AUDITORÍA GENERAL DE LA NACIÓN GERENCIA DE PLANIFICACIÓN Y PROYECTOS ESPECIALES Dr. Felipe Pizzuto DEPARTAMENTO DE AUDITORÍA INFORMÁTICA Ing. Ernesto Casin Evaluación del Sistema Informático de Administración y Abastecimiento, denominado GIGA (Gestión Integral de Gobierno Automatizada), y de la gestión de la Tecnología Informática en la Administración General de Puertos S. E., organismo autárquico en la órbita del Ministerio de Planificación Federal, Inversión Pública y Servicios, con el objeto de determinar debilidades y fortalezas del Sistema y de la gestión informática en el Organismo. INFORME DE AUDITORÍA A D. Luis Ángel Diez Interventor Administración General de Puertos S.E. En uso de las facultades conferidas por el artículo 118 de la Ley N° 24.156, la AUDITORÍA GENERAL DE LA NACIÓN procedió a efectuar un examen en el ámbito del Ministerio de Planificación Federal, Inversión Pública y Servicios, con el objeto que se detalla en el apartado 1. 1. Objeto de la auditoría Evaluación del Sistema Informático de Administración y Abastecimiento, denominado GIGA (Gestión Integral de Gobierno Automatizada), y de la gestión de la Tecnología Informática en la Administración General de Puertos S. E., organismo autárquico en la órbita del Ministerio de Planificación Federal, Inversión Pública y Servicios, con el objeto de determinar debilidades y fortalezas del Sistema y de la gestión informática en el Organismo. 2. Alcance del examen 2.1.- En la etapa de planificación, el equipo de auditoría identificó los temas de mayor exposición al riesgo, que comprenden los siguientes ítems: ¾ Relevamiento de la documentación normativa del área de tecnología informática del Organismo. ¾ Relevamiento de la infraestructura informática del Organismo. ¾ Verificación de la adecuación del Sistema y la infraestructura existentes y de la planificación a la misión y metas del Organismo y a las leyes y decretos que regulan su actividad. ¾ Verificación del modelo de arquitectura de la información y su seguridad. ¾ Relevamiento y análisis del organigrama del área de tecnología informática y su funcionamiento. 1 ¾ Relevamiento y análisis del presupuesto operativo anual del área. ¾ Verificación del cumplimiento de la comunicación de los objetivos y las directivas de la Gerencia. ¾ Análisis de la administración de recursos humanos, la evaluación de riesgos, la administración de proyectos, la administración de calidad y las prácticas de instalación y acreditación de sistemas y de administración de cambios. ¾ Análisis de: • la definición de los niveles de servicio, • la administración de los servicios prestados por terceros, • la administración de la capacidad y el desempeño, • los mecanismos que garantizan el servicio continuo y la seguridad de los sistemas, • la imputación de costos, • la educación y capacitación de los usuarios, • la asistencia a los usuarios de la Tecnología de la Información, • la administración de la configuración de hardware y software, • la administración de problemas e incidentes, • la administración de datos, de instalaciones y de operaciones. 2.2. La tarea abarcó la Auditoría del estado de utilización de la Tecnología Informática en la Administración General de Puertos S. E., en base a la información obtenida de las siguientes fuentes: ¾ Entrevistas realizadas con las principales autoridades del Organismo. ¾ Cuestionario para determinar las necesidades de análisis detallado. ¾ Cuestionarios para analizar detalladamente los temas que lo requerían. ¾ Manuales de Documentación de los Sistemas. ¾ Inspecciones directas efectuadas en el Organismo. 2.3. Limitaciones: No formó parte de la presente auditoría la evaluación del uso de la Tecnología Informática en las Gerencias no involucradas en el uso del sistema informático GIGA. 2 Las tareas de campo abarcaron desde enero hasta abril de 2005.- 2.4. Metodología: La auditoría incluyó dos etapas: 1) planificación del análisis detallado y 2) verificación del cumplimiento de lo informado en la primera etapa. La etapa de planificación incluyó las siguientes actividades: • Análisis del marco legal e institucional del funcionamiento del Instituto. • Análisis de los informes de Auditoría Interna en temas informáticos. • Entrevistas con los responsables de Gerencias del Organismo, en cuanto a la participación y experiencia propia y de su personal en el uso de la Tecnología de la Información y del Sistema GIGA. • Entrevistas con los responsables del Área Informática. En la etapa de análisis detallado se ejecutó: • Análisis de las respuestas a los cuestionarios para determinación de las necesidades de análisis detallado. • Determinación de las necesidades de verificación de las respuestas obtenidas. • Inspecciones in situ y entrevistas con personal subalterno y del proveedor del Sistema, realizadas por especialistas en diversas ramas de la informática, a través del trabajo directo en el campo. • Pruebas generales para verificar la operatividad y confiabilidad del sistema GIGA. En función de la información relevada y los niveles de riesgo estimados se definieron los trabajos de campo convenientes para realizar las verificaciones necesarias. Este informe es producto de la evaluación de la información recabada en las entrevistas mantenidas y de las observaciones realizadas en el trabajo de campo. También se analizaron los riesgos asociados a los Objetivos de Control definidos para cada uno de los procedimientos relevados. Las observaciones correspondientes se detallan por separado. 3. Aclaraciones previas 3.1. Antecedentes: La Ley N° 24.093, de actividades portuarias, contiene un capítulo referido a la transferencia del dominio, administración o explotación portuaria nacional a los 3 Estados provinciales y/o a la municipalidad de la Ciudad de Buenos Aires y/o a la actividad privada. Así, el articulo 11 establece que “a solicitud de las provincias y/o de la municipalidad de la Ciudad de Buenos Aires, en cuyos territorios se sitúen puertos de propiedad y/o administrados por el Estado Nacional, y mediante el procedimiento que al respecto determine la reglamentación, el Poder Ejecutivo les transferirá a título gratuito, el dominio y la administración portuaria”. El Decreto N° 1029/92 vetó en forma parcial esta ley, en lo atinente a la transferencia del puerto de Buenos Aires a la jurisdicción municipal. El artículo 2º del Decreto Nº 817/92 dispuso la disolución de la Administración General de Puertos Sociedad del Estado (AGPSE), la que se haría efectiva cuando hubieran sido privatizados, transformados o transferidos los puertos que se encuentran bajo su jurisdicción. Y, por el artículo 5º, se estableció que el objetivo principal de la gestión del interventor liquidador del organismo sería la privatización y/o transferencia de los puertos, y que tendría bajo su responsabilidad la liquidación de las estructuras y activos remanentes. Además, el decreto creó los Administradores Provisorios de los Puertos de Buenos Aires y Bahía Blanca, Rosario, Santa Fe, Quequén y Ushuaia, única Autoridad Portuaria en sus jurisdicciones, dependientes de la Administración General de Puertos Sociedad del Estado (en liquidación), actuante en la órbita de la entonces Secretaría de Transporte del ex Ministerio de Economía y Obras y Servicios Públicos. A los Administradores Provisorios se les impuso como objetivos la gestión y el ejercicio de las responsabilidades propias de la Autoridad Portuaria en su jurisdicción, asegurando la continuidad de los servicios, el mantenimiento de los canales de acceso y áreas internas en los respectivos puertos, la responsabilidad del dragado, señalización y balizamiento y otras actividades conexas. También debían contribuir a las tareas de transferencia y/o privatización de los servicios portuarios y de las terminales del puerto bajo su responsabilidad. Posteriormente, el Decreto N° 1019/93 estableció que la Administración General de Puertos Sociedad del Estado (en liquidación) continuaría con su gestión como ente responsable del Puerto de Buenos Aires. 4 Por otra parte, los Decretos N° 1194/94, 1195/94, 1196/94, 1693/94 y 2123/94, delegaron en la Administración General de Puertos Sociedad del Estado (en liquidación), las tareas de contralor del cumplimiento de las obligaciones de los Concesionarios de las Terminales Portuarias del Puerto de Buenos Aires. También se estableció que la Administración General de Puertos Sociedad del Estado (en liquidación), deberá dar cumplimiento a todos los actos establecidos en sus Estatutos Societarios, “hasta tanto se den por cumplidos íntegramente los requisitos establecidos en el Decreto N° 817/92 y en la Ley N° 24.093 de actividades portuarias y continuará ejerciendo todos los actos societarios que determinen sus Estatutos Sociales y la normativa vigente”. En 2003 se elimina en la denominación de la Administración General de Puertos Sociedad del Estado (en liquidación), el aditamento "en liquidación" (Decreto Nº 19/2003). A la fecha, el Puerto de Buenos Aires se encuentra bajo la jurisdicción del Estado Nacional, por no haberse procedido a su transformación y/o transferencia a distinta jurisdicción. 3.2. Naturaleza Jurídica: Como sociedad del Estado, la Administración General de Puertos está regida por la Ley Nº 20.705 (sancionada el 31 de julio de 1974), según la cual “Son sociedades del Estado aquellas que, con exclusión de toda participación de capitales privados, constituyan el Estado Nacional, los Estados provinciales, los municipios, los organismos estatales legalmente autorizados al efecto o las sociedades que se constituyan en orden a lo establecido por la presente ley, para desarrollar actividades de carácter industrial, comercial o explotar servicios públicos”. En cuanto a su constitución y funcionamiento, las sociedades del Estado se someten a las normas que regulan las sociedades anónimas. La misma norma establece que no se aplican a estas sociedades las leyes de contabilidad, de obras públicas ni de procedimientos administrativos. La Sindicatura General de la Nación está a cargo del control interno de estas sociedades, y el control externo lo realiza la Auditoría General de la Nación (Ley Nº 24.156 de Administración Financiera y de los sistemas de control del Sector Público Nacional). 3.3. Gobierno y Administración: Conforme lo establece el estatuto en su artículo 9°, la dirección y administración de la Sociedad estará a cargo de un Directorio, integrado por un 5 Presidente, un Vicepresidente y cinco Directores Titulares, designados todos por la Asamblea Ordinaria, que también elegirá tres Directores Suplentes. 3.4.1.- Intervenciones: Cabe destacar, que los órganos de gobierno y administración no se encuentran plenamente en funcionamiento, ya que el organismo ha sido intervenido, a causa de la situación de disolución y privatización, establecida por Decreto 817/92. Actualmente la Sociedad se encuentra intervenida, habiéndose designado el actual interventor por Decreto N° 371/2003. 3.5. Naturaleza del sistema auditado: El sistema integrado denominado GIGA (Gestión Integral de Gobierno Automatizada) es un software del tipo Planeamiento de los Recursos Empresariales (ERP, Enterprise Resources Planning) que cubre la gestión de las áreas de Administración y Abastecimientos. Este tipo de sistemas por tener tanto la interfase de usuario como los datos y los circuitos administrativos integrados permite unificar el flujo de información y mejorar los procesos en las distintas áreas de la empresa. Los objetivos principales de los sistemas ERP son: -Optimizar los procesos empresariales. -Brindar acceso a información confiable, precisa y oportuna. -Brindar la posibilidad de que todos los componentes de la organización compartan información. -Eliminar datos y operaciones innecesarias. -Reducir tiempos, costos, errores y la posibilidad de fraudes. Un ERP es un sistema de información para la gestión de la organización que debe ser parametrizado. Esto implica definir las políticas con que se quiere utilizar el sistema, que dependerán de las necesidades de la empresa. Una importante ventaja de los ERP es que prácticamente todas sus funciones están interrelacionadas, cada operación realizada genera al final del circuito administrativo su asiento contable en forma automática, de modo que se pueden conocer los estados contables en tiempo real o a la fecha deseada, y, por ejemplo: las deudas de clientes y proveedores, ventas, compras efectivizadas o pendientes de recepción, entre otros. 6 El proceso “ideal” sería que una vez definida la estrategia de la organización y sus circuitos administrativos, se asociaran a ellos los recursos tecnológicos necesarios para que todas las operaciones se ejecutasen dentro del ERP. Aunque en principio el hardware no es la parte más compleja de la implantación, podría suceder que si ha sido mal elegido o hubo errores en el diseño, su rendimiento global disminuya. Se ha de considerar que además de las personas, los procesos son los que definen la eficiencia y eficacia de la organización. Por ello, en el proyecto de implantación de ERP se deben redefinir los procesos para: -Adecuarlos al sistema -Mejorar su eficiencia y eficacia. Es necesario que todas las aplicaciones de la organización estén conectadas con el ERP para conseguir una gestión de la información eficaz, eficiente y confiable. 3.5.1. Descripción de las funciones principales del GIGA 3.5.1.1. Abastecimiento 3.5.1.1.1. Compras: Registra las compras de bienes y servicios requeridas por las diversas áreas, desde que el sector requirente detecta la necesidad, hasta que el proveedor entrega el bien o presta el servicio y se obtiene la conformidad del solicitante. Abarca las transacciones relacionadas con: • Suministro de bienes almacenados disponibles en stock. • Compras de todo tipo de bien en cualquiera de sus modalidades. • Contratación directa. • Contratación directa con invitación. • Licitación privada. • Licitación pública. • Contratación de servicios. 3.5.1.1.2. Stock: Permite el seguimiento de la gestión de todos los elementos físicos considerados como stock, almacenados en Deposito Central. Mantiene el registro desde que el 7 bien ingresa a Almacenes y sus eventuales transferencias, hasta el momento en que es solicitado y enviado al sector requeriente. 3.5.2. Administración. 3.5.2.1. Cuentas a Pagar: Permite efectuar el seguimiento de los compromisos contraídos por AGP que concluyen con un egreso de fondos. Registra desde que se completa el ciclo de Compra con la emisión de su Orden de Compra, hasta la llegada de las facturas, su registro en el sistema y seguimiento de los vencimientos hasta la preparación de la documentación para efectuar el pago. 3.5.2.2. Liquidaciones: Permite emitir la facturación de los servicios prestados a terceros por AGP y su posterior seguimiento hasta la cobranza definitiva o hasta que cada concepto facturado sea dado de baja por cualquier otro motivo (pasaje a mora, gestión judicial, incobrabilidad, etc.) 3.5.2.3. Tesorería: Permite realizar el seguimiento de las transacciones vinculadas con el ingreso y egreso de fondos. Desde la recepción de la documentación respaldatoria de los pagos y las cobranzas a efectuar, hasta la emisión y entrega del instrumento de pago, o la recepción de fondos y la entrega del recibo correspondiente. También efectúa el manejo de los fondos con posterioridad al pago o cobranza, incluyendo el depósito, la transferencia, adquisición de otros activos financieros y su seguimiento. 3.5.2.4. Patrimonio: Permite gestionar de la totalidad de los activos fijos de la AGP en sus diversos aspectos: ubicación física, tenencia, etc. Se registra desde el ingreso del bien al patrimonio con todos los eventos que se produzcan hasta el momento de la baja definitiva. 3.5.2.5. Contabilidad: Registra los movimientos contables correspondientes a la totalidad de las transacciones efectuadas, permitiendo consultar la información generada y emitiendo los informes necesarios para satisfacer requerimientos legales como los de análisis de la gestión. Comprende el proceso de traducción a nivel contable de todas las transacciones operativas, permitiendo el ingreso de ajustes manuales a los saldos contables por medio de asientos y la extracción de la información en distintos formatos. 8 3.5.2.6. Presupuesto: Permite la asignación anual del presupuesto para cada partida y efectuar el posterior seguimiento para comprobar su ejecución. Registra desde la aprobación del Presupuesto Anual, cuando se lo carga, hasta cada una de las transacciones que lo afectan en sus diferentes etapas, concluyendo en el cierre anual. 3.5.3. Procedimientos del Sistema. 3.5.3.1. Procedimiento de Compras: Al realizar la apertura de la Solicitud del Gasto se define su concepto (partida presupuestaria afectada). Esta tarea la efectúa cada sector según sus necesidades. Se autoriza la solicitud accediendo por el sistema a la lista de transacciones pendientes donde se permite aprobarla o rechazarla. Este proceso está limitado a los usuarios con perfil de Jefe de Departamento. La solicitud se remite a la Gerencia Administrativa para afectar la partida presupuestaria que corresponda. Afecta el presupuesto Preventivo y lo realiza el usuario con perfil de Gerente Administrativo. Se inicia la Gestión de Compras. El sistema permite las opciones Compra Directa, Compra Directa con Invitación, Licitación Privada y Licitación Pública. El sistema, en forma automática, analiza y propone adjudicar por menor cotización. Los procesos de autorización solicitados por el sistema son realizados por el usuario con los perfiles de Gerente General y Jefe de Departamento de Abastecimiento. Se remite el expediente en formas electrónica y manual a la Gerencia Administrativa para confirmar o rechazar la imputación presupuestaria del Compromiso. Luego de confirmado el compromiso se emite la Orden de Compra. Almacenes realiza la recepción de la mercadería ingresando los datos del remito en el sistema, valida las cantidades solicitadas con las recibidas, y actualiza el stock. Los remitos recibidos en Almacenes habilitan la recepción de la factura del proveedor y su ingreso en el sistema , estos datos permiten confeccionar la orden de pago al proveedor. La emisión de la orden de pago genera en forma automática la imputación presupuestaria a pagar (devengado) y el asiento contable correspondiente. 9 Por cada pago realizado se emite un Recibo de Pago donde se detalla los instrumentos de pago utilizados. El sistema permite la emisión de cheques y realiza la imputación presupuestaria de lo pagado en forma automática. 3.5.3.2. Procedimiento de Liquidaciones: El sector de Liquidaciones realiza la confección y generación de todas las facturas que emite la Administración General de Puertos. Las facturas corresponden a distintos servicios por los cuales recibe ingresos, estos servicios consisten en la liquidación de: • Tasas de Cargas. • Importación. • Pasavantes. • Patentes de Buques. • Arrendamientos. • Servicios Ferroviarios. • Servicios Administrativos. • Prestaciones Tácitas. • Tasa a Terminales Portuarias. • Tasas a Pasajeros y Vehículos. • Suministro de Energía Eléctrica. • Reliquidación de Servicios Sanitarios. • Multas. • Averías. • Embarques de Cereales y Elevadores – Exportación. 4. Comentarios y observaciones Se exponen a continuación las principales observaciones y comentarios surgidos del trabajo llevado a cabo por esta Auditoría. Para cada una de las observaciones se incluyen el nivel de madurez, conforme al Modelo de Madurez de la Capacidad de la Universidad Carnegie Melon enunciado más abajo, y las recomendaciones tendientes a mejorar el ambiente de control y reducir los riesgos identificados. 10 Niveles del Modelo Genérico de Madurez: 0 – No conforma. Falta total de procesos reconocibles. La organización incluso no reconoce que existe un tema a ser tenido en cuenta. 1 – Inicial / Ad Hoc. Hay evidencia de que la organización reconoce la existencia del tema y la necesidad de atenderlo. Sin embargo, no existen procesos estandarizados y en lugar de ellos existen aproximaciones ad hoc que se aplican sobre una base individual o caso por caso. La administración aparece como desorganizada. 2 – Repetible aunque Informal. Los procesos han evolucionado hasta la etapa en la cual procedimientos similares son ejecutados por distintas personas que desarrollan las mismas tareas. No hay entrenamiento formal ni comunicación de procedimientos estándar y la responsabilidad es librada a cada individuo. Hay un alto grado de confianza en el conocimiento de los individuos y es probable que haya errores. 3 – Proceso Definido. Los procedimientos han sido estandarizados, documentados y comunicados vía entrenamiento. Sin embargo, es responsabilidad de los individuos cumplir con estos procesos y es improbable que se detecten las desviaciones. Los procedimientos en sí mismos no son sofisticados pero son la formalización de prácticas existentes. 4 - Administrado. Es posible monitorear y medir el cumplimiento de los procedimientos e intervenir cuando los procesos parecen no estar funcionando adecuadamente. Los procesos están siendo mejorados constantemente y proveen una práctica correcta. El uso de herramientas y de automatización es limitado o fragmentario. 5 - Optimizado. Los procesos han sido corregidos hasta el nivel de la mejor práctica, basado en los resultados de la mejora continua y de la movilización con otras organizaciones. La Tecnología de la Información es usada de forma integrada para automatizar el flujo de trabajo, proveer herramientas para mejorar la calidad y la eficacia y hacer que la organización se adapte rápidamente a los cambios. Además, para cada uno de los objetivos de control se indica cuáles de los requerimientos de la información, detallados a continuación, son afectados: Eficacia: La información debe ser relevante y pertinente para la misión del ente, y su entrega, oportuna, correcta, consistente y utilizable. 11 Eficiencia: La información debe suministrarse mediante la utilización óptima (más productiva y económica) de recursos. Confidencialidad: La información sensible debe ser protegida contra divulgación no autorizada. Integridad: La información debe ser precisa y suficiente, y válida, de acuerdo con los valores y expectativas del organismo. Disponibilidad: La información debe estar disponible cuando se la requiera por las misiones del organismo ahora y en el futuro. Se deben salvaguardar los recursos necesarios y capacidades asociadas. Cumplimiento: El organismos debe cumplir las leyes, regulaciones y acuerdos contractuales a los que está sujeto. Confiabilidad: La información que se requiere para que la administración opere la entidad y cumpla sus responsabilidades de generar reportes financieros y de cumplimiento, debe ser confiable. A efectos de determinar el impacto de las observaciones detectadas, se clasificó las de acuerdo con el nivel de riesgo. Los niveles asignados son Alto, Medio y Bajo.4.1. Planificación y organización. 4.1.1. Definición de un Plan Estratégico de Tecnología de la Información. Objetivo de control: La máxima autoridad debe impulsar el proceso periódico de planificación estratégica que permita formular los planes a largo plazo. A su vez, estos planes deben traducirse oportunamente en planes operativos que definan metas claras y concretas a corto plazo. Este objetivo de control afecta a los siguientes requerimientos de la información necesaria para cumplir las misiones del organismo, primariamente: • la eficacia y en forma secundaria: • la eficiencia. 12 Nivel de madurez: No Conforma. No se realiza una planificación estratégica formal. Las autoridades del organismo no han llevado acabo una planificación estratégica de la Tecnología Informática que respalde sus metas, programas, proyectos o actividades. Observaciones: El nivel de organización del Organismo es débil y la alta frecuencia de rotación de sus máximas autoridades dificulta la superación del problema. No hubo en los últimos años un plan estratégico de la Empresa. No se conoce la existencia de un área de planeamiento ni de un comité de planificación de Tecnología Informática. Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo 4.1.2. Definición de la Arquitectura de la Información. Objetivo de control: La información debe mantenerse acorde con las necesidades y debe ser identificada, recopilada y comunicada en forma y tiempo tales que permitan a las personas cumplir sus responsabilidades de manera eficiente y oportuna. Se debe crear y mantener un modelo de arquitectura de la información que incluya el modelo de datos del organismo y los sistemas de información relacionados. Este objetivo de control afecta a los siguientes requerimientos de la información necesaria para cumplir las misiones del organismo, primariamente: • la eficacia y en forma secundaria: • la eficiencia • la confidencialidad • la integridad Nivel de madurez: No Conforma. No se toma conciencia de la importancia que reviste la arquitectura de la información. El conocimiento, la pericia y las responsabilidades necesarias para desarrollar esta arquitectura no existen en el organismo. Observaciones: No existe un modelo de la arquitectura de la información. El proveedor del sistema GIGA entregó en su momento un diccionario de datos con el estado del Sistema antes de su adaptación a las necesidades de la Administración, pero no se lo ha actualizado. Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo 13 4.1.3. Determinación de la Dirección Tecnológica. Objetivo de control: La función de servicios de información debe crear y mantener un plan de infraestructura tecnológica que fije y administre expectativas claras y realistas de lo que la tecnología puede ofrecer en términos de productos, servicios y mecanismos de entrega. Este objetivo de control afecta a los siguientes requerimientos de la información necesaria para cumplir las misiones del organismo, primariamente: • la eficacia y en forma secundaria: • la eficiencia Nivel de madurez: No Conforma. No se toma conciencia de la importancia que la planificación de infraestructura tecnológica reviste para el organismo. No se alcanza el conocimiento y la pericia requeridos para desarrollar esa infraestructura. No se considera que la planificación para el cambio tecnológico sea crítica para la asignación eficaz de los recursos. Observaciones: No se conoce la existencia de procesos formales para crear y actualizar periódicamente el plan de infraestructura tecnológica ni para evaluar su estado. Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo 4.1.4. Definición de la organización y las Relaciones de Tecnología de la Información. Objetivo de control: La máxima autoridad debe establecer una estructura organizativa adecuada en términos de cantidad e idoneidad del personal, con roles y responsabilidades definidos y comunicados, alineada con la misión del organismo y que facilite la estrategia y brinde una dirección eficaz y un control adecuado. Este objetivo de control afecta a los siguientes requerimientos de la información necesaria para cumplir las misiones del organismo, primariamente: • la eficacia y en forma secundaria: • la eficiencia Nivel de madurez: No conforma. La estructura organizativa del organismo no está debidamente establecida para concretar el logro de sus objetivos. 14 Observaciones: Al no estar aprobada la planificación estratégica, no están oficialmente establecidos los objetivos de detalle de la Administración, por lo que no se pueden adecuar los servicios de tecnología de la información a sus necesidades. La dotación del área de Sistemas es reducida para el volumen de tareas que debería realizar el sector si asumiera la problemática de todo el organismo. Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo 4.1.5. Administración de la Inversión en Tecnología de Información. Objetivo de control: La máxima autoridad debe definir un presupuesto anual operativo y de inversión, establecido y aprobado por el organismo. Este objetivo de control afecta a los siguientes requerimientos de la información, primariamente: • la eficacia • la eficiencia y en forma secundaria: • la confiabilidad Nivel de madurez: No Conforma. No se ha tomado conciencia de la importancia de la selección y presupuestación de las inversiones en tecnología de la información. No se hace un seguimiento o monitoreo de las inversiones ni de los gastos en esta materia. Observaciones: No se conoce la existencia de políticas y procedimientos formales para la preparación del presupuesto operativo anual, ni para monitorear los costos reales y compararlos con los proyectados, ni para su justificación económica. No existe un sistema de imputación de costos. Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo 4.1.6. Comunicación de los Objetivos y Directivas de la Gerencia. Objetivo de control: La máxima autoridad debe impulsar la definición de políticas y su comunicación a la comunidad de usuarios. Además, es preciso que se establezcan normas que traduzcan las opciones estratégicas en reglas prácticas y útiles. Este objetivo de control afecta a los siguientes requerimientos de la información necesaria para cumplir las misiones del organismo, primariamente: 15 • la eficacia y en forma secundaria: • el cumplimiento Nivel de madurez: No Conforma. La máxima autoridad del organismo no ha establecido un ambiente positivo de control de la información. No hay reconocimiento de la necesidad de establecer un conjunto de procesos, políticas, procedimientos y normas, y de garantizar su cumplimiento. Observaciones: No se conoce la existencia de políticas y procedimientos formales ni un programa de concientización que generen un ambiente de control positivo. No se conoce la existencia de políticas y procedimientos formales que garanticen la asignación de recursos en forma adecuada. No existe el documento marco de seguridad informática ni políticas formales al respecto. Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo 4.1.7. Administración de los Recursos Humanos. Objetivo de control: La máxima autoridad debe implementar prácticas sólidas, justas y transparentes de administración de personal en cuanto a selección, alineación, verificación de antecedentes, remuneración, capacitación, evaluación, promoción y despido. Este objetivo de control afecta a los siguientes requerimientos de la información necesaria para cumplir las misiones del organismo, primariamente: • la eficacia • la eficiencia Nivel de madurez: No Conforma. No se ha tomado conciencia de la importancia de alinear la administración de los recursos humanos de tecnología de la información con el proceso de planificación de tecnología para el organismo. No hay ninguna persona o grupo formalmente responsable de la administración de recursos humanos de tecnología de la información. Observaciones: No se conoce la existencia de programas referentes a la educación y la concientización general en problemas de seguridad de la información. No se cuenta con personal suficientemente idóneo para las tareas a realizar. No existen procesos formales de seguridad para altas, bajas y modificaciones de accesos por usuario. Existen usuarios en la red 16 que ya no pertenecen a la Empresa. En la Subgerencia de Sistemas, la falta de personal capacitado es manifiesta e impide transferir la tecnología del sistema GIGA del proveedor a la Administración. Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo 4.1.8. Evaluación de Riesgos. Objetivo de control: La máxima autoridad debe definir un proceso por el cual el organismo se ocupe de identificar los riesgos de Tecnología de la Información y analizar su impacto, involucrando funciones multidisciplinarias y adoptando medidas eficaces en función de costos a fin de mitigarlos. Este objetivo de control afecta a los siguientes requerimientos de la información necesaria para cumplir las misiones del organismo, primariamente: • la confidencialidad • la integridad • la disponibilidad y en forma secundaria: • la eficacia • la eficiencia • el cumplimiento • la confiabilidad Nivel de madurez: No Conforma. No se realiza una evaluación de riesgos para los procesos y las decisiones de actividades sustantivas. No se consideran los puntos vulnerables de la seguridad ni las incertidumbres de los proyectos de desarrollo. La administración de riesgos no se consideró relevante en la adquisición de soluciones de Tecnología de la Información y la prestación de servicios de Tecnología de la Información. Observaciones: De la información recibida se concluye que no existen políticas y procedimientos formales para evaluar el riesgo tecnológico. Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo 4.1.9. Administración de Proyectos. 17 Objetivo de control: La máxima autoridad debe establecer un proceso por el cual el organismo identifique y establezca las respectivas prioridades de los proyectos en concordancia con el plan operativo. El organismo debe adoptar y aplicar técnicas bien concebidas de administración de proyectos para cada uno que se inicie. Este objetivo de control afecta a los siguientes requerimientos de la información necesaria para cumplir las misiones del organismo, primariamente: • la eficacia • la eficiencia Nivel de madurez: Inicial / Ad Hoc. El organismo tiene una noción de la necesidad de estructurar los proyectos y conoce los riesgos que implican los proyectos mal administrados. El uso de técnicas y enfoques de administración de proyectos es una decisión que queda a criterio del gerente. En general, los proyectos están mal definidos y no incorporan los objetivos técnicos ni los de la actividad del organismo o de las partes interesadas. Hay una falta generalizada de compromiso de la dirección. La asignación de responsables de los proyectos y las decisiones críticas se toman sin tener en cuenta los aportes de la gerencia usuaria o de los usuarios. La participación de los clientes y usuarios en la definición de proyectos es escasa o nula. No hay una buena definición de los cronogramas y plazos de los proyectos. El tiempo y los gastos del personal asignado al proyecto no se rastrean ni cotejan con los presupuestos. Observaciones: No se conoce la existencia de un marco formal de administración de proyectos. En el caso particular del sistema GIGA, se nombraron responsables de la ejecución del proyecto de implantación. Existió una planificación que no se cumplió en la práctica en lo referente a plazos (23 meses contra los 6 previstos) y a control de calidad (las pruebas de aprobación no fueron completas). Algunos usuarios no están conformes con las prestaciones del sistema. Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo 4.1.10. Administración de la Calidad. 18 Objetivo de control: La alta gerencia debe desarrollar la planificación, implementación y el mantenimiento de normas y sistemas de administración de calidad del organismo, que proporcionen distintas fases de desarrollo, prestaciones claves y responsabilidades explícitas. Este objetivo de control afecta a los siguientes requerimientos de la información necesaria para cumplir las misiones del organismo, primariamente: • la eficacia • la eficiencia • la integridad y en forma secundaria: • la confiabilidad Nivel de madurez: No Conforma. El organismo carece de un proceso de planificación de garantía de calidad y de una metodología de ciclo de vida de desarrollo de sistemas. La alta gerencia y el personal de Tecnología de la Información no reconocen la necesidad de un programa de calidad. No se verifica la calidad de los proyectos y las operaciones. Observaciones: La alta gerencia y el personal de Tecnología no establecen un programa de control de calidad y éste no se verifica en los proyectos y las operaciones. No se aplica la metodología de ciclo de vida, no se planifican los proyectos de desarrollo de sistemas ni hay un sistema formal para su seguimiento. Se han observado datos erróneos almacenados en las bases principales Nivel de riesgo: que los sistemas [X] Alto de aplicación [ ] Medio no deberían admitir. [ ] Bajo 4.2. Administración e implementación. 4.2.1. Identificación de Soluciones Automatizadas Objetivo de control: La máxima autoridad debe garantizar una identificación y un análisis claro y objetivo de las alternativas, medidas en comparación con los requerimientos del usuario. Este objetivo de control afecta a los siguientes requerimientos de la información necesaria para cumplir las misiones del organismo, primariamente: • la eficacia y en forma secundaria: 19 • la eficiencia Nivel de madurez: No Conforma. El organismo no exige la identificación de requerimientos funcionales y operativos para el desarrollo, la implementación o modificación de las soluciones de sistemas, servicio, infraestructura, software y datos. El organismo no se mantiene informado de las soluciones tecnológicas disponibles y eventualmente relevantes para su actividad. Observaciones: De la información recibida surge que: • No se han documentado criterios para la consideración de las opciones de desarrollo interno, de terceros y soluciones compradas. • No existe un método general de adquisición e implementación ni una metodología de ciclo de vida de desarrollo de sistemas claros y aceptados. • No existe un proceso transparente, ágil y eficiente para la planificación, iniciación y aprobación de soluciones. • No se implementó un proceso estructurado de análisis de requerimientos. • No existen procedimientos formales para evaluar los requerimientos de seguridad y control desde el principio de los desarrollos. Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo 4.2.2. Adquisición y Mantenimiento del Software de Aplicación Objetivo de control: La adquisición y mantenimiento del software de aplicación debe realizarse definiendo específicamente los requerimientos funcionales y operativos, e implementando por etapas con prestaciones claras. Este objetivo de control afecta a los siguientes requerimientos de la información necesaria para cumplir las misiones del organismo, primariamente: • la eficacia • la eficiencia y en forma secundaria: • la integridad • el cumplimiento • la confiabilidad 20 Nivel de madurez: Inicial / Ad Hoc. Se tomó conciencia de que se necesita un proceso para adquirir y mantener las aplicaciones. Sin embargo, los enfoques varían de proyecto a proyecto sin uniformidad y en general, en forma aislada de otros proyectos. Es probable que el organismo haya adquirido una variedad de soluciones individuales y ahora enfrente problemas de sistemas heredados e ineficiencias en el mantenimiento y soporte. Los usuarios del organismo no pueden sacar demasiada ventaja de las inversiones de Tecnología de la Información. Observaciones: De la información recibida no surge la existencia de una metodología formal de adquisición, diseño, desarrollo e implementación aceptada, entendida y aplicada. Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo 4.2.3. Adquisición y Mantenimiento de la Infraestructura Tecnológica Objetivo de control: La gerencia de la función de servicios de información debe impulsar la adquisición criteriosa del software y el hardware, la estandarización del software, la evaluación de los rendimientos, y la administración coherente de sistemas. Este objetivo de control afecta a los siguientes requerimientos de la información necesaria para cumplir las misiones del organismo, primariamente: • la eficacia • la eficiencia y en forma secundaria: • la integridad Nivel de madurez: No Conforma. No se conoce la existencia de un plan de adquisición de infraestructura tecnológica que permita mantener criteriosamente actualizados el hardware y el software del organismo. Observaciones: No existen políticas y procedimientos formales que aseguren la preparación de un plan de evaluación del hardware y el software nuevos a fin de determinar su eventual impacto sobre el rendimiento general. La alta gerencia no ha definido una estrategia de arquitectura de Tecnología de la Información y los requerimientos relacionados. 21 No se cuenta con un inventario actualizado de la infraestructura de Tecnología de la Información (hardware y software). El inventario de hardware que se ha recibido no permite evaluar adecuadamente el estado de la infraestructura tecnológica, a pesar de lo cual se pudo inferir que el equipamiento disponible es incompleto. De la información obtenida no surge que se hayan definido políticas para: • Evaluar adecuadamente las opciones de desarrollo interno, por terceros y por infraestructuras externas. • Manejar los casos en los que se depende de un proveedor de única fuente. • La administración de cambios. • El uso de una metodología de ciclo de vida bien definida para seleccionar, adquirir, mantener y quitar componentes de la infraestructura de Tecnología de la Información. • Fundamentar las adquisiciones en los requerimientos de desempeño y capacidad mediante la integración con procesos de administración de los mismos. Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo 4.2.4. Desarrollo y Mantenimiento de Procedimientos Objetivo de control: Se debe aplicar un enfoque estructurado para el desarrollo de procedimiento del usuario y de operaciones, requerimientos de servicios y materiales de capacitación. Este objetivo de control afecta a los siguientes requerimientos de la información necesaria para cumplir las misiones del organismo, primariamente: • la eficacia • la eficiencia y en forma secundaria: • la integridad • el cumplimiento • la confiabilidad Nivel de madurez: No Conforma. No hay un proceso para producir documentación del usuario, manuales de operaciones y material de capacitación. Los únicos materiales son los que vienen con los productos comprados. 22 Observaciones: De la información recibida no surge que: • Existan acuerdos de nivel de servicio, con vínculos con las normas de documentación. • Se mantengan inventarios de programas y procedimientos del organismo ni de Tecnología de la Información utilizando herramientas automatizadas. • El proceso de desarrollo asegure el uso de procedimientos operativos estándares y una apariencia estándar de las interfaces de usuario. • La capacitación del usuario en la utilización de los procedimientos esté integrada con los planes de capacitación del organismo y de Tecnología de la Información. • Exista un marco estándar, definido y monitoreado, para documentar y redactar los procedimientos. • Para desarrollar, distribuir y mantener procedimientos se empleen técnicas de administración del conocimiento, de flujo de trabajo ni herramientas automatizadas. • La infraestructura y estructura organizativa estén diseñadas para promover y compartir la documentación del usuario, los procedimientos técnicos y el material de capacitación entre los instructores, la mesa de ayuda y los grupos de usuarios. Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo 4.2.5. - Instalación y acreditación de aplicativos. Objetivo de control: La implementación de nuevos sistemas debe realizarse por medio de un plan bien formalizado de instalación, migración, conversión y aceptación. Este objetivo de control afecta a los siguientes requerimientos de la información necesaria para cumplir las misiones del organismo, primariamente: • la eficacia y en forma secundaria: • la integridad • la disponibilidad Nivel de madurez: No Conforma. No hay ningún proceso formal de instalación y acreditación. La alta gerencia o el personal de Tecnología de la Información reconocen parcialmente la necesidad de verificar que las soluciones sean adecuadas para la finalidad prevista. 23 Observaciones: No existe una metodología formal del ciclo de vida del desarrollo de sistemas para la instalación y acreditación de sistemas que incluya, entre otros, un enfoque en fases de: capacitación, cuantificación del desempeño, plan de conversión, pruebas de programas, un plan de pruebas paralelas o prototipo, pruebas de aceptación, pruebas de seguridad y acreditación, pruebas de funcionamiento, controles de cambios; implementación, y revisión y modificación posteriores a la implementación. No se usan adecuadamente las bibliotecas de desarrollo, prueba y producción para los sistemas en proceso. En el caso del Sistema GIGA los cambios se realizan mayoritariamente en forma directa en el ambiente de producción. El programa de capacitación de usuarios del sistema GIGA no contempló las diferencias respecto del sistema anterior, los cambios que afectan a la entrada, el procesamiento, la programación, la distribución, las interfaces con otros sistemas, los errores y su resolución. Algunos usuarios no están satisfechos con la capacitación recibida. El desempeño del sistema GIGA se encuentra por debajo del óptimo y el problema no se soluciona debido a la insuficiencia de infraestructura tecnológica y de personal. Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo 4.2.6. Administración de Cambios Objetivo de control: Se debe poner en marcha un sistema de administración de cambios que permita analizar, implementar y seguir todas las modificaciones solicitadas y realizadas en la infraestructura de Tecnología de la Información existente. Este objetivo de control afecta a los siguientes requerimientos de la información necesaria para cumplir las misiones del organismo, primariamente: • la eficacia • la eficiencia • la integridad • la disponibilidad y en forma secundaria: • la confiabilidad Nivel de madurez: No Conforma. No hay un proceso de administración de cambios definido y es posible introducir cambios casi sin control alguno. No se ha tomado conciencia de que el 24 cambio puede ser perturbador tanto para las operaciones de Tecnología de la Información como para las actividades del organismo y no se toma conciencia de los beneficios de una buena administración de cambios. Observaciones: Del análisis de la información recibida surge que: • No existen políticas de cambio claras y conocidas que se implementen en forma rigurosa y sistemática. • La administración de cambios no está integrada con la administración de las versiones de software ni forma parte de la administración de la configuración. • No existe un proceso rápido y eficiente de planificación, aprobación e iniciación para identificar, categorizar, evaluar impactos y establecer prioridades para los cambios. • No se cuenta con herramientas de proceso automatizadas para respaldar la definición de flujo de trabajo, planes de trabajo normados, plantillas de aprobación, pruebas, configuración y distribución. • No hay un proceso formal definido para la transición del ambiente de desarrollo al de operaciones. • No se analiza si los cambios tienen impacto en los requisitos de capacidad y desempeño. • No se dispone de documentación de aplicaciones y configuración completa y actualizada. • No existe registro completo de los cambios al sistema GIGA solicitados ni de los efectuados. • La documentación del sistema GIGA no se modificó pese a los cambios que viene sufriendo. Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo 4.3. Entrega y Soporte. 4.3.1. Definición y Administración de los Niveles de Servicio. Objetivo de control: La máxima autoridad debe definir un marco dentro del cual promueva acuerdos de nivel de servicio que formalicen los criterios de desempeño en virtud de los cuales se medirá su cantidad y calidad. Este objetivo de control afecta a los siguientes requerimientos de la información necesaria para cumplir las misiones del organismo, primariamente: 25 • la eficacia • la eficiencia y en forma secundaria: • la confidencialidad • la integridad • la disponibilidad • el cumplimiento • la confiabilidad Nivel de madurez: No Conforma. La gerencia no ha reconocido la necesidad de la definición de niveles de servicio ni de un proceso para tal fin. Observaciones: De las reuniones mantenidas y de la documentación recibida surge que no se definen niveles de servicio y no existen políticas al respecto. Nivel de riesgo: [ ] Alto [X] Medio [ ] Bajo 4.3.2. Administración de Servicios Prestados por Terceros. Objetivo de control: La máxima autoridad debe implementar medidas de control orientadas revisar y monitorear los contratos y procedimientos existentes para garantizar su eficacia y el cumplimiento de la política del organismo. Este objetivo de control afecta a los siguientes requerimientos de la información necesaria para cumplir las misiones del organismo, primariamente: • la eficacia • la eficiencia y en forma secundaria: • la confidencialidad • la integridad • la disponibilidad • el cumplimiento • la confiabilidad Nivel de madurez: No Conforma. Las responsabilidades y la rendición de cuentas no están definidas. No hay políticas y procedimientos formales para la contratación de terceros. Los 26 servicios de terceros no son aprobados ni revisados por la dirección. No hay actividades de medición ni informes de los proveedores y en consecuencia la alta gerencia no está al tanto de la calidad del servicio prestado. Observaciones: De la información recibida surge que los contratos de algunos servicios que se le prestan al Organismo ya no están vigentes. En el caso de la administración del sistema GIGA, los servicios los prestan terceros cuyo contrato ha vencido, y son pagados con la figura de “legítimo abono”. Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo 4.3.3. Administración de la Capacidad y el Desempeño. Objetivo de control: Se debe implementar un proceso de administración orientado a recopilar datos, analizar y generar informes sobre el desempeño de los recursos de Tecnología de la Información, la dimensión de los sistemas de aplicación y la demanda de cargas de trabajo. Este objetivo de control afecta a los siguientes requerimientos de la información necesaria para cumplir las misiones del organismo, primariamente: • la eficacia • la eficiencia y en forma secundaria: • la disponibilidad Nivel de madurez: No Conforma. La alta gerencia no reconoce que las actividades sustantivas claves pueden requerir altos niveles de desempeño de Tecnología de la Información y que la necesidad del organismo de tales servicios excede la capacidad instalada. No se cuenta con ningún proceso de planificación de la capacidad de procesamiento. Observaciones: Según la información disponible, no existen en el organismo políticas y procedimientos formales para la planificación de la capacidad. Si bien se realizan estimaciones basadas en las expectativas de cambio, la falta de definiciones al respecto dificulta la concreción y formalización de ampliaciones de una infraestructura que a la fecha es insuficiente, incluso para las aplicaciones en uso. 27 Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo 4.3.4. Garantía de un Servicio Continuo. Objetivo de control: La máxima autoridad debe implementar un plan probado y operativo de continuidad de tecnología de información que concuerde con el plan de continuidad general del organismo y sus requerimientos de actividad relacionados. Este objetivo de control afecta a los siguientes requerimientos de la información necesaria para cumplir las misiones del organismo, primariamente: • la eficacia • la disponibilidad y en forma secundaria: • la eficiencia Nivel de madurez: No Conforma. No se consideran los riesgos, las vulnerabilidades y las amenazas para las operaciones de Tecnología de la Información, ni el impacto que la pérdida de servicios de Tecnología de la Información puede tener en el organismo. No se considera que la continuidad del servicio requiera la atención de la máxima autoridad y la alta gerencia. Observaciones: De la información recibida surge que no se ha formalizado un plan de continuidad del servicio. A pesar de que existe conciencia de los riesgos a los que está expuesto el Organismo, hasta la fecha no se han emprendido las acciones requeridas para superarlos. Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo 4.3.5. Garantía de la Seguridad de los Sistemas. Objetivo de control: La máxima autoridad debe establecer y mantener un programa de seguridad de la información para implementar los controles de acceso lógico que garanticen que el acceso a los sistemas, datos y programas esté limitado a los usuarios autorizados. Este objetivo de control afecta a los siguientes requerimientos de la información necesaria para cumplir las misiones del organismo, primariamente: • la confidencialidad • la integridad y en forma secundaria: 28 • la disponibilidad • el cumplimiento • la confiabilidad Nivel de madurez: Inicial / Ad Hoc. El organismo reconoce la necesidad de la seguridad de tecnología de información, pero la concientización depende de cada persona. La seguridad de tecnología de información se encara en forma reactiva y no se realizan mediciones. Las responsabilidades no son claras por lo cual las violaciones a la seguridad de tecnología de la información, si son detectadas, generan la necesidad de señalar a los culpables. Las respuestas a las violaciones de la seguridad de tecnología de información son impredecibles. Observaciones: No existe un plan estratégico formal de seguridad. Existe una persona que se ocupa de los temas de seguridad, pero su cargo, sus misiones y funciones no están definidos formalmente. No se conoce la existencia de un esquema de clasificación de datos. No existen responsables de la seguridad y contenido de los datos. No existen perfiles de seguridad de los usuarios. No se revisan periódicamente los niveles de seguridad y accesos permitidos de los usuarios. Existen usuarios de la red y del sistema GIGA que son genéricos, no pertenecen a la organización o gozan de los privilegios correspondientes al personal de gerencias distintas de la propia. No se capacita a los empleados sobre seguridad informática. No existen procedimientos formales de presentación de informes sobre violaciones a la seguridad, ni de resolución de problemas. La red permite sesiones múltiples concurrentes. No existen políticas para los puestos clave, ni posiciones definidas como tales. Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo 4.3.6. Identificación e Imputación de Costos. Objetivo de control: Se debe implementar un sistema de imputación de costos que garantice que se registren, calculen y asignen los costos de acuerdo con el nivel de detalle requerido y el ofrecimiento de servicio adecuado. Este objetivo de control afecta a los siguientes requerimientos de la información necesaria para cumplir las misiones del organismo, primariamente: • la eficiencia • la confiabilidad 29 Nivel de madurez: No Conforma. Se carece totalmente de un proceso reconocible para identificar e imputar costos con respecto a los servicios de información prestados. El organismo ni siquiera ha reconocido que haya una cuestión que merezca ser abordada en cuanto a la contabilización de los costos, y no hay comunicación al respecto. Observaciones: La máxima autoridad del área entiende que, dada la gravedad de los problemas que debe enfrentar, el análisis de la imputación de costos es secundario. Nivel de riesgo: [ ] Alto [X] Medio [ ] Bajo 4.3.7. Educación y Capacitación de los Usuarios. Objetivo de control: Se debe establecer y mantener un plan integral de capacitación y desarrollo. Este objetivo de control afecta a los siguientes requerimientos de la información necesaria para cumplir las misiones del organismo, primariamente: • la eficacia y en forma secundaria: • la eficiencia Nivel de madurez: Inicial / Ad Hoc. Hay evidencia de que el organismo reconoció la necesidad de un programa de educación y capacitación, pero no hay procesos estandarizados. En ausencia de un programa organizado, los empleados identifican y asisten a cursos de capacitación por cuenta propia. Algunos de estos cursos tratan temas de conducta ética, concientización de seguridad de sistemas y prácticas de seguridad. El enfoque global de la dirección carece de cohesión y la comunicación de los temas y abordajes de la educación y capacitación es sólo esporádica y poco coherente. Observaciones: De la información recibida no surge la existencia de procedimientos para identificar y documentar las necesidades de capacitación de todo el personal que utiliza servicios de información. No existen políticas y procedimientos aprobados para la identificación de las necesidades de capacitación y tampoco un plan de capacitación a usuarios. La capacitación y concientización en los principios de seguridad no se realiza. El área de capacitación instruye a los empleados en el uso de herramientas informáticas de oficina (Excel, Word, etc.). y al personal de sistemas en temas específicos. 30 Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo 4.3.8. Asistencia y Asesoramiento a los Usuarios de Tecnología de la Información. Objetivo de control: Se debe establecer una función de mesa de ayuda que brinde soporte y asesoramiento de primera línea. Este objetivo de control afecta a los siguientes requerimientos de la información necesaria para cumplir las misiones del organismo, primariamente: • la eficacia Nivel de madurez: Inicial / Ad Hoc. El organismo reconoció que se necesita un proceso apoyado por herramientas y personal para responder a las consultas de los usuarios y administrar la resolución de problemas. No obstante, no se cuenta con un proceso estandarizado y sólo se brinda un soporte reactivo. La alta gerencia no monitorea las consultas, problemas o tendencias. No hay un proceso de escalamiento que ayude a resolver los problemas. Observaciones: No existe una mesa de ayuda formal que atienda a los usuarios. Se presta un servicio de acuerdo a la disponibilidad de personal. En lo referente al sistema GIGA, el servicio lo presta personal externo sólo en horas de la tarde. No se dispone de documentación que formalice y estandarice los procedimientos. Nivel de riesgo: [ ] Alto [X] Medio [ ] Bajo 4.3.9. Administración de la Configuración. Objetivo de control: Se deben implementar controles que identifiquen y registren todos los bienes de Tecnología de la Información y su ubicación física, y un programa de verificación regular que confirme su existencia. Este objetivo de control afecta a los siguientes requerimientos de la información necesaria para cumplir las misiones del organismo, primariamente: • la eficacia y en forma secundaria: • la disponibilidad • la confiabilidad 31 Nivel de madurez: No Conforma. La alta gerencia no valora los beneficios de contar con un proceso para la información y administración de la infraestructura de TI, ni para la configuración de hardware ni de software. Observaciones: De la documentación recibida se deduce que no existen procedimientos formales para la administración de la configuración ni está definida la función. Los datos disponibles no son de calidad y difieren según la oportunidad de la solicitud de información. Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo 4.3.10. Administración de Problemas e Incidentes. Objetivo de control: Se debe implementar un sistema de administración de problemas que registre y dé respuesta a todos los incidentes. Este objetivo de control afecta a los siguientes requerimientos de la información necesaria para cumplir las misiones del organismo, primariamente: • la eficacia • la eficiencia y en forma secundaria: • la disponibilidad Nivel de madurez: No Conforma. No se reconoce la necesidad de administrar problemas e incidentes. El proceso de resolución de problemas es informal y los usuarios y el personal de Tecnología de la Información encara los problemas individualmente, caso por caso. Observaciones: De la información recibida no surge que existan procedimientos formales para la administración de problemas e incidentes de seguridad, ni sistemas al efecto que permitan realizar el escalamiento y seguimiento de los problemas y pistas de auditoría. Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo 4.3.11. Administración de Datos. Objetivo de control: La máxima autoridad debe establecer y mantener una combinación eficaz de controles generales y de aplicación sobre las operaciones de Tecnología de la Información. Este objetivo de control afecta a los siguientes requerimientos de la información necesaria para cumplir las misiones del organismo, primariamente: 32 • la integridad • la confiabilidad Nivel de madurez: No Conforma. Los datos no están considerados como un recurso y un bien del organismo. No se asignó la responsabilidad sobre los datos ni rendición de cuentas individual por su integridad y confiabilidad. La calidad y seguridad de los datos es escasa o nula. Observaciones: No existen procedimientos para el monitoreo de exactitud, integridad y autorización. Los sistemas, en particular el GIGA –desde el cual se autorizan todas las erogaciones del Organismo–, se alimentan con información generada en aplicaciones “ad hoc”, desarrolladas fuera del control del área de Tecnología Informática, con utilitarios de oficina y, por lo tanto, sin satisfacer mínimamente normas de calidad y seguridad. Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo 4.3.12. Administración de Instalaciones. Objetivo de control: Se deben instalar controles ambientales y físicos adecuados cuya revisión se efectúe periódicamente a fin de determinar su correcto funcionamiento. Este objetivo de control afecta a los siguientes requerimientos de la información necesaria para cumplir las misiones del organismo, primariamente: • la integridad • la disponibilidad Nivel de madurez: Inicial / Ad Hoc. El organismo reconoce la necesidad de brindar un entorno físico adecuado que proteja los recursos y el personal contra los peligros generados por la Naturaleza y por el hombre. No existen procedimientos estándar y la administración de las instalaciones y los equipos depende de la idoneidad y capacidad de ciertas personas clave. No se revisan las actividades de maestranza en las instalaciones y el personal se desplaza sin restricciones. La dirección no monitorea los controles ambientales de las instalaciones ni el movimiento del personal. Observaciones: No existe normativa de seguridad informática ni de seguridad física de las instalaciones. No existe registro del acceso a los centros de procesamiento. Se verificaron pérdidas de líquidos provenientes de los baños del primer piso que caían sobre el rack de 33 comunicaciones del centro de procesamiento de datos. Los equipos de alimentación de energía alternativa (fuentes de alimentación de energía ininterrumpible y moto generador) no tienen mantenimiento preventivo. No existe un plan formal de contingencia. Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo 4.3.13. Administración de Operaciones Objetivo de control: Se debe establecer de un cronograma de actividades de soporte que se registre y apruebe para el logro de todas las actividades. Este objetivo de control afecta a los siguientes requerimientos de la información necesaria para cumplir las misiones del organismo, primariamente: • la eficacia • la eficiencia y en forma secundaria: • la integridad • la disponibilidad Nivel de madurez: Inicial / Ad Hoc. El organismo reconoce la necesidad de estructurar las funciones de soporte de Tecnología de la Información. Sin embargo, no hay procedimientos estándares establecidos y las actividades son de tipo reactivo. La mayoría de las operaciones no están formalmente programadas y los pedidos de procesamiento se aceptan sin validación previa. Las computadoras que dan soporte a los procesos con frecuencia sufren interrupciones y demoras. Los empleados pierden tiempo por tener que esperar los recursos. Los sistemas no son estables ni están disponibles. Observaciones: De la información recibida no surge evidencia que sustente: • la totalidad del procesamiento ejecutado, arranques en frío, reinicios y recuperaciones; • las estadísticas de finalización de cronogramas, a fin de confirmar que se cumple satisfactoriamente con todos los requerimientos; • la separación física y lógica de las bibliotecas fuente y objeto de prueba, desarrollo y producción y los procedimientos de control de cambios para trasladar programas entre las bibliotecas; 34 • las estadísticas de desempeño de las actividades operativas, incluyendo, entre otras: o capacidad, utilización y desempeño del hardware y periféricos; o utilización y desempeño de la memoria de los equipos principales; o utilización y desempeño de telecomunicaciones. Tampoco se tuvo conocimiento de la existencia de manuales de instrucciones y procedimientos de operación, documentación del proceso de puesta en marcha y otras tareas, programas de trabajo y registro de operaciones. Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo 4.4. Monitoreo. 4.4.1. Monitoreo de los Procesos. Objetivo de control: La máxima autoridad debe impulsar la definición de indicadores del desempeño relevantes, el informe sistemático y oportuno del desempeño y la acción inmediata en caso de desviaciones. Este objetivo de control afecta a los siguientes requerimientos de la información necesaria para cumplir las misiones del organismo, primariamente: • la eficacia y en forma secundaria: • la eficiencia • la confidencialidad • la integridad • la disponibilidad • el cumplimiento • la confiabilidad Nivel de madurez: No conforma. El organismo no tiene procesos de monitoreo implementados. La función de Tecnología de la Información no realiza el monitoreo de los proyectos y procesos en forma independiente. No se cuenta con informes útiles, puntuales y precisos. No se reconoce la necesidad de objetivos de proceso claramente entendidos. Observaciones: De la información recibida se desprende que no se han establecido formalmente políticas, procedimientos, objetivos e indicadores de desempeño. 35 Consecuentemente, no se realiza el monitoreo continuo y sistemático de la actividad del área de tecnología de la información. Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo 4.5. Procedimientos Operacionales. A continuación se describen brevemente los circuitos administrativos informales que efectivamente realiza la Administración General de Puertos en cada sector involucrado en el uso del sistema GIGA y las observaciones correspondientes. 4.5.1. Gerencia de Abastecimiento. Existe un agente que realiza las siguientes actividades: • Carga la solicitud del gasto para todas las Gerencias de la Sociedad excepto para la Gerencia de Ingeniería, donde la carga la realiza un agente propio. • Carga en el Sistema la aprobación del gasto realizada por el Gerente General, con firma hológrafa en el expediente en papel, ejerciendo atribuciones del Gerente General. • Controla que Presupuesto haya realizado la reserva preventiva en la base de datos del sistema y en el expediente. • Carga solamente la oferta adjudicada y, ejerciendo atribuciones del Gerente General, la aprueba. • Controla que Presupuesto haya realizado el compromiso presupuestario. • Emite la orden de compra en Excel. • Carga en el sistema el ingreso controlado por el depósito o, si fuera el caso, la recepción de obras y/o servicios controlada por el sector solicitante. • Manualmente realiza el seguimiento de la orden de compra antes de mandar las facturas correspondientes a pagos parciales al sector de Administración. • Sin intervención del sistema controla las Garantías de Oferta y de Ejecución. En la gerencia se utiliza un sistema propio de seguimiento interno de expedientes además del sistema de expedientes propio del organismo, ambos independientes del GIGA. La iniciación 36 de la licitación no se carga al Sistema pues, a juicio de la Gerencia, la carga del acta de apertura, llevaría demasiado tiempo. Se hace la apertura con los totales globales y en los tres días siguientes, durante la vista de ofertas, arman en Excel el cuadro comparativo. La preadjudicación es manual y se informa al Gerente General en papel con resumen de lo actuado y solicitud de aprobación. Observaciones: • La gerencia carga en el sistema las solicitudes de bienes y servicios de toda la organización transcribiendo formularios generados en distintas áreas. Esto induce a errores de interpretación por falta de conocimientos específicos y repercute en la integridad y confiabilidad del sistema. • Un mismo agente realiza varias operaciones utilizando distintos perfiles de usuario (por ejemplo: Jefe de Departamento, Subgerente de Organización y Sistemas y Gerente General), lo que reduce la calidad del control por oposición y afecta seriamente la eficacia, confidencialidad, integridad y confiabilidad de la información. • El sistema es subutilizado por la Gerencia, dado que el Reglamento de Contrataciones que se aplica es posterior a su puesta en marcha y nunca se lo adaptó. • El uso de planillas Excel conspira contra la seguridad, la integridad y confiabilidad en el manejo de datos. • Se realizan tareas innecesarias por falta de confianza en el sistema. • La operatoria llevada a cabo por la Gerencia de Abastecimiento consiste en analizar las ofertas a partir de planillas Excel con los datos, y no utilizando el sistema. Esto implica el riesgo de que haya habido errores en la transcripción de datos y la pérdida de la información histórica de las ofertas recibidas. Afecta la eficacia, la eficiencia, la integridad, la disponibilidad, el cumplimiento y la confiabilidad de la información. • Algunas tareas no están automatizadas, se realizan manualmente, lo que afecta la eficacia y eficiencia de la organización. Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo 4.5.2. Gerencia de Administración. 37 4.5.2.1. Presupuesto. Se utiliza la función del sistema “Formulación de Gastos” para cargar los créditos del Presupuesto. La Ejecución del Presupuesto se imputa en las cuatro etapas según corresponda: Preventivo, Comprometido, Devengado y Pagado. Se utiliza el GIGA para automatizar todas las imputaciones, lo que permite realizar las modificaciones que sean necesarias. Se controla la imputación preventiva propuesta por el sistema, en cuanto a su concordancia con lo establecido en la Formulación del Gasto y, en caso de ser correcta, se la confirma. Se puede aprobar, modificar o anular la operación según corresponda. Si la operación se aprueba, se emite el comprobante Preventivo. Se confirma la imputación del Compromiso realizada en forma automática por el sistema, antes de emitir la Orden de Compra. Se emite el comprobante de Compromiso. Se cargan los datos en el sistema de los Compromisos Directos a través de la función correspondiente. Se verifican todas las imputaciones presupuestarias realizadas en forma automática por el sistema por medio de reportes generados en el GIGA. Observaciones. En la formulación del gasto se les asignan a los sectores conceptos que no les corresponden (por ejemplo, la Gerencia Jurídica tiene adjudicada partidas para la compra de aceitunas). Esta circunstancia hace ineficaz el control interno del sistema, pues permite a un sector emitir solicitudes de gastos no acordes a lo presupuestado ni a sus misiones y funciones. Nivel de riesgo: [ ] Alto [ ] Medio [ X ] Bajo 4.5.2.2. Tesorería. Recibe las facturas a ser cobradas. Selecciona la operación en el aplicativo, y el sistema emite el recibo correspondiente. Cobra los fondos pagados por el cliente (en efectivo o en cheque) y carga la información. Emite las notas de crédito solicitadas por Cuentas Corrientes. 38 Al finalizar el día se emite un informe del aplicativo GIGA denominado Parte Diario que permite controlar las operaciones registradas cotejándola con la documentación respaldatoria. Se confeccionan en forma manual las boletas de depósito para las cuentas bancarias que correspondan y se depositan los valores. Se realiza el pago a Proveedores en base a las Órdenes de Pago autorizadas. Se consultan en el GIGA los pagos a realizar durante el día. Una vez verificado que la Orden de Pago se encuentre debidamente firmada por los responsables, se emite –en forma manual– el cheque y se lo envía a la firma del responsable autorizado. En el momento en que el beneficiario retira el cheque, se accede al GIGA para registrar la operación y emitir el Recibo de Pago correspondiente. Se realizan las conciliaciones bancarias en planillas de Excel. El personal externo de administración del Sistema, a pedido de Tesorería, corrige importes en los asientos generados por operaciones de ese sector debidos a montos mal ingresados. Lo hacen modificando en forma directa el contenido de la base de datos, sin utilizar el Sistema. Estas operaciones son autorizadas por el Gerente de Administración. En determinadas circunstancias se reciben cheques de los clientes de AGP por montos inferiores a los facturados. Observaciones: • No se utiliza la función de emisión automática de cheques proporcionada por el sistema. • Existe una función del sistema GIGA para la conciliación bancaria que no se utiliza. • La manipulación de la base de datos en forma directa evita los controles internos del Sistema. • No existe una función del Sistema específica para la operación, autorizada por la Intervención, de cobro parcial de facturas. Lo que se utiliza es la función Cobro Anticipado, que no corresponde estrictamente. Esta situación dificulta la conciliación de las Cuentas Corrientes. Estas observaciones permiten afirmar que existe pérdida de confiabilidad e integridad de los datos de la base del sistema GIGA. 39 Nivel de riesgo: [ X ] Alto [ ] Medio [ ] Bajo 4.5.2.3. Contabilidad. Verifica las imputaciones contables realizadas en forma automática por el sistema contra la documentación respaldatoria. Carga los asientos por ajustes de conciliaciones bancarias realizadas en planillas de Excel suministradas por Tesorería. Calcula en forma manual las diferencias por cambio de cotizaciones y realiza los asientos correspondientes. Realiza los asientos manuales de ajustes que correspondan. En algún caso se cargan asientos manuales con fecha distinta a la del día corriente mediante la modificación de la fecha de operación usando la función Fecha de Operación. En el caso de ingresar un nuevo Objeto de Gasto que no tenga asociada la cuenta correspondiente, el Gerente del área solicita la apertura o asignación, según corresponda, de la cuenta contable en el momento de realizar la imputación. Observaciones: • Por falta de un procedimiento interno adecuado se dan de alta las cuentas patrimoniales sin identificar la cuenta contable ni presupuestaria a las que corresponden, lo cual afecta la eficiencia de los procesos de compras y contrataciones. • La función Fecha de Operación del Sistema es usada por más personas que las imprescindibles, por lo cual se pierde la confiabilidad e integridad de la información. • Se han detectado errores en las relaciones, establecidas por los usuarios del Sistema, entre las cuentas patrimoniales y las cuentas presupuestarias, lo cual genera errores en las imputaciones contables automáticas y, luego, en el balance de sumas y saldos. Nivel de riesgo: [ X ] Alto [ ] Medio [ ] Bajo 4.5.2.4. Cuentas Corrientes. Aplica las Notas de Crédito y los cobros anticipados en la cuenta corriente de los clientes. Una vez por semana emite, por el sistema, el detalle de las cobranzas. Inhabilita en el sistema, en forma manual, a los clientes que tengan una factura vencida, previa autorización por escrito de un responsable. 40 Recibe las solicitudes de altas de clientes y los ingresa al sistema. Observaciones: El hecho de que la inhabilitación de los clientes morosos se realice en forma manual permite que se pueda omitir la acción. Nivel de riesgo: [ ] Alto [ ] Medio [ X ] Bajo 4.5.2.5. Liquidaciones. El sector recibe la información externa para liquidar y emite las facturas cargando en el sistema los datos que se obtienen de las diversas documentaciones que presenta el cliente, como por ejemplo declaraciones juradas de importación-exportación, liquidación de tasa a las cargas, liquidación de pasavantes, liquidación de patentes de buques, etc. El sector de Liquidaciones carga en el sistema GIGA los datos consignados en la documentación, el responsable del área verifica la liquidación y, en el caso de ser correcta, se imprimen, por medio del sistema, las facturas por cuadruplicado. Se entregan tres copias al cliente y queda una en el sector. Observaciones: Sin observaciones. Nivel de riesgo: No aplicable. 4.5.3. Operación General. Observaciones. • Cada área del Organismo opera como si estuviera aislada del resto. No existe conciencia de la interdependencia que un sistema de gestión integral supone en el funcionamiento general. • No existen manuales de procedimientos que regulen la operación de los sectores involucrados. 4.6. Funcionamiento del sistema Giga. Se realizó un simulacro de operación del sistema desde el origen de la transacción hasta su conclusión en registración contable, para los siguientes circuitos: • Compras • Facturación Los datos utilizados correspondían a una copia de las bases que estaban operativas a fines de 2004. 4.6.1. Pruebas realizadas de circuitos completos del Sistema. 41 4.6.1.1. Circuito de Compras. La prueba se realizó solicitando la compra de una resma de “Papel Obra Oficio de 210 x 297 (resma) A4” (sic), artículo registrado bajo el código 1.01.003.115 del nomenclador, por un valor unitario de $30. Se afectó el gasto a la partida 01.01.01.A10.02.03.05 correspondiente a la formulación de gastos de la Asesoría Jurídica para Bienes de Consumo – Artículos de Escritorio – Productos de papel y cartón. Se realizó el compromiso del gasto a la misma partida. Se seleccionó la opción de compra Con Invitación cargando dos proveedores para la solicitud de precios. Se adjudicó la compra al proveedor propuesto por el sistema en base al menor precio ofertado. Se emitió la Orden de Compra por medio del sistema. Se realizó la recepción en almacenes del material solicitado. Se cargó la factura proporcionada por el proveedor. Se generó la Orden de Pago correspondiente. Se realizó el pago mediante dos cheques de distintos bancos (los cheques no fueron emitidos utilizando el sistema). Se generaron los recibos correspondientes. Se verificaron los Libros de IVA Compras, el Mayor de la cuenta Proveedores, el Libro Diario y los listados de Cheques Pagados y Órdenes de Pago Presupuestarias. Observaciones: • Hay ítems que no están correctamente descriptos en el nomenclador (vg., el tamaño de papel es oficio o A4; pero no ambos a la vez). Genera incertidumbre respecto al bien en cuestión y es una posible fuente de error. • Cualquier sector puede generar solicitudes para cualquier otro sector; el control interno que lo evitaba fue levantado. Implica pérdida de integridad y confiabilidad de la información. • En la modificación de la solicitud de gasto no realiza el cambio de sector solicitante, mantiene siempre el sector del usuario que ingresó al sistema. 42 • En la tarea Autorizador de Transacciones no se visualiza la fecha de alta del comprobante a autorizar, aparece en blanco. • La tarea de Gestión de Compras cuando se pasa del Preventivo a la Gestión de Compra selección por defecto el tipo de compra en Contratación Directa Trámite Simplificado, modificando el tipo de contratación seleccionado en el proceso anterior. Afecta el control interno del Sistema sobre el cumplimiento del Reglamento de Contrataciones e induce a eventuales errores. • La tarea Cotización de Proveedores admite cargar una cotización con importes negativos. Implica pérdida de integridad por eventuales errores en el ingreso de datos. • La recepción de facturas de Proveedores permite ingresar un importe mayor al comprometido y continuar con el circuito sin ningún tipo de obstáculo. Pérdida de eficacia, eficiencia y confiabilidad. Nivel de riesgo: [ X ] Alto [ ] Medio [ ] Bajo 4.6.1.2. Circuito de Liquidaciones. • Se emitió una factura por el concepto de Tasa a las Cargas. • Se imprimió el comprobante donde se verificaron todos los importes. • Se verificó la cuenta corriente con el ingreso de la factura emitida. • Se registró el cobro mediante recibos de Tesorería donde se ingresaron cheques de terceros. • Se aplicó diferidamente la cobranza. • Se listó la minuta de recaudación coincidente con el ingreso realizado. • Se realizó la impresión del detalle de los Instrumentos de Cobro. • Se imprimió el Libro Diario con los registros de todos los movimientos realizados. • Se depositaron los cheques ingresados. Observaciones: Sin observaciones. Nivel de riesgo: No aplicable. 4.6.2. Pruebas realizadas a funciones individuales. Administración de Bienes y Patrimonio. Observaciones: 43 • En el listado Anexo Bienes de Consumo al 25/02/2005 se detectó el código 1.01.019.025 con descripción “Cartucho de tinta para impresora Epson T029201” con cantidad negativa (-1, menos uno) • No se pudo ingresar al módulo Composición de Bienes debido a un error en el programa en la línea 240 (data server: cmd:o, getrst: ora-01422). Contabilidad. Observaciones: • En los reportes de Mayor y sumas y saldos no se informa a qué período corresponde cada reporte. • La utilización de la función Fecha de Operación, que permite cambiar la fecha con la cual se registran las operaciones contables, es una de las causas de los problemas que impiden el cierre de los balances. Operación General. Observaciones: • El Sistema no provee ayuda en línea, a pesar que fue requerida en el pliego de contratación. • Existen mensajes de error que brinda el sistema que resultan no significativos para el usuario. • El Sistema no tiene un módulo de Auditoría que permita al auditor examinar los registros en forma sencilla. Su análisis requiere conocimientos de informática. • Los usuarios no utilizan algunos reportes, por falta de confianza o porque no saben que existen. Esta situación dificulta la detección de errores en el sistema (por ejemplo, los de parametrización). • Al Sistema le faltan opciones de impresión que eviten la necesidad de capturar pantallas para generar comprobantes. • No existen procedimientos formales para la comunicación de problemas o fallas del Sistema al personal externo de soporte. Las comunicaciones son informales y en algunos casos no aportan suficiente información para subsanar el problema. 44 5. Comunicación del proyecto de informe y análisis de los descargos formulados por la Administración General de Puertos S.E.. El proyecto de informe de auditoría fue enviado al organismo auditado para que formule las observaciones y/o comentarios que estime pertinentes, con fecha 22 de agosto de 2005, por Nota AGN N° 20/05 AG4. Los mismos fueron remitidos por la Administración General de Puertos S.E., con fecha 22 de noviembre de 2005 a través de la Nota N° 814 AGP. Cabe aclarar que la respuesta a la vista tiene los comentarios de 3 gerencias distintas en documentos no integrados. Además en la Nota N° 814 AGP del Sr. Interventor del Organismo se indica que van a seguir las recomendaciones del Informe de Auditoría y se incluye una solicitud de aclaración que es satisfecha en el Anexo VI. Por el motivo citado los comentarios a las respuestas se organizan de la siguiente manera: • Si no se indica a que gerencia corresponde se trata de la Subgerencia de Organización y Sistemas. • En el resto se aclara a que gerencia corresponde. Por último, no solamente existieron respuestas de la Administración General de Puertos a nuestras Observaciones, sino que también incorporaron párrafos correspondientes a las Aclaraciones Previas (punto 3.5 en adelante). Como consecuencia del análisis del descargo presentado por el organismo auditado (que consta como Anexo V), se ratifican las observaciones oportunamente formuladas. 6. Recomendaciones 6.1. Planificación y organización. 6.1.1. Definición de un Plan estratégico de Tecnología de la Información: La alta gerencia debe implementar planes a corto y largo plazo que sean compatibles con la misión y las metas de la organización. En este aspecto, debe garantizar que: - la tecnología de información forme parte del plan de la organización a corto y largo plazo: - se elabore un Plan de Tecnología de la Información a largo plazo; - se actualice el enfoque y la estructura de la planificación de Tecnología de la Información a largo plazo; - se realicen los cambios del plan de Tecnología de la Información a largo plazo; 45 - se elabore la planificación a corto plazo de la función de servicios de información; - se comuniquen los planes de Tecnología de la Información; - se controlen y evalúen los planes de Tecnología de la Información; - se evalúen los sistemas existentes. 6.1.2. Definición de la Arquitectura de la Información: La máxima autoridad debe impulsar la creación y el mantenimiento de un modelo que contemple lo siguiente: - un modelo de arquitectura de la información; - el diccionario de datos del organismo y reglas de sintaxis de los datos; - un esquema de clasificación de los datos; - los niveles de seguridad. 6.1.3. Determinación de la dirección tecnológica: Se debe crear y actualizar periódicamente un plan de infraestructura tecnológica que incluya aspectos tales como la arquitectura de los sistemas, la dirección tecnológica y las estrategias de información. 6.1.4. Definición de la organización y las Relaciones de Tecnología de la Información: Al ubicar la función de servicios de información dentro de la estructura del organismo, la alta gerencia debe garantizar autoridad, masa crítica e independencia de las áreas de usuarios en la medida necesaria para lograr soluciones de tecnología de información eficientes. En este aspecto se debe asegurar: - la designación de un comité de planificación de Tecnología de la Información; - la correcta ubicación de la función de servicios de información en el organismo; - la revisión de los logros organizacionales; - los roles y responsabilidades; - la responsabilidad sobre el aseguramiento de calidad; - la responsabilidad sobre la seguridad lógica y física; - la propiedad y custodia de los datos; - la supervisión de las actividades de Tecnología de la Información; - la separación de funciones; - la competencia del personal de Tecnología de la Información; - las descripciones de los puestos del personal de Tecnología de la Información; 46 - las políticas y procedimientos relativos al personal contratado; - las relaciones de coordinación, comunicación y enlace. 6.1.5. Administración de la Inversión en Tecnología de Información: Debe implementarse un proceso de formulación presupuestaria que contemple lo siguiente: - un presupuesto operativo anual de Tecnología de la Información; - el monitoreo de costos y beneficios; - la justificación de costos y beneficios. 6.1.6. Comunicación de los Objetivos y Directivas de la Gerencia: Se debe implementar un marco y un programa de concientización que propicien un ambiente de control positivo en todo el organismo. Este marco debe abordar la integridad, los valores éticos y la competencia de las personas, la filosofía de gestión, el estilo operativo y la rendición de cuentas. En este aspecto, la máxima autoridad y la alta gerencia deben garantizar: - las responsabilidades sobre la formulación de las políticas; - la comunicación de las políticas del organismo; - la disponibilidad de los recursos para la implementación de políticas; - el mantenimiento de políticas; - el cumplimiento de las políticas, los procedimientos y las normas; - el compromiso con la calidad; - la política marco de seguridad y control interno; - la observancia de los derechos de propiedad intelectual; - la comunicación de la concientización en materia de seguridad. 