Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria

2006_023info.pdf

Anuncio 
AUDITORÍA GENERAL DE LA NACIÓN
GERENCIA DE PLANIFICACIÓN Y PROYECTOS ESPECIALES
Dr. Felipe Pizzuto
DEPARTAMENTO DE AUDITORÍA INFORMÁTICA
Ing. Ernesto Casin
Evaluación del Sistema Informático de Administración y Abastecimiento, denominado GIGA
(Gestión Integral de Gobierno Automatizada), y de la gestión de la Tecnología Informática en
la Administración General de Puertos S. E., organismo autárquico en la órbita del Ministerio
de Planificación Federal, Inversión Pública y Servicios, con el objeto de determinar
debilidades y fortalezas del Sistema y de la gestión informática en el Organismo.
INFORME DE AUDITORÍA
A D. Luis Ángel Diez
Interventor
Administración General de Puertos S.E.
En uso de las facultades conferidas por el artículo 118 de la Ley N° 24.156, la AUDITORÍA
GENERAL DE LA NACIÓN procedió a efectuar un examen en el ámbito del Ministerio de
Planificación Federal, Inversión Pública y Servicios, con el objeto que se detalla en el
apartado 1.
1. Objeto de la auditoría
Evaluación del Sistema Informático de Administración y Abastecimiento, denominado GIGA
(Gestión Integral de Gobierno Automatizada), y de la gestión de la Tecnología Informática en
la Administración General de Puertos S. E., organismo autárquico en la órbita del Ministerio
de Planificación Federal, Inversión Pública y Servicios, con el objeto de determinar
debilidades y fortalezas del Sistema y de la gestión informática en el Organismo.
2. Alcance del examen
2.1.- En la etapa de planificación, el equipo de auditoría identificó los temas de mayor
exposición al riesgo, que comprenden los siguientes ítems:
¾ Relevamiento de la documentación normativa del área de tecnología informática del
Organismo.
¾ Relevamiento de la infraestructura informática del Organismo.
¾ Verificación de la adecuación del Sistema y la infraestructura existentes y de la
planificación a la misión y metas del Organismo y a las leyes y decretos que regulan su
actividad.
¾ Verificación del modelo de arquitectura de la información y su seguridad.
¾ Relevamiento y análisis del organigrama del área de tecnología informática y su
funcionamiento.
1
¾ Relevamiento y análisis del presupuesto operativo anual del área.
¾ Verificación del cumplimiento de la comunicación de los objetivos y las directivas de la
Gerencia.
¾ Análisis de la administración de recursos humanos, la evaluación de riesgos, la
administración de proyectos, la administración de calidad y las prácticas de instalación y
acreditación de sistemas y de administración de cambios.
¾ Análisis de:
•
la definición de los niveles de servicio,
•
la administración de los servicios prestados por terceros,
•
la administración de la capacidad y el desempeño,
•
los mecanismos que garantizan el servicio continuo y la seguridad de los sistemas,
•
la imputación de costos,
•
la educación y capacitación de los usuarios,
•
la asistencia a los usuarios de la Tecnología de la Información,
•
la administración de la configuración de hardware y software,
•
la administración de problemas e incidentes,
•
la administración de datos, de instalaciones y de operaciones.
2.2. La tarea abarcó la Auditoría del estado de utilización de la Tecnología Informática en la
Administración General de Puertos S. E., en base a la información obtenida de las siguientes
fuentes:
¾ Entrevistas realizadas con las principales autoridades del Organismo.
¾ Cuestionario para determinar las necesidades de análisis detallado.
¾ Cuestionarios para analizar detalladamente los temas que lo requerían.
¾ Manuales de Documentación de los Sistemas.
¾ Inspecciones directas efectuadas en el Organismo.
2.3. Limitaciones: No formó parte de la presente auditoría la evaluación del uso de la
Tecnología Informática en las Gerencias no involucradas en el uso del sistema informático
GIGA.
2
Las tareas de campo abarcaron desde enero hasta abril de 2005.-
2.4. Metodología: La auditoría incluyó dos etapas: 1) planificación del análisis detallado y 2)
verificación del cumplimiento de lo informado en la primera etapa.
La etapa de planificación incluyó las siguientes actividades:
•
Análisis del marco legal e institucional del funcionamiento del Instituto.
•
Análisis de los informes de Auditoría Interna en temas informáticos.
•
Entrevistas con los responsables de Gerencias del Organismo, en cuanto a la participación
y experiencia propia y de su personal en el uso de la Tecnología de la Información y del
Sistema GIGA.
•
Entrevistas con los responsables del Área Informática.
En la etapa de análisis detallado se ejecutó:
•
Análisis de las respuestas a los cuestionarios para determinación de las necesidades de
análisis detallado.
•
Determinación de las necesidades de verificación de las respuestas obtenidas.
•
Inspecciones in situ y entrevistas con personal subalterno y del proveedor del Sistema,
realizadas por especialistas en diversas ramas de la informática, a través del trabajo
directo en el campo.
•
Pruebas generales para verificar la operatividad y confiabilidad del sistema GIGA.
En función de la información relevada y los niveles de riesgo estimados se definieron los
trabajos de campo convenientes para realizar las verificaciones necesarias.
Este informe es producto de la evaluación de la información recabada en las entrevistas
mantenidas y de las observaciones realizadas en el trabajo de campo.
También se analizaron los riesgos asociados a los Objetivos de Control definidos para cada
uno de los procedimientos relevados. Las observaciones correspondientes se detallan por
separado.
3. Aclaraciones previas
3.1. Antecedentes: La Ley N° 24.093, de actividades portuarias, contiene un capítulo
referido a la transferencia del dominio, administración o explotación portuaria nacional a los
3
Estados provinciales y/o a la municipalidad de la Ciudad de Buenos Aires y/o a la actividad
privada. Así, el articulo 11 establece que “a solicitud de las provincias y/o de la
municipalidad de la Ciudad de Buenos Aires, en cuyos territorios se sitúen puertos de
propiedad y/o administrados por el Estado Nacional, y mediante el procedimiento que al
respecto determine la reglamentación, el Poder Ejecutivo les transferirá a título gratuito, el
dominio y la administración portuaria”.
El Decreto N° 1029/92 vetó en forma parcial esta ley, en lo atinente a la transferencia del
puerto de Buenos Aires a la jurisdicción municipal.
El artículo 2º del Decreto Nº 817/92 dispuso la disolución de la Administración General de
Puertos Sociedad del Estado (AGPSE), la que se haría efectiva cuando hubieran sido
privatizados, transformados o transferidos los puertos que se encuentran bajo su jurisdicción.
Y, por el artículo 5º, se estableció que el objetivo principal de la gestión del interventor
liquidador del organismo sería la privatización y/o transferencia de los puertos, y que tendría
bajo su responsabilidad la liquidación de las estructuras y activos remanentes.
