punto de vista de la
administración de la organización y no sólo en el área de tecnologías de la
información, porque su alcance es mucho más amplio.
El análisis de riesgo o el proceso de auditoría busca identificar y
evaluar el riesgo y recomendar medidas de mitigación para reducir el riesgo a
niveles aceptables para la organización.
A través de un análisis de riesgo o de auditoría, las organizaciones
pueden obtener los siguientes beneficios:
• Mejoras significativas en la seguridad de sistemas de información,
almacenan, procesan y transmiten la información de la organización;
• Mejoras significativas en la aplicación y los procesos de gestión;
• Mayor y mejor control sobre los activos de la empresa;
• Permite una mejor gestión de riesgo organizacional;
• Permite la administración de una organización de hacer mejores
decisiones de inversión en seguridad de la información.
Los pasos para realizar un análisis de riesgos o auditoría son las
siguientes:
1. definición del alcance y el contexto organizacional;
2. identificación;
3. Cálculo de las estimaciones de riesgo;
4. riesgos;
5. Riesgo de controles comunicación y mitigación;
6. aplicación de los controles;
7. aceptación del riesgo.
Definición de sistema de gestión de seguridad de la información (SGSI del sistema de gestión de información seguridad)
¿Qué es un SGSI?
• Es un conjunto de políticas relacionadas con la seguridad de la información, que se basa en el modelo de mejora continua de la metodología PDCA (Plan--Check-Act).
2. identificación;
3. Cálculo de las estimaciones de riesgo;
4. riesgos;
5. Riesgo de controles comunicación y mitigación;
6. aplicación de los controles;
7. aceptación del riesgo.
Definición de sistema de gestión de seguridad de la información (SGSI del sistema de gestión de información seguridad)
¿Qué es un SGSI?
• Es un conjunto de políticas relacionadas con la seguridad de la información, que se basa en el modelo de mejora continua de la metodología PDCA (Plan--Check-Act).
ISMOS objetivas
• Tiene como principal objetivo mantener la eficacia y eficiencia de los
procesos y una infraestructura con el tiempo, manteniendo siempre las mismas
normas independientemente de versiones que existen internamente o externamente.
Un SGSI es definido por la metodología PDCA (Plan--Check-Act):
Plan:
el sorteo de los ismos, establecer su alcance declaración de
aplicabilidad (SoA);
el evaluar los activos y los riesgos de seguridad de información
(análisis de riesgos);
el realizar un plan de acción y seleccione las medidas apropiadas
(controles);
el análisis de brecha;
De:
la aplicación de los planes de acción (previamente definidos los
controles, medidas);
Verificación:
la realizan auditorías internas, validar las medidas controles
(controles) aplicado previamente;
Ley:
el analizar, verificar e implementar acciones correctivas y evolutiva
(si es necesario) para lograr la mejora continua.
Consideraciones
Jamás
olvide que en las empresas la seguridad comienza por dentro. Capacitando al
personal,creando normas basadas en standards, analizando brechas y puntos
ciegos en la seguridad lógica y en la seguridad de sistemas de información.
Es
fundamental la creación de escenarios de conflicto en forma continua
participando la gerencia de la empresa junto con un auditor en seguridad, a
partir de estos escenarios pueden lograrse medidas para evitar eventos de
seguridad.
Anticiparse
a los hechos
Imagínese
el peor escenario posible. Piense cómo evitarlo. Existen normas,
procedimientos,protocolos de seguridad existentes que pueden ayudar a crear y
basar (valga la redundancia) sus procedimientos internos para alejar la
posibilidad de riesgo.
Si
su empresa opera a través de internet o telecomunicaciones no olvide que es más
probable tener una fuga de información o problema interno de seguridad con su
personal a que un hacker intente vulnerar sus sistemas, el fraude interno está
a la orden del día.
Realice
periódicamente perfiles socioeconómicos de su personal, tenga entrevistas con
cada uno de sus empleados con una frecuencia trimestral contando con apoyo de
un profesional en psicología laboral con experiencia previa y capacitado en PNL
(nunca está de más que en estas entrevistas participe un auditor en seguridad,
el auditor debe ser capaz de percibir a un “insider”)
El
siguiente glosario es un compendio de términos técnicos de auditoria en seguridad
que le permitirá comprender diversos informes y graficar situaciones eventuales
en que su empresa podría verse comprometida.
miércoles, 25 de septiembre de 2013
VENTAJAS Y DESVENTAJAS DE AUDITORIA INTERNA Y EXTERNA
Ventajas y desventajas de las Auditorias:
Ventajas, Interna:
- Se practica dentro de la propia empresa.