6.1.7. Administración de los Recursos Humanos: El organismo debe contar con una fuerza laboral que tenga las habilidades necesarias para lograr sus metas. En este aspecto, la máxima autoridad y la alta gerencia deben garantizar que se realicen: - la selección y promoción del personal; - la formación y experiencia del personal; - la definición de roles y responsabilidades; - la capacitación del personal, en particular la necesaria para poder transferir a AGP la tecnología del sistema GIGA; 47 - la capacitación cruzada o de personal de reemplazo; - los procedimientos de verificación de antecedentes del personal; - la evaluación del desempeño laboral; - el cambio de puestos y la seguridad en la extinción de la relación laboral. 6.1.8. Evaluación de Riesgos: Se debe establecer un marco de evaluación sistemática de riesgos. Dicho marco debe incorporar una evaluación periódica de los riesgos de información relacionados con la consecución de los objetivos del organismo, que constituya una base para determinar cómo deben administrarse los riesgos a un nivel aceptable. En este aspecto, la alta gerencia debe garantizar que se realice: - una evaluación de riesgos de la actividad; - la identificación de riesgos; - la medición de riesgos; - un plan de acción de reducción de riesgos; - la aceptación de riesgos. 6.1.9. Administración de Proyectos: Se debe establecer un marco de administración de proyectos que contemple, como mínimo, la asignación de responsabilidades, división de tareas, presupuestación del tiempo y los recursos, plazos, puntos de verificación y aprobaciones. En este aspecto, la alta gerencia debe garantizar que: - se aplique un marco de administración de proyectos; - se contemple la participación del departamento de usuarios en el inicio del proyecto; - se asignen miembros y responsabilidades del equipo del proyecto; - exista una definición del proyecto; - se aprueben las fases del proyecto; - exista un plan maestro del proyecto; - se defina un plan de garantía de calidad del sistema; - se implemente la administración formal de riesgos del proyecto; - se elabore un plan de pruebas; - se diseñe un plan de capacitación; - se desarrolle un plan de revisión posterior a la implementación. 48 6.1.10. Administración de la Calidad: Debe desarrollarse y mantenerse periódicamente un plan general de calidad basado en los planes del organismo y de tecnología de información a largo plazo. En este aspecto, la alta gerencia debe garantizar que exista: - un plan general de calidad; - un enfoque de garantía de calidad; - una planificación de garantía de calidad; - la revisión de garantía de calidad; - una metodología del ciclo de vida del desarrollo de sistemas; - una metodología del ciclo de vida del desarrollo de sistemas para la introducción de cambios importantes en la tecnología existente; - la actualización de la metodología del ciclo de vida del desarrollo de sistemas; - la coordinación y comunicación entre los usuarios y el personal de Tecnología de la Información; - un marco de adquisición y mantenimiento de la infraestructura tecnológica; - un marco para las relaciones con terceros a cargo de la implementación; - la observación de las normas de documentación de programas verificando que: • se cumplan las normas de prueba de programas; • se cumplan las normas de prueba de sistemas; • se utilicen pruebas en paralelo o bien pruebas piloto. - la documentación de pruebas de sistemas 6.2. Administración e implementación. 6.2.1. Identificación de Soluciones Automatizadas Se debe implementar una metodología del ciclo de vida de desarrollo de sistemas (CVDS) para el organismo con la especificación de los requerimientos funcionales y operativos de las soluciones, incluidos el rendimiento, la seguridad, confiabilidad, compatibilidad y legislación. Además, la metodología del CVDS debe contemplar un plan de estrategias de adquisición de software y de evaluación de requerimientos y especificaciones para la contratación de terceros proveedores de servicios. En este aspecto, se debe garantizar la eficacia de los procedimientos 49 y prácticas establecidas para las siguientes tareas y/o actividades de Tecnología de la Información: - definición de los requerimientos de información; - formulación de cursos alternativos de acción; - formulación de la estrategia de adquisición; - formulación de requisitos para servicios prestados por terceros: - estudio de factibilidad tecnológica; - estudio de factibilidad económica; - definición de la arquitectura de la información; - informe de análisis de riesgos; - controles de seguridad económicos; - diseño de pistas de auditoría; - adecuación ergonómica; - selección del software de sistemas; - control de compras; - adquisición de productos de software; - mantenimiento del software de terceros; - programación contratada de aplicaciones; - aceptación de las instalaciones; - aceptación de la tecnología. 6.2.2. Adquisición y Mantenimiento del Software de Aplicación Se deben establecer procedimientos y técnicas adecuadas para la aplicación de la metodología del ciclo de vida de desarrollo de sistemas (CVDS) del organismo, que impliquen una coordinación estrecha con los usuarios, para crear y verificar las especificaciones de diseño de cada proyecto de desarrollo de un sistema nuevo. En este aspecto, debe garantizarse la eficacia de los procedimientos y prácticas establecidas para las siguientes tareas y/o actividades de Tecnología de la Información: - normalización de los métodos de diseño; - registración de los cambios importantes de los sistemas existentes; 50 - aprobación del diseño; - definición y documentación de los requerimientos de archivos; - especificación de programas; - diseño de la recopilación de datos fuente; - definición y documentación de los requerimientos de entrada; - definición de interfaces; - normalización de la interfaz usuario-máquina; - definición y documentación de los requerimientos de procesamiento; - definición y documentación de los requerimientos de salida; - normalización de la controlabilidad; - establecimiento de la disponibilidad como factor clave del diseño; - normalización de las especificaciones de integridad de tecnología de información en programas de aplicación; - realización de las pruebas del software de aplicación; - desarrollo de materiales de soporte y referencia del usuario; - reevaluación del diseño de sistemas. 6.2.3. Adquisición y Mantenimiento de la Infraestructura Tecnológica Garantizar la eficacia de los procedimientos y prácticas establecidas para las siguientes tareas y/o actividades de Tecnología de la Información: - evaluación del hardware y el software nuevos; - mantenimiento preventivo del hardware; - atender a la seguridad del software del sistema; - instalación del software del sistema; - mantenimiento del software del sistema; - realizar los controles de cambios del software del sistema. 6.2.4. Desarrollo y Mantenimiento de Procedimientos Utilizar una metodología del ciclo de vida del desarrollo de sistemas (CVDS) del organismo de manera tal de garantizar la definición oportuna de los requerimientos operativos y niveles de servicio, la preparación de manuales de usuario y de operaciones y el desarrollo de 51 materiales de capacitación. En este aspecto, la alta gerencia y el funcionario principal de servicios de información deben verificar la eficacia de los procedimientos y prácticas establecidas para las siguientes tareas y/o actividades de Tecnología de la Información: - los requerimientos operativos y niveles de servicio; - la confección de manuales de procedimientos del usuario; - la confección del manual de operaciones; - la preparación de los materiales de capacitación. 6.2.5. Instalación y Acreditación de Sistemas de Aplicación Se debe preparar, revisar y aprobar un plan de implementación o modificación de los sistemas de aplicación. En este aspecto, la alta gerencia y el funcionario principal de servicios de información deben garantizar la eficacia de los procedimientos y prácticas establecidas para las siguientes tareas y/o actividades de Tecnología de la Información: - capacitación de los usuarios y personal de servicios de información; - dimensionamiento del desempeño del software de aplicación; - desarrollar el plan de implementación; - conversión de sistemas de aplicación; - conversión de datos; - definir la estrategia y los planes de prueba; - realizar la prueba de cambios; - establecer criterios de ejecución de pruebas paralelas o bien pruebas piloto; - realizar la prueba de aceptación final; - realizar las pruebas de acreditación de seguridad; - realizar la prueba de funcionamiento; - transición a producción; - evaluación del cumplimiento de los requerimientos del usuario; - revisión de la gerencia posterior a la implementación. 6.2.6. Administración de Cambios Implementar procedimientos específicos para tratar los pedidos de cambios, mantenimiento de sistemas y mantenimiento del proveedor. En este aspecto, la alta gerencia y el funcionario 52 principal de la función de servicios de información deben garantizar la eficacia de los procedimientos y prácticas establecidas para las siguientes tareas y/o actividades de Tecnología de la Información: - inicio y control de solicitudes de cambio; - evaluación del impacto; - control de cambios; - realizar los cambios de emergencia; - desarrollar documentación y procedimientos; - mantenimiento autorizado; - establecer políticas de versiones de software; - distribución de software. 6.3. Entrega y Soporte. 6.3.1. Definición y Administración de los Niveles de Servicio: Garantizar la eficacia de las políticas y prácticas establecidas para las siguientes tareas y/o actividades de Tecnología de la Información: - establecer marco de acuerdos de nivel de servicio; - procedimientos de ejecución; - monitoreo e informes; - revisión de los contratos y acuerdos de nivel de servicio; - establecer un programa de mejora del servicio. 6.3.2. Administración de Servicios Prestados por Terceros: Se debe verificar que los servicios prestados por terceros se identifiquen de modo adecuado y que la interrelación técnica y funcional con los proveedores esté documentada. En este aspecto, la máxima autoridad y la alta gerencia deben garantizar la eficacia de las políticas y practicas establecidas para las siguientes tareas y/o actividades de Tecnología de la Información: - interrelación con proveedores de Tecnología de la Información; - asignar la responsabilidad por las relaciones; - formalización de contratos con terceros; - evaluación del conocimiento y la experiencia de terceros; 53 - formalización de contratos de tercerización que incluyan los acuerdos de confidencialidad; - asegurar la continuidad de los servicios; - acordar las relaciones de seguridad; - monitoreo de la prestación del servicio. 6.3.3. Administración de la Capacidad y el Desempeño: La máxima autoridad y la alta gerencia deben garantizar la eficacia de las políticas y prácticas establecidas para las siguientes tareas y/o actividades de Tecnología de la Información: - identificación de requerimientos de disponibilidad y desempeño; - establecer un plan de disponibilidad; - monitoreo e informes del desempeño de los recursos de Tecnología de la Información; - utilización de herramientas para la creación de modelos; - administración proactiva del desempeño; - la realización de pronósticos de la carga de trabajo; - administración de la capacidad de los recursos; - establecer la disponibilidad de recursos; - planificación de recursos. 6.3.4. Garantía de un Servicio Continuo: Se debe crear un marco de continuidad que defina los roles, responsabilidades, enfoque, normas y estructuras para documentar un plan que garantice el servicio continuo. En este aspecto, la alta gerencia y el funcionario principal de servicios de información deben garantizar la eficacia de las políticas y practicas establecidas para las siguientes tareas y/o actividades de Tecnología de la Información: - un marco de continuidad de Tecnología de la Información; - definir estrategias y filosofía del plan de continuidad de Tecnología de la Información; - establecer los contenidos del plan de continuidad de Tecnología de la Información; - reducción de los requerimientos de continuidad de Tecnología de la Información; - mantenimiento del plan de continuidad de Tecnología de la Información; - realizar la prueba del plan de continuidad de Tecnología de la Información; - capacitación en el plan de continuidad de Tecnología de la Información; - distribución del plan de continuidad de Tecnología de la Información; 54 - resguardar el procesamiento alternativo del usuario; - identificar recursos críticos de Tecnología de la Información; - definir el sitio y equipamiento alternativos; - almacenar el resguardo en sitio alternativo; - reevaluación periódica del plan. 6.3.5. Garantía de la Seguridad de los Sistemas: La alta gerencia y el funcionario principal de servicios de información deben garantizar la eficacia de las políticas y prácticas establecidas para las siguientes tareas y/o actividades de Tecnología de la Información: - administración de las medidas de seguridad; - identificación, autenticación y acceso; - la seguridad del acceso en línea a los datos; - administración de cuentas de usuarios; - revisión de la gerencia de cuentas de usuarios; - el control ejercido por el usuario en sus propias cuentas; - la supervisión de la seguridad; - clasificación de los datos; - administración centralizada de identificaciones y derechos de acceso; - informes de violación y actividades de seguridad; - manejo de incidentes; - reacreditación; - autorización de transacciones; - establecer la imposibilidad de rechazo; - definir ruta de acceso confiable; - protección de las funciones de seguridad; - administración de claves criptográficas; - prevención, detección y corrección de software malicioso; - establecer arquitectura de firewalls y conexiones con redes públicas; - protección del valor electrónico. 55 6.3.6. Identificación e Implementación de Costos: La máxima autoridad y la alta gerencia deben garantizar la eficacia de las políticas y prácticas establecidas para las siguientes tareas y/o actividades de Tecnología de la Información: - identificar ítems imputables; - definir procedimientos de determinación de costos; - utilizar procedimientos de cargos e imputación de costos al usuario. 6.3.7. Educación y capacitación de los Usuarios: La máxima autoridad debe garantizar la eficacia de las políticas y practicas establecidas para las siguientes tareas y/o actividades de Tecnología de la Información: - identificación de necesidades de capacitación; - organización de sesiones de capacitación; - capacitación y concientización en los principios de seguridad. 6.3.8. Asistencia y Asesoramiento a los Usuarios de Tecnología de la Información: El funcionario principal de servicios de información debe garantizar la eficacia de las políticas y prácticas establecidas para las siguientes tareas y/o actividades de Tecnología de la Información: - el soporte al usuario mediante la mesa de ayuda; - registro de consultas de usuarios; - escalamiento de consultas de usuarios; - monitoreo de soluciones; - análisis e informe de tendencias. 6.3.9. Administración de la Configuración: El funcionario principal de servicios de información debe garantizar la eficacia de las políticas y prácticas establecidas para las siguientes tareas y/o actividades de Tecnología de la Información: - registro de la configuración; - establecer el nivel básico de configuración; - registro del estado de la configuración; - control de la configuración; - detectar el software no autorizado; 56 - almacenamiento del software; - administración de configuración; - seguimiento y control de versiones de software. 6.3.10. Administración de Problemas e Incidentes: El funcionario principal de servicios de información debe garantizar la eficacia de las políticas y practicas establecidas para las siguientes tareas y/o actividades de Tecnología de la Información: - sistema de administración de problemas; - escalamiento de problemas; - seguimiento de problemas y pistas de auditoría; - autorizaciones de emergencia y acceso temporario; - establecer las prioridades de procesamiento de emergencia. 6.3.11. Administración de Datos: La alta gerencia, los responsables de programas y actividades y el funcionario principal de servicios de información deben garantizar la eficacia de los procedimientos y prácticas establecidas para las siguientes tareas y/o actividades de Tecnología de la Información: - preparación de datos; - autorización de documentos fuente; - recopilación de datos de documentos fuente; - manejo de errores de documentos fuente; - conservación de documentos fuente; - autorización de entrada de datos; - verificación de exactitud, integridad y autorización; - control de errores de entrada de datos; - asegurar la integridad del procesamiento de datos; - validación y edición del procesamiento de datos; - administración de errores del procesamiento de datos; - manejo y conservación de salidas; - distribución de salidas de datos; - balanceo y conciliación de salidas de datos; 57 - revisión y manejo de errores de salidas de datos; - seguridad en la distribución de los informes de salida; - protección de información crítica durante la transmisión y el transporte; - protección de información crítica eliminada; - administración del almacenamiento; - establecer períodos de conservación y condiciones de almacenamiento; - establecer un sistema de administración de biblioteca de medios; - definir las responsabilidades de administración de la biblioteca de medios; - resguardo y restauración; - tareas de resguardo; - almacenamiento de resguardos; - administración de archivos; - protección de mensajes críticos; - autenticación e integridad. 6.3.12. Administración de Instalaciones: El funcionario principal de servicios de información debe garantizar la eficacia de las políticas y practicas establecidas para las siguientes tareas y/o actividades de Tecnología de la Información: - seguridad física; - asegurar la discreción del sitio de tecnología de información; - acompañamiento de visitas; - salud y seguridad del personal; - protección contra factores ambientales; - disponibilidad de fuente de alimentación de energía ininterrumpible. 6.3.13. Administración de Operaciones: El funcionario principal de servicios de información debe garantizar la eficacia de las políticas y prácticas establecidas para las siguientes tareas y/o actividades de Tecnología de la Información: - desarrollo de manuales de instrucciones y procedimientos de las operaciones de procesamiento; - documentación del proceso de puesta en marcha y otras operaciones; 58 - fijación de programas de trabajo; - control de las desviaciones de los programas estándares de trabajo; - asegurar la continuidad del procesamiento; - registración de operaciones; - salvaguardia de formularios especiales y dispositivos de salida; - realización de operaciones remotas. 6.4. Monitoreo. 6.4.1. Monitoreo de los Procesos: La alta gerencia es responsable de garantizar que se: - recopilen los datos de monitoreo; - evalúe el desempeño en forma continua; - evalúe la satisfacción del usuario; - elaboren informes de gestión. 6.5. Procedimientos Operacionales. 6.5.1. Gerencia de Abastecimiento. • Cada sector debe generar en el sistema su Solicitud de Gasto para evitar errores de comprensión y transcripción. • Los procedimientos deben ser estrictos en cuanto al seguimiento y utilización de los flujos de trabajo que el Sistema administra internamente, obligando a cada funcionario a realizar las tareas que por norma le correspondan. • Cada sector debe probar completamente todas las funciones del Sistema que están a su disposición e informar de acuerdo a la norma de Administración de Problemas aquellos que detecte hasta que pueda operarlo de manera absolutamente confiable. • Las funciones del Sistema deben ser utilizadas por completo, modificando en caso de necesidad los programas y la infraestructura de comunicaciones y hardware. 6.5.2 Gerencia de Administración. • Modificar el procedimiento informal de Formulación Presupuestaria como para permitir la carga de partidas en el Sistema acordes a los objetivos y programas planificados del Organismo. Esto permitirá un eficaz control interno del GIGA respecto a la pertinencia de las solicitudes de gasto. 59 • Prohibir las correcciones de los errores de operación mediante la manipulación directa de las bases de datos del Sistema. • Agregar al Sistema la función de Cobro Parcial de facturas emitidas. • Incluir en los procedimientos de la Gerencia de Abastecimiento la obligación de identificar previamente las cuentas presupuestaria y contable correspondientes para el alta de una cuenta patrimonial. • Incluir en el Sistema la regla de negocio que permita automatizar la inhabilitación de los clientes morosos, en forma acorde a las políticas del Organismo. • Modificar el Sistema en forma tal que la función Fecha de Operación esté limitada exclusivamente a la confección de asientos de ajuste al balance anual. • Establecer la perentoria necesidad de o establecer las asociaciones correctas entre las cuentas patrimoniales y las cuentas presupuestarias, o depurar el Nomenclador de Bienes, designando responsables a tales efectos. 6.5.3. Operación General. • Lanzar un proyecto general de integración operativa del organismo que incluya una recapacitación del personal para trabajar en un ambiente de estrecha cooperación intergerencial y en el uso del Sistema; una vez modificado según las recomendaciones, reformular los procedimientos operativos y generar conciencia de la importancia de la organización y administración empresaria por procesos, entre otros temas. 6.6. Funcionamiento del sistema Giga. • Reimplantar el control interno del Sistema que sólo permite generar Solicitudes de Gasto correspondientes al Sector del operador. • Modificar la tarea del Sistema Autorizador de Transacciones para visualizar la fecha de alta del comprobante a autorizar. • Modificar la tarea del Sistema Gestión de Compras para que no indique por defecto la opción de tipo de compra Contratación Directa Trámite Simplificado. • Incluir como regla en el Sistema la imposibilidad de usar valores negativos. 60 • Modificar el Sistema para impedir que se carguen importes de facturas de proveedores mayores a los montos comprometidos presupuestariamente. • Modificar el Sistema para incluir en los reportes del Libro Mayor y de Sumas y Saldos la información sobre el período al que corresponden. • Incluir en el Sistema la ayuda en línea. • Modificar los mensajes de error que brinda el sistema para que sean claros y útiles a los usuarios. 7. Conclusiones. La situación de la Tecnología Informática en la Administración General de Puertos S.E., basándose en los procedimientos efectuados y la evidencia obtenida, merece las siguientes observaciones: En general, en los niveles gerenciales del Organismo hay un alto grado de rotación. No existe un organigrama con misiones y funciones. El personal del organismo es de aproximadamente 450 agentes. En el sector de sistemas trabajan 12 personas. La dotación del área de Tecnología es reducida para el volumen de tareas que debería realizar el sector si asumiera la problemática de todo el organismo. Se han observado datos erróneos almacenados en las bases principales que los sistemas de aplicación no deberían admitir. El objetivo y las características de los sistemas integrados de administración de empresas, en general, y del sistema de aplicación GIGA, en particular, que mantienen y procesan datos clasificados y sensitivos y que en su proceso generan transferencia de la propiedad de bienes y el pago de dinero, tienen un alto grado de complejidad e involucran aprobaciones y garantías de las autoridades de los organismos. Por eso, son muy susceptibles a las pérdidas de información y económicas, la administración deficiente o el uso no autorizado de los recursos; por lo tanto, resultan particularmente vulnerables. El sistema GIGA, con el cual se realiza la gestión administrativa integral, incluyendo el abastecimiento de bienes y servicios, ha evidenciado falta de integridad en la información almacenada así como relajamiento de sus controles internos, a lo que se agrega que es alimentado con datos provenientes de sistemas manuales y computarizados que no han sido 61 aprobados formalmente y que, en consecuencia, no satisfacen requerimientos de confiabilidad e integridad. Del análisis del riesgo al que se encuentran sometidos los siete requerimientos (eficacia, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad) que debería satisfacer la información provista por el área de Tecnología de la Información, se concluye (ver Anexo III) que el riesgo promedio de no alcanzar los objetivos de calidad, teniendo en cuenta los treinta procesos considerados, se encuentra entre el 78% y el 91%, con un promedio general del 84%. Finalmente se evalúa que, de acuerdo con el Modelo Genérico de Madurez∗ y los niveles detectados durante el presente trabajo y representados gráficamente en el Anexo I, la gestión de la tecnología informática en la Administración General de Puertos S.E. se encuentra para 22 objetivos de control en el nivel de madurez “No Conforma” y para 8 objetivos en el nivel “Inicial”, todo lo cual pone en peligro la eficiencia en el cumplimiento de la misión del organismo e, incluso, la eficacia en su concreción. Se recomienda: 1. Tender a que la madurez de la calidad de la gestión se aproxime al nivel de “Procesos Definidos”. 2. Superar a la brevedad las limitaciones de los procesos ponderados en niveles “No Conforma” e “Inicial”. 3. Recomponer la base de datos de manera tal que se pueda confiar en la información que almacena. 4. Reimplantar controles internos del Sistema que fueron oportunamente levantados para disminuir la carga de trabajo del personal del Organismo y consecuentemente acelerar la implantación del Sistema. 5. Optimizar la estructura organizativa para reflejar las condiciones operativas actuales del Organismo y establecer las relaciones entre las unidades componentes del mismo. Dentro de dichas unidades deberán definirse claramente los roles, responsabilidades y tareas de cada individuo. ∗ Ver Modelo Genérico de Madurez en página 12. 62 6. Implantar circuitos administrativos que eviten duplicación de esfuerzos y procesos antiguos ya innecesarios e impidan que el Organismo funcione en compartimentos estancos, lo que relaja controles esenciales. 7. Asegurar que los datos ingresen al Sistema sólo en el punto donde se generan y que estén disponibles donde se los utilizan. 8. Capacitar a cada integrante del Organismo para que conozca cómo su acción se interrelaciona y contribuye a alcanzar los objetivos generales. 9. Forzar el uso integral del Sistema GIGA abarcando el seguimiento completo de los circuitos administrativos. 10. Disponer en forma urgente de 4 personas suficientemente calificadas, 2 en administración y uso de la base de datos Oracle y 2 en programación en lenguaje Visual Basic, para poder proceder a la indispensable transferencia tecnológica del sistema, dado que es muy importante superar la dependencia respecto del soporte técnico del proveedor del Sistema y garantizar la condición clave del control, fundada en la independencia entre los programadores y los administradores de la base de datos. Para superar las fallas observadas; es imprescindible un fuerte compromiso de las máximas autoridades de la Administración General de Puertos S.E., que deberán trasladar estas observaciones a las gerencias dependientes , para que a su vez mejoren los procedimientos y controles existentes e incorporen aquellos aún no implementados. 8.- Lugar y fecha Buenos Aires, Marzo de 2006. 9.- Firma 63 Anexo I: Gráficos de brecha para los niveles de madurez de los objetivos de control considerados. 