Además, el decreto creó los Administradores Provisorios de los Puertos de Buenos Aires y
Bahía Blanca, Rosario, Santa Fe, Quequén y Ushuaia, única Autoridad Portuaria en sus
jurisdicciones, dependientes de la Administración General de Puertos Sociedad del Estado (en
liquidación), actuante en la órbita de la entonces Secretaría de Transporte del ex Ministerio de
Economía y Obras y Servicios Públicos. A los Administradores Provisorios se les impuso
como objetivos la gestión y el ejercicio de las responsabilidades propias de la Autoridad
Portuaria en su jurisdicción, asegurando la continuidad de los servicios, el mantenimiento de
los canales de acceso y áreas internas en los respectivos puertos, la responsabilidad del
dragado, señalización y balizamiento y otras actividades conexas. También debían contribuir
a las tareas de transferencia y/o privatización de los servicios portuarios y de las terminales
del puerto bajo su responsabilidad.
Posteriormente, el Decreto N° 1019/93 estableció que la Administración General de Puertos
Sociedad del Estado (en liquidación) continuaría con su gestión como ente responsable del
Puerto de Buenos Aires.
4
Por otra parte, los Decretos N° 1194/94, 1195/94, 1196/94, 1693/94 y 2123/94, delegaron en
la Administración General de Puertos Sociedad del Estado (en liquidación), las tareas de
contralor del cumplimiento de las obligaciones de los Concesionarios de las Terminales
Portuarias del Puerto de Buenos Aires.
También se estableció que la Administración General de Puertos Sociedad del Estado (en
liquidación), deberá dar cumplimiento a todos los actos establecidos en sus Estatutos
Societarios, “hasta tanto se den por cumplidos íntegramente los requisitos establecidos en el
Decreto N° 817/92 y en la Ley N° 24.093 de actividades portuarias y continuará ejerciendo
todos los actos societarios que determinen sus Estatutos Sociales y la normativa vigente”.
En 2003 se elimina en la denominación de la Administración General de Puertos Sociedad
del Estado (en liquidación), el aditamento "en liquidación" (Decreto Nº 19/2003).
A la fecha, el Puerto de Buenos Aires se encuentra bajo la jurisdicción del Estado Nacional,
por no haberse procedido a su transformación y/o transferencia a distinta jurisdicción.
3.2. Naturaleza Jurídica: Como sociedad del Estado, la Administración General de Puertos
está regida por la Ley Nº 20.705 (sancionada el 31 de julio de 1974), según la cual “Son
sociedades del Estado aquellas que, con exclusión de toda participación de capitales
privados, constituyan el Estado Nacional, los Estados provinciales, los municipios, los
organismos estatales legalmente autorizados al efecto o las sociedades que se constituyan en
orden a lo establecido por la presente ley, para desarrollar actividades de carácter
industrial, comercial o explotar servicios públicos”.
En cuanto a su constitución y funcionamiento, las sociedades del Estado se someten a las
normas que regulan las sociedades anónimas. La misma norma establece que no se aplican a
estas sociedades las leyes de contabilidad, de obras públicas ni de procedimientos
administrativos.
La Sindicatura General de la Nación está a cargo del control interno de estas sociedades, y el
control externo lo realiza la Auditoría General de la Nación (Ley Nº 24.156 de
Administración Financiera y de los sistemas de control del Sector Público Nacional).
3.3. Gobierno y Administración: Conforme lo establece el estatuto en su artículo 9°, la
dirección y administración de la Sociedad estará a cargo de un Directorio, integrado por un
5
Presidente, un Vicepresidente y cinco Directores Titulares, designados todos por la Asamblea
Ordinaria, que también elegirá tres Directores Suplentes.
3.4.1.- Intervenciones: Cabe destacar, que los órganos de gobierno y administración no se
encuentran plenamente en funcionamiento, ya que el organismo ha sido intervenido, a causa
de la situación de disolución y privatización, establecida por Decreto 817/92. Actualmente la
Sociedad se encuentra intervenida, habiéndose designado el actual interventor por Decreto N°
371/2003.
3.5. Naturaleza del sistema auditado: El sistema integrado denominado GIGA (Gestión
Integral de Gobierno Automatizada) es un software del tipo Planeamiento de los Recursos
Empresariales (ERP, Enterprise Resources Planning) que cubre la gestión de las áreas de
Administración y Abastecimientos.
Este tipo de sistemas por tener tanto la interfase de usuario como los datos y los circuitos
administrativos integrados permite unificar el flujo de información y mejorar los procesos en
las distintas áreas de la empresa.
Los objetivos principales de los sistemas ERP son:
-Optimizar los procesos empresariales.
-Brindar acceso a información confiable, precisa y oportuna.
-Brindar la posibilidad de que todos los componentes de la organización compartan
información.
-Eliminar datos y operaciones innecesarias.
-Reducir tiempos, costos, errores y la posibilidad de fraudes.
Un ERP es un sistema de información para la gestión de la organización que debe ser
parametrizado. Esto implica definir las políticas con que se quiere utilizar el sistema, que
dependerán de las necesidades de la empresa.
Una importante ventaja de los ERP es que prácticamente todas sus funciones están
interrelacionadas, cada operación realizada genera al final del circuito administrativo su
asiento contable en forma automática, de modo que se pueden conocer los estados contables
en tiempo real o a la fecha deseada, y, por ejemplo: las deudas de clientes y proveedores,
ventas, compras efectivizadas o pendientes de recepción, entre otros.
6
El proceso “ideal” sería que una vez definida la estrategia de la organización y sus circuitos
administrativos, se asociaran a ellos los recursos tecnológicos necesarios para que todas las
operaciones se ejecutasen dentro del ERP.
Aunque en principio el hardware no es la parte más compleja de la implantación, podría
suceder que si ha sido mal elegido o hubo errores en el diseño, su rendimiento global
disminuya.
Se ha de considerar que además de las personas, los procesos son los que definen la eficiencia
y eficacia de la organización. Por ello, en el proyecto de implantación de ERP se deben
redefinir los procesos para:
-Adecuarlos al sistema
-Mejorar su eficiencia y eficacia.
Es necesario que todas las aplicaciones de la organización estén conectadas con el ERP para
conseguir una gestión de la información eficaz, eficiente y confiable.
3.5.1. Descripción de las funciones principales del GIGA
3.5.1.1. Abastecimiento
3.5.1.1.1. Compras: Registra las compras de bienes y servicios requeridas por las diversas
áreas, desde que el sector requirente detecta la necesidad, hasta que el proveedor entrega el
bien o presta el servicio y se obtiene la conformidad del solicitante. Abarca las transacciones
relacionadas con:
•
Suministro de bienes almacenados disponibles en stock.
•
Compras de todo tipo de bien en cualquiera de sus modalidades.
