Introduccion Sistema de Informatica 27-05-2013

Facultad de Ciencias Empresariales
UNIVERSIDAD ARTURO PRAT

Departamento de Auditoría y Sistemas de Información
Sede Calama
Los Sistemas de Información: Su utilidad en el Control de

Gestión
Seminario para optar al Título Profesional:

Ingeniero de Ejecución en Control de Gestión
Profesor Patrocinante:
Sergio Etcheverry Gutiérrez
Alumnos:
Eliseo Araya Sierra
Daisy Ávila Vergara
Karen Mamani Quispe
Elsa Miranda Acosta
Olivia Plaza Plaza
Elizabeth Salva Quinsacara
Calama-2013
Los Sistemas de Información: Su utilidad en el Control de Gestión


UNIVERSIDAD ARTURO PRAT

Departamento de Auditoría y Sistemas de Información
Sede Calama
Los Sistemas de Información: Su utilidad en el Control de

Gestión
Seminario para optar al Título Profesional:

Ingeniero de Ejecución en Control de Gestión
Profesor Patrocinante:
Sergio Etcheverry Gutiérrez
Alumnos:
Eliseo Araya Sierra
Daisy Ávila Vergara
Karen Mamani Quispe
Elsa Miranda Acosta
Olivia Plaza Plaza
Calama-2013

DEDICATORIAS
A mi angelito por el pilar y la fuerza de seguir adelante a pesar de todo, a mi

madre por haberme apoyado en todo momento, a mis hermanos, sobrinos y
padre. Doy gracias a Dios a todo.
Daysi Ávila Vergara
A Dios y mi familia por su apoyo y comprensión en este proceso, sin duda son
participes en el logro de esta meta educacional. Los Amo.
Karen Mamani Quispe
A Dios, por ser el amigo que nunca falla, a mi esposo e hijos por su amor,
comprensión y apoyo incondicional, a mi familia, amigos, compañeros,
gracias por ayudarme a alcanzar mis metas.
Elsa Miranda Acosta
A Dios por permitir vivir el día a día, fortaleza y esperanza para culminar este
proceso académico.
A mi madre, pareja, hermanos y sobrinos, por su amor, comprensión y apoyo
incondicional. Los Amo.
Olivia Plaza Plaza

Con mucho cariño a Dios, a mis padres que siempre recordare con amor.
A mi esposo, mis hijos y mis hermanos. Por su apoyo incondicional y
compartir conmigo este importante logro en mi vida y formación profesional.
Los Amo.
Agradezco a Dios, a mis padres, hermano, compañeros por la realización de

este seminario; y todas aquellas personas que me apoyaron en las etapas
académicas concluidas.
Eliseo Araya Sierra

Contenido
SUMARIO................................................................................................................................1
INTRODUCCION....................................................................................................................3
A.- Planteamiento General del Problema........................................................................4
B.- La importancia en su área...........................................................................................4
C.- Propósito General de Trabajo.....................................................................................4
D.- Objetivos Específicos...................................................................................................5
E.- Definiciones conceptuales u operacionales..............................................................5
D.- Limitaciones...................................................................................................................6
CAPITULO I.............................................................................................................................8
Identificar y clasificar los Sistemas de Información............................................................8
¿Por qué los SI en la estructura de la organización?....................................................9
Información....................................................................................................................10
Valor y necesidad de la información...........................................................................12
Sistemas de información..............................................................................................13
SI Versus Informatización............................................................................................17
Importancia de los SI en la organización...................................................................18
Objetivos de un SI.........................................................................................................20
Estrategias de los SI.....................................................................................................23
Evolución de las actividades de un SI........................................................................25
Elementos de un SI.......................................................................................................29
Características de un SI...............................................................................................31
Desventajas de un sistema de información...............................................................33
Entorno de un SI...........................................................................................................34

Clasificación de los SI..................................................................................................36

Distintas clasificaciones de un SI................................................................................37
CAPITULO II..........................................................................................................................37
Metodologías de SI que apoyen al Control de Gestión...................................................37
Metodologías de SI...........................................................................................................37
Posicionamiento del SI en la Organización...............................................................37
Etapas para la implementación del Sistema de Control de Gestión..........................37
Diseño del SI.................................................................................................................37
Diseño de la Estructura Física del Sistema...............................................................37
Componentes de un Sistema de Información para la Gestión...............................37
Implementación del Sistema.......................................................................................37
Métodos alternativos para la adquisición de sistemas.............................................37
Las herramientas de los SI en apoyo al control de gestión.....................................37
Los informes de Control de Gestión...........................................................................37
CAPITULO III.........................................................................................................................37
¿Cómo las organizaciones adoptan los sistemas de información y su aporte en el
control de gestión de los negocios?...............................................................................37
El control interno en las organizaciones....................................................................37
Importancia del control interno en la organización...................................................37
Control interno...............................................................................................................37
Clasificación del control interno..................................................................................37
Funciones que se desarrollan en el control interno en la organización................37
Medidas para lograr un buen control interno.............................................................37
Relación entre coso I y coso II....................................................................................37
Gestión del riesgo empresarial....................................................................................37
Control de gestión.........................................................................................................37
Etapas del control de gestión......................................................................................37
CAPITULO IV........................................................................................................................37
La Calidad y Seguridad de los Sistemas de Información................................................37

Calidad y Seguridad de los SI.........................................................................................37

Factor Humano en los SI.............................................................................................37
Preparación y realización de productos y servicios de información de valor
añadido...........................................................................................................................37
El correo electrónico como vía para facilitar el acceso a los productos y servicios
de información de valor añadido................................................................................37
Reacción en Cadena de Deming................................................................................37
Sistema de Control de Gestión como SI....................................................................37
FODA para los SI..........................................................................................................37
El Rigor en la Investigación Cualitativa......................................................................37
ISO 27.001 / BS 7799...................................................................................................37
ISO 9001:2008, Sistema de Gestión de Calidad......................................................37
ISO 27.001 / BS 7799, Seguridad de la Información...............................................37
La misión bajo una perspectiva de SI y TIC..............................................................37
ISO 15489......................................................................................................................37
Norma ISO 17799; 21007:2005..................................................................................37
ISO 27000......................................................................................................................37
Fundamentos del Sistema de Gestión de la Seguridad 27001..............................37
Cumplimiento de los requerimientos legales.............................................................37
Factores Críticos de Éxito (FCE)................................................................................37
Tratamiento de los riesgos de seguridad...................................................................37
CAPITULO V.........................................................................................................................37
Auditoria de Sistemas de Información...............................................................................37
Importancia de la Auditoria de los SI..........................................................................37
Objetivos de la Auditoria de SI...................................................................................37
Elementos de Auditoría de SI......................................................................................37
Tipos de Auditorías de Sistemas................................................................................37
Otra propuesta de Metodología de Auditoría de SI.................................................37
GLOSARIO............................................................................................................................37

CONCLUSION.......................................................................................................................37
BIBLIOGRAFÍA.....................................................................................................................37

SUMARIO
Actualmente el avance de nuevas tecnologías es un factor que propicia el

desarrollo, tanto como la integración de los SI en una organización privada o
pública. El propósito buscado en los SI es optimizar la gestión mediante una
adecuada toma de decisiones. El presente seminario pretende orientar al
lector con conocimientos teóricos, para que motiven a una aplicación práctica
de los SI, el control en la organización y su relación con el control de gestión.
Se realizó una investigación bibliográfica de publicaciones sobre la materia.

Algunos aspectos se han reproducido y citado en forma textual, es decir, se
consideran absolutamente fidedignos y veraces para la comprensión y
aplicación de los SI y su utilidad para el control de gestión.
La importancia de un SI como herramienta potencial de adaptación,

identificación y tecnología de información, debe dar soporte para el
funcionamiento de una organización, a su vez, ser fácil de utilizar, fiable y
estructurada lógicamente.
La metodología de un SI sistematiza procedimientos, métodos y formas que

dan soporte a un conjunto de sistemas. Es necesaria una cultura
organizacional para que funcione un sistema de control de gestión. De esta
manera, la capacidad del SI y sus resultados contribuyen al uso como
herramienta de gestión, tanto para los niveles gerenciales y los beneficiarios
1
de la organización.
Pá gina

El control interno como sustento del control gestión deber ser oportuno, claro,
sencillo, ágil, flexible, adaptable, eficaz, objetivo y realista. Los objetivos que
sirven para el control interno salvaguardan activos, verifican datos contables,
fomentan la adhesión a políticas gerenciales. Las herramientas del control de
gestión apoyan a la planificación en el largo plazo y la gestión corriente. En el
corto plazo el presupuesto se aplica a un futuro inmediato.
La calidad en una información confiable y precisa es previa a un análisis de

Información adicionado a un conjunto de valores pertinentes. La seguridad de
la información como estándar de excelencia, asegura esta norma por la mayor
variedad más amplia de amenazas y vulnerabilidades. La preservación de la
seguridad seguida por la confidencialidad, integridad y disponibilidad.
En la auditoría de gestión se evalúan políticas de planificación, de seguridad

física, recursos informáticos. El Cobit desarrolla buenas prácticas para el
desarrollo de políticas claras, seguridad y las tecnologías de información.
Mientras que la 19.011/2011 indica una metodología para la Auditoría de SI.
2
Pá gina

INTRODUCCION
El dinamismo de la Globalización ha abierto las puertas a la revolución

informática, la tecnología en esta era, es una prioridad y los SI en las
organizaciones deben existir de modo que colaboren a la eficiencia y eficacia
en el cumplimiento de sus objetivos.
En la actualidad, las organizaciones deben contar con ventajas competitivas

para sobrevivir y hacer frente a las variables externas que las afectan. Un
elemento imprescindible para lograr una correcta gestión es la disponibilidad
de información, que consiste en suministrar a los distintos niveles de la
organización la información necesaria para la planificación, el control y la
toma decisiones. Actualmente, la información es considerada un recurso
estratégico de gran importancia en las organizaciones, de modo que se
pueda obtener con rapidez y precisión la situación de cada área de
competencia, detectando las posibles desviaciones respecto de los objetivos
prefijados e introduciendo las correcciones necesarias.
No se puede negar que este recurso en el transcurso de los años ha ido

evolucionando con el hombre, llegando a ser actualmente ilimitado.
Considerando lo anterior, es que se han logrado diseñar métodos para
ordenar y de alguna manera clasificar la información. A partir de esta
problemática es que se han desarrollado SI, flexibles, fiables, seguros, que en
la actualidad constituyen una prioridad empresarial.
Dado la relevancia que la tecnología ha desarrollado en la evolución de los
negocios, este trabajo se orientará en sus primeros capítulos a definir
conceptos de manera que se logre la comprensión de los sistemas de
3
información (SI). Y durante los capítulos posteriores se abordaran temas tales

Pá gina
como: describir los SI, componentes básicos, ventajas y desventajas,

modelos de SI, la adecuada utilización de éstos, seguridad, auditoría y la

relación existente con el control de gestión.
　
A.- Planteamiento General del Problema
Las organizaciones que no poseen el conocimiento necesario y el uso

adecuado de la tecnología como SI, se encuentran con problemas de
eficiencia, eficacia, seguridad en el resguardo de información y dificultades en
la entrega oportuna de ella, de manera que no contribuye al cumplimiento de
los objetivos de la organización.
En general, las organizaciones presentan problemas por el desconocimiento

de los SI y de la forma en que éste apoya al proceso administrativo.
B.- La importancia en su área
A través de este trabajo se utilizarán herramientas que brinden a las

organizaciones un apoyo al SI dentro del proceso administrativo de una
organización, para la correcta, oportuna y necesaria toma de decisiones a
nivel gerencial.
C.- Propósito General de Trabajo
Los lectores podrán comprender como los SI son recursos imprescindibles

en la actualidad para alcanzar el éxito en las organizaciones y son un apoyo
4
fundamental en el control y la gestión para una buena toma de decisiones.

Pá gina

Como propósito general se espera entregar las herramientas necesarias para

que los lectores logren la comprensión de la importancia de los SI en la
actualidad. Y de esta manera tomar este seminario como referencia, para
optimizar la administración del negocio. Además crear conciencia de que la
información es una herramienta útil que debemos considerar como base para
lograr de forma eficiente y eficaz el cumplimiento de las estrategias y
objetivos planificados, por los lideres de una Organización.
D.- Objetivos Específicos
1) Identificar y clasificar los SI desde la perspectiva organizacional.

2) Plantear metodologías de Sistema de Información que apoyen al
Control de Gestión.
3) Cómo las organizaciones adoptan los SI y su aporte en el control de
gestión.
4) Dar a conocer herramientas de control interno y su aporte en la gestión
empresarial.
5) Indicar como la calidad y seguridad de los SI apoyan al control de
gestión de las organizaciones.
6) Auditoría de SI como herramientas de control, para el apoyo de la
gestión empresarial.
7) Glosario de términos generales para comprender los SI y control de
gestión.
E.- Definiciones conceptuales u operacionales

5
Pá gina
Durante el presente trabajo se definirán los siguientes conceptos:

 Sistema
 Tecnología
 Información
 Dato
 Hardware
 Software
 Computador
 Comunicación
 Data Base
 Sistema de información
 Organización
 Administración
 Proceso administrativo
 Control
 Gestión
 Control de Gestión
 Recurso
 Competitividad
 Eficiencia
 Eficacia
 Objetivos
 Toma de decisiones
 Globalización
D.- Limitaciones
6
Pá gina

En el desarrollo de este seminario se presentan diferentes inconvenientes

tales como: la disponibilidad de tiempo que se quisiera dedicar, la diversidad
de opiniones para llegar a un consenso. Además, el tema de investigación es
relativamente nuevo por lo que se cuenta con escasa información de calidad,
que logre sostener un pilar de referencia para el desarrollo del mismo. Las
barreras geográficas existentes, ligadas por la falta de instituciones públicas
o privadas que brinden material necesario para el desarrollo del presente
seminario.
7
Pá gina

CAPITULO I
Identificar y clasificar los
Sistemas de Información
8
Pá gina

¿Por qué los SI son necesarios en la estructura de la

organización?
Las organizaciones son sistemas vivientes que actúan y reaccionan ante
problemas propios y ajenos en forma constante. Aquellas organizaciones que
no tienen actitud de cambio y reacción, es decir, aquellas que no consideran
las mejoras de las funciones de administración en forma manual a un SI
automatizado, están ciegas a sus problemas de comportamiento, ignoran al
mercado que las sustenta, o ignoran las verdaderas necesidades de la
organización, pierden rápidamente competitividad donde lo “único
permanente es el cambio” en nuestra época. (Andreu, Ricart, & Valor, 1996).
Los problemas a que refiere en el párrafo anterior son los siguientes, (Andreu,
Ricart, & Valor, 1996):
 Problema negativo: La situación actual no satisface el objetivo.
 Problema potencial: La situación proyectada no satisface el objetivo
 Problema de implementación: ¿Cómo se va a concretar el objetivo?
 Aprovechamiento de oportunidades: Generación de un nuevo objetivo.

Los avances tecnológicos en general y la tecnología de la información
en particular son un actor en estas acciones de cambio. Enfrentar estos
problemas trae aparejado previamente conocer acabadamente la
situación por medio de información para resolver los problemas, los SI
habilitan a la organización a resolver problemas y/o son parte de la
9
solución de los mismos. Si bien los SI inicialmente se consolidaron en

Pá gina
la organización para solucionar los problemas administrativos y

contables, el desarrollo de la tecnología se ha insertado a todo nivel en

la organización y constituye un servicio horizontal integrado a la
organización. (Andreu, Ricart, & Valor, 1996).
Todas las organizaciones son sistemas de procesamiento de información,

cualquier actividad desarrollada en la organización, necesita procesos de
información para su funcionamiento. (Paños, 1999)
Así la información se ha convertido en un proceso clave para las

Organizaciones a todos los niveles jerárquicos y para todos los
departamentos, ya que las Organizaciones deben conseguir, procesar, usar y
comunicar información tanto interna como externa en los procesos de
Planificación, Dirección y Toma de Decisiones. (Laudon & Laudon, 2004)
Las organizaciones deben asumir un proceso de cambio continuo. Así como

también entender y aprovechar los SI de forma adecuada y como un elemento
estratégico de esencial importancia en la capacidad de la Organización para
competir. Los SI son un verdadero potencial de ventajas competitivas. (Gil I. ,
1997).
Información
La información es la base, la materia prima sobre la cual se mueve

todo el engranaje de un SI. Es un conjunto de datos organizados de tal
modo que adquieren un valor adicional más allá del propio. En fin es
10
todo almacenamiento, proceso, y distribución en la organización, para

el sistema. (Najera, 2006) citado por (Dumenigo, 2012).
Pá gina

En los últimos años la información se ha convertido, en un elemento

clave y fundamental para el buen financiamiento de cualquier tipo de
organización, debido a su gran importancia estratégica. A lo largo de un
día cualquiera, son muchos los trabajadores que ocupan la mayor parte
del tiempo manipulando información, siendo ésta la que determina en
gran medida la consecución de objetivos de la organización
repercutiendo en el éxito o fracaso del negocio. La información se ha
convertido en el soporte para los procesos gerenciales y el eslabón que
une todos los componentes de la organización. Una información que no
satisfaga las características básicas carecerá de valor y por lo tanto no
será válida para la organización. Pero para que esta organización
cumpla sus objetivos es necesario que posea ciertas características,
entre las que se destacan, (Guevara, 2008):
 Relevante: La información debe estar estrechamente relacionada

con el problema a resolver, y la cantidad de información generada
por el sistema debe ser la necesaria para resolver un problema
concreto.
 Actualizada: La información debe utilizarse en el momento de ser
generada y no generarse con mucha antelación a su uso, ya que
hay cierto tipo de información que en cuestión de horas puede
quedar obsoleta.
 Rápida: La velocidad exigida en los negocios hace imprescindible
que el acceso a la información se realice de forma expedita y
11
sencilla.
Pá gina

 Económica: La obtención de la información no debe generar un

costo importante para la organización, característica muy tenida
en cuenta desde el punto de vista empresarial.
 Calidad: Es importante que la información carezca de errores y
sea completa, porque en determinadas ocasiones la falta de
completitud puede causar más problemas que la ausencia total
de información.
 Objetiva: Es importante que la información no se encuentre
sesgada por el comportamiento humano. Sino que esta es el
producto de criterios establecidos que permitan la interpretación
de forma estandarizada por diferentes personas en distintos
momentos y lugares.
 Aplicable: La información debe ser adecuada para la toma de una
decisión en particular, además de ser importante y pertinente
para la persona responsable de la toma de decisiones.
Valor y necesidad de la información
La teoría económica tradicional habla de la tierra, el trabajo y el capital, como

los tres recursos económicos fundamentales, sin embargo, cada vez con
mayor reconocimiento la información ha ido ocupando un cuarto lugar como
recurso estratégico critico, dada su demostrada importancia económica. De
hecho, hoy nadie pone en duda la validez que “información es poder” por lo
que no es extraño observar como cada vez mayor numero de organizaciones
12
predisponen todos los medios necesarios para su obtención y control. (Gil I.

1997).
Pá gina

La información debe fluir en la organización sin ningún obstáculo, evitar toda

situación de estancamiento, siendo la forma más adecuada de sacar el
mayor provecho a la información que se maneja. Las organizaciones
comienzan a darse cuenta que el verdadero objetivo de las tecnologías de
información, debe ser el aprovechamiento estratégico de la información de
calidad. Esta terminará siendo, no solo un recurso sino la esencia misma de
la organización. (Gil I. , 1997).
En esta progresiva importancia de la información se ha justificado el que

muchos directivos dediquen una elevada parte de su tiempo a relacionarse,
a mantener y obtener nuevos “contactos” con personas de interés, que les
permitan acceder a más información, sobre todo aquella de difícil obtención.
(Gil I. , 1997)
Sistemas de información
De acuerdo al avance tecnológico el concepto SI es dinámico por el constante

cambio en la tecnología, por lo tanto se definirá el concepto del SI por
diferentes autores:
“El conjunto formal de procesos que, operando sobre una colección de

datos estructurada de acuerdo con la necesidades de una
organización, recopila, elabora y distribuye (parte de) la información
necesaria para la operación de dicha organización y para las
actividades de dirección y control correspondientes, apoyando, al
menos en parte, los procesos de toma decisiones necesarios para
13
desempeñar las funciones de negocio de la organización de acuerdo

Pá gina
con su estrategia”. (Andreu, Ricart, & Valor, 1996).

“Tiene como función informar a la ESTRUCTURA HUMANA sobre el

proceso de transformación de recursos y el estado de las relaciones
entre los componentes de la ORGANIZACIÓN”. (Jimenez Bermejo,
2001)
“Un sistema de información se puede definir de una manera muy

simple como un conjunto de elementos que partiendo de datos
externos o internos genera información útil para la organización.
Según esta definición, un SI estará compuesto por una serie de
actividades básicas con el fin de apoyar a las funciones de una
organización o negocio, en sentido amplio un SI, no
necesariamente incluye equipo electrónico (hardware), aunque se
le denomine como sinónimo de este. Se puede definir técnicamente
como un conjunto de componentes interrelacionados que recolectan (o
recuperan), procesan, almacenan y distribuyen información para
apoyar la toma de decisiones y el control en una organización. Además
de apoyar la toma de decisiones, la coordinación y el control de SI
también pueden ayudar a los gerentes y trabajadores a analizar
problemas, visualizar asuntos complejos y crear productos nuevo.
(Andreu, Ricart, & Valor, 1996).
Existen entonces SI manuales y computarizados. Uno de los tipos de

sistema de información identifica las siguientes actividades:
14
 Entrada de Datos: Mediante este proceso el SI, recopila y captura

Pá gina
los datos primarios que se requieren, los cuales pueden provenir

de fuentes externas a la organización o de fuentes internas a la

misma. La entrada puede adoptar muchas formas, por ejemplo la
tarjeta de registro de entrada y salida del personal, podría ser la
entrada inicial de un SI. (Stair, 1999).
 Procesamiento: El SI es el procesamiento o mecanismo capaz de

transformar o convertir los datos en salidas útiles. Por ejemplo las
horas trabajadas por un empleado deben convertirse en un pago
neto. el procesamiento puede llevarse de manera manual o por
computadoras. (Barros, Holgado, & Pérez, 1983).
 Salida de Información: En SI la salida implica producir información

útil, por lo general en forma de documentos y/o reportes. La meta
de los SI es la generación de productos de información
apropiados para la utilización de los usuarios finales de la
organización. (Stair, 1999)
 Almacenamiento: Es la capacidad que existe para guardar los

datos y la información obtenida para poder recuperar esta
información en cualquier momento. La información almacenada
debe mantenerse mediante un proceso de actualización.
(Guevara, 2008).
 Retroalimentación: Es decisiva para la exitosa operación de un

15
SI. La retroalimentación es la salida que se utiliza para efectuar

Pá gina
cambios en actividades de entrada o procesamiento. Esta debe

evaluarse para determinar si el sistema cumple los estándares de

desempeño establecidos. La retroalimentación también es muy
importante para los administrativos y tomadores de decisiones.
(Peña, 2006).
Como se anunció anteriormente cuando hablamos de SI, nos estaremos

refiriendo a los SI automatizados. Los dispositivos utilizados para
realizar estas actividades básicas son las siguientes, (Gil, 1997):
 Los dispositivos de entrada: Permiten la entrada de datos, entre

estos dispositivos destacan el teclado y el mouse, los lectores de
códigos de barra, las webcams, y las pantallas sensibles al tacto,
entre otros.
 Los dispositivos de salida: Son los encargados de obtener los

productos de información, donde el monitor se considera el
dispositivo de salida, otras unidades típicas son las impresoras
entre otras.
 El computador: Es el recurso utilizado para procesar los datos de

entrada que pueden ser introducidos directamente por el usuario
o pueden estar almacenados en algunos de los dispositivos de
almacenamiento y convertirlos en información de salida.
16
 Los dispositivos de almacenamiento: Internos y/o externos del

Pá gina
computador se encargaran del almacenamiento de datos y de

información entre varios dispositivos, los más utilizados son los

discos duros, los discos computarizados (CD-ROM), las
graficaciones, los plotters y los DVD. Aunque existen otras formas
de almacenamiento. .
SI Versus Informatización
Frecuentemente al utilizar SI, se tiende a su asociación con una adecuada

informatización de diversas funciones y/o procedimientos administrativos en
una organización. (Gil I. , 1997).
Continuamente se ha utilizado el termino de informatización como sinónimo

de SI y aunque la mayoría de los autores están de acuerdo en asumir que un
SI requiere un adecuado proceso de informatización, lo que también está
claro, es que no en todos los casos la construcción de un SI lleva aparejado
el uso de tecnología de información. (Chain, 1997).
Sin embargo, aunque ambos conceptos están íntimamente relacionados no

son en modo algunos sinónimos. Aún suponiendo que la automatización de
todas estas funciones fuese adecuada, una falta de integración y coordinación
de las informaciones que cada una genera por sí misma y procesa de manera
más o menos independiente impedirían la construcción de la pirámide de
sistemas organizacional. (Gil I. , 1997).
Por tanto, podemos afirmar, que una adecuada informatización de la

organización es condición necesaria pero no suficiente para la construcción
17
de un SI basado en Tecnologías de la Información, ya que para que este

tome forma, deberá contemplar el diseño de un sistema integrado que
Pá gina
relacione las informaciones generadas por las diversas aplicaciones

funcionales de la organización y que permita así mejorar los procesos de

toma de decisiones. (Cohen, 2000).
Importancia de los SI en la organización
Después de conocer el concepto de SI podemos decir que, el llevar a cabo la

administración de una organización, desde sus inicios, es una tarea
sumamente agotadora e importante para su buen funcionamiento y desarrollo.
Una de las herramientas con mayor potencial para lograr obtener fuertes
bases en las organizaciones, es el uso adecuado de la información. Es por
esto que la utilización de SI aporta un apoyo significativo para todas aquellas
organizaciones que buscan un futuro exitoso. La información es un recurso
vital para toda organización, y el buen manejo de ésta puede significar la
diferencia entre el éxito o el fracaso para todos los proyectos que se
emprendan dentro de una institución que busca el crecimiento. El manejo de
la información es fundamental para cualquier organización, con ello puede
lograrse un alto nivel competitivo dentro del mercado y obtener mayores
niveles de capacidad de desarrollo. La información permite identificar cuáles
son las fortalezas con las que se cuenta y cuáles son las debilidades y
sectores vulnerables como organización. Estas últimas implican tener la
habilidad de planear acciones que permitan fortalecer, realizar una planeación
alcanzable y factible, Identificar áreas que requieren mayor atención, así
como poder controlar las actividades de la organización. (Cohen, 2000).
La información permite desempeñar las responsabilidades que las distintas

funciones implican; estas funciones son las necesarias para que la
18
organización
Pá gina

Alcance sus objetivos o bien si se quiere para seguir una estrategia de

negocio determinada en cualquier nivel de la organización. (Fleitman, 2000).
Actualmente no se pueden ignorar los SI porque juegan un papel critico en

las organizaciones, los sistemas de hoy afectan directamente la forma en que
se decide, planea y administra. (Laudon & Laudon, 2004).
La importancia creciente que ha ido adquiriendo la información dentro de las

organizaciones puede ser entendida como consecuencia de tres factores,
(Cornella, 1994):
 El primero, la necesidad de éstas de adaptarse a un entorno cada vez

más cambiante y complejo.
 El segundo, la intensificación del componente informativo en todas las

actividades económicas y sociales.
 El tercero, el potencial de las tecnologías de la información en la

mejora de la eficacia y eficiencia del tratamiento de la información,
provocando una nueva revolución en el orden social y económico que
se ha denominado sociedad de la información. (Cohen, 2000).
Se trata de una revolución basada en la información, pues los avances

tecnológicos actuales permiten procesar, almacenar, recuperar y
comunicar información en cualquiera de sus formas (voz, textos,
imágenes) sin importar la distancia, el tiempo o el volumen. Con
19
respecto al tema elegido y su relación con la práctica empresarial, a

Pá gina
partir de los años 80, comienzan a evidenciarse efectos importantes de

la aplicación de las TI sobre los resultados de las organizaciones, que

afectan tanto a aspectos internos como externos de las
organizaciones, añadiendo valor a las actividades de las
organizaciones, generando nuevas formas de hacer las cosas y de
utilizar mejor la información que influyen en la eficacia y eficiencia de
las organizaciones. (Cornella, 1994 citado por Paños, 1999).
En esta era ya no funcionan las formas antiguas de hacer las cosas

(Actividades de negocio), los procesos de administración, producción y
distribución de artículos, así como la entrega de servicios, se ha
convertido en una actividad Dinámica y Compleja. Hoy en día la
industria de la información, como en esta era en el mundo moderno, es
uno de los mercados más atractivos e indispensable, emparejar la
tecnología de la información con el modo de hacer negocios, dado que
sin datos precisos las organizaciones corren el riesgo de no tomar las
decisiones más adecuadas o las correctas, lo que sería un obstáculo
para el cumplimiento de los objetivos planeados y las estrategias de la
organización. (Fleitman, 2000).
Objetivos de un SI
El objetivo básico de la información es apoyar a la toma de decisiones dentro

de la organización. Se busca tener más bases sustentables para poder decidir
qué es lo que se va a hacer y qué rumbo tomar para lograr los objetivos que
se planearon. En una organización se debe poner especial atención a la
información que se genera día a día, la adecuada interpretación de ésta
20
pondrá los cimientos necesarios para consolidarse como una organización de

Pá gina
éxito. (Cohen, 2000).

Un SI debe responder a los siguientes objetivos, (Gil I. , 1997):
 Dar soporte a los objetivos y estrategias de la organización: Debe

proveer toda la información necesaria para el funcionamiento del
negocio en un momento dado, ya sea esta información referida a la
actividad diaria, como a la planificación de la organización a largo
plazo.
 Proporcionar a todos los niveles de la organización la información

necesaria para controlar las actividades de la misma: La información
debe proporcionar no solo la ejecución de funciones o tareas, sino el
control y verificación de que estas se han realizado como estaba
previsto.
 Conseguir que se adapte a la evolución de la organización: Debe ser

un sistema capaz de evolucionar al ritmo de la organización, pues
éstas cada día son más dinámicas, y sus necesidades de información
van cambiando a través del tiempo.
 Utilizar la información como un recurso corporativo que debería ser

planificado, gestionado y controlado para ser más efectivo a toda la
organización: Es sumamente útil, en una organización considerar la
información como otro recurso cualquiera, esto permite racionalizar y
optimizar el uso de la información.
21
 Definir la evolución del SI actual hacia el sistema necesario: En pocos

Pá gina
casos se desarrolla un SI antes de iniciar su actividad en una

organización, casi siempre existe una realidad de información cuando

se plantea la reorganización o puesta al día del mismo. En estos casos
es importante analizar la situación de partida y establecer los
procedimientos para su evolución al nuevo SI.
 Crean nuevas ventajas competitivas, al integrarse en las actividades de

su cadena de valor, mejorando la eficiencia de éstas. (Paños, 1999).
 Los sistemas deben proporcionar información clave para la toma de

decisiones: Esta información debe ser clara, sencilla, expedita, veraz,
precisa, consistente y fácil de analizar e interpretar. Es necesario
precisar en qué consiste la información clave, como puede obtenerse,
quienes son los responsables de elaborarla, en que formato y con qué
frecuencia se va a presentar, quienes tendrán acceso a ella y con qué
detalle y confidencialidad podrá ser consultada. (Fleitman, 2000).
Continuando con los objetivos que debe cumplir un SI, tanto administrativo
como operacional, bien diseñado y ajustado a las necesidades de cada
organización, debe contemplar como mínimo los siguientes puntos, (Gil I. ,
1997):
 Ser fácil de utilizar

 Estar estructurado lógicamente
 Tener procedimientos y una estructura de reportes
 Proporcionar la información completa sobre las diferentes áreas y
productos de la organización.
22
Pá gina

 Tener un mecanismo de retroalimentación que permita conocer los

avances en los programas de todos los departamentos de la
organización.
Estrategias de los SI
Las estrategias que los SI deben considerar en la organización y

hacer frente a la competitividad, se crean en base a la búsqueda de
respuestas a diversas interrogantes como por ejemplo: ¿qué tiene que
hacer una organización cuando se enfrenta a estas fuerzas?, ¿cómo
puede utilizar los SI para contrarrestar algunas de estas fuerzas?,
¿cómo se puede evitar productos sustitutos y desalentar la entrada de
nuevos participantes?, así existen otras interrogantes que ayudan a
buscar estrategias generales que colaboran en responder a estas
preguntas, y se llevan a cabo a través de la tecnología y los SI.
(Laudon & Laudon, 2004).
Estrategias de los SI de la organización, (Gil I. , 1997):
 Integrar al plan general de la organización: Esto significa que los

SI deben estar integrados en la misma organización. Es muy
difícil conseguir implantaciones con éxito planteando su
desarrollo al margen del plan general.
 Se debe depender de los procesos de la organización y de las

23
claves de datos: El SI es el medio para facilitar los datos

Pá gina
necesarios a cada proceso que se realiza en las organizaciones,

por lo tanto, los procesos y los datos son factores fundamentales

en el diseño del mismo.
 Conseguir que la información y las funciones sean

independientes de los datos: Actualmente los sistemas tienen la
necesidad de ser dinámicos, para que puedan adaptarse a los
cambios de la organización, esto no es fácil de conseguir y se
debe evitar la dependencia de los datos con las funciones y la
organización. Considerando este principio será mucho más fácil
adecuarse a los cambios en la organización o en los procesos.
 Fijar responsabilidades sobre los datos: Los datos siempre

proceden de algún proceso, por lo tanto identificar quien genera o
modifica información además de responsabilizarlo de ésta, es
muy indispensable para tener información de calidad.
En conclusión debe permitir la identificación, definición, diseño,

construcción e instalación de un SI integrado en el plan general de la
organización, que facilite a los directores la toma de decisiones y el
control de los recursos. (Gil I. , 1997).
Las estrategias que se deben considerar para hacer frente a la

competitividad son las siguientes: (Laudon & Laudon, 2007):
 Liderazgos costos bajos: Se deben utilizar costos bajos para

24
lograr costos operativos y precios más bajos.

Pá gina

 Diferenciación de producto: Se deben utilizar SI para tener

disponibles nuevos productos y servicios, a cambiar en gran
medida la comodidad del cliente al utilizar sus productos y
servicios existentes.
 Enfoque en un nicho de mercado: Se deben utilizar los SI para
facilitar el enfoque en un mercado específico y dar servicio a este
mercado objetivo limitado mejor que sus competidores.
 Fortalecimiento de la familiaridad con clientes y proveedores: Se
utilizan los SI para estrechar los lazos con sus proveedores y
desarrollar buenas relaciones con sus clientes. Algunas de estas
organizaciones se enfocan en una de las estrategias
mencionadas anteriormente.
Evolución de las actividades de un SI
En un SI sus actividades están compuestas por ciertas etapas. Dentro de una

organización estas actividades, son un factor relevante en las organizaciones
para la efectividad de los SI. Estas han sido el resultado de un estudio de una
gran cantidad de organizaciones y cada una de ellas dura varios años.
(Barros, Holgado, & Pérez, 1983).
En su evolución en primer lugar, se implementan los sistemas transaccionales

y posteriormente se introducen los sistemas de apoyo a las decisiones, por
último se desarrollan los sistemas estratégicos que dan forma a la estructura
competitiva de la organización. En la década de los setenta Richard Nolan, un
conocido autor y profesor de la escuela de negocios de Harvard, desarrolló
25
una teoría que influyó en el proceso de planeación de los recursos y las

Pá gina
actividades de informática. Por su trascendencia y aplicación en este contexto

se comentaran los aspectos más relevantes de su “Teoría de las Etapas”.

Según Nolan la función de la informática en las organizaciones evoluciona a
través de ciertas etapas de crecimiento las cuales se explican a continuación,
(Cohen, 2000):
Etapa de inicio: Alguna de las características más relevantes de esta etapa

son:
 Comienza con la adquisición de la primera computadora y

normalmente se justifica por el ahorro de mano de obra y el exceso de
papeles.
 El tipo de administración empleada es escaso y la función de los
sistemas suele ser manejada por un administrador que no posee una
preparación formal en el área de la computación.
 El personal que labora en este pequeño departamento consta a lo
sumo de un operador y un programador. Este último puede ser un
asesor externo o bien puede recibir el apoyo de un fabricante local de
programas de aplicación.
 Esta etapa termina en la implementación exitosa del primer SI. Cabe
destacar que algunas organizaciones pueden vivir varias etapas de
inicio en que la resistencia al cambio por parte de los primeros usuarios
involucrados, dificulta el intento de introducir el computador a la
organización.
 Etapa de Contagio o Expansión: Los aspectos más sobresalientes que

permiten diagnosticar que una organización se encuentre en esta etapa
26
son:
Pá gina
 Se inicia con la implementación exitosa del primer sistema de

información en la Organización. Como consecuencia de ello el

primer Gerente o Usuario se transforma en el paradigma o

persona que se abra de imitar.
 El pequeño departamento es promovido a una categoría
superior donde comienza a depender de la Gerencia
administrativa o contraloría.
 Se inicia la contratación de especialistas de excelente
preparación académica en el área de sistemas, tales como
analista, programador, jefe de desarrollo, jefe de soporte
técnico etc.
 Los gastos por concepto de sistemas comienzan a crecer en
forma importante, lo que marca la pauta para iniciar la
racionalización del uso de los recursos computacionales por
parte de la organización.
 Etapa de Control o Formalización: Para identificar a una compañía que

transita por esta etapa es necesario considerar los siguientes
elementos:
 La etapa de evolución de la informática dentro de la

organización se inicia con la necesidad de controlar el uso
de los recursos computacionales a través, de técnicas de
presupuestos y la implantación de sistemas a usuarios por el
servicio que se presta.
 Las aplicaciones están orientadas a facilitar el control de las
operaciones del negocio para otorgar mayor eficiencia a las
actividades que se desarrollan en la organización.
27
 El departamento de sistemas de la organización suele

Pá gina
ubicarse en la posición gerencial y depende de la dirección

administrativa o financiera.

 En esta etapa se inicia el desarrollo y la implementación de

estándares de trabajo del departamento de informática, tales
como; estándares de documentación, control de proyectos,
desarrollo y diseño de sistemas, auditoria de sistemas y
programación.
 Etapa de integración: Las características de esta etapa son las

siguientes:
 La integración de los datos y los sistemas surge como
resultado directo de la centralización del departamento de
sistemas bajo una sola estructura administrativa.
 Las nuevas tecnologías relacionadas con base de datos y
la administración permiten la integración.
 El departamento de sistemas evolucionó hacia una
estructura descentralizada, facilitando al usuario utilizar
herramientas para el desarrollo de sistemas.
 Los usuarios y el departamento de sistemas iniciaron el
desarrollo de nuevos sistemas, reemplazando los sistemas
antiguos, en beneficio de la organización.
 Etapa de administración de datos: Entre las características que se

destacan en esta etapa están las siguientes:
 El departamento de sistemas reconoce que la información es

un recurso muy valioso que debe estar accesible para todos
los usuarios.
28
 Para poder cumplir con lo anterior es necesario administrar

Pá gina
los datos, almacenarlos, mantenerlos en forma apropiada

para que los usuarios puedan utilizar y compartir este

recurso.
 El usuario de la información adquiera responsabilidad de la
misma y debe manejar niveles de accesos diferentes.
 Etapa de Madurez: Entre los aspectos sobresalientes que indican que

una organización se encuentra en ésta etapa son los siguientes:
 Al llegar a esta etapa la informática de la organización se

encuentra definida como una función gráfica y se ubica en
los primeros niveles del organigrama.
 Se desarrollan sistemas de manufactura integrados por
computadoras, sistema de apoyo a la toma de decisiones,
sistemas estratégicos y aplicaciones que proporcionan
información para las decisiones de la alta gerencia.
 Se perfecciona mucho los controles implantados en las
etapas anteriores y se es menos rígidos en la aplicación de
los mismos.
 Suele existir una planeación rigurosa de los recursos de
cómputo y las aplicaciones con horizonte de planeación no
menores a cinco años.
 En general se mantiene una buena comunicación con la alta
gerencia y los diferentes usuarios de la organización.
Elementos de un SI
29
Los componentes de mayor importancia en un SI actual son los siguientes,

Pá gina
(Peña, 2006):

 Financieros: Es el aspecto económico que permite la adquisición,

contratación, mantenimiento de los demás recursos que integran un
SI.
 Procedimientos: Es la estructura orgánica de objetivos,
lineamientos, funciones, departamentalización, dirección y control
de las actividades; que sustenta la creación y uso de los SI.
Son las reglas de operación, los mecanismos para hacer funcionar una
aplicación en el computador: (Cohen, 2000):
 Humanos: Interactúan con el SI que está compuesto por dos entes:
El técnico: Que posee los conocimientos especializados en el

desarrollo del sistema, siendo estos los administradores, los líderes
de proyectos, analistas, programadores y operadores.
Usuario: Representado por las personas interesadas en el manejo

de la información vía computo, como apoyo al mejor desempeño de
sus actividades, siendo estos los funcionarios, contadores,
ingenieros, empleados, público etc. (Peña, 2006).
 Materiales: Son aquellos elementos físicos que soportan el

funcionamiento de un SI, por ejemplo; local de trabajo,
instalaciones eléctricas y de aire acondicionado, medios de
comunicación, mobiliario, maquinaria, papelería etc. (Peña,
30
2006).
Pá gina

 El equipo computacional: Es decir, el hardware necesario para

que el SI pueda operar. Lo constituyen los computadores y el
equipo periferico que puede conectarse a ellas. (Cohen, 2000).
 Tecnológicos: Es el conjunto de conocimiento, experiencias,

metodologías y técnicas que orientan la creación, operación y
mantenimiento de un sistema. (Peña, 2006).
 Los datos o información fuente: Que son introducidas en el

sistema, son todas las entradas que éste necesita para generar
como resultados la información que se desee. (Cohen, 2000).
 Los programas: Que son ejecutados por los computadores y

producen diferentes tipos de resultados. Los programas son parte
del software del SI que hará que los datos de entrada introducidos
sean procesados correctamente y generen los resultados que se
esperan. (Cohen, 2000).
 Las telecomunicaciones: Que son básicamente hardware y

software, que facilitan la transmisión de texto, datos, imágenes y
voz en forma electrónica. (Cohen, 2000).
Características de un SI
Como todo sistema, el SI debe tener características que se tienen que

considerar en su diseño. Estas afectaran a su relación valor – costo, es decir,
31
que una mejora en cualquiera de sus características enunciadas puede

Pá gina
proporcionar un aumento en el valor total del sistema, aunque también se

puede presentar la situación que aumente el costo del mismo. Estas

características que se mencionan a continuación ayudan a comprender mejor

el valor que representa un SI, (Gil I. , 1997):
 “Disponibilidad de la información cuando es necesaria y por los medios

adecuados ( determinados impresos, papel, pantallas interactivas,
acceso remoto vía modem …)”
 Suministro de la información de manera “Selectiva”, evitando
sobrecargas e información irrelevante. Supone la sustitución de
“Cantidad”, por “Calidad” de información.
 Variedad en la forma de presentación de la información. El análisis de
la información puede variar e incluso simplificarse variando la forma de
su presentación, por ejemplo en el análisis de una tendencia mostrada
únicamente de manera numérica o incorporándole un sencillo grafico
de líneas.
 El grado de “Inteligencia”, incorporado en el sistema (relaciones
preestablecidas entre las informaciones contempladas en el sistema).
 El tiempo de respuesta del sistema: diferencia entre una petición de
servicio del sistema y su realización.
 Exactitud: conformidad entre los datos suministrados por el sistema y
los reales.
 Generalidad: conjunto de funciones disponibles para atender
diferentes necesidades.
 Flexibilidad: capacidad de adaptación y/o ampliación del sistema a
nuevas necesidades. Un SI no debe ser estático puesto que las
necesidades de las organizaciones van cambiando con el tiempo.
 Fiabilidad: probabilidad de que el sistema opere correctamente durante
32
un periodo de disponibilidad de uso.

Pá gina
 Seguridad: protección contra perdida y/o uso no autorizado de los

recursos del sistema (accidentales o no).