64 65 66 67 Anexo II: Estimación de los Niveles de Riesgo para los requerimientos de la información según los procesos informáticos considerados La alta velocidad con la que se producen los cambios en la tecnología informática enfatiza la necesidad de optimizar la gestión de sus riesgos. Las misiones y funciones críticas de los organismos dependen en forma creciente de los sistemas de tecnología de la información en un ambiente donde también aumentan las noticias sobre fraudes y desastres informáticos. En la actualidad se entiende que la gestión de riesgos relacionados con la tecnología de la información es un elemento esencial de la administración del Estado. En la presente auditoría se trabajó sobre treinta objetivos de control, cada uno de los cuales se corresponde con un proceso de tecnología informática. Cada proceso hace a uno o más de los siguientes requerimientos que debe satisfacer la información dentro de un organismo para permitirle cumplir con sus misiones y funciones: • Eficacia: Se refiere a que la información sea relevante y pertinente para la misión del ente, así como a que su entrega sea oportuna, correcta, consistente y utilizable. • Eficiencia: Se refiere a la provisión de información a través de la utilización óptima (más productiva y económica) de recursos. • Confidencialidad: se refiere a la protección de información sensible contra divulgación no autorizada. • Integridad: Se refiere a la precisión y suficiencia de la información, así como a su validez de acuerdo con los valores y expectativas del organismo. • Disponibilidad: Se refiere a la disponibilidad de la información cuando ésta es requerida para cumplir con las misiones del organismo, ahora y en el futuro. También se refiere a la salvaguardia de los recursos necesarios y capacidades asociadas. • Cumplimiento: Se refiere al cumplimiento de las leyes, regulaciones y acuerdos contractuales a los que el organismo está sujeto. • Confiabilidad: Se refiere a la provisión de información apropiada para administrar la entidad y para ejercer sus responsabilidades de reportes financieros y de cumplimiento. En los treinta casos se indica dentro de las observaciones qué requerimientos son afectados en forma primaria y secundaria por el objetivo de control (ver Tabla I). El objeto de este anexo es brindar parámetros cuantificables para establecer un Tablero de Control que posibilite conocer los problemas con mayor riesgo y al mismo tiempo controlar las eventuales mejoras en forma explícita. “Riesgo de un requerimiento” es el valor que representa la probabilidad de que la información no satisfaga esa necesidad. Este valor fluctúa entre 0 y 1, siendo 0 la situación más segura y 1 la más insegura. 68 El proceso de cálculo parte de la base de que el riesgo es directamente proporcional al impacto (impacto = el peligro de incumplimiento de las misiones y funciones del organismo, para los procesos involucrados en el objetivo de control) y a la probabilidad de que ocurra el evento. Para cada uno de los procesos se definió el riesgo como alto (99%), medio (66%) o bajo (33%). La probabilidad de ocurrencia está directamente vinculada a la calidad del control que se realiza y este es evaluado en el informe mediante el nivel alcanzado según el modelo de madurez. A cada nivel se le asignó un coeficiente según el siguiente detalle: Nivel de Madurez No Conforma Inicial Repetible aunque Intuitivo Proceso Definido Administrado Optimizado Coeficiente 1,00 0,75 0,50 0,30 0,20 0,10 69 Tabla I 4.1.1 Definir un plan estratégico de sistemas P S 4.1.2 Definir la arquitectura de la información P S 4.1.3 Determinar la dirección tecnológica P S 4.1.4 Definir la organización y sus relaciones P S 4.1.5 Administrar las inversiones (en TI) P P 4.1.6 Comunicar la dirección y objetivos de la gerencia P 4.1.7 Administrar los recursos humanos P P 4.1.8 Evaluar riesgos S S 4.1.9 Administrar proyectos P P 4.1.10 Administrar calidad P P 4,2,1 Identificar soluciones de automatización P S 4,2,2 Adquirir y mantener software de aplicación P P S 4,2,3 Adquirir y mantener la arquitectura tecnológica P P S 4,2,4 Desarrollar y mantener procedimientos P P S 4,2,5 Instalar y acreditar sistemas de información P 4,2,6 Administrar cambios P P 4,3,1 Definir niveles de servicio P P 4,3,2 Administrar servicios de terceros P P 4,3,3 Administrar desempeño y capacidad P P S 4,3,4 Asegurar continuidad de servicio P S P 4,3,5 Garantizar la seguridad de sistemas 4,3,6 Identificar y asignar costos 4,3,7 Educar y capacitar a usuarios P 4,3,8 Apoyar y orientar a clientes P 4,3,9 Administrar la configuración P 4,3,10 Administrar problemas e incidentes P 4,3,11 Administrar la información P 4,3,12 Administrar las instalaciones P P 4,3,13 Administrar la operación P P S S Monitorear el proceso P S S S Monitoreo 4,4,1 S confiabilidad cumplimiento disponibilidad integridad confidencialidad Dominio Planeamiento y Organización Adquisición e Implementación Entrega y Soporte de Servicios eficiencia Requerimiento de la información efectividad Proceso S S S P P P S P S S S S S S S S P P S S S S S S S S S S S S P P S S P P S S P S S S P S S 70 Anexo III. Gráficos de los niveles de riesgo para los requerimientos de la información para cada uno de los treinta objetivos de control considerados y el promedio general. 71 72 73 74 75 76 77 78 79 ANEXO V: ANÁLISIS DE LA RESPUESTA A LA VISTA. 3.5. Naturaleza del sistema auditado: El sistema integrado denominado GIGA (Gestión Integral de Gobierno Automatizada) es un software del tipo Planeamiento de los Recursos Empresariales (ERP, Enterprise Resources Planning) que cubre la gestión de las áreas de Administración y Abastecimientos. Este tipo de sistemas por tener tanto la interfase de usuario como los datos y los circuitos administrativos integrados permite unificar el flujo de información y mejorar los procesos en las distintas áreas de la empresa. Los objetivos principales de los sistemas ERP son: -Optimizar los procesos empresariales. -Brindar acceso a información confiable, precisa y oportuna. -Brindar la posibilidad de que todos los componentes de la organización compartan información. -Eliminar datos y operaciones innecesarias. -Reducir tiempos, costos, errores y la posibilidad de fraudes. Un ERP es un sistema de información para la gestión de la organización que debe ser parametrizado. Esto implica definir las políticas con que se quiere utilizar el sistema, que dependerán de las necesidades de la empresa. Una importante ventaja de los ERP es que prácticamente todas sus funciones están interrelacionadas, cada operación realizada genera al final del circuito administrativo su asiento contable en forma automática, de modo que se pueden conocer los estados contables en tiempo real o a la fecha deseada, y, por ejemplo: las deudas de clientes y proveedores, ventas, compras efectivizadas o pendientes de recepción, entre otros. El proceso “ideal” sería que una vez definida la estrategia de la organización y sus circuitos administrativos, se asociaran a ellos los recursos tecnológicos necesarios para que todas las operaciones se ejecutasen dentro del ERP. Aunque en principio el hardware no es la parte más compleja de la implantación, podría suceder que si ha sido mal elegido o hubo errores en el diseño, su rendimiento global disminuya. Se ha de considerar que además de las personas, los procesos son los que definen la eficiencia y eficacia de la organización. Por ello, en el proyecto de implantación de ERP se deben redefinir los procesos para: -Adecuarlos al sistema -Mejorar su eficiencia y eficacia. Es necesario que todas las aplicaciones de la organización estén conectadas con el ERP para conseguir una gestión de la información eficaz, eficiente y confiable. Respuesta del organismo: En cuanto se incorporen Analistas Funcionales se procederá a revisar los procedimientos administrativos para adecuarlos al sistema o adecuar el sistema a las mejores prácticas para mejorar la eficiencia y eficacia. En el proyecto informático está contemplado el hecho de que todas las aplicaciones estén conectadas entre sí para lograr que todos los sistemas sean eficaces, eficientes y confiables. Comentario AGN: La respuesta del organismo confirma que es necesario revisar los procedimientos administrativos o adecuar el sistema para mejorar la eficacia y eficiencia. Si bien está contemplado en el proyecto informático que todas las aplicaciones estén conectadas entre sí, falta ponerlo en práctica. En consecuencia se mantiene lo informado. 3.5.1. Descripción de las funciones principales del GIGA 3.5.1.1. Abastecimiento 3.5.1.1.1. Compras: Registra las compras de bienes y servicios requeridas por las diversas áreas, desde que el sector requirente detecta la necesidad, hasta que el proveedor entrega el bien o presta el servicio y se obtiene la conformidad del solicitante. Abarca las transacciones relacionadas con: • Suministro de bienes almacenados disponibles en stock. • Compras de todo tipo de bien en cualquiera de sus modalidades. • Contratación directa. 81 • Contratación directa con invitación. • Licitación privada. • Licitación pública. • Contratación de servicios. 3.5.1.1.2. Stock: Permite el seguimiento de la gestión de todos los elementos físicos considerados como stock, almacenados en Deposito Central. Mantiene el registro desde que el bien ingresa a Almacenes y sus eventuales transferencias, hasta el momento en que es solicitado y enviado al sector requeriente. 3.5.2. Administración. 3.5.2.1. Cuentas a Pagar: Permite efectuar el seguimiento de los compromisos contraídos por AGP que concluyen con un egreso de fondos. Registra desde que se completa el ciclo de Compra con la emisión de su Orden de Compra, hasta la llegada de las facturas, su registro en el sistema y seguimiento de los vencimientos hasta la preparación de la documentación para efectuar el pago. Respuesta del organismo: El sector se denomina “Departamento Pago a Proveedores”. El segundo párrafo no se corresponde con el procedimiento. La factura del proveedor, conformada por el sector correspondiente, se ingresa en el sistema para generar la Orden de Pago. Comentario AGN: El sector denominado Pago a Proveedores es el que utiliza el módulo Cuentas a Pagar. En este acápite el presente informe describe la naturaleza del Sistema GIGA y no los procedimientos vigentes en el Organismo. Lo manifestado por el organismo coincide con lo expresado por esta Auditoría en lo referente a la generación de Orden de Pago. En consecuencia se mantiene lo informado. 3.5.2.2. Liquidaciones: Permite emitir la facturación de los servicios prestados a terceros por AGP y su posterior seguimiento hasta la cobranza definitiva o hasta que cada concepto facturado sea dado de baja por cualquier otro motivo (pasaje a mora, gestión judicial, incobrabilidad, etc.) 82 3.5.2.3. Tesorería: Permite realizar el seguimiento de las transacciones vinculadas con el ingreso y egreso de fondos. Desde la recepción de la documentación respaldatoria de los pagos y las cobranzas a efectuar, hasta la emisión y entrega del instrumento de pago, o la recepción de fondos y la entrega del recibo correspondiente. También efectúa el manejo de los fondos con posterioridad al pago o cobranza, incluyendo el depósito, la transferencia, adquisición de otros activos financieros y su seguimiento. 3.5.2.4. Patrimonio: Permite gestionar de la totalidad de los activos fijos de la AGP en sus diversos aspectos: ubicación física, tenencia, etc. Se registra desde el ingreso del bien al patrimonio con todos los eventos que se produzcan hasta el momento de la baja definitiva. Respuesta del organismo: En el sistema se registran los eventos. Comentario AGN: lo manifestado por el organismo coincide con lo expresado por esta Auditoría. En consecuencia se mantiene lo informado. 3.5.2.5. Contabilidad: Registra los movimientos contables correspondientes a la totalidad de las transacciones efectuadas, permitiendo consultar la información generada y emitiendo los informes necesarios para satisfacer requerimientos legales como los de análisis de la gestión. Comprende el proceso de traducción a nivel contable de todas las transacciones operativas, permitiendo el ingreso de ajustes manuales a los saldos contables por medio de asientos y la extracción de la información en distintos formatos. Respuesta del organismo: Los movimientos contables correspondientes a las transacciones efectuadas son realizados automáticamente por el sistema. Comentario AGN: lo manifestado por el organismo coincide con lo expresado por esta Auditoría. En consecuencia se mantiene lo informado. 3.5.2.6. Presupuesto: Permite la asignación anual del presupuesto para cada partida y efectuar el posterior seguimiento para comprobar su ejecución. 83 Registra desde la aprobación del Presupuesto Anual, cuando se lo carga, hasta cada una de las transacciones que lo afectan en sus diferentes etapas, concluyendo en el cierre anual. Respuesta del organismo: Las transacciones no se registran, sólo se verifican para su aprobación. Comentario AGN: las transacciones son efectivamente registradas en el sistema a efectos de llevar cuenta del estado del presupuesto en sus cuatro aspectos: presupuestado, comprometido, devengado y ejecutado. En consecuencia se mantiene lo informado. 3.5.3. Procedimientos del Sistema. 3.5.3.1. Procedimiento de Compras: Al realizar la apertura de la Solicitud del Gasto se define su concepto (partida presupuestaria afectada). Esta tarea la efectúa cada sector según sus necesidades. Se autoriza la solicitud accediendo por el sistema a la lista de transacciones pendientes donde se permite aprobarla o rechazarla. Este proceso está limitado a los usuarios con perfil de Jefe de Departamento. La solicitud se remite a la Gerencia Administrativa para afectar la partida presupuestaria que corresponda. Afecta el presupuesto Preventivo y lo realiza el usuario con perfil de Gerente Administrativo. Se inicia la Gestión de Compras. El sistema permite las opciones Compra Directa, Compra Directa con Invitación, Licitación Privada y Licitación Pública. El sistema, en forma automática, analiza y propone adjudicar por menor cotización. Los procesos de autorización solicitados por el sistema son realizados por el usuario con los perfiles de Gerente General y Jefe de Departamento de Abastecimiento. Se remite el expediente en formas electrónica y manual a la Gerencia Administrativa para confirmar o rechazar la imputación presupuestaria del Compromiso. Luego de confirmado el compromiso se emite la Orden de Compra. Almacenes realiza la recepción de la mercadería ingresando los datos del remito en el sistema, valida las cantidades solicitadas con las recibidas, y actualiza el stock. 84 Los remitos recibidos en Almacenes habilitan la recepción de la factura del proveedor y su ingreso en el sistema, estos datos permiten confeccionar la orden de pago al proveedor. La emisión de la orden de pago genera en forma automática la imputación presupuestaria a pagar (devengado) y el asiento contable correspondiente. Por cada pago realizado se emite un Recibo de Pago donde se detalla los instrumentos de pago utilizados. El sistema permite la emisión de cheques y realiza la imputación presupuestaria de lo pagado en forma automática. Respuesta del organismo: Cuando se realiza la Solicitud del Gasto se selecciona el bien o servicio que se requiere. La partida presupuestaria que se afecta la define el responsable de la tabla de bienes y servicios. No es una regla que el que autoriza la Solicitud del Gasto sea un Jefe de Departamento. La afectación preventiva de una Solicitud del Gasto la revisa el Departamento Presupuesto, si todo está bien la pone en curso y luego el Gerente Administrativo la autoriza. Depósito Central realiza la recepción de la mercadería de la Solicitud del Gasto cuyo destinatario es el propio Depósito Central. Comentario AGN: El procedimiento descripto es el que está implícito en el Sistema Giga y no pretende describir los procedimientos internos de la AGP. En consecuencia se mantiene lo informado. 3.5.3.2. Procedimiento de Liquidaciones: El sector de Liquidaciones realiza la confección y generación de todas las facturas que emite la Administración General de Puertos. Las facturas corresponden a distintos servicios por los cuales recibe ingresos, estos servicios consisten en la liquidación de: • Tasas de Cargas. • Importación. • Pasavantes. • Patentes de Buques. • Arrendamientos. • Servicios Ferroviarios. • Servicios Administrativos. 85 • Prestaciones Tácitas. • Tasa a Terminales Portuarias. • Tasas a Pasajeros y Vehículos. • Suministro de Energía Eléctrica. • Reliquidación de Servicios Sanitarios. • Multas. • Averías. • Embarques de Cereales y Elevadores – Exportación. Respuesta del Organismo: Sin observaciones. En consecuencia se mantiene lo informado. 4. Comentarios y observaciones Se exponen a continuación las principales observaciones y comentarios surgidos del trabajo llevado a cabo por esta Auditoría. Para cada una de las observaciones se incluyen el nivel de madurez, conforme al Modelo de Madurez de la Capacidad de la Universidad Carnegie Melon enunciado más abajo, y las recomendaciones tendientes a mejorar el ambiente de control y reducir los riesgos identificados. Niveles del Modelo Genérico de Madurez: 0 – No conforma. Falta total de procesos reconocibles. La organización incluso no reconoce que existe un tema a ser tenido en cuenta. 1 – Inicial / Ad Hoc. Hay evidencia de que la organización reconoce la existencia del tema y la necesidad de atenderlo. Sin embargo, no existen procesos estandarizados y en lugar de ellos existen aproximaciones ad hoc que se aplican sobre una base individual o caso por caso. La administración aparece como desorganizada. 2 – Repetible aunque Informal. Los procesos han evolucionado hasta la etapa en la cual procedimientos similares son ejecutados por distintas personas que desarrollan las mismas tareas. No hay entrenamiento formal ni comunicación de procedimientos estándar y la responsabilidad es librada a cada individuo. Hay un alto grado de confianza en el conocimiento de los individuos y es probable que haya errores. 86 3 – Proceso Definido. Los procedimientos han sido estandarizados, documentados y comunicados vía entrenamiento. Sin embargo, es responsabilidad de los individuos cumplir con estos procesos y es improbable que se detecten las desviaciones. Los procedimientos en sí mismos no son sofisticados pero son la formalización de prácticas existentes. 4 - Administrado. Es posible monitorear y medir el cumplimiento de los procedimientos e intervenir cuando los procesos parecen no estar funcionando adecuadamente. Los procesos están siendo mejorados constantemente y proveen una práctica correcta. El uso de herramientas y de automatización es limitado o fragmentario. 5 - Optimizado. Los procesos han sido corregidos hasta el nivel de la mejor práctica, basado en los resultados de la mejora continua y de la movilización con otras organizaciones. La Tecnología de la Información es usada de forma integrada para automatizar el flujo de trabajo, proveer herramientas para mejorar la calidad y la eficacia y hacer que la organización se adapte rápidamente a los cambios. Además, para cada uno de los objetivos de control se indica cuáles de los requerimientos de la información, detallados a continuación, son afectados: Eficacia: La información debe ser relevante y pertinente para la misión del ente, y su entrega, oportuna, correcta, consistente y utilizable. Eficiencia: La información debe suministrarse mediante la utilización óptima (más productiva y económica) de recursos. Confidencialidad: La información sensible debe ser protegida contra divulgación no autorizada. Integridad: La información debe ser precisa y suficiente, y válida, de acuerdo con los valores y expectativas del organismo. Disponibilidad: La información debe estar disponible cuando se la requiera por las misiones del organismo ahora y en el futuro. Se deben salvaguardar los recursos necesarios y capacidades asociadas. Cumplimiento: El organismos debe cumplir las leyes, regulaciones y acuerdos contractuales a los que está sujeto. 87 Confiabilidad: La información que se requiere para que la administración opere la entidad y cumpla sus responsabilidades de generar reportes financieros y de cumplimiento, debe ser confiable. A efectos de determinar el impacto de las observaciones detectadas, se clasificó las de acuerdo con el nivel de riesgo. Los niveles asignados son Alto, Medio y Bajo.4.1. Planificación y organización. 4.1.1. Definición de un Plan Estratégico de Tecnología de la Información. Objetivo de control: La máxima autoridad debe impulsar el proceso periódico de planificación estratégica que permita formular los planes a largo plazo. A su vez, estos planes deben traducirse oportunamente en planes operativos que definan metas claras y concretas a corto plazo. Este objetivo de control afecta a los siguientes requerimientos de la información necesaria para cumplir las misiones del organismo, primariamente: • la eficacia y en forma secundaria: • la eficiencia. Nivel de madurez: No Conforma. No se realiza una planificación estratégica formal. Las autoridades del organismo no han llevado acabo una planificación estratégica de la Tecnología Informática que respalde sus metas, programas, proyectos o actividades. Observaciones: El nivel de organización del Organismo es débil y la alta frecuencia de rotación de sus máximas autoridades dificulta la superación del problema. No hubo en los últimos años un plan estratégico de la Empresa. No se conoce la existencia de un área de planeamiento ni de un comité de planificación de Tecnología Informática. Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Respuesta del Organismo: Sin observaciones. En consecuencia se mantiene la observación. 4.1.2. Definición de la Arquitectura de la Información. Objetivo de control: La información debe mantenerse acorde con las necesidades y debe ser identificada, recopilada y comunicada en forma y tiempo tales que permitan a las personas 88 cumplir sus responsabilidades de manera eficiente y oportuna. Se debe crear y mantener un modelo de arquitectura de la información que incluya el modelo de datos del organismo y los sistemas de información relacionados. Este objetivo de control afecta a los siguientes requerimientos de la información necesaria para cumplir las misiones del organismo, primariamente: • la eficacia y en forma secundaria: • la eficiencia • la confidencialidad • la integridad Nivel de madurez: No Conforma. No se toma conciencia de la importancia que reviste la arquitectura de la información. El conocimiento, la pericia y las responsabilidades necesarias para desarrollar esta arquitectura no existen en el organismo. Observaciones: No existe un modelo de la arquitectura de la información. El proveedor del sistema GIGA entregó en su momento un diccionario de datos con el estado del Sistema antes de su adaptación a las necesidades de la Administración, pero no se lo ha actualizado. Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Respuesta del organismo: Si bien es cierto que no existe un modelo de la arquitectura de información, esto se debe a que luego de la transformación de la empresa la Subgerencia quedó sin personal y con una estructura de sistemas totalmente desconectados entre sí. A partir de 1999 las autoridades de la empresa tomaron conciencia del problema y se empezó, con los medios disponibles, a planificar en cuanto a la incorporación de sistemas con el objeto de culminar con una integración total de los mismos. De esta forma se comenzó con la incorporación del ERP GIGA. Es cierto que no está actualizado el Diccionario de Datos, hecho que será solucionado en el transcurso del mes entrante. No se comparte lo expresado en “Nivel de Madurez” en cuanto a que no se toma conciencia de importancia que reviste la Arquitectura de la Información. 89 Cuando se cuente con los recursos humanos correspondientes, hecho que se está tratando de solucionar a través de convenios de asistencia técnica con universidades, se trabajará en la incorporación de nuevos sistemas y procedimientos acordes a los mismos. Comentario AGN: La respuesta del organismo confirma que no existe un modelo de la arquitectura de la información. En consecuencia se mantiene la observación. 4.1.3. Determinación de la Dirección Tecnológica. Objetivo de control: La función de servicios de información debe crear y mantener un plan de infraestructura tecnológica que fije y administre expectativas claras y realistas de lo que la tecnología puede ofrecer en términos de productos, servicios y mecanismos de entrega. Este objetivo de control afecta a los siguientes requerimientos de la información necesaria para cumplir las misiones del organismo, primariamente: • la eficacia y en forma secundaria: • la eficiencia Nivel de madurez: No Conforma. No se toma conciencia de la importancia que la planificación de infraestructura tecnológica reviste para el organismo. No se alcanza el conocimiento y la pericia requeridos para desarrollar esa infraestructura. No se considera que la planificación para el cambio tecnológico sea crítica para la asignación eficaz de los recursos. Observaciones: No se conoce la existencia de procesos formales para crear y actualizar periódicamente el plan de infraestructura tecnológica ni para evaluar su estado. Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Respuesta del organismo: Vale lo opinado en el punto anterior. Indudablemente que los recursos son fundamentales para la planificación. Comentario AGN: La respuesta del organismo confirma que no existe procesos formales para crear y actualizar periódicamente el plan de infraestructura tecnológica ni para evaluar su estado En consecuencia se mantiene la observación. 90 4.1.4. Definición de la organización y las Relaciones de Tecnología de la Información. Objetivo de control: La máxima autoridad debe establecer una estructura organizativa adecuada en términos de cantidad e idoneidad del personal, con roles y responsabilidades definidos y comunicados, alineada con la misión del organismo y que facilite la estrategia y brinde una dirección eficaz y un control adecuado. Este objetivo de control afecta a los siguientes requerimientos de la información necesaria para cumplir las misiones del organismo, primariamente: • la eficacia y en forma secundaria: • la eficiencia Nivel de madurez: No conforma. La estructura organizativa del organismo no está debidamente establecida para concretar el logro de sus objetivos. Observaciones: Al no estar aprobada la planificación estratégica, no están oficialmente establecidos los objetivos de detalle de la Administración, por lo que no se pueden adecuar los servicios de tecnología de la información a sus necesidades. La dotación del área de Sistemas es reducida para el volumen de tareas que debería realizar el sector si asumiera la problemática de todo el organismo. Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Respuesta del Organismo: Sin observaciones. Comentario AGN: En consecuencia se mantiene la observación. 4.1.5. Administración de la Inversión en Tecnología de Información. Objetivo de control: La máxima autoridad debe definir un presupuesto anual operativo y de inversión, establecido y aprobado por el organismo. Este objetivo de control afecta a los siguientes requerimientos de la información, primariamente: • la eficacia • la eficiencia y en forma secundaria: • la confiabilidad 91 Nivel de madurez: No Conforma. No se ha tomado conciencia de la importancia de la selección y presupuestación de las inversiones en tecnología de la información. No se hace un seguimiento o monitoreo de las inversiones ni de los gastos en esta materia. Observaciones: No se conoce la existencia de políticas y procedimientos formales para la preparación del presupuesto operativo anual, ni para monitorear los costos reales y compararlos con los proyectados, ni para su justificación económica. No existe un sistema de imputación de costos. Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Respuesta del organismo: Al no existir un Plan Maestro (fue aprobado por Resolución 36-2005 del 24 de junio de 2005) y el correspondiente plan estratégico, el presupuesto anual de la Subgerencia de Organización y Sistemas se preparó teniendo en cuenta las necesidades más urgentes y considerando que el problema de falta de personal se solucionaba en el período. Comentario AGN: La respuesta del organismo confirma que a la fecha del informe no existían políticas y procedimientos formales para la preparación del presupuesto operativo anual, ni para monitorear los costos reales y compararlos con los proyectados, ni para su justificación económica. No existe un sistema de imputación de costos. La nueva situación será analizada en una futura auditoría. En consecuencia se mantiene la observación. 4.1.6. Comunicación de los Objetivos y Directivas de la Gerencia. Objetivo de control: La máxima autoridad debe impulsar la definición de políticas y su comunicación a la comunidad de usuarios. Además, es preciso que se establezcan normas que traduzcan las opciones estratégicas en reglas prácticas y útiles. Este objetivo de control afecta a los siguientes requerimientos de la información necesaria para cumplir las misiones del organismo, primariamente: • la eficacia y en forma secundaria: • el cumplimiento 92 Nivel de madurez: No Conforma. La máxima autoridad del organismo no ha establecido un ambiente positivo de control de la información. No hay reconocimiento de la necesidad de establecer un conjunto de procesos, políticas, procedimientos y normas, y de garantizar su cumplimiento. Observaciones: No se conoce la existencia de políticas y procedimientos formales ni un programa de concientización que generen un ambiente de control positivo. No se conoce la existencia de políticas y procedimientos formales que garanticen la asignación de recursos en forma adecuada. No existe el documento marco de seguridad informática ni políticas formales al respecto. Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Respuesta del Organismo: Sin observaciones. Comentario AGN: En consecuencia se mantiene la observación. 4.1.7. Administración de los Recursos Humanos. Objetivo de control: La máxima autoridad debe implementar prácticas sólidas, justas y transparentes de administración de personal en cuanto a selección, alineación, verificación de antecedentes, remuneración, capacitación, evaluación, promoción y despido. Este objetivo de control afecta a los siguientes requerimientos de la información necesaria para cumplir las misiones del organismo, primariamente: • la eficacia • la eficiencia Nivel de madurez: No Conforma. No se ha tomado conciencia de la importancia de alinear la administración de los recursos humanos de tecnología de la información con el proceso de planificación de tecnología para el organismo. No hay ninguna persona o grupo formalmente responsable de la administración de recursos humanos de tecnología de la información. Observaciones: No se conoce la existencia de programas referentes a la educación y la concientización general en problemas de seguridad de la información. No se cuenta con personal suficientemente idóneo para las tareas a realizar. No existen procesos formales de seguridad para altas, bajas y modificaciones de accesos por usuario. Existen usuarios en la red que ya no pertenecen a la Empresa. En la Subgerencia de Sistemas, la falta de personal 93 capacitado es manifiesta e impide transferir la tecnología del sistema GIGA del proveedor a la Administración. Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Respuesta del Organismo: Sin observaciones. Comentario AGN: En consecuencia se mantiene la observación. 4.1.8. Evaluación de Riesgos. Objetivo de control: La máxima autoridad debe definir un proceso por el cual el organismo se ocupe de identificar los riesgos de Tecnología de la Información y analizar su impacto, involucrando funciones multidisciplinarias y adoptando medidas eficaces en función de costos a fin de mitigarlos. Este objetivo de control afecta a los siguientes requerimientos de la información necesaria para cumplir las misiones del organismo, primariamente: • la confidencialidad • la integridad • la disponibilidad y en forma secundaria: • la eficacia • la eficiencia • el cumplimiento • la confiabilidad Nivel de madurez: No Conforma. No se realiza una evaluación de riesgos para los procesos y las decisiones de actividades sustantivas. No se consideran los puntos vulnerables de la seguridad ni las incertidumbres de los proyectos de desarrollo. La administración de riesgos no se consideró relevante en la adquisición de soluciones de Tecnología de la Información y la prestación de servicios de Tecnología de la Información. Observaciones: De la información recibida se concluye que no existen políticas y procedimientos formales para evaluar el riesgo tecnológico. Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo 94 Respuesta del organismo: Informalmente se presentó el proyecto de estructura de la Subgerencia de Organización y Sistemas en el que se contempla el Departamento de Seguridad Informática. La mencionada estructura no está aprobada ni hay personal para cubrir los cargos del citado Departamento. Comentario AGN: La respuesta del organismo confirma que no existen políticas y procedimientos formales para evaluar el riesgo tecnológico. En consecuencia se mantiene la observación. 4.1.9. Administración de Proyectos. Objetivo de control: La máxima autoridad debe establecer un proceso por el cual el organismo identifique y establezca las respectivas prioridades de los proyectos en concordancia con el plan operativo. El organismo debe adoptar y aplicar técnicas bien concebidas de administración de proyectos para cada uno que se inicie. Este objetivo de control afecta a los siguientes requerimientos de la información necesaria para cumplir las misiones del organismo, primariamente: • la eficacia • la eficiencia Nivel de madurez: Inicial / Ad Hoc. El organismo tiene una noción de la necesidad de estructurar los proyectos y conoce los riesgos que implican los proyectos mal administrados. El uso de técnicas y enfoques de administración de proyectos es una decisión que queda a criterio del gerente. En general, los proyectos están mal definidos y no incorporan los objetivos técnicos ni los de la actividad del organismo o de las partes interesadas. Hay una falta generalizada de compromiso de la dirección. La asignación de responsables de los proyectos y las decisiones críticas se toman sin tener en cuenta los aportes de la gerencia usuaria o de los usuarios. La participación de los clientes y usuarios en la definición de proyectos es escasa o nula. No hay una buena definición de los cronogramas y plazos de los proyectos. El tiempo y los gastos del personal asignado al proyecto no se rastrean ni cotejan con los presupuestos. Observaciones: No se conoce la existencia de un marco formal de administración de proyectos. En el caso particular del sistema GIGA, se nombraron responsables de la ejecución 95 del proyecto de implantación. Existió una planificación que no se cumplió en la práctica en lo referente a plazos (23 meses contra los 6 previstos) y a control de calidad (las pruebas de aprobación no fueron completas). Algunos usuarios no están conformes con las prestaciones del sistema. Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Respuesta del organismo: En cuanto a que algunos usuarios no están conformes con las prestaciones del sistema esta Subgerencia no ha recibido ninguna comunicación al respecto. Si no indica la Auditoría General de la Nación se deberá efectuar un relevamiento para determinarlo. Comentario AGN: en las entrevistas mantenidas con personal de la Gerencia Administrativa esta auditoria recibió criticas con respecto a la confiabilidad del sistema y a su velocidad de procesamiento. En consecuencia se mantiene la observación. 4.1.10. Administración de la Calidad. Objetivo de control: La alta gerencia debe desarrollar la planificación, implementación y el mantenimiento de normas y sistemas de administración de calidad del organismo, que proporcionen distintas fases de desarrollo, prestaciones claves y responsabilidades explícitas. Este objetivo de control afecta a los siguientes requerimientos de la información necesaria para cumplir las misiones del organismo, primariamente: • la eficacia • la eficiencia • la integridad y en forma secundaria: • la confiabilidad Nivel de madurez: No Conforma. El organismo carece de un proceso de planificación de garantía de calidad y de una metodología de ciclo de vida de desarrollo de sistemas. La alta gerencia y el personal de Tecnología de la Información no reconocen la necesidad de un programa de calidad. No se verifica la calidad de los proyectos y las operaciones. 96 Observaciones: La alta gerencia y el personal de Tecnología no establecen un programa de control de calidad y éste no se verifica en los proyectos y las operaciones. No se aplica la metodología de ciclo de vida, no se planifican los proyectos de desarrollo de sistemas ni hay un sistema formal para su seguimiento. Se han observado datos erróneos almacenados en las bases principales que Nivel de riesgo: los sistemas [X] Alto de aplicación [ ] Medio no deberían admitir. [ ] Bajo Respuesta del organismo: Tener en cuenta la opinión vertida como respuesta al punto 4.1.2. Al final de las observaciones se indica que “se han observado datos erróneos almacenados en las bases principales”. Esta situación tiene relación directa con la importación de datos realizada en oportunidad de la implementación del Sistema GIGA. En este momento se tuvo que levantar algún control interno (por ejemplo número de documento unívoco) para realizar la tarea mencionada. Se había consensuado que se revisarían los datos con el objeto de solucionar el problema. Comentario AGN: La respuesta del organismo reconoce la inexistencia de un programa de control de calidad y de planificación de proyectos de desarrollo y confirma la existencia de datos erróneos almacenados en las bases principales luego de varios años de realizada la implementación del Sistema GIGA. Estos problemas son la causa del malestar y la desconfianza que existe en el Organismo hacia el aplicativo y de su escasa utilidad y su solución esta incluida en las recomendaciones y conclusiones del informe. En consecuencia se mantiene la observación. 4.2. Administración e implementación. 4.2.1. Identificación de Soluciones Automatizadas Objetivo de control: La máxima autoridad debe garantizar una identificación y un análisis claro y objetivo de las alternativas, medidas en comparación con los requerimientos del usuario. Este objetivo de control afecta a los siguientes requerimientos de la información necesaria para cumplir las misiones del organismo, primariamente: • la eficacia y en forma secundaria: 97 • la eficiencia Nivel de madurez: No Conforma. El organismo no exige la identificación de requerimientos funcionales y operativos para el desarrollo, la implementación o modificación de las soluciones de sistemas, servicio, infraestructura, software y datos. El organismo no se mantiene informado de las soluciones tecnológicas disponibles y eventualmente relevantes para su actividad. Observaciones: De la información recibida surge que: • No se han documentado criterios para la consideración de las opciones de desarrollo interno, de terceros y soluciones compradas. • No existe un método general de adquisición e implementación ni una metodología de ciclo de vida de desarrollo de sistemas claros y aceptados. • No existe un proceso transparente, ágil y eficiente para la planificación, iniciación y aprobación de soluciones. • No se implementó un proceso estructurado de análisis de requerimientos. • No existen procedimientos formales para evaluar los requerimientos de seguridad y control desde el principio de los desarrollos. Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Respuesta del organismo: Tener en cuenta la opinión vertida como respuesta al punto 4.1.2. Comentario AGN: La respuesta del organismo confirma que no se han documentado criterios para considerar distintas opciones de desarrollo; no existe un método general de adquisición e implementación ni una metodología de ciclo de vida de desarrollo de sistemas claros y aceptados; no existe un proceso transparente, ágil y eficiente para la planificación, iniciación y aprobación de soluciones; no se implementó un proceso estructurado de análisis de requerimientos; no existen procedimientos formales para evaluar los requerimientos de seguridad y control desde el principio de los desarrollos. En consecuencia se mantiene la observación. 4.2.2. Adquisición y Mantenimiento del Software de Aplicación 98 Objetivo de control: La adquisición y mantenimiento del software de aplicación debe realizarse definiendo específicamente los requerimientos funcionales y operativos, e implementando por etapas con prestaciones claras. Este objetivo de control afecta a los siguientes requerimientos de la información necesaria para cumplir las misiones del organismo, primariamente: • la eficacia • la eficiencia y en forma secundaria: • la integridad • el cumplimiento • la confiabilidad Nivel de madurez: No conforma. No hay un proceso para diseñar y especificar aplicaciones. En general, las aplicaciones se obtienen sobre la base de ofrecimientos de los proveedores, reconocimiento de la marca o familiaridad del personal de Tecnología de la Información con productos específicos, mientras que los requerimientos reales prácticamente no se tienen en cuenta. Observaciones: De la información recibida no surge la existencia de una metodología formal de adquisición, diseño, desarrollo e implementación aceptada, entendida y aplicada. Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Respuesta del organismo: Tener en cuenta la opinión vertida como respuesta al punto 4.1.2. Existe una “Metodología para la construcción de Software”, la misma no está formalizada y debe ser revisada. No es cierto que las aplicaciones se obtienen sobre la base de ofrecimiento de los proveedores, reconocimiento de la marca o familiaridad del personal de Tecnología de la Información con productos específicos y que los requerimientos reales prácticamente no se tienen en cuenta. La metodología utilizada para la adquisición de software es la siguiente: • Detectada la necesidad se efectúa un relevamiento de los requerimientos funcionales a nivel de títulos. 99 • Se confecciona el pliego de bases y condiciones particulares en el que se fijan las etapas del desarrollo, las mismas son: Relevamiento Análisis Desarrollo Implementación Comentario AGN: La respuesta del organismo confirma que no existe una metodología formal de adquisición, diseño, desarrollo e implementación aceptada, entendida y aplicada En consecuencia se mantiene la observación. 4.2.3. Adquisición y Mantenimiento de la Infraestructura Tecnológica Objetivo de control: La gerencia de la función de servicios de información debe impulsar la adquisición criteriosa del software y el hardware, la estandarización del software, la evaluación de los rendimientos, y la administración coherente de sistemas. Este objetivo de control afecta a los siguientes requerimientos de la información necesaria para cumplir las misiones del organismo, primariamente: • la eficacia • la eficiencia y en forma secundaria: • la integridad Nivel de madurez: No Conforma. No se conoce la existencia de un plan de adquisición de infraestructura tecnológica que permita mantener criteriosamente actualizados el hardware y el software del organismo. Observaciones: No existen políticas y procedimientos formales que aseguren la preparación de un plan de evaluación del hardware y el software nuevos a fin de determinar su eventual impacto sobre el rendimiento general. La alta gerencia no ha definido una estrategia de arquitectura de Tecnología de la Información y los requerimientos relacionados. No se cuenta con un inventario actualizado de la infraestructura de Tecnología de la Información (hardware y software). El inventario de hardware que se ha recibido no permite 100 evaluar adecuadamente el estado de la infraestructura tecnológica, a pesar de lo cual se pudo inferir que el equipamiento disponible es incompleto. De la información obtenida no surge que se hayan definido políticas para: • Evaluar adecuadamente las opciones de desarrollo interno, por terceros y por infraestructuras externas. • Manejar los casos en los que se depende de un proveedor de única fuente. • La administración de cambios. • El uso de una metodología de ciclo de vida bien definida para seleccionar, adquirir, mantener y quitar componentes de la infraestructura de Tecnología de la Información. • Fundamentar las adquisiciones en los requerimientos de desempeño y capacidad mediante la integración con procesos de administración de los mismos. Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Respuesta del organismo: Tener en cuenta la opinión vertida como respuesta al punto 4.1.2. No se entiende cómo se llegó a la conclusión de que el equipamiento disponible es incompleto. El inventario de hardware posee toda la información necesaria para evaluar adecuadamente el estado de la infraestructura tecnológica. Comentario AGN: La respuesta del organismo confirma que no existen políticas y procedimientos formales que aseguren la preparación de un plan de evaluación del hardware y el software nuevos a fin de determinar su eventual impacto sobre el rendimiento general. La falta de espacio de almacenamiento disponible en los discos magnéticos del sistema de producción, la puesta fuera de línea del sistema por haber salido de servicio un medio de almacenamiento (Fines del 2004) y el haber procesado por un período de tiempo con discos suministrados por el proveedor del sistema GIGA, hacen concluir que el equipamiento disponible es incompleto. El inventario de hardware recibido es inespecífico (Ver el comentario AGN del punto 4.3.9. Administración de la Configuración). En consecuencia se mantiene la observación. 4.2.4. Desarrollo y Mantenimiento de Procedimientos 101 Objetivo de control: Se debe aplicar un enfoque estructurado para el desarrollo de procedimiento del usuario y de operaciones, requerimientos de servicios y materiales de capacitación. Este objetivo de control afecta a los siguientes requerimientos de la información necesaria para cumplir las misiones del organismo, primariamente: • la eficacia • la eficiencia y en forma secundaria: • la integridad • el cumplimiento • la confiabilidad Nivel de madurez: No Conforma. No hay un proceso para producir documentación del usuario, manuales de operaciones y material de capacitación. Los únicos materiales son los que vienen con los productos comprados. Observaciones: De la información recibida no surge que: • Existan acuerdos de nivel de servicio, con vínculos con las normas de documentación. • Se mantengan inventarios de programas y procedimientos del organismo ni de Tecnología de la Información utilizando herramientas automatizadas. • El proceso de desarrollo asegure el uso de procedimientos operativos estándares y una apariencia estándar de las interfaces de usuario. • La capacitación del usuario en la utilización de los procedimientos esté integrada con los planes de capacitación del organismo y de Tecnología de la Información. • Exista un marco estándar, definido y monitoreado, para documentar y redactar los procedimientos. • Para desarrollar, distribuir y mantener procedimientos se empleen técnicas de administración del conocimiento, de flujo de trabajo ni herramientas automatizadas. • La infraestructura y estructura organizativa estén diseñadas para promover y compartir la documentación del usuario, los procedimientos técnicos y el material de capacitación entre los instructores, la mesa de ayuda y los grupos de usuarios. 102 Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Respuesta del organismo: Tener en cuenta la opinión vertida como respuesta al punto 4.1.2. La Subgerencia de Organización y Sistemas no cuenta con Analistas Funcionales. Comentario AGN: La respuesta del organismo confirma lo observado. En consecuencia se mantiene la observación. 4.2.5. - Instalación y acreditación de aplicativos. Objetivo de control: La implementación de nuevos sistemas debe realizarse por medio de un plan bien formalizado de instalación, migración, conversión y aceptación. Este objetivo de control afecta a los siguientes requerimientos de la información necesaria para cumplir las misiones del organismo, primariamente: • la eficacia y en forma secundaria: • la integridad • la disponibilidad Nivel de madurez: No Conforma. No hay ningún proceso formal de instalación y acreditación. La alta gerencia o el personal de Tecnología de la Información reconocen parcialmente la necesidad de verificar que las soluciones sean adecuadas para la finalidad prevista. Observaciones: No existe una metodología formal del ciclo de vida del desarrollo de sistemas para la instalación y acreditación de sistemas que incluya, entre otros, un enfoque en fases de: capacitación, cuantificación del desempeño, plan de conversión, pruebas de programas, un plan de pruebas paralelas o prototipo, pruebas de aceptación, pruebas de seguridad y acreditación, pruebas de funcionamiento, controles de cambios; implementación, y revisión y modificación posteriores a la implementación. No se usan adecuadamente las bibliotecas de desarrollo, prueba y producción para los sistemas en proceso. En el caso del Sistema GIGA los cambios se realizan mayoritariamente en forma directa en el ambiente de producción. El programa de capacitación de usuarios del sistema GIGA no contempló las diferencias respecto del sistema anterior, los cambios que afectan a la entrada, el procesamiento, la programación, la distribución, las interfaces con otros sistemas, los errores 103 y su resolución. Algunos usuarios no están satisfechos con la capacitación recibida. El desempeño del sistema GIGA se encuentra por debajo del óptimo y el problema no se soluciona debido a la insuficiencia de infraestructura tecnológica y de personal. Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Respuesta del organismo: No es cierto que los cambios se realizan en forma directa en el ambiente de producción. Hay un servidor de pruebas, el utilizado por la Auditoría General de la Nación para esta auditoría, en el que se realizan los testeos de los cambios y luego de la aprobación del usuario se pone en producción. No obstante, la conformidad al momento de recibir la capacitación, es posible que algunos usuarios requieran una recapacitación o, como el caso de la Gerencia de Abastecimiento, que cuando se capacitó no estuvieron contemplados por pertenecer a otros sectores no recibieron capacitación. Se solicitó un presupuesto para la capacitación de dicha Gerencia y no fue aceptado. El desempeño del sistema GIGA se encuentra por debajo del óptimo debido a la necesidad de realizar el “Tunning de la Base de Datos”, el mismo no se realiza debido a la falta de capacitación y personal de Administración de Bases de Datos. También existían problemas con los enlaces los que ya fueron solucionados con la ampliación del ancho de banda de los mismos. Comentario AGN: El personal de esta auditoria presenció y tomó nota durante los trabajos de campo de modificaciones de parámetros del sistema y de datos transaccionales realizados en forma directa en el servidor de producción del sistema GIGA. En particular en fojas 33 el auditado informa que se realizan cambios en los datos directamente en el sistema de producción, sin utilizar funciones del programa. En consecuencia se mantiene la observación. 4.2.6. Administración de Cambios Objetivo de control: Se debe poner en marcha un sistema de administración de cambios que permita analizar, implementar y seguir todas las modificaciones solicitadas y realizadas en la infraestructura de Tecnología de la Información existente. 104 Este objetivo de control afecta a los siguientes requerimientos de la información necesaria para cumplir las misiones del organismo, primariamente: • la eficacia • la eficiencia • la integridad • la disponibilidad y en forma secundaria: • la confiabilidad Nivel de madurez: No Conforma. No hay un proceso de administración de cambios definido y es posible introducir cambios casi sin control alguno. No se ha tomado conciencia de que el cambio puede ser perturbador tanto para las operaciones de Tecnología de la Información como para las actividades del organismo y no se toma conciencia de los beneficios de una buena administración de cambios. Observaciones: Del análisis de la información recibida surge que: • No existen políticas de cambio claras y conocidas que se implementen en forma rigurosa y sistemática. • La administración de cambios no está integrada con la administración de las versiones de software ni forma parte de la administración de la configuración. • No existe un proceso rápido y eficiente de planificación, aprobación e iniciación para identificar, categorizar, evaluar impactos y establecer prioridades para los cambios. • No se cuenta con herramientas de proceso automatizadas para respaldar la definición de flujo de trabajo, planes de trabajo normados, plantillas de aprobación, pruebas, configuración y distribución. • No hay un proceso formal definido para la transición del ambiente de desarrollo al de operaciones. • No se analiza si los cambios tienen impacto en los requisitos de capacidad y desempeño. • No se dispone de documentación de aplicaciones y configuración completa y actualizada. • No existe registro completo de los cambios al sistema GIGA solicitados ni de los efectuados. 105 • La documentación del sistema GIGA no se modificó pese a los cambios que viene sufriendo. Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Respuesta del organismo: Si bien no es completo, existe un registro de los cambios al sistema GIGA solicitados y efectuados. Desde mediados de noviembre de 2004 no se realiza ningún cambio en el sistema si no existe una solicitud formal para realizarlo. El 15 de agosto se requirió al proveedor la actualización de la documentación. El mismo se comprometió a entregarla para fines de octubre. Comentario AGN: No existía a la fecha de los trabajos de campo un registro de los cambios pendientes al Sistema GIGA en la fecha de los trabajos de auditoría. Pese a haberlo solicitado no se recibió, por lo que se lo dio como no existente. Se verificará la afirmación en una futura auditoría. En consecuencia se mantiene la observación. 4.3. Entrega y Soporte. 4.3.1. Definición y Administración de los Niveles de Servicio. Objetivo de control: La máxima autoridad debe definir un marco dentro del cual promueva acuerdos de nivel de servicio que formalicen los criterios de desempeño en virtud de los cuales se medirá su cantidad y calidad. Este objetivo de control afecta a los siguientes requerimientos de la información necesaria para cumplir las misiones del organismo, primariamente: • la eficacia • la eficiencia y en forma secundaria: • la confidencialidad • la integridad • la disponibilidad • el cumplimiento • la confiabilidad 106 Nivel de madurez: No Conforma. La gerencia no ha reconocido la necesidad de la definición de niveles de servicio ni de un proceso para tal fin. Observaciones: De las reuniones mantenidas y de la documentación recibida surge que no se definen niveles de servicio y no existen políticas al respecto. Nivel de riesgo: [ ] Alto [X] Medio [ ] Bajo Respuesta del organismo: sin observaciones. Comentario AGN: se mantiene la observación. 4.3.2. Administración de Servicios Prestados por Terceros. Objetivo de control: La máxima autoridad debe implementar medidas de control orientadas revisar y monitorear los contratos y procedimientos existentes para garantizar su eficacia y el cumplimiento de la política del organismo. Este objetivo de control afecta a los siguientes requerimientos de la información necesaria para cumplir las misiones del organismo, primariamente: • la eficacia • la eficiencia y en forma secundaria: • la confidencialidad • la integridad • la disponibilidad • el cumplimiento • la confiabilidad Nivel de madurez: No Conforma. Las responsabilidades y la rendición de cuentas no están definidas. No hay políticas y procedimientos formales para la contratación de terceros. Los servicios de terceros no son aprobados ni revisados por la dirección. No hay actividades de medición ni informes de los proveedores y en consecuencia la alta gerencia no está al tanto de la calidad del servicio prestado. Observaciones: De la información recibida surge que los contratos de algunos servicios que se le prestan al Organismo ya no están vigentes. En el caso de la administración del sistema 107 GIGA, los servicios los prestan terceros cuyo contrato ha vencido, y son pagados con la figura de “legítimo abono”. Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Respuesta del organismo: sin observaciones. Comentario AGN: se mantiene la observación. 4.3.3. Administración de la Capacidad y el Desempeño. Objetivo de control: Se debe implementar un proceso de administración orientado a recopilar datos, analizar y generar informes sobre el desempeño de los recursos de Tecnología de la Información, la dimensión de los sistemas de aplicación y la demanda de cargas de trabajo. Este objetivo de control afecta a los siguientes requerimientos de la información necesaria para cumplir las misiones del organismo, primariamente: • la eficacia • la eficiencia y en forma secundaria: • la disponibilidad Nivel de madurez: No Conforma. La alta gerencia no reconoce que las actividades sustantivas claves pueden requerir altos niveles de desempeño de Tecnología de la Información y que la necesidad del organismo de tales servicios excede la capacidad instalada. No se cuenta con ningún proceso de planificación de la capacidad de procesamiento. Observaciones: Según la información disponible, no existen en el organismo políticas y procedimientos formales para la planificación de la capacidad. Si bien se realizan estimaciones basadas en las expectativas de cambio, la falta de definiciones al respecto dificulta la concreción y formalización de ampliaciones de una infraestructura que a la fecha es insuficiente, incluso para las aplicaciones en uso. Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Respuesta del organismo: sin observaciones. Comentario AGN: se mantiene la observación. 