•
Contratación directa.
•
Contratación directa con invitación.
•
Licitación privada.
•
Licitación pública.
•
Contratación de servicios.
3.5.1.1.2. Stock: Permite el seguimiento de la gestión de todos los elementos físicos
considerados como stock, almacenados en Deposito Central. Mantiene el registro desde que el
7
bien ingresa a Almacenes y sus eventuales transferencias, hasta el momento en que es
solicitado y enviado al sector requeriente.
3.5.2. Administración.
3.5.2.1. Cuentas a Pagar: Permite efectuar el seguimiento de los compromisos contraídos
por AGP que concluyen con un egreso de fondos.
Registra desde que se completa el ciclo de Compra con la emisión de su Orden de Compra,
hasta la llegada de las facturas, su registro en el sistema y seguimiento de los vencimientos
hasta la preparación de la documentación para efectuar el pago.
3.5.2.2. Liquidaciones: Permite emitir la facturación de los servicios prestados a terceros por
AGP y su posterior seguimiento hasta la cobranza definitiva o hasta que cada concepto
facturado sea dado de baja por cualquier otro motivo (pasaje a mora, gestión judicial,
incobrabilidad, etc.)
3.5.2.3. Tesorería: Permite realizar el seguimiento de las transacciones vinculadas con el
ingreso y egreso de fondos.
Desde la recepción de la documentación respaldatoria de los pagos y las cobranzas a efectuar,
hasta la emisión y entrega del instrumento de pago, o la recepción de fondos y la entrega del
recibo correspondiente.
También efectúa el manejo de los fondos con posterioridad al pago o cobranza, incluyendo el
depósito, la transferencia, adquisición de otros activos financieros y su seguimiento.
3.5.2.4. Patrimonio: Permite gestionar de la totalidad de los activos fijos de la AGP en sus
diversos aspectos: ubicación física, tenencia, etc.
Se registra desde el ingreso del bien al patrimonio con todos los eventos que se produzcan
hasta el momento de la baja definitiva.
3.5.2.5. Contabilidad: Registra los movimientos contables correspondientes a la totalidad de
las transacciones efectuadas, permitiendo consultar la información generada y emitiendo los
informes necesarios para satisfacer requerimientos legales como los de análisis de la gestión.
Comprende el proceso de traducción a nivel contable de todas las transacciones operativas,
permitiendo el ingreso de ajustes manuales a los saldos contables por medio de asientos y la
extracción de la información en distintos formatos.
8
3.5.2.6. Presupuesto: Permite la asignación anual del presupuesto para cada partida y
efectuar el posterior seguimiento para comprobar su ejecución.
Registra desde la aprobación del Presupuesto Anual, cuando se lo carga, hasta cada una de las
transacciones que lo afectan en sus diferentes etapas, concluyendo en el cierre anual.
3.5.3. Procedimientos del Sistema.
3.5.3.1. Procedimiento de Compras: Al realizar la apertura de la Solicitud del Gasto se
define su concepto (partida presupuestaria afectada). Esta tarea la efectúa cada sector según
sus necesidades.
Se autoriza la solicitud accediendo por el sistema a la lista de transacciones pendientes donde
se permite aprobarla o rechazarla. Este proceso está limitado a los usuarios con perfil de Jefe
de Departamento.
La solicitud se remite a la Gerencia Administrativa para afectar la partida presupuestaria que
corresponda. Afecta el presupuesto Preventivo y lo realiza el usuario con perfil de Gerente
Administrativo.
Se inicia la Gestión de Compras. El sistema permite las opciones Compra Directa, Compra
Directa con Invitación, Licitación Privada y Licitación Pública.
El sistema, en forma automática, analiza y propone adjudicar por menor cotización.
Los procesos de autorización solicitados por el sistema son realizados por el usuario con los
perfiles de Gerente General y Jefe de Departamento de Abastecimiento.
Se remite el expediente en formas electrónica y manual a la Gerencia Administrativa para
confirmar o rechazar la imputación presupuestaria del Compromiso.
Luego de confirmado el compromiso se emite la Orden de Compra.
Almacenes realiza la recepción de la mercadería ingresando los datos del remito en el sistema,
valida las cantidades solicitadas con las recibidas, y actualiza el stock.
Los remitos recibidos en Almacenes habilitan la recepción de la factura del proveedor y su
ingreso en el sistema , estos datos permiten confeccionar la orden de pago al proveedor.
La emisión de la orden de pago genera en forma automática la imputación presupuestaria a
pagar (devengado) y el asiento contable correspondiente.
9
Por cada pago realizado se emite un Recibo de Pago donde se detalla los instrumentos de
pago utilizados. El sistema permite la emisión de cheques y realiza la imputación
presupuestaria de lo pagado en forma automática.
3.5.3.2. Procedimiento de Liquidaciones: El sector de Liquidaciones realiza la confección y
generación de todas las facturas que emite la Administración General de Puertos.
Las facturas corresponden a distintos servicios por los cuales recibe ingresos, estos servicios
consisten en la liquidación de:
•
Tasas de Cargas.
•
Importación.
•
Pasavantes.
•
Patentes de Buques.
•
Arrendamientos.
•
Servicios Ferroviarios.
•
Servicios Administrativos.
•
Prestaciones Tácitas.
•
Tasa a Terminales Portuarias.
•
Tasas a Pasajeros y Vehículos.
•
Suministro de Energía Eléctrica.
•
Reliquidación de Servicios Sanitarios.
•
Multas.
•
Averías.
•
Embarques de Cereales y Elevadores – Exportación.
4. Comentarios y observaciones
Se exponen a continuación las principales observaciones y comentarios surgidos del trabajo
llevado a cabo por esta Auditoría.
Para cada una de las observaciones se incluyen el nivel de madurez, conforme al Modelo de
Madurez de la Capacidad de la Universidad Carnegie Melon enunciado más abajo, y las
recomendaciones tendientes a mejorar el ambiente de control y reducir los riesgos
identificados.
10
Niveles del Modelo Genérico de Madurez:
0 – No conforma. Falta total de procesos reconocibles. La organización incluso no reconoce
que existe un tema a ser tenido en cuenta.
1 – Inicial / Ad Hoc. Hay evidencia de que la organización reconoce la existencia del tema y
la necesidad de atenderlo. Sin embargo, no existen procesos estandarizados y en lugar de ellos
existen aproximaciones ad hoc que se aplican sobre una base individual o caso por caso. La
administración aparece como desorganizada.
2 – Repetible aunque Informal. Los procesos han evolucionado hasta la etapa en la cual
procedimientos similares son ejecutados por distintas personas que desarrollan las mismas
tareas. No hay entrenamiento formal ni comunicación de procedimientos estándar y la
responsabilidad es librada a cada individuo. Hay un alto grado de confianza en el
conocimiento de los individuos y es probable que haya errores.