 Reserva: nivel de repetición de la información para proteger de

pérdidas catastróficas de alguna parte del sistema.
 “Amigabilidad” para con el usuario: grado con que el sistema reduce las
necesidades de aprendizaje para su manejo.
Desventajas de un sistema de información
Se tiene claro los beneficios de un SI en la organización, ahora se dará a

conocer las algunas desventajas que tienen, (Joao, 2011):
 Un SI demasiado complejo para una pequeña organización puede

generar un gasto demasiado alto y no traer beneficios. Un SI sencillo
y de poca complejidad para una gran organización, son elevados
volúmenes de trabajo, puede ser bastante económico pero, de poca
utilidad para la organización.
 El tiempo de inactividad de un sistema de informático es la posibilidad
de que el sistema se caiga. Si el sistema informático no funciona por la
razón que sea, no se puede acceder a la información almacenada en
sus equipos, con este inconveniente la organización no puede cumplir
sus funciones adecuadamente.
 Si en los SI computarizados los datos se almacenan en una ubicación
central y es fácilmente accesible, este método es una ventaja cuando
la información se consulta por la razón correcta.
 Otra desventaja de los SI computarizados es el tiempo y esfuerzo de
crear y tener a todos los usuarios completamente capacitados y con
conocimientos sobre cómo utilizar correctamente el sistema.
 La información contenida en un sistema informático se debe introducir
33
al computador por una persona por lo tanto, la exactitud de ésta

Pá gina
entrada es esencial para asegurar la información correcta. De lo

contrario la entrada incorrecta podría significar una posible confusión.

 Otra desventaja es el tiempo que puede durar su implementación

 La resistencia de cambio de los usuarios
 El desplazamiento del recurso humano por causa de la tecnología de
información.
 Los problemas técnicos, al no realizar un estudio adecuado como
fallas de hardware, software o funciones implementadas
inadecuadamente para apoyar ciertas actividades de la organización.
Entorno de un SI
Un sistema contiene información sobre una organización y su entorno.

Existen dos tipos de entornos: entorno inmediato y entorno remoto, para
informarse sobre cada uno de estos dos entornos. Existen fuentes
informales de información (no se registran en ninguna parte, éstas se
basan en relaciones personales), y fuentes formales (registradas en
papel, medio electrónico y/o en cualquier tipo de soporte físico). Los
entornos en los cuales se encuentran insertos los SI son los siguientes,
(James, 1992):
 Entorno inmediato: Constituido por aquellos elementos con los que la

organización debe tratar a diario: clientes, proveedores, distribuidores,
competidores, accionistas, fuentes de financiación y agentes
reguladores. Los mismos interactúan con la organización y sus SI.
34
 Entorno remoto: El que no se ha de enfrentar a diario, pero que debe

Pá gina
monitorizar con el fin de identificar los cambios y tendencias que exijan

una adaptación de las estrategias de la organización a medio y largo

plazo. Es un contexto más amplio: el clima político, la situación
económica, las tendencias sociales y las innovaciones tecnológicas.
Cada día el entorno remoto se hace más inmediato gracias a las NTIC
(Normas de Tecnología de Información y Comunicación).
Algunos de los elementos del ambiente externo inmediato de una

organización son los siguientes, (Gómez & Martinez, 1998):
 Consumidor: Persona o cliente de la organización.

 Proveedores: Otras organizaciones que suministran los
35
diferentes recursos de materias primas, instalaciones, etc.

Pá gina
Que se necesitan para el desarrollo de la organización.

 Comunidad Financiera: De las siguientes formas lo que

reciben prestado o reciben en calidad de aportaciones al
negocio, los prestamistas que son los bancos u otras
organizaciones y los accionistas que son personas que
aportan su dinero en calidad de partícipes del negocio.
 Competidores: Son organizaciones que hacen que se
administren los SI logrando eficiente y eficazmente las
actividades y logrando hacer frente a competidores que se
encuentran en su entorno como una amenaza constante.
Clasificación de los SI
Antes de comenzar a definir conceptos de SI propiamente tal, se presentarán

distintos enfoques que se han suscitado a lo largo de los años de los SI.
Uno de los primeros está orientado a la estructura de la toma de decisiones

definida en la jerarquía de planificación y control de las organizaciones,
(Barros V., 1976):
 Toma de decisiones estructuradas.

 Toma de decisiones semi estructuradas.
 Toma de decisiones no estructuradas.
36
Pá gina

Tipo De Decisiones Control Operacional Control Administrativo Planificación Estratégica

Pago De Personal Control Presupuestario
Estructurada Procesamiento De Costos Standard Localización Y
Ordenes Y Factura Pronostico De Corto Plazo Dimensionamiento De
Control Inventarios Plantas
Programación De Análisis De Varianza De

Semi Producción Presupuestos Planificacion De Nuevos
Estructurada Administración De Flujo Preparación De Productos
De Caja Presupuestos
Programación De
No Estructurada Proyectos, Considerando Planificación De
Interrelaciones Y Personal Investigación Y
Limitaciones Desarrollo
Continuando con los enfoques de SI, se presenta uno de acuerdo a la

manera en que se procesan los datos, (Barros V., 1976):
 Sistemas de tipo Batch: La entrada de datos se agrupan y procesan en

conjunto cada cierto tiempo, lo que genera que la salida esté
disponible, solo en ciertos momentos.
 Sistemas de tipo taller: En este tipo los SI trabajan y se almacenan en
colas de espera, y procesan, normalmente, de acuerdo a una regla
de prioridad, a medida que existe capacidad disponible. El tiempo de
respuesta depende de la capacidad del sistema software (multi-
procesamiento) y la cantidad de entradas.
 Sistemas en línea: Aquí se prioriza el procesamiento de un trabajo en
el interior, asegurándose una respuesta en tiempo mínimo.
 Tiempo compartido: A cada trabajo se le garantiza una cierta cantidad
37
(pequeña), de tiempo cada cierto intervalo.

Pá gina

El siguiente enfoque está dirigido a clasificar los SI de acuerdo al nivel de

dirección en la organización y el tipo de actividades que se desarrollan en
ellas, (Gil I. , 1997):
 Dirección general: Aquí la responsabilidad está básicamente en

desarrollar una planeación estratégica de la organización y una
eficiente asignación de recursos a lo largo de las áreas funcionales. “La
información es estratégica”, la que puede ser interna o externa.
 Dirección funcional: En este nivel se gestionan los recursos que han

sido asignados y sobre los cuales se es responsable como función. Se
toman decisiones a corto y mediano plazo (uno o dos años). La
información es más interna que externa.
 Dirección operativa: Esta es la dirección que está determinada y

absorbida por toda la parte operativa de la organización. La
información permite reaccionar ante problemas que surgen de manera
cotidiana.
Actividades de cada nivel:
 Planificación estratégica: En esta actividad fundamentalmente se

toman decisiones relativas a objetivos, cambios de estos, normas
dirigidas al uso eficiente de los recursos, aborda problemas orientados
a largo plazo, respecto a falta de estructuras, que requieren un análisis
38
de datos específico para un problema concreto se clasifican en esta

Pá gina
actividad los presupuestos, objetivos de ventas, de producción,

información de mercado etc. (Dirección General).

 Control de gestión: Es la actividad que asegura a los directivos la

obtención de recursos y su efectiva y eficaz utilización en el logro de
los objetivos. Comprende problemas de asignación de recursos, que
tiene continuidad, naturaleza cíclica, requieren datos de resumen
recopilados en base sistemática y tienden a estar dotados de una cierta
mayor estructuración que los problemas de planificación estratégica. la
información que se desprende de este tipo de actividad sería el control
presupuestario, control de existencias, seguimiento de ventas etc.
(Dirección Funcional).
 Control operativo: En este tipo de actividad se asegura la efectiva y

eficiente realización de tareas específicas. Está orientado a
transacciones, aborda problemas de continua reincidencia, repetitivos,
bien estructurados, predefinidos y con características de entrada-
algoritmo-salida. Serian información de pedidos, órdenes de compra
etc. (Dirección Operativa).
Así como hemos visto los SI y sus diversas clasificaciones enmarcan la

importancia que tienen en las organizaciones hoy en día, son un recurso
valioso en ellas para la consecución de sus objetivos y estrategias, ser más
eficientes, eficaces y lograr competitividad. Uno de los tantos enfoques
utilizados actualmente está dirigido a una clasificación en la cual los distintos
SI, apoyan a la organización a través de las actividades funcionales a los
distintos sistemas operacionales y gerenciales en la que circula información
útil y significativa. (Gil I. , 1997).
39
Pá gina

40
Pá gina

Distintas clasificaciones de un SI
Una organización generalmente posee más de un SI cada uno de ellos tiene

sus propias características y cada uno juega un rol fundamental en el logro
de satisfacción necesidades de información de dicha organización. La
mayoría de estos sistemas están interrelacionados no necesariamente
integrados, bien en forma directa en respuesta a los requerimientos de sus
diseños o en forma indirecta de acuerdo a la comunicación formal o informal
de información entre ellos. Varios autores han reconocido y aceptado los dos
tipos de sistemas de información en cualquier organización. Los cuales son,
(Montilva, 1986):
 SI formal: Basados en un conjunto de normas estándares y

procedimientos que permiten que la información se genere y llegue a
quien la necesite en el momento deseado. La información formal es
producida por el computador.
 SI informal: Están basados en la comunicación no formalizada ni
predefinida entre las personas de la organización. Este tipo de sistema
no tiene estructura y no sigue normas o procedimientos porque su
información puede ser bastante imprecisa, irregular e incierta,
imposibilitándose así el procesamiento automático.
41
Pá gina

Otra clasificación de los SI de una organización en base a su naturaleza y

objetivos es la siguiente, (Montilva, 1986):
 Sistema de comunicación
 Sistema de información informal
 Sistema de información organizacional
 Sistema de información operativos
 Sistema de información Gerencial
 Sistema de apoyo a la toma de decisiones
 Sistema de procesamiento de datos
Otros autores que entregan un aporte en la clasificación de los SI además de

las vistas anteriormente, (Laudon & Laudon, 2004):
Por el grado de formalidad: formales e informales
 Por el nivel de automatización conseguido: Manuales y sistemas

basados en TI.
 Por su relación con la toma de decisiones: SI para decisiones
estratégicas, administrativas, u operativas.
 Por el origen y grado de personalización: Sistemas específicos para
una organización y sistemas de carácter general.
 Por el valor que representan para la organización: Beneficios internos y
beneficios externos.
Desde prácticamente la revolución industrial los responsables de las distintas

42
organizaciones han estado marcados por la difícil tarea de entender los

Pá gina
negocios que controlan. La administración de los negocios va cambiando y va

naciendo una nueva cultura empresarial, el antiguo estilo de gestión, informal

y personal va siendo sustituido por un enfoque de gestión más estructurado,

despersonalizado y apoyado en la información. De acuerdo a la pirámide
organizacional los SI se pueden clasificar según al nivel al que pertenecen
sea nivel operativo, del conocimiento, administrativo y nivel estratégico. Dado
que hay intereses, especialidades y niveles diferentes en un sistema, las
necesidades de información del sistema de una organización no son iguales,
(Gil I. , 1997):
Clasificaciones
 Sistemas a nivel operativo: Apoyan a los gerentes operativos en el

seguimiento de actividades y transacciones elementales de la
organización como ventas, ingresos, depósito en efectivo, nomina,
decisiones de crédito y flujo de materiales en una fábrica. Estas
actividades son de corto plazo. (Laudon, Kennetti, & Janep, 2004).
 Sistema de informacion operativos: Son definidos como SIn que

recogen, mantienen y procesan los datos ocasionados por la
realizacion de operaciones basicas en la Organización. El objetivo
primordial de este tipo de sistemas es el de preparar y mantener el
registro de los datos originados por las operaciones elementales
( rutinarias), de la organización. Ejemplo de ellos son los sistemas de
nomina de pagos, los sistemas de contabilidad, los sitemas de
adquisicion de datos y los sistemas de reservacion de pasajes.
Ademas Procesan en forma eficiente las transacciones comerciales,
controlan los procesos industriales, respaldan comunicaciones
generan informacion interna y externa. El carácter rutinario de las
43
operaciones de una organización hacen que este tipo de sistemas

Pá gina
pueda ser facilmente automatizado. De hecho una gran mayoria de

los SI que existen, en la actiualidad, corresponden a este tipo (M.J,

1988) citado por (Montilva, 1986).
 Sistemas a nivel del conocimiento: apoyan a los trabajadores del
conocimiento y de datos de una organización. El propósito de estos
sistemas es ayudar a las organizaciones comerciales a integrar el
nuevo conocimiento en los negocios y ayudar a la organización a
controlar el flujo del trabajo de oficina. Estos tipos de sistemas están
entre las aplicaciones de crecimiento más rápidas en los negocios
actuales (Laudon, Kennetti, & Janep, 2004).
 Sistemas de trabajo de conocimiento y de automatización de oficinas:

los sistemas de trabajo de conocimiento ayudan a quienes crean
nueva información como contadores, ingenieros etc. Los sistemas de
automatización oficinas ayudan a quienes procesan la información
como secretarias, archivistas.etc. (Laudon. , 2006).
 Sistemas a nivel administrativo: Estos sirven a las actividades de

supervisión, control, toma de decisiones, administrativas de los
gerentes de nivel medio. Son actividades de mediano plazo. La
pregunta principal que plantean estos sistemas es: ¿van bien las
cosas?, por lo general este tipo de sistemas ´proporcionan informes
periódicos y de mediano plazo, más que información instantánea de
operaciones. Apoyan a las decisiones no rutinarias y tienden a
enfocarse en decisiones menos estructuradas para las cuales los
requisitos de información no siempre son claros. (James, 1992).
44
 Sistema de información administrativa, (Management Information

Pá gina
Systems): Es un conjunto organizado de personas, procedimientos,

software, base de datos y dispositivos para suministrar información

rutinaria a administradores y tomadores de decisiones su propósito
general es que ayudar a que la organización logre sus objetivos.
(Gil I. , 1997)
 Sistemas a nivel estratégico: Ayudan a los directores a enfrentar y
resolver aspectos estratégicos y tendencias a largo plazo, tanto en la
organización como en el ambiente externo. Su función principal es
compaginar los cambios del entorno externo con la capacidad
organizacional existente ¿cuáles serán los niveles de empleo dentro
de cinco años?, ¿cuáles son las tendencias de los costos a largo
plazo? Estas son una de las interrogantes que identifica a este tipo de
SI. (Laudon & Laudon, 2004).
 Sistemas a nivel estratégico: Estos se nutren básicamente de los

sistemas que los preceden de la pirámide organizacional, permiten
además incluir datos externos a la organización y realizar seguimiento
a datos críticos. Apoyan a los directivos a enfrentar y solucionar
aspectos estratégicos y tendencias a largo plazo tanto en la
organización como en el entorno externo. (Gil I. , 1997).
Como se puede apreciar los SI están diseñados y desarrollados para apoyar

principalmente las áreas funcionales en las que operan aunque esto no los
limita a interactuar entre sí por medio de interfaces logrando de esta manera
un ahorro de recursos, tanto tecnológicos, como humanos y económicos. Se
identifican hasta el momento siete diferentes tipos de SI, que a decir de los
investigadores de esta área fueron excelentemente definidos y que existen
45
distribuidos a lo largo de la pirámide organizacional. Esta cuenta con los

Pá gina
siguientes tipos de SI de apoyo a ejecutivos (ESS, por sus siglas en ingles),

en el nivel estratégico; SI gerencial (MIS), y sistema de apoyo a la toma de

decisiones (DSS), en el nivel Administrativo; sistemas de trabajo del

conocimiento (KWS), sistemas de oficina en el nivel del conocimiento, y
sistemas de procesamiento de transacciones (TPS), en el nivel operativo. A
su vez los sistemas de cada nivel se especializan en apoyar a cada una de
las áreas funcionales de la organización. (Laudon & Laudon, 2004).
 Sistemas para el proceso de transacciones (TPS): este sistema

remplaza los procedimientos manuales por lo que se basan por la
computadora. Los procedimientos son de rutina y bien estructurados,
se incuye en este las aplicaciones para el mantenimiento de registros.
Coo mesionamos entonces esta basado en la computadora y la
relacion de los trabajos rutinarios, es el mas importante y utilizado
dentro de la organización. Algunas de Las caracteristicas de este
sistema en la organización son las siguientes, (James, 1992):
 A traves se estos suelen lograrse ahorros significativos de

mano de obra,, debido a que automatizan tareas operativas de
la organización.
 Son el primer tipo de SI que se implanta en las organizaciones,
se comienza apoyando las tareas a nivel operativo de la
organización.
 Son intensivos en entrada y salida de informacion ; sus calculos
y procesos suelen ser simples y poco sofisticados.
 Son faciles de justificar ante la direccion general, ya que sus
beneficios son visibles y palpables.
46
Pá gina

Se describirá los sistemas transaccionales desde una perspectiva funcional,

es la forma mas fácil de identificarlos en una organización. (Laudon &
Laudon, 2004).
Estos son los siguientes, (Barros, Holgado, & Pérez, 1983):

 Sistema de sueldos: Esta función es básica, y su finalidad es pagar al
personal (empleados), por un cierto trabajo realizado. Esta función
necesita para tal efecto información respecto a cuánto debe recibir
cada persona. La información de este SI es generada a través de un
computador. Este debe recibir datos respecto al sueldo de cada
persona, los diversos descuentos, horas trabajadas, etc. Siendo como
resultado de este proceso, una planilla de pagos, o los cheques. De
esta manera tenemos un conjunto de elementos que se relacionan y
entregan información necesaria para el pago de sueldos de las
personas, esto en el departamento de contabilidad.
 Sistema de facturación: La función principal de este SI, es emitir

facturas por productos vendidos o servicios prestados a sus clientes.
teniendo en cuenta que esta función es apoyada por un computador,
el cual realiza el cálculo de las facturas, siendo facturación la
responsable por verificar, controlar y el envío de las mismas. Los datos
que deben ser ingresados son las cantidades vendidas, precios, etc.
 Sistema de control de materiales: Este sistema tiene como función el

control de inventario de materiales, para poder realizar compras,
cuando sea necesario. En este caso podemos distinguir las funciones y
47
flujos de información que se requieren para que este SI, sea efectivo
Pá gina
en el tiempo oportuno.

 Sistema de planificación de producción: La función que da origen a

este tipo de SI, es la de decidir qué cantidad debe producirse de cada
uno de los productos que se fabrican en una organización. Esta
decisión debe tomarse considerando la demanda por cada uno de los
productos, precios, costos, la capacidad de los procesos de
producción, los insumos disponibles, el inventario actual de ellos, etc.
La información generada por el computador entrega un plan de
producción que indica requerimientos detallados de componentes,
insumos, horas-maquina, y horas-hombre de distintos tipos.
 Sistema de trabajo con conocimientos (KWS): Son sistemas de oficina

y de trabajo de diseño. Su principal función es integrar los
conocimientos, que permiten a las organizaciones manejar de mejor
manera sus procesos para captar y aplicar el conocimiento y la
experiencia. El conocimiento es parte fundamental de las
organizaciones y de la forma de hacer negocios, y tener ventajas
competitivas, esta herramienta nos ayuda a identificar o clasificar los
activos del conocimiento y llevar los procesos de su gestión de forma
más efectiva. Para mejorar procesos de negocios y la toma de
decisiones administrativas. Todas las habilidades y conocimientos
deben ser identificados y valorados, accesibles desde cualquier sitio,
deben ser capturados o almacenados, para que al mismo tiempo se
puedan desarrollar y mejorar. (Laudon & Laudon, 2004).
 Sistemas de automatización de oficinas (OAS): Este SI, es una

48
aplicación de tecnología de información diseñada para aumentar la

Pá gina
productividad de los trabajadores de datos en la oficina, apoyando las

actividades de coordinación, y comunicación de la oficina normal.

Entre sus funciones tenemos;
 Coordinar a diversos trabajadores de información, unidades

geográficas, y áreas funcionales.
 Manejan y controlan documentos, programan actividades,
administran, y comunican. Para cumplir con estas funciones, las
oficinas en general llevan a cabo ciertas actividades de oficinas,
las principales son, (James, 1992).
 Administración de documentos: Son las tecnologías que se

utilizan para crear, procesar y administrar documentos
(procesamiento de palabras, las publicaciones de escritorio,
imágenes de documentos, y administración del flujo de trabajo).
 Trabajo de colaboración (Groupware): Es el software que

reconoce el significado de los grupos en las oficinas al
proporcionar funciones y servicios que dan soporte a las
actividades de colaboración de los grupos de trabajo.
 Administración de la información ( base de datos de escritorio):

Son las herramientas en paquetes para base de datos
diseñadas para dar soporte a tareas de administración de datos
específicos de la oficina para el trabajador de la información.
 Administración de proyectos: Es el software que facilita el

desarrollo, programación, y administración de un proyecto
49
complejo en sub-tareas más sencillas, cada una con su propio

Pá gina
tiempo de terminación y sus recursos requeridos.

 Sistema de información para la administración (SIA) o Gerencial: (MIS

Management Information System), son un conjunto organizado de
personas, procedimientos, software, base de datos, y dispositivos para
suministrar la información rutinaria a administradores y tomadores de
decisiones. Proporcionan informe periódicos para la planeación, el
control y la toma de decisiones son sistemas que se sustentan en la
relación que surge entre las personas y los computadores, su interés
principal es la eficiencia operativa, y trata de dar respuesta a la
interrogante ¿ Todo está funcionando bien?, Los objetivos de este SI
son los siguientes, (James, 1992):
 Ofrecer a la administración la información necesaria de manera

habitual y continua.
 No sólo ofrece datos, sino el conjunto de éstos analizados y
procesados.
 Ayudar en el proceso de planeación como una herramienta en el
desarrollo de estrategias para dar ventajas competitivas a la
organización.
 Disminuir la capacidad de dependencia de un ejecutivo en el
mecanismo de control en una organización.
 Permitir una comunicación más lateral y cruzada sobre una base
formal en una organización.
 Principalmente dar soporte en la toma de decisiones en los
altos mandos administrativos de una organización mediante el
uso de la información recabada.
50
Dentro de los SI administrativos encontramos los siguientes, que apoyan a los

Pá gina
ejecutivos de la organización en la toma de decisiones y para alcanzar sus

objetivos. Estos son, (Laudon & Laudon, 2004):

 Sistema de apoyo a la toma de decisiones (DSS): Sistema interactivo

que se basa en tecnología. este SI ayuda a la gerencia intermedia a
tomar decisiones que no son habituales. Se enfocan en problemas de
naturaleza única y que cambian con rapidez, para cuya solución tal
vez no haya un procedimiento totalmente predefinido. Este sistema
intenta dar respuesta a la interrogante ¿cual sería el impacto de
producción según las demandas del mercado?, ¿qué sucedería con
nuestro rendimiento?. Aunque Los DSS utilizan información interna de
los TPS y de los MIS, normalmente ocupan informacion de fuentes
externas. Estos SI utilizan varios modelos para el analisis de datos
para los encargados de tomar decisiones, ademas estan diseñados
para que los usuarios puedan trabajar directamente con ellos. El
objetivo principal de estos sistemas es el de apoyar, no reemplazar, las
capacidades de decisión del ser humano (Gil I. , 1997).
 Sistema de apoyo a la toma de decisiones en grupo (GDSS): Ayuda a

que la toma de decisiones sea más eficaz para todos los niveles de
usuarios individuales, ofrecen muchas herramientas útiles para el
trabajo en grupo, permiten que los documentos compuestos incluyan
aplicaciones de diferentes compañias de software. El GDSS, ayuda a
la programación, comunicación y administración conjunta de grupos de
trabajo. Sus características son, (James, 1992):
 Diseño especial
 Facilidad de uso
51
 Flexibilidad
Pá gina
 Apoyo ala toma de decisiones

 Reducción del comportamiento negativo del grupo

 Mantenimiento de registros automáticos.
 Sistemas de apoyo a ejecutivos (ESS): Ayudan a la alta

dirección a tomar decisiones, respecto a ciertas interrogantes;
¿cuáles serán los niveles de empleo dentro de cinco años?,
¿cuáles son las tendencias de los costos en la industria a largo
plazo?, ¿qué productos debemos estar elaborando dentro de
cinco años? Los ESS auxilian en las decisiones no rutinarias
que requieren juicio, evaluación y comprensión, porque no hay
un procedimiento convenido para llegar a una solución. Los
ESS están diseñados para incorporar datos sobre eventos
externos como leyes impositivas o competidores, además
extraen información resumida de los MIS y DSS internos. Filtran
comprimen y dan seguimiento a datos críticos desplegando los
datos de mayor importancia para los directores como por
ejemplo la información que es enviada a su computadora de
escritorio un panorama minuto a minuto del desempeño
financiero de la organización, con mediciones del capital de
trabajo, cuentas por cobrar, cuentas por pagar flujo de efectivo e
inventarios (Laudon & Laudon, 2004).
 Sistemas expertos: Se entiende como sistema experto como aquel

sistema informático que incorpora un conocimiento de la organización
sobre un área del comportamiento humano, suficiente para el
desarrollo técnico de forma hábil y económica. De acuerdo esto la
52
función básica de un sistema experto es la de imitar el comportamiento

Pá gina
de un experto humano, en la solución de algún problema por lo que

deberá almacenar y utilizar conocimientos de expertos sobre un

determinado campo, y resolver el problema a través de deducciones

lógicas de conclusiones, empleando técnicas de inteligencia artificial,
(Gil I. , 1997):
 SI estratégicos: Son los que ayudan a los administradores de

nivel superior (o alta gerencia) a abordar y resolver problemas
estratégicos y tendencias a largo plazo, tanto en la compañía
como entorno exterior. Dentro de sus características tenemos
las siguientes. (James, 1997):
 Suelen desarrollarse en “house”, es decir dentro de la

organización, por lo tanto no pueden adaptarse
fácilmente disponible
 Su forma de desarrollo es la base de incrementos y a
través de su evolución dentro de la organización
 Apoyan en el proceso de innovación de productos y
procesos dentro de la organización.
 Cambian significativamente el desempeño de un
negocio al medirse por uno o más indicadores clave,
entre ellos, la magnitud del impacto.
 Contribuyen al logro de una meta estratégica.
 Generan cambios fundamentales en la forma de dirigir
una compañía, la forma en que compiten o en la que
interactúas con clientes y con clientes y proveedores.
 Su función es lograr ventajas que las competitivas. Que
los competidores no sean, tales como ventajas en
53
costos, y servicios diferenciados con cliente y

Pá gina
proveedores.

Algunos SI estratégicos son, (Hernández, 2009):
ERP (Enterprise Resourse Planning): Es un sistema estratégico que cuenta

con información útil, veraz y oportuna, un requisito indispensable para el
desarrollo de las organizaciones hoy en día. Es un sistema integrado,
dinámico de toma de decisiones, que en forma independiente de su tamaño,
giro, ciclo de vida, requieren con información detallada, tanto estratégica
como de operación de sus diferentes procesos de negocio. ERP maneja los
recursos de una organización, combina funciones de varios departamentos en
una sola aplicación, con una sola base de datos para compartir información
más fácilmente y comunicarse entre ellos. Se enfoca en mejorar el proceso de
ordenes (back office); cuando un representante de ventas ingresa una orden,
encuentra toda la información necesaria para completarla, no se encarga de
procesos de venta frente al cliente. Los departamentos más complejos son
finanzas, operaciones y recursos humanos. La información es visible y
actualizable por otros departamentos, este sistema se encarga de alinear las
tareas dentro y entre departamentos y además permite ver en qué situación
se encuentra la orden de compra en cada momento. Existen tres
características principales que distinguen a un ERP y son las siguientes,
(Hernández, 2009):
 Sistemas integrales. Permiten controlar los diferentes procesos de la

organización entendiendo que todos los departamentos de una
organización se relacionan entre sí, es decir, que el resultado de un
proceso es punto de inicio del siguiente.
54
Pá gina
 Sistemas modulares: Los ERP entienden que una organización es un

conjunto de departamentos que se encuentran interrelacionados por la

información que comparten y que se genera a través de sus procesos.

Una ventaja de los ERP, tanto económica como técnicamente es que la
funcionalidad se encuentra dividido en módulos, los cuales pueden
instalarse de acuerdo con los requerimientos del cliente.
 Sistemas adaptables: Los ERP están creados para adaptarse a la

idiosincrasia de cada organización. Esto se logra por medio de la
configuración o para métrica de los procesos de acuerdo con las
salidas que se necesiten de cada uno.
Alguno de los beneficios de implementar un ERP en una organización son:

integrar información financiera, integrar información de órdenes de clientes,
ventas, inventario producción, distribución, facturación. Estandarizar y
acelerar los procesos de recursos humanos y mejorar la plataforma
tecnológica, (Hernández, 2009):
 SCM (Supply Chain Management). Administración de la cadena de

suministros: Sirve para manejar la cadena de aprovisionamiento en una
de organización, permitiendo automatizar los diferentes pasos de
producción de ésta. Clientes y proveedores trabajando juntos para
optimizar el diseño., la planeación y la utilización de recursos usados
para entregar o crear un producto o servicio final. Involucra la
coordinación de flujo de material, financieros y de información. Es un
imperativo para hacer los negocios en el mundo moderno, no basta la
eficiencia individual, (Estrada, 2011)
 CRM (Customer Relationship Management) Administración de la

55
relación con el cliente: Este se utiliza para manejar las relaciones que
Pá gina
tiene una organización con los clientes, teniendo en cuenta la cultura,

el país, las tendencias; los clientes son la razón de ser de la

organización y a su satisfacción como camino al éxito, para lograr una
mejor atención se trata de disponer de mucha información sobre los
mismos y disponer de la misma forma personalizada, cada vez que la
organización entra en contacto con el cliente por cualquier medio. Los
cambios de la tecnología o de los negocios trae consigo beneficios en
la implementación de un CRM en la organización los cuales son,
(Valda, 2012):
 Estrategia de negocios
 Optimizar la rentabilidad, ingresos y satisfacción de los
clientes
 Promueve conductas de satisfacción a los clientes
 Implementa procesos centrados en el cliente
 Clientes satisfechos gastan más y pagan más
 Clientes enojados comparten las malas experiencias
 Organización alrededor de segmentos de clientes basados
en necesidades
 Se crean experiencias de acuerdo con el segmento
 Las compañías no pueden ver a los clientes como si todos
fueran iguales
 Se trata de relaciones personales
Generalmente existen tres componentes:
 CRM operacional
56
 CRM colaborativo
Pá gina
 CRM analítico

Por último para terminar de conocer a los CRM, se puede decir lo siguiente:
 Vida única integrada al cliente

 Información disponible en tiempo real
 Mejor conocimiento y entendimiento de los clientes
 Retención de conocimiento
 Mejor uso de información
 Mejores prácticas y estándares.
57
Pá gina

CAPITULO II
Metodologías de SI que apoyen al
Control de Gestión
58
Pá gina

Metodologías de SI
En este capítulo se definirá los SI como Sistemas de Control de Gestión,

estará orientado a profundizar sobre las etapas de metodologías de un
Sistema de Control de Gestión. Un Sistema de Control de Gestión es una
técnica de dirección, porque constituye un conjunto sistematizado de
procedimientos, métodos y formas que dan soporte al conjunto de sistemas, y
que configuran al mismo tiempo un estilo y una cultura, es decir, una forma de
entender la gestión. Se dice que la técnica es de dirección, porque la
organización a través del control de gestión involucra el proceso de cambio y
transmite el estilo al resto de la organización. (Alvarez, 2005).
Por otro lado, se necesita un estilo de dirección para la implementación de un

sistema de control de gestión, necesariamente implica la delegación de
funciones y por tanto la absoluta necesidad de que todos los responsables se
involucren en el sistema de control. Por tanto la delegación representa una
forma de dirigir que implica una cesión a otros directivos, asumiendo ciertas
funciones. Estos tendrán capacidad de decisión para dirigir los recursos
humanos y administrar los recursos materiales de su área, pero también
tendrán responsabilidad, al tener que dar cuenta de los resultados de su
gestión. (Alvarez, 2005).
Entonces podemos deducir de los párrafos anteriore, que se necesita de una

cierta cultura en las organizaciones para poder echar a correr un Sistema de
Control de Gestión (SICG) para esto a continuación se planteara el
posicionamiento que deben tener los SICG dentro de una organización. (Gil I.
59
,1997).
Pá gina

Posicionamiento del SI en la Organización
Es un hecho, que SI no solo influye directamente en el funcionamiento de las

organizaciones, sino también en el propio diseño de las estructuras en las que
se basa dicho funcionamiento, es decir, en el propio diseño de la
organización. La importancia del SI como elemento clave en la estrategia y
funcionamiento de la organización en su conjunto, confirma la idea de que sus
funciones no deben estar sometidas a un único departamento, sino más bien
a la organización considerada de manera global (forma Holística). Por tanto, y
aunque el motivo más frecuente de entrada de la información en las
organizaciones, ha sido para la mecanización de tareas fundamentalmente
administrativas y operativas, estas actividades no deberían ser, en modo
alguno el objetivo último del funcionamiento de las Tecnologías de la
Información en las mismas. (Gil I. , 1997)
Etapas para la implementación del Sistema de Control de Gestión
La introducción de un nuevo SI se efectúa en tres etapas fundamentales:

planificación, diseño e implementación; en cada una de estas etapas se
producen circunstancias que pueden ocasionar posteriormente dificultades de
adopción y amenazar el éxito de estos tipos de Sistema. La planificación de SI
es una etapa fundamental en la que se definen las necesidades, las metas a
obtener y las características de los sistemas a desarrollar. (Andreu, Ricart, &
Valor, 1996).
Una metodología de planificación estratégica de los recursos del SI debe

especificar cómo una organización puede trasladar sus fines estratégicos a un
60
plan detallado de desarrollo de SI para conseguir esos objetivos. El desarrollo

Pá gina
de un plan estratégico para el SI para la gestión proporciona una oportunidad

para que la organización considere explícitamente como debería explotar las

crecientes capacidades de la tecnología de la información. (Bravo, 2006).
Planificación
Esta etapa en el proceso de implementación de un Sistema de control de

Gestión, es la que debería tomar más dedicación y tiempo. Necesita de un
análisis profundo, sobre la situación actual que se encuentra la organización,
cuáles son sus metas a largo y corto plazo, valores, misión, visión y un sin fin
de factores que servirá conocerlos, para que el Sistema de Información de
Control de Gestión se encuentre alineado con la estrategia de la organización.
Algunos autores mencionan que todo el proceso de desarrollo e
implementación de SI deberá ser regulado por una variable central que es el
Alineamiento con la organización, es decir, que el papel del SI sea coherente
con la estructura del sector que la organización opera, sus estrategias
competitivas y su estructura organizativa. (Gil I. , 1997).
Para que se garantice este alineamiento será necesario seguir con las
siguientes etapas, (Andreu, Ricart, & Valor, 1996):
 Presentación y compromiso del equipo: será necesario para el éxito del

plan de SI que el primer paso apadrinamiento lo dé la Dirección
General, exigiendo su preparación y comprometiéndose a apoyar el
proceso de elaboración del mismo.
 Descripción de la situación actual: el objetivo de esta etapa seria la

61
identificación de funciones de negocio y los flujos de información

Pá gina
asociados a éstas, así como el grado de cobertura que la informática

actual otorga a los mismos.

 Elaboración del plan: Esta fase lleva a cabo la planificación

propiamente dicha, documenta las necesidades de información de
cada una de las funciones y procesos de negocio y formula propuestas
de actuación que incidan de manera directa en las estrategias más
importantes de la organización. (Andreu, Ricart, & Valor, 1996).
 Programación de Actividades: En esta fase se detallan las acciones

específicas en forma de proyectos que llevarán a cabo durante el
primer año de vigencia del plan. (Andreu, Ricart, & Valor, 1996).
Organización del proyecto
“Uno de los factores que permiten obtener el éxito en la ejecución del

proyecto es la organización del mismo, en lo que respecta tanto a la labor de
dirección como a la labor de ejecución. Por tal motivo, deben de formarse
grupos de trabajo que apoyen directa e indirectamente con la ejecución del
proyecto, estos grupos de trabajo son”, (Padilla, 2006):
 Comité de Dirección, el cual cumple un rol fundamental, porque de

acuerdo a sus aportaciones se determinaran las características del
sistema. Generalmente el Comité de Dirección se encuentra
conformado por los siguientes responsables:
 Responsable(s) de la(s) Unidad(es) que afecta el sistema.
 Responsables de la gestión dentro de la Unidad.
 Responsables de los servicios comunes de la administración
(programación, presupuestos, recursos humanos).
62
Pá gina
 Director del Proyecto, es el encargado de dirigir el proyecto, quien

a su vez, deber ser un directivo de alto nivel.

 Equipo de Proyecto, el cual está integrado por personal de

tecnología de información y personal técnico calificado de la unidad.
 Grupo de Usuarios, se encarga de proporcionar las especificaciones

necesarias para el diseño del sistema; este grupo está conformado
por usuarios con conocimiento profundo de las funciones a realizar
por el sistema.
 Especialistas en Sistemas, dadas las características específicas de

esta fase, se hace imprescindible la participación de especialistas en
tecnología de información (comunicaciones, equipos físicos, equipos
lógicos).
 Grupo de Calidad, este grupo, tendrá como misión verificar los

trabajos que se realicen de acuerdo a la metodología definida, así
como validar el cumplimiento de las funciones del sistema. Por lo
tanto, este grupo debe estar constituido por personal con
conocimiento en metodologías de desarrollo y con experiencia en
las competencias principales de la unidad.
Cabe señalar que la constitución de estos grupos de trabajo depende

principalmente del tamaño del proyecto y la participación activa de los
usuarios, la cual es imprescindible, ya que ellos tienen conocimiento de la
definición clara de los requisitos que ha de cumplir el sistema, (Padilla,
2006).
63
Pá gina

Interrelación con la Fase de Planeamiento de Sistemas
El plan de sistemas de una institución, proporciona documentación necesaria

para el desarrollo de SI, desde la etapa de análisis hasta la fase de
implementación. Por lo tanto, el plan de sistemas proporcionará a la fase de
diseño, documentación asociada al nuevo entorno tecnológico y las técnicas
de gestión con que cuenta la Institución. A su vez, el diseño de Sistemas,
influirá sustancialmente en el mantenimiento realizado al plan de
sistemas; por lo tanto, es recomendable ejecutar estas fases
conscientemente. (Braniff, 2012).
Interrelación con la Fase de Análisis de Sistemas
El Análisis de Sistemas, es una fase donde se especifica la arquitectura

lógica del nuevo sistema, proporcionando así un conjunto de especificaciones
funcionales que se emplearan en la fase de diseño para determinar la
arquitectura física del sistema. Cabe señalar que en el caso se haya
diseñado un sistema de información sin haber realizado previamente un
análisis del sistema, este no será confiable y en la mayoría de los casos no
satisface los requerimientos de información de los usuarios. (E, Kendall,
Kendall, & Julie, 2005).
Documentación Requerida
Aprobada la ejecución de la Fase de Diseño de Sistemas en la organización

por parte de la Dirección, el equipo del proyecto debe identificar y recoger
64
la información existente sobre otros estudios realizados en la misma, de esta

Pá gina
manera se cuenta con información de base para la ejecución del diseño.

(Empleo, 2005).

Entre los principales documentos que son necesarios identificar antes de

iniciar el estudio de implementación de un sistema de información se deben
analizar los siguientes procedimientos, (Empleo, 2005):
 Plan estratégico (si existe).

 Plan de sistemas (si existe).
 Análisis de sistemas.
 Diseño de sistemas (si existe).
 Ley orgánica, organigramas.
 Reglamento de Organización y Funciones.
 Manuales y metodologías de trabajo.
 Relación de directores del centro directivo.
 Relación de usuarios.
 Otro tipo de información que facilite el diseño de sistemas.
Productos a obtener
En el transcurso del desarrollo del proyecto se obtendrán una serie de

documentos asociados a la fase, los cuales se pueden clasificar de la
siguiente manera, (Pablos, López, Martin, Medina, Montero, & Nájera, 2008):
 Documentos de Gestión: Estos documentos serán elaborados por el

Director del Proyecto en coordinación con los analistas, siendo los
siguientes:
 Informe sobre el alcance del proyecto.

65
 Informe sobre la organización del proyecto.

Pá gina
 Plan inicial de trabajo.

 Actualización del plan inicial de trabajo

 Informes de seguimiento mensual o según establezca el Grupo
de Calidad.
 Documentos Técnicos: los documentos técnicos que se obtendrán

como producto del desarrollo de la fase de diseño de sistemas son los
siguientes:
 Documento de Diseño Técnico (DDT): diseño de la arquitectura

del sistema, diseño físico de datos, entorno tecnológico del
sistema, especificaciones del plan de desarrollo e implantación,
control de calidad del diseño técnico.
 Documento de Operación (DOP): procedimientos de operación

de los componentes del sistema, procedimientos de seguridad y
control.
 Plan de Pruebas del Equipo Lógico del Proyecto (PPRB): diseño

del plan de las pruebas del sistema, definición del entorno de
pruebas.
Los tres documentos técnicos descritos anteriormente, se integrarán en

uno denominado diseño de sistemas, y serán presentados por el grupo de
trabajo como documento final de la fase.
Diseño del SI
66
Concluida la planificación de un Sistema se inicia la fase del diseño del

mismo, definiendo en detalle sus características, desarrollando prototipos,
Pá gina
aplicaciones y especificaciones físicas del sistema, que constituyen el punto

de partida para la construcción del mismo. Para que el diseño tenga éxito se
requiere compromiso y sentido de propiedad del Sistema por parte de la
organización. Asimismo, necesita una metodología de trabajo que permita que
los participantes en el proyecto aprendan paulatinamente para suavizar el
impacto organizativo del nuevo Sistema. El diseño tiene que incluir
consideraciones especificas y, por parte de la organización, un necesario
aprendizaje del Sistema, el negocio y las tecnologías implicadas. No cumplir
estas condiciones puede ser la razón del fracaso de algunos sistemas. (E,
Kendall, Kendall, & Julie, 2005).
Los diseñadores del Sistema
Los diseñadores son responsables de la administración y el control de la

realización técnica de los Sistemas. Las especificaciones detalladas de
programación, la codificación de los datos, la documentación, las pruebas y la
capacitación son responsabilidad del equipo de diseño; además, los
diseñadores son responsables del suministro actual del hardware, de los
consultores y el software que se necesiten para el Sistema. El diseñador
detalla las especificaciones del Sistema que darán las funciones identificadas
durante el análisis. (Fernández V. , 2006).
Diseño de la Estructura Lógica del Sistema
El diseño lógico representa los componentes del Sistema y sus relaciones

mutuas, tal y como aparecerán ante los usuarios, muestra, pues, lo que la
solución sistémica hará en contraposición al modo en que está implantada
67
físicamente en la actualidad. (Ralf & Reynolds, 1999).

Pá gina

Diseño de la Estructura Física del Sistema
Aquí se realiza una descripción detallada de cómo va ser el sistema desde

un punto de vista físico, donde el analista de sistemas usa el catálogo de
requisitos de sistemas elaborado en la fase de análisis de sistemas. Así
mismo, el diseño y procedimiento de captura de datos, accesos efectivos al
SI, se realizan mediante el uso de las técnicas de diseño de formas de
pantalla, también se incluye el diseño de los archivos de la base de datos y
de los diferentes componentes los que entre otros servirán para almacenar la
información requerida para la toma de decisiones de la organización.
(Aranzadi) citado por (Blásquez, Martinez, & José).
Componentes de un Sistema de Información para la Gestión
 Base de Datos: La base de datos puede ser utilizada como un

importante instrumento estratégico, pues en ella se encuentra una
información integral detallada sobre los consumidores existentes y
potenciales, y sobre sus servicios actuales y futuros. A través de ella se
puede obtener un elevado nivel de contacto con la clientela, nuevos
canales alternativos de ventas, obtener barreras de entrada a las
nuevas organizaciones y crear nuevos productos y servicios.
(Marquez, 2001).
 Internet como fuente de información y canal de distribución: Internet es

una fuente de información primaria o secundaria. En general, es más
utilizada como una fuente de información secundaria, ya que los datos
68
permanecen expuestos. En otros casos es considerada una fuente de

Pá gina
información primaria, por ejemplo, cuando se aplica una encuesta con

el objetivo de una investigación vía correo electrónico. Las fuentes de

los datos secundarios pueden ser encontradas en Internet en
publicaciones gubernamentales como boletines, informes, etc.; los
datos están disponibles y el coste único es el que supone estar
conectado a la red. (Marquez, 2001).
 Las funciones de información y características en un sistema de

información para la gestión: (Cañavete, 2003).
Las funciones básicas de tratamiento de la información son, (Cañavete,

2003):
 Entrada de datos: le sirve al sistema de información de gestión

(en adelante SIG), de función sensorial para mantenerse en
contacto con el mundo físico; el sistema tiene que hacer frente a
un aluvión de datos relativos a los sucesos del mundo real.
 Almacenamiento de datos: la colección de datos almacenados

constituye la base de datos del SIG. Dicha base proporciona una
analogía del mundo real que se utiliza para evaluar las
condiciones actuales, analizando sucesos pasados, generando
planes para acciones futuras y controlando la ejecución de los
planes.
 Cálculo: incluye no solamente datos matemáticos, sino también

manipuladores de datos. Puede comparar valores y adoptar
diversas acciones basadas en resultados.
69
Pá gina
 Presentación de la información: lo hace a través de diferentes

dispositivos de entrada y salida. Es un modo de comunicarse

con el mundo exterior para obtener la entrada de datos y para

hacer disponibles los resultados.
 Comunicaciones: para servir de sistema nervioso central de la

organización, el SIG debe relacionar cosas entre sí por medio de
las comunicaciones.
Los SI deben presentar una serie de características:
 Precisión, de forma que la información final carezca de errores.