108 4.3.4. Garantía de un Servicio Continuo. Objetivo de control: La máxima autoridad debe implementar un plan probado y operativo de continuidad de tecnología de información que concuerde con el plan de continuidad general del organismo y sus requerimientos de actividad relacionados. Este objetivo de control afecta a los siguientes requerimientos de la información necesaria para cumplir las misiones del organismo, primariamente: • la eficacia • la disponibilidad y en forma secundaria: • la eficiencia Nivel de madurez: No Conforma. No se consideran los riesgos, las vulnerabilidades y las amenazas para las operaciones de Tecnología de la Información, ni el impacto que la pérdida de servicios de Tecnología de la Información puede tener en el organismo. No se considera que la continuidad del servicio requiera la atención de la máxima autoridad y la alta gerencia. Observaciones: De la información recibida surge que no se ha formalizado un plan de continuidad del servicio. A pesar de que existe conciencia de los riesgos a los que está expuesto el Organismo, hasta la fecha no se han emprendido las acciones requeridas para superarlos. Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Respuesta del organismo: Tener en cuenta la opinión vertida como respuesta al punto 4.1.2. Comentario AGN: la respuesta del organismo confirma que no existe un plan de continuidad del servicio. En consecuencia se mantiene la observación. 4.3.5. Garantía de la Seguridad de los Sistemas. Objetivo de control: La máxima autoridad debe establecer y mantener un programa de seguridad de la información para implementar los controles de acceso lógico que garanticen que el acceso a los sistemas, datos y programas esté limitado a los usuarios autorizados. Este objetivo de control afecta a los siguientes requerimientos de la información necesaria para cumplir las misiones del organismo, primariamente: 109 • la confidencialidad • la integridad y en forma secundaria: • la disponibilidad • el cumplimiento • la confiabilidad Nivel de madurez: Inicial / Ad Hoc. El organismo reconoce la necesidad de la seguridad de tecnología de información, pero la concientización depende de cada persona. La seguridad de tecnología de información se encara en forma reactiva y no se realizan mediciones. Las responsabilidades no son claras por lo cual las violaciones a la seguridad de tecnología de la información, si son detectadas, generan la necesidad de señalar a los culpables. Las respuestas a las violaciones de la seguridad de tecnología de información son impredecibles. Observaciones: No existe un plan estratégico formal de seguridad. Existe una persona que se ocupa de los temas de seguridad, pero su cargo, sus misiones y funciones no están definidos formalmente. No se conoce la existencia de un esquema de clasificación de datos. No existen responsables de la seguridad y contenido de los datos. No existen perfiles de seguridad de los usuarios. No se revisan periódicamente los niveles de seguridad y accesos permitidos de los usuarios. Existen usuarios de la red y del sistema GIGA que son genéricos, no pertenecen a la organización o gozan de los privilegios correspondientes al personal de gerencias distintas de la propia. No se capacita a los empleados sobre seguridad informática. No existen procedimientos formales de presentación de informes sobre violaciones a la seguridad, ni de resolución de problemas. La red permite sesiones múltiples concurrentes. No existen políticas para los puestos clave, ni posiciones definidas como tales. Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Respuesta del organismo: Los usuarios genéricos del Sistema GIGA no tienen acceso al sistema y se utilizan como perfiles para facilitar la administración. En el caso de usuarios genéricos de red se debe a casos especiales, como por ejemplo AGN (Auditoría General de la Nación) y Universidad del Salvador. 110 Comentario AGN: Se verificó la existencia de cuentas genéricas (sin identificación del usuario) con derechos de administrador, por ejemplo “Administrador” y “Sabado”, que podrían modificar cualquier dato del sistema de producción En consecuencia se mantiene la observación. 4.3.6. Identificación e Imputación de Costos. Objetivo de control: Se debe implementar un sistema de imputación de costos que garantice que se registren, calculen y asignen los costos de acuerdo con el nivel de detalle requerido y el ofrecimiento de servicio adecuado. Este objetivo de control afecta a los siguientes requerimientos de la información necesaria para cumplir las misiones del organismo, primariamente: • la eficiencia • la confiabilidad Nivel de madurez: No Conforma. Se carece totalmente de un proceso reconocible para identificar e imputar costos con respecto a los servicios de información prestados. El organismo ni siquiera ha reconocido que haya una cuestión que merezca ser abordada en cuanto a la contabilización de los costos, y no hay comunicación al respecto. Observaciones: La máxima autoridad del área entiende que, dada la gravedad de los problemas que debe enfrentar, el análisis de la imputación de costos es secundario. Nivel de riesgo: [ ] Alto [X] Medio [ ] Bajo Respuesta del organismo: Es cierto que no existe un sistema de imputación de costos, pero también es cierto que no se conoce la necesidad de realizarlo. Comentario AGN: la respuesta del organismo confirma que no existe un sistema de imputación de costos, ni siquiera se ha reconocido que haya una cuestión que merezca ser abordada en cuanto a la contabilización de los costos. En consecuencia se mantiene la observación. 4.3.7. Educación y Capacitación de los Usuarios. Objetivo de control: Se debe establecer y mantener un plan integral de capacitación y desarrollo. 111 Este objetivo de control afecta a los siguientes requerimientos de la información necesaria para cumplir las misiones del organismo, primariamente: • la eficacia y en forma secundaria: • la eficiencia Nivel de madurez: Inicial / Ad Hoc. Hay evidencia de que el organismo reconoció la necesidad de un programa de educación y capacitación, pero no hay procesos estandarizados. En ausencia de un programa organizado, los empleados identifican y asisten a cursos de capacitación por cuenta propia. Algunos de estos cursos tratan temas de conducta ética, concientización de seguridad de sistemas y prácticas de seguridad. El enfoque global de la dirección carece de cohesión y la comunicación de los temas y abordajes de la educación y capacitación es sólo esporádica y poco coherente. Observaciones: De la información recibida no surge la existencia de procedimientos para identificar y documentar las necesidades de capacitación de todo el personal que utiliza servicios de información. No existen políticas y procedimientos aprobados para la identificación de las necesidades de capacitación y tampoco un plan de capacitación a usuarios. La capacitación y concientización en los principios de seguridad no se realiza. El área de capacitación instruye a los empleados en el uso de herramientas informáticas de oficina (Excel, Word, etc.). y al personal de sistemas en temas específicos. Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Respuesta del organismo: sin observaciones. Comentario AGN: se mantiene la observación. 4.3.8. Asistencia y Asesoramiento a los Usuarios de Tecnología de la Información. Objetivo de control: Se debe establecer una función de mesa de ayuda que brinde soporte y asesoramiento de primera línea. Este objetivo de control afecta a los siguientes requerimientos de la información necesaria para cumplir las misiones del organismo, primariamente: • la eficacia 112 Nivel de madurez: Inicial / Ad Hoc. El organismo reconoció que se necesita un proceso apoyado por herramientas y personal para responder a las consultas de los usuarios y administrar la resolución de problemas. No obstante, no se cuenta con un proceso estandarizado y sólo se brinda un soporte reactivo. La alta gerencia no monitorea las consultas, problemas o tendencias. No hay un proceso de escalamiento que ayude a resolver los problemas. Observaciones: No existe una mesa de ayuda formal que atienda a los usuarios. Se presta un servicio de acuerdo a la disponibilidad de personal. En lo referente al sistema GIGA, el servicio lo presta personal externo sólo en horas de la tarde. No se dispone de documentación que formalice y estandarice los procedimientos. Nivel de riesgo: [ ] Alto [X] Medio [ ] Bajo Respuesta del organismo: El servicio que presta personal externo lo realiza sin contrato formal. Sólo en algunas oportunidades dicho servicio se prestó en horas de la tarde. También es cierto que cuando se requirió la presencia en horas de la mañana, la respuesta fue favorable. Comentario AGN: la respuesta del organismo confirma que no existe una mesa de ayuda formal. En consecuencia se mantiene la observación. 4.3.9. Administración de la Configuración. Objetivo de control: Se deben implementar controles que identifiquen y registren todos los bienes de Tecnología de la Información y su ubicación física, y un programa de verificación regular que confirme su existencia. Este objetivo de control afecta a los siguientes requerimientos de la información necesaria para cumplir las misiones del organismo, primariamente: • la eficacia y en forma secundaria: • la disponibilidad • la confiabilidad 113 Nivel de madurez: No Conforma. La alta gerencia no valora los beneficios de contar con un proceso para la información y administración de la infraestructura de TI, ni para la configuración de hardware ni de software. Observaciones: De la documentación recibida se deduce que no existen procedimientos formales para la administración de la configuración ni está definida la función. Los datos disponibles no son de calidad y difieren según la oportunidad de la solicitud de información. Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Respuesta del organismo: La apreciación de que la alta gerencia no valora los beneficios de contar con un proceso para la información y administración de la infraestructura de TI no es compartida por el suscripto. No se entiende cuando se expresa que los datos disponibles no son de calidad. El hecho de que los datos difieren según la oportunidad de la solicitud de información se debió a que mientras duró la auditoría se estaba incorporando y/o reemplazando hardware. Comentario AGN: las mejores prácticas indican que el funcionario principal de la función de servicios de información debe garantizar la eficacia de las políticas y prácticas establecidas para las siguientes tareas y/o actividades de TI: - registro de la configuración - nivel básico de configuración - registro del estado de la configuración - control de la configuración - detectar el software no autorizado - almacenamiento del software - procedimientos de administración de configuración - seguimiento y control de versiones de software Lo detectado durante los trabajos de auditoria es que estas políticas y prácticas son inexistentes en el ámbito de la Administración General de Puertos. El inventario de hardware y software recibido es un documento realizado especialmente al efecto que no incluye descripción completa del equipamiento, ubicación física, número de inventario, cantidad de 114 licencias de software, ubicación del software de los elementos informados y excluye elementos de comunicaciones, red, fuentes de alimentación no interrumpibles, escáneres y otros periféricos. En consecuencia se mantiene la observación. 4.3.10. Administración de Problemas e Incidentes. Objetivo de control: Se debe implementar un sistema de administración de problemas que registre y dé respuesta a todos los incidentes. Este objetivo de control afecta a los siguientes requerimientos de la información necesaria para cumplir las misiones del organismo, primariamente: • la eficacia • la eficiencia y en forma secundaria: • la disponibilidad Nivel de madurez: No Conforma. No se reconoce la necesidad de administrar problemas e incidentes. El proceso de resolución de problemas es informal y los usuarios y el personal de Tecnología de la Información encara los problemas individualmente, caso por caso. Observaciones: De la información recibida no surge que existan procedimientos formales para la administración de problemas e incidentes de seguridad, ni sistemas al efecto que permitan realizar el escalamiento y seguimiento de los problemas y pistas de auditoría. Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Respuesta del organismo: Si se reconoce la necesidad de administrar problemas e incidentes. La falta de recursos humanos atenta contra la posibilidad de implementarlo. Comentario AGN: el hecho de solicitarle a los sectores no informar los problemas o incidentes a través de memorandos sino en forma oral o vía e-mail demuestra que no se reconoce la necesidad de la administración de problemas e incidentes de seguridad. En consecuencia se mantiene la observación. 4.3.11. Administración de Datos. 115 Objetivo de control: La máxima autoridad debe establecer y mantener una combinación eficaz de controles generales y de aplicación sobre las operaciones de Tecnología de la Información. Este objetivo de control afecta a los siguientes requerimientos de la información necesaria para cumplir las misiones del organismo, primariamente: • la integridad • la confiabilidad Nivel de madurez: No Conforma. Los datos no están considerados como un recurso y un bien del organismo. No se asignó la responsabilidad sobre los datos ni rendición de cuentas individual por su integridad y confiabilidad. La calidad y seguridad de los datos es escasa o nula. Observaciones: No existen procedimientos para el monitoreo de exactitud, integridad y autorización. Los sistemas, en particular el GIGA –desde el cual se autorizan todas las erogaciones del Organismo –, se alimentan con información generada en aplicaciones “ad hoc”, desarrolladas fuera del control del área de Tecnología Informática, con utilitarios de oficina y, por lo tanto, sin satisfacer mínimamente normas de calidad y seguridad. Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Respuesta del organismo: Se desconoce de lo que se indica en las observaciones. El sistema GIGA no se alimenta de ninguna otra aplicación, ni tampoco de utilitarios de oficina. Comentario AGN: en la respuesta del organismo al punto 4.5.1. se reconoce la utilización de planillas Excel para realizar tareas propias del sistema GIGA, cuyo resultado es parte de la información que luego se incorpora a dicho sistema. En consecuencia se mantiene la observación. 4.3.12. Administración de Instalaciones. Objetivo de control: Se deben instalar controles ambientales y físicos adecuados cuya revisión se efectúe periódicamente a fin de determinar su correcto funcionamiento. Este objetivo de control afecta a los siguientes requerimientos de la información necesaria para cumplir las misiones del organismo, primariamente: • la integridad 116 • la disponibilidad Nivel de madurez: Inicial / Ad Hoc. El organismo reconoce la necesidad de brindar un entorno físico adecuado que proteja los recursos y el personal contra los peligros generados por la Naturaleza y por el hombre. No existen procedimientos estándar y la administración de las instalaciones y los equipos depende de la idoneidad y capacidad de ciertas personas clave. No se revisan las actividades de maestranza en las instalaciones y el personal se desplaza sin restricciones. La dirección no monitorea los controles ambientales de las instalaciones ni el movimiento del personal. Observaciones: No existe normativa de seguridad informática ni de seguridad física de las instalaciones. No existe registro del acceso a los centros de procesamiento. Se verificaron pérdidas de líquidos provenientes de los baños del primer piso que caían sobre el rack de comunicaciones del centro de procesamiento de datos. Los equipos de alimentación de energía alternativa (fuentes de alimentación de energía no interrumpible y moto generador) no tienen mantenimiento preventivo. No existe un plan formal de contingencia. Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Respuesta del Organismo: Sin observaciones. En consecuencia se mantiene la observación. 4.3.13. Administración de Operaciones Objetivo de control: Se debe establecer de un cronograma de actividades de soporte que se registre y apruebe para el logro de todas las actividades. Este objetivo de control afecta a los siguientes requerimientos de la información necesaria para cumplir las misiones del organismo, primariamente: • la eficacia • la eficiencia y en forma secundaria: • la integridad • la disponibilidad Nivel de madurez: Inicial / Ad Hoc. El organismo reconoce la necesidad de estructurar las funciones de soporte de Tecnología de la Información. Sin embargo, no hay procedimientos 117 estándares establecidos y las actividades son de tipo reactivo. La mayoría de las operaciones no están formalmente programadas y los pedidos de procesamiento se aceptan sin validación previa. Las computadoras que dan soporte a los procesos con frecuencia sufren interrupciones y demoras. Los empleados pierden tiempo por tener que esperar los recursos. Los sistemas no son estables ni están disponibles. Observaciones: De la información recibida no surge evidencia que sustente: • la totalidad del procesamiento ejecutado, arranques en frío, reinicios y recuperaciones; • las estadísticas de finalización de cronogramas, a fin de confirmar que se cumple satisfactoriamente con todos los requerimientos; • la separación física y lógica de las bibliotecas fuente y objeto de prueba, desarrollo y producción y los procedimientos de control de cambios para trasladar programas entre las bibliotecas; • las estadísticas de desempeño de las actividades operativas, incluyendo, entre otras: o capacidad, utilización y desempeño del hardware y periféricos; o utilización y desempeño de la memoria de los equipos principales; o utilización y desempeño de telecomunicaciones. Tampoco se tuvo conocimiento de la existencia de manuales de instrucciones y procedimientos de operación, documentación del proceso de puesta en marcha y otras tareas, programas de trabajo y registro de operaciones. Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Respuesta del Organismo: Sin observaciones. En consecuencia se mantiene la observación. 4.4. Monitoreo. 4.4.1. Monitoreo de los Procesos. Objetivo de control: La máxima autoridad debe impulsar la definición de indicadores del desempeño relevantes, el informe sistemático y oportuno del desempeño y la acción inmediata en caso de desviaciones. 118 Este objetivo de control afecta a los siguientes requerimientos de la información necesaria para cumplir las misiones del organismo, primariamente: • la eficacia y en forma secundaria: • la eficiencia • la confidencialidad • la integridad • la disponibilidad • el cumplimiento • la confiabilidad Nivel de madurez: No conforma. El organismo no tiene procesos de monitoreo implementados. La función de Tecnología de la Información no realiza el monitoreo de los proyectos y procesos en forma independiente. No se cuenta con informes útiles, puntuales y precisos. No se reconoce la necesidad de objetivos de proceso claramente entendidos. Observaciones: De la información recibida se desprende que no se han establecido formalmente políticas, procedimientos, objetivos e indicadores de desempeño. Consecuentemente, no se realiza el monitoreo continuo y sistemático de la actividad del área de tecnología de la información. Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Respuesta del Organismo: Sin observaciones. Comentario AGN: En consecuencia se mantiene la observación. 4.5. Procedimientos Operacionales. A continuación se describen brevemente los circuitos administrativos informales que efectivamente realiza la Administración General de Puertos en cada sector involucrado en el uso del sistema GIGA y las observaciones correspondientes. 4.5.1. Gerencia de Abastecimiento. Existe un agente que realiza las siguientes actividades: • Carga la solicitud del gasto para todas las Gerencias de la Sociedad excepto para la Gerencia de Ingeniería, donde la carga la realiza un agente propio. 119 • Carga en el Sistema la aprobación del gasto realizada por el Gerente General, con firma hológrafa en el expediente en papel, ejerciendo atribuciones del Gerente General. • Controla que Presupuesto haya realizado la reserva preventiva en la base de datos del sistema y en el expediente. • Carga solamente la oferta adjudicada y, ejerciendo atribuciones del Gerente General, la aprueba. • Controla que Presupuesto haya realizado el compromiso presupuestario. • Emite la orden de compra en Excel. • Carga en el sistema el ingreso controlado por el depósito o, si fuera el caso, la recepción de obras y/o servicios controlada por el sector solicitante. • Manualmente realiza el seguimiento de la orden de compra antes de mandar las facturas correspondientes a pagos parciales al sector de Administración. • Sin intervención del sistema controla las Garantías de Oferta y de Ejecución. En la gerencia se utiliza un sistema propio de seguimiento interno de expedientes además del sistema de expedientes propio del organismo, ambos independientes del GIGA. La iniciación de la licitación no se carga al Sistema pues, a juicio de la Gerencia, la carga del acta de apertura, llevaría demasiado tiempo. Se hace la apertura con los totales globales y en los tres días siguientes, durante la vista de ofertas, arman en Excel el cuadro comparativo. La preadjudicación es manual y se informa al Gerente General en papel con resumen de lo actuado y solicitud de aprobación. Observaciones: • La gerencia carga en el sistema las solicitudes de bienes y servicios de toda la organización transcribiendo formularios generados en distintas áreas. Esto induce a errores de interpretación por falta de conocimientos específicos y repercute en la integridad y confiabilidad del sistema. 120 • Un mismo agente realiza varias operaciones utilizando distintos perfiles de usuario (por ejemplo: Jefe de Departamento, Subgerente de Organización y Sistemas y Gerente General), lo que reduce la calidad del control por oposición y afecta seriamente la eficacia, confidencialidad, integridad y confiabilidad de la información. • El sistema es subutilizado por la Gerencia, dado que el Reglamento de Contrataciones que se aplica es posterior a su puesta en marcha y nunca se lo adaptó. • El uso de planillas Excel conspira contra la seguridad, la integridad y confiabilidad en el manejo de datos. • Se realizan tareas innecesarias por falta de confianza en el sistema. • La operatoria llevada a cabo por la Gerencia de Abastecimiento consiste en analizar las ofertas a partir de planillas Excel con los datos, y no utilizando el sistema. Esto implica el riesgo de que haya habido errores en la transcripción de datos y la pérdida de la información histórica de las ofertas recibidas. Afecta la eficacia, la eficiencia, la integridad, la disponibilidad, el cumplimiento y la confiabilidad de la información. • Algunas tareas no están automatizadas, se realizan manualmente, lo que afecta la eficacia y eficiencia de la organización. Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Respuesta del organismo: Por Gerencia de Abastecimiento A fs. 37 indica: “La gerencia carga en el sistema las solicitudes de bienes y servicios de toda la organización transcribiendo formularios generados en distintas áreas. Esto induce a errores de interpretación por falta de conocimientos específicos y repercute en la integridad y confiabilidad del sistema”. Al respecto se indica que esta Gerencia realiza la carga de las solicitudes generadas en distintas áreas a título de colaboración, a fin de evitar un colapso en la gestión administrativa de compras, hasta tanto se arbitren los medios para que todas las Gerencias realicen las tareas previstas en el sistema. Cabe agregar que deberá definirse si el nomenclador de bienes, su especificación y concepto del gasto, estará al alcance de modificar por todas las dependencias, o en su defecto quedará circunscrito a un grupo 121 reducido de usuarios, dado que su operación por inexpertos puede producir alteraciones en el sistema, modificando incluso el balance de la empresa, repercutiendo en la integridad y confiabilidad del sistema. A fs. 37 indica: “Un mismo agente realiza varias operaciones utilizando distintos perfiles de usuario (por ejemplo: Jefe de Departamento, Subgerente de Organización y Sistemas y Gerente General), lo que reduce la calidad del control por oposición y afecta seriamente la eficacia, confidencialidad, integridad y confiabilidad de la información”. Al respecto se indica que dichas tareas con diferentes perfiles son realizadas a título de colaboración, hasta tanto se arbitre los medios para que la Superioridad realice las tareas previstas en el sistema. Cabe agregar que al asumir el rol de Subgerente y Gerente General, se realiza el workflow correspondiente a la gestión de compras y preadjudicación, pero para hacer el compromiso correspondiente, el mismo sólo puede autorizarlo el Gerente Administrativo, previa aprobación del Departamento de Presupuestos y cuenta para ello con el expediente en el cual están las autorizaciones indicadas precedentemente firmadas por el Sr. Interventor, previa revisión de la Gerencia Asesoría Jurídica, y en contrataciones superiores a $150.000, con la intervención de la Gerencia Unidad Auditoría interna y la Sindicatura General de la Nación. En consecuencia se entiende que no se vulnera la eficacia, confidencialidad, integridad y confiabilidad de la información. A fs. 37 indica “El sistema es subutilizado por la Gerencia, dado que el reglamento de Contrataciones que se aplica es posterior a su puesta en marcha y nunca se lo adoptó”. Al respecto, se indica que está pendiente la actualización del Sistema GIGA a los requerimientos de esta Gerencia, para tener un uso integral del mismo, a fin de que el empleo del sistema otorgue un beneficio a las tareas que desarrolla esta Dependencia y no implique una duplicidad de las tareas. A fs. 37 dice: “El uso de planilla Excel conspira contra la seguridad, la integridad y confiabilidad en el manejo de datos”, “Se realizan tareas innecesarias por falta de confianza en el sistema” y “La operatoria llevada a cabo por la Gerencia de Abastecimiento consiste en analizar las ofertas a partir de planillas Excel con los datos, y no utilizando el sistema. Esto implica el riesgo de que haya habido errores en la transcripción de datos y la pérdida de la 122 información histórica de las ofertas recibidas. Afecta la eficacia, al eficiencia, la integridad, la disponibilidad, el cumplimiento y la confiabilidad de la información”. Al respecto, se comparte lo expresado por la Auditoría General de la Nación, dejándose constancia que las operaciones que se realicen fuera del sistema no es por falta de confianza, sino que el sistema GIGA no se ha adecuado a los nuevos requerimientos. Por Subgerencia de Organización y Sistemas La Gerencia de Abastecimiento carga la “Solicitud del Gasto” debido a que hay sectores fuera de la red y a la falta de conocimientos específicos de otros sectores. Debido a lo mencionado en el punto anterior es necesario realizarlo de esta forma. Dicha situación no reduce el control por oposición debido a que cuando se carga en el sistema ya tienen la aprobación del Gerente General. El sistema es subutilizado por la Gerencia debido a la falta de capacitación y no porque el Reglamento de Contrataciones que se aplica es posterior a la puesta en marcha. Si se realizan las tareas innecesarias por falta de confianza en el sistema nunca fue informado a la Subgerencia Organización y Sistemas. Las ofertas son analizadas por la Comisión de Preadjudicaciones. En Excel se realiza el cuadro comparativo de ofertas, el mismo no es vinculante. Todas las tareas están automatizadas. No se las utiliza. Comentario AGN: el sistema GIGA prevé realizar el análisis de oferta, la preadjudicación, la aprobación de la contratación y la emisión de la orden de compra por distintos funcionarios usando funciones automatizadas. En la práctica estas tareas se realizan manualmente y luego son registradas en el sistema, en algún caso por el mismo agente, por lo cual se afecta el control por oposición que debe proveer un sistema ERP como el GIGA. El control por oposición existente no esta comprendido en el Sistema. El reglamento de contrataciones prevé la emisión de la orden de compra con detalles diferentes a los utilizados por el sistema GIGA, razón por la cual la orden de compra se emite mediante una planilla de Excel. No se realiza por el sistema GIGA el seguimiento de las órdenes de compra ni el control de las garantías de oferta y ejecución. 123 En los otros ítems la respuesta del Organismo confirma lo informado. En consecuencia se mantiene la observación. 4.5.2. Gerencia de Administración. 