3 – Proceso Definido. Los procedimientos han sido estandarizados, documentados y
comunicados vía entrenamiento. Sin embargo, es responsabilidad de los individuos cumplir
con estos procesos y es improbable que se detecten las desviaciones. Los procedimientos en sí
mismos no son sofisticados pero son la formalización de prácticas existentes.
4 - Administrado. Es posible monitorear y medir el cumplimiento de los procedimientos e
intervenir cuando los procesos parecen no estar funcionando adecuadamente. Los procesos
están siendo mejorados constantemente y proveen una práctica correcta. El uso de
herramientas y de automatización es limitado o fragmentario.
5 - Optimizado. Los procesos han sido corregidos hasta el nivel de la mejor práctica, basado
en los resultados de la mejora continua y de la movilización con otras organizaciones. La
Tecnología de la Información es usada de forma integrada para automatizar el flujo de trabajo,
proveer herramientas para mejorar la calidad y la eficacia y hacer que la organización se
adapte rápidamente a los cambios.
Además, para cada uno de los objetivos de control se indica cuáles de los requerimientos de la
información, detallados a continuación, son afectados:
Eficacia: La información debe ser relevante y pertinente para la misión del ente, y su entrega,
oportuna, correcta, consistente y utilizable.
11
Eficiencia: La información debe suministrarse mediante la utilización óptima (más productiva
y económica) de recursos.
Confidencialidad: La información sensible debe ser protegida contra divulgación no
autorizada.
Integridad: La información debe ser precisa y suficiente, y válida, de acuerdo con los valores
y expectativas del organismo.
Disponibilidad: La información debe estar disponible cuando se la requiera por las misiones
del organismo ahora y en el futuro. Se deben salvaguardar los recursos necesarios y
capacidades asociadas.
Cumplimiento: El organismos debe cumplir las leyes, regulaciones y acuerdos contractuales a
los que está sujeto.
Confiabilidad: La información que se requiere para que la administración opere la entidad y
cumpla sus responsabilidades de generar reportes financieros y de cumplimiento, debe ser
confiable.
A efectos de determinar el impacto de las observaciones detectadas, se clasificó las de
acuerdo con el nivel de riesgo. Los niveles asignados son Alto, Medio y Bajo.4.1. Planificación y organización.
4.1.1. Definición de un Plan Estratégico de Tecnología de la Información.
Objetivo de control: La máxima autoridad debe impulsar el proceso periódico de
planificación estratégica que permita formular los planes a largo plazo. A su vez, estos planes
deben traducirse oportunamente en planes operativos que definan metas claras y concretas a
corto plazo.
Este objetivo de control afecta a los siguientes requerimientos de la información necesaria
para cumplir las misiones del organismo, primariamente:
•
la eficacia
y en forma secundaria:
•
la eficiencia.
12
Nivel de madurez: No Conforma. No se realiza una planificación estratégica formal. Las
autoridades del organismo no han llevado acabo una planificación estratégica de la
Tecnología Informática que respalde sus metas, programas, proyectos o actividades.
Observaciones: El nivel de organización del Organismo es débil y la alta frecuencia de
rotación de sus máximas autoridades dificulta la superación del problema. No hubo en los
últimos años un plan estratégico de la Empresa. No se conoce la existencia de un área de
planeamiento ni de un comité de planificación de Tecnología Informática.
Nivel de riesgo:
[X] Alto
[ ] Medio
[ ] Bajo
4.1.2. Definición de la Arquitectura de la Información.
Objetivo de control: La información debe mantenerse acorde con las necesidades y debe ser
identificada, recopilada y comunicada en forma y tiempo tales que permitan a las personas
cumplir sus responsabilidades de manera eficiente y oportuna. Se debe crear y mantener un
modelo de arquitectura de la información que incluya el modelo de datos del organismo y los
sistemas de información relacionados.
Este objetivo de control afecta a los siguientes requerimientos de la información necesaria
para cumplir las misiones del organismo, primariamente:
•
la eficacia
y en forma secundaria:
•
la eficiencia
•
la confidencialidad
•
la integridad
Nivel de madurez: No Conforma. No se toma conciencia de la importancia que reviste la
arquitectura de la información. El conocimiento, la pericia y las responsabilidades necesarias
para desarrollar esta arquitectura no existen en el organismo.
Observaciones: No existe un modelo de la arquitectura de la información. El proveedor del
sistema GIGA entregó en su momento un diccionario de datos con el estado del Sistema antes
de su adaptación a las necesidades de la Administración, pero no se lo ha actualizado.
Nivel de riesgo:
[X] Alto
[ ] Medio
[ ] Bajo
13
4.1.3. Determinación de la Dirección Tecnológica.
Objetivo de control: La función de servicios de información debe crear y mantener un plan
de infraestructura tecnológica que fije y administre expectativas claras y realistas de lo que la
tecnología puede ofrecer en términos de productos, servicios y mecanismos de entrega.
Este objetivo de control afecta a los siguientes requerimientos de la información necesaria
para cumplir las misiones del organismo, primariamente:
•
la eficacia
y en forma secundaria:
•
la eficiencia
Nivel de madurez: No Conforma. No se toma conciencia de la importancia que la
planificación de infraestructura tecnológica reviste para el organismo. No se alcanza el
conocimiento y la pericia requeridos para desarrollar esa infraestructura. No se considera que
la planificación para el cambio tecnológico sea crítica para la asignación eficaz de los
recursos.
Observaciones: No se conoce la existencia de procesos formales para crear y actualizar
periódicamente el plan de infraestructura tecnológica ni para evaluar su estado.
Nivel de riesgo:
[X] Alto
[ ] Medio
[ ] Bajo
4.1.4. Definición de la organización y las Relaciones de Tecnología de la Información.
Objetivo de control: La máxima autoridad debe establecer una estructura organizativa
adecuada en términos de cantidad e idoneidad del personal, con roles y responsabilidades
definidos y comunicados, alineada con la misión del organismo y que facilite la estrategia y
brinde una dirección eficaz y un control adecuado.
Este objetivo de control afecta a los siguientes requerimientos de la información necesaria
para cumplir las misiones del organismo, primariamente:
•
la eficacia
y en forma secundaria:
•
la eficiencia
Nivel de madurez: No conforma. La estructura organizativa del organismo no está
debidamente establecida para concretar el logro de sus objetivos.
14
Observaciones: Al no estar aprobada la planificación estratégica, no están oficialmente
establecidos los objetivos de detalle de la Administración, por lo que no se pueden adecuar los
servicios de tecnología de la información a sus necesidades. La dotación del área de Sistemas
es reducida para el volumen de tareas que debería realizar el sector si asumiera la
problemática de todo el organismo.