 Oportunidad, para que la información se obtenga en el momento en
que se necesita.
 Capacidad de proceso, a fin de proporcionar todos los datos que se
demandan de una sola vez y evitar retrasos.
 Concisión, lo cual posibilita la presentación de resúmenes para que la
información de salida sea legible y fácil de manejar.
 Relevancia, que permite establecer niveles y prioridades en la toma de
datos de su proceso y salida del sistema.
 Disponibilidad de acceso a la información siempre que sea necesario.
 Seguridad, proporcionar medios eficaces de protección de la
información, llegando incluso a establecer niveles de acceso a los
sistemas en función del puesto del usuario en la organización de la
organización. 70
Pá gina

Prioridades de los componentes del Sistema de Control de Gestión.

(Gonzalez, 2003):
Componentes Prioridad
Alta Media Baja

Definición de Control de Gestión en la X
organización
Planificación estratégica a largo plazo X
Existencia de un responsable del control de X
gestión o controller.
Existencia de un sistema de control interno X
Sistema informatizado de contabilidad X
Sistema de Información Integrado ERP X
Utilización de técnicas de benchmarking X
Sistema de protección de la información y X
seguridad informática
Evaluación y conocimientos de los riesgos X
fiscales
Debe existir un conjunto de indicadores de X
control de gestión.
Debe estar definido y documentado todo el X
proceso de cierre mensual
Implementación del Sistema
Diseñado el Sistema, éste debe implementarse en la organización una vez

realizadas las etapas de planificación y diseño de una forma adecuada; de lo
71
contrario, cualquier intento de implementación será un fracaso. La

Pá gina
implementación de un nuevo Sistema debe ejecutarse como un proceso

evolutivo. Las tareas que hay que realizar durante el lanzamiento se pueden
resumir de la siguiente manera: preparación del lugar físico, adquisición e
instalación de hardware. (Empleo, 2005).
En general, los fallos en los proyectos de información tienen su origen en

problemas de dos tipos: tecnológicos (es posible que un hardware no haya
sido seleccionado de forma conveniente o que el proveedor no sea el idóneo)
y de diseño (problemas de dirección del proyecto). Por otra parte, se puede
decir que en cada una de las fases del proceso, planificación, diseño e
implementación, existen tres variables fundamentales que se deben controlar:
en primer lugar, alineación con la estrategia y la organización, en segundo,
compromiso, soporte y propiedad del sistema y finalmente, competencia y
aprendizaje. La implementación del Sistema puede ser desarrollada de dos
maneras alternativas: parcial en varios tiempos o total en un sólo tiempo.
La elección es del directivo y hace que la misma parezca mejor para la

organización. En general, cuando es parcial el Sistema fue desarrollado
dentro de la entidad y cuando la implementación es total en un sólo tiempo el
Sistema fue adquirido por la entidad; obviamente en este último caso la
implementación puede ser también parcial. En esta fase el directivo debe
preparar la documentación informativa necesaria para los diversos usuarios,
adiestrar a todos los usuarios de Sistema, supervisar la implementación de
todas sus partes y hacer una valoración del mismo entre otros. (Laudon &
Laudon, 2007).
72
Principales Barreras para la Implementación del sistema de control de

Pá gina
Gestión.

A través de la experiencia y estudio de diferentes casos reales surgen una

serie de barreras a la implementación del sistema de control de Gestión que
tiene dos efectos negativos para la gestión y futuro de la organización, la
primera es que se pone en riesgo su futuro por no poder prever los
acontecimientos que pueden afectar a su funcionamiento y el segundo que
gracias a situaciones como son tener unos resultados aceptables, unas
ventas correctas, etcétera, no se analiza todo lo que la organización puede
ganar de mas o perder de menos, estos dos efectos son el valor añadido que
aporta el sistema de control de gestión.
BARRERAS CONSECUENCIAS
El responsable máximo de la organización Aunque se esté aparentemente en una
desconoce las ventajas aportadas por un situación muy positiva de la organización
sistema de control de gestión eficaz. cabe plantearse si no podría ser mejor o
como estará en el futuro
Los directivos de la organización no Es una situación más cómoda para el
colaboran en la implantación del sistema, no directivo disponer de una información mínima
quieren ni ser controlados, ni auto porque así las justificaciones y explicaciones
controlarse. también son mínimas dedicando un esfuerzo
menor.
La tergiversación de los datos por parte de Cuando se sustituye la gestión de
los directivos implicados es muy elevada. organizaciones por contabilidad creativa
ningún sistema de control de gestión es
válido y el responsable de control de gestión
debe abandonar la organización.
El responsable principal y los directivos no Analizar, indagar, pensar en cómo mejorar e
utilizan el sistema de control de gestión como implicarse más en la gestión de la
herramienta de información. organización es una situación poco cómoda
para algunos directivos de la que huyen por
73
estar incapacitados para poder tomar

Pá gina
decisiones.
La organización no tiene una planificación En este caso el sistema de control de gestión

estratégica definida. es fruto de la improvisación y es muy posible

que sus componentes estén poco
desarrollados y los objetivos no existan, al
menos que estén bien documentados.
Los responsables de la organización piensan En toda organización debe existir un sistema
que por el tipo y volumen de organización no de control con un mínimo de prestaciones
hace falta tener un sistema de control de porque de lo contrario se hace muy difícil
gestión. controlar su evolución y los resultados con un
mínimo de garantías.
Métodos alternativos para la adquisición de sistemas
Una vez que se analizan las variables que impactan en la calidad del
desarrollo de Sistemas y se conoce el ciclo de vida, es importante que una
organización u organización considere tres diferentes fuentes o maneras de
proveerse de los mismos, (E, Kendall, Kendall, & Julie, 2005):
 El método tradicional consiste en desarrollar el Sistema internamente

en la organización o contratar servicios externos para ello. De este
modo se desarrolla un Sistema específico para las necesidades de una
organización en particular, en la mayoría de los casos se utiliza para
desarrollar Sistemas estratégicos, ya que no existen similares en el
mercado.
 La compra de paquetes, que consiste en adquirir conjuntos de

programas ya desarrollados y terminados, o desarrollados de manera
parcial por otras compañías que se encuentran en el mercado de
74
desarrollo de software.
Pá gina

 El cómputo del usuario final: de este modo el usuario final del sistema
será el que desarrolle sus propias aplicaciones, para ello utiliza las
herramientas computacionales disponibles como paquetes y lenguajes
de última generación. Normalmente se requieren conocimientos
profundos de programación para este tipo de aplicación.
Las fases de que consta el método tradicional son las siguientes, (Fernández
V. , 2006):
 Factibilidad: que consiste en realizar un estudio para determinar cómo

es de factible el desarrollo del proyecto, considerando los aspectos
técnicos y económicos.
 Análisis: fase en la que se determinan las especificaciones del usuario

del Sistema, se pronostican los recursos que serán necesarios y se
estima el tiempo de desarrollo. En esta fase se definen los datos que
se van a introducir la información procesada que se genera vía
informes o pantallas de consultas.
 Diseño: una vez realizado el análisis se prosigue con la fase de

diseño, en la cual se traduce el análisis en forma de pasos o algoritmos
que constituirán la base para la programación. En esta etapa se
diseñan los procedimientos que servirán para cumplir el objetivo del
Sistema y la forma de entrada de los datos.
 Programación: consiste en elaborar los programas considerados en el

diseño para cumplir con lo especificado por el usuario; si la fase
anterior se realizó adecuadamente, los encargados de desarrollar los
75
programas sólo deberán seguir la secuencia específica del diseño. En

Pá gina
esta fase se inicia la elaboración de la documentación del Sistema, la

cual servirá para que el usuario sepa cómo operarlo y qué hacer
cuando se presente un problema.
 Pruebas: con ellas se verifica si el Sistema cumple con las

especificaciones del usuario y su correcto funcionamiento, es decir, se
prueba que haga y bien lo que el usuario desea.
 Implementación: consiste en instalar el Sistema en el ambiente en

que operará y en realizar los procesos necesarios para que opere
correctamente.
 Operación: el usuario utiliza el Sistema desarrollado en el ambiente

real de trabajo, es decir, trabaja con él para cumplir los objetivos
deseados en el momento de definirlo. Con todo, el proceso de
desarrollo de Sistemas implica muchos riesgos, sobre todo en sus
fases iníciales, en las cuales debe quedar bien definido. Las
organizaciones al iniciar el desarrollo de un Sistema deben asegurase
desde las fases iníciales de la calidad total del mismo. Esto supone
controlar el Sistema durante todo el proceso de desarrollo,
estableciendo responsabilidad activa a los usuarios; asimismo, se
deben hacer revisiones rutinarias estructuradas con el fin de
monitorizar todo el proceso, detectar problemas y considerar
soluciones para la corrección de los problemas detectados durante el
proceso de desarrollo.
El método de la compra de paquetes difiere en varios aspectos del método

tradicional; el desarrollo de un Sistema utilizando el método tradicional abarca
todos los costes asociados a él, es decir, el pago de las personas que
76
participan en el proceso y el uso del equipo para el desarrollo. La opción de

Pá gina
comprar un paquete debe cubrir el coste del paquete y el de las

modificaciones necesarias para adecuarlo a las necesidades de la

organización. Los paquetes de software de aplicaciones son conjuntos de

programas pre codificados y prescritos que están disponibles para ser
adquiridos o rentados; cuando esto sucede, se elimina la necesidad de
escribir programas de software al desarrollar un Sistema de información y
disminuye también la cantidad de diseño, pruebas, instalaciones y trabajo de
mantenimiento. Los paquetes han florecido porque existen muchas
aplicaciones comunes a todas las instituciones y negocios. Con un paquete
de software, los costes para desarrollar un nuevo Sistema pueden reducirse
considerablemente. (Amaya, 2009).
El paquete ofrece la posibilidad de beneficiarse de las experiencias de otras

organizaciones y de las nuevas tecnologías. Al mismo tiempo, la
administración puede ser convencida más fácilmente de que debe apoyar el
nuevo Sistema de información basado en paquetes porque los principales
costes de software parecen fijos. No hay que olvidar que los paquetes pueden
sufrir modificaciones para satisfacer los requerimientos específicos y únicos
de una institución sin destruir su integridad. (Laudon & Laudon, 1996).
Las herramientas de los SI en apoyo al control de gestión
Indicadores de Control de Gestión (Atehortúa, 2005)
Los mercados actuales cada vez son más competitivo y se empeñan en dar el
dar el mejor servicio y calidad al cliente, las organizaciones se enfrentan a
nuevas situaciones que necesitan ser controladas y para ello los SI pueden
77
otorgar mediante el diseño de indicadores de Control de Gestión, una

Pá gina
herramienta de trabajo que servirá para controlar mejor los diferentes tipos de

negocio. Todo ello implica que el diseño de los indicadores de Control de

Gestión tengan que adaptarse a las necesidades de cada organización y de
esta manera poder detectar a tiempo problemas futuros, siendo este el
objetivo principal del diseño de los Indicadores. A continuación se describe
una serie de aspectos o características que se deben tener en cuenta en el
momento de diseñar los indicadores de Control de Gestión, (Atehortúa, 2005):
 Definir el tipo de negocio, analizando las características que puedan

tener relación con el diseño de indicadores.
 Identificación de los aspectos claves del negocio que servirán de punto

de partida del diseño de indicadores.
 Diseño de los indicadores de Control de Gestión, analizando y dando la

pauta para poder diseñarlos según los diferentes tipos de producto o
servicios y las áreas o forma de controlar la actividad empresarial.
Principales consecuencias de la no existencia de indicadores de Control

de Gestión adecuados.
Es muy importante dar a conocer cuáles son algunas de las principales

consecuencias que afectan a la organización por no disponer de un Sistema
de Indicadores eficaz, completo y con rapidez para informar, (Muñiz, 2003):
 No sabemos cuál es el nivel de satisfacción de los servicios prestados

a los clientes.
 No se dispone de un índice de la rentabilidad de los clientes y de los

78
diferentes tipos de servicios.

Pá gina
 Se desconocen los resultados de la actividad de promoción comercial.

 No se puede medir el cumplimiento de los objetivos fijados a los

diferentes responsables.
El Reporting
Es necesario que la organización posea un SI que resuma en qué situación se

encuentra, analizando todas sus áreas y los resultados conseguidos por los
responsables de estas. Entonces se define al Reporting de Control de Gestión
como un SI que permite tener una visión global de la situación o del estado de
la organización, mediante todo tipo de indicadores de gestión y cualquier otro
tipo de información externa o interna a la propia organización. Este Reporting
de Control de Gestión facilita la toma de decisiones y permite conocer el
estado de cumplimiento de los objetivos fijados por la estrategia a la Dirección
y a los diferentes responsables. (Muñiz, 2003).
Objetivos del Reporting de Control de Gestión, (Accid, 2010):
 Sirve de apoyo para la toma de decisiones a la dirección y al resto de

responsables.
 Permite a los diferentes responsables medir como se ha cumplido su

gestión.
 Se utiliza como herramienta de seguimiento de los objetivos fijados en

el presupuesto.
 Permite evaluar la situación actual de la organización con los

indicadores de control de gestión, analizando las causas y efectos de
79
las desviaciones.
Pá gina
 Se consigue medir la situación y evolución de los aspectos críticos.

 Permite corregir las desviaciones implicando a los diferentes

responsables.
 Medir la situación de los efectos del entorno que afectan a la

organización.
 Facilita información por diferentes tipos de áreas, departamentos y

responsables, con un control previo a la realización de la actividad.
Contenido del Reporting del Control de Gestión
El contenido de Reporting de Control de Gestión se puede dividir en dos

tipos de información; la interna y la externa a la organización. La primera
siempre debe tener un formato más estable y la segunda será variable en
función de las circunstancias. Su presentación debe ser en formato
electrónico o en papel, pudiéndose utilizar todo tipo de herramientas
informáticas. Todas las explicaciones deben ser soportadas y justificadas.
Su periodicidad como mínimo debe ser mensual. (Muñiz, 2003).
Los informes de Control de Gestión
La necesidad de información dentro de una organización es de vital

importancia, porque permite a los responsables planificar la evolución de la
misma, analizarla de diferentes formas y poder analizar los Informes como
control del cumplimiento final de los objetivos a conseguir. Por todo lo anterior
los informes de diferente forma y manera permiten mantener informados a los
80
diferentes responsables para que controlen su actuación en el cumplimiento

final de la consecución de objetivos y les ayuda a tomar decisiones en el caso
Pá gina
de que existan desviaciones. Pero es fundamental que se tengan en cuenta

una serie de características que deben cumplir los diferentes tipos de

informes. (Parra, 1998):
 Periodicidad o frecuencia de los informes: Los informes deben ser

presentados en el momento oportuno. Se deben definir los períodos o
plazos de presentación.
 Los informes deben cumplir características en función del objetivo a

medir: Pueden ser informes que comparen los diferentes datos o
períodos. Pueden ser informes que comparen datos presupuestados o
reales. Deben ser precisos y no dar una información ambigua.
 Los informes deben estar orientados a que el responsable pueda

controlar su gestión: Los informes deben estar preparados para que los
responsables controlen sus objetivos a cumplir, deben ser necesarios
para poder realizar un trabajo de dirección.
 Los informes deben ser concretos respecto a lo que van a medir: La

cantidad de la información no es la calidad de la misma, se debe
dosificar muy bien lo que se entrega en cada informe.
 Los informes deben contener información fiable y precisa: La calidad

de la información viene dada por dos factores importantes; la fiabilidad
entendida como validez de los datos para tomar decisiones y la
precisión que se requiera.
Tipos de informe por áreas de organización
Es necesario que el programador pueda disponer de una herramienta clave

81
del SI, que consiste en un detalle de los informes que sean necesarios en la
Pá gina
organización por área de responsabilidad. Es importante aclarar que un

informe puede contener la evolución en el tiempo de los indicadores, de cifras

de ingreso y gastos, de cantidades etc., se trata normalmente de presentar los
datos estructurados de una forma que se puedan analizar y faciliten un
análisis y conclusión. Para ello hay que tener en cuenta tres factores en el
momento de diseñar los diferentes tipos de informes, (Muñiz, 2003):
 El nombre o código del informe a utilizar
 La periodicidad (que será diferente en función de las necesidades de

cada organización y del responsable del concepto que se está
midiendo).
 El objetivo que persigue cada informe en el momento de ser entregado.
82
Pá gina

CAPITULO III
Cómo las organizaciones
adoptan los SI y su aporte en el
control de gestión
83
Pá gina

El control interno en las organizaciones
El creciente proceso de globalización económica significa una dispersión de

la propiedad de la organización y, la separación entre propiedad y dirección,
la vinculación del propietario a la organización no es tan fuerte como antes en
las que los dueños estaban ligados a la organización a través de varias
generaciones y en ellas habían barreras de salida tipo emocional muy fuertes.
La situación actual de las medianas y grandes organizaciones ha hecho que
en las mismas haya un proceso de despersonalización para poder atender al
volumen y complejidad de las mismas. Esta situación ha colaborado en que
se pueda realizar un trabajo más serio y profundo en cuanto a sus actividades
y el control de estas. Las organizaciones actualmente están muy interesadas
en revisar la situación en la que se encuentra el control interno de las
actividades que se realizan en ella. El control interno se encuentra entre las
funciones administrativas planificar, organizar, dirigir, coordinar y controlar las
actividades de una organización y el accionar de sus integrantes. El control
como parte importante de la administración puede visualizarse como el
conocimiento y dominio de lo que está sucediendo para tener seguridad en
cuanto a que las operaciones involucradas en las distintas actividades de la
organización y las acciones de los miembros de ella se orienten realmente a
cumplir los objetivos y planes previamente establecidos, la responsabilidad
del control es integral todos los integrantes de la organización tienen una
cuota de responsabilidad en el sistema de control. (Horwath, 2009-2010).
La necesidad de control en las organizaciones surge naturalmente como

consecuencia de evaluar las actividades, procedimientos, políticas, con la
finalidad de dar cumplimiento a los planes y objetivos, para así colaborar a la
84
gestión y apoyar con información lo más confiable posible a una buena toma
Pá gina
de decisiones. El control interno dentro de una organización es imprescindible

debe existir esta acción permanente en toda organización, en todos sus

niveles y en todas sus funciones porque esto contribuye al éxito y a su
competitividad. (Muñiz, 2003).
El sistema de control interno en una organización comprende elementos

manuales y automatizados, la utilización de estos en el control interno
afecta al modo en que se inician, registran, y procesan las transacciones y
se informa sobre ellas. Estas son, (Valenciana, 2013):
 Los controles en un sistema manual: Pueden comprender

procedimientos tales como aprobaciones y revisiones de
transacciones, así como conciliaciones y seguimiento de las partidas
en conciliación. De forma alternativa, es posible que la organización
emplee procedimientos automatizados para iniciar, registrar y
procesar transacciones e informar sobre ellas, en cuyo caso los
documentos en papel se sustituyen por registros de formato
electrónico. Una de las situaciones que se presentan es que los
elementos manuales en el control interno pueden ser menos fiables
que los elementos automatizados, es debido a que pueden ser
fácilmente evitados, ignorados o eludidos y también a que están más
expuestos a simples errores y equivocaciones. Otra de las situaciones
que se presentan en el control interno de elementos manuales es que
son más adecuados cuando se requiera hacer uso de juicio y
discrecionalidad como por ejemplo en las siguientes circunstancias:
 Transacciones importantes, inusuales o poco recurrentes.

85
 Circunstancias en la que los errores son difíciles de definir,

Pá gina
anticipar o predecir.

 En circunstancias cambiantes que requieren una respuesta de

control que esta fuera del alcance de un control automatizado
existente.
 Al realizar el seguimiento de la eficacia de los controles

automatizados.
 Controles en los sistemas de TI: Consisten en una combinación de

controles automatizados (por ejemplo, controles integrados en
programas informáticos) y de controles manuales, además estos
controles pueden ser independientes de las técnicas de información,
pueden utilizar información producidas por las TI, o pueden limitarse al
seguimiento del funcionamiento efectivo de las TI y de los controles
automatizados, así como al tratamiento de las excepciones. Cuando se
utilizan las TI al iniciar, registrar , procesar o notificar transacciones u
otros datos financieros para su inclusión en los estados financieros, los
sistemas y programas pueden incluir controles relacionados con las
correspondientes afirmaciones en el caso de cuentas materiales o
pueden ser decisivos para un funcionamiento eficaz de los controles
manuales y automatizados en su control interno este varía según la
naturaleza y complejidad de la utilización de las TI por la
organización.
Importancia del control interno en la organización
La importancia de tener un buen sistema de control interno en las

organizaciones, se ha incrementado en los últimos años, esto debido a lo
práctico que resulta medir la eficiencia y la productividad al momento de
86
establecer en la organización un sistema que se encargue de ello; en especial

Pá gina
si se centra en las actividades básicas que ellas realizan, pues de ello

dependen para mantenerse en el mercado. Es bueno resaltar, que la

organización que aplique controles internos en sus operaciones, conducirá a
conocer la situación real de las mismas, es por eso, la importancia de tener
una planificación que sea capaz de verificar que los controles se cumplan
para darle una mejor visión sobre su gestión. Por consiguiente, el control
interno percibe el plan de organización en todos los procedimientos
coordinados de manera coherente a las necesidades del negocio, para
proteger y resguardar sus activos, verificar su exactitud y confiabilidad de los
datos contables, así como también llevar la eficiencia, productividad y
custodia en las operaciones para estimular la adhesión a las exigencias
establecidas por la gerencia. De lo anterior se desprende, que todos los
departamentos que conforman una organización son importantes, pero,
existen dependencias que siempre van a estar en constantes cambios, con la
finalidad de afinar su funcionalidad dentro de la organización. Siendo las
cosas así, resulta claro, que dichos cambios se pueden lograr con adecuados
controles internos, los cuales sean capaces de salvaguardar y preservar los
bienes de un departamento o de la organización, el control interno se
entiende de forma integral en esta en todos los niveles y en todas sus
funciones de manera que apoye así a la eficiencia y eficacia de todas las
actividades de la organización entregando confiabilidad en la gestión que
debe realizar la Gerencia en la consecución de sus objetivos a corto y largo
plazo, (Catácora, 1996).
En la perspectiva que aquí adoptamos, podemos afirmar que un

departamento que no aplique controles internos adecuados, puede correr el
riesgo de tener desviaciones en sus operaciones, y por supuesto las
87
decisiones tomadas no serán las más adecuadas para su gestión e incluso

Pá gina
podría llevar al mismo a una crisis operativa, por lo que, se debe asumir una
serie de consecuencias que perjudican los resultados de sus actividades.

Después de revisar y analizar algunos conceptos con relación al control, se

puede expresar que estos controles nos permiten definir la forma sistemática
de como las organizaciones han visto la necesidad de realizar controles
administrativos en todas y cada una de sus operaciones diarias. Dichos
controles se deben establecer con el objeto de reducir el riesgo de pérdidas y
en sus defectos predecir las mismas. Sea cual sea la aplicación del control
que se quiere realizar para la mejora organizativa, existe la posibilidad del
surgimiento de situaciones inesperadas. Para esto es necesario aplicar un
control preventivo, Para evaluar la eficiencia de cualquier procedimiento de
control, es necesario definir los objetivos a cumplir. "el control aplicado a la
gestión tiene por meta la mejora de los resultados ligados a los objetivos”.
Esto deduce la importancia que tienen los controles y en tal sentido. (Poch,
1992).
Se debe destacar que el sistema de control tiende a dar seguridad a las

funciones que cumplan de acuerdo con las expectativas planeadas.
Igualmente señala las fallas que pudiesen existir con el fin de tomar medidas
y así su reiteración. Entrando más de lleno en el tema central, el control
interno es todo un sistema de controles financieros utilizados por las
organizaciones, y además, lo establece la dirección o gerencia para que los
negocios puedan realizar sus procesos administrativos de manera secuencial
y ordenada, con el fin de proteger sus activos, salvaguardarlos y asegurarlos
en la medida posible, la exactitud y la veracidad de sus registros contables;
sirviendo a su vez de marco de referencia o patrón de comportamiento para
que las operaciones y actividades en los diferentes departamentos de la
organización fluyan con mayor facilidad. Tomando en cuenta que el control
88
interno usa como base o instrumento de control administrativo, y que

Pá gina
igualmente abarca el propósito de organización, de procedimientos y

anotaciones dirigidas con la única finalidad de custodiar los activos y a la

confiabilidad de la información. "Una función de la gerencia será tener por

objeto salvaguardar, y preservar los bienes de la organización, evitar
desembolsos indebidos de fondos y ofrecer la seguridad de que no se
contraerán obligaciones sin autorización". (Holmes, 1994)
Control interno
Es el sustento del control gestión, muchas veces se le relaciona con la

auditoria a los estados financieros de la organización, ya que es el
profesional auditor quien para establecer el alcance, oportunidad y
profundidad de las pruebas y procedimientos comienza por evaluar la
calidad del control interno. Este es concebido como un sistema que abarca
en forma integral a toda la organización, el cual debe obligatoriamente ser
concebido por los miembros directivos, ejecutivos y mandos medios. Es
preciso señalar que la responsabilidad de los controles es de la Gerencia
General de la organización y no es delegable a nadie, sin embargo el diseño
de estos lo realizan los auditores internos o una firma de auditoría externa.
(Emprenden, 2013).
El Control Interno ha sido preocupación de la mayoría de las organizaciones,

aunque con diferentes enfoques y terminologías, lo cual se puede evidenciar
al consultar los libros de texto que existen de auditoría, los artículos
publicados por organizaciones profesionales, universidades y autores
individuales. "un sistema de control interno se establece bajo la premisa del
concepto de costo/beneficio. El postulado principal al establecer el control
89
interno diseña pautas de control cuyo beneficio supere el costo para

Pá gina
implementar los mismos". Es notorio manifestar, que el control interno tiene

como misión ayudar en los objetivos generales trazados por la organización, y

esto a su vez a las metas específicas planteadas que sin duda alguna
mejorará la conducción de la organización, con el fin de optimizar la gestión
administrativa. Sin embargo sobre este punto, es importante señalar que, para
que un control interno rinda su cometido, debe ser: oportuno, claro, sencillo,
ágil, flexible, adaptable, eficaz, objetivo y realista. Todo esto tomando en
cuenta que la clasificación del mismo puede ser preventiva o de localización
para que sea originaria. El control interno contable representa el soporte bajo
el cual descansa la confiabilidad de un sistema contable. Un sistema de
control interno es importante por cuanto no se limita únicamente a la
confiabilidad en la manifestación de las cifras que son reflejadas en los
estados financieros, sino también evalúa el nivel de eficiencia operacional en
los procesos contables y administrativos. (Catácora, 1996).
El control interno está orientado a prevenir o detectar errores e

irregularidades, las diferencias entre estos dos es la intencionalidad del
hecho; el término error se refiere a omisiones no intencionales, y el término
irregular se refiere a errores intencionales. Lo cierto es que los controles
internos deben brindar una confianza razonable de que los estados
financieros han sido elaborados bajo un esquema de controles que
disminuyan la probabilidad de tener errores sustanciales en los mismos. Con
respecto a las irregularidades, el sistema de control interno debe estar
preparado para descubrir o evitar cualquier irregularidad que se relacione con
falsificación, fraude o colusión; y aunque posiblemente los montos no sean
significativos o relevantes con respecto a los estados financieros, es
importante que éstos sean descubiertos oportunamente, debido a que tienen
implicaciones sobre la correcta conducción del negocio. El enfoque consiste,
90
en resguardar los activos contra la situación que se considere en peligro de

Pá gina
pérdida, es decir, si a menudo se presenta esta situación tratar de eliminar o

reducirlas al máximo, su idea es tratar de fomentar la eficiencia en el manejo

de las operaciones que el desempeño realizado por las políticas fijadas de la

organización y por último procurar que el control interno establecido dé como
resultado, mantener a la administración informada del manejo operativo y
financiero; y que dicha información sea confiable y llegue en el momento más
oportuno, para así, permitir a la gerencia tomar decisiones adecuados a la
situación real que está atravesando la organización, (Meigs & Larsen, 1994).
Todos los integrantes de la organización, sea esta pública o privada, son

responsables directos del sistema de control interno, esto es lo que garantiza
la eficiencia total. (Chiavenato, 2001).
Podemos ahora definir control interno como “el conjunto de elementos,

normas y procedimientos internos, destinados a lograr a través de una
planificación y ejecución efectivas, el ejercicio eficiente de la Gestión para
salvaguardar sus recursos, verificar la exactitud de los datos, promover la
eficiencia en las operaciones y fomentar la adhesión a las leyes y políticas
administrativas prescritas todo para el logro de los fines de la organización”.
(Emprenden, 2013).
Objetivos del control interno
Ya henos definido control interno pero es importante saber que La primera

definición formal de control interno fue establecida originalmente por el
Instituto Americano de Contadores Públicos Certificados AICPA en 1949.
Que extiende al control interno más allá de aquellos asuntos que se
relacionan directamente con las funciones de los departamentos de
91
contabilidad y finanzas .Estableciendo los primeros objetivos como un

Pá gina
enfoque tradicional. Los que posteriormente fueron mejorando a través de los

años con la finalidad de abarcar más funciones y profundizar en la calidad

del control. (Emprenden, 2013).
Los primeros objetivos de control interno entonces fueron: control interno de

las organizaciones, (Boydell, 1995):
 Salvaguardar sus activos: Protegerlos contra el despilfarro, el fraude o

el uso ineficiente.
 Verificar la corrección y confiabilidad de sus datos contables: Además

de los administrativos y financieros.
 Promover la eficiencia operacional: Evaluar el desempeño de todas las

divisiones administrativas y funcionales de la organización.
 Estimular la adhesión a las políticas Gerenciales establecidas:

Asegurar el cumplimiento de las políticas normativas económicas de la
organización.
Atendiendo a los principios que deben caracterizar a la administración, diseño

y desarrollo del sistema de control interno, algunos objetivos fundamentales
son: (Perdomo, 2004):
 Cumplimiento de los objetivos establecidos y metas de operaciones y

programas.
 La obtención de la información financiera oportuna, confiable y de

calidad, suficiente como herramienta útil para la gestión y el control.
 Promover la obtención de la información técnica y otro tipo de

92
información no financiera para utilizarla como elemento útil para la

Pá gina
gestión y el control.

 Procurar adecuadas medidas para la protección, uso y conservación de

los recursos financieros, materiales, técnicos y cualquier otro recurso
de propiedad de la organización.
 Detectar desperdicios innecesarios de material y tiempo prevenir

fraudes, Descubrir robos y malversaciones.
 Promover la eficiencia organizacional de la entidad para el logro de sus

objetivos y misión.
 Asegurar que todas las acciones institucionales en la organización se

desarrollen en el marco de las normas constitucionales, legales y
reglamentarias.
 Apoyar a la dirección de la organización a través de un control de

calidad a alcanzar el éxito y la competitividad para su desarrollo y
permanencia en el mercado.
Clasificación del control interno
En un sentido amplio el control interno incluye controles que pueden ser

catalogados como contables o administrativos. Esta variara de acuerdo a las
circunstancias individuales: (Interno, 2003)
 Control Administrativo: Los controles administrativos comprenden el

plan de organización y todos los métodos y procedimientos
relacionados con eficiencia operativa y adhesión a las políticas de la
organización y por lo general solamente tienen relación indirecta con
los registros financieros. Incluye más que todos controles tales como
93
análisis estadísticos, estudios de noción y tiempo, reporte de

Pá gina
operaciones, programas de entrenamiento de personal y controles de

calidad. Se involucra registros relativos a los procedimientos decisorios

que orientan la autorización de transacciones por parte de la gerencia.

Implica todas aquellas medidas relacionadas con la eficiencia
operacional y la observación de políticas establecidas en todas las
áreas de la organización. Un ejemplo de este tipo de control es que los
trabajadores lleven siempre su placa de identificación, la obligación de
tomarse examen médico anual etc.
 Control Contable: Los controles contables comprenden el plan de

organización y todos los métodos y procedimientos relacionados
principal y directamente a la salvaguardia de los activos de la
organización y a la confiabilidad de los registros financieros.
Generalmente incluye controles tales como el sistema de
autorizaciones y aprobaciones con registros y reportes contables de
los deberes de operación, custodia de activos y auditoría interna. Un
ejemplo de este tipo de control es la exigencia de una persona cuyas
funciones envuelven el manejo de dinero, no debe manejar también los
registros contables.
Elementos del control interno
Como todo sistema el sistema de control interno comprende al menos 6

elementos los cuales son los siguientes, (Emprenden, 2013):
La estructura de la organización: Esta debe ser bien definida, con relaciones

de poder, jerarquía y función; sin olvidar que en donde no hay distinción hay
confusión. Debe haber segregación de funciones o también lo que se llama
control por oposición de intereses.
94
Pá gina

 Normas y procedimientos: Debe existir normas y procedimientos

escritos, existencia de manuales de procedimientos contables y
procedimientos administrativos. Se debe contar con registros y
formularios adecuados y mantenerlos vigentes.
 Sistemas de archivos: Existencia de archivos históricos, permanentes,

temporales y en curso. Autorización de acceso a los archivos
principales y mantener los respaldos correspondientes de estos.
 Buenas prácticas administrativas:
 debe haber una lista de proveedores autorizados,
 los cheques de pago deben ser firmados por dos personas,
 se debe verificar los cálculos de pago de facturas emitidas
 verificar los pagos mensuales por bonos y otros ítems.
 En las prácticas de personal debe haber.
 Procedimientos para reclutar, seleccionar y contratar

personal.
 Programas de evaluaciones del desempeño.
 Programas de capacitación continua
 Políticas de promociones
 Políticas de remuneraciones
 Políticas de rotación de personal

95
Pá gina
 Política de bienestar

 Asistencia de salud
 Cumplimiento de la ley del trabajo y previsión social.
 Acción de ética profesional.
Otros procedimientos de control interno en una organización:
 Arqueos periódicos de caja para verificar que las transacciones hechas

sean las correctas.
 Control de asistencia de los trabajadores.
 Al adquirir responsabilidad con terceros, éstas se hagan solamente por

personas autorizadas teniendo también un fundamento lógico.
 Delimitar funciones y responsabilidades en todos los estamentos de la

entidad.
 Hacer un conteo físico de los activos que en realidad existen en la

organización y cotejarlos con los que están registrados en los libros de
contabilidad.
 Analizar si las personas que realizan el trabajo dentro y fuera de la

compañía es el adecuado y lo están realizando de una manera eficaz.
 Tener una numeración de los comprobantes de contabilidad en forma

consecutiva y de fácil manejo para las personas encargadas de
obtener información de estos.
 Controlar el acceso de personas no autorizadas a los diferentes

departamentos de la organización. 9. Verificar que se están cumpliendo
96
con todas las normas tanto tributarias, fiscales y civiles.

Pá gina

 Analizar si los rendimientos financieros e inversiones hechas están

dando los resultados esperados
Existen muchos más y variados procedimientos de control interno que se le

aplican a la organización, ya que cada una realiza los que mejor se acomoden
a la actividad que desarrolla y le brinden un mayor beneficio.
Normas de control interno
El control interno debe ceñirse a un conjunto de reglas, de lo contrario no

puede ser efectivo a continuación se distinguen dos tipos de normas; estas
se refieren a todos los controles cualquiera sea su tipo o aplicación. Estas
son, (Venezuela, 2010):
 Normas generales: estas se refieren a todos los controles cualquiera

sea su tipo o aplicación. Entre estas tenemos
 El costo del control debe ser inferior al beneficio que

proporciona o a la pérdida que evita.
 En cuanto a la irregularidad y error debe ser preventivo.
 El control debe estimular a las personas.
 Se debe establecer en forma clara las personas que pueden

autorizar una operación.
 Seguridad en el manejo de archivos, ya sea de depósito

custodia y manejo de bienes de la organización.
97
 Integridad de la información, captura de datos entrega en

Pá gina
forma oportuna y cumpliendo con todas las disposiciones

legales y profesionales.

 Normas particulares: se refieren aquellas normas que el sistema de

control debe seguir en combinación con la organización misma, para
que sea efectiva. Se distinguen tres aspectos:
 En relación con la organización
 En relación con las personas
 En relación con la ejecución y registro de las operaciones.
Funciones que se desarrollan en el control interno en la organización
Alguna de Las funciones que se desarrollan en las organizaciones que

contienen control interno son, (IGDigital.com, 2011):
 Quienes participan en el control interno, como responsables de la

gestión del riesgo y el control deben ser capacitados continuamente,
ser autodidactos y certificar el trabajo.
 Practicas sanas en el desarrollo de funciones y deberes de cada uno

de los departamentos de la organización.
 Establecer los procedimientos de mejora continua del control.
 Estar al tanto de los nuevos proyectos de la organización o de los

cambios significativos en el entorno: nuevas tecnologías, crecimiento
acelerado, nuevos negocios o productos, operaciones en el extranjero
entre otros.
98
Pá gina

 El sistema de autorizaciones y procedimientos de registro que provea

adecuadamente un control razonable sobre activos, pasivos, ingresos y
gastos.
 Involucra a todos los responsables del control y hacerle ver las mejoras
respaldados por números.
 Innovar constantemente la forma de presentar los temas de control que

no se convierta en algo rutinario.
 Esta rama de la organización debe alinear el control interno con todos

los temas estratégicos de la organización.
 El control interno debe identificar las fortalezas y aprender de lo que

se hace bien.
 Convencer con los informes de control, a la alta gerencia y a todo el

personal involucrado.
 Reconocer las perdidas por la ausencia de control o implantar

medidas inmediatamente.
Medidas para lograr un buen control interno
El éxito que todas la organizaciones esperan alcanzar no depende solo de

una buena práctica de verificación de información confiable, sino de otras
medidas que apoyan a un buen control en la organización, para hacer una
gestión a la altura de los objetivos de corto y largo plazo que se desea
99
alcanzar como organización competente. Estas medidas son: (cubana, 2013)

Pá gina
 Establecer líneas claras de responsabilidad

 Establecer procedimientos de control: Para procesar cada tipo de

transacción, cada una debe pasar por 4 etapas separadas (autorizada,
aprobada, ejecutada y registrada).
 Subdivisión de funciones: Este es quizás el elemento más importante

para el logro de un adecuado control interno. La separación de tareas
limita las posibilidades de fraude, y mejora también, la exactitud de los
registros contables, este componente crucial del sistema de control
interno se puede subdividir en 4 partes:
 Separación de las operaciones de contabilidad. La función

contable debe estar totalmente separada de los
departamentos operativos, con el fin de poder mantener
registros objetivos.
 Separación de la custodia de los activos, de los registros de

estos en la contabilidad.
 Separación de la autorización de las operaciones, de la

custodia de los activos correspondientes, siempre que sea
posible.
 Las responsabilidades deben asignarse, de tal forma que

ninguna persona o departamento maneje una transacción
completa de principio a fin.
Métodos para evaluar el conocimiento del control interno

100
Para el estudio y evaluación del control interno Existen diferentes métodos

Pá gina
que documentan el conocimiento del control interno por el encargado de

este, los cuales no son exclusivos y pueden ser utilizados en forma

combinada para una mejor efectividad. Estos consisten en dos fases, (Cuellar,
2003):
 La revisión preliminar del sistema con el objeto de conocer y poder

comprender los procedimientos y métodos establecidos por la
organización. El grado de fiabilidad de un sistema de control interno,
puede ser por:
 Método Descriptivo: Consiste en la narración de los procedimientos

relacionados con el control interno los cuales pueden dividirse por
actividades que pueden ser por departamentos, empleados y cargos o
por registros contables. Una descripción adecuada de un sistema de
contabilidad y de los procesos de control relacionados incluye por lo
menos cuatro características
 Origen de cada documento y registro en el sistema
 Como se efectúa el procesamiento
 Disposición de cada documento y registro en el sistema
 Indicación de los procedimientos de control pertinentes a la

evaluación de los riesgos de control.
 Método Grafico: Consiste en la preparación de diagramas de

flujo de los procedimientos ejecutados en cada uno de los
101
departamentos involucrados en una operación. Un diagrama

Pá gina
de flujo de control interno consiste en una representación

simbólica y por medio de un flujo secuencial de los

documentos de la entidad auditada. El diagrama de flujo

debe representar todas las operaciones, movimientos,
demoras y procedimientos de archivos concernientes al
proceso descrito. Este método debe incluir las mismas
cuatro características del método grafico enunciadas
anteriormente.
 La realización de pruebas de cumplimiento para obtener una

seguridad razonable de que los controles se encuentran en
uso y que están operando tal como se diseñaron. Una
prueba de cumplimiento es el examen de la evidencia
disponible de que una o más técnicas de control interno
están operando durante el periodo de auditoría. El objetivo
de las pruebas de cumplimiento es quedar conformes en
cuanto a que una técnica de control estuvo operando
efectivamente durante todo el periodo de auditoría en un
departamento, actividad u organización. Este deberá obtener
evidencia de auditoría mediante pruebas de cumplimiento
consistente en:
 Existencias: El control existe
 Efectividad: El control está funcionando con eficiencia
 Continuidad: El control ha estado funcionando durante todo

el periodo.
 Método de cuestionarios: Básicamente consiste en el listado

de preguntas a través de las cuales se pretende evaluar las
102
debilidades y fortalezas del sistema de control interno estos

cuestionarios se aplican cada uno de las áreas en las
Pá gina
cuales el auditor dividió los rubros a examinar. Para

elaborar las preguntas el auditor, debe tener el conocimiento

pleno de los puntos donde puede existir deficiencias para
así formular la pregunta clave que permita la evaluación del
sistema en vigencia en la organización. Generalmente el
cuestionario se diseña para que las respuestas negativas
indiquen una deficiencia de control interno algunas de las
preguntas pueden ser de tipo general y aplicables a
cualquier organización, pero la mayoría deben ser
específicas para cada organización en particular y se
deben relacionar con su objeto social.
103
Pá gina

EVALUACION METODO DE CUESTIONARIOS

CLIENTE: AUDITORIA A:
OFIMUEBLES LTDA. Diciembre 31 de 2.013
o. PREGUNTAS SI NO OBSERVACIONES
1 Las entradas de disponible se controlan mediante pre numeración,

relación de cobros etc.?
2 Los ingresos por aprovechamientos se reportan en forma oportuna a
contabilidad?
3 Los ingresos diarios de disponible se depositan a primera hora del
siguiente día hábil en la misma especie recibida?
4 Todos los egresos de disponible se realizan por medio de cheque?
5 Los giros de disponible se hacen siempre a nombre del primer
beneficiario y se prohíbe el giro al portador?
6 El giro de fondos por cheque se hace con restricciones como de
páguese al primer beneficiario, para depositar en cuenta solamente?
7 Las cuentas bancarias son conciliadas en forma mensual y se
realizan los ajustes necesarios al mes siguiente?
8 Los cheques se giran usando como mínimo dos firmas?
9 Los dineros en poder de la organización se mantienen en caja
fuerte?
10 Los talonarios de cheques y su secuencia numérica son controlados
por la persona responsable?
11 Los soportes que respaldan el giro de cheques se anulan con un
sello de Pagado donde se describa el número de cheque y cuenta?
12 Las trasferencias de fondos entre un banco y otro quedan
debidamente documentadas con las respectivas autorizaciones?
13 Existen restricciones para transferencias electrónicas de fondos?
Fondos Fijos para gastos menores
La creación del fondo fijo se realiza mediante resolución de gerencia
en la cual:
14 Se determina el monto máximo a girar por cada pago?
15 Se prohíbe fraccionar facturas?
16 Se determina claramente los pagos que se pueden realizar y los que
están prohibidos?
17 Se establece el momento de realizar el reembolso?
18 Se fija fianza para el responsable del fondo?
19 Se obliga al reembolso al final del ejercicio?
20 Se prohíbe hacer préstamos con los dineros del fondo?
104
Pá gina

Limitaciones del control interno
El control interno por muy eficaz que sea solo puede proporcionar a la
organización una seguridad razonable, del cumplimiento de sus objetivos
de información. La probabilidad de que se cumplan depende de las
limitaciones inherentes al control interno. Este puede dejar de funcionar
debido al error humano por lo tanto no solo existen buenas medidas para
controlar, también existen limitaciones que impiden el buen control en las
organizaciones estas son, (IGDigital.com, 2011):
 El costo de la implementación: En el control interno de la organización

en ocasiones es un obstáculo ya que esto impide la implementación
en una pequeña organización.
 El tiempo: En ocasiones no se considera el tiempo que demora una

implementación del control interno en una organización lo que se
traduce en un atraso y aumento de recursos esto también se
considera un impedimento.
 El aumento de eficiencia y eficacia en la actividad de la organización

esto puede superar con creces lo invertido en el control interno.
Existen otras Limitaciones que impiden la efectividad de un sistema de control

interno, (Perdomo, 2004):
 Nunca garantiza el cumplimiento de sus objetivos.