- La lleva a cabo personal de la misma empresa.
- Se tiene acceso a toda la información y documentación
- Son conocidos y dominados los procedimientos y el control interno
- Los fallos detectados son corregidos inmediatamente
- No se necesita todo un protocolo para iniciar la revisión
- Se puede seleccionar a personal de la misma empresa para cumplir con esta función.
Desventajas, Interna:
- Los ejecutores de la revisión podrían utilizarla como medio de poder.
- Los ejecutores no tienen independencia profesional.
- Los ejecutores junior pueden caer en medios coercitivos.
- Los ejecutores senior pueden tender a magnificar los resultados en busca de mejores posiciones en la empresa.
Ventajas, Externa:
- El auditor tiene independencia profesional
- Su amplia experiencia en otras empresas le permite analizar la aplicación de los procedimientos generales.
- Pueden ser contratados para un trabajo específico.
- Sus resultados son relevantes en el medio económico
- Sus sugerencias tienden a una estandarización preestablecida.
Desventajas, Externa:
- Son contratados por un precio y tiempo determinado.
- La calidad profesional a intervenir depende del punto anterior
- No toda la información está a su alcance.
- Los resultados pueden ser negociados o manejables por la empresa contratante.
- El tiempo es una presión para su revisión.
- En su afán de justificarse, suelen perderse en trivialidades
- Sus sugerencias pocas veces son atendidas y más cuando la empresa cuenta con un departamento de auditoría interna.
PROBLEMAS QUE SE PRESENTAN EN UNA AUDITORIA
Problemas de Resistencia:
Este tipo de problemas se presentan cuando el Auditor se encuentra con ejecutivos reacios a aceptar las sugerencias dadas para el mejoramiento de sus actuaciones, principalmente por virtud de una oposición a todo cambio. Esto es lo que muchos estudiosos de la Ciencia del Comportamiento Organizacional denominan: "Resistencia al Cambio". Es muy probable que en el curso de una auditoria administrativa se tropiece con dificultades debidas al temor, desconfianza y repugnancia al cambio. Con razón o sin ella, muchas personas se adhieren a todo aquello a lo que están acostumbradas. Por hábito o por intereses personales, quieren seguir en las mismas tareas, métodos, ideas y formas de hacer las cosas. No se deciden a dejar lo conocido por lo que está por conocerse. Observan sus hábitos hasta que es imposible seguir con ellos. Temen al cambio aún cuando sea para mejorar. Hay ejecutivos a quienes interesa más lo que ganarán o perderán, personalmente, que la lógica y eficiencia en el manejo de los aspectos administrativos y la consecución de los objetivos de la empresa. Para muchos funcionarios el miedo de una posible pérdida, supera el deseo de ganar. Temen por varias razones, a veces por el miedo a lo desconocido o quizá porque le preocupa el llegar a verse despojados de algo, por ejemplo del poder, de la responsabilidad, de prestigio, del número de personas que están por debajo de ellos, de posición descendiendo en rango. Hay otros que temen afrontar problemas complejos, a tomar decisiones, a realizar tareas de mayor importancia, a hacerse cargo de obligaciones adicionales, a asumir mayor responsabilidades, a tener que manejar un número mayor de gente. También puede ser que se vean poseídos de estos temores porque los resultados pueden serle desfavorables, constituir una carga mayor y acarrearles mayores tensiones o bien porque se interfieran con la forma rutinaria de hacer las cosas. En todos los casos de resistencia, el auditor deberá buscar su verdadera causa. Pero no toda conducta de un ejecutivo que se opone al cambio, puede calificarse de resistencia. Puede estar motivada por otras causas, tal vez porque la persona en cuestión no simpatice con quienes se han pronunciado por el cambio, más no porque ella sistemáticamente se oponga. Hasta pudiera ser que ella misma haya sugerido a la dirección ese cambio en otra época y que la Alta Gerencia se la haya negado. Es por esto, que el Auditor o la persona que tiene la responsabilidad de efectuar la Auditoria Administrativa debe ser comprensivo, discutir los principales elementos involucrados en el cambio con los afectados, señalar la necesidad del mismo y dejar muy clara la postura de la dirección en pro de un adelanto mayor, por medio de los esfuerzos combinados de todos para perfeccionar la marcha de la administración.