Nivel de riesgo:
[X] Alto
[ ] Medio
[ ] Bajo
4.1.5. Administración de la Inversión en Tecnología de Información.
Objetivo de control: La máxima autoridad debe definir un presupuesto anual operativo y de
inversión, establecido y aprobado por el organismo.
Este objetivo de control afecta a los siguientes requerimientos de la información,
primariamente:
•
la eficacia
•
la eficiencia
y en forma secundaria:
•
la confiabilidad
Nivel de madurez: No Conforma. No se ha tomado conciencia de la importancia de la
selección y presupuestación de las inversiones en tecnología de la información. No se hace un
seguimiento o monitoreo de las inversiones ni de los gastos en esta materia.
Observaciones: No se conoce la existencia de políticas y procedimientos formales para la
preparación del presupuesto operativo anual, ni para monitorear los costos reales y
compararlos con los proyectados, ni para su justificación económica. No existe un sistema de
imputación de costos.
Nivel de riesgo:
[X] Alto
[ ] Medio
[ ] Bajo
4.1.6. Comunicación de los Objetivos y Directivas de la Gerencia.
Objetivo de control: La máxima autoridad debe impulsar la definición de políticas y su
comunicación a la comunidad de usuarios. Además, es preciso que se establezcan normas que
traduzcan las opciones estratégicas en reglas prácticas y útiles.
Este objetivo de control afecta a los siguientes requerimientos de la información necesaria
para cumplir las misiones del organismo, primariamente:
15
•
la eficacia
y en forma secundaria:
•
el cumplimiento
Nivel de madurez: No Conforma. La máxima autoridad del organismo no ha establecido un
ambiente positivo de control de la información. No hay reconocimiento de la necesidad de
establecer un conjunto de procesos, políticas, procedimientos y normas, y de garantizar su
cumplimiento.
Observaciones: No se conoce la existencia de políticas y procedimientos formales ni un
programa de concientización que generen un ambiente de control positivo. No se conoce la
existencia de políticas y procedimientos formales que garanticen la asignación de recursos en
forma adecuada. No existe el documento marco de seguridad informática ni políticas formales
al respecto.
Nivel de riesgo:
[X] Alto
[ ] Medio
[ ] Bajo
4.1.7. Administración de los Recursos Humanos.
Objetivo de control: La máxima autoridad debe implementar prácticas sólidas, justas y
transparentes de administración de personal en cuanto a selección, alineación, verificación de
antecedentes, remuneración, capacitación, evaluación, promoción y despido.
Este objetivo de control afecta a los siguientes requerimientos de la información necesaria
para cumplir las misiones del organismo, primariamente:
•
la eficacia
•
la eficiencia
Nivel de madurez: No Conforma. No se ha tomado conciencia de la importancia de alinear la
administración de los recursos humanos de tecnología de la información con el proceso de
planificación de tecnología para el organismo. No hay ninguna persona o grupo formalmente
responsable de la administración de recursos humanos de tecnología de la información.
Observaciones: No se conoce la existencia de programas referentes a la educación y la
concientización general en problemas de seguridad de la información. No se cuenta con
personal suficientemente idóneo para las tareas a realizar. No existen procesos formales de
seguridad para altas, bajas y modificaciones de accesos por usuario. Existen usuarios en la red
16
que ya no pertenecen a la Empresa. En la Subgerencia de Sistemas, la falta de personal
capacitado es manifiesta e impide transferir la tecnología del sistema GIGA del proveedor a la
Administración.
Nivel de riesgo:
[X] Alto
[ ] Medio
[ ] Bajo
4.1.8. Evaluación de Riesgos.
Objetivo de control: La máxima autoridad debe definir un proceso por el cual el organismo
se ocupe de identificar los riesgos de Tecnología de la Información y analizar su impacto,
involucrando funciones multidisciplinarias y adoptando medidas eficaces en función de costos
a fin de mitigarlos.
Este objetivo de control afecta a los siguientes requerimientos de la información necesaria
para cumplir las misiones del organismo, primariamente:
•
la confidencialidad
•
la integridad
•
la disponibilidad
y en forma secundaria:
•
la eficacia
•
la eficiencia
•
el cumplimiento
•
la confiabilidad
Nivel de madurez: No Conforma. No se realiza una evaluación de riesgos para los procesos y
las decisiones de actividades sustantivas. No se consideran los puntos vulnerables de la
seguridad ni las incertidumbres de los proyectos de desarrollo. La administración de riesgos
no se consideró relevante en la adquisición de soluciones de Tecnología de la Información y
la prestación de servicios de Tecnología de la Información.
Observaciones: De la información recibida se concluye que no existen políticas y
procedimientos formales para evaluar el riesgo tecnológico.
Nivel de riesgo:
[X] Alto
[ ] Medio
[ ] Bajo
4.1.9. Administración de Proyectos.
17
Objetivo de control: La máxima autoridad debe establecer un proceso por el cual el
organismo identifique y establezca las respectivas prioridades de los proyectos en
concordancia con el plan operativo. El organismo debe adoptar y aplicar técnicas bien
concebidas de administración de proyectos para cada uno que se inicie.
Este objetivo de control afecta a los siguientes requerimientos de la información necesaria
para cumplir las misiones del organismo, primariamente:
•
la eficacia
•
la eficiencia
Nivel de madurez: Inicial / Ad Hoc. El organismo tiene una noción de la necesidad de
estructurar los proyectos y conoce los riesgos que implican los proyectos mal administrados.
El uso de técnicas y enfoques de administración de proyectos es una decisión que queda a
criterio del gerente. En general, los proyectos están mal definidos y no incorporan los
objetivos técnicos ni los de la actividad del organismo o de las partes interesadas. Hay una
falta generalizada de compromiso de la dirección. La asignación de responsables de los
proyectos y las decisiones críticas se toman sin tener en cuenta los aportes de la gerencia
usuaria o de los usuarios. La participación de los clientes y usuarios en la definición de
proyectos es escasa o nula. No hay una buena definición de los cronogramas y plazos de los
proyectos. El tiempo y los gastos del personal asignado al proyecto no se rastrean ni cotejan
con los presupuestos.
Observaciones: No se conoce la existencia de un marco formal de administración de
proyectos. En el caso particular del sistema GIGA, se nombraron responsables de la ejecución
del proyecto de implantación. Existió una planificación que no se cumplió en la práctica en lo
referente a plazos (23 meses contra los 6 previstos) y a control de calidad (las pruebas de
aprobación no fueron completas). Algunos usuarios no están conformes con las prestaciones
del sistema.
Nivel de riesgo:
[X] Alto
[ ] Medio
[ ] Bajo
4.1.10. Administración de la Calidad.
18
Objetivo de control: La alta gerencia debe desarrollar la planificación, implementación y el
mantenimiento de normas y sistemas de administración de calidad del organismo, que
proporcionen distintas fases de desarrollo, prestaciones claves y responsabilidades explícitas.