105
 Solo brinda seguridad razonable.

Pá gina
 El costo está ligado al beneficio que proporciona.

 Se direcciona hacia transacciones repetitivas no excepcionales.
 Se puede presentar error humano por mal entendido, descuidos o

fatiga.
 Potencialidad de colusión para evadir controles que dependen de la

segregación de funciones.
 Violación u omisión de la aplicación por parte de la alta dirección.
También contribuyen a una limitación las deficiencias o debilidades del

sistema de control interno detectadas a través de los diferentes
procedimientos de supervisión deben ser comunicadas a efectos de que
se adopten las medidas de ajuste correspondientes. Según el impacto de
las deficiencias, los destinatarios de la información pueden ser tanto las
personas responsables de la función o actividad implicada como las
autoridades superiores. La autoridad superior del organismo debe procurar
suscitar, difundir, internalizar y vigilar la observancia de valores éticos
aceptados, que constituyan un sólido fundamento moral para su
conducción y operación. Tales valores deben enmarcar la conducta de
funcionarios y empleados, orientando su integridad y compromiso
personal. En muchas organizaciones, se tiene un acceso más fácil a los
inventarios que al efectivo, por tanto son uno de los blancos favoritos de
los ladrones. La contracción del inventario es la diferencia entre el valor
del inventario que se obtendría si no hubiera hurtos, clasificaciones
erróneas, roturas o errores en el registro y el valor del inventario que se
106
obtiene al hacer cuenta física. (Estupiñán, 2002)

Pá gina

Tipos de control
Existen distintos tipos de control organizacional en el momento de su

aplicación estos tipos de control son: administración un enfoque basado en
competencias, (Hellriegel & Slocum, 2009):
 Controles Preventivos: Son el conjunto de mecanismos y

procedimientos que se utilizan para analizar las operaciones que se
han programado, antes de su autorización o puesta en marcha. Con el
propósito de verificar la veracidad y legalidad de dichas operaciones.
Es de responsabilidad exclusiva de cada organización como parte
integrante de sus propios sistemas de control interno. Por tal motivo se
dice que siempre el control preventivo es interno. Ya que los
administradores de cada organización son los responsables de
asegurar que el control preventivo este integrado dentro de los
sistemas administrativos y financieros ya sea efectuado por el personal
interno responsable de realizar dicha labor.
 Controles Recurrentes: Son los que se realizan mientras se desarrolla

la actividad. La forma más conocida de este tipo de control es la
supervisión directa, así este observa las actividades de los
trabajadores y puede corregir las situaciones problemáticas a medida
que aparezcan. En la actualidad los sistemas computarizados pueden
ser programados para brindar al operador una respuesta inmediata si
comete un error o si se ha procesado una información equivocada, los
controles recurrentes del sistema rechazaran la orden y le dirán donde
107
se encuentra el error.
 Controles correctivos: Son los que se llevan a cabo después de la

Pá gina
acción, y de esta forma se determinan las causas de cualquier

desviación del plan original. Y los resultados se aplican a actividades

futuras similares (experiencia).
Componentes del control interno
Existe una relación directa entre los objetivos que la organización busca y los
componentes que representan lo necesario para alcanzar los objetivos,
están interrelacionados y se integran a los procesos administrativos.
Actualmente existen 5 componentes, más adelante se mencionara el control
interno en la actualidad y se profundizará conceptos basados en un modelo
de control interno que satisface las necesidades de las organizaciones y
contribuye a la seguridad de la información, estos 5 componentes son,
(Coopers & Lybrand, 1997):
 Ambiente de control
 Evaluación de riesgos
 Actividades de control
 Información y comunicación
 Supervisión o monitoreo
Modelos de control interno
En los últimos años, a consecuencia de los numerosos problemas detectados

en las organizaciones, nos referimos a corrupción y fraude, que han abarcado
108
a organizaciones nacionales e internacionales. Se ha fortalecido la

implementación del control interno en diferentes países. Debido a eso se han
Pá gina
percatado que este no es un tema solo para contadores sino que es una
responsabilidad también de todos los miembros de los consejos de

administración de las diferentes actividades económicas de cualquier

organización o país. La presente aplicación data de los modelos de control
aplicados en una organización, estos modelos de control son informes que
permiten seguir las pautas para la elaboración de los sistemas de control
interno con una visión integradora y confiable dentro de la organización, a
continuación describiremos algunos modelos existentes en el ámbito del
control, pero profundizaremos en el informe de control interno coso:
(Venezuela, 2010)
 Modelo Cadbury: es un modelo desarrollado por el Comité Cadbury

(UK Cadbury Committee). Adopta una interpretación amplia del control
las mayores especificaciones de su definición se encuentran en el
enfoque sobre el sistema de control en su conjunto-financiero y de
cualquier otro tipo. Entre sus objetivos orientados a proporcionar una
razonable seguridad entre estas tenemos:
 Efectividad y eficiencia en las operaciones
 Confiabilidad de la información y reporte financieros
 Cumplimiento con leyes y reglamentos.
Los elementos clave de este modelo son en esencia similares al modelo

COSO, salvo la consideración de los SI integrados en los otros componentes
y un mayor énfasis respecto a riesgos. En este modelo existe una limitación
en la responsabilidad de los reportes de control a la confiabilidad en lo
financiero. Fernando vera Smith diciembre 2007, (Venezuela, 2010):
109
Pá gina

Modelos de control
 Modelo Turnbull: Este es una guía, es la adopción de un enfoque

basado en riesgos para establecer un sistema de control interno y
revisar su efectividad. Su enfoque a esta dirigido al logro de objetivos a
través de una mejor administración de los riesgos. Este modelo tiene
las siguientes contribuciones en auditoría interna:
 Aseguramiento de la adecuación y efectividad de la

administración de riesgos y del sistema de control.
 Promueve la concientización de riesgos, controles y los

programas de autoevaluación.
 Apoya para mejorar el proceso de identificación y administración

de riesgos.
Sus beneficios potenciales son:
 Mayor probabilidad de lograr objetivos
 Mayor cobertura a largo plazo
 Mayor probabilidad de lograr cambios
 Ventajas competitivas
 Enfoque interno en hacer bien las cosas
 Menores costos de capital
 Mejores bases para establecer estrategias

110
 Reducción de tiempo para emergencias

Pá gina
 Disminución de sorpresas desagradables

 Desplazamiento oportuno a otras áreas de negocios
Así como este modelo guía entrega beneficios a la organización también

contiene peligros potenciales, los cuales son:
 Enfoque insuficiente en administración de riesgo
 Inapropiada orientación de riesgos
 Incapacidad para obtener aceptación del gerente
 Sobrecarga del comité de Auditoria
 Falta de mecanismos de advertencia
 Ignorar controles financieros básicos
 Incremento de Burocracia
 Abandonar demasiado tarde
 Demasiados riesgos identificados
 Modelo de autoevaluación del control (AEC): es un proceso

documentado en el que la administración o el equipo de trabajo se
involucra directamente en una función. Se juzga la efectividad del
proceso de control vigente además se define si se asegura
razonablemente el logro de todos o alguno de los objetivos. Como
vemos entonces el objetivo de este modelo es proporcionar seguridad
razonable de que se alcanzaran los objetivos de la organización un
factor importante en este modelo es que involucra a la alta gerencia.
Se le puede encontrar a este modelo con distintos nombres los cuales
111
son:
Pá gina

 Autoevaluación de riesgo-control
 Evaluación dinámica del control
 Co-evaluación del control
 Autoevaluación organizacional
 Autoevaluación de proceso
 Autoevaluación de riesgos
 Autoevaluación de riesgos de la organización
 Para desarrollar una autoevaluación de control se requiere

capacitación en:
 En metodologías
 En modelos de control
 En evaluación de riesgos
 En talleres de autoevaluación de control
 En redacción y tecnología.
 Entre los factores que promueven su adopción tenemos:
 Beneficios al proceso operativo
 Beneficios para la administración
 Realiza el papel de auditoría interna
 Factores critico de éxito que se identifican en este modelo

112
 Determinación de objetivos claros

Pá gina
 Apoyo y patrocinio de la alta gerencia

 Entender porque participan cada uno en la sesión de AEC
 Exposición de expectativas y cultura que apoye a la AEC
 Actitud Gerencial orientada al facultar y al control
 Los beneficios deben ser tangibles
 Debe existir una definición clara del producto final
 El entorno debe ser libre de riesgos.
 Modelo de control de acceso basado en la semántica (SAC): este

modelo considera la existencia de una serie de sistemas de control de
acceso y un conjunto de entidades de acreditación confiables que
actúan de manera independiente y dan servicio a los diferentes
sistemas de control de acceso. El control de los recursos es
independiente de su localización. De esta forma los recursos
controlados por un administrador no han de residir obligatoriamente en
su propio sistema de información, igualmente alguno de los recursos
almacenados por un sistema d control de acceso, constituyendo lo que
se conoce por un certificado de atributo. De esta forma se garantiza la
interoperabilidad de los atributos que pueden ser comunicados de
forma segura evitando la necesidad de ser emitidos localmente por el
administrador del sistema.
 Modelo Cobit (1996): es una estructura que adopto su definición de

control a partir del modelo de control COSO. Es un marco de control
interno en tecnología de información, provee una herramienta para los
113
propietarios de los procesos del negocio para descargar eficiente y

efectivamente sus responsabilidades de control sobre los sistemas
Pá gina
informáticos. Cada vez más la dirección está totalmente facultada con

responsabilidad y autoridad completa por los procesos del negocio.

Cobit incluye definiciones tanto de control interno, como de los
objetivos de control de Técnicas de Información, contiene 4 dominios
de proceso, 32 declaraciones de control de alto nivel para esos
procesos, 271 objetivos de control referenciados a esos 32 procesos y
además contiene guías de auditoría vinculadas a los objetivos de
control. Sus objetivos organizacionales son tener operaciones que
sean eficientes, confidencialidad, integridad y disponibilidad de
información, informes financieros confiables y cumplimiento de las
leyes y regulaciones. Los usuarios que intervienen en este modelo son:
 Gerencia: Su actividad es apoyar las decisiones de inversión en

tecnología de información y control sobre su rendimiento, así
como analizar el costo-beneficio del control.
 Usuarios finales: Garantizar seguridad y control de los productos

que adquieren interna y externamente.
 Auditores: Apoyar sus opiniones sobre los controles de los

proyectos de TI, su impacto en la organización y el control
mínimo requerido.
 Responsables de TI: Identificar los controles que requieren
 Principios del modelo Cobit referido a los requerimientos de la

información del negocio:
 Efectividad: Información relevante y pertinente, proporcionada
114
en forma oportuna, correcta, consistente y utilizable.

Pá gina
 Eficiencia: Empleo optimo de los recursos

 Confidencialidad: Protección de la información sensitiva contra

divulgación no autorizada
 Integridad: Información exacta y completa, así como valida de

acuerdo con las expectativas de la organización.
 Disponibilidad: Accesibilidad a la información y la salvaguarda

de los recursos y sus capacidades.
 Cumplimiento: Leyes, regulaciones y compromisos

contractuales.
 Confiabilidad: Apropiada para la toma de decisiones adecuadas

y el cumplimiento normativo.
 Los recursos utilizados en TI son:
 Datos: Todos los objetos de información interna
 Aplicaciones: SI que integran procedimientos manuales y

sistematizados.
 Tecnología: Hardware y software básico, sistemas operativos,

de administración de bases de datos, de redes,
telecomunicaciones, multimedia, etc.
 Instalaciones: Recursos necesarios para alojar y dar soporte a

los sistemas.
 Modelo Coco: Este modelo fue a dado a conocer por el Instituto

115
Canadiense de contadores certificados (CICA), a través de un consejo

encargado del diseño y emitir criterios o lineamientos generales sobre
Pá gina
control. incluye algunos elementos de una organización ( recursos,

sistemas, procesos, cultura, estructura y metas), que tomadas en

conjunto apoyan al personal en el logro de los objetivos de la
organización:
 Efectividad y eficiencia de las operaciones
 Confiabilidad de los reportes internos o externos.
 Cumplimiento con las leyes y reglamentos aplicables así

como las políticas internas
El modelo busca proporcionar un entendimiento del control y dar respuesta a

las siguientes tendencias:
 En el impacto de la tecnología y el recorte a las estructuras
organizativas
 En la creciente demanda de informar acerca de la eficacia

del control
 En el énfasis de las autoridades de establecer controles

como una forma de proteger los intereses de los accionistas
En la estructura del modelo los criterios son elementos básicos para entender
y en su caso, aplicar el sistema de control. Se requiere un adecuado análisis y
comparación para interpretar los criterios en el contexto de una organización
en particular, y para una evaluación efectiva de los controles implantados. Los
criterios son la base para entender la base de una organización y están
planteados como metas a cumplir permanentemente.
116
Pá gina

La naturaleza del control:
 El control debe ser realizado por el personal de toda a organización,

quien será responsable del diseño, establecimiento, supervisión y
mantenimiento del control.
 El personal responsable de lograr determinados objetivos también

deberá evaluar la efectividad del control dentro de su esfera de
competencia y de reportar tal evaluación ante quien él es responsable.
 El costo del control debe ser proporcional a los beneficios esperados.
 El control requiere un equilibrio entre autonomía e integración y entre

consistencia y adaptación al cambio.
El ciclo del entendimiento básico de este modelo es:
 Propósito
 Compromiso
 Aptitud
 Acción
Como hemos visto son muchos los esfuerzos para construir un marco
conceptual que defina la elaboración de modelos o informes aplicados a los
sistemas de control interno, ajustado a las características de cada uno de
ellos que ayude a ofrecer una seguridad razonable al logro de los objetivos
117
de las organizaciones. Se han mostrado diferentes modelos existentes y

como dijimos con antelación el último modelo por definir es el Modelo de
Pá gina
Control Interno COSO que es el más utilizado en estos días. Los modelos

fueron presentados superficialmente ahora nos dedicaremos a conocer en

profundidad el modelo COSO.
Modelo de control interno hoy
Un modelo del control interno es el llamado “COSO”, tiene dos partes,

aplicable a cualquier asunto o problema de CI (control Interno), a nivel
práctico de organizaciones, como a nivel de Auditoría Interna y Auditoría
Externa.
COSO se mejora en el año 2004, debido a varios motivos. El control interno

debemos primero implementarlo en una organización el cual está diseñado
por una serie apropiada de objetivos de reporte de la información financiera y
administrativa. Las organizaciones que no realizan una oportuna evaluación
de riesgos al ritmo que cambian sus negocios, no estarán preparados para las
acciones correctivas, incrementando el costo de las fallas.
Objetivos de Control Interno Operaciones, Confiabilidad de Información

Financiera, Cumplimiento de las Leyes y normas establecidas, se refiere
básicamente a los Objetivos empresariales como Rendimiento, rentabilidad
y Salvaguardar los recursos, a un alto nivel, el objetivo del reporte de la
información financiera es preparar estados financieros fiables, lo que supone
lograr una seguridad razonable de que los Estados financieros están libres de
errores. A partir de este objetivo a alto nivel, la dirección establece objetivos
secundarios relacionados con las actividades y circunstancias empresariales y
su correcto reflejo en los Estados financieros y sus detalles. Estos objetivos
118
pueden estar condicionados por requisitos regulatorios o por otros factores

que la dirección puede decidir incluir al momento de fijar sus objetivos.
Pá gina

Relación entre coso I y coso II
COSO I COSO II
Ambiente Interno
Ambiente de
Control
Establecimiento de Objetivos
Identificación de Riesgos
Evaluación de
Evaluación de Riesgos
Riesgos
Respuestas a los Riesgos
Actividades de Actividades de Control

Control
Información
Información y Comunicación
Comunicación
Monitoreo Respuestas a los Riesgos
119
Pá gina

Diferencia entre COSO I y COSO II
COSO I COSO II
El original marco COSO consta de cinco La nueva Enterprise Risk Management
componentes de control necesarios para (ERM), COSO marco hace hincapié en la
ayudar a asegurar los objetivos de negocio importancia de identificar y gestionar los
sólidos. Los componentes de control son: riesgos en toda la organización. El nuevo
 Ambiente de control marco COSO consta de ocho componentes:
 Evaluación de riesgos
 Actividades de control  Entorno de control interno
 Información y comunicación  Establecimiento de objetivos
 Supervisión  Identificación de eventos
Más específicamente, el proceso de  Evaluación de riesgos
pensamiento detrás de estos cinco  Respuesta a los riesgos
componentes era que iban a trabajar juntos  Las actividades de control
para apoyar los esfuerzos para lograr la  Información y comunicación
misión de una organización, estrategias y  Supervisión.
objetivos relacionados con la organización.
Los cinco componentes tendrían que estar Los tres nuevos componentes del marco
en su lugar para lograr un eficaz sistema de COSO es establecimiento de objetivos,
control interno. identificación de eventos y la respuesta de
riesgo.
COSO I COSO II
 Ambiente de Control.  Establecimiento de objetivos.

120
 Integridad y valores éticos  Los objetivos se fijan a escala

 Compromiso con la competencia estratégica, estableciendo con ellos
Pá gina
 Consejo de administración y una base para los objetivos

Auditoria operativos, de información y

 Gestión de la filosofía y estilo cumplimiento, cada entidad se

operativo enfrenta a una gama de riesgos
 Estructura organizacional procedentes de fuentes externas e
 Asignación de autoridad y internas y una condición previa para
responsabilidad la identificación eficaz de eventos, la
 Política de recursos humanos y evaluación de sus riesgos y la
procedimientos respuesta a ellos es fijar los
 Evaluación de Riesgos. objetivos, que tienen que estar
 Objetivos en toda la organización alineados son el riesgo aceptado por
 Objetivos a nivel de procesos la entidad, que orienta a su vez los
 Identificación de riesgos y análisis niveles de tolerancia al riesgo de la
 Gestión del cambio misma.
 Las actividades de Control.  Identificación de Eventos
 Políticas y procedimientos  La dirección identifica los eventos
 Seguridad ( red y aplicaciones) potenciales que d ocurrir, afectaran a
 Aplicaciones de gestión del cambio la organización y determina si
 Continuidad del negocio, copias de representan oportunidades o si
seguridad pueden afectar negativamente la
 Outsourcing, es una tendencia actual capacidad de la organización para
que ha formado parte importante en implantar la estrategia yn lograr los
las decisiones administrativas. objetivos con éxito. Los eventos con
 Información y comunicación impacto negativo representan
 Calidad de información riesgos, que exigen la evaluación y
 Eficacia d comunicación respuesta de la dirección. Los
 Monitoreo eventos con impacto positivo
 El monitoreo continuo representan oportunidades, que la
 Las evaluaciones independientes dirección reconduce hacia la
 Deficiencias de informes estrategia y el proceso de fijación de
objetivos. Cuando identifica los
eventos, la dirección contempla una
121
serie de factores internos y externos

que pueden lugar a riesgos,
Pá gina
oportunidades, en el contexto del

ámbito global de la organización.

 Respuesta al Riesgo.
 Al considerar su respuesta, la
dirección evalúa su efecto sobre la
probabilidad e impacto del riesgo, así
como los costos y beneficios, y
selecciona aquella que situé el riesgo
residual dentro de las tolerancias al
riesgo establecidas. Una vez que se
han identificado los riesgos se puede
tomar una de las siguientes
acciones:
 Evitarlo: se toman acciones de
modo de discontinuar las actividades
que generan riesgo.
 Reducirlo: se toman acciones para
reducir el impacto, la probabilidad de
ocurrencia del riesgo o ambos.
 Compartirlo: se toman acciones para
reducir el impacto o la probabilidad
de ocurrencia al transferir o compartir
una porción del riesgo.
 Aceptarlo: no se toman acciones que
afecten el impacto y probabilidad de
ocurrencia del riesgo.
122
Pá gina

(Coopers & Lybrand, 1997)
COSO I VERSUS COSO II
COSO I ( 1992)
COSO II (2004)
123
Pá gina
(Coopers & Lybrand, 1997)

Modelos de control interno COSO I Y COSO II
A partir de la publicación del informe COSO (Control Interno-Estructura

Integrada) en septiembre de 1992 y en cuyo desarrollo participaron
representantes de organizaciones profesionales de contadores, ejecutivos de
finanzas y auditores internos, surgió en forma impresionante la tensión hacia
el mejoramiento del control interno y un mejor estándar mediante el cual las
organizaciones, públicas y privadas, sintieron la presión para un mejor manejo
de los recursos y mejorar sus sistemas en cualquier tipo de organización.
 Salvaguardar sus activos

 Seguridad de datos contables
 Promover eficiencia operativa
 Adhesión a las políticas administrativas prescritas
El objetivo de COSO I es:
 Mejorar la calidad de la información financiera concentrándose en el

manejo corporativo, las normas éticas y el control interno.
 Unificar criterios ante la existencia de una importante variedad de
Interpretaciones y conceptos sobre el control interno
Un componente del control interno, es el elemento que proporciona

disciplina y estructura, se lo determina en función de la integridad y
competencia del personal de una organización; los valores éticos son un
124
elemento esencial que afecta a otros componentes del control. Entre sus
Pá gina
factores se incluye la filosofía de la administración, el estilo operativo, así

como la manera en que la gerencia confiere autoridad y asigna

responsabilidades, organiza y desarrolla a su personal.
Establece el tono de una organización, influyendo en la gente la conciencia o

conocimiento sentido de control. Esta es la fundamentación para todos los
otros componentes del control interno, suministrando disciplina y estructura.
El ambiente de control incluye factores de integridad, valores éticos y
competencia del personal de la entidad. Informe Coso I y Coso II
Gestión del riesgo empresarial
 “El control interno es una parte integral de la Administración del riesgo

empresarial y está abarcado dentro de éste.”
 “La Administración del riesgo empresarial es más amplia que el control
interno, expandiendo y elaborando sobre el control interno para formar
una concepción más robusta que se enfoca más sobre el riesgo.”
 “El Marco Integrado Control Interno sigue siendo totalmente válido
para las entidades y otros que ponen énfasis en el control interno.”
Este, es un proceso que involucra a todos los integrantes de la organización

sin excepción, diseñado para dar un grado razonable de apoyo en cuanto a la
obtención de los objetivos en las siguientes categorías:
 Eficacia y eficiencia de las operaciones

 Fiabilidad de la información financiera
 Cumplimiento de las leyes y normas que son aplicables
125
 Estas tres categorías se interrelacionan

 Estas tres categorías se interrelacionan entre sí.
Pá gina

Que se obtiene a través de COSO
La definición de un marco de referencia aplicable a cualquier organización.

COSO considera que el control interno debe ser un proceso integrado con el
negocio que ayude a conseguir los resultados esperados en materia de
rentabilidad y rendimiento. Trasmitir el concepto de que el esfuerzo involucra
a toda la organización desde la alta dirección hasta el último empleado.
¿Por qué se actualizó COSO?
Hacia fines de Septiembre de 2004, como respuesta a una serie de

escándalos, e irregularidades que provocaron pérdidas importante a
inversionistas, empleados y otros grupos de interés, nuevamente el
Committee of Sponsoring Organizations of the Treadway Commission, publicó
el Enterprise Risk Management - Integrated Framework y sus Aplicaciones
técnicas asociadas, el cual amplía el concepto de control interno,
proporcionando un foco más robusto y extenso sobre la identificación,
evaluación y gestión integral de riesgo.
Este nuevo enfoque no intenta ni sustituye el marco de control interno, sino

que lo incorpora como parte de él, permitiendo a las compañías mejorar sus
Informe Coso I y Coso II prácticas de control interno o decidir encaminarse
hacia un proceso más completo de gestión de riesgo. La guía presenta un
enfoque de toda la organización de gestión de riesgos, así como conceptos
tales como: el apetito de riesgo, la tolerancia al riesgo, la vista de la cartera.
Este marco está siendo utilizado por organizaciones de todo el mundo para
126
diseñar e implementar procesos efectivos de ERM. El énfasis en Gestión

Empresarial, nos explica que el valor se maximiza cuando la dirección
Pá gina
establece la estrategia y los objetivos a lograr un equilibrio óptimo entre los

objetivos de crecimiento, retorno, riesgos relacionados y de manera eficiente y

eficaz despliegue de recursos en el logro de los objetivos de la entidad.
Gestión de riesgo empresarial se compone de:
 La alineación de apetito por el riesgo y la estrategia – La

Administración considera el apetito de riesgo de la entidad en la
evaluación de alternativas estratégicas, el establecimiento de objetivos
relacionados, y el desarrollo de mecanismos para gestionar los riesgos
relacionados.
 Decisiones que mejoren la respuesta al riesgo - Gestión del riesgo
proporciona el rigor para identificar y seleccionar riesgos alternativos
 La reducción de sorpresas operativas y pérdidas -organizacionales
obtener una mayor capacidad para identificar eventos potenciales y
establecer respuestas, la reducción de las sorpresas y los costos
asociados o perdidas.
 Identificación y gestión de riesgos múltiples y cruzadas empresarial -
 Cada organización se enfrenta a una gran cantidad de riesgos que
afecta
 A diferentes partes de la organización y gestión del riesgo empresarial
 Aprovechar las oportunidades - Al considerar una amplia gama de
posibles eventos, la administración está en condiciones de identificar y
aprovechar las oportunidades de manera proactiva.
 Mejorar el despliegue de capital - La obtención de información de
riesgos sólida permite la gestión para evaluar eficazmente las
necesidades globales de capital y mejorar la asignación de capital.
127
Estas capacidades inherentes a la gestión del riesgo empresarial lograr un

Pá gina
rendimiento de gestión de la entidad y los objetivos de evitar la pérdida

de recursos. La gestión del riesgo ayuda a garantizar una información eficaz y

el cumplimiento de las leyes y reglamentos, ayuda a evitar daños a la

reputación de la entidad y las consecuencias asociadas. En suma, la gestión
del riesgo ayuda a una entidad a llegar a donde quiere ir y evitar trampas y
sorpresas en el camino.
Eventos Riesgos y Oportunidades
Los eventos pueden tener un impacto negativo, positivo o de ambos tipos a la

vez. Los que tienen un impacto negativo representan riesgos que pueden
impedir la creación de valor o erosionar el valor existente. Los eventos con
impacto positivo pueden compensar los impactos negativos o representar
oportunidades, que derivan de la posibilidad de que ocurra un acontecimiento
que afecte positivamente al logro de los objetivos, ayudando a la creación de
valor o a su conservación. La dirección canaliza las oportunidades que
surgen, para que reviertan en la estrategia y el proceso de definición de
objetivos, y formula planes que permitan aprovecharlas.
La importancia que tiene este en cualquier organización, ya que representa la

orientación básica de todos los recursos y esfuerzos y proporciona una base
sólida para un control interno efectivo. Coso, es el camino adecuado para
identificar factores críticos de éxito, particularmente a nivel de actividad
relevante. Una vez que tales factores han sido identificados, la Gerencia tiene
la responsabilidad de establecer criterios para medirlos y prevenir su posible
ocurrencia a través de mecanismos de control e información, a fin de estar
enfocando permanentemente tales factores críticos de éxito. El estudio del
COSO propone una categorización que pretende unificar los puntos de vista
128
al respecto. Participación del RRHH las guías sobre control establecen

Pá gina
criterios para un efectivo control en una organización. Un control efectivo

puede apoyar el éxito de una organización en diferentes formas:

 Al personal, al desarrollar sus funciones puede ejercitar su juicio y

creatividad, al tiempo que administra o controla los riesgos de que
ocurran acciones indebidas.
 El personal tiene la flexibilidad de impulsar cambios en las
organizaciones o gestión, al tener un adecuado conocimiento de los
riesgos.
 El personal posee información confiable y ésta en aptitud de usarla al
momento oportuno y al más adecuado nivel en la organización.
 Informe Coso I y Coso II
 La organización puede lograr mejoras en la efectividad y eficiencia y
obtener mayor confianza por parte de terceros interesados. Se parte de
la idea de que la unidad más pequeña en una organización es la
persona tomada individualmente. Una persona ejecuta una tarea
guiada por el entendimiento; su propósito (objetivo); el apoyo en su
capacidad o aptitud para alcanzarlo (información, herramientas y
habilidades).
 El sentido de compromiso e involucramiento para realizar debida y
oportunamente su tarea.
 Que la misma persona deba vigilar y evaluar su desempeño. Es
importante reiterar que la misma persona deberá vigilar y evaluar su
desempeño, al igual que su entorno, para aprender de la experiencia
129
Pá gina

COSO y la evaluación de riesgos
La administración debe cuantificar su magnitud, proyectar su probabilidad y

sus posibles consecuencias. Se debe presentar especial atención a:
 Los avances tecnológicos.

 Los cambios en los ambientes operativos.
 Las nuevas líneas de negocios.
 La reestructuración corporativa La expansión o adquisiciones
extranjeras.
 El personal nuevo.
 El rápido crecimiento Informe Coso I y Coso II.
 El enfoque no se determina en el uso de una metodología particular de
evaluación de riesgos, sino en la realización de la evaluación de
riesgos como una parte estructural del proceso de planeación.
A medida que se acelera el ritmo de cambios en las organizaciones los

sistemas de control en su mayoría necesitan mejorar su control interno y así
aprovechar las oportunidades del negocio, con el fin de evitar riesgos y
manejar la incertidumbre. Esta nueva metodología proporciona la estructura
conceptual y el camino para lograrlo.
El control Interno COSO I fue un modelo que ayudo a muchas organizaciones

a tener un mejor manejo de su organización, pero dado algunos factores
internos y externos las organizaciones comenzaron a tener problemas, por lo
130
tanto este modelo fue permitiendo a las compañías mejorar sus prácticas de
control interno o decidir encaminarse hacia un proceso más completo de
Pá gina
gestión de riesgo. La premisa principal de la gestión integral de riesgo es que

cada entidad, con o sin fines de lucro, existe para proveer valor a sus distintos
“grupos de interés”. Sin embargo, todas estas entidades enfrentan
incertidumbres y el desafío para la administración es determinar qué cantidad
de incertidumbre esta la entidad preparada para aceptar, como esfuerzo, en
su búsqueda de incrementar el valor de esos “grupos de interés”. Esa
incertidumbre se manifiesta tanto como riesgo y oportunidad, con el potencial
de erosionar o generar valor. La gestión integral de riesgo permite a la
administración tratar efectivamente la incertidumbre, riesgo y oportunidad, de
tal modo de aumentar la capacidad de la entidad de construir valor. Además
no debemos olvidar que para el control resulta esencial un nivel de confianza
mutua entre la gente. La confianza mutua respalda el flujo de información que
la gente necesita para tomar decisiones y entrar en acción. Respalda,
además, la cooperación y la delegación que se requieren para un desempeño
eficaz tendiente al logro de los objetivos de la organización. La confianza está
basada en la seguridad respecto de la integridad y competencia de la otra
persona o grupo. La comunicación abierta crea y depende de la confianza
dentro de la organización. En el entorno en que estamos viviendo a diario se
aplican métodos de control que son informales, que no están necesariamente
ligados al de las organizaciones, sin embargo también esos métodos
tipificados en libros e instrumentos de control los podemos aplicar.
Control interno y control de gestión
Contrario a lo relativo a control interno y gestión de riesgos, materia de

control de gestión no existe un documento elaborado con el objetivo de
131
constituirse en un marco de referencia en cuanto a mejores prácticas al

respecto. Si existen importantes aportes de autores que brindan enfoques
Pá gina
alternativos, tanto encarando el tema desde una óptica global como aspectos

específicos vinculados con el mismo y con el diseño y empleo de técnicas y

herramientas para llevarlo a cabo con éxito. Una posible explicación de la
falta de un marco de referencia o estándar de buenas prácticas generalmente
aceptado la constituye el hecho de que el control de gestión en abstracto y
los diversos mecanismos e instrumentos que pueden utilizarse para llevarlo a
cabo están orientados a apoyar a la gerencia en el logro de los objetivos
organizacionales, pero no al control de la acción de la gerencia en
salvaguarda de los intereses de otros Stakeholders. Si bien la literatura
técnica en la materia es rica en referencias a la consideración del interés de
otros agentes con que la entidad interactúa, el punto es considerado allí
predominantemente como dato útil para la toma de decisiones acertadas en
el establecimiento de objetivos y en las acciones a llevar en pos de los
mismos antes que como un deber o una responsabilidad con carácter general
los distintos autores que se ha ocupado del control de gestión plantean que:
 Para la formulación de los objetivos empresariales deben considerarse

una serie de restricciones que los hacen más amplios y heterogéneos
que los intuitivos relacionados con la supervivencia de la entidad, con
su crecimiento y con su rentabilidad. El personal tiene objetivos
particulares relacionados con su remuneración y su estabilidad laboral;
los clientes tienen expectativas en cuanto a calidad, servicio y costo;
la comunidad espera que la actividad de la organización siga
determinadas reglas y tenga en cuenta un interés sutil; otros agentes
(el estado, los proveedores, los accionistas, etc.) también tienen
intereses particulares relacionados con ella.
132
 Para cubrir adecuadamente este conjunto de intereses toda, más o

organización establece, más o menos explícitamente y con mayor o
Pá gina
menor grado de formalidad, políticas y valores que las enmarcan, a la

vez que se organiza en base a una serie de actividades ( investigación

y desarrollo, marketing, compras producción etc.).
 La ejecución de esas actividades resulta influenciada tanto por

factores internos como por factores externos. Implica obtener y
emplear en procesos internos una serie de recursos que provienen del
entorno (materias primas, personas, personas, tecnología, información
etc.) el que también se retroalimenta con resultados de esos
procesos.
 Por consiguiente, es necesario que existan mecanismos de control que

faciliten que las actividades internas sean coherentes con los fines de
la organización y las exigencias del entorno.
Si bien las grandes corporaciones han venido empleando herramientas de

control de gestión desde bastante antes, es desde el último cuarto del siglo
XX que se viene percibiendo cada vez más la necesidad de disponer de
sistemas más formalizados de gestión que faciliten la dirección y
coordinación de las diferentes unidades y de las actividades que se realizan
en la organización. Esa necesidad ha crecido notoriamente por el efecto de
varios aspectos entre los cuales hay que destacar la mayor complejidad
organizativa de las organizaciones modernas ( mayor dimensión , mayor
diversificación de actividades, mayor internacionalización de las decisiones ),
la creciente profesionalización de su personal, la influencia y difusión de los
modelos de gestión de las grandes corporaciones , en particulares las
multinacionales y especialmente, la percepción de que el entorno en que
actúan las organizaciones se ha tomado progresivamente más dinámico y
133
hostil que en el pasado. (Amat, 2003).

Pá gina

Control de gestión
El control de gestión es la actividad que se desarrolla dentro de las

organizaciones dirigidas a asegurar el cumplimiento de su misión y objetivos
de sus planes, programas y metas de las disposiciones normativas que
regulan su desempeño, que la gestión sea eficaz y ajustada a parámetros de
calidad, además de esta importancia para las organizaciones empresariales.
El control de gestión es un proceso que sirve para guiar la gestión hacia los
objetivos de la organización y un instrumento para evaluarla. El control de
gestión sirve de guía para alcanzar eficazmente los objetivos planteados con
el mejor uso de los recursos disponibles de una organización para lograr los
objetivos, este modelo de control de gestión es un conjunto de procesos que
parten de las principales áreas claves dentro del sistema organizacional con
el fin de diseñar indicadores y estándares basados en los planes y programas
estratégicos intentados por la organización. Tales indicadores cuantitativos y
cualitativos son medidos por medio de índices confiables de desempeño,
gestionados por cuadros de mando que garantizan un monitoreo efectivo
para el cumplimiento de los objetivos del sistema. (Abad, 1997)
El control de gestión en las organizaciones establecen un control integral a

partir de la evaluación de los estados de los resultados de las actividades
administrativas y operativas, su proyección hacia el futuro, y la evaluación de
los resultados históricos por detectar variaciones y tendencias, con el
propósito de determinar la eficacia y eficacia. Unos de los objetivos es evaluar
si las organizaciones están cumpliendo con el objetivo para lo cual fueron
creados e identificar el valor que estas aportan, además, es un examen de
134
eficiencia, eficacia, economía y equidad en la administración de los recursos

Pá gina
por medio de la información interna como externa de tipo contable, comercial,

estadístico y operativo. Esta información al ser analizada permite evaluar

resultados históricos obtenidos del control de gestión que sirve de

herramienta en la toma de decisiones y su buen uso garantiza la efectividad
en la consecución de los resultados, la eficacia en su utilización y la eficacia
en su orientación. (Miranda, 2005).
Propósito del Control de Gestión
El propósito del control de gestión es organizar los objetivos o reducir la

discrepancia de estos entre la organización y sus miembros, para lo cual se
vale de herramientas y mecanismos que permiten la realización del proceso
básico de control. Las organizaciones realizan diversas actividades para lo
cual se estructuran en distintas elementos. Para que el comportamiento de
estas distintas áreas sea congruente con los fines y objetivos de la dirección,
es necesario disponer de mecanismos que permitan promover la coordinación
e integración de sus operaciones internas. Esta necesidad es especialmente
importante a medida que existe una mayor descentralización y autonomía en
las decisiones de las diferentes unidades de la organización. (Pérez, 2000)
En la medida que las organizaciones alcanzan una mayor complejidad y

tamaño, se hace conveniente realizar una progresiva descentralización de las
decisiones para permitir que las tareas operativas sean efectuadas por
quienes están más en contacto con dichas operaciones. En este caso, dado
que existe una mayor autonomía, es necesario asegurar que su desempeño
sea coherente con los objetivos de la organización. Igualmente, dado que la
descentralización implica que la dirección tiene menos información directa
sobre el funcionamiento de cada unidad, es necesario que existan
135
mecanismos que permitan compensar la pérdida de información que se

produce. El problema de la descentralización es que debe asegurarse que la
Pá gina
persona a quien se otorga una mayor autonomía, actué de la misma manera,

con los mismos criterios y prioridades con que lo haría la dirección de la

organización. Para ello es imprescindible tener un conjunto de elementos que
en definitiva, constituyen el sistema de control, que promueven que la
actuación de las diferentes personas y unidades estén alineadas con el resto
de las áreas de la organización y que este actuar coincida con los objetivos de
la dirección. La necesidad de un control gestión surge entonces como una
consecuencia del mayor grado de descentralización de las organizaciones y
pasa a ser especialmente importante a medida que las organizaciones se
enfrentan a condiciones de creciente competencia, con el fin de mantener o
mejorar su posición competitiva. (Huge, 1995).
Características del Control de Gestión
Todo sistema de control de gestión debe cumplir las siguientes

características: (Cibernaauta, 2000)
 Totalidad: El Control de Gestión cubre todos los aspectos de las

actividades de la Organización, es decir, no se limita aspectos
parciales, sino que todo lo mira desde una perspectiva de conjunto.
 Equilibrio: Una cualidad del Control de Gestión es que cada aspecto

en la organización tiene su peso justo, esto indica que cada variable
tiene la importancia que corresponde.
 Generalidad: Esta característica está asociada con la característica de

Totalidad. El Control de Gestión debe ser capaz de analizar cada
136
situación que se presente en términos generales, no centrándose en su

detalle.
Pá gina

 Oportunidad: Plantea que el Control de Gestión debe tender a ser

preventivo, lo que implica que se debe establecer controles a través de
todas las actividades que conforman un proceso y no solamente al
término de éste.
 Eficiencia: El Control de Gestión busca la consecución de los
objetivos apuntando el centro de los problemas.
 Integración: Para el Control de Gestión los diversos factores se
contemplan dentro de la estructura de la Organización, para ver las
repercusiones de cada problema en su conjunto.
 Creatividad: Consiste en la búsqueda continua de indicadores
significativos y de estándares para conocer mejor la realidad de la
Organización y encaminarla en forma más certera hacia sus objetivos.
 Impulso a la acción: El Control de Gestión incentiva a la participación
de todo el recurso humano que labora en la Organización .

 Periódico: Sigue un esquema y una secuencia predeterminada.
 Selectivo: Debe centrarse sólo en aquellos elementos relevantes para

la función u objetivos de cada unidad.
 Creativo: Continua búsqueda de índices significativos para conocer

mejor la realidad de la organización y encaminarla hacia sus objetivos.
 Adecuado: El control debe ser acorde con la función controlada,

buscándolas técnicas y criterios más idóneos.
 Adaptado: A la cultura de la organización y a las personas que forman

parte de ella.
137
 Motivador: Debe contribuir a motivar el comportamiento deseado más

Pá gina
que a coaccionar.

 Servir de Puente: Entre la estrategia y la acción, como medio para el

despliegue de la estrategia en la organización.
 Flexible: Fácilmente modificable, con capacidad de cambio.
El modelo integral de control de gestión se estructura de acuerdo a los

siguientes procesos o fases:
 Planeación del sistema a controlar.

 Identificación de áreas claves, variables y procesos críticos.
 Diseño del sistema de indicadores.
 Diseño del o de los instrumentos de control.
 Diseño de la presentación de la información.
 Implantación del sistema de control.
Planeación del sistema a controlar
Todo sistema de control de gestión requiere de unos objetivos y estrategias

con las necesidades de la organización y de sus usuarios. Para ello, la
organización debe contar con un sistema de planeación acorde a tales
necesidades y a sus intereses, en tal sentido, la planeación estratégica
constituye el punto de partida del sistema de medición organizacional ya que
define claramente los objetivos, las estrategias y las actividades del área.
(Serna, 2000).
138
Los condicionantes del control de gestión

Pá gina

En control de Gestión como en otras definiciones existen limitantes que

impiden su correcto funcionamiento e impedimento en el cumplimiento de sus
objetivos, (Mira, 2012)
 El entorno es el primer condicionante en Control de Gestión: Este

puede ser un entorno estable o dinámico, variable cíclica o
completamente atípico. La adaptación al entorno cambiante puede
ser la clave del desarrollo y éxito de la organización.
 Los objetivos de la Organización: Estos también condicionan el

sistema de control de gestión, según sean de rentabilidad, de
crecimiento, sociales y medio ambientales, etc.
 La estructura de la Organización: Según sea funcional o divisional,

implica establecer variables distintas y por ende objetivos y sistemas
de control también distintos.
 El tamaño de la Organización: Este está directamente relacionado con

la centralización. En la medida que el volumen aumenta es necesaria
la descentralización, pues hay más cantidad de información y
complejidad creciente en la toma de decisiones.
 La Cultura de la Organización: En el sentido de las relaciones

humanas en la organización, es un factor determinante del control de
gestión, sin olvidar el sistema de incentivos y motivación del personal 139
Pá gina

Las herramientas del control de gestión
Las herramientas que colaboran al control de gestión son la planificación y

los presupuestos, (Emprenden, 2013):
 Planificación: Consiste en adelantarse al futuro eliminando

incertidumbres. Está relacionada con el largo plazo y con la gestión
corriente, así como también a la obtención de información básicamente
externa. los planes se materializan a través de programas.
 El Presupuesto: Este está más vinculado al corto plazo. Consiste en

determinar de forma más exacta los objetivos, concretando cuantías y
responsables. El presupuesto aplicado al futuro inmediato se conoce
como planificación operativa; se realiza para un plazo de días o
semanas, con variables cuantitativas y una implicación directa de cada
departamento. El presupuesto se debe negociar con los responsables,
no se debe imponer, porque originaria desinterés en la obtención de los
objetivos.
La comparación de los datos reales, obtenidos de la contabilidad, con los

previstos puede originar desviaciones, cuando no coinciden. Las causas de
esta situación pueden ser:
 Errores en las previsiones del entorno: Estimación de ventas,
coste de ventas, gastos generales, etc.
 Errores de método: Existe poca descentralización, escaso rigor

temporal, falta de coordinación entre contabilidad y
140
presupuestos, etc.
Pá gina

 Errores en la relación medios-fines: Cifras ambiciosas,

incorrecto uso de los medios, etc.
Todas estas desviaciones son analizadas para tomar decisiones, tanto

estratégicas (revisión y/o cambio de plan y programas), como tácticas u
operativas (revisión y/o cambio de objetivos y presupuestos). Se pueden citar
otras herramientas operativas como la división de centro de responsabilidad,
el establecimiento de normas de actuación, la dirección por objetivos. Los
costos basados en la actividad y la evaluación de las inversiones.
Modelo Integral
El modelo integral de control de gestión se estructura de acuerdo a los

siguientes procesos o fases:
Planeación del sistema a controlar.