4.5.2.1. Presupuesto. Se utiliza la función del sistema “Formulación de Gastos” para cargar los créditos del Presupuesto. La Ejecución del Presupuesto se imputa en las cuatro etapas según corresponda: Preventivo, Comprometido, Devengado y Pagado. Se utiliza el GIGA para automatizar todas las imputaciones, lo que permite realizar las modificaciones que sean necesarias. Se controla la imputación preventiva propuesta por el sistema, en cuanto a su concordancia con lo establecido en la Formulación del Gasto y, en caso de ser correcta, se la confirma. Se puede aprobar, modificar o anular la operación según corresponda. Si la operación se aprueba, se emite el comprobante Preventivo. Se confirma la imputación del Compromiso realizada en forma automática por el sistema, antes de emitir la Orden de Compra. Se emite el comprobante de Compromiso. Se cargan los datos en el sistema de los Compromisos Directos a través de la función correspondiente. Se verifican todas las imputaciones presupuestarias realizadas en forma automática por el sistema por medio de reportes generados en el GIGA. Observaciones. En la formulación del gasto se les asignan a los sectores conceptos que no les corresponden (por ejemplo, la Gerencia Jurídica tiene adjudicada partidas para la compra de aceitunas). Esta circunstancia hace ineficaz el control interno del sistema, pues permite a un sector emitir solicitudes de gastos no acordes a lo presupuestado ni a sus misiones y funciones. Nivel de riesgo: [ ] Alto [ ] Medio [ X ] Bajo Respuesta del organismo: Por Subgerencia de Organización y Sistemas El presupuesto se realiza a nivel de “Objeto del Gasto” y no a nivel de “Bienes o Servicios”. 124 Las aceitunas forman parte de la tabla de “Concepto del Gasto” (Bienes o Servicios), tabla que tiene asignado un responsable y queda a criterio del mismo la depuración de la tabla mencionada. Por Gerencia Administrativa Presupuesto: el sistema cargó originalmente el nomenclador de bienes del Estado, hecho por el cual, a pesar de la depuración efectuada figuran objetos del gasto como el mencionado. No obstante el Departamento Presupuesto controla que la carga de los sectores solicitados sea la correcta Comentario AGN: La respuesta del Organismo confirma lo informado. En consecuencia se mantiene la observación. 4.5.2.2. Tesorería. Recibe las facturas a ser cobradas. Selecciona la operación en el aplicativo, y el sistema emite el recibo correspondiente. Cobra los fondos pagados por el cliente (en efectivo o en cheque) y carga la información. Emite las notas de crédito solicitadas por Cuentas Corrientes. Al finalizar el día se emite un informe del aplicativo GIGA denominado Parte Diario que permite controlar las operaciones registradas cotejándola con la documentación respaldatoria. Se confeccionan en forma manual las boletas de depósito para las cuentas bancarias que correspondan y se depositan los valores. Se realiza el pago a Proveedores en base a las Órdenes de Pago autorizadas. Se consultan en el GIGA los pagos a realizar durante el día. Una vez verificado que la Orden de Pago se encuentre debidamente firmada por los responsables, se emite - en forma manual - el cheque y se lo envía a la firma del responsable autorizado. En el momento en que el beneficiario retira el cheque, se accede al GIGA para registrar la operación y emitir el Recibo de Pago correspondiente. Se realizan las conciliaciones bancarias en planillas de Excel. El personal externo de administración del Sistema, a pedido de Tesorería, corrige importes en los asientos generados por operaciones de ese sector debidos a montos mal ingresados. Lo 125 hacen modificando en forma directa el contenido de la base de datos, sin utilizar el Sistema. Estas operaciones son autorizadas por el Gerente de Administración. En determinadas circunstancias se reciben cheques de los clientes de AGP por montos inferiores a los facturados. Observaciones: • No se utiliza la función de emisión automática de cheques proporcionada por el sistema. • Existe una función del sistema GIGA para la conciliación bancaria que no se utiliza. • La manipulación de la base de datos en forma directa evita los controles internos del Sistema. • No existe una función del Sistema específica para la operación, autorizada por la Intervención, de cobro parcial de facturas. Lo que se utiliza es la función Cobro Anticipado, que no corresponde estrictamente. Esta situación dificulta la conciliación de las Cuentas Corrientes. Estas observaciones permiten afirmar que existe pérdida de confiabilidad e integridad de los datos de la base del sistema GIGA. Nivel de riesgo: [ X ] Alto [ ] Medio [ ] Bajo Respuesta del organismo: Por Subgerencia de Organización y Sistemas La conciliación bancaria es función del sector Contabilidad. El cobro parcial de la factura estaba incluido en el sistema y se solicitó la eliminación. Las modificaciones que se realizan son las siguientes: • En las cobranzas se detecta al final del día que se ingresó un cheque con clearing equivocado (no se modifican importes). • En los pagos se entregan los cheques cuando el proveedor viene a cobrar y al final del día se asignan a las diferentes órdenes de pago. Por lo, alguna vez, se asigna un cheque equivocadamente (un cheque por otro). Esto implica modificar el cheque en la orden de pago y el asiento contable. La solución a estos problemas es modificar el procedimiento utilizado Por Gerencia Administrativa 126 Tesorería: por razones de rapidez y operatividad del sector, no se utiliza la función de emisión automática de cheques, cabiendo acotar que los errores de confección son ínfimos la conciliación bancaria es resorte del Departamento Contable que lo viene efectuando. El Departamento Tesorería, por razones de control interno, efectúa una conciliación por fuera del sistema. Los usuarios de los sectores de la Gerencia, no están habilitados para manipular las bases de datos, aún así en caso de tener que efectuar modificaciones que subsanen errores de carga en clearing, Nº de cheque o banco (por ejemplo nunca importes) debido a que el sistema no contempla la opción de corrección como debiera ser, se le solicita al proveedor (MICROSTAR) mediante nota de autorización de la GERENCIA o el personal de la SUBGERENCIA DE ORGANIZACIÓN Y SISTEMAS las modificaciones pertinentes. Ciertamente no existe función para el cobro parcial de facturas, en forma directa, debiendo utilizar el método indirecto de cobro anticipado, que aparte de dificulta la conciliación de cuentas corrientes (como se observa), no automatiza la aplicación de multas e intereses en casos de pagos de facturas vencidas. Previo al requerimiento al proveedor, deberá determinarse si la citada función (cobro parcial de facturas) se hallaba contemplado en los pliegos de contratación, tomando en cuanta lo informado por la SUBGERENCIA DE ORGANIZACIÓN Y SISTEMAS (fs. 33) indicando que fue solicitada la eliminación de dicha función. Comentario AGN: La respuesta del Organismo confirma lo informado. En consecuencia se mantiene la observación. 4.5.2.3. Contabilidad. Verifica las imputaciones contables realizadas en forma automática por el sistema contra la documentación respaldatoria. Carga los asientos por ajustes de conciliaciones bancarias realizadas en planillas de Excel suministradas por Tesorería. Calcula en forma manual las diferencias por cambio de cotizaciones y realiza los asientos correspondientes. 127 Realiza los asientos manuales de ajustes que correspondan. En algún caso se cargan asientos manuales con fecha distinta a la del día corriente mediante la modificación de la fecha de operación usando la función Fecha de Operación. En el caso de ingresar un nuevo Objeto de Gasto que no tenga asociada la cuenta correspondiente, el Gerente del área solicita la apertura o asignación, según corresponda, de la cuenta contable en el momento de realizar la imputación. Observaciones: • Por falta de un procedimiento interno adecuado se dan de alta las cuentas patrimoniales sin identificar la cuenta contable ni presupuestaria a las que corresponden, lo cual afecta la eficiencia de los procesos de compras y contrataciones. • La función Fecha de Operación del Sistema es usada por más personas que las imprescindibles, por lo cual se pierde la confiabilidad e integridad de la información. • Se han detectado errores en las relaciones, establecidas por los usuarios del Sistema, entre las cuentas patrimoniales y las cuentas presupuestarias, lo cual genera errores en las imputaciones contables automáticas y, luego, en el balance de sumas y saldos. Nivel de riesgo: [ X ] Alto [ ] Medio [ ] Bajo Respuesta del Organismo Por Gerencia Administrativa Contabilidad: la función “fecha de operación” ha sido restringida. La razón de la extensión a varios usuarios a dicha opción, se debió a que las fallas que presentaba el sistema, al momento de su implementación y aún durante un extenso período, generó errores y atrasos en las registraciones, y en muchos casos la posibilidad de corrección se demoraba a niveles considerables, subsanándose el hecho, con la citada función. Es real la existencia de errores en las relaciones establecidas entre cuentas patrimoniales y presupuestarias. Más allá del error humano, o de criterio, seguramente la falta de capacitación adecuada por parte del proveedor, en los alcances y utilización del sistema, potenció los resultados negativos. Comentario AGN: La respuesta del Organismo confirma lo informado. En consecuencia se mantiene la observación. 4.5.2.4. Cuentas Corrientes. 128 Aplica las Notas de Crédito y los cobros anticipados en la cuenta corriente de los clientes. Una vez por semana emite, por el sistema, el detalle de las cobranzas. Inhabilita en el sistema, en forma manual, a los clientes que tengan una factura vencida, previa autorización por escrito de un responsable. Recibe las solicitudes de altas de clientes y los ingresa al sistema. Observaciones: El hecho de que la inhabilitación de los clientes morosos se realice en forma manual permite que se pueda omitir la acción. Nivel de riesgo: [ ] Alto [ ] Medio [ X ] Bajo Respuesta del organismo: Por Subgerencia de Organización y Sistemas Existe un procedimiento administrativo que no permite que la inhabilitación sea automática. Debe contar con la autorización previa de la máxima autoridad de la Empresa. Por Gerencia Administrativa Cuentas Corrientes: El hecho de que las inhabilitaciones de morosos al realizarse en forma manual permita que se pueda omitir la acción es real. Previo al requerimiento al proveedor, deberá determinarse si la citada función (inhabilitación automática de morosos) se hallaba contemplado en los pliegos de la contratación y elevar a consideración la modificación de la normativa vigente. Comentario AGN: La respuesta del Organismo confirma lo informado. En consecuencia se mantiene la observación. 4.5.2.5. Liquidaciones. El sector recibe la información externa para liquidar y emite las facturas cargando en el sistema los datos que se obtienen de las diversas documentaciones que presenta el cliente, como por ejemplo declaraciones juradas de importación-exportación, liquidación de tasa a las cargas, liquidación de pasavantes, liquidación de patentes de buques, etc. El sector de Liquidaciones carga en el sistema GIGA los datos consignados en la documentación, el responsable del área verifica la liquidación y, en el caso de ser correcta, se imprimen, por medio del sistema, las facturas por cuadruplicado. Se entregan tres copias al cliente y queda una en el sector. 129 Observaciones: Sin observaciones. Nivel de riesgo: No aplicable. Respuesta del organismo: Las copias de la factura se entregan al Departamento Tesorería o al Departamento Cuentas Corrientes si son de pago diferido. Comentario AGN: La respuesta del Organismo confirma lo informado. En consecuencia se mantiene la observación. 4.5.3. Operación General. Observaciones. • Cada área del Organismo opera como si estuviera aislada del resto. No existe conciencia de la interdependencia que un sistema de gestión integral supone en el funcionamiento general. • No existen manuales de procedimientos que regulen la operación de los sectores involucrados. Respuesta del organismo: Por Subgerencia de Organización y Sistemas Los manuales de procedimiento que existen son informales. Se está a la espera de la incorporación de Analistas Funcionales para regularizar la situación. Por Gerencia Administrativa La falta de conciencia de interdependencia que un sistema de gestión integral supone en el funcionamiento de cada área, es un hecho, que más allá de la responsabilidad del Organismo, se incrementa en el aspecto de que la falta de capacitación adecuada por parte del proveedor, no acercó al usuario en el conocimiento del impacto de sus actos como ejecutor del sistema (en muchos casos incluso el dominio de las propias funciones de usuario fueron aprendidas en la acción diaria). Se desconoce por parte del proveedor de manuales de procedimiento actualizados. Comentario AGN: La respuesta del Organismo confirma lo informado. En consecuencia se mantiene la observación. 4.6. Funcionamiento del sistema GIGA. Se realizó un simulacro de operación del sistema desde el origen de la transacción hasta su conclusión en registración contable, para los siguientes circuitos: 130 • Compras • Facturación Los datos utilizados correspondían a una copia de las bases que estaban operativas a fines de 2004. 4.6.1. Pruebas realizadas de circuitos completos del Sistema. 4.6.1.1. Circuito de Compras. La prueba se realizó solicitando la compra de una resma de “Papel Obra Oficio de 210 x 297 (resma) A4” (sic), artículo registrado bajo el código 1.01.003.115 del nomenclador, por un valor unitario de $30. Se afectó el gasto a la partida 01.01.01.A10.02.03.05 correspondiente a la formulación de gastos de la Asesoría Jurídica para Bienes de Consumo – Artículos de Escritorio – Productos de papel y cartón. Se realizó el compromiso del gasto a la misma partida. Se seleccionó la opción de compra Con Invitación cargando dos proveedores para la solicitud de precios. Se adjudicó la compra al proveedor propuesto por el sistema en base al menor precio ofertado. Se emitió la Orden de Compra por medio del sistema. Se realizó la recepción en almacenes del material solicitado. Se cargó la factura proporcionada por el proveedor. Se generó la Orden de Pago correspondiente. Se realizó el pago mediante dos cheques de distintos bancos (los cheques no fueron emitidos utilizando el sistema). Se generaron los recibos correspondientes. Se verificaron los Libros de IVA Compras, el Mayor de la cuenta Proveedores, el Libro Diario y los listados de Cheques Pagados y Órdenes de Pago Presupuestarias. Observaciones: • Hay ítems que no están correctamente descriptos en el nomenclador (vg., el tamaño de papel es oficio o A4; pero no ambos a la vez). Genera incertidumbre respecto al bien en cuestión y es una posible fuente de error. 131 • Cualquier sector puede generar solicitudes para cualquier otro sector; el control interno que lo evitaba fue levantado. Implica pérdida de integridad y confiabilidad de la información. • En la modificación de la solicitud de gasto no realiza el cambio de sector solicitante, mantiene siempre el sector del usuario que ingresó al sistema. • En la tarea Autorizador de Transacciones no se visualiza la fecha de alta del comprobante a autorizar, aparece en blanco. • La tarea de Gestión de Compras cuando se pasa del Preventivo a la Gestión de Compra selección por defecto el tipo de compra en Contratación Directa Trámite Simplificado, modificando el tipo de contratación seleccionado en el proceso anterior. Afecta el control interno del Sistema sobre el cumplimiento del Reglamento de Contrataciones e induce a eventuales errores. • La tarea Cotización de Proveedores admite cargar una cotización con importes negativos. Implica pérdida de integridad por eventuales errores en el ingreso de datos. • La recepción de facturas de Proveedores permite ingresar un importe mayor al comprometido y continuar con el circuito sin ningún tipo de obstáculo. Pérdida de eficacia, eficiencia y confiabilidad. Nivel de riesgo: [ X ] Alto [ ] Medio [ ] Bajo Respuesta del organismo: Por Subgerencia de Organización y Sistemas Hasta tanto no estén todos los sectores conectados a la red se debe permitir que un sector pueda generar la “Solicitud del Gasto” de otro sector. Ya fue solucionado el problema de modificación del sector solicitante de la “Solicitud del Gasto”. La fecha de alta del comprobante a autorizar en la tarea Autorizador de Transacciones será solucionado. Fue solucionado el problema del cambio del tipo de compra. Ya se solucionó el error de permitir importe mayor en la recepción de facturas. Por Gerencia Administrativa 132 Las observaciones del rubro deberían ser analizadas por la GERENCIA DE ABASTECIMIENTO. No obstante, con respecto a la última observación, se informa que el sistema no permite además el pago de sumas mayores a las comprometidas. Comentario AGN: La respuesta del Organismo confirma lo informado. Las modificaciones realizadas serán analizadas en una próxima auditoría. En consecuencia se mantiene la observación. 4.6.1.2. Circuito de Liquidaciones. • Se emitió una factura por el concepto de Tasa a las Cargas. • Se imprimió el comprobante donde se verificaron todos los importes. • Se verificó la cuenta corriente con el ingreso de la factura emitida. • Se registró el cobro mediante recibos de Tesorería donde se ingresaron cheques de terceros. • Se aplicó diferidamente la cobranza. • Se listó la minuta de recaudación coincidente con el ingreso realizado. • Se realizó la impresión del detalle de los Instrumentos de Cobro. • Se imprimió el Libro Diario con los registros de todos los movimientos realizados. • Se depositaron los cheques ingresados. Observaciones: Sin observaciones. Nivel de riesgo: No aplicable. Respuesta del Organismo: sin observaciones. Comentario AGN: En consecuencia se mantiene la observación. 4.6.2. Pruebas realizadas a funciones individuales. Administración de Bienes y Patrimonio. Observaciones: • En el listado Anexo Bienes de Consumo al 25/02/2005 se detectó el código 1.01.019.025 con descripción “Cartucho de tinta para impresora Epson T029201” con cantidad negativa (-1, menos uno) • No se pudo ingresar al módulo Composición de Bienes debido a un error en el programa en la línea 240 (data server: cmd:o, getrst: ora-01422). 133 Respuesta del organismo: La cantidad negativa mencionada en las observaciones se debe a que, en el circuito de compra, se ingresó la factura del proveedor y no fue cargado el remito. El módulo Composición de Bienes no es utilizado por la AGP y se utilizó en el menú del administrador del sistema. Comentario AGN: La respuesta del Organismo confirma lo informado. En consecuencia se mantiene la observación. Contabilidad. Observaciones: • En los reportes de Mayor y sumas y saldos no se informa a qué período corresponde cada reporte. • La utilización de la función Fecha de Operación, que permite cambiar la fecha con la cual se registran las operaciones contables, es una de las causas de los problemas que impiden el cierre de los balances. Respuesta del organismo: La utilización de la función “Fecha de Operación” debe ser coordinada con los sectores que verán reflejado el hecho. No se entiende por qué se indica que la función “Fecha de Operación” es la causal de los problemas que impiden el cierre de los balances. Comentario AGN: La respuesta del Organismo confirma lo informado. Cabe destacar que el uso de la función Fecha de Operación genera, por errores del usuario, registros en la base de datos con fecha de operación distinta de la real y por lo tanto es una de las causales de la corrupción de la base de datos y del desbalance de las cuentas. En consecuencia se mantiene la observación. Operación General. Observaciones: • El Sistema no provee ayuda en línea, a pesar que fue requerida en el pliego de contratación. • Existen mensajes de error que brinda el sistema que resultan no significativos para el usuario. 134 • El Sistema no tiene un módulo de Auditoría que permita al auditor examinar los registros en forma sencilla. Su análisis requiere conocimientos de informática. • Los usuarios no utilizan algunos reportes, por falta de confianza o porque no saben que existen. Esta situación dificulta la detección de errores en el sistema (por ejemplo, los de parametrización). • Al Sistema le faltan opciones de impresión que eviten la necesidad de capturar pantallas para generar comprobantes. • No existen procedimientos formales para la comunicación de problemas o fallas del Sistema al personal externo de soporte. Las comunicaciones son informales y en algunos casos no aportan suficiente información para subsanar el problema. Respuesta del organismo: • En la misma nota en que se pidió la actualización de la documentación se requirió también que se active la ayuda en línea. • En algunas circunstancias es necesario el mensaje técnico para la solución del problema. • Se desconoce la necesidad de opciones de impresión. Los comprobantes generados por captura de pantallas no son válidos. Comentario AGN: La respuesta del Organismo confirma lo informado. En consecuencia se mantiene la observación. Opinión del Organismo Por Gerencia Administrativa CONSIDERACIONES GENERALES: del análisis efectuado, específicamente en lo concerniente a esta GERENCIA, cabe consignar que llama la atención que el análisis practicado en los sectores más damnificados (contabilidad y patrimonio), no atiende en el primer caso a las problemáticas de fondo que produjo la implementación a principios del 2003, con los innumerables errores producidos por el sistema en las áreas operativas, y su impacto en las registraciones contables, por las soluciones de compromiso adoptadas en el caso del Departamento Patrimonio, la auditoría se limita a indicar que no se pudo imprimir un listado porque el sistema arrojo un error. 135 Otro punto llamativo es que si bien la auditoría excede a la evaluación del sistema GIGA, pues alcanza el análisis de la gestión tecnológica de AGP, por lo que se justificaría la extensión de la descripción de la particular situación del ente (fs. 3 a 6), ignorar las peculiares condiciones del proveedor, que distan de ser las normales (situación financiera, pérdida de recursos humanos, otorgamiento de espacio físico por parte de AGP, adelanto de pago, etc.), alteraron la normal prestación. Finalmente, una consideración a la capacitación del personal usuario del sistema. La misma debió haber sido responsabilidad del proveedor acorde a lo convenido. Evidentemente la ausencia de dicha prestación, agravó las dificultades que se analizan en la presente auditoria entendiendo esta gerencia que dicho análisis no puede ni debe ser soslayado, pues varia sustancialmente la determinación de responsabilidades que conllevaron la situación dificultosa que aún perdura, y que no permite a la fecha contar con un sistema que cumpla los objetivos para los cuales se lo contrató. Comentario AGN: En este punto la respuesta del Organismo toma un carácter que de alguna manera refleja falta de interpretación de las observaciones realizadas en el informe resultado del trabajo de campo efectuado durante los primeros 4 meses del año 2005. Con el único objeto de clarificar algunas circunstancias que parecen haber sido pasadas por alto en este ítem, y sin la intención de generar ningún tipo de polémica, se reafirman a continuación algunos conceptos que ya figuran en nuestro trabajo: El objetivo de la auditoría fue evaluar el sistema Informático de Administración y Abastecimiento, denominado GIGA (Gestión Integral de Gobierno Automatizada), y la gestión de la Tecnología informática en la Administración General de Puertos S.E., con el propósito de apoyar al organismo en su utilización, de tal como lo solicita el Sr. Interventor en su Nota Nº 109-AGPSE-04, donde expresa la necesidad de “verificar el estado de avance y funcionamiento del sistema implementado” por medio de “una auditoría integral respecto del mismo, de la cual podrían surgir virtudes y defectos, como a sí mismo la posibilidad de su perfeccionamiento”. En este contexto, no debería llamar la atención “que el análisis practicado en los sectores mas damnificados (Contabilidad y Patrimonio), no atiende en el primer caso a las problemáticas de 136 fondo que produjo la implementación a principios del 2003……..” y “para el caso del Departamento de patrimonio, se limita a indicar que no se puede imponer un listado porque el sistema arrojó un error”. Para el primer concepto, la problemática de implantación a principios de 2003, fue considerada desde el punto de vista de su solución, y no de la implantación del software ya que ésta no formó parte del objeto de auditoría. Es así que se indica en la observación 4.2.2. (pág. 20) y su correspondencia en la recomendación 6.2.2. (pág. 49), los pasos a seguir para que no se repita esa circunstancia y además en las conclusiones se manifiestan las consecuencias de tales acciones. “El sistema GIGA, con el cual se realiza la gestión administrativa integral, incluyendo el abastecimiento de bienes y servicios, la evidencia de falta de integridad en la información almacenada, así como el relajamiento de sus controles internos, …” (pág. 61) y se recomienda: “Recomponer la base de datos de manera tal que se pueda confiar en la información que almacena” (pág. 62). Para el caso del Departamento de Patrimonio, son aplicables las observaciones: 4.1.1, 4.1.2, 4.1.3, 4.1.4, 4.1.5, 4.1.6, 4.1.7, 4.1.8, 4.1.9, 4.1.10, 4.2.6, 4.3.3, 4.3.4, 4.3.5, 4.3.6, 4.3.7, 4.3.10, 4.3.11, 4.3.12, 4.3.13 y 4.4.1, como para el resto de la organización. Tampoco debería ser llamativo que la auditoría analice no sólo el sistema GIGA, sino también el entorno donde éste se ejecute, ya que éstos están íntimamente ligados. Con respecto a “ignorar las particulares condiciones del proveedor”, se informa que tal aseveración no se ajusta a la realidad, ya que fueron consideradas analizando el riesgo que éstos generan a la AGP. Es por ello que se indica la observación 4.3.2 -Administración de servicios monitoreados por terceros- (pág. 26) y su correspondiente recomendación 6.3.2 (pág. 53), así como “proceder a la indispensable transferencia tecnológica del sistema dado que es muy importante superar las dependencias…” (pág. 62) Con respecto al último párrafo referido a la capacitación, se realizaron las observaciones 4.3.7 (pág. 30) con su correspondiente recomendación 6.3.7, así como “capacitar a cada integrante del organismo para que conozca cómo su acción se interrelaciona y contribuye a alcanzar los objetivos generales” y “Disponer en forma urgente de 4 personas lo suficientemente 137 calificadas, 2 en administración de la base de datos Oracle y 2 en programación en lenguaje Visual Basic”. Figura también dentro de nuestros papeles de trabajo: • Nota INF N° 86 RI-CENCAPOR-2005 en la que consta que 14 personas de la Gerencia de Administración recibieron capacitación sobre “Software de Gestión (GIGA)” incluyendo personal de Contabilidad y Patrimonio. • Organigrama de la Gerencia Administrativa donde no figura el Departamento Patrimonio. Finalmente nuestra tarea fue detectar los problemas, ofrecer soluciones, pero jamás delimitar responsabilidades, ya que este ítem no forma parte del trabajo de auditoría. 138 ANEXO VI Aclaración solicitada en la nota 814 AGP del 22/11/05 del Sr. Interventor de la Administración General de Puertos S.E.. Para el párrafo donde se menciona la subutilización del GIGA, es de destacar que para poder evaluar problemas en el sistema, fue necesario realizar 2 simulacros de operación del sistema desde el origen de la transacción hasta su conclusión en registración contable (circuitos de compras y de liquidaciones) (observación 4.6 - pág. 41) para así analizar las fallas que el software presentaba, ya que el organismo no genera las acciones que éste propone en forma integral, sino que por el contrario cada área opera como si estuviera aislada del resto (observación 4.5.3) y utiliza en varios casos planillas Excel, para reemplazar las operaciones que ofrece (Observación 4.5.1 – pág. 36/37, observación 4.5.2.3 – pág. 40). En el punto 3.5 (pág. 6), se realiza una descripción genérica de los denominados ERP, grupo al que pertenece el GIGA. El éxito de la implantación de estos programas, radica en su utilización integral, con todas las ventajas que en ese ítem figuran. Por lo tanto nuestro trabajo, sintetizado en las recomendaciones, apuntó a que la Administración General de Puertos logre este objetivo. En lo atinente a la capacitación, también en las recomendaciones, se describen los problemas localizados, divididos en dos partes, usuarios y personal específico de sistemas. Consideramos que si se tuviese cubierto el sector de sistemas y utilizando también algún agente que conozca su funcionamiento, la capacitación de usuarios puede autorealizarse. “El verdadero problema”, se soluciona con el seguimiento de nuestras recomendaciones, en particular la número nueve (pág. 62), (para lo cual hay que implementar el resto). Párrafo aparte merecen las responsabilidades derivadas ante este tema. Se considera apropiado, aquí, insistir en el concepto sobre que la auditoría realizada no busca individualizar responsables, sino brindar el camino para superar los obstáculos. 139