Este objetivo de control afecta a los siguientes requerimientos de la información necesaria
para cumplir las misiones del organismo, primariamente:
•
la eficacia
•
la eficiencia
•
la integridad
y en forma secundaria:
•
la confiabilidad
Nivel de madurez: No Conforma. El organismo carece de un proceso de planificación de
garantía de calidad y de una metodología de ciclo de vida de desarrollo de sistemas. La alta
gerencia y el personal de Tecnología de la Información no reconocen la necesidad de un
programa de calidad. No se verifica la calidad de los proyectos y las operaciones.
Observaciones: La alta gerencia y el personal de Tecnología no establecen un programa de
control de calidad y éste no se verifica en los proyectos y las operaciones. No se aplica la
metodología de ciclo de vida, no se planifican los proyectos de desarrollo de sistemas ni hay
un sistema formal para su seguimiento. Se han observado datos erróneos almacenados en las
bases
principales
Nivel de riesgo:
que
los
sistemas
[X] Alto
de
aplicación
[ ] Medio
no
deberían
admitir.
[ ] Bajo
4.2. Administración e implementación.
4.2.1. Identificación de Soluciones Automatizadas
Objetivo de control: La máxima autoridad debe garantizar una identificación y un análisis
claro y objetivo de las alternativas, medidas en comparación con los requerimientos del
usuario.
Este objetivo de control afecta a los siguientes requerimientos de la información necesaria
para cumplir las misiones del organismo, primariamente:
•
la eficacia
y en forma secundaria:
19
•
la eficiencia
Nivel de madurez: No Conforma. El organismo no exige la identificación de requerimientos
funcionales y operativos para el desarrollo, la implementación o modificación de las
soluciones de sistemas, servicio, infraestructura, software y datos. El organismo no se
mantiene informado de las soluciones tecnológicas disponibles y eventualmente relevantes
para su actividad.
Observaciones: De la información recibida surge que:
•
No se han documentado criterios para la consideración de las opciones de desarrollo
interno, de terceros y soluciones compradas.
•
No existe un método general de adquisición e implementación ni una metodología de
ciclo de vida de desarrollo de sistemas claros y aceptados.
•
No existe un proceso transparente, ágil y eficiente para la planificación, iniciación y
aprobación de soluciones.
•
No se implementó un proceso estructurado de análisis de requerimientos.
•
No existen procedimientos formales para evaluar los requerimientos de seguridad y
control desde el principio de los desarrollos.
Nivel de riesgo:
[X] Alto
[ ] Medio
[ ] Bajo
4.2.2. Adquisición y Mantenimiento del Software de Aplicación
Objetivo de control: La adquisición y mantenimiento del software de aplicación debe
realizarse definiendo específicamente los requerimientos funcionales y operativos, e
implementando por etapas con prestaciones claras.
Este objetivo de control afecta a los siguientes requerimientos de la información necesaria
para cumplir las misiones del organismo, primariamente:
•
la eficacia
•
la eficiencia
y en forma secundaria:
•
la integridad
•
el cumplimiento
•
la confiabilidad
20
Nivel de madurez: Inicial / Ad Hoc. Se tomó conciencia de que se necesita un proceso para
adquirir y mantener las aplicaciones. Sin embargo, los enfoques varían de proyecto a proyecto
sin uniformidad y en general, en forma aislada de otros proyectos. Es probable que el
organismo haya adquirido una variedad de soluciones individuales y ahora enfrente problemas
de sistemas heredados e ineficiencias en el mantenimiento y soporte. Los usuarios del
organismo no pueden sacar demasiada ventaja de las inversiones de Tecnología de la
Información.
Observaciones: De la información recibida no surge la existencia de una metodología formal
de adquisición, diseño, desarrollo e implementación aceptada, entendida y aplicada.
Nivel de riesgo:
[X] Alto
[ ] Medio
[ ] Bajo
4.2.3. Adquisición y Mantenimiento de la Infraestructura Tecnológica
Objetivo de control: La gerencia de la función de servicios de información debe impulsar la
adquisición criteriosa del software y el hardware, la estandarización del software, la
evaluación de los rendimientos, y la administración coherente de sistemas.
Este objetivo de control afecta a los siguientes requerimientos de la información necesaria
para cumplir las misiones del organismo, primariamente:
•
la eficacia
•
la eficiencia
y en forma secundaria:
•
la integridad
Nivel de madurez: No Conforma. No se conoce la existencia de un plan de adquisición de
infraestructura tecnológica que permita mantener criteriosamente actualizados el hardware y
el software del organismo.
Observaciones: No existen políticas y procedimientos formales que aseguren la preparación
de un plan de evaluación del hardware y el software nuevos a fin de determinar su eventual
impacto sobre el rendimiento general.
La alta gerencia no ha definido una estrategia de arquitectura de Tecnología de la Información
y los requerimientos relacionados.
21
No se cuenta con un inventario actualizado de la infraestructura de Tecnología de la
Información (hardware y software). El inventario de hardware que se ha recibido no permite
evaluar adecuadamente el estado de la infraestructura tecnológica, a pesar de lo cual se pudo
inferir que el equipamiento disponible es incompleto. De la información obtenida no surge
que se hayan definido políticas para:
•
Evaluar adecuadamente las opciones de desarrollo interno, por terceros y por
infraestructuras externas.
•
Manejar los casos en los que se depende de un proveedor de única fuente.
•
La administración de cambios.
•
El uso de una metodología de ciclo de vida bien definida para seleccionar, adquirir,
mantener y quitar componentes de la infraestructura de Tecnología de la Información.
•
Fundamentar las adquisiciones en los requerimientos de desempeño y capacidad mediante
la integración con procesos de administración de los mismos.
Nivel de riesgo:
[X] Alto
[ ] Medio
[ ] Bajo
4.2.4. Desarrollo y Mantenimiento de Procedimientos
Objetivo de control: Se debe aplicar un enfoque estructurado para el desarrollo de
procedimiento del usuario y de operaciones, requerimientos de servicios y materiales de
capacitación.
Este objetivo de control afecta a los siguientes requerimientos de la información necesaria
para cumplir las misiones del organismo, primariamente:
•
la eficacia
•
la eficiencia
y en forma secundaria:
•
la integridad
•
el cumplimiento
•
la confiabilidad
Nivel de madurez: No Conforma. No hay un proceso para producir documentación del
usuario, manuales de operaciones y material de capacitación. Los únicos materiales son los
que vienen con los productos comprados.
22
Observaciones: De la información recibida no surge que:
•
Existan acuerdos de nivel de servicio, con vínculos con las normas de documentación.
•
Se mantengan inventarios de programas y procedimientos del organismo ni de Tecnología
de la Información utilizando herramientas automatizadas.
•
El proceso de desarrollo asegure el uso de procedimientos operativos estándares y una
apariencia estándar de las interfaces de usuario.