Identificación de áreas claves, variables y procesos críticos.
Diseño del sistema de indicadores.
Diseño del o de los instrumentos de control.
Diseño de la presentación de la información.
Implantación del sistema de control.
Etapas del control de gestión
En la ejecución de control gestión se establece la aplicación de diferentes

141
metodologías complementarias, las cuales permiten cuantificación de análisis

financiero, indicadores de gestión y de resultados. Excedente de
Pá gina

productividad. Análisis costo beneficio (evaluación de proyectos económica y

social). Estas etapas son:
 Etapa de planeación: En esta etapa se busca obtener información

general sobre la organización en relación a su normatividad,
antecedentes, organización, misión, objetivos, funciones, recursos y
políticas generales, procedimientos operativos y diagnósticos o estudios
existentes sobre la misma. Así mismo se determina los procedimientos a
seguir para la ejecución del control de gestión como la cobertura, el
periodo de análisis y la elaboración de los papeles de trabajo (formatos,
base, y anexos), en los que se reclasificara la información financiera.
Esta información permite apreciar las áreas críticas de la organización,
sirviendo de apoyo para la elaboración de las diferentes metodologías
aplicables en el control de gestión, el cronograma de actividades,
distribución del trabajo y el tiempo de ejecución. Costa de dos fases:
 Inducción y conocimiento de la Organización: Con la

finalidad de establecer el objeto social, funciones, y
contextos macroeconómico de las organizaciones, se debe
recopilar información tanto de la organización como
complementaria, mediante entrevistas, inspección ocular,
consulta de archivos, recopilando información como normas
de creación y reglamentación, naturaleza jurídica, estructura
organizacional, manuales de funcionamiento y
procedimientos, objetivos reglamentos internos programas
142
técnica estadísticas, etc.

Pá gina
 Manejo de la Información: Una vez que se ha determinado

el objeto social y funciones de la organización, se procede a

la reclasificación de la información financiera en los

formatos bases y anexos. El objeto de reclasificar la
información financiera y establecer anexos, es disponer de
información depurada para lograr un mejor análisis en los
diferentes rubros que compone los estados financieros
(balance y estado de pérdidas y ganancias), detectar áreas
críticas, establecer tendencias y desviaciones.
 Etapa de ejecución: A la información recopilada y procesada se le aplican

las metodologías determinadas para la mediación de la eficiencia,
eficacia, economía y equidad
 Eficiencia: Que mida eficiencia en el análisis financiero, examen de los

costos, rentabilidad, índice de productividad.
 Economía: En indicación de asignación de recursos, indicadores

financieros, análisis de las variables y evaluación económica.
 Eficacia: En indicadores específicos, indicadores complementarios.
 Equidad: para tener valor agregado, distribución del excedente total,

resultados de operación
Tipos de indicadores de gestión
En control de gestión Existen diversas clasificaciones de los indicadores

de gestión. Según los expertos en contabilidad Gerencial, los
indicadores de gestión se clasifican en seis tipos: (Accid, 2010):
143
 De ventaja competitiva
Pá gina
 De desempeño financiero

 De flexibilidad
 De utilización de recursos
 De calidad de servicio
 De innovación
Los dos primeros son de resultados y los otros cuatro tienen que ver con los
medios para lograr esos resultados
Otra clasificación al tema de los indicadores de gestión es el Balance

Scorecard, que plantea la necesidad de hacer seguimiento, además de los
tradicionales indicadores financieros, de otros tres tipos. Perspectiva del
cliente, perspectiva de los procesos y perspectiva de mejora continua.
Tradicionalmente, las organizaciones han medido su desempeño basándose

exclusivamente en indicadores financieros clásicos (aumento de ventas,
disminución de costos, etc.). La gerencia moderna, sin embargo, exige al
gerente realizar un seguimiento mucho más amplio, que incluya otras
variables de interés para la organización. (Dino, 2008)
Criterios para establecer indicadores de gestión
Para que un indicador de gestión sea útil y efectivo, tiene que cumplir con una
serie de características, entre las que destacan: (Fuentes & Pinto, 2009):
144
 Relevante: que tenga que ver con los objetivos estratégicos de la

organización.
Pá gina

 Claramente definido: que asegure su correcta recopilación y justa

comparación.
 Fácil de comprender y usar, comparable. Que se pueda comparar sus

valores entre organizaciones, y en la misma organización a lo largo del
tiempo.
 Verificable y costo efectivo: que no haya que incurrir en costos

excesivos para obtenerlo.
El control de gestión en la actualidad
Después de los últimos acontecimientos vividos en las economías a nivel

mundial se hace, cada vez más necesario, enfatizar sobre la importancia del
control de gestión dentro de las organizaciones todo ello sin entrar en el
debate sobre la necesidad de la existencia o no de organismos externos de
control.
A lo largo del expuesto intentamos dar respuesta a una pregunta con la que
se pone de manifiesto el porqué de la necesidad de la existencia del control
de gestión dentro de las organizaciones. Antes de dar respuesta a esa
pregunta haremos una breve referencia a la evolución histórica del control de
gestión a lo largo de los años que podemos sintetizar para comenzar de la
siguiente manera:
145
Históricamente el Control de Gestión tradicional estaba orientado hacia el

Pá gina
pasado, con una visión desde dentro de la organización. Se expresaban los

objetivos y los resultados en términos financieros y, la eficiencia productiva se

entendía como la disminución de los costos. Se basaba en cifras y en aportes
de documentación y se centraba en la verificación de los datos y en el análisis
de las desviaciones. El Control de Gestión estaba principalmente orientado
hacia el control y la administración de recursos, el conocimiento estaba
concentrado en los directivos y era válido para sistemas cerrados.
El Control de Gestión en la actualidad está más orientado al futuro con una

visión hacia el cliente y hacia la competencia en un entorno dinámico. Se
utilizan como apoyo para una buena gestión, indicadores financieros y no
financieros y, no sólo se fija en los costes sino en el valor. Está basado en el
planteamiento de alternativas y planes de acción y, además de la verificación
marca los puntos críticos. El Control Gestión actual está orientado hacia la
consecución de cambios en el comportamiento y al aprendizaje, el saber es
utilizado por todos y es un control de gestión válido para sistemas abiertos y
descentralizados. Después de una breve referencia a su evolución a lo largo
de los años, la primera pregunta que nos hacemos para ver si existe una
justificación del mismo es “¿Por qué es necesario el control?”
En la actualidad el mundo empresarial se caracteriza por un entorno

cambiante, muy competitivo y con reglas que varían constantemente. El éxito
empresarial exige una continua adaptación de la organización a su entorno y,
la competitividad se convierte en el criterio económico por excelencia para
orientar y evaluar a la organización. Para conseguir dicha competitividad las
organizaciones necesitan controlar la rentabilidad y productividad de su
146
proceso económico y, para ello tienen que fundamentar en la organización

definición y asignación de actividades y responsabilidades, la coordinación y
Pá gina
planificación de las tareas y el establecimiento de mecanismos de

seguimiento y control. Todo ello nos lleva a pasar por una serie de etapas

dentro de la gestión de la actividad empresarial que son la planificación, los

presupuestos, la ejecución y el ciclo se cerraría con el control ; cada una de
ellas necesarias y que configuran un proceso continuo e interactivo en el
tiempo. Así podemos concluir que el control de gestión es un sistema cuyo
sustento es el control. Y que es indispensable en toda organización,
departamentos y actividades para apoyar a la alta gerencia en la toma de
decisiones para el cumplimiento de sus objetivos y estrategias y por ende
alcanzar el éxito esperado. (Fuentes & Pinto, 2009).
147
Pá gina

CAPITULO IV
La Calidad y Seguridad de los
Sistemas de Información
148
Pá gina

Calidad y Seguridad de los SI
Podemos comprender que la información es parte de autores abocados a

recaudar recursos que permitan en el corto y largo plazo desarrollar recursos,
generar aportes a la economía sea esta tipo país, bloques económicos o
tratados internacionales; la seguridad es fundamental tanto como el proceder
en la explotación del caudal informacional. Es importante que la información
sea cualitativamente superior tanto en productos y servicios, debiendo
satisfacer las necesidades informacionales de los usuarios. (Valdes, 1999).
“Los conocimientos científicos y su desarrollo constituyen actualmente uno de

los factores más importantes en la transformación del mundo contemporáneo.
En este empeño, resulta de extraordinaria importancia la explotación del
enorme caudal de recursos informacionales existentes para la toma de
decisiones en las instituciones. Una decisión informada contribuye, claro está,
a un crecimiento y desarrollo seguro de las instituciones y de la economía de
un país. Tanto así que el acceso rápido y eficiente a una información confiable
y precisa permitirá adoptar una posición adecuada en momentos de toma de
decisiones. Solucionar problemas a un menor costo. Será posible si se ha
realizado previamente un proceso de análisis de la información, siempre
que se haya adicionado un conjunto de valores pertinentes a partir del trabajo
intenso que realizan especialistas entrenados en el uso de las técnicas de
información”. Dado lo anterior tenemos que la creación de nuevos productos
y servicios con alto valor añadido es un factor que destacará a especialistas
de la información en este momento de las TI. (Valdes, 1999).
149
Pá gina

Círculos de Calidad
Sus orígenes datan desde la Segunda Guerra Mundial. La implementación y

técnicas para tecnología, entre algunos expertos tenemos al Dr. W.E. Deming
y Dr. Jurán quienes introducen la importancia de la estadística del control de
calidad. Una definición de círculos de calidad sería “un pequeño grupo que
debe realizar las actividades del Control de Calidad dentro del mismo taller,
citado por Sr. Koichi Ohba. Otro autor explica que “es un grupo pequeño en
que todos los miembros participan al máximo en forma voluntaria y continua
dentro del taller al que pertenecen, como parte de las actividades del control
total de calidad de la organización, utilizando técnicas de control y
mejoramiento”. En síntesis de las definiciones anteriores podemos concluir
que los círculos de calidad son un grupo de personas que voluntariamente se
reúnen con el propósito de mejorar, identificar, analizar y resolver problemas
relacionados con su trabajo. (Gutierrez, 1994).
Dentro de los beneficios y técnicas de los Círculos de Calidad. Los beneficios

son un mejoramiento y desarrollo de la organización, aumentando la moral en
los trabajadores al hacerlos participes en solucionar problemas. Se mejora
significativamente la comunicación entre los distintos niveles de la
organización. Para ello se deben considerar algunas técnicas y características
que serán mencionadas a continuación (Gutierrez, 1994):
 Técnicas:
150
 Tormenta de ideas
 Técnicas para selección de problemas
Pá gina
 Diagrama de Ishikawa o de causa-efecto.

 Técnicas para recopilación de datos.

 Diagrama de Pareto.
 Graficas e histogramas
 Técnicas de presentación de trabajo a la gerencia.
 Características generales de los círculos de calidad
 El tamaño de un círculo puede variar en cantidad de personas

desde tres o más personas, siempre que se asegure la
participación de todos los miembros.
 La duración del circulo ira en la decisión que tomen sus
miembros, aunque se promueva la continuidad y permanencia.
 En cada círculo debe existir una persona que haga funciones de
conductor o líder, asegurando la operatividad del grupo bajo
aptitudes de entrenamiento, motivación, etc.
Los círculos de calidad como aportes nipones fueron los que se dieron a
conocer al resto del mundo, por sus reuniones periódicas para el análisis
funcional de la producción y propuestas de dirección. Actualmente se unen a
los círculos de calidad los trabajos desarrollados por autores como Deming,
Juran o Ishikawa, los que han posibilitado la creación de una nueva cultura
empresarial. El surgimiento del concepto de aseguramiento de calidad
pretende dar a clientes la confianza respecto del producto final y la manera en
que este ha sido elaborado. (Alvarez, Alvarez, & Bullón, 2006).
La cultura de la calidad se puede definir como una nueva filosofía que forma
parte del trabajo en la que todos los que forman parte de la organización
151
fomentan conjuntamente la mejora continua. La calidad surge como concepto

sistémico de actividades desarrolladas en cualquier organización. Teniendo
Pá gina
presente que la calidad representa un proceso de mejora continua con

participación de todas las áreas de la organización, participando en el

desarrollo de productos y prestación de servicios, todo gracias muchas veces
a involucrar e incentivar en muchas organizaciones a un cambio de cultura.
Con el cambio cultural también propuesto en los círculos de calidad, es
posible la evolución hacia la cultura empresarial. Conjuntamente con el
cambio es posible la evolución organizacional, trayendo consigo la
proposición de nuevas metas, entre algunas de estas proponemos las
siguientes, (Salvador & Angós, 1999):
 Poder llegar a las expectativas del cliente y hacer resurgir en él nuevas

necesidades.
 Reducción y eliminación al máximo defectos producidos a lo largo del
proceso productivo.
 Otorgar respuestas inmediatas a solicitudes de clientes.
 Disfrutar de una categoría empresarial que aspira siempre a la
excelencia.
Factor Humano en los SI
El factor humano es de relevada importancia para la creación de productos y

servicios de valor añadido, evaluándolos y perfeccionándolos de forma
continua. Para ello se necesita la tecnología y recursos que estén disponibles
informacionalmente como un factor de innovar y también de proporcionar alta
calidad. (Valdes, 1999).
El esfuerzo continuo para el mejoramiento de las comunicaciones en los

152
recursos humanos, es esencial para el emprendimiento de cualquier actividad

que requiera de información y por supuesto calidad, el que los datos se
Pá gina
recopilen. Un ejemplo de recogida de datos es que el objetivo es identificar

sistemas que sean ineficientes más que a personal que trabaje en una
organización que sea considerada perezosa. La idea que persigue el autor es
que una buena comunicación con los compañeros de trabajo motiva el
compañerismo y la mejora en la recopilación de datos que tiendan a ser de
calidad. La recopilación de datos útiles entre distintos trabajadores que son a
nivel departamental como interdepartamental, busca confiabilidad, datos libres
de errores en cuanto a su medición. Datos que se encuentren libres de
errores en los procedimientos. Es recomendable no caer en la búsqueda de
datos que no sean útiles, al contrario es importante enfatizar tácticas básicas
tales como saber exactamente por qué se recopilarán datos que proporcionen
calidad, que logren fomentar la estabilidad en los SI. Al hablar de recopilación
se deber tener presente que solución hay para muchos inconvenientes en la
toma de decisiones y por consiguiente en la información. Se debe además
desarrollar soluciones apropiadas en apoyos por información contenida sobre
datos apropiados conociendo la causa que originó problemas en el
tratamiento de la información, si es que no se cumplen procedimientos
establecidos en una planificación y ejecución cuidadosa del tratamiento de la
información. (Scholtes, 1991).
Preparación y realización de productos y servicios de información

de valor añadido
Algunos factores de importancia que intervienen en la preparación como en el

suministro de productos y servicios de información con valor añadido serán
nombrados a continuación, (Valdes, 1999):
153
 En un sistema de información que estructuradamente sea fuerte

deberá existir necesariamente objetivos y misiones bien definidos, que
Pá gina
orienten al usuario.

 El conocimiento profundo sobre las necesidades de información de los

usuarios, como del medio en que desarrollan su actividad.
 Se requiere de formación profesional y técnica de especialistas que
participen en la preparación como en la entrega de productos y
servicios relacionados con la información.
 Disponer de Infraestructura tecnológica y recursos necesarios para
satisfacer las especificidades de los productos o de los servicios de
información y su accesibilidad a los usuarios.
 Poder llegar a tener la capacidad de modificar y perfeccionar de una
manera dinámica lo que se tiene en el entorno; y como se puede
aplicar en el producto o servicios. Para ello se puede plantear como
objetivo considerar el entorno donde se puede aplicar el producto o
servicio. En síntesis es la tener la capacidad de modificación y
perfeccionamiento dinámico, lo que se tiene y considera en el entorno
donde se aplica el productos o servicio que ha sido menos valorado o
que haya perdido su valor.
 Tomar en consideración la revisión sistemática de cada una de las
etapas que requieren la preparación de productos o servicios.
Programar revisiones sistemáticas de cada una de las etapas de
preparación de productos o servicios, con el objetivo de asegurar la
revisión sistemática de cada una de las etapas de preparación de
productos o servicios, con el objetivo de asegurar el cumplimiento de
requerimientos del usuario y la calidad que se exige.
Se puede considerar al valor en la calidad y cantidad de la información como

154
un factor de importancia en el logro de objetivos que estén bien definidos,

tanto así clarificados para un correcto flujo de la información. El llegar a
Pá gina
conocer las necesidades de la organización sean estas de tipo familiar,

burocráticas, por resultados o ad hoc. Pudiendo ser el tipo y clasificación

cualitativa y cuantitativa de información formalizada o no. Ser capaz de

detectar modificaciones en torno a la información, esto dependiendo de tipos
y procedimientos que regulen tal materia en la calidad; concordando con
objetivos de cumplimiento hacia el logro de metas mediante informes que
sirvan para determinación de tareas. (Valdes, 1999).
Ciertamente con anterioridad de empezar a evaluar una fuente de

información, hay que tener presente una serie de cuestiones. Primeramente
habrá que preguntarse qué estamos buscando, qué tipo de información
necesitamos, cuál es el objetivo de nuestra búsqueda. De forma similar que
cuando realizamos una búsqueda de información en una base de datos, y
evaluamos los resultados en función de nuestras necesidades de información,
también deberemos unificar criterios al evaluar fuentes de información
encontradas en Internet, sobre todo teniendo en cuenta la gran variedad de
material que podemos encontrar (opiniones, estadísticas, argumentos,
hechos, informes, etc.); la falta de uniformidad nos podría llevar a que muchas
veces no podremos aplicar todos los indicadores o items que explicados en
este trabajo. La tenencia de objetivos y tipo de información necesaria
ayudará a discriminar rápidamente información no útil, aunque pueda ser de
calidad. (Salvador & Angós, 1999).
Del párrafo anterior se debe tener presente que la información debe apoyar a
la trasmisión, gestión de datos y conocimiento. Dado esto es un factor de
riqueza. Como fuente, la información puede estar presente en la actualidad en
redes de internet apoyada en lea World Wide Web y su amplio dominio, como
155
asimismo se postula a la problemática intrínseca de encontrar páginas con

redundancia y bajo nivel de calidad. El “Ruido” producto de variadas
Pá gina
definiciones, muchas veces ambiguas o diferentes, es producido al tener en la

WWW información mezclada de baja y alta calidad. Se puede reconocer a la

alta calidad cuando está solidificada en fundamentos. Por ello se explica al

lector lo fundamental que es priorizar en o los objetivos, a tener presente al
momento de canalizar una correcta y prudente información. Es relevante tener
bien claro hacia dónde se quiere llegar y mediante qué fin se podrá realizar.
(Salvador & Angós, 1999).
El correo electrónico como vía para facilitar el acceso a los

productos y servicios de información de valor añadido
Para la obtención de un producto/servicio de información que sea más

adecuado, uno de los factores más relevantes es maximizar su
exposición/accesibilidad. Muchos de los autores que tratan la información
tienen en común que la información es la mejora de la exposición a los
recursos informacionales y su accesibilidad a los usuarios. La información
deberá estar presente en todo momento oportuno y requerida por los
diferentes usuarios que interactúan con ella. Esto es como se menciona
anteriormente básico para exponer recursos, citamos la definición anterior
para que se pueda comprender cuán importante es dar a conocer información
útil como los estados financieros, estadísticos, análisis de presupuestos y
toma de decisiones para un adecuado control de gestión. (Valdes, 1999).
“El correo electrónico se ha convertido actualmente en una vía de

comunicación idónea para la trasmisión de información. Entre sus ventajas se
destacan, (Valdes, 1999):
156
 Flexibilidad de los formatos.

 Facilidad de distribución.
Pá gina
 Alcance.

 Inmediatez.
 Cumplimiento de la periodicidad.
 Ahorro de recursos, que incluye capacidad de memoria en las
microcomputadoras.
 Inocuidad para el medio”.
Respecto a los puntos anteriores se destaca la función de información, tanto

entrega de calidad dependerá de:
 La flexibilidad en formatos que sea adaptable al requisito de entrada

como de salida de un documento o procedimiento.
 La facilidad de distribución haga posible que la comunicación pueda
ser masiva como también llegue a los destinatarios necesarios.
 Los demás puntos hacen referencia a los tiempos destinados al
proceso, la capacidad de MG de los correos personales como
corporativos.
 Como punto la inocuidad es esencial en esta era, debido a la
priorización y cuidado del medio ambiente. Esto podría definirse como
la necesidad de eliminar impresos no necesarios, tomando las medidas
necesarias que apoyen al reciclaje de materias primas como es la hoja.
Mediante el correo electrónico es posible rebajar en forma considerable
impresiones no necesarias. Esto para cumplimiento de los SGC
actuales.
El liderazgo enfatiza la calidad de los resultados al trabajar en los métodos

157
más idóneos, por consiguiente como se indica anteriormente es necesario

que el liderazgo activo en la solución a problemas sea oportuno y eficaz. El
Pá gina
dar prioridad al análisis, juicio y decisión en una mejora constante hacia los
usuarios internos y externos de la información, de manera que el

producto/servicio final sobrepase las expectativas de valor añadido en la

información. Evitando en la justa medida el exceso de información que lleva a
una errónea toma de decisiones. El aporte de una información de calidad es
fundamental para que los procesos no creen desechos, por lo cual el trabajo
debe repetirse en búsqueda de soluciones y por consiguiente no genere
tiempo perdido. La creación de valor agregado en la información es posible
lograrla por medio de la excelencia en cada aspecto de los SI y las
tecnologías informáticas. Es importante recalcar que un liderazgo en el
recurso humano contribuye a la creación de un lugar de trabajo que fomente
la contribución de todos hacia la compañía. (Valdes, 1999).
Un buen liderazgo de Calidad: a continuación se presenta un bosquejo que

representa la alternativa de un buen liderazgo de calidad. Este mismo
liderazgo enfatiza los resultados al trabajar los métodos. La creación de
excelencia es fundamental para cada aspecto de la compañía. Considerando
al liderazgo de calidad para que el lector tenga en conocimiento que el trabajo
en equipo es importante para lograr una toma de decisiones óptima. Una
correcta toma de decisiones deberá ser basada en datos y no en conjeturas.
Un buen mejoramiento de los servicios de información es como se basan los
métodos en tratar la información. (Scholtes, 1991).
Reacción en Cadena de Deming
Este ciclo representa un modo de hacer, un modo de trabajar e inclusive una

cultura de la cual la organización funciona. Esto apunta como la mejora
158
continua, como planificación, desarrollo, control y análisis. A continuación se

detallan las bases de todo sistema de gestión de calidad, (Alvarez, Alvarez, &
Pá gina
Bullón, 2006):

 Planificación de objetivos que se pretenden conseguir recursos que se

utilizaran en su desarrollo y plazos de consecución. Se comienza
planificando seleccionando las fuentes que aporten información
necesaria para una toma de decisiones oportunas en todo momento.
Una vez recogida y tratada la información como datos se debiera
determinar los objetivos, el plazo de la consecución, y de seguimiento
de los mismos, así como el método de trabajo que va a utilizar para
lograrlo.
 Desarrollo es la fase más complicada, en un principio consiste en
ejecutar las decisiones tomadas durante la fase de planificación; sin
embargo, dicho proceso conlleva una complejidad que suele pasar
inadvertida. Puede percibirse como una fase sencilla, pero puede
resultar la más complicada.
 El control se puede realizar mediante la recogida de información
procedente de diferentes fuentes. Se busca funcionar mediante
seguimiento de objetivos, control de no conformidades; control de
reclamaciones; seguimiento de acciones correctivas, preventivas o de
mejoras adoptadas; realización de auditorías de control, entre otras.
 Análisis realizado principalmente por la dirección de una organización,
o cualquier otro órgano definido con la misma capacidad de decisión.
Durante la revisión se elaboran comparaciones entre el resultado
obtenido en la fase de control correspondiente y el resultado previsto
para el cumplimiento de un objetivo ya finalizado en un plazo ya
finalizado. Por consiguiente con resultados, se podrán corregir medidas
159
respecto al rumbo adoptado, siempre que no se haya utilizado

correctamente el método de trabajo; o no se dieran los métodos de
Pá gina
trabajo más apropiados.

 Al aplicar estos cuatro parámetros se podrá controlar el

funcionamiento de cualquier actividad en una organización adaptando
fuentes de información necesarias y, los tiempos oportunos de
medición y seguimiento. Se realiza y asegura un trabajo gracias a la
mejora continua derivado del análisis efectuado.
Secuencia del Círculo de Deming
Mejorar la calidad Reduce los Mejora la

Costos productividad
Supervivencia Aumenta la Reduce los

de la participación del Precios
Organización
Provee nuevos Rentabilidad

puestos de trabajo
(Scholtes, 1991).
El autor cita la secuencia anterior explicando que por cada mejora, los
procesos y los sistemas pueden operar mejor. La productividad aumenta a
medida que el gasto inútil decrece. Los consumidores reciben mejores
productos lo que a la larga aumenta la participación de mercado y provee
mejor rentabilidad. Dado el cuadro anterior las mejoras no pueden ocurrir sin
160
la participación de todos, sin que haya una perspectiva fundamentalmente

distinta de la relación entre el recurso humano que maneja información y la
Pá gina
propia organización. (Scholtes, 1991).

La filosofía que propuso Deming fue variando a medida que el propio autor
llegaba a una mayor experticia y dominio de su propia filosofía. Ya cercano al
final de su vida realizó una síntesis a las bases subyacentes a los puntos
mencionados anteriormente, identificándolo como un “un sistema de
profundos conocimientos”. Este sistema se relaciona por cuatro partes
interrelacionadas (Scholtes, 1991):
 Apreciación de un sistema.
 Comprensión de la variación.
 Teoría del conocimiento.
 Psicología.
El análisis anterior es de vital importancia considerando que la filosofía de la

calidad radica en la visión de la alta gerencia tenga respecto a la calidad, y
que la misma sea necesaria para transmitir, definir y establecer dentro de la
organización. Podemos entonces dar a conocer al lector que la filosofía de
Deming y los 14 puntos sustentan a la norma ISO 9000. (Evans, 2000) citado
(Monzon, 2007).
14 Puntos de Deming
1 Crear y publicar un enunciado de objetivos y

propósitos de la organización para todos los
empleados. La administración debe demostrar
constantemente su compromiso respecto a este
161
enunciado.
2 Tanto la administración superior como todos los
Pá gina

empleados deben aprender la nueva filosofía.

3 Comprender el propósito de la inspección para la
mejora de los procesos y reducción de costos.
4 Terminar con la costumbre de asignar contratos
basados simplemente en el precio de venta.
5 Mejorar constantemente y para siempre el sistema
de producción y el servicio.
6 Instituir la capacitación
7 Enseñar e instituir el liderazgo.
8 Eliminar el miedo, crear confianza. Crear un clima
para la innovación.
9 Los esfuerzos de equipos, grupos y áreas de
personal asesor deben optimizarse para cumplir
objetivos y propósitos de la organización.
10 Eliminar exhortaciones a la fuerza de trabajo.
11 a) Eliminar las cuotas numéricas de producción.
En vez de ello, conocer e instituir métodos de
mejora.
b) Eliminar la administración por objetivos. En
vez de ello, conocer las capacidades de los
procesos y cómo mejorarlos.
12 Eliminar barreras que despojan a las personas del
orgullo de un trabajo bien realizado.
13 Alentar la educación y la auto-superación para todos
los empleados.
162
14 Entrar en acción para que se lleve a cabo la

Pá gina
transformación.

(Evans, 2000) citado por (Monzon, 2007).
El por qué se menciona los puntos indicados anteriormente al lector, es para

dar a conocer que mediante la excelencia en utilización de recursos humanos
y tecnológicos se puede obtener una buena calidad de información que sea
sustentada en la confiabilidad de los sistemas. De los puntos anteriores es
necesario considerarlos uno por uno en un trabajo de equipo de quienes
entiendan estos conceptos y para que el lector comprenda la importancia de
cómo funcionan juntos y la importancia en una organización de calidad, que
intrínsecamente debiera tener como finalidad entender el funcionamiento en
conjunto de los 14 puntos mencionados. (Scholtes, 1991).
Se citan los puntos que más se asimilan en calidad de la información según el

cuadro anterior, (Scholtes, 1991):
1 Crear constancia del propósito hacia el mejoramiento de los

productos y servicios, con el fin de volverse competitivo y
mantenerse en los negocios y generar empleos.
6 Instituir la capacitación en el trabajo. Que relaciona
información en procederes y por lo tanto esta
intrínsecamente en la calidad de la información.
9 Demoler las barreras entre departamentos. El personal de
investigación, diseño, ventas y producción debe trabajar en
equipo para anticipar problemas de producción y de uso que
se puedan encontrar en el producto o servicio. Siendo
163
importante la comunicación para los diversos

departamentos y, la calidad y cantidad de información.
Pá gina
Siendo importante como se procesa la información y el

resultado final para la alta dirección en obtenerla lo más

oportuna, para la correcta toma de decisiones.
13 Instituir un programa vigoroso de educación y de auto-
mejora propio. Esto es viable mediante la capacitación e
incentivo del personal para que mejore al tratamiento de
muchos aspectos, incluyendo la información tornándola de
calidad. Los programas o software de aprendizaje para
proveer al trabajador de nuevas herramientas que le
permitan adoptar nuevas tecnologías y elevar el estatus
académico del recurso humano existente.
14 Hacer que todo el mundo en la compañía trabaje para lograr
la transformación. La transformación es tarea de todos.
“Asumir la filosofía de calidad total en la preparación y el suministro de los

productos/servicios de información es un factor esencial, dado su objetivo
central de obtener resultados con un alto nivel de calidad en todos los
aspectos del trabajo”. (Valdes, 1999).
“El enfoque al cliente y la satisfacción plena de sus necesidades son

elementos fundamentales de su proyección. El correo electrónico es una vía
rápida de comunicación que facilita la distribución y el uso de los
productos/servicios informacionales, con lo cual se añade valor a la
información que se ofrece”. (Valdes, 1999).
164
Sistema de Control de Gestión como SI

Pá gina

En la globalización la competitividad juega un rol importante para dar mejores

servicios y realidad a clientes. Una forma de enfrentar la necesidad de
información en una organización o organización es mediante informes que
controlen el cumplimento final de los objetivos a conseguir. Los informes
estructurados de diversa forma y manera permiten que diferentes
responsables tengan controlado su actuar en el cumplimento final de la
consecución de objetivos, y les ayuda a la toma de decisiones en caso de
ocurrencia de desviaciones. Por tal motivo es necesario tener presente al
cumplimiento de diferentes tipos de informes. Tal como sus características,
formas, tipos (comerciales, productivos, compra y almacenes, administrativo-
financiera, recursos humanos). Como ventajas de estos informes es que dan
a conocer aspectos claves de las ventajas o limitaciones de un negocio.
Cumplen un requisito fundamental para poder ser utilizados en el sistema de
control de gestión. Una ventaja que se puede señalar en este informe es que
son una parte muy importante del sistema de información. (Muñiz, 2003).
Se postula que las limitaciones que pudieran tener aspectos claves son,
(Muñiz, 2003):
 Existencia de un sistema de información que no permite identificar

aspectos claves.
 Forma de obtención que no siempre es debido a criterios u objetos
concretos.
 La dificultad o laboriosidad de obtención información del origen de los
mismos.
165
 No siempre el origen de la información interna de la organización, sino

que a veces dependen de información externa que no es fácil de
Pá gina
identificar y de corregir. (Muñiz, 2003):

AREA ASPECTOS CLAVE A MEDIR

Fabricación  Capacidad de producción utilizada o productividad
conseguida.
 Control de stocks: rotación y antigüedad.
 Control de costes por productos y procesos.
 Calidad de los materiales utilizados.
 Calidad de los productos fabricados y entregados a
clientes.
 Capacidad tecnológica empleada.
 Gestión de la producción.
Comercial  La satisfacción de los clientes: clientes que repiten o
que entran como nuevos.
 La estructura de la cartera de clientes por tipo o
volumen de ventas.
 La eficacia de los vendedores.
 La calidad del producto y del servicio al cliente.
 La posición de la organización en el mercado o frente
a la competencia.
 La entrada de nuevos productos y la situación de los
existentes.
 Efectos de la publicidad, promociones y descuentos.
 Variación de precios y márgenes de productos.
Compras y  Cumplimiento de plazos de entrega de proveedores.
almacenes  Numero de proveedores sustitutivos o dependencia.
166
 Costes de compras y de gestión de almacenes.

 Cumplimiento de realización de pedidos a
Pá gina
proveedores.

 Nivel de descuentos y rappels obtenidos.

 Calidad de productos entregados por los
proveedores.
 Perdidas de inventarios o bajas de materiales.
Administración  Nivel de liquidez y solvencia.
y finanzas  Capacidad de endeudamiento.
 Rentabilidad económica y financiera.
 Capacidad de utilización y estado del inmovilizado.
 Márgenes globales y por gamas de productos.
 Gastos e ingresos reales respecto a los
presupuestados.
 Nivel de costes financieros conseguidos.
Recursos  Absentismo por trabajadores de distintos
humanos departamentos.
 Capacidad de formación.
 Estado y capacidad de la motivación.
 Número de accidentes laborales.
 Sugerencias de los trabajadores.
 Capacidad productiva de los empleados.
FODA para los SI

167
El análisis FODA está diseñado para ayudar a encontrar la mejor conexión

entre las tendencias del medio, las oportunidades y amenazas; capacidades
Pá gina
internas, fortalezas y debilidades de la organización. Dicho análisis permitirá a

la organización formular estrategias para aprovechar sus fortalezas, prevenir

el efecto de sus debilidades, utilizar a tiempo sus oportunidades y anticiparse
al efecto de las amenazas. El resultado del análisis FODA logra orientar en
cierta forma, la creación de una matriz que permite definir y visualizar de
manera clara la formulación de estrategias, para el servicio de información.
Este análisis permite una estrategia de servicio clara y convincente para las
personas encargadas de tomar las decisiones. Se pueden formar una mejor
idea acerca de cuáles iniciativas aprobar y cuales rechazar. La estrategia es
su guía. Con una estrategia de servicio clara y convincente, las personas que
prestan servicios saben cómo servir mejor a sus clientes. Así las políticas con
frecuencia se formulan en términos de actividades de gerencia, mercadeo,
finanzas, producción, investigación y desarrollo. Las políticas, así como las
metas, son especialmente importantes en el proceso de ejecución de
estrategias, pues ellas dan las líneas generales sobre las expectativas de la
organización con respecto a sus empleados y permiten coherencia y
coordinación dentro de sus departamentos. (Fucci, 2006)
El análisis FODA aplicado a los aspectos claves tiene el propósito de conocer

las ventajas competitivas, además de detectar las debilidades y amenazas,
que puedan implicar un riesgo en la gestión de los servicios informativos. En
el análisis FODA deben incluirse factores claves relacionados con la
organización; entre otros se tienen además, los mercados, la competencia, los
recursos financieros, la infraestructura, el recurso humano, los inventarios, el
sistema de mercadeo y distribución, la investigación y desarrollo, las
tendencias políticas, sociales, económicas y tecnológicas y variables de
competitividad (Fucci, 2006).
168
La identificación de aspectos claves es relevante para diseñar indicadores de

Pá gina
control de gestión. Es de vital importancia la calidad de la información a través

de la transferencia de informes que apoyen al control de gestión. La

necesidad de información dentro de la organización es importante, permite
planificar, analizar y poder utilizar informes; con el fin de recurrir a informes
que sirvan de medición del cumplimiento final de los objetivos. (Muñiz, 2003)
Se puede hacer un análisis FODA, tomando las fortalezas y debilidades se
tiene como un indicador interno de calidad de información explicado a
continuación, (Muñiz, 2003):
Fortalezas aspectos clave. Debilidades aspectos clave.

 Permiten determinar  Según el tipo de variable sean
169
situaciones competitivas de la controladas de forma interna o

organización respecto a externa por la misma
Pá gina
competidores. organización.

 Dan origen a aspectos más  La manera que se pueda dar

importantes de la estrategia. informes deberá ser numérica
 Dan a lugar a que exista una o no, cuantitativa o cualitativa,
relación, directa con la evolutiva o estática.
estrategia de la organización.  Miden aspectos clave u otros
 Es necesario que exista un aspectos en un momento del
sistema de indicadores para tiempo y también su
que puedan medir aspectos evolución.
relevantes.
 Corresponden a una parte
importante de la información.
(Muñiz, 2003)
El Rigor en la Investigación Cualitativa
La calidad de la información se deberá considerar la investigación cualitativa,

como excelencia de la investigación. Conceptos como la calidad, la
confiabilidad o la triangulación que pretende acercar a quien investigue al
proceso investigador cualitativo. Se pretende dar una breve explicación sobre
el tema que podría dar para una minuciosa explicación. Pero solamente se
expone una secuencia a seguir de los aspectos en la excelencia cualitativa,
como la recogida de Información – muestreo se recoge información elegida
como acertada, surge la importancia del muestreo. El muestreo en la
investigación cualitativa es intencional y razonado. Los sujetos de estudio es
el todo como suma de las partes, no hay connotaciones individuales, sino
170
informantes o participantes que dan cuenta de su visión de la realidad. Quien

Pá gina
realice una investigación deberá plantearse el problema de forma holística.

Los muestreos pueden ser opináticos o estratégicos, formulando criterios de

elección de forma explícita a partir de determinados intereses, facilidades,

situaciones, etc. El muestreo teórico responde siempre a criterios de elección
teóricos. Como ejemplo de los opináticos seria rescatar vivencias reales en
situaciones relacionadas con personas, en caso de los teóricos se tomaría
como ejemplos en personas cuya visión de la realidad pudiera generar
conceptos teóricos que dieran una perspectiva de su entorno. Es dar a
entender la forma en que se genera dicha visión y/o experiencia. Pese a la
diferencia en los muestreos, estos se orientan en unidades de personas,
textos; dimensiones como aspectos, situaciones, procesos. Estos deben
lograr garantizar la cantidad y calidad de la información. También se debe
considerar la importancia, la creatividad vigilante del investigador de la
información en nuevas dimensiones y unidades no establecidas (M. &
Barcelona., 1999).
Se dará a conocer una definición y procedimiento para criterios de validez de

la investigación cuantitativa como la validez interna, externa, fiabilidad y la
objetividad. En el siguiente cuadro de Guba hay un paradigma interpretativo
con unos criterios de calidad. Estos criterios difieren a los criterios de calidad
y distintos a la investigación cuantitativa. El autor Guba lo denomina como la
“Confiabilidad” y se basan en la credibilidad, transferibilidad, dependencia y
confortabilidad. La Credibilidad se mira el valor desde el consenso
comunicativo entre dos agentes implícitos. El investigador debe proceder en
poner en marcha la recogida de datos con ejemplos específicos, teniendo
claro el conseguir la aceptabilidad de los resultados. La transferibilidad es
referida al grado de aplicación de resultados en otros contextos. El tipo de
171
muestreo se controla y explicita para que las decisiones sean comparables o

no con los resultados en otros contextos. La dependencia o consistencia
Pá gina
refiere a la estabilidad de los datos. Es más controversial entre los

investigadores cualitativos. La estabilidad no es posible cuando hay en

estudio contextos reales y de características irrepetibles. Con apoyo de los

procedimientos se puede asegurar la consistencia para conseguir una menor
inestabilidad de los datos. Referente a lo anterior se tiene que la triangulación
en un principio no estaría orientada a aumentar la confiabilidad, más bien a
proponer una perspectiva metodológica como técnicas que produzcan
conocimiento sobre una determinada realidad. Es considerada como la
sensibilización intrínseca de la metodología cualitativa la que se aboca en
todo momento a la triangulación, en muestreos provocados como en realizar
informes, además del diseño que recopila datos y su respectiva formulación.
(M. & Barcelona., 1999).
A continuación se expone una tabla explicativa de los criterios de confiabilidad

según Guba, (M. & Barcelona., 1999):
Criterios de Definición Procedimientos

confiabilidad
Credibilidad Valor de la Explicitar el modo de recogida de datos.
172
verdad de la Realizar observaciones extensas e

investigación en intensivas.
Pá gina
términos de que Triangular datos, métodos e

sea verosímil. investigadores.

Obtener retroalimentación de los
informantes.
Reconocer los sesgos del investigador
(rol).
Entremezclar continuamente las fases
de recolección, interpretación y
sistematización de los datos.
Documentar e ilustrar los datos con
ejemplos específicos.
Transferibilidad Grado en que Controlar y explicitar el tipo de

puedan representatividad elegida.
aplicarse los Descripción exhaustiva (una vez
descubrimientos seleccionados los sujetos y situaciones
de la describirlos exhaustivamente).
investigación a
otros sujetos o
contextos.
Dependencia También se Identificar el estatus y rol del
denomina investigador.
consistencia y Delimitar el contexto físico, social e
trata de la interpersonal.
estabilidad de Realizar descripciones minuciosas de
los datos los informantes.
173
(replicabilidad) Describir las técnicas de análisis y

recogida de datos.
Pá gina
Triangular situaciones, personas y

técnicas de recogida de información.

Especificar toma de decisiones para
controles posteriores.
Confirmabilidad Hace referencia Recoger registros concretos,
a la neutralidad. transcripciones textuales, citas directas.
Comprobar los supuestos con los
participantes.
Recogida mecánica de la información
(grabaciones).
Explicar posición investigador.
(Colás & Buendía, 1992)
ISO 27.001 / BS 7799
“En lo que se refiere a seguridad de la información esta norma corresponde al

estándar por excelencia. La normativa que existe desde hace seis años
aproximadamente fue adoptada por la organización internacional de
estándares (ISO) dentro de la norma ISO 27.001. Este modelo se basa en la
creación de sistemas de gestión de la seguridad de la información de forma
similar a los estándares de calidad y además proporciona un conjunto de
buenas prácticas normalmente aceptadas”. (Piatinni & Del Peso, 2007).
“Las mejores prácticas de la norma están organizadas en torno a lo que la

norma llama controles o grupos de controles codificados mediante un sistema
numérico y organizado por secciones. Cada una de las secciones hace
resaltar los factores a tener en cuenta para alcanzar un adecuado control. No
174
todos los controles mencionados anteriormente son obligatorios, pero algunos

de ellos se consideran necesarios para gestionar la seguridad de la
Pá gina
información dentro de las organizaciones”. (Piatinni & Del Peso, 2007).