Problemas de Fricción:
En y durante la realización de la Auditoria Administrativa, el auditor se tendrá que enfrentar a problemas de conducta ejecutiva. Dichas dificultades pueden reconocer su origen en parcialidades, prejuicios y celos. En los distintos niveles de la administración habrá conflictos y fricciones debidas a preferencias, adulaciones, etcétera. Los Jefes de Departamento compiten o tienden a querer ganarse las preferencias del Director de la empresa. Cuando se dan problemas humanos entre subordinados y superiores, la actuación en el trabajo baja mucho de calidad.
Problemas derivados de "hacer demasiado y demasiado pronto":
Un problema muy común y frecuente de encontrar en las empresas durante la realización de una Auditoria Administrativa es que en las empresas, industrias, gobierno e instituciones en general, es el que las personas suelen esperar demasiado y la realización de los grandes cambios demasiado pronto. Esperan que un cierto trabajo se efectúe con gran rapidez, siendo que el mismo no puede materialmente llevarse a cabo en el plazo fijado y/o en las condiciones estipuladas. A continuación describiré algunas situaciones o ejemplos de tareas que suelen encomendarse para ejecución rápida:
a.- Preparar y recomendar un programa para conseguir una disminución inmediata de los costos de operación, en cantidad suficiente para compensar la diferencia en una partida presupuestal reducida que entrará en vigor el primero del siguiente mes.
b.- Ayudar al establecimiento de un programa que acarree la pronta conversión del equipo tabulador convencional a uno electrónico, de alta velocidad, independientemente de la situación general de los métodos y procedimientos vigentes.
c.- Presentar el informe de auditoria a más tardar el próximo sábado, en el cual figuren ya las recomendaciones del auditor, resultantes de una total evaluación del trabajo de unos cuatrocientos empleados.
d.- Sin un detallado estudio previo, presentar métodos satisfactorios que sean útiles para decidir y emprender la acción subsecuente lo bastante pronto para asegurar el éxito de programas elaborados.
e.- Buscar en los archivos de la oficina estados, cartas y otros documentos donde aparezcan políticas y con toda esta información recabada, preparar manuales que se distribuirán con prontitud a los ejecutivos.
f.- Evaluar la eficacia de los principales programas de egresos de la organización y presentar los descubrimientos y recomendaciones en un informe, para que se pueda someter a la consideración de una junta de ejecutivos que se verificará tres días después de ordenada dicha evaluación.
g.- Idear, sin consideraciones a personalidades o cualesquiera otras influencias, métodos para la toma de decisiones en las cuarenta divisiones de la compañía, dichos métodos entrarían en vigor al fin del mes cuando más tarde.
h.- Examinar la experiencia y preparación del personal de supervisores, analizar y determinar la adecuación de dicho personal a sus tareas ejecutivas, aquilatar y fijar los requerimientos necesarios para mejorar las cosas y someter a aprobación un programa de adiestramiento de supervisores, de tres días de duración, que tenga iguales buenos resultados en todos los niveles de la administración.
Otros problemas:
Se señala que también podrán surgir dificultades cuando existen departamentos autónomos que tienen formas de papelería diseñadas por ellos mismos y que han adquirido equipos de distintas clases sin dar la debida consideración a las necesidades generales y estandarización de la empresa; departamentos en que apenas se perciben métodos eficaces de comunicación entre los individuos y funciones y en los que no existen orientaciones para coordinar la estructura de organización, seleccionar personal competente, mantener control sobre la gente y su trabajo y establecer planes de operación apropiados para obtener buenos resultados. Hay un problema que se presenta con cierta frecuencia cuando la dirección no se preocupa de llamar la atención al Jefe del Departamento que se aparta a menudo de las políticas establecidas o realiza cambios en los sistemas y procedimientos, sin notificar debida y oportunamente a los departamentos que resulten afectados. En muchas ocasiones se puede presentar el caso, que el Jefe de Departamento realiza modificaciones a sistemas y procedimientos, sin tener en cuenta las necesidades de otros departamentos. En este caso, el ejecutivo no sólo omite la notificación, sino que descuida mencionar el asunto al departamento de métodos mismos. Esto suele ocasionar que el auditor se vea constantemente en la necesidad de informar sobre dichas omisiones, para que se tomen las debidas providencias y poner las cosas en orden.