•
La capacitación del usuario en la utilización de los procedimientos esté integrada con los
planes de capacitación del organismo y de Tecnología de la Información.
•
Exista un marco estándar, definido y monitoreado, para documentar y redactar los
procedimientos.
•
Para desarrollar, distribuir y mantener procedimientos se empleen técnicas de
administración del conocimiento, de flujo de trabajo ni herramientas automatizadas.
•
La infraestructura y estructura organizativa estén diseñadas para promover y compartir la
documentación del usuario, los procedimientos técnicos y el material de capacitación
entre los instructores, la mesa de ayuda y los grupos de usuarios.
Nivel de riesgo:
[X] Alto
[ ] Medio
[ ] Bajo
4.2.5. - Instalación y acreditación de aplicativos.
Objetivo de control: La implementación de nuevos sistemas debe realizarse por medio de un
plan bien formalizado de instalación, migración, conversión y aceptación.
Este objetivo de control afecta a los siguientes requerimientos de la información necesaria
para cumplir las misiones del organismo, primariamente:
•
la eficacia
y en forma secundaria:
•
la integridad
•
la disponibilidad
Nivel de madurez: No Conforma. No hay ningún proceso formal de instalación y
acreditación. La alta gerencia o el personal de Tecnología de la Información reconocen
parcialmente la necesidad de verificar que las soluciones sean adecuadas para la finalidad
prevista.
23
Observaciones: No existe una metodología formal del ciclo de vida del desarrollo de
sistemas para la instalación y acreditación de sistemas que incluya, entre otros, un enfoque en
fases de: capacitación, cuantificación del desempeño, plan de conversión, pruebas de
programas, un plan de pruebas paralelas o prototipo, pruebas de aceptación, pruebas de
seguridad y acreditación, pruebas de funcionamiento, controles de cambios; implementación,
y revisión y modificación posteriores a la implementación. No se usan adecuadamente las
bibliotecas de desarrollo, prueba y producción para los sistemas en proceso. En el caso del
Sistema GIGA los cambios se realizan mayoritariamente en forma directa en el ambiente de
producción. El programa de capacitación de usuarios del sistema GIGA no contempló las
diferencias respecto del sistema anterior, los cambios que afectan a la entrada, el
procesamiento, la programación, la distribución, las interfaces con otros sistemas, los errores
y su resolución. Algunos usuarios no están satisfechos con la capacitación recibida. El
desempeño del sistema GIGA se encuentra por debajo del óptimo y el problema no se
soluciona debido a la insuficiencia de infraestructura tecnológica y de personal.
Nivel de riesgo:
[X] Alto
[ ] Medio
[ ] Bajo
4.2.6. Administración de Cambios
Objetivo de control: Se debe poner en marcha un sistema de administración de cambios que
permita analizar, implementar y seguir todas las modificaciones solicitadas y realizadas en la
infraestructura de Tecnología de la Información existente.
Este objetivo de control afecta a los siguientes requerimientos de la información necesaria
para cumplir las misiones del organismo, primariamente:
•
la eficacia
•
la eficiencia
•
la integridad
•
la disponibilidad
y en forma secundaria:
•
la confiabilidad
Nivel de madurez: No Conforma. No hay un proceso de administración de cambios definido
y es posible introducir cambios casi sin control alguno. No se ha tomado conciencia de que el
24
cambio puede ser perturbador tanto para las operaciones de Tecnología de la Información
como para las actividades del organismo y no se toma conciencia de los beneficios de una
buena administración de cambios.
Observaciones: Del análisis de la información recibida surge que:
•
No existen políticas de cambio claras y conocidas que se implementen en forma rigurosa y
sistemática.
•
La administración de cambios no está integrada con la administración de las versiones de
software ni forma parte de la administración de la configuración.
•
No existe un proceso rápido y eficiente de planificación, aprobación e iniciación para
identificar, categorizar, evaluar impactos y establecer prioridades para los cambios.
•
No se cuenta con herramientas de proceso automatizadas para respaldar la definición de
flujo de trabajo, planes de trabajo normados, plantillas de aprobación, pruebas,
configuración y distribución.
•
No hay un proceso formal definido para la transición del ambiente de desarrollo al de
operaciones.
•
No se analiza si los cambios tienen impacto en los requisitos de capacidad y desempeño.
•
No se dispone de documentación de aplicaciones y configuración completa y actualizada.
•
No existe registro completo de los cambios al sistema GIGA solicitados ni de los
efectuados.
•
La documentación del sistema GIGA no se modificó pese a los cambios que viene
sufriendo.
Nivel de riesgo:
[X] Alto
[ ] Medio
[ ] Bajo
4.3. Entrega y Soporte.
4.3.1. Definición y Administración de los Niveles de Servicio.
Objetivo de control: La máxima autoridad debe definir un marco dentro del cual promueva
acuerdos de nivel de servicio que formalicen los criterios de desempeño en virtud de los
cuales se medirá su cantidad y calidad.
Este objetivo de control afecta a los siguientes requerimientos de la información necesaria
para cumplir las misiones del organismo, primariamente:
25
•
la eficacia
•
la eficiencia
y en forma secundaria:
•
la confidencialidad
•
la integridad
•
la disponibilidad
•
el cumplimiento
•
la confiabilidad
Nivel de madurez: No Conforma. La gerencia no ha reconocido la necesidad de
la
definición de niveles de servicio ni de un proceso para tal fin.
Observaciones: De las reuniones mantenidas y de la documentación recibida surge que no se
definen niveles de servicio y no existen políticas al respecto.
Nivel de riesgo:
[ ] Alto
[X] Medio
[ ] Bajo
4.3.2. Administración de Servicios Prestados por Terceros.
Objetivo de control: La máxima autoridad debe implementar medidas de control orientadas
revisar y monitorear los contratos y procedimientos existentes para garantizar su eficacia y el
cumplimiento de la política del organismo.
Este objetivo de control afecta a los siguientes requerimientos de la información necesaria
para cumplir las misiones del organismo, primariamente:
•
la eficacia
•
la eficiencia
y en forma secundaria:
•
la confidencialidad
•
la integridad
•
la disponibilidad
•
el cumplimiento
•
la confiabilidad
Nivel de madurez: No Conforma. Las responsabilidades y la rendición de cuentas no están
definidas. No hay políticas y procedimientos formales para la contratación de terceros. Los
26
servicios de terceros no son aprobados ni revisados por la dirección. No hay actividades de
medición ni informes de los proveedores y en consecuencia la alta gerencia no está al tanto de
la calidad del servicio prestado.
Observaciones: De la información recibida surge que los contratos de algunos servicios que
se le prestan al Organismo ya no están vigentes. En el caso de la administración del sistema
GIGA, los servicios los prestan terceros cuyo contrato ha vencido, y son pagados con la figura
de “legítimo abono”.