“Como carácter de norma se vela por el adecuado control y manejo de la

información por parte de terceras partes limitando su poder a activos de forma
lógica y física. Aspectos contractuales y legales también son contemplados
por la normativa a fin de ofrecer salvaguardas formales. Podemos postular
que la norma establece la necesidad de evaluar riesgos correspondientes
cuando se utilicen servicios de outsourcing que puedan impactar en la
seguridad de la información”. (Piatinni & Del Peso, 2007).
ISO 9001:2008, Sistema de Gestión de Calidad
Los requisitos generales en una organización son el establecer, documentar,

implementar y mantener un sistema de gestión de la calidad y mejorar
continuamente su eficacia de acuerdo con los requisitos de esta Norma
Internacional, donde la organización debe, (ISO,9001, 2008):
 Determinar los procesos necesarios para el sistema de gestión de la

calidad y su aplicación a través de la organización.
 Determinar la secuencia e interacción de estos procesos.
 Determinar los criterios y los métodos necesarios para asegurarse de
que tanto la operación como el control de estos procesos sean
eficaces.
 Asegurarse de la disponibilidad de recursos e información necesarios
para apoyar la operación y el seguimiento de estos procesos.
 Implementar las acciones necesarias para alcanzar los resultados
planificados y la mejora continua de estos procesos. Estos deben ser
175
gestionados de acuerdo a que la opción de la organización opte por

contratar externamente cualquier proceso, asegurando el control de
Pá gina
tales procesos. El tipo y grado de control sobre dichos procesos

contratados externamente deberán ser definidos dentro del sistema de

gestión de la calidad.
ISO 27.001 / BS 7799, Seguridad de la Información
“En lo que se refiere a seguridad de la información esta norma corresponde al

estándar por excelencia. La normativa que existe desde hace seis años
aproximadamente fue adoptada por la organización internacional de
estándares (ISO) dentro de la norma ISO 27.001. Este modelo se basa en la
creación de sistemas de gestión de la seguridad de la información de forma
similar a los estándares de calidad y además proporciona un conjunto de
buenas prácticas normalmente aceptadas”. (Piatinni & Del Peso, 2007).
“Las mejores prácticas de la norma están organizadas en torno a lo que la

norma llama controles o grupos de controles codificados mediante un sistema
numérico y organizado por secciones. Cada una de las secciones hace
resaltar los factores a tener en cuenta para alcanzar un adecuado control. No
todos los controles mencionados anteriormente son obligatorios, pero algunos
de ellos se consideran necesarios para gestionar la seguridad de la
información dentro de las organizaciones”. (Piatinni & Del Peso, 2007).
“Como carácter de norma se vela por el adecuado control y manejo de la

información por parte de terceras partes limitando su poder a activos de forma
lógica y física. Aspectos contractuales y legales también son contemplados
por la normativa a fin de ofrecer salvaguardas formales. Podemos postular
que la norma establece la necesidad de evaluar riesgos correspondientes
176
cuando se utilicen servicios de outsourcing que puedan impactar en la

seguridad de la información”. (Piattini & Del Peso, Auditoría de Tecnologías y
Pá gina
Sistemas de Información, 2007).

La seguridad de información es un activo importante en el negocio de una

organización y necesita ser protegido adecuadamente. Especialmente por la
mayor y variedad más amplia de amenazas y vulnerabilidades. La información
puede existir en muchas formas escrita en papel o almacenada
electrónicamente, ser transmitida electrónicamente por correo o por medios
electrónicos como los pendrive u otros similares, publicadas en cines o en
conversaciones. La forma como se tome la información o el medio como se
almacene o comparte, deberá estar apropiadamente protegida. Al hablar de
seguridad estamos hablando de protección en un rango amplio de amenazas
para asegurar la continuidad del negocio, minimizar riesgos comerciales y
maximizar retorno de inversiones y oportunidades comerciales. Implementar
un adecuado conjunto de controles que incluyen políticas, procesos,
procedimientos, estructuras organizacionales y funciones de software y
hardware. (ISO, 2005).
Como concepto de seguridad tenemos: “La seguridad de la información se

define como la preservación de, (Bernal, Herrera, Salas, & Hurtado, 2012):
 Confidencialidad: Aseguramiento de que la información es accesible

sólo para aquellos autorizados a tener acceso.
 Integridad: Garantía de la exactitud y completitud de la información y
de los métodos de su procesamiento.
 Disponibilidad: Aseguramiento de que los usuarios autorizados tienen
acceso cuando lo requieran a la información y sus activos asociados”.
177
Por cultura de la seguridad de la información se entiende: “el cumplimiento de

los valores y el comportamiento ético en el manejo de la información de las
Pá gina
organizaciones; la formulación, revisión y aplicación de políticas de seguridad

en función del análisis de riesgo realizado a los activos informáticos, la

elaboración de planes de seguridad, la adopción de normas y estándares de
seguridad. Por otro lado, una organización con cultura de la seguridad
gerencia con eficacia cualquier incidente que desequilibre a los sistemas
socio técnicos y afecten la eficiencia, efectividad y eficacia de los mismos”.
(Blanco, Viloria, & Villegas, 2011).
Una cultura común del riesgo actual en el contexto socio económico

globalizado es cada vez más fundamental para que las organizaciones sean
organizaciones, administraciones públicas, asociaciones emprendedoras,
organizaciones no-gubernamentales; a la vez que puedan ejecutar procesos
directivos que respondan al cambio e incertidumbre de los escenarios. A la
creciente exigencia de transparencia y conocimiento de la opinión pública y de
las partes interesadas, a los principios de sostenibilidad y responsabilidad
social; procesos que, después de todo, buscan garantizar la existencia y el
éxito de las propias organizaciones. El conjunto de las técnicas y de las
metodologías dirigidas a lo que podría definir como gestión de los procesos
de la organización es complejo como articulado; también a nivel normativo,
debido también a la conocida transversalidad que afecta a menudo a los
dominios de conocimiento implicados en aquélla. En cualquier caso, nunca
como hoy se percibe la exigencia de una mayor responsabilidad sobre los
riesgos que afectan a las diversas actividades humanas. Por consiguiente se
va consolidando una auténtica cultura del riesgo basada, a su vez, en una
metodología sistemática y formalizada llamada gestión del riesgo, capaz de
caracterizar el contexto, de estimar (analizar y evaluar), tratar y monitorizar y
178
comunicar los riesgos. (Cocho J. , 2006).

Pá gina
“Riesgo es la posibilidad de que se produzca un impacto en un Activo o en el

Dominio. Para Magerit el cálculo del riesgo ofrece un Indicador que permite

tomar decisiones por comparación explícita con un Umbral de Riesgo

determinado; o sea una propiedad de la relación Vulnerabilidad /Impacto y por
tanto de la relación entre Activos y Amenazas. El Responsable del Dominio
protegible ayuda a establecer los umbrales de riesgo como parte de su
estrategia de seguridad en su Dominio, a partir de los cálculos de los distintos
riesgos que realiza el Analista de Riesgos”, (Magerit, 2004).
En España AENOR, la Asociación Española de Normalización y Certificación,

se sumaba pocos estudia la incertidumbre hacia el estudio y dominio
comunes de la búsqueda de limitación a unas consecuencias negativas cada
vez más frecuentes. El BOE de 14 de diciembre de 2005 publica resolución
del 8 de noviembre de 2005, de la Dirección General de Desarrollo Industrial,
autorizando a la Asociación Española de Normalización y Certificación, para
asumir funciones de normalización en el ámbito de la gestión de riesgos; el 8
de enero de 2006 se celebra una reunión de constitución del GET 13. Este
Grupo Especial Temporal cuenta con miembros procedentes de muy diversos
sectores de actividad tales como, construcción, transporte, salud,
alimentación, riesgos laborales, tecnología, medio ambiente, prevención de
accidentes, industria aeroespacial, líneas aéreas, tecnología de la
información, tanto de la Universidad, como de la Administración Pública y del
Sector Privado. GET 13 se orienta a conseguir una comprensión común por
miembros. Dentro de AENOR, el Subcomité SC27 del Comité Técnico CT71
sobre Seguridad de los SI desarrolla un papel relevante, ya que había recibido
directamente como tarea internacional el borrador: Tecnimap 2006 Sevilla,
con fecha, 30 de Mayo hasta 2 de Junio de la nueva norma y se había
179
adelantado a enviar los comentarios solicitados al documento de ISO/TMB

N11 “Text for 1st Working Draft -Risk Management- Guidelines for Principles
Pá gina
and implementation of Risk management”. El GET 13 de AENOR adoptó

prácticamente los comentarios del SC27 con algunas adiciones y así lo envió

a ISO, además de elegir en esta primera sesión como Presidente a Miguel

Angel Amutio del Ministerio de Administraciones Públicas, responsable de
MAGERIT versión 2 y representante elegido por el SC27 citado. El detalle de
lo explicado anteriormente corresponde a contenido de norma ISO/TMB N11,
alcance de la norma, unificación como clarificación y definición de conceptos,
(Cocho J. , 2006):
 Contenido de la norma ISO/TMB N11, como borrador de la norma

ISO/TMB N°11, contiene en la actualidad siete bloques:
 Primer bloque trata sobre su alcance.
 Segundo bloque recoge otras normas anteriores que sirven de
referencia.
 Tercer bloque unifica y clarifica treintena de términos,
completando sus definiciones.
 Cuarto bloque plantea principios de una buena gestión de riesgos.
 Quinto bloque plantea el contexto organizacional para gestión de
riesgos.
 Sexto bloque son normas con procesos de gestión de riesgos
propuesto.
 Séptimo bloque aconseja implementación de una gestión de
riesgos integrada en las estructuras existentes.
 Alcance de la norma N°11 es la pauta de proceso genérico para la
gestión del riesgo en una organización de cualquier tamaño.
Proporciona un documento a los estándares existentes que tratan
sobre aplicaciones específicas de riesgos, pero no debe sustituirse a
180
los estándares internacionales sobre la gestión de riesgos pre-

establecidos y utilizados satisfactoriamente en sectores definidos. Mas
Pá gina
bien esta norma busca un apoyo desarrollador actual y futuro. Puede

ser aplicable a una amplia gama de actividades, decisiones y

operaciones de cualquier organización pública, privada o comunitaria,

en grupos o en forma individual. No se considera su utilización para
propósitos de legitimación o contractuales.
 Unificación, clarificación y definición de conceptos: la N° 11 adopta un
repertorio de conceptos y definiciones, que han sido tomados de las
normas vigentes. Se propone facilitar la comunicación entre éstas y la
nueva, sin dejar de buscar mejores exactitudes en expuestas
comunicaciones. Pudiendo ser conceptos ambiguos, como los
relacionados con la posibilidad del propio riesgo. Como conceptos o
terminologías utilizados por Magerit en su modelo de entidades, se
encuentran una amplísima semejanza con muy ligeras adaptaciones,
que ampliadas en el alcance de la nueva norma a campos más amplios
de los SI.
 Los activos en Magerit se amplían en N°11 a objetivos de
dominios considerados.
 Las amenazas de Magerit se amplían en N° 11 a eventos o
azares.
 Los impactos en Magerit se amplían en N°11 a pérdidas o
ganancias positivas en ciertos casos. N°11 a la “ocurrencia de
algo que tenga una consecuencia en los objetivos”.
La misión bajo una perspectiva de SI y TIC
Si a una misión no tiene difusión por la gerencia y el departamento de

relaciones públicas, muy poca gente en la organización la conocerá. Los
encargados de difundir conocimiento de la organización crearán internamente
181
su propia misión de la organización probablemente alejada de la realidad.

Para ello es necesario definir o revisar la vigencia de la misión y crear una
Pá gina
visión que muestre el desarrollo y la adopción de SI (seguridad informática) y

TIC requeridas y deseadas para impactar la competitividad. La razón de ser

de una organización, de una unidad organizacional, de la gerencia es

pretender dar una declaración de su identidad, qué es lo que es y qué es lo
que no es. La misión determina el alcance, el dominio, cuáles son los
productos y servicios que se ofrecen, a quiénes se los ofrezco (mercados),
con qué alcance (geografía), con qué tecnologías. La misión debe estar bien
definida y difundida por los gerentes a todos los miembros de la institución. La
misión viene dada por las razones de ser, los motivos por los que se crea, y
que garantizan su continuidad. Dado lo anterior los modelos mentales tienen
que estar explícitos en la misión, pues forman parte de la cultura
organizacional en este trabajo. Un ejemplo de aprendizaje en equipo es el
desarrollo de un sistema colaborativo con el uso de la red privada. Una
organización es un sistema con una dinámica compleja que exige la
creatividad de sus miembros para tratar problemas con un alto nivel de
incertidumbre, no estructurados. Intrínsecamente a la misión y visión existe un
alineamiento de todos los participantes por un mismo objetivo. Alineamiento
significa: funcionar como totalidad, afinar la capacidad del equipo para pensar
y actuar sinérgicamente, con plena coordinación y sentido de unidad. Mientras
se desarrolla el alineamiento la gente no debe callar ni ocultar sus
discrepancias, sino la capacidad para utilizarlas con miras a enriquecer su
comprensión colectiva. Así, es importante la presencia explícita del
aprendizaje en equipo de la misión. Adicionalmente esta disciplina requiere
del pensamiento sistémico, el solo hecho de trabajar en conjunto y generar
sinergia es característico de los sistemas conformados por personas, con sus
modelos mentales compartidos, con dominio personal y una visión de equipo.
El pensamiento sistémico está presente en la misión, en las interrelaciones
182
que existen entre cada uno de sus componentes, ninguno puede estar
aislado, todos están relacionados entre sí. El dominio personal en la misión se
Pá gina
presenta en destrezas y actitudes que deben poseer los usuarios de los

sistemas informáticos, para garantizar la integración cognoscitiva. La misión al

igual que la visión compartida estimula la tensión creativa, esencia del

dominio personal pues los trabajadores del conocimiento y de oficina deben
desarrollar las destrezas y actitudes para estar a tono con la misión y lograr la
visión compartida en una organización. (Blanco, Viloria, & Villegas, 2011)
ISO 15489
La regulación de la gestión de documentos producidas por organizaciones,

sean públicas o privadas, aplicadas a la gestión de documentos; sean estas
independientes de formato o soporte, de tecnología utilizada, creada o
recibida en una organización. El propósito de la norma es que la organización
disponga de los documentos en momentos adecuados y fácilmente
accesibles. Por ello se parte del enfoque basado en los procesos, en la
mejora continua como las normas ISO 9000 que definen la gestión en las
organizaciones. El respaldo en lo mencionado corresponde a una gestión de
la ISO 15489, que establece, documenta, mantiene y promulga políticas de
gestión de documentos, con el fin de asegurar que se cubren necesidades de
información, evidencia y rendición de cuentas. El respaldo de información
contenido en documentos en un tiempo preciso, y en una actividad
determinada debe llevarse según requisitos legales y normativos. En este
aspecto legal y normativo (legislación, normativas específicas, normas y
códigos de buenas prácticas de aplicación voluntaria, etc.); tanto en el marco
de la política general o global de la organización que debe ser coherente con
otras políticas tales como: calidad, seguridad de la información,
responsabilidad corporativa a nivel social, etc. Siendo importante la difusión
183
de la política asumida por la alta dirección y difusa a todos los niveles de la

organización. (Alonso, García, & Lloveras, 2007).
Pá gina

Dentro del diseño de documentos de información está el acceso y la

seguridad que identifica los derechos y las restricciones de acceso de los
miembros de la organización en relación con los documentos. Esto referido a
creación, consulta, modificación y eliminación. Para ello es necesario
documentar los procesos de gestión como se realiza el funcionamiento,
planteándose las interrogantes de ¿Qué se hace?, ¿Quién hace qué? Y
¿Cómo se hace?, esto conlleva a que todo el personal podrá asimilar los
procesos informativos y de seguridad con criterios homogéneos y sin
incertidumbres. (Alonso, García, & Lloveras, 2007).
Norma ISO 17799; 27001:2005
ISO 17799 como norma internacional que ofrece recomendaciones para

realizar gestión de la seguridad de la información relacionada con los
responsables de iniciar, implantar o mantener la seguridad de una
organización, información es valorada por una organización y requiere por
tanto de una protección adecuada. Como un objetivo de seguridad de
información será el proteger adecuadamente a esta como un activo para
asegurar la continuidad del negocio; además de minimizar los daños a la
organización y maximizar el retorno de las inversiones y las oportunidades de
negocio. Por lo tanto la seguridad de la información se define como la
preservación de, (Bernal, Herrera, Salas, & Hurtado, 2012):
 Confidencialidad: Aseguramiento de que la información es accesible

sólo para aquellos autorizados a tener acceso.
 Integridad: Garantía de la exactitud y completitud de la información y
184
de los métodos de su procesamiento.

 Disponibilidad: Aseguramiento de que los usuarios autorizados tienen
Pá gina
acceso cuando lo requieran a la información y sus activos asociados.

Como objetivo la norma ISO 17799 proporciona una base común para
desarrollar normas de seguridad dentro de las organizaciones y ser una
práctica eficaz de la gestión de la seguridad.ISO 17799 está organizada en 10
secciones, (Bernal, Herrera, Salas, & Hurtado, 2012):
 Políticas de seguridad: esto proporciona a la alta dirección el apoyo

para la seguridad de la información.
 Organización de activos y recursos: para ayudarle a administrar la
seguridad de la información dentro de la organización.
 Clasificación y control de activos: para ayudarle a identificar sus activos
y protegerlos apropiadamente.
 Seguridad del personal: para reducir los riesgos de error humano, robo,
fraude o mal uso de las instalaciones y equipo.
 Seguridad ambiental y física: para prevenir acceso sin autorización,
daños e interferencia a las instalaciones del negocio y a la información.
 Comunicaciones y administración de operaciones: para asegurar la
operación correcta y segura de las instalaciones de procesamiento de
la información.
 Control de acceso: para controlar el acceso a la información.
 Sistemas de desarrollo y mantenimiento: para asegurar que se
introduzca la seguridad a los SI.
 Administración de continuidad del negocio: para contrarrestar las
interrupciones a las actividades del negocio y para proteger procesos
críticos del negocio contra los efectos causados por fallas mayores o
desastres.
185
 Acatamiento: para evitar infracciones a las leyes criminales y civiles,

estatutarias, obligaciones regulatorias o contractuales, y cualquier otro
Pá gina
requisito de seguridad.

ISO 27000
La información es un activo vital para el éxito y la continuidad en el mercado

de cualquier organización. El aseguramiento de dicha información y de los
sistemas que la procesan debiera ser un objetivo de primer nivel para la
organización. En tal sentido para una adecuada gestión de la seguridad de la
información, se deberá en muchos casos implantar un sistema que aborde
esta tarea de una forma metódica, documentada y basada en unos objetivos
claros de seguridad y una evaluación de los riesgos a los que está sometida
la información de la organización. Tenemos así que la ISO/IEC 27000 es un
conjunto de estándares desarrollados por ISO (International Organization for
Standardization) e IEC (International Electrotechnical Commission), que
proporcionan un marco de gestión de la seguridad de la información utilizable
por cualquier tipo de organización, pública o privada, grande o pequeña.
(López & Ruiz, 2005)
Origen
Como primera entidad de normalización a nivel mundial (desde 1901), BSI

(British Standards Institution, la organización británica equivalente a AENOR
en España) es responsable de la publicación de importantes normas como,
(López & Ruiz, 2005) :
 BS 5750. Publicada en 1979. Origen de ISO 9001

 BS 7750. Publicada en 1992. Origen de ISO 14001
 BS 8800. Publicada en 1996. Origen de OHSAS 18001
 La norma BS 7799 de BSI apareció por primera vez en 1995, con
186
objeto de proporcionar a cualquier organización un conjunto de buenas

prácticas para la gestión de la seguridad de su información.
Pá gina

 La primera parte de la norma BS 7799-1, fue una guía de buenas

prácticas, para la que no se establecía un esquema de certificación. Es
la segunda parte BS 7799-2, publicada por primera vez en 1998, la que
estableció los requisitos de un sistema de seguridad de la información
SGSI para ser certificable por entidades independientes.
 Las dos partes de la norma BS 7799 se revisaron en 1999 y la primera
parte se adoptó por ISO sin cambios sustanciales, como ISO 17799 en
el año 2000.
 Revisión de BS 7799-2 en el año 2002 para adecuarse a la filosofía de
normas ISO de sistemas de gestión.
 Con más de 1700 organizaciones certificadas en BS 7799-2 en el año
2005, esta norma se publicó por ISO con algunos cambios, como
estándar ISO 27001. Al tiempo se revisó y actualizó ISO 17799. Esta
última norma se renombró como ISO 27002:2005 el 1 de Julio de 2007,
manteniendo el contenido así como el año de publicación formal de la
revisión.
 En Marzo de 2006, posteriormente a la publicación de ISO 27001:2005,
BSI publicó la BS 7799-3:2006, centrada en la gestión del riesgo de los
SI.
 Asimismo, ISO ha continuado y continúa aún, desarrollando otras
normas dentro de la serie 27000 que sirvan de apoyo a las
organizaciones en la interpretación e implementación de ISO/IEC
27001, que es la norma principal y única certificable dentro de la serie. 187
Pá gina

Fundamentos del Sistema de Gestión de la Seguridad 27001
La norma ISO 27000 es certificable. Significando que una organización puede

solicitar una auditoría a una entidad certificadora acreditada y si la supera,
obtener la certificación. Pre-solicitud de alguna auditoría, las organizaciones
necesitan contar con un Sistema de Gestión de Seguridad de la Información
(SGSI). El SGSI debe estar implementado en la organización con un mínimo
de tres meses de antelación. En la preparación se debiera considerar puntos
exigidos en una etapa de proceso: Plan, Do, Check, Act (Planificar-Hacer-
Verificar-Actuar), aplicable para estructurar todos los procesos del SGSI. El
SGSI toma como elementos de entrada los requisitos de seguridad de la
información y las expectativas de las partes. (Ladino, Villa, & López, 2011)
Política de seguridad: debe incluir los objetivos de seguridad de la información

188
de la organización, tener en cuenta los requisitos de negocio, legales y

contractuales en cuanto a seguridad, estar alineada con la gestión de riesgo
Pá gina
general, establecer criterios de evaluación de riesgo y ser aprobada por la

Dirección. El proceso de certificación es largo, complejo y costoso, por lo que

algunas organizaciones no pueden realizarlo. Sin embargo pueden aplicar
algunos puntos claves para lograr un buen nivel de seguridad. Aunque el
término buen nivel es subjetivo, sobre todo por el desconocimiento del
impacto negativo que pueda traer un riesgo que se materializa.
Algunas recomendaciones que deben tenerse en cuenta al momento de

implementar un sistema de seguridad en la organización son las siguientes,
(Ladino, Villa, & López, 2011):
 La primera de ellas y tal vez la más importante, es el conocimiento de

los altos directivos de lo que puede suceder si no se implementa el
sistema de gestión de seguridad de la información. A la alta dirección
debe hablársele en términos del negocio, es decir, demostrar las
pérdidas económicas, que pueden tenerse en caso de no contar con un
SGSI. De esta tarea puede encargarse el jefe del área de sistemas de
la organización.
 Se debe realizar una identificación de los activos relacionados con la
información, desde los equipos que la soportan hasta las aplicaciones
para su uso y la información misma. Después identificar los más
críticos para la compañía y con base en estos empezar la tarea de
diseño e implementación del SGSI.
 Cuando las directivas de la organización tiene claro la necesidad de
implantar un SGSI y han identificado los componentes críticos entre los
activos, debe fomentarse una cultura de seguridad con todos los
189
miembros de la organización para minimizar los riesgos por

desconocimiento. Se debe tener en cuenta que plasmar en un papel
Pá gina
algunas normas de seguridad no crean una cultura, es un proceso que

debe realizarse de manera constante, ya que para generar cultura es

necesario crear conciencia del cambio.
 Los expertos en el área de seguridad (jefe de área y otros
trabajadores) deben ser los encargados de identificar las amenazas y
debilidades que afectan a cada uno de los activos críticos. De esta
forma se pueden definir los riesgos que afectan el proceso normal de la
organización, incluyendo el impacto y la frecuencia con la que puedan
ocurrir.
 Cuando se definen los riesgos, debe tenerse en cuenta que es
imposible evitar o controlarlos todos, por eso en la organización debe
definirse un nivel aceptable de riesgo, es decir, definir cuáles son los
riesgos que se pueden asumir ya que no generarán un impacto muy
negativo para el funcionamiento correcto de las actividades de la
organización. La definición del nivel aceptable de riesgo debe estar
bajo la responsabilidad directa de la alta gerencia de la organización y
estar enfocado en el negocio y el cliente.
 Con los riesgos, el impacto, la frecuencia y el nivel aceptable se
definen entonces, los controles que deben seguirse para evitar o
minimizar los riesgos. Estos controles se enfocan en reducir el impacto,
la frecuencia o evitar que el riesgo se materialice y cause un daño al
correcto funcionamiento del negocio, que finalmente se verá reflejado
en una pérdida o gasto económico.
Todo esto hace parte del Sistema de Gestión de Seguridad de la Información

(SGSI), pero como ya se indicó anteriormente, es algo que no debe quedar
190
sólo escrito. Hasta ahora se tiene únicamente el diseño, (Ladino, Villa, &
López, 2011):
Pá gina

 Después de tener el diseño del sistema de seguridad, debe empezar a

aplicarse en la organización, Para esto es necesario promover la
capacitación de las personas que laboran en la organización, comprar
e implantar los equipos y aplicaciones necesarios.
 Para que la implementación sea efectiva, debe hacerse un seguimiento
a los controles y, para lograr este seguimiento es necesario la
documentación de los procesos y de los hallazgos. Con esta
información se realiza una retroalimentación para corregir errores que
aún se mantienen y mejorar el SGSI incluyendo nuevos riesgos
posibles o restándole importancia a aquellos que se han logrado
minimizar.
 Aunque estas recomendaciones parezcan demasiado complicadas,
son más fáciles, y económicas, de implementar que la norma completa
para lograr la certificación (especialmente si se trata de organizaciones
pequeñas y medianas) ya que, para esta segunda es necesario,
generalmente, la intervención de un tercero que ayude en el proceso
como asesor.
El propósito de la seguridad es asegurar la continuidad de las organizaciones,

minimizando posibles daños previniendo el impacto de incidentes de
seguridad. La gestión de seguridad de información permite compartir
información, asegurando la protección de la información y los activos
comprendidos en el alcance dentro del sistema. Un sistema de gestión de
seguridad de información según el modelo ISO 27001 puede ser utilizado
para la implementación para un modelo de SGSI y la respectiva certificación.
Esto comprende medición y evaluación de riesgos de la información, como así
191
mismo, revisar y reevaluar los riesgos en etapas futuras asegurando la

implementación eficaz de seguridad de información. La organización debe
Pá gina
definir el alcance del estándar, y en base a este alcance poder identificar

todos los activos de información. Esto previo a un análisis del riesgo requerido
que determine que activos se encuentran vulnerables. La evaluación del
riesgo permite a una organización permite estar en conformidad a los
requerimientos estándar. Existe un proceso de seis fases que ayudan a
cualquier organización que desee implementar un sistema de gestión de
seguridad en la información, detallados a continuación, que se detallarán a
continuación, (Alexander, 2005):
 Identificación y Tasación de Activos: un activo es valorable para una

organización, sus operaciones y su continuidad. Los activos necesitan
de protección que aseguren correctas operaciones del negocio y la
continuidad de la organización. Se debe identificar correctamente cada
activo y valorado apropiadamente. Esta norma ISO 17799:2005,
clasifica los activos de la siguiente manera:
 Activos de información: como bases de datos y archivos de

datos, documentación del sistema, manuales de usuario,
materiales de entrenamiento, procedimientos operativos de
apoyo, planes de continuidad. La tasación de activos,
basados en necesidades de una organización es importante
en la evaluación del riesgo. Para proteger adecuadamente
los activos es necesario evaluar su valor en términos de su
importancia para el negocio. Es necesario relacionar la
tasación de los activos con una escala de valor aplicable a
los mismos.
192
 Documentos impresos: contratos, lineamientos, documentos

de la compañía, documentos que contienen resultados
Pá gina
importantes del negocio.

 Activos de software: software de aplicación, software de

sistemas, herramientas de desarrollo.
 Activos físicos: equipos de comunicación y computación,
medios magnéticos, otros equipos técnicos.
 Personas: personal, clientes, suscriptores.
 Imagen y reputación de la compañía.
 Servicios: servicios de computación y comunicación, otros
servicios técnicos.
 Identificación de requerimientos de seguridad: los requerimientos en

cualquier organización son derivados de tres fuentes esenciales y
debieran documentarse en un SGSI.
 Conjunto de amenazas y vulnerabilidades que pudieran

ocasionar pérdidas significativas en la organización si
ocurrieran.
 Requerimientos contractuales a satisfacer por la
organización.
 Conjunto único de principios, objetivos y requerimientos para
el procesamiento de información que una organización haya
apoyado las operaciones del negocio y sus procesos.
 Principios, objetivos y requerimientos para el procesamiento
de información que una organización haya desarrollara para
el apoyo operativo del negocio y sus procesos.
 El conjunto de amenazas y vulnerabilidades, los
requerimientos contractuales y el conjunto único de
193
principios y requerimientos han sido identificados, será

Pá gina
recomendable formularlos en términos de requerimientos de

confidencialidad, integridad y disponibilidad.

 Identificación de amenazas y vulnerabilidades: los activos están sujetos

a muchos tipos de amenazas. La amenaza genera daño al sistema, la
organización y los activos. El daño puede ocurrir por un ataque directo
o indirecto a la información organizacional. Las amenazas se pueden
originar de fuentes accidentales o deliberadamente. Una amenaza que
cause daño al activo, tendría que explotar la vulnerabilidad del sistema,
aplicación o servicio.
 Las vulnerabilidades se asocian con los activos
organizacionales. las debilidades pueden ser explotadas por una
amenaza, causando incidentes no deseados que pudieran
terminar causando pérdidas, daño o deterioro a los activos. En si
misma la vulnerabilidad no causa daño, es una condición o
conjunto de condiciones que pueden permitir que una amenaza
afecte a un activo. Realizar una evaluación en esta fase es
importante ante la posibilidad de ocurrencia de vulnerabilidades
y amenazas que deben ser efectuadas en esta fase.
 Identificación de amenazas y vulnerabilidades: existen muchos tipos de

amenazas que tienen potencial de causar incidentes no deseados,
pudiendo generar daño al sistema, la organización y los activos. Los
daños pueden ocurrir por un ataque directo o indirecto a la información
organizacional. Las amenazas pueden originar de fuentes accidentales
o deliberadas. Las vulnerabilidades se asocian con activos
organizacionales. Las debilidades pueden ser explotadas por
194
amenazas, causando incidentes no deseados, pudiendo terminar en

pérdidas, daños o deterioros en activos.
Pá gina

 Calculo de los riesgos de seguridad: el objetivo es identificar y evaluar

los riesgos. Los riesgos son calculados en una combinación de valores
de activos y niveles de requerimientos de seguridad. La evaluación de
riesgos envuelve la sistemática consideración de los siguientes
aspectos:
 Consecuencias: daños a la organización por incumplimiento de

seguridad de información considerando las potenciales
consecuencias de pérdidas o fallas de confidencialidad,
integridad y disponibilidad de información.
 Probabilidad: la real posibilidad que tal incumplimiento ocurra a

la luz del reinado de amenazas, vulnerabilidades y controles.
 Selección de opciones apropiadas de tratamiento del riesgo: una vez

que los riesgos se identifiquen y evalúen, se deberá realizar en la
organización la identificación y evaluación de acciones más apropiadas
de cómo tratar los riesgos. La toma de decisión deberá ser tomada en
activos involucrados en impactos del negocio. Otro aspecto a
considerar según el estándar ISO 27001:2005, requiere que la
organización siga cuatro posibles acciones
 Realizar aplicación de apropiados controles para reducir

riesgos.
 Aceptar objetivamente los riesgos teniendo en cuenta que
satisfacen la política de la organización y su criterio para la
aceptación del riesgo.
195
 Evitar los riegos, que describen cualquier acción donde los

Pá gina
activos son transferidos de las áreas riesgosas. Cuando se

evalúa la posibilidad de evitar el riesgo se debe sopesar entre

necesidades de la organización y necesidades monetarias.
 Transferir el riesgo asociado a otras partes, es una de las
mejores opciones cuando es imposible reducir los niveles del
riesgo. Entre las muchas alternativas a considerar en relación a
la estrategia de transferencia del riesgo. Una posibilidad es el
servicio “outsourcing” que permite el manejo de activos y
procesos críticos. La organización siempre será responsable
por los servicios propios y de terceros, recayendo todo el peso
en la misma organización.
 Selección de controles para reducir los riesgos a un nivel aceptable:

reducir riesgos evaluados dentro del alcance de SGSI consideran
controles de seguridad, apropiados y justificados, estos deberán ser
identificados y seleccionados. La selección de controles se sustenta
por los resultados de la evaluación del riesgo. Las vulnerabilidades con
las amenazas asociadas indican donde la protección pudiera ser
requerida y que forma debe tener. Para la certificación las relaciones
con la evaluación del riesgo deben ser documentadas para justificar la
selección de los controles. Al seleccionar controles que apoyen a la
implementación se deberá considerar:
 Uso de controles
 Transparencia del usuario
 Ayuda otorgada a los usuarios para desempeñar su función.
 Relativa fuerza de los controles
196
 Tipos de funciones desempeñadas

Pá gina
 En términos generales, un control podrá satisfacer más de una

de estas funciones y lo que más pueda satisfacer mejor.

Fuente: (Alexander, 2005)
197
Pá gina
Cumplimiento de los requerimientos legales

Se tiene como objetivo evitar las violaciones a cualquier ley; regulación

estatutaria, reguladora o contractual; y cualquier requerimiento de seguridad.
El diseño, operación, uso y gestión de los SI pueden estar sujetos a
requerimientos de seguridad estatutarios, reguladores y contractuales. Por lo
mismo se debiera buscar la asesoría sobre los requerimientos legales
específicos de los asesores legales de la organización o profesionales legales
calificados adecuados. Los requerimientos legislativos varían de un país a
otro y pueden variar para la información creada en un país que es transmitida
a otro país, como flujo de data inter-fronteras. La identificación de la
legislación aplicable a control se debiera definir explícitamente, documentar y
actualizar todos los requerimientos estatutarios, reguladores y contractuales
relevantes, y el enfoque de la organización para satisfacer esos
requerimientos, para cada sistema de información y a una organización. En el
lineamiento de implementación similarmente se debiera definir y documentar
controles y responsabilidades individuales específicos para satisfacer estos
requerimientos. (ISO, 2005).
Regulación de controles criptográficos
Los controles criptográficos se debieran utilizar en cumplimiento con todos los

acuerdos, leyes y regulaciones relevantes. En el lineamiento de
implementación se debieran considerar los siguientes ítems para el
cumplimiento con los acuerdos, leyes y regulaciones relevantes, (ISO, 2005):
 Las restricciones sobre importación y/o exportación de hardware y

software de cómputo para realizar funciones criptográficas.
198
 Las restricciones sobre la importación y/o exportación de hardware y

Pá gina
software de cómputo diseñado para agregarle funciones criptográficas.

 Restricciones sobre la utilización de la codificación.

 Métodos obligatorios o voluntarios para que las autoridades de los

países tengan acceso a la información codificada por hardware o
software que proporcione confidencialidad del contenido.
 Siempre a modo de recomendación buscar asesoría legal para
asegurar el cumplimiento de las leyes y regulaciones nacionales. En
sentido de que la información codificada o los controles criptográficos
que sean trasladados a otro país, se debiera buscar asesoría legal.
Esto por cumplir con las políticas y estándares de seguridad, y
cumplimiento técnico
 Tener como objetivo el asegurar el cumplimiento de los sistemas con

las políticas y estándares de seguridad organizacional.
 La seguridad de los SI se debieran revisar regularmente. Las
revisiones debieran realizarse en base a las políticas de seguridad
apropiadas y las plataformas técnicas, y los SI debieran ser auditados
en cumplimiento con los estándares de implementación de seguridad
aplicables y los controles de seguridad documentados.
Para conseguir los objetivos propuestos es necesario encontrar los medios

para lograrlos. Depende de la ejecución y de la forma de aplicar estos medios,
la consecución de las metas fijadas con antelación. Se puede presentar una
propuesta que agrupa los factores de éxito determinados en los pasos
anteriores como medios para cumplir los objetivos propuestos ya depurados.
Caso contrario en la eliminación de factores de éxito no críticos.
199
Para seguir la elaboración del modelo es necesario depurar los factores de

éxito dejando solo los que presentan la característica de “críticos”. Para
Pá gina
depurarlos se efectuaron preguntas las que se separaron en dos grupos

dependiendo si los factores se encuentran dentro o fuera del control de la

organización. Existe un set de preguntas por cada grupo, las respuestas son
las que indican si un factor es “critico” o no. La metodología usada en este
paso se llevo a cabo tomando cada factor y sometiéndolo a las preguntas que
le corresponden. Las respuestas se pueden obtener en base a información
recopilada de investigaciones que son basadas en búsquedas bibliográficas e
internet. Se pueden realizar un set de preguntas que contengan cuestionarios
que pueden ser aplicados a los factores de éxito, se encuentran bajo el
control de la organización y, como otra forma de continuar averiguando se
puede someter a los factores de éxito que se encuentran fuera del control de
la organización. (Urra & Sequeida, 2005).
Factores Críticos de Éxito (FCE)
La experiencia ha demostrado que los siguientes factores con frecuencia son

críticos para una exitosa implementación de la seguridad de la información
dentro de una organización, (ISO, 2005):
 Política, objetivos y actividades de seguridad de información que

reflejan los objetivos comerciales.
 Un enfoque y marco referencial para implementar, mantener,
monitorear y mejorar la seguridad de la información que sea
consistente con la cultura organizacional.
 Soporte visible y compromiso de todos los niveles de gestión.
 Un buen entendimiento de los requerimientos de seguridad de la
información, evaluación del riesgo y gestión del riesgo.
 Marketing efectivo de la seguridad de la información con todos los
200
gerentes, empleados y otras partes para lograr conciencia sobre el

tema.
Pá gina

 Distribución de lineamientos sobre la política y los estándares de

seguridad de la información para todos los gerentes, empleados y otras
partes involucradas.
 Provisión para el financiamiento de las actividades de gestión de la
seguridad de la información.
 Proveer el conocimiento, capacitación y educación apropiados.
 Establecer un proceso de gestión de incidentes de seguridad de la
información.
 Implementación de un sistema de medición que se utiliza para evaluar
el desempeño en la gestión de la seguridad de la información y
retroalimentación de sugerencias para el mejoramiento.
Tratamiento de los riesgos de seguridad
Antes de considerar el tratamiento del riesgo, la organización debiera decidir

el criterio para determinar si se pueden aceptar los riesgos, o no. Los riesgos
pueden ser aceptados si, por ejemplo, se ha evaluado que el riesgo es bajo o
que el costo del tratamiento no es efectivo en costo para la organización.
Estas decisiones debieran ser registradas. Para cada uno de los riesgos
definidos después de una evaluación del riesgo se necesita tomar una
decisión de tratamiento del riesgo. Las opciones posibles para el tratamiento
del riesgo incluyen, (ISO, 2005).
 Aplicar los controles apropiados para reducir los riesgos

 Aceptar los riesgos consciente y objetivamente, siempre que cumplan
claramente con la política y el criterio de aceptación de la organización
201
de la organización.
 Evitar los riesgos no permitiendo acciones que podrían causar que el
Pá gina
riesgo ocurra.

 Transferir los riesgos asociados a otros grupos; por ejemplo,

aseguradores o proveedores.
 Para aquellos riesgos donde la decisión del tratamiento del riesgo ha
sido aplicar los controles apropiados, estos controles debieran ser
seleccionados e implementados para satisfacer los requerimientos
identificados por la evaluación del riesgo. Los controles debieran
asegurar que se reduzcan los riesgos a un nivel aceptable tomando en
cuenta:
 Los requerimientos y restricciones de la legislación y las
regulaciones nacionales e internacionales.
 Objetivos organizacionales.
 Requerimientos y restricciones operacionales.
 Costo de implementación y operación en relación a los riesgos
que se están reduciendo, y manteniéndolo proporcional a los
requerimientos y restricciones de la organización.
 La necesidad de equilibrar la inversión en implementación y
operación de los controles con el daño probable resultado de
fallas en la seguridad.
 Los controles se pueden seleccionar a partir de este estándar o de

otros conjuntos de controles, o se pueden diseñar controles nuevos
para cumplir con necesidades específicas de la organización. Es
necesario reconocer que algunos controles pueden no ser aplicables a
todo sistema de información o medio ambiente, y podría no ser
practicable en todas las organizaciones. Ejemplificando se describe
202
cómo se puede segregar las tareas para evitar el fraude y el error. En

las organizaciones más pequeñas puede no ser posible segregar todas
Pá gina
las tareas y pueden ser necesarias otras maneras para lograr el mismo
objetivo de control. Se describe cómo se debiera monitorear el uso del

sistema y recolectar la evidencia. Los controles descritos, por ejemplo,

bitácora de eventos, podrían entrar en conflicto con la legislación
aplicable, como la protección de la privacidad para los clientes o en el
centro de trabajo.
 Se debieran considerar los controles de seguridad de la información en

los sistemas y la especificación de los requerimientos de proyectos, así
como la etapa de diseño. El no hacerlo puede resultar en costos
adicionales y soluciones menos efectivas, y tal vez, en el peor de los
casos, la incapacidad de lograr la seguridad adecuada.
 Se debiera tener en mente que ningún conjunto de controles puede

lograr la seguridad completa, y que se debiera implementar una acción
de gestión adicional para monitorear, evaluar y mejorar la eficiencia y
efectividad de los controles de seguridad para apoyar los objetivos de
la organización.
203
Pá gina

CAPITULO V
Auditoria de Sistemas de
Información
204
Pá gina

Importancia de la Auditoria de los SI
El crecimiento y la fuerte competencia a la que están sometidas todo tipo de

organizaciones, llevan a un incremento de las actividades cotidianas, lo que
obliga a planear y controlar procesos para ser competitivas y es aquí donde
los SI juegan un papel importante en cuanto a la existencia y su
funcionamiento adecuado para la obtención de información. (Tamayo, 2001).
La auditoría de los SI “es el proceso de recoger, agrupar y evaluar evidencias

para determinar si un sistema informatizado salvaguarda los activos, mantiene
la integridad de los datos, lleva a cabo eficazmente los fines de la
organización y utiliza eficientemente los recursos”. (Piattini V., Del Peso N., &
Del Peso R., 2010).
La auditoría ha tomado importancia llegando al punto de ser un elemento

adicional de control en las organizaciones, puesto que grandes, medianas y
205
pequeñas organizaciones tienen una alta dependencia de los SI. Los altos
índices de fraude informático, manejo indebido, errores a que están expuestas
Pá gina
las organizaciones, han permitido que se estudien enfoques de auditoría que

consideren a evaluar los recursos de software, hardware, programas, los

archivos de datos entre otros. Por lo anterior es relevante fiscalizar, prevenir y
garantizar el buen uso de los SI, dando mayor certeza de la confiabilidad de
los SI y propiciando más y mejores resultados, satisfaciendo en los
requerimientos de los usuarios, reduciendo costos e inconvenientes futuros.
De esta forma proteger el activo información, utilizar eficientemente los
recursos y finalmente generar valor agregado en las organizaciones. (Pablos,
López, Martin, Medina, Montero, & Nájera, 2008).
Objetivos de la Auditoria de SI
La Auditoría de los SI tiene por objeto, (Tamayo, 2001):
 Evaluar las políticas sobre planeación, ambiente laboral, entrenamiento

y capacitación del recurso humano.
 Evaluar las políticas generales de orden técnico con respecto al

software, hardware, desarrollo, implementación, operación y
mantenimiento de SI.
 Evaluar las políticas generales sobre seguridad física referente a

instalaciones donde se encuentran los computadores, personal
autorizado para el uso de los componentes informáticos, equipos,
documentación, back-ups y planes de contingencias.
 Evaluar los recursos informáticos de la organización con énfasis en su

206
nivel tecnológico, producción de software (diseño, manual de usuario) y

aplicaciones más comúnmente utilizadas.
Pá gina

 Conocer las políticas generales y actitudes de los directivos y/o dueños

frente a la auditoría y seguridad de los SI y proceder a hacer las
recomendaciones respectivas.
 Efectuar un análisis sobre la concepción, implementación y

funcionalidad de la seguridad aplicada a los SI.
 Analizar los componentes del costo involucrado en la sistematización

de los diferentes procesos, así como evaluar los beneficios derivados
de la misma.
Elementos de Auditoría de SI
Los componentes de la Auditoría de SI son, (Poblete Velásquez, 2000):
 Objeto: ¿Qué? Es la situación auditada, puede ser el área informática, los

SI de la organización o una situación precisa como lo es la seguridad de
los datos almacenados, seguridad física etc.
 Sujeto: ¿Quién? El profesional que dirige la ejecución de la auditoría,

debe poseer amplios conocimientos de informática; vasta experticia y
experiencia en las técnicas de desarrollo y aplicación de sistemas
computacionales; análisis de los SI. Además el sujeto debe poseer
amplios conocimientos en metodologías de gestión de TI, los cuales
servirán de patrón de comparación y sustento para una auditoría de SI,
como lo es el COBIT, que corresponde a los objetivos de control para
207
tecnología de información y para tecnologías relacionadas, otra

metodología son las normas generales para la auditoria de SI impartidas
Pá gina
por la Asociación de Auditoría y Control de SI (ISACA).