Hay ocasiones en que se suscita el problema cuando se aprueba un plan y se le pone en obra, pero que por una u otra razón fracasa. Suele ocurrir que un plan que parecía muy bueno, no lo sea tanto bajo determinadas circunstancias o personal. Es posible que el auditor pase días y a veces semanas, adiestrando a un supervisor o jefe de sección en el manejo y control de una función, sólo para encontrar posteriormente, que el sujeto renunció marchándose de la empresa.
Este tipo de problemas se presentan cuando el Auditor se encuentra con ejecutivos reacios a aceptar las sugerencias dadas para el mejoramiento de sus actuaciones, principalmente por virtud de una oposición a todo cambio. Esto es lo que muchos estudiosos de la Ciencia del Comportamiento Organizacional denominan: "Resistencia al Cambio". Es muy probable que en el curso de una auditoria administrativa se tropiece con dificultades debidas al temor, desconfianza y repugnancia al cambio. Con razón o sin ella, muchas personas se adhieren a todo aquello a lo que están acostumbradas. Por hábito o por intereses personales, quieren seguir en las mismas tareas, métodos, ideas y formas de hacer las cosas. No se deciden a dejar lo conocido por lo que está por conocerse. Observan sus hábitos hasta que es imposible seguir con ellos. Temen al cambio aún cuando sea para mejorar. Hay ejecutivos a quienes interesa más lo que ganarán o perderán, personalmente, que la lógica y eficiencia en el manejo de los aspectos administrativos y la consecución de los objetivos de la empresa. Para muchos funcionarios el miedo de una posible pérdida, supera el deseo de ganar. Temen por varias razones, a veces por el miedo a lo desconocido o quizá porque le preocupa el llegar a verse despojados de algo, por ejemplo del poder, de la responsabilidad, de prestigio, del número de personas que están por debajo de ellos, de posición descendiendo en rango. Hay otros que temen afrontar problemas complejos, a tomar decisiones, a realizar tareas de mayor importancia, a hacerse cargo de obligaciones adicionales, a asumir mayor responsabilidades, a tener que manejar un número mayor de gente. También puede ser que se vean poseídos de estos temores porque los resultados pueden serle desfavorables, constituir una carga mayor y acarrearles mayores tensiones o bien porque se interfieran con la forma rutinaria de hacer las cosas. En todos los casos de resistencia, el auditor deberá buscar su verdadera causa. Pero no toda conducta de un ejecutivo que se opone al cambio, puede calificarse de resistencia. Puede estar motivada por otras causas, tal vez porque la persona en cuestión no simpatice con quienes se han pronunciado por el cambio, más no porque ella sistemáticamente se oponga. Hasta pudiera ser que ella misma haya sugerido a la dirección ese cambio en otra época y que la Alta Gerencia se la haya negado. Es por esto, que el Auditor o la persona que tiene la responsabilidad de efectuar la Auditoria Administrativa debe ser comprensivo, discutir los principales elementos involucrados en el cambio con los afectados, señalar la necesidad del mismo y dejar muy clara la postura de la dirección en pro de un adelanto mayor, por medio de los esfuerzos combinados de todos para perfeccionar la marcha de la administración.
Problemas de Fricción:
En y durante la realización de la Auditoria Administrativa, el auditor se tendrá que enfrentar a problemas de conducta ejecutiva. Dichas dificultades pueden reconocer su origen en parcialidades, prejuicios y celos. En los distintos niveles de la administración habrá conflictos y fricciones debidas a preferencias, adulaciones, etcétera. Los Jefes de Departamento compiten o tienden a querer ganarse las preferencias del Director de la empresa. Cuando se dan problemas humanos entre subordinados y superiores, la actuación en el trabajo baja mucho de calidad.
Problemas derivados de "hacer demasiado y demasiado pronto":
Un problema muy común y frecuente de encontrar en las empresas durante la realización de una Auditoria Administrativa es que en las empresas, industrias, gobierno e instituciones en general, es el que las personas suelen esperar demasiado y la realización de los grandes cambios demasiado pronto. Esperan que un cierto trabajo se efectúe con gran rapidez, siendo que el mismo no puede materialmente llevarse a cabo en el plazo fijado y/o en las condiciones estipuladas. A continuación describiré algunas situaciones o ejemplos de tareas que suelen encomendarse para ejecución rápida:
a.- Preparar y recomendar un programa para conseguir una disminución inmediata de los costos de operación, en cantidad suficiente para compensar la diferencia en una partida presupuestal reducida que entrará en vigor el primero del siguiente mes.
b.- Ayudar al establecimiento de un programa que acarree la pronta conversión del equipo tabulador convencional a uno electrónico, de alta velocidad, independientemente de la situación general de los métodos y procedimientos vigentes.
c.- Presentar el informe de auditoria a más tardar el próximo sábado, en el cual figuren ya las recomendaciones del auditor, resultantes de una total evaluación del trabajo de unos cuatrocientos empleados.
d.- Sin un detallado estudio previo, presentar métodos satisfactorios que sean útiles para decidir y emprender la acción subsecuente lo bastante pronto para asegurar el éxito de programas elaborados.
e.- Buscar en los archivos de la oficina estados, cartas y otros documentos donde aparezcan políticas y con toda esta información recabada, preparar manuales que se distribuirán con prontitud a los ejecutivos.
f.- Evaluar la eficacia de los principales programas de egresos de la organización y presentar los descubrimientos y recomendaciones en un informe, para que se pueda someter a la consideración de una junta de ejecutivos que se verificará tres días después de ordenada dicha evaluación.
g.- Idear, sin consideraciones a personalidades o cualesquiera otras influencias, métodos para la toma de decisiones en las cuarenta divisiones de la compañía, dichos métodos entrarían en vigor al fin del mes cuando más tarde.
h.- Examinar la experiencia y preparación del personal de supervisores, analizar y determinar la adecuación de dicho personal a sus tareas ejecutivas, aquilatar y fijar los requerimientos necesarios para mejorar las cosas y someter a aprobación un programa de adiestramiento de supervisores, de tres días de duración, que tenga iguales buenos resultados en todos los niveles de la administración.
Otros problemas:
Se señala que también podrán surgir dificultades cuando existen departamentos autónomos que tienen formas de papelería diseñadas por ellos mismos y que han adquirido equipos de distintas clases sin dar la debida consideración a las necesidades generales y estandarización de la empresa; departamentos en que apenas se perciben métodos eficaces de comunicación entre los individuos y funciones y en los que no existen orientaciones para coordinar la estructura de organización, seleccionar personal competente, mantener control sobre la gente y su trabajo y establecer planes de operación apropiados para obtener buenos resultados. Hay un problema que se presenta con cierta frecuencia cuando la dirección no se preocupa de llamar la atención al Jefe del Departamento que se aparta a menudo de las políticas establecidas o realiza cambios en los sistemas y procedimientos, sin notificar debida y oportunamente a los departamentos que resulten afectados. En muchas ocasiones se puede presentar el caso, que el Jefe de Departamento realiza modificaciones a sistemas y procedimientos, sin tener en cuenta las necesidades de otros departamentos. En este caso, el ejecutivo no sólo omite la notificación, sino que descuida mencionar el asunto al departamento de métodos mismos. Esto suele ocasionar que el auditor se vea constantemente en la necesidad de informar sobre dichas omisiones, para que se tomen las debidas providencias y poner las cosas en orden.
Hay ocasiones en que se suscita el problema cuando se aprueba un plan y se le pone en obra, pero que por una u otra razón fracasa. Suele ocurrir que un plan que parecía muy bueno, no lo sea tanto bajo determinadas circunstancias o personal. Es posible que el auditor pase días y a veces semanas, adiestrando a un supervisor o jefe de sección en el manejo y control de una función, sólo para encontrar posteriormente, que el sujeto renunció marchándose de la empresa.
Suscribirse a:
Comentarios (Atom)