Nivel de riesgo:
[X] Alto
[ ] Medio
[ ] Bajo
4.3.3. Administración de la Capacidad y el Desempeño.
Objetivo de control: Se debe implementar un proceso de administración orientado a
recopilar datos, analizar y generar informes sobre el desempeño de los recursos de Tecnología
de la Información, la dimensión de los sistemas de aplicación y la demanda de cargas de
trabajo.
Este objetivo de control afecta a los siguientes requerimientos de la información necesaria
para cumplir las misiones del organismo, primariamente:
•
la eficacia
•
la eficiencia
y en forma secundaria:
•
la disponibilidad
Nivel de madurez: No Conforma. La alta gerencia no reconoce que las actividades
sustantivas claves pueden requerir altos niveles de desempeño de Tecnología de la
Información y que la necesidad del organismo de tales servicios excede la capacidad
instalada. No se cuenta con ningún proceso de planificación de la capacidad de
procesamiento.
Observaciones: Según la información disponible, no existen en el organismo políticas y
procedimientos formales para la planificación de la capacidad. Si bien se realizan
estimaciones basadas en las expectativas de cambio, la falta de definiciones al respecto
dificulta la concreción y formalización de ampliaciones de una infraestructura que a la fecha
es insuficiente, incluso para las aplicaciones en uso.
27
Nivel de riesgo:
[X] Alto
[ ] Medio
[ ] Bajo
4.3.4. Garantía de un Servicio Continuo.
Objetivo de control: La máxima autoridad debe implementar un plan probado y operativo de
continuidad de tecnología de información que concuerde con el plan de continuidad general
del organismo y sus requerimientos de actividad relacionados.
Este objetivo de control afecta a los siguientes requerimientos de la información necesaria
para cumplir las misiones del organismo, primariamente:
•
la eficacia
•
la disponibilidad
y en forma secundaria:
•
la eficiencia
Nivel de madurez: No Conforma. No se consideran los riesgos, las vulnerabilidades y las
amenazas para las operaciones de Tecnología de la Información, ni el impacto que la pérdida
de servicios de Tecnología de la Información puede tener en el organismo. No se considera
que la continuidad del servicio requiera la atención de la máxima autoridad y la alta gerencia.
Observaciones: De la información recibida surge que no se ha formalizado un plan de
continuidad del servicio. A pesar de que existe conciencia de los riesgos a los que está
expuesto el Organismo, hasta la fecha no se han emprendido las acciones requeridas para
superarlos.
Nivel de riesgo:
[X] Alto
[ ] Medio
[ ] Bajo
4.3.5. Garantía de la Seguridad de los Sistemas.
Objetivo de control: La máxima autoridad debe establecer y mantener un programa de
seguridad de la información para implementar los controles de acceso lógico que garanticen
que el acceso a los sistemas, datos y programas esté limitado a los usuarios autorizados.
Este objetivo de control afecta a los siguientes requerimientos de la información necesaria
para cumplir las misiones del organismo, primariamente:
•
la confidencialidad
•
la integridad
y en forma secundaria:
28
•
la disponibilidad
•
el cumplimiento
•
la confiabilidad
Nivel de madurez: Inicial / Ad Hoc. El organismo reconoce la necesidad de la seguridad de
tecnología de información, pero la concientización depende de cada persona. La seguridad de
tecnología de información se encara en forma reactiva y no se realizan mediciones. Las
responsabilidades no son claras por lo cual las violaciones a la seguridad de tecnología de la
información, si son detectadas, generan la necesidad de señalar a los culpables. Las respuestas
a las violaciones de la seguridad de tecnología de información son impredecibles.
Observaciones: No existe un plan estratégico formal de seguridad. Existe una persona que se
ocupa de los temas de seguridad, pero su cargo, sus misiones y funciones no están definidos
formalmente. No se conoce la existencia de un esquema de clasificación de datos. No existen
responsables de la seguridad y contenido de los datos. No existen perfiles de seguridad de los
usuarios. No se revisan periódicamente los niveles de seguridad y accesos permitidos de los
usuarios. Existen usuarios de la red y del sistema GIGA que son genéricos, no pertenecen a la
organización o gozan de los privilegios correspondientes al personal de gerencias distintas de
la propia. No se capacita a los empleados sobre seguridad informática. No existen
procedimientos formales de presentación de informes sobre violaciones a la seguridad, ni de
resolución de problemas. La red permite sesiones múltiples concurrentes. No existen políticas
para los puestos clave, ni posiciones definidas como tales.
Nivel de riesgo:
[X] Alto
[ ] Medio
[ ] Bajo
4.3.6. Identificación e Imputación de Costos.
Objetivo de control: Se debe implementar un sistema de imputación de costos que garantice
que se registren, calculen y asignen los costos de acuerdo con el nivel de detalle requerido y el
ofrecimiento de servicio adecuado.
Este objetivo de control afecta a los siguientes requerimientos de la información necesaria
para cumplir las misiones del organismo, primariamente:
•
la eficiencia
•
la confiabilidad
29
Nivel de madurez: No Conforma. Se carece totalmente de un proceso reconocible para
identificar e imputar costos con respecto a los servicios de información prestados. El
organismo ni siquiera ha reconocido que haya una cuestión que merezca ser abordada en
cuanto a la contabilización de los costos, y no hay comunicación al respecto.
Observaciones: La máxima autoridad del área entiende que, dada la gravedad de los
problemas que debe enfrentar, el análisis de la imputación de costos es secundario.
Nivel de riesgo:
[ ] Alto
[X] Medio
[ ] Bajo
4.3.7. Educación y Capacitación de los Usuarios.
Objetivo de control: Se debe establecer y mantener un plan integral de capacitación y
desarrollo.
Este objetivo de control afecta a los siguientes requerimientos de la información necesaria
para cumplir las misiones del organismo, primariamente:
•
la eficacia
y en forma secundaria:
•
la eficiencia
Nivel de madurez: Inicial / Ad Hoc. Hay evidencia de que el organismo reconoció la
necesidad de un programa de educación y capacitación, pero no hay procesos estandarizados.
En ausencia de un programa organizado, los empleados identifican y asisten a cursos de
capacitación por cuenta propia. Algunos de estos cursos tratan temas de conducta ética,
concientización de seguridad de sistemas y prácticas de seguridad. El enfoque global de la
dirección carece de cohesión y la comunicación de los temas y abordajes de la educación y
capacitación es sólo esporádica y poco coherente.
Observaciones: De la información recibida no surge la existencia de procedimientos para
identificar y documentar las necesidades de capacitación de todo el personal que utiliza
servicios de información. No existen políticas y procedimientos aprobados para la
identificación de las necesidades de capacitación y tampoco un plan de capacitación a
usuarios. La capacitación y concientización en los principios de seguridad no se realiza. El
área de capacitación instruye a los empleados en el uso