Otro elemento de auditoría de Sistema de información es el, (Brito & Solis,

2004):
 Estándar: ¿Cómo? Realizar la auditoría, se utilizan normas o métodos

para evaluar si la situación bajo examen cumple o se desvía. ISO
19011:2011 (Directrices para la auditoría de los sistemas de gestión).
Estándar Internacional de Control de Sistemas COBIT 4.1
COBIT, es una herramienta que tiene por objetivo principal el desarrollo de

políticas claras y buenas prácticas para la seguridad y el control de tecnología
de información, con el fin de obtener la aprobación y el apoyo de las
entidades comerciales, gubernamentales y profesionales en todo el mundo.
Esta herramienta relaciona los objetivos de negocio con los objetivos de
tecnología de información, proporcionando modelos para evaluar el grado de
confiabilidad o dependencia que el negocio puede tener en un proceso, al
alcanzar las metas y objetivos deseados. (Institute, 2007).
Criterios de Información de COBIT
Para satisfacer los objetivos del negocio, la información necesita adaptarse a

ciertos criterios de control, los cuales son referidos en COBIT como
requerimientos de información del negocio . Estos criterios son, (Institute,
2007):
208
 La efectividad de la información debe ser relevante y pertinente a los

procesos del negocio, y ésta se puede utilizar de una manera oportuna,
Pá gina
correcta y consistente.

 La eficiencia consiste en que la información sea generada con el

óptimo (más productivo y económico) uso de los recursos.
 La confidencialidad se refiere a la protección de información sensitiva
contra revelación no autorizada.
 La integridad está relacionada con la precisión y exactitud de la
información, así como con su validez de acuerdo a los valores y
expectativas del negocio.
 La disponibilidad se refiere a que la información esté disponible cuando
sea requerida por los procesos del negocio en cualquier momento.
También concierne a la protección de los recursos y las capacidades
necesarias asociadas.
 El cumplimiento tiene que ver con abordar aquellas leyes, reglamentos
acuerdos contractuales a los cuales está sujeto el proceso de negocio,
es decir, criterio de negocio impuestos externamente, así como
políticas internas.
 La confiabilidad se refiere a proporcionar la información apropiada para
que la gerencia administre la entidad y ejerza sus responsabilidades
legales y de gobierno.
Dominios interrelacionados de COBIT: Este control define actividades de

TI en un modelo genérico de procesos organizados en cuatro dominios. Estos
son, (Institute, 2007):
 Planeación y Organización
209
Cubre la estrategia y las tácticas, se refiere a la identificación de la forma en

que la TI puede contribuir de la mejor manera al logro de los objetivos del
Pá gina
negocio. Además, la consecución de la visión estratégica necesita ser

planeada, comunicada y administrada desde diferentes perspectivas.

Finalmente, deberán establecer una infraestructura tecnológica apropiada.
Programa de Auditoría para este dominio:
Descripción Actividad
Definir el plan estratégico de TI Determinar la existencia de un plan estratégico
de TI
Definir la arquitectura de la información Evidenciar la existencia de sistemas apropiados
para optimizar el uso de esta información.
Determinar la dirección tecnológica. Verificar si cuenta con sistemas aplicativos
estándar, bien integrados, rentables y estables,
así como con recursos y capacidades que
satisfagan requerimientos de negocios actuales
y futuros.
Definir procesos, organización y Determinar la existencia roles y
relaciones de TI. responsabilidades definidos para la
organización de TI.
210
Administrar la inversión en TI Verificar la existencia roles y responsabilidades

definidos para la organización de TI.
Pá gina
Comunicar las aspiraciones y la Comprobar la existencia de comunicación

dirección de la gerencia. continua para articular los objetivos, las políticas

y procedimientos, etc., y la debida aprobación y

apoyo por parte de la dirección.
Administrar recursos humanos de TI. Evidenciar la existencia procedimientos que
permitan el reclutamiento, entrenamiento, la
evaluación del desempeño, la promoción y la
terminación del recurso humano del área de TI.
Administrar calidad Comprobar la existencia de un sistema de
administración de calidad.
Evaluar y administrar riesgos de TI Determinar la existencia de la evaluación y
administración de riesgos de TI.
Administrar Proyectos. Verificar la existencia de un control
administrativo de proyectos, para la
administración de todos los proyectos de TI.
(Calderón, 2010).
 Adquisición e implementación
Para llevar a cabo la estrategia de TI, las soluciones deben ser identificadas,
desarrolladas o adquiridas, así como implementadas e integradas dentro del
proceso del negocio. Además, este dominio cubre los cambios y el
mantenimiento realizados a sistemas existentes.
211

Pá gina

Identificar soluciones Identificar procedimientos que permita evaluar y
automatizadas priorizar requerimientos para establecer soluciones de
TI.
Adquirir y mantener el software Verificar la existencia de un proceso claro, definido
aplicativo. para la adquisición y mantenimiento de software
aplicativo.
Adquirir y mantener la Evidenciar si se cuenta con planes para adquirir,
infraestructura tecnológica. implantar y mantener la infraestructura tecnológica.
Facilitar la operación y el uso. Determinar la existencia de documentación para
transferencia de información.
Adquirir recursos de TI. Evidenciar procedimientos de control de proveedores y
de adquisición de software.
Administrar cambios Verificar si existe un procedimiento que permita
registrar, evaluar y autorizar tanto los cambios en la
infraestructura como en las aplicaciones
Instalar y acreditar soluciones y Determinar si se efectúan pruebas de las soluciones
cambios. de aplicaciones e infraestructura y estén libres de
errores.
(Calderón, 2010).
 Entrega y Soporte
Aquí se hace referencia a la entrega de los servicios requeridos, que abarca

desde las operaciones tradicionales hasta el entrenamiento, pasando por
seguridad y aspectos de continuidad. Con el fin de proveer servicios, deberán
establecer procesos de soportes necesarios. Este dominio incluye el
procesamiento de los datos por sistemas de aplicación, frecuentemente
212
clasificados como controles de aplicación.

Pá gina

Definir y administrar niveles de Verificar si se cuenta con una definición documentada
servicio de TI y de niveles de servicio.
Administrar servicios de terceros Determinar la existencia de un monitoreo de la
prestación de servicios de terceros.
Administrar desempeño y Verificar si existe un proceso para revisar
capacidad periódicamente el desempeño actual y la capacidad de
los recursos TI.
Garantizar la continuidad del Evidenciar si se ha desarrollado, mantenido y probado
servicio. un plan de continuidad de TI.
Garantizar la seguridad de los Verificar el proceso de administración de la seguridad.
sistemas
Identificar y asignar costos. Determinar la existencia de un proceso que incluya la
construcción y operación de un sistema para capturar,
distribuir y reportar costos de TI a los usuarios de los
Servicios.
Educar y entrenar a los usuarios. Identificar si el proceso de entrenamiento incluye la
definición y ejecución de una estrategia para llevar a
cabo un entrenamiento efectivo y permita medir los
resultados.
Administrar la mesa de servicio y Determinar la existencia de un proceso de
los incidentes administración de incidentes.
Administrar la configuración Verificar si existe un procedimiento de configuración
de equipos.
Administrar los problemas Verificar que el proceso de administración de
problemas sirve para mejorar los niveles de servicio.
Administrar los datos Determinar si se realiza una efectiva administración de
datos, de acuerdo a la identificación de requerimientos
213
de datos.
Administrar el ambiente físico. Evidenciar la existencia de instalaciones físicas
Pá gina
apropiadas y bien administradas

Administrar las operaciones Verificar si existe un procedimiento para garantizar el

mantenimiento oportuno y adecuado de la

infraestructura.
(Calderón, 2010).
 Monitoreo y evaluación
Todos los procesos necesitan ser evaluados regularmente a través del tiempo
para verificar su calidad y suficiencia en cuanto a los requerimientos de
control. Este dominio abarca la administración del desempeño, el monitoreo
del control interno y el cumplimiento regulatorio.
Monitorear y evaluar el Definir si se han tomado medidas correctivas para el
desempeño de TI. monitoreo del desempeño y evaluación de TI.
Monitorear y evaluar el control Evidenciar si existe un programa de control interno
interno. efectivo para TI.
Garantizar cumplimiento Determinar si existe un proceso independiente de
regulatorio revisión que garantice el cumplimiento de las leyes y
regulaciones.
Proporcionar gobierno TI Determinar si las inversiones empresariales en TI
estén alineadas y de acuerdo con las estrategias y
objetivos empresariales.
(Calderón, 2010).
214
Normas Generales de Auditoria de SI de ISACA

Pá gina
Los objetivos de las normas impartidas por ISACA son los de informar a los
auditores del nivel mínimo de rendimiento aceptable para satisfacer las

responsabilidades profesionales establecidas en el Código de Ética

Profesional y de informar a la gerencia y a otras partes interesadas de las
expectativas de la profesión con respecto al trabajo de aquellos que la
ejercen, (Isaca, 2013).
Lo anterior, contiene principios básicos y procedimientos esenciales que a

continuación se detallan, (Isaca, 2013).
 S1 : El estatuto de Auditoría
El propósito de este Estándar de Auditoría de SI es establecer y proporcionar

asesoramiento con respecto al Estatuto de Auditoría utilizado durante el
proceso de auditoría.
 El propósito, responsabilidad, autoridad y rendición de cuentas de la

función de auditoría de SI o de las asignaciones de auditoría de SI,
deben documentarse de manera apropiada en un estatuto de auditoría
o carta de compromiso.
 El estatuto de auditoría o carta de compromiso deben ser aceptados y
aprobados en el nivel apropiado dentro de la organización.
 S2: Independencia profesional
El propósito de esta Norma de Auditoría de SI, es establecer estándares y

guías relacionadas con la independencia durante el proceso de auditoría.
215
 Independencia Profesional: En todos los aspectos relacionados con la

auditoría, el auditor de SI debe ser independiente del auditado, tanto en
Pá gina
actitud como en apariencia.

 Independencia organizacional: La función de Auditoría de SI debe ser

independiente del área o actividad que se está revisando para permitir
una conclusión objetiva de la tarea que se audita.
 S3: Ética y estándares profesionales
El propósito de esta Norma de Auditoría de SI es establecer un estándar y

proporcionar una guía para el auditor de SI con el fin de que cumpla con el
Código de Ética Profesional de ISACA y ejerza el debido cuidado profesional
al realizar tareas de auditoría.
 El auditor de SI debe cumplir con el Código de ética Profesional de

ISACA al realizar tareas de auditoría.
 El auditor de SI debe ejercer el debido cuidado profesional, lo cual
incluye cumplir con los estándares profesionales de auditoría aplicables
al realizar tareas de auditoría.
 S4: Competencia profesional
El propósito de esta Norma de Auditoría de SI es establecer y brindar

asesoría a fin de que el auditor de SI logre y mantenga un nivel de
competencia profesional.
216
 El auditor de SI debe ser profesionalmente competente y tener las

destrezas y los conocimientos para realizar la tarea de auditoría.
Pá gina
 El auditor de SI debe mantener competencia profesional por medio de

una apropiada educación y capacitación profesional continua.

 S5: Planeación
El propósito de esta norma de auditoría de SI es establecer normar y brindar

asesoría sobre la planeación de una auditoría.
 El auditor de SI debe planear la cobertura de la auditoría de SI para

cubrir los objetivos de la auditoría y cumplir con las leyes aplicables y
las normas profesionales de auditoría.
 El auditor de SI debe desarrollar y documentar un enfoque de auditoría
basado en riesgos.
 El auditor de SI debe desarrollar y documentar un plan de auditoría,
que detalle la naturaleza y los objetivos de la auditoría, los plazos y
alcance, así como los recursos requeridos.
 El auditor de SI debe desarrollar un programa y/o plan de auditoría
detallando la naturaleza, los plazos y el alcance de los procedimientos
requeridos para completar la auditoría.
 S6: Ejecución de la auditoría
El propósito de este Estándar de Auditoría de SI es establecer normas y

proporcionar asesoría con respecto a la realización de las labores de
auditoría.
217
 Supervisión: El personal de auditoría de SI debe ser supervisado para

Pá gina
brindar una garantía razonable de que se lograrán los objetivos de la

auditoría y que se cumplirán las normas profesionales de auditoría

aplicables.
 Evidencia: Durante el transcurso de la auditoría, el auditor de SI debe
obtener evidencia suficiente, confiable y pertinente para alcanzar los
objetivos de auditoría. Los hallazgos y conclusiones deberán ser
soportado mediante un apropiado análisis e interpretación de dicha
evidencia.
 Documentación: El proceso de auditoría deberá documentarse,
describiendo las labores de auditoría realizadas y la evidencia de
auditoría que respalda los hallazgos y conclusiones del auditor de SI.
 S7: Reporte
El propósito de esta norma de auditoría de SI es establecer y proporcionar

asesoría sobre la generación del informe, a fin de que el auditor de SI pueda
cumplir con esta responsabilidad.
 El auditor de SI debe suministrar un informe, en un formato apropiado,

al finalizar la auditoría. El informe debe identificar la organización, los
destinatarios previstos y respetar cualquier restricción con respecto a
su circulación.
 El informe de auditoría debe indicar el alcance, los objetivos, el período
de cobertura y la naturaleza, plazo y extensión de las labores de
auditorías realizadas.
 El informe debe indicar los hallazgos, conclusiones y
218
recomendaciones, así como cualquier reserva, calificación o limitación

que el auditor de SI tuviese en cuanto al alcance de la auditoría.
Pá gina
 El auditor de SI debe tener evidencia de auditoría suficiente y

apropiada para respaldar los resultados reportados.

 Al emitirse, el informe del auditor de SI debe ser firmado, fechado y

distribuido de acuerdo con los términos del estatuto de auditoría o carta
de compromiso.
 S8: Actividades de seguimiento
El propósito de esta Norma de Auditoría de SI es establecer normas y

proporcionar asesoría con respecto a las actividades de seguimiento,
realizadas durante un proceso de auditoría de SI.
 Después de informar/reportar sobre los hallazgos y las

recomendaciones, el auditor de SI debe solicitar y evaluar la
información relevante para concluir si la gerencia tomó las acciones
apropiadas de manera oportuna.
 S9: Irregularidades y acciones ilegales
El propósito de este estándar de ISACA es establecer y proporcionar asesoría

sobre irregularidades y acciones ilegales que el auditor de SI debe tener en
cuenta durante el proceso de auditoría.
 Al planificar y realizar la auditoría para reducir el riesgo de auditoría a

un nivel bajo, el auditor de SI debe tener en cuenta el riesgo de
irregularidades y acciones ilegales.
 El auditor de SI debe mantener una actitud de escepticismo profesional
219
durante la auditoría, reconociendo la posibilidad de que podrían existir

declaraciones materialmente incorrectas debido a las irregularidades y
Pá gina
acciones ilegales, independientemente de su propia evaluación del

riesgo de irregularidades y acciones ilegales.

 El auditor de SI debe obtener un entendimiento de la organización y su

entorno, incluidos los controles internos.
 El auditor de SI debe obtener evidencia de auditoría suficiente y
relevante para determinar si la gerencia u otras personas dentro de la
organización tienen conocimientos de cualquier irregularidad y acción
ilegal real, sospechada o alegada.
 Al realizar procedimientos de auditoría para obtener un entendimiento
de la organización y su entorno, el auditor de SI debe considerar
relaciones inusuales o inesperadas que pueden indicar un riesgo de
declaraciones materialmente incorrectas debido a irregularidades y
acciones ilegales.
 El auditor de SI debe diseñar y realizar procedimientos para probar lo
adecuado de los controles internos y el riesgo de anulación de los
controles por parte de la gerencia.
 Cuando el auditor de SI identifica una declaración incorrecta, el auditor
de SI debe evaluar si tal declaración incorrecta puede indicar la
existencia de una irregularidad o acción ilegal. Si existe tal indicación,
el auditor de SI debe tener en cuenta las implicancias en relación con
otros aspectos de la auditoría y, en particular, las declaraciones de la
gerencia.
 El auditor de SI debe obtener declaraciones escritas de la gerencia al
menos una vez al año o con mayor frecuencia, dependiendo del
contrato de auditoría. La gerencia debe:
 Reconocer su responsabilidad en el diseño e implementación de
controles internos para prevenir y detectar irregularidades o
220
acciones ilegales.
 Revelar al auditor de SI los resultados de la evaluación de
Pá gina
riesgos cuando pueda existir una declaración materialmente

incorrecta como resultado de una irregularidad o acción ilegal.

 Revelar al auditor de SI cuando tenga conocimientos de

irregularidades o acciones ilegales que estén afectando la
organización en relación a:
 La Gerencia
 Empleados que tienen funciones significativas en el
control interno.
 Revelar al auditor de SI cuando tenga conocimiento de cualquier
declaración de irregularidades o acciones ilegales, o sospechas
de irregularidades o acciones ilegales que estén afectando la
organización tal como lo hayan comunicado los empleados, ex
empleados, funcionarios responsables de la normatividad dentro
de la organización y otros.
 Si el auditor de SI ha identificado una irregularidad material o acción
ilegal, u obtiene información de que puede existir una irregularidad
material o acción ilegal, el auditor de SI debe comunicarlo sin demora
al nivel de dirección apropiado.
 Si el auditor de SI ha identificado una o irregularidad material o acción
ilegal que involucra a la gerencia o empleados que tienen funciones
significativas en el control interno, el auditor de SI debe comunicarlo sin
demora a los responsables del gobierno corporativo.
 El auditor de SI debe dar recomendaciones al nivel apropiado de la
gerencia y a aquellos responsables del gobierno corporativo sobre las
debilidades materiales en el diseño e implementación del control
interno para prevenir y detectar irregularidades y acciones ilegales que
el auditor de SI pueda haber notado durante la auditoría.
221
 Si el auditor de SI encuentra circunstancias excepcionales que afectan

su capacidad para continuar ejecutando la auditoría debido a una
Pá gina
declaración materialmente incorrecta o una acción ilegal, el auditor de

SI debe tener en cuenta la responsabilidad legal y profesional aplicable

en tales circunstancias, incluyendo que pueda existir el requisito para el

auditor de SI de notificar a aquellos que celebraron el contrato, o en
algunos casos a los responsables del gobierno corporativo o las
autoridades responsables de la normatividad dentro de la organización
o incluso considerar retirarse del contrato.
 El auditor de SI debe documentar todas las comunicaciones,
planeación, resultados, evaluaciones y conclusiones relacionadas con
irregularidades materiales y acciones ilegales que han sido notificadas
a la gerencia, a los responsables del gobierno corporativo, autoridades
responsables de la normatividad dentro de la organización y otros.
 S10: Gobernabilidad de TI
El propósito de este estándar de ISACA es establecer y proporcionar asesoría

en las áreas de gobernabilidad de TI que el auditor de SI debe tener en
cuenta durante el proceso de auditoría.
 El auditor de SI debe revisar y evaluar si la función de SI está alineada

con la misión, visión, valores, objetivos y estrategias de la
organización.
 El auditor de SI debe revisar si la función de SI tiene una declaración
clara en cuanto al desempeño esperado por la organización (eficacia y
eficiencia) y evaluar su cumplimiento.
 El auditor de SI debe revisar y evaluar la eficacia de los recursos de SI
y el desempeño de los procesos administrativos.
222
 El auditor de SI debe revisar y evaluar el cumplimiento de los requisitos

legales, ambientales y de calidad de la información, así como de los
Pá gina
requisitos fiduciarios y de seguridad.07 El auditor de SI debe utilizar un

enfoque basado en riesgos para evaluar la función de SI.

 El auditor de SI debe revisar y evaluar el ambiente de control de la

organización.
 El auditor de SI debe revisar y evaluar los riesgos que pueden afectar
de manera adversa el entorno de SI.
 S11: Uso de la evaluación de riegos en la

planificación de auditoría
El propósito de este estándar es establecer normas y proporcionar asesoría

con respecto al uso de la evaluación de riesgos en la planeación de auditoría.
 El auditor de SI debe utilizar una técnica o enfoque apropiado de

evaluación de riesgos al desarrollar el plan general de auditoría de SI y
al determinar prioridades para la asignación eficaz de los recursos de
auditoría de SI.
 Al planear revisiones individuales, el auditor de SI debe identificar y
evaluar los riegos relevantes al área bajo revisión.
 S12: Materialidad de la Auditoría
El propósito de este estándar de auditoría de SI es establecer y proporcionar

una guía con respecto al concepto de materialidad de la auditoría y su
relación con el riesgo de auditoría.
 El auditor de SI debe considerar la materialidad de la auditoría y su
relación con el riesgo de auditoría a la vez que determina la naturaleza,
223
los plazos y el alcance de los procedimientos de auditoría.

 Mientras planifica la auditoría, el auditor de SI debe considerar las
Pá gina
posibles debilidades o la ausencias de controles, y si tales debilidades

o ausencias de controles pueden ocasionar una deficiencia importante

o una debilidad material en el sistema de información.
 El auditor de SI debe considerar el efecto acumulativo de las
deficiencias o debilidades menores de control y la ausencia de
controles que pueden traducirse en una deficiencia significativa o
debilidad material en el sistema de información.
 El informe del auditor de SI debe divulgar los controles ineficaces o la
ausencia de controles, y el significado de estas deficiencias, así como
la posibilidad de que estas debilidades ocasionen una deficiencia
importante o debilidad material.
 S13: Uso del trabajo de otros expertos
El propósito de este Estándar de Auditoría de SI es establecer y proporcionar

asesoramiento al auditor de SI que utilice el trabajo de otros expertos durante
una auditoría.
 El auditor de SI debe, donde resulte apropiado, considerar el uso del

trabajo de otros expertos para realizar la auditoría.
 El auditor de SI debe evaluar y estar satisfecho con las credenciales
profesionales, competencias, experiencia, relevante, recursos,
independencia y procesos de control de calidad de otros expertos,
antes de su contratación.
 El auditor de SI debe evaluar, revisar y calificar el trabajo de otros
expertos como parte de la auditoría y concluir el grado de utilidad y la
224
fiabilidad del trabajo del experto.

 El auditor de SI debe determinar y concluir si el trabajo de otros
Pá gina
expertos resulta adecuado y suficiente para permitir que el auditor de

SI saque sus conclusiones con respecto a los objetivos actuales de la

auditoría. Dicha conclusión debe documentarse claramente.
 El auditor de SI debe aplicar procedimientos de prueba adicionales
para lograr una evidencia de auditoría suficiente y apropiada en
circunstancias en las que el trabajo de otros expertos no la
proporciona.
 El auditor de SI debe proporcionar una opinión de auditoría apropiada e
incluir los límites del alcance cuando no se obtenga la evidencia
requerida mediante procedimientos de prueba adicionales.
 S14: Evidencia de auditoría
El propósito de este estándar es establecer estándares y proporcionar una

guía sobre lo que constituye evidencia de auditoría, y la calidad y cantidad de
evidencias de auditoría que deberá obtener el auditor de SI.
 El auditor de SI debe obtener evidencias de auditoría suficiente y

apropiada para llegar a conclusiones razonables sobre las que basan
los resultados de la auditoría.
 El auditor de SI debe evaluar la suficiencia de las evidencias de
auditoría obtenidas durante la misma.
 S15: Controles TI
El propósito de este estándar de ISACA es el de establecer normas y

225
proporcionar guías relativas a los controles de TI.

Pá gina
 El auditor de SI debe evaluar y supervisar los controles de TI que son

parte integral del entorno de control interno de la organización.

 El auditor de SI debe asistir a la gerencia proporcionando consejos con

respecto al diseño, la implementación, la operación y la mejora de
controles de TI.
 S16: Comercio electrónico
El propósito de este estándar de ISACA es el de establecer normas y

proporcionar guías relativas a la revisión de entornos de comercio electrónico.
 El auditor de SI debe evaluar los controles aplicables, y cotejar los

riesgos al revisar entornos de comercio electrónicos, para asegurar que
las transacciones de comercio electrónico están correctamente
controladas.
ISO 19.011:2011
La ISO 19011:2011, indica directrices para la auditoría de los sistemas de

gestión, ésta tiene un enfoque más amplio lo que engloba todo tipo de
sistemas, anteriormente la ISO 19011:2002, indicaba solo directrices para la
auditoría de los sistemas de gestión de la calidad y/o ambiental,
Definición de Auditoría de Sistemas de Gestión:
“La auditoría de Sistemas de Gestión (ASG) es una auditoría no financiera, es

226
una revisión y evaluación sistemática de una organización o de una parte de

la misma, hecha con el propósito de determinar si la organización está
Pá gina
funcionando eficazmente”. (Vilar, 1999).

“La auditoría de sistema de gestión puede ayudar a la dirección a mantener y

aumentar la eficiencia a pesar de la creciente complejidad del negocio. La
auditoría de sistemas de gestión puede ser una valiosa herramienta en el
sistema de información de la dirección. Una dirección eficaz representa la
clave del éxito de las compañías. El control y la mejora de la gestión pueden
ser logrados por medio de una auditoría de sistemas de gestión”. (Vilar,
1999).
La Norma ISO 19011:2011 proporciona directrices para la auditoría de

sistemas de gestión y la orientación que ofrece es en base a los siguientes
principios, (ISO-19011, 2011):
 Integridad
El trabajo de auditoría se debe realizar con honestidad, requisito principal

para los auditores como para otras personas que gestionan el programa de
auditoría, así también se debe efectuar un trabajo diligente, la observación y
cumplimiento con los requisitos legales. Además, los auditores deben
demostrar su competencia y desempeñar su trabajo de manera imparcial.
Finamente, tienen que estar atentos a cualquier influencia que pudiera afectar
su juicio.
 Presentación ecuánime
227
Las actividades de los hallazgos, conclusiones e informes deben ser: veraces

y exactos. Del mismo modo se dan a conocer los obstáculos que hubo
Pá gina
durante la auditoría y puntos que quedaron sin resolver.

 Debido cuidado profesional
Los auditores deben realizar su labor con el debido cuidado, actuando con
profesionalismo así como basándose en normas y reglamentos para emitir
juicios razonables con respecto a la labor de auditoría.
 Confidencialidad
Los auditores deben actuar con discreción en el uso y protección de

información confidencial adquirida durante el proceso de auditoría y no usar
para beneficio personal o en perjuicio del auditado.
 Independencia
Los auditores deben ser independientes de quienes gestionan operativamente

la función auditada, con el fin de que mantengan una actitud objetiva y de esta
forma asegurar que los hallazgos y conclusiones se basen solo en evidencias
encontradas, es decir, evitar conflicto de intereses.
 Enfoque basado en la evidencias
Para alcanzar conclusiones fiables y reproducibles, la auditoría debe seguir

un proceso sistemático y basado en evidencias verificables. Debido a que el
tiempo y los recursos disponibles son limitados, generalmente las auditorías
se basan en muestras, y por lo tanto el uso apropiado del muestreo es
228
necesario para que las conclusiones sean confiables.

Pá gina
Se da mayor énfasis a los riesgos derivados del proceso de auditoría en sí,

como también los riesgos que pueden surgir de la interferencia de la auditoría.

También a través de esta ISO se pueden realizar entrevistas a a distancia y

revisión remota de documentación.
La metodología de Auditoría que indica la ISO 19.011.2011
(ISO 1. , 2011)
Tipos de Auditorías de Sistemas

229
Algunas auditorias que se realizan dentro del área informática son:

Pá gina

Auditoria de la seguridad física y lógica
Todo lo relacionado con la auditoria de tecnología informática tiene una

amplia gama de amenazas que perjudican en forma sustancial a los SI, éstas
pueden ser de tipo lógica o física. Así por ejemplo, una amenaza de tipo
lógica como robo de información, destrucción parcial o total de la información
quedando inclusive inoperativo el sistema, compromete automáticamente a la
integridad, confidencialidad y disponibilidad de la información mientras, que
las amenazas físicas como lo son los desastres naturales atacan
principalmente a la disponibilidad de la información. (IICA, 2001).
Auditoria de redes
Consiste en la evaluación de los sistemas de redes de la organización, se

considera los tipos de redes existentes, arquitectura, sus protocolos de
comunicación, conexiones, accesos, privilegios, administración y demás
aspectos que repercuten en su instalación, administración, funcionamiento y
aprovechamiento. También se evalúa las operaciones, actividades y
funciones que permiten compartir las bases de datos, instalaciones, software
y hardware de un sistema de red. (Muñoz, 2002).
Se comienza con la evaluación de riesgos para la información que fluye al

interior de las instalaciones, es decir, se verifica la vulnerabilidad. Luego se
verifica si existe o no acceso físico desde el exterior a la red interna de una
organización. Debe comprobar que efectivamente se han investigado los
230
posibles accesos físicos provenientes del exterior, para evitar estos accesos,
debe también comprobarse que desde el interior del edificio no se intercepta
Pá gina
físicamente el cableado. (Piattini V., Del Peso N., & Del Peso R., 2010).

Auditoria de Bases de datos
Es el proceso que permite medir, asegurar, demostrar, monitorear y registrar

los accesos a la información almacenada en las bases de datos. La auditoría
de las bases de datos son esenciales porque permiten determinar de dónde
proviene la información almacenada y como se garantiza el resguardo de la
información. (Rob & Coronel, 2004).
Otra propuesta de Metodología de Auditoría de SI
A continuación se presenta una metodología de auditoría en base a

herramientas que se utilizan en distintos ámbitos de auditoría. Las auditorías
al menos tienen tres etapas, que consisten en la etapa de planificación,
ejecución e informe:
Etapa de Planificación
En esta etapa se establece un programa de trabajo donde se determinan las

principales acciones y rutinas que se van a realizar en las etapas siguientes.
El auditor debe comprender el ambiente del negocio en el que se va a realizar
la auditoría así como los riesgos y controles asociados. (Mira, 2006)
A continuación se describen a grandes rasgos algunas de las áreas que

deben ser cubiertas durante esta etapa:
 Conocimiento y comprensión de la organización

231
Previo a la elaboración del plan de auditoría, se debe investigar todo lo

relacionado con la organización a auditar, para la comprensión del objeto y
Pá gina
así elaborar el plan en forma objetiva. Este análisis debe contemplar: su

naturaleza operativa su estructura organizacional, giro del negocio, capital,

estatutos de constitución, disposiciones legales que la rigen y todo aquello
que ayude la comprensión del cómo funciona la organización, a través de (de
Pablos, López, Romo, & Medina, 2011):
 Visitas al lugar: Revisar y verificar antecedentes sobre la organización,

recorrer instalaciones, infraestructura donde funciona el centro
informático.
 Entrevistas y encuestas: Entrevistas a gerentes claves para lograr una

comprensión de los temas comerciales. Estudiar los informes, normas
y reglamentos especialmente a lo referente con los SI.
 Objetivos y alcance de la auditoría
Los objetivos indican el propósito por lo que es contratada una firma auditora,
qué se persigue con el examen, para qué y por qué. Estos objetivos se
realizan en conjunto con los auditados para definir qué es lo que se quiere
conseguir, para evitar una auditoria incompleta o bien demasiado extensa.
(Fernández & Sánchez, 1997)
El alcance tiene que ver con la profundidad del examen, es decir, si se van a
examinar todos los SI existentes o alguno en específico, cantidad de
elementos sujetos a evaluación tiempo (horas) a desarrollar y cantidad de
muestra que han sido seleccionadas. (Coneza, 1997).
 Análisis preliminar del Control interno

232
Se comprenderá la naturaleza y extensión del plan de auditoría y la valoración

Pá gina
y oportunidad de los procedimientos a utilizar durante el examen.

Sistema de Control Interno informático
Toda auditoría tiene como primer paso examinar y evaluar el control interno;
siendo su principal características controlar diariamente todas las actividades
relacionadas con los SI, que éstas se efectúen cumpliendo los
procedimientos, estándares y normas internas así como también
disposiciones legales externas. (Piattini V., Del Peso N., & Del Peso R.,
2010).
Algunos controles internos para los SI que una auditoría informática debería
verificar y evaluar su cumplimiento y validez, (Piattini V., Del Peso N., & Del
Peso R., 2010):
 Controles generales organizativos: Donde las políticas deberán servir

de base para la planificación, control y evaluación por la dirección de
las actividades del departamento de informática.
 Planificación: Que en el plan estratégico de información estén

definidos los procesos corporativos y se considera el uso de las
diversas TI. El Plan informático cubre las necesidades de la
organización. Plan General de Seguridad tanto física como lógica
garanticen la confidencialidad de los sistemas ante eventos. Que los
estándares regulen la adquisición de recursos, el diseño, desarrollo,
modificación y explotación de sistemas. Que los procedimientos
describan la forma y las responsabilidades de ejecutoria para regular
las relaciones entre el departamento de Informática y los
233
departamentos usuarios. Que las políticas de personal indiquen

selección, plan de formación, plan de vacaciones y evaluación y
Pá gina
promoción. Asegurar que existe una política de clasificación de la

información para saber dentro de la organización qué personas están

autorizadas y a qué información tiene acceso.
 Controles de desarrollo, adquisición y mantenimiento de SI: Para

alcanzar la eficacia del sistema, economía y eficiencia, integridad de
los datos, protección de los recursos y cumplimiento con las leyes y
regulaciones. Se evalúan metodologías del ciclo de vida del
desarrollo de sistemas, garantizando a la alta dirección que se
alcanzarán los objetivos definidos para el sistema. Evaluar
mantenimiento donde los controles asegurarán que se trata de datos
congruentes y exactos y que el contenido sólo será modificado
mediante autorización.
 Controles de explotación de SI: La adquisición de equipos y

presupuestos deben estar definidos, así como también los
procedimientos de selección, instalación, mantenimiento, seguridad y
cambios de software.
 Controles en aplicaciones: En los controles de entrada de datos

deben contener procedimientos de entrada, validación y corrección
de datos. Controles de tratamientos de datos para asegurar que no
se modifican o borran datos no autorizados. Controles de Salida de
datos.
 Controles de ciertas tecnologías: Controles sobre computadores

personales y redes de área local, deben existir políticas de
234
adquisición y utilización, procedimientos de control de software

contratado bajo licencia, revisiones periódicas del uso de los
Pá gina
computadores.

 Controles de Calidad: Existencia de un plan general de calidad que

debe promover la mejora continua. A medida que se generen cambios
tecnológicos las metodologías de desarrollo de Sistemas deben
evolucionar. Existencia de un proceso que asegure buenas relaciones
laborales con proveedores que desarrollen sistemas para la
organización donde faciliten los acuerdos de aceptación y
administración de cambios, problemas durante el desarrollo, etc.
 Análisis de los riesgos y la materialidad
Los riesgos, probablemente existe la posibilidad de emitir un informe de

auditoría que no es el adecuado, trabajo incorrecto porque se seleccionó mal
la muestra y/o se aplicó mal el procedimiento o bien porque no se basó en los
estándares, resultando una opinión errada. Los riesgos en auditoría pueden
clasificarse como (de la Peña, 2011):
 Riesgo Inherente: Es propio de la naturaleza del negocio.

Esto puede ser potenciado o debilitado por una serie de
factores del entorno.
 Riesgo de Control: Cuando un error material no se puede

evitar o detectar en forma oportuna por el sistema de control
interno.
 Riesgo de detección: Es el riesgo en que el auditor realiza

pruebas exitosas a partir de un procedimiento inadecuado. El
auditor selecciona un elemento para detectar evidencia y
235
posteriormente emitir una opinión.

Pá gina
 Elaboración de programas de Auditoría

Los programas de auditoría son instrucciones detalladas que guían y a la vez

ayudan a la recopilación de evidencias durante la ejecución de la auditoría.
Cada miembro del equipo de auditoría debe tener en sus manos el programa
detallado de los objetivos y procedimientos de auditoría objeto de su examen,
de esta forma se podrá evaluar y supervisar la adecuada ejecución del
trabajo. (Fonseca, 2007).
Etapa de Ejecución
La ejecución es el desarrollo del control, durante esta etapa se recopila la

evidencia suficiente y pertinente, se realizan pruebas y análisis para la base
de una opinión. (Fernández, Iglesias, Llaneza, & Fernández, 2010)
Elementos de la fase de Ejecución
 Las pruebas de auditoría (Estupiñán, 2004):
Son técnicas o procedimientos que utiliza el auditor para la obtención de

evidencia comprobatoria.
 Pruebas de Control: Están relacionada con el grado de

efectividad del control interno importante.
 Pruebas analíticas: Se utilizan haciendo comparaciones

entre dos o más períodos.
236
 Pruebas sustantivas: Son las que se aplican directamente

en los procedimientos. Por ello se realiza entre otras,
Pá gina
inspecciones de documentos relacionados con el objeto a

auditar.

 Evidencias de Auditoría, (Estupiñán, 2004):
La evidencia es la base razonable de la opinión del Auditor de TI, esto es

parte complementaria del informe, la evidencia tiene una serie de
características:
 La evidencia relevante, que tiene una relación lógica con
los objetivos de la auditoría
 La evidencia fiable, que es válida y objetiva, aunque con

nivel de confianza.
 La evidencia suficiente, se obtiene a través de las

pruebas llegando a conclusiones razonables, es de tipo
cuantitativo.
 La evidencia adecuada, que es de tipo cualitativo para

afectar a las conclusiones del auditor.
Clasificación de la evidencia, (Fonseca, Vademecún Contralor, 2008).
 Evidencia Física: Ésta se obtiene mediante inspección u

observación directa de actividades, bienes o sucesos.
 Evidencia documental: Consistente en información
elaborada, por ejemplo manuales de diseño de base de
datos.
 Evidencia verbal: Este tipo de evidencia se consigue a
través de preguntas, cuestionarios y/o entrevistas que se
237
realizan al personal que labora en el área sujeto a

examen.
Pá gina

 Papeles de Trabajo
Los papeles de trabajo son el conjunto de documentos probatorios que

contienen la información obtenida por el auditor en su revisión, para
mostrar los resultados de los procedimientos y pruebas de auditoría
aplicados; con ello se sustentan las observaciones, recomendaciones,
opiniones y conclusiones contenidas en el informe correspondiente. Todos
los resultados y recomendaciones de la auditoría deberán sustentarse con
evidencia obtenida en la ella, deberá documentarse debidamente en los
papeles de trabajo, principalmente con el objeto de: Contar con una fuente
de información y en su caso, efectuar aclaraciones con el ente auditado u
otras partes interesadas y dejar constancia del trabajo realizado para
futura consulta y referencia, (Tamayo, 2001).
Objetivos de los papeles de trabajo
Los papeles de trabajos tienen los siguientes fines específicos, (Tamayo,

2001):
 Facilitar la preparación del informe, puesto que de estos
documentos se toman datos para comunicar resultados
finales.
 Especificar con detalles las conclusiones que finalmente
se resumirán en el informe.
 Coordinar y organizar las fases del trabajo para medir el
avance y cumplir con lo establecido en la planificación.
 Facilitar la coordinación de labores desarrolladas por
238
varios auditores puesto que quedan en constancia de las

operaciones y resultados obtenidos.
Pá gina

 Proveer de registros históricos permanentes de la

información examinada y procedimientos aplicados.
 Actuar como guía en futuras auditorias.
Etapa del Informe
Es la expresión de una opinión profesional, a través de un resumen escrito del

alcance, así como también se debe especificar, la evaluación del control
interno, el cumplimiento de las normas y procedimientos. (Vilar, 1999)
 Objetivo del informe, (Muñoz J. , 2001)

 Exponer el alcance de la auditoría.
 Dar a conocer los resultados proporcionando a la
dirección la información sobre el grado de cumplimiento
de los Sistemas.
 Presentar las observaciones y conclusiones de manera
objetiva, así como las recomendaciones.
 Características de los informes, (Rivas, 1989):
 Preciso: Sin desviaciones significativas en razón a la

naturaleza de la organización y a los objetivos de la
Auditoría.
 Conciso: De manera breve, donde lo comunicado sea
realmente importante y material.
 Objetivo. Producto de hechos reales y no estar sujeto a
239
varias interpretaciones.
 Soportado: Teniendo como referente las pruebas,
Pá gina
documentación e información que valide lo afirmado.

GLOSARIO
 Administración,
“es un proceso de diseñar y mantener un entorno en el que, trabajando

en grupos, los individuos cumplan eficientemente objetivos
específicos”. (Koontz, 2004).
“es un proceso de planear, organizar, dirigir y controlar el empleo de los

recursos organizacionales para conseguir determinados objetivos con
eficiencia y eficacia. (Chiavenato, 2001).
“la administración es una ACTIVIDAD, abarca las responsabilidades de

cualquier jefe, se requieren cualidades y preparación especiales. La
administración tiene la responsabilidad de crear condiciones para que
las personas produzcan, de acuerdo a principios administrativos”.
(Lawrence Appley, citado por Lojero, 1997).
 Administración de los Recursos,
“Los recursos se adquieren y se ensamblan de modo que estén

240
disponibles para usarse cuando se necesitan. Es muy común que el

proceso del ensamblado implique convertir una materia prima en una
Pá gina
forma refinada, como capacitar a un empleado o construir una

maquinaria especial. Una vez ensamblados estos recursos, el

administrador procura maximizar su aprovechamiento; él o ella
minimiza su tiempo de inactividad y los mantiene funcionando con
máxima eficiencia. Por último, el gerente sustituye los recursos en un
momento crítico: antes de que se vuelvan ineficientes u obsoletos.
(McLeod, 2000).
 Base de Datos,
“Conjunto de datos organizados, según las necesidades de cada caso”

(Andreu, Ricart, & Valor, 1996).
El concepto de Base de Datos lleva la idea de: (Andreu, Ricart, & Valor,
1996)
 Agrupar todos los datos relevantes para el SI de una
organización en un único lugar la BD.
 Evitando redundancias - es decir, evitando tener el mismo dato
más de una vez, lo que a la larga provoca siempre
incosistencias.
 Estructurándolos de una única manera – que debe reflejar su
estructura “natural”, es decir, la que interesa ver desde la
perspectiva de SI – incluso a lo largo del tiempo, y
 Proporcionando acceso a los mismos a través de lenguajes lo
más “naturales” posible y basados en la estructura anterior – es
decir, que para acceder a un dato baste con saber cosas del
241
propio dato, no otras como dónde esta archivado en un

momento determinado”.
Pá gina

 Computador
“Es una máquina de calcular electrónica muy rápida que, acepta

información digitalizada, la procesa según una serie de instrucciones
almacenadas y produce unos resultados. A la lista de instrucciones que
procesa la información se le denomina programa y, al dispositivo
interno que las almacena memoria”. (Gil, Peñalver, Pont, & Robles,
1996).
 Competitividad,
“es una manera de expresar la capacidad económica de una unidad

productiva a pesar de su bree historia, dicho concepto ha registrato
auge durante los últimos diez años”. (López E. , 1999).
“es un concepto bien definido en relación con el mundo de las

organizaciones, ya que puede entenderse como la capacidad por parte
de éstas de mantener o aumentar su rentabilidad en las condiciones
que prevalecen en el mercado. El hecho de que la ganancia de cuota
de mercado, por parte de una organización, deba ser necesariamentea
costa de las demás organizaciones que operan en el mismo sector
otorga a la idea de competitividad empresarial, la connotación habitual
de rivalidad en el logro de unos determinados resultados económicos”.
(Reig, Mas, Pons, Quesada, Robledo, & Tirado, 2007).
242
“Competitividad microecnómica, es la capacidad de las organizaciones

para competir en los mercados y en base a su éxito ganar cuota de
Pá gina
mercado, incrementar sus beneficios y crecer: generar valor para los

accionistas y riqueza para la sociedad”. Competitividad

macroeconómica, es la capacidad de los países, regiones o localidades
para producir bienes y servicios que compitan eficientemente y
eficazmente con el exterior y en el exterior, y que los beneficios
derivados impactan en el incremento de la renta (tanto de los factores
como del empleo) y la calidad de vida de los habitantes del país, región
o localidad, el medida de lo posible y lo deseable, de forma sostenible”.
(Berumen, 2006)
 Comunicación,
“es el proceso de transmitir información y de entender su

correspondiente significado”. (Oliveira, 2001).
“permite coordinar los distintos elementos para el logro de los objetivos

y mantener un equilibrio óptimo, a partir de reconocer la importancia de
la interdependencia hacia dentro y hacia fuera de los sistemas y
subsistemas. Contribuye a neutralizar los problemas que obstaculizan
el desarrollo de la organización a través de un conjunto de esfuerzos y
acciones adaptativas tales como políticas, productos de comunicación,
etc.” (Páez & Egidos, 2000).
 Control,
243
“En una organización el control consiste en verificar si todo sucede de

acuerdo con el programa adoptado, con las órdenes impartidas y
Pá gina

principios adoptados”. (Fayol, 1987), Citado por (Jimenez Bermejo,

2001).
“ El control se puede definir como el proceso para determinar lo que se

está llevando a cabo, valorizándolo y si, es necesario, aplicando
medidas correctivas de manera que la ejecución se lleve de acuerdo
con lo planeado”. (George Terry, en “Principios de Administración”.
Citado por Jimenez Bermejo, 2001).
“consiste en medir la actividad realizada por las personas responsables

de ella, con el fin de verificar si los rendimientos son los adecuados y si
se están llevando a cabo de acuerdo a lo planeado inicialmente para
lograr las metas y objetivos propuestos. Por consiguiente, el control no
debe existir aislado, sino que íntimamente relacionado con las
funciones de planificación, organización y dirección para que
contribuya efectivamente a la eficiencia de la gestión de la
organización. El control debe tener una carácter positivo; es decir,
debe estar orientado a obligar a que las cosas se realicen y los
acontecimientos suceden de acuerdo con los planes y programas
previstos”. (Poblete, 1992).
 Dato,
“la palabra dato se deriva del vocablo latín para “dar”; por lo tanto, los
datos en realidad son hechos dados, a partir de los cuales es posible
inferir hechos adicionales. (Inferir hechos adicionales a partir de hechos
244
dados es exactamente lo que hace el DBMS cuando responde a una

Pá gina
consulta de un usuario)”. (Date, 2001).

 Eficiencia,
“se define, generalmente, bien como la razón entre los inputs y los
outputs, la cantidad de recursos empleados en la producción de un
output organizacional, bien como la capacidad técnica de una
organización para minimizar los costes en transformar inputs
específicos en outputs aceptables”. (Katz y Kahn, 1977).
“Es la capacidad de una organización para obtener productos con el

uso mínimo de recursos y sus medidas vienen siempre en términos de
relaciones tales como costos/beneficios, costo/tiempo,
esfuerzos/resultados, etc.” (Gibson, Ivancevich y Dónenla, 1983).
“Son los costos incurridos en el logro de objetivos” (Hannan y Freeman,

1977).
Eficacia,
“Lo que es eficaz es verdadero. Lo que es verdadero es justo. En

consecuencia, lo que es eficaz es justo”. (Fernández & Sánchez,
1997).
“Activo, fervoroso, poderoso para obrar / Que logra hacer efectivo un

intento o propósito”. (RAE, Citado por Fernández & Sánchez, 1997).
 Economía,
245
“Establecen la relación entre los costes reales y los costes previstos de

Pá gina
una actuación. Por ejemplo, el coste final de un proceso de selección

en relación con el coste presupuestado”. (Kaplan & Norton, 2001)

 Efectividad,
“Miden el impacto de una actuación sobre el medio. Por ejemplo, los
indicadores de impacto medioambiental de la organización”. (Kaplan &
Norton, 2001)
 Excelencia,
“Establecen el grado cualitativo de satisfacción que presentan los

usuarios con un servicio. Por ejemplo, la percepción de la celeridad de
una gestión”. (Kaplan & Norton, 2001)
 Entorno,
“Miden las variables que pueden afectar la actividad de una entidad.

Por ejemplos, cambios en la legislación o actuaciones de control de la
administración como inspecciones de trabajo”. (Kaplan & Norton, 2001)
 Globalización,
“El término globalización es utilizado en distintos sentidos e

interpretaciones, aunque pueden mencionarse elementos comunes a
todas las versiones. La globalización no es un fenómeno nuevo, sino la
intensificación de las transacciones transversales que hasta ahora se
incluían en la llamada internacionalización. Hay acuerdo en que el
núcleo globalizador es tecnológico y económico, abarcando las áreas
de finanzas, comercio, producción, servicios e información. Un tercer
246
elemento común a las versiones de la globalización consiste en la

convicción de que cualquier intento de desacoplarse de este proceso
Pá gina
está condenado al fracaso. Sin embargo, como lo demuestran las

experiencias nacionales de apertura exitosa, de ello no se desprende

que el Estado deba desvincularse del control sobre la vida económica”.
(Beck, 1997 citado por Bodemer, 1998).
 Hardware,
“Es el equipo físico utilizado para las actividades de entrada,
procesamiento y salida en un sistema de información. Consta de lo
siguiente: la unidad de procesamiento de la computadora; varios
dispositivos de entrada, salida y almacenamiento y medios físicos para
enlazar los dispositivos”. (Laudon & Laudon, 2004).
“Consiste en las computadoras y los periféricos auxiliares. Hardware

son: las unidades de procesos (procesadores), los graficadores
(plotters), digitalizadores, impresoras, tapes back-ups, unidades de
poder, etcétera. La palabra hardware en español se puede traducir
como ferretería. Podríamos significar con hardware aquellas partes
tangibles o visibles. Pensemos, en contraposición, en el software como
un intangible”. (Ciampagna J. M., 2010)
 Informática,
“Estudio de los computadores digitales y otros equipos de

procesamiento de información y su aplicación en diversas áreas, tales
como la Ingeniería, la medicina, la administración, etc.” (Barros,
247
Holgado, & Pérez, 1983).

Pá gina
 Organización,

“La organización es una unidad social coordinada, consciente,

compuesta por dos personas o más, que funciona con relativa
constancia a efecto de alcanzar una meta o una serie de metas
comunes. Según esta definición, las organizaciones productoras y de
servicios son organizaciones, como también lo son escuelas,
hospitales, iglesias, unidades, militares, tiendas minoristas,
departamentos de policía y los organismos de los gobiernos locales,
estatales y federal. Las personas que supervisan las actividades de
otras, que son responsables de que las organizaciones alcancen estas
metas, con sus administradores (aunque en ocasiones se les llama
gerentes, en particular en organizaciones no
lucrativas). (Organizaciones, 2000).
 Proceso Administrativo,
“Es una serie de actividades independientes utilizadas por la

administración de una organización para el desempeño de las
siguientes funciones a su cargo: planificar, organizar, suministrar el
personal y controlar”. (Welsch, 2005)
 Sistema,
“Un grupo de elementos interdependiente”. (Fire) Webster &

248
Ciampagna, 2002)
Pá gina

“Un conjunto de cosas que, ordenadamente, relacionadas entre sí,

contribuyen a un determinado objeto”. (Diccionario de la Real
Academia Española, citado por Jimenez Bermejo, 2001).
“Un complejo de elementos interactivos f1, f2, ..., fn” (Ludwig.

Von .Bertalanffy, citado por Jimenez Bermejo, 2001).
 Software,
“Consiste en intrucciones detalladas preprogramadas que controlan y

coordinan los componentes del hardware de cómputo en un sistema de
información”. (Laudon & Laudon, 2004).
“Es la parte lógica del sistema, lo intangible como dijimos

anteriormente. Ejemplos de software son: el Software SIG, un sistema
administrador de bases de datos (DBMS), los Sistemas Operativos,
software de comunicaciones, y las aplicaciones” . (RAE, Citado por
Ciampagna J. M., 2010).
 Tecnología de la información,
“Es una de las muchas herramientas que los gerentes utilizan para
enfrentarse al cambio”. (Laudon & Laudon, 2004).
“Son las herramientas que están produciendo los cambios más

249
radicales en la gestión pública y privada, y paradójicamente, son las

que más escapan a la comprensión o formación de la gran mayoría de
Pá gina
los reformadores que están gestionando o financiando grandes

proyectos de informatización pública”. (Weissbluth, 2008) citado por

(Naser & Concha, 2011)
 Toma de Decisiones,
“La toma de decisiones es una de las características esenciales del ser

humano y da idea de su grado de audesarrollo, conocimiento y libertad.
Experiencia/instuición (comportamiento no-racional).
Conocimiento/razonamiento (comportamiento racional)” (Ruiz, 2008)
250
Pá gina

CONCLUSIÓN
Actualmente las organizaciones se enfrentan a un entorno muy competitivo.

Esto las lleva a buscar formas de poder competir con fuerza y no ser
desplazadas en la industria o el mercado.
En la búsqueda de estas fortalezas encontramos a los SI, que se sustentan

en la información que hoy se ha transformado en un recurso estratégico
crítico muy importante en las organizaciones económicas. Sus tipos,
clasificaciones, elementos, enfoques y funciones son parte de lo que se ha
definido como SI. Se puede apreciar que las organizaciones están sujetas a
constantes cambios, su dinamismo impulsa a que estén preparadas para ello,
deben estar conscientes que es una necesidad mejorar las funciones
administrativas en la organización. No olvidemos que “lo único permanente es
el cambio”. El avance de las tecnologías en general y los SI son factores
importantes en las organizaciones que deben estar a la vanguardia de los
cambios y actualizarse. Se deduce entonces que la tecnología facilita la
251
administración de los datos.

Pá gina

La gestión de la gerencia también juega un papel muy importante a la hora de

considerar los SI, estos apoyan al cumplimiento de los objetivos y estrategias
planificadas aportando información útil y de calidad para, que en la alta
gerencia se tomen decisiones acertadas. Todo esto definido plenamente en
su concepto.
En todas las organizaciones, niveles y departamentos de ésta, se realizan en

forma diaria procesamiento de información, por este motivo la información se
ha convertido en un factor clave en las organizaciones. Para que no pierda
valor, la información debe considerar las características básicas, establecidas
y enunciadas en este cometido.
Hoy todas las organizaciones deberían de acuerdo a sus necesidades

implementar un SI, ya sean manuales o computarizados, sin embargo
necesitan cada vez más SI computarizados por los beneficios que este
entrega tales como, reducción de errores, velocidad de procesamiento de
datos, la posibilidad de análisis de información, menos espacio físico para
almacenamiento, agilidad para buscar datos particulares, información
necesaria oportuna, entre otras ventajas que se enfoquen en el uso
estratégico de los mismos. Además que contribuya con los procesos y
gestiones empresariales con el único fin de mejorar su productividad, su
rentabilidad y confiabilidad en la organización y así lograr el éxito que todas
las organizaciones esperan alcanzar, bajo un entorno dinámico y complejo,
difícil de manejar y enfrentar la competitividad.
252
Se ha podido mostrar entonces que es fundamental contar con tecnología

disponible para desarrollar SI que brinden eficiencia y eficacia en la gestión
Pá gina
empresarial para lograr los objetivos y estrategias planificadas por la

organización.

La mejor sugerencia es que las empresas deben medir sus necesidades e

implementar un SI computarizado, considerando que traerá beneficios y
ventajas para la gestión estratégica de la empresa. Y así alcanzar sus
objetivos con éxito.
La asimilación de la tecnología por parte de los recursos humanos de la

propia organización es el elemento más importante que asegura a través del
tiempo el éxito en la implementación de nuevas tecnologías.
Para que un SICG sea considerado soporte de la toma de decisiones, debe
reunir una serie de características entre las que destacan: interactividad, tipo
de decisiones, frecuencia de uso, variedad de usuarios, flexibilidad,
incorporación de nuevos modelos, interacción ambiental, comunicación
organizacional, acceso a las bases de datos y simplicidad. Estas cualidades
facilitan de alguna manera el proceso de toma de decisiones.
El método de implementación y desarrollo del SICG debe ser elegido

mediante la observación de algunos aspectos dentro de la misma empresa,
como control interno, costo / beneficio, desempeño interno, calidad, facilidad
de adaptación, comodidad, rapidez, etc. En suma, debe propiciar al directivo
de la organización ventajas suficientes para cubrir sus costos y justificar su
implementación en la empresa.
La importancia que tiene el control en los últimos tiempos, en la optimización

de la gestión a causa de los numerosos problemas producidos por la
253
ineficiencia, se ha hecho necesario que los dueños o la gerencia asuman de

forma efectiva, responsabilidades que hasta ahora se habían dejado en
Pá gina
manos de las propias organizaciones. Por ello es necesario que la

administración tenga claro que el control interno debe ser integral e

imprescindible en la organización. El control interno no tiene el mismo

significado para todas las personas, lo cual causa confusión entre
empresarios y profesionales, legisladores, etc. En consecuencia, se originan
problemas de comunicación y diversidad de expectativas, los mismos que dan
origen a problemas dentro de las organizaciones.
Un buen control interno, ayuda a los dueños o la gerencia a tener seguridad

razonable, respecto de los recursos de las empresas y que diferentes
departamentos cumplan con sus funciones, de la forma eficiente y eficaz.
Este también ayuda a obtener información financiera de forma rápida y
confiable.
El control interno sus características, políticas, procedimientos y

componentes, ayudan a formar una buena estructura de control en toda la
organización y hace partícipe a todos los integrantes de la organización, por
consiguiente entregan mayor rendimiento tanto en las actividades laborales
del personal, como de la organización.
Se ha mencionado modelos que han sido un aporte en el control interno de

las organizaciones, pero de todos ellos debemos destacar el modelo COSO
que actualmente es el más utilizado para evaluar las actividades funcionales
de una empresa.
El control es el soporte del control gestión, existe una relación entre los
distintos elementos que forman parte de este seminario. Los SI son el soporte
254
del control y el control es el soporte de control gestión. Sin información no

existe evaluación y sin control no existe una buena gestión.
Pá gina

La información en la calidad es un concepto utilizado frecuentemente en

nuestra sociedad y en forma global. Dependemos de la información, esta es
intrínseca a las comunicaciones como el desarrollo de las nuevas TI.
Tanto elaboraciones de productos o servicios son dependientes de la

información y su calidad las hace más fuertes o pueden vulnerarse por falta
de medidas y procedimientos adecuados en el tratamiento y procesamiento
de la misma.
La información en calidad y seguridad ha evolucionado ya desde 1920

comenzando con la necesidad de realizar la inspección del control fiscal,
hasta alcanzar el Total Quality Management. Pasando previamente la
información o datos procesados por una inspección o evaluación continua. La
necesidad de organizaciones competitivas es mantener su competitividad por
medio de la mejora continua, implementar políticas de resguardo en la calidad
de información. La participación de todos hacia el logro de objetivos
específicos dentro de una organización es de relevancia para la obtención de
un producto final, en este caso nos referimos a la calidad de la información
que como activo es preciso cuidarlo y tenerlo presente en controles
preventivos. Tratar de alejar o mantener distantes a posibles amenazas en
torno de la información es una tarea que requiere tiempo, esfuerzo y trabajo
en equipo. Hay que recordar que las personas conforman el recurso más
preciado en las organizaciones, tanto por el manejo de la información como el
resguardo de la misma.
255
Tenemos así que la calidad en información trae beneficios tales como:

Pá gina
 Satisfacción de nuestros clientes.

 Satisfacción del personal.

 Optimización de resultados.
 Reducción de costes.
 Agilidad en los procesos y eliminación de defectos.
La seguridad es fundamental al momento de resguardo de la información y

sus posibles amenazas. Como la necesidad de implementación de políticas
de seguridad, además se realice un seguimiento de las mismas.
El riesgo está asociado con la vulnerabilidad que se presentan en los SI. Sean
que los mismos por desconocimiento de medidas preventivas y de resguardo
estén expuestos a algún ataque.
Las nuevas tecnologías que frecuentemente sufren cambios de ingeniería de

software, deben poseer medios defensivos que puedan ser acordes a
normativas para apoyo de la información existente en una organización. Toda
medida preventiva y de apoyo al SGSI debe ser acorde al marco legal
vigente. Mediante una buena política de seguridad resguarda los activos
dentro de la organización.
Las normas ISO sirven de apoyo en la seguridad de la información que posea

una organización. Estas son normadas para el cumplimento políticas y
estándares existentes dentro de la organización.
La auditoría es una nueva herramienta de control y evaluación considerada

como un servicio profesional para examinar integralmente una organización
con el propósito de descubrir oportunidades para mejorar su gestión. Se debe
256
aplicar formalmente en toda organización, independientemente de su

magnitud y objetivos, inclusive en pequeñas empresas, puesto que son los
Pá gina
SI que proveen de información así como también la organización depende de

éste para su buen funcionamiento.

El éxito de una organización se enfoca principalmente en la eficiencia de sus

SI; una organización puede tener un equipo de trabajo de primera, pero si
tiene un SI propenso a errores, lento, vulnerable e inestable, la organización
nunca saldrá a adelante, porque no se tomarán decisiones adecuadas y
favorables.
Por lo tanto, la auditoría es de vital importancia para las organizaciones

modernas con visión de futuro, sobre todo inmersas en el mundo globalizado,
porque si no se provee los mecanismos de control, seguridad y respaldo de la
información dentro de una organización se verá sumida a riesgos lógicos,
físicos y humanos, que conlleven a fraudes no solamente económicos sino de
información.
257
Pá gina

BIBLIOGRAFÍA
9001, I. (2008). Norma Internacional ISO 9001. Ginebra, Suiza: Secretaria Central de
ISO.
Abad, D. (1997). Control de Gestión. Colombia: Interconed Editores.
Accid. (2010). Manual de Control de Gestión. Barcelona: Profit.
Aja Q., L. (Sep. Oct. de 2002). Gestión de Información, gestión del conocimiento y
gestión de la calidad en las organizaciones. Recuperado el 23 de Abril de 2013, de
Gestión de Información, gestión del conocimiento y gestión de la calidad en las
organizaciones: http://scielo.sld.cu/scielo.php?script=sci_arttext&pid=S1024-
94352002000500004
Alvarez, I. (2005). Sistema de Información Metodologías para la Implementación en
Control de Gestión. GESTION 2000.
Alvear, T., & Ronda, C. (2005). Sistemas de Información para el Control de Gestión.
Santiago, Chile: Tesis Universidad de Chile.
Amat, J. (2003). Control de Gestión. España: Editora Gestión 2000.
Amaya, J. (2009). Sistema de Información. Bogotá: Ecoe.
Andreu, R., Ricart, J., & Valor, J. (1996). Estrategias y sistemas de información.
Barcelona: McGraw-Hill de management.
Aranzadi, T. (s.f.). DTIC. Recuperado el 2013, de DTIC:
http://www.dtic.ua.es/grupoM/recursos/articulos/JDARE-04-C.pdf
Atehortúa, F. (2005). Gestión de Auditoria de la Calidad para las Organizaciones.
Antioquia: Universidad de Antioquia.
Barros V., O. (1976). Sistemas de Información Administrativos. Santiago, Chile:
Universitaria.
Barros, O., Holgado, A., & Pérez, V. (1983). Introducción a la Informática y los
258
Sistemas de Información Administración. Santiago: Universitaria.

Pá gina
Sistemas de Información Administrativo. Santiago: Universitaria.

Sistemas de Información Administrativos. Santiago: Editorial Universitaria.
Berumen, S. (2006). Competitividad y desarrollo local en la economía global. España:
Esic Editorial.
Blanco, F. (2000). El Control Integrado de Gestión. México: Limusa Noriega
Editores.
Blásquez, A., Martinez, J., & José, J. (s.f.). DTIC. Recuperado el 2013, de DTIC:
Bodemer, K. (1 de Julio de 1998). http://wwww.nuso.org/upload/articulos/2697_1.pdf
La Globalización un concepto y sus problemas. Recuperado el 1 de Abril de 2013, de
http://wwww.nuso.org/upload/articulos/2697_1.pdf La Globalización un concepto y
sus problemas: La Globalización un concepto y sus problemas
Boydell, T. (1995). Control Interno de las Empresas. Noriega, México: Editorial
Limusa.
Braniff, L. (2012). Guía Práctica Sobre la Puesta en Marcha de Sistema de
Información. Recuperado el 2013, de Guía Práctica Sobre la Puesta en Marcha de
Sistema de Información: Http://www.cgap.org/cites/default/files/cgap-technical-guide-
information-systems-jam-2012-spanich.pdf
Bravo, D. (2006). Dirección y Gestión de los Sistemas de Información. Madrid: Esic.
Brito, J., & Solis, G. (2004). Análisis y Aprovechamiento de los Sistemas de
Información para una Eficiente Auditoría y C.G.
Calderón, F. (2010). Auditoría Informática Aplicando Cobit 4.0 . Loja: Centro
Universitario Tulcán.
Cañavete, A. (2003). RLIS. Recuperado el 01 de ABRIL de 2013, de RLIS:
http://eprints.rclis.org/9083/1/Sistemas_de_informaci%C3%B3n_en_las_empresas.pdf
Casa, I. (1981). Clase ejecutiva. Recuperado el 14 de Marzo de 2013, de
http://www.claseejecutiva.cl/2005/cursos/18_gestion_ti/
Casas, I. (1981). Glase Ejecutiva de Gestión Empresarial . Recuperado el 14 de Marzo
de 2013, de http://www.claseejecutiva.cl/2005/cursos/18_gestion_ti/
Catácora, F. (1996). Sistemas y Procedimientos Contables. Venezuela: Editorial MC
Graw Hill.
Chain, C. (1997). Gestión de Información en las Organizaciones. Murcia: Murcia.
Chiavenato, I. (2001). Administración, teoría, proceso y práctica. Colombia: McGraw
- Hill Interamericana S.A.
Ciampagna, J. M. (2010). CURSO ADMINISTRACION SIG. España: Papers Maestría
de SIG.
Cibernaauta. (2000). Cómo Implantar un Sistema de Control de Gestión en la
Práctica. Madrid: Gestion 2000.
259
Cocho, J. (2006). Magerit y la Normalización de los Otros Modelos de Riesgos de

Gestión de Riesgos. Valencia: Tecnimap.
Cohen, A. (2000). Sistemas de Información para Los Negocios. Madrid: McGraw Hill.
Pá gina
Colás, P., & Buendía, L. (1992). La investigacion educativa . Sevilla: Alfar.

Coopers, & Lybrand. (1997). Los Nuevos Conceptos de Control Interno . Madrid:
Ediciones Díaz de Santos S.A.
Cornella, A. (1994). Los Recursos de Información Ventaja Competitiva de las
Empresas. Madrid: MacGraw Hill.
cubana, E. D. (21 de Abril de 2013). Medidas para Lograr un Buen Control Interno.
Recuperado el 25 de Abril de 2013, de Medidas para Lograr un Buen Control Interno:
http://www.ecured.cu/index.php/EcuRed_Discusi%C3%B3n:Enciclopedia_cubana
Cuellar, G. (2003). Método para un mejor efectividad. Recuperado el 23 de Abril de
2013, de Método para un mejor efectividad:
http://fccea.unicauca.edu.co/old/tgarf/tgarfse89.html
Da Silva, R. Teorías de la Administración.
Date, C. (2001). Introducción a los Sistemas de Bases de Datos. Pearson Prentice Hall.
De Abajo, N., & Gomez, A. (1998). Los Sistemas de Información en la Empresa.
Editor Servicio de Publicaciones de la Universidad de Oviedo.
Dino, C. (06 de Noviembre de 2008). Indicadores de Control de Gestión. Recuperado
el 27 de Abril de 2012, de Indicadores de Control de Gestión:
http://www.slideshare.net/profesoradino/indicadores-de-control-de-gestin-presentation
Dumenigo, D. (2012). Aplicación en Comunicación. España: Universidad Central,
Marta Abreu .
E, K., Kendall, Kendall, E., & Julie. (2005). Books Google. Recuperado el 2013, de
Books Google: http://books.google.cl/books?id=5-
rZA0FggusC&printsec=frontcover&hl=es#v=onepage&q&f=false
Emery, J. S. (1990). Sistemas de Información para la Dirección. El Recurso
Estratégico Crítico. Madrid: Diaz de Santos.
Empleo, I. A. (2005). Aragón. Recuperado el 30 de Marzo de 2013, de Aragón:
http://www.aragon.es/estaticos/GobiernoAragon/Organismos/InstitutoAragonesEmple
o/Documentos/docs2/Areas%20Genericas/Publicaciones/10-GUIA
%20ELABORACION%20PLANES.pdf
Emprenden. (2013). Nuevos Negocios. Recuperado el 24 de Abril de 2013, de Nuevos
Negocios: http://www.emprendem.com/
Espinoza, M., & Medina, C. (15 de Junio de 1999). Cambio organizacional: sistemas
de información . Recuperado el 30 de Marzo de 2013, de Cambio organizacional:
sistemas de información :
http://www.azc.uam.mx/publicaciones/gestion/num15/doc13.htm
Estrada, J. (24 de Noviembre de 2011). Sistemas de Información. Recuperado el 10 de
Abril de 2013, de Sistemas de Informacion para la cadena de suministros:
http://sistemadeinformacionjorge.blogspot.com/2011/11/scm-sistemas-de-
informacion-para-la.html
260
Estupiñán, G. (2002). Control Interno y Fraudes. Bogotá: Eco Ediciones.

Evans, J. R. (2000). Administración y Control de la Calidad. México: International
Thomson Editores.
Pá gina

Fayol, H. (1987). Administración Industrial General. Recuperado el 01 de Abril de

2013, de Administracion Industrial General:
http://maryperez.galeon.com/admonindustrial.pdf
Fernandez, M. A. (2003). El Control Fundamento de la Gestión por Procesos y la
Calidad Total. Madrid: Esic 2da. Edición.
Fernández, M., & Sánchez, J. (1997). Eficacia Organizacional. Madrid: Ediciones
Díaz De Santo S.A.
Fernández, V. (2006). Desarrollo de Sistemas de Información, Una Metodología
Basada en el Modelado. Barcelona: Edicions UPC.
Fire, A. (s.f.). http://www.angelfire.com/theforce/mirasoft/Auditoria.htm. Recuperado
el 14 de Marzo de 2013, de
http://www.angelfire.com/theforce/mirasoft/Auditoria.htm:
http://www.angelfire.com/theforce/mirasoft/Auditoria.htm
Fleitman, J. (2000). Negocios Exitosos. McGraw Hill.
Fuentes, T., & Pinto, E. (2 de Junio de 2009). Conferencia de Organizaciones y
Tecnología. Recuperado el 27 de Abril de 2012, de Conferencia de Organizaciones y
Tecnología: http://www.laccei.org/LACCEI2009-Venezuela/p145.pdf
Garachana, A. (1990). Las Empresas en el Mercado de la Información. Recuperado el
08 de Abril de 2013, de Las Empresas en el Mercado de la Información:
www.quadernsdigital.net/datos_wb/hemeroteca
Gil, I. (1997). Sistemas y Tecnologías de la Información para la Gestión. Madrid: Mc
GrawHill.
Gil, J., Peñalver, L., Pont, A., & Robles, A. (1996). Estructura de Computadores Vol.
1 Un Recorrido Por Unidad Central de Proceso. Valencia, España: Colección: Libro
Docente.
Gómez, A., & Martinez, N. (1998). Los Sistemas de Información en la Empresa.
Oviedo: Servicio de Publicaciones de la Universidad de Oviedo.
Guevara, A. (2008). Informática Aplicada a la Gestión de la Empresa. Madrid:
Piramide.
Hellriegel, J., & Slocum, J. (2009). Administración un Enfoque basado en
Competencias. México: Editores Cengace Learning.
Hernández, M. (17 de Junio de 2009). Sistemas de Información Estratégicos.
Recuperado el 10 de Abril de 2013, de Sistemas de Información Estratégicos:
http://marcelahernandez1981.blogspot.com/2009/06/sistemas-de-informacion-
estrategicos.html
Holmes, A. (1994). Auditoria, Principios y Procedimientos, Tomo I. México: Editorial
Hispanoamericana.
Horwath, C. (2009-2010). International Master Tax Guide. Australia: CCH Australia
261
Limited.
Huge, J. (1995). Control de Gestión. Comisión Europea: Deade.
IGDigital.com. (Septiembre de 2011). Funciones del Control Interno. Recuperado el
Pá gina
26 de Abril de 2013, de Funciones del Control Interno:

http://www.negociosybolsa.blogspot.com/

IICA. (2001). Manual de la Auditoría Interna. Recuperado el 08 de Abril de 2013, de

Manual de la Auditoría Interna: http://books.google.cl/books?
id=1SqQycK9hs0C&pg=PA18&dq=auditoria+de+sistemas+de+informaci
%C3%B3n&hl=es&sa=X&ei=2NJcUdzkO_fJ4AP1oYCADA&ved=0CFYQ6wEwBw
Institute, I. G. (2007). Informe Cobit. Recuperado el 08 de 04 de 2013, de Informe
Cobit: http://cs.uns.edu.ar/~ece/auditoria/cobiT4.1spanish.pdf
Interno, C. (2003). Control Interno Contable. Recuperado el 24 de Abril de 2013, de
Control Interno Contable: http://fccea.unicauca.edu.co/old/tgarf/tgarfse86.html
Isaca. (2013). www.isaca.org. Recuperado el 22 de Marzo de 2013, de www.isaca.org:
http://www.isaca.org/Knowledge-Center/Standards/Pages/Standars-for-IS-Auditing-
Spanish-.aspx
ISO. (2011). Directrices para la Auditoría de Sistemas de Gestión. Suiza: ISO
Copyright office.
ISO-19011. (2011). Directrices para la Auditoria de Sistemas de Gestión. Suiza: ISO
Copyright office.
James, S. (1992). Sistemas de Información para la Administración. México:
Iberoamericana.
Jimenez Bermejo, P. (2001). Control de Gestión. Santiago: LexisNexis.
Jimenez, P. (2001). Control de Gestión, Segunda Edición Actualizada. Madrid:
LexisNexis.
Joao, E. (06 de Septiembre de 2011). Sistemas de Información. Recuperado el 06 de
Abril de 2013, de Sistemas de Información:
http://blogereducativo.wordpress.com/2011/09/06/ventajas-y-desventajas-de-utilizar-s-
i/
Kaplan, R., & Norton, D. (2001). Cómo Utilizar el CMI. Gestion 2000.com.
Koontz, H. (2004). "Administración una Perspectiva Global". México: McGraw-Hill
Interamericana Editores S.A. de C.V.
Laudon, & Laudon. (2007). Sistemas de Información .
Laudon, K., & Laudon, J. (1996). Administración de los Sistemas de Información,
Organización y Tecnología. México: Prentice Hall Hispano Americana.
Laudon, K., & Laudon, J. (1996). Administración de los Sistemas de
Información,Organización y Tecnología. México: Prentice Hall.
Laudon, K., & Laudon, J. P. (2004). Sistemas de Información gerencial:
administración de la empresa. México: Pearson Educación.
Lavine, J., & Wackman, D. (1992). Gestión de Empresas Informátivas. Madrid: Rialp.
Linne, M., & Daniel, R. (1988). Tecnología de la información y el cambio
organizacional: estructura causal en la teoría y la investigación. Volumen 34 Número 5
, 583-599.
262
Lojero, J. F. (1997). http://www.enba.sep.gob.mx/guias%20en%20pdf/proceso

%20administrativo%20para%20biblio%20y%20arch/procadvo.pdf. Recuperado el 01
de Abril de 2013, de http://www.enba.sep.gob.mx/guias%20en%20pdf/proceso
Pá gina
%20administrativo%20para%20biblio%20y%20arch/procadvo.pdf:

http://www.enba.sep.gob.mx/guias%20en%20pdf/proceso%20administrativo%20para
%20biblio%20y%20arch/procadvo.pdf
López, A. (1998). El Cuadro de Mando y Los Sistemas de Información para Gestión
Empresarial. Madrid: AECA.
López, C. (s.f.). http://books.google.es/books?
hl=es&lr=&id=ZZlBNH0FUwEC&oi=fnd&pg=PA1&dq=concepto+de+hardware&
ots=s4MvJr273l&sig=-AddxOMyEpNrtEzaXgeHlN4eq_k. Recuperado el 13 de Marzo
de 2013, de http://books.google.es/books?
hl=es&lr=&id=ZZlBNH0FUwEC&oi=fnd&pg=PA1&dq=concepto+de+hardware&ot
s=s4MvJr273l&sig=-AddxOMyEpNrtEzaXgeHlN4eq_k:
http://books.google.es/books?
hl=es&lr=&id=ZZlBNH0FUwEC&oi=fnd&pg=PA1&dq=concepto+de+hardware&ot
s=s4MvJr273l&sig=-AddxOMyEpNrtEzaXgeHlN4eq_k
López, E. (1999). El Concepto de Competitividad en el posicionamiento tecnológico.
México: Cientifica, Juan Carlos Villa Toro.
Losoviz, E. (1984). Teoría de la Informática. Buenos Aires: Ediciones Contabilidad
Moderna, pag. 87 , http://catalis.uns.edu.ar/cgi-bin/catalis_pack_demo_devel/wxis?
IsisScript=opac/xis/opac.xis&db=administracion&task=BIB-H-
SEARCH&index=NAME&query=%5EaLosoviz,+Eduardo+A.
Luna, D., & Martinez, F. (1999). Los Sistemas de Información y la Nueva
Arquitectura Empresarial. Madrid.
M., P., & Barcelona., D. d. (1999). El rigor en la investigacion cualitativa. Atención
Primaria Vol. 24 , 295-300.
Marquez, M. (2001). UCM. Recuperado el 28 de MARZO de 2013, de UCM:
McLeod, R. (2000). Sistemas de Información Gerencial. México: Pearson Educación.
Meigs, W., & Larsen, G. (1994). Principios de Auditoría. México: Editorial Diana.
Mira, J. C. (2012). Control Interno y Control de Gestión. Recuperado el 25 de Abril de
2013, de Control Interno y Control de Gestión:
http://www.miramegias.com/auditoria/ut02.htm
Miranda, J. (2005). Gestión de Proyectos, 5ta. Edición. México: Editorial Guadalupe.
Montilva, J. (1986). Desarrollo de Sistemas de Información. Venezuela: Publicación
Universitaria.
Monzon, C. A. (04 de 2007). Lineamientos de Aplicacion de la Norma ISO 9000:2000
en una Compañia Desarrolladora de Proyectos de Vivienda en Guatemala.
Recuperado el 02 de Abril de 2013, de Lineamientos de Aplicacion de la Norma ISO
9000:2000 en una Compañia Desarrolladora de Proyectos de Vivienda en Guatemala:
http://biblioteca.usac.edu.gt/tesis/03/03_2945.pdf
263
Muñiz, L. (2003). Cómo Implantar un Sistema de Control de Gestión en la Práctica.

Barcelona: Ediciones Gestión 2000 S.A.
Muñoz, C. (2002). Auditoria de Sistemas Computacionales. Recuperado el 08 de Abril
Pá gina
de 2013, de Auditoria de Sistemas Computacionales: http://books.google.cl/books?

id=3hVDQuxTvxwC&printsec=frontcover&hl=es#v=onepage&q&f=false

Murdick, R. G. SISTEMAS DE INFORMACION ADMINISTRATIVA. MEXICO:

FLORIDA ATLANTIC UNIVERSITY .
Najera, J. (2006). Sistemas de Empresa.
Naser, A., & Concha, G. (2011). www.eclac.cl. Recuperado el 01 de Abril de 2013, de
www.eclac.cl:
http://www.eclac.cl/publicaciones/xml/9/43219/SGP_N73_Gobierno_electronico_en_l
a_GP.pdf
Oliveira, R. (2001). Teorías de la Administración. Brasil: Editorial Económico
Administrativo.
Organizaciones, T. d. (2000). http://scholar.google.es/scholar?
cluster=3852237679235052836&hl=es&as_sdt=0. Recuperado el 27 de Marzo de
2013, de http://scholar.google.es/scholar?
cluster=3852237679235052836&hl=es&as_sdt=0: http://scholar.google.es/scholar?
cluster=3852237679235052836&hl=es&as_sdt=0
Pablos, C., López, J. J., Martin, S., Medina, S., Montero, A., & Nájera, J. (2008).
Dirección y Gestión de los Sistemas de Información en la Empresa. Madrid: Esic
Editorial.
Padilla, M. (2006). Formulación y Evaluación de Proyectos. Bogotá: Eco Ediciones.
Páez, L., & Egidos, D. (2000). Comunicación en Instituciones y organizaciones.
Revista Latina de Comunicación Social.
Paños, A. (1999). Reflexión Sobre el Papel de la Información Como Recurso
Competitivo de la Empresa. Murcia: Universidad de Murcia.
Parra, E. (1998). Tecnología de la Información en el Control de Gestión. Madrid:
Ediciones Diaz de Santos S.A.
Peña, A. (2006). Elementos de Sistemas de Información. México.
Perdomo, A. (2004). Fundamentos de Control Interno. Editores Cengace Learning.
Pérez, J. F. (2000). Control de la Gestión Empresarial. España: ESIC.
Piattini V., M., Del Peso N., E., & Del Peso R., M. (2010). Auditoría de Tecnologías y
Sistemas de Información. Santiago, Chile: Alfaomega.
Piattini, M., & Del Pino, E. (1999). Retos Tecno Juridico de los Almacenes de Dato.
México: ABZ.
Poblete Velásquez, F. (2000). Fundamentos de Auditoría. Santiago: Gestión.
Poblete, F. (1992). Fundamentos de Auditoria. Santiago: Publicaciones Editorial
Gestión.
Poch, R. (1992). Manual de Control Interno. Barcelona: Editorial Gestión 2000.
RAE. (s.f.). Google. Recuperado el 14 de Marzo de 2013, de Google:
lema.rae.es/drae/srv/search?id=yHfxyKIWfDXX2kpDVRWA
Ralf, S., & Reynolds, G. (1999). Sistemas de Información Enfoque Administrativo.
264
México: International Thomson Editores.

Reig, E., Mas, M., Pons, J., Quesada, J., Robledo, J. C., & Tirado, D. (2007).
Competitividad, Crecimiento y Capitalización de las Regiones Españolas. España:
Pá gina
Fundación BBVA.
Rivas, G. (1989). Auditoria Informática. Madrid: Edita Ediciones Díaz de Santos S.A.

Rob, P., & Coronel, C. (2004). Sistemas de Bases. Mexico: Copyrigh.

Ruiz, R. (2008). de Decisión, P., Científico, C., Ecs, R. D. P. D. C., de Poder, R., de la
Complejidad, T., del Caos-Econofísica, T., ... & de la Decisión, T. Toma de
Decisiones. Recuperado el 02 de Abril de 2013, de de Decisión, P., Científico, C., Ecs,
R. D. P. D. C., de Poder, R., de la Complejidad, T., del Caos-Econofísica, T., ... & de
la Decisión, T. Toma de Decisiones.: http://scholar.google.es/scholar?
start=10&q=toma+de+decisiones&hl=es&as_sdt=0
Salvador, J. A., & Angós, J. M. (1999). Criterios para evaluar la calidad de las fuentes
de información en Internet. Scire , 99-113.
Scholtes, P. R. (1991). El Manual del Equipo para Mejorar la Calidad. España :
Joiner.
Senn, J. (1989). Análisis y Diseño de Sistemas de Información. México: Mc Graw-
Hill.
Serna, H. (2000). Gerencia Estratégica. Caracas: Ediciones Global S.A.
Stair, R. (1999). Principios de Sistemas de Información; Un Enfoque Administrativo.
México: International Thompson.
Tamayo, A. (2001). Auditoría de Sistemas; una visión práctica. Manizales:
Universidad Nacional de Colombia.
Terán S., R. M. (Enero de 2007). Tesis de Maestro en Administración de la
Contrucción. Recuperado el 25 de Abril de 2013, de Tesis de Maestro en
Administración de la Contrucción:
http://infonavit.janium.net/janium/TESIS/Maestria/Teran_Saucedo_Ruben_Manuel_4
4772.pdf
Valda, J. C. (7 de Diciembre de 2012). Sistemas de Información Estratégicos.
Recuperado el 09 de Abril de 2013, de Sistemas de Información Estratégicos:
http://jcvalda.wordpress.com/2012/12/07/sistemas-de-informacion-estrategicos/
Valdes, M. d. (1999). Consideraciones generales en torno al valor añadido de la
información. Acimed , 8-14.
Valenciana, S. d. (Abril de 2013). Informes de Sindicatura de Comptes de la Comuitat
Valenciana. Recuperado el 25 de Abril de 2013, de Informes de Sindicatura de
Comptes de la Comuitat Valenciana: http://www.sindicom.gva.es/web/wdweb.nsf
Valor, A. R. (1991). google académico. Recuperado el 13 de Marzo de 2013, de
http://ipgo.webs.upv.es/mediawiki/images/e/e0/Tema-3_2008_04_07_-
Compatibility_Mode-.pdf
Venezuela, P. (30 de Septiembre de 2010). Modelo de Control Interno Hoy.
Recuperado el 2013 de Abril de 2013, de Modelo de Control Interno Hoy:
http://controlinternohoy.blogspot.com/2010/09/modelos-de-control-interno.html
Webster, E. N., & Ciampagna, c. p. (2002). Sistemas y Sistemas de Información.
265
Diccionario.
Weissbluth, M. (2008). Magister en Gestion y Politicas Públicas, Depto. de Ingenieria
Universidad de Chile 2008. Santiago de Chile: Universidad de Chile.
Pá gina
Welsch, G. A. (2005). PRESUPUESTO, PLANIFICACION Y CONTROL. México:

Miguel Gutierrez Hernández.

266
Pá gina

Introduccion Sistema de Informatica 27-05-2013

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Introduccion Sistema de Informatica 27-05-2013

Cargado por

Copyright:

Formatos disponibles

Facultad de Ciencias Empresariales

UNIVERSIDAD ARTURO PRAT

Los Sistemas de Información: Su utilidad en el Control de

Seminario para optar al Título Profesional:

Los Sistemas de Información: Su utilidad en el Control de Gestión

Los Sistemas de Información: Su utilidad en el Control de Gestión

UNIVERSIDAD ARTURO PRAT

Los Sistemas de Información: Su utilidad en el Control de

Seminario para optar al Título Profesional:

Los Sistemas de Información: Su utilidad en el Control de Gestión

A mi angelito por el pilar y la fuerza de seguir adelante a pesar de todo, a mi

Daysi Ávila Vergara

Karen Mamani Quispe

Elsa Miranda Acosta

Olivia Plaza Plaza

Los Sistemas de Información: Su utilidad en el Control de Gestión

Elizabeth Salva Quinsacara

Agradezco a Dios, a mis padres, hermano, compañeros por la realización de

Eliseo Araya Sierra

Los Sistemas de Información: Su utilidad en el Control de Gestión

Los Sistemas de Información: Su utilidad en el Control de Gestión

Clasificación de los SI..................................................................................................36

Los Sistemas de Información: Su utilidad en el Control de Gestión

Calidad y Seguridad de los SI.........................................................................................37

Los Sistemas de Información: Su utilidad en el Control de Gestión

Los Sistemas de Información: Su utilidad en el Control de Gestión

Actualmente el avance de nuevas tecnologías es un factor que propicia el

Se realizó una investigación bibliográfica de publicaciones sobre la materia.

La importancia de un SI como herramienta potencial de adaptación,

La metodología de un SI sistematiza procedimientos, métodos y formas que

Los Sistemas de Información: Su utilidad en el Control de Gestión

La calidad en una información confiable y precisa es previa a un análisis de

En la auditoría de gestión se evalúan políticas de planificación, de seguridad

Los Sistemas de Información: Su utilidad en el Control de Gestión

El dinamismo de la Globalización ha abierto las puertas a la revolución

En la actualidad, las organizaciones deben contar con ventajas competitivas

No se puede negar que este recurso en el transcurso de los años ha ido

información (SI). Y durante los capítulos posteriores se abordaran temas tales

como: describir los SI, componentes básicos, ventajas y desventajas,

Los Sistemas de Información: Su utilidad en el Control de Gestión

modelos de SI, la adecuada utilización de éstos, seguridad, auditoría y la

A.- Planteamiento General del Problema

Las organizaciones que no poseen el conocimiento necesario y el uso

En general, las organizaciones presentan problemas por el desconocimiento

B.- La importancia en su área

A través de este trabajo se utilizarán herramientas que brinden a las

C.- Propósito General de Trabajo

Los lectores podrán comprender como los SI son recursos imprescindibles

fundamental en el control y la gestión para una buena toma de decisiones.

Los Sistemas de Información: Su utilidad en el Control de Gestión

Como propósito general se espera entregar las herramientas necesarias para

D.- Objetivos Específicos

1) Identificar y clasificar los SI desde la perspectiva organizacional.

E.- Definiciones conceptuales u operacionales

Durante el presente trabajo se definirán los siguientes conceptos:

Los Sistemas de Información: Su utilidad en el Control de Gestión

Los Sistemas de Información: Su utilidad en el Control de Gestión

En el desarrollo de este seminario se presentan diferentes inconvenientes

Los Sistemas de Información: Su utilidad en el Control de Gestión

Los Sistemas de Información: Su utilidad en el Control de Gestión

¿Por qué los SI son necesarios en la estructura de la

 Problema negativo: La situación actual no satisface el objetivo.

 Problema potencial: La situación proyectada no satisface el objetivo

 Problema de implementación: ¿Cómo se va a concretar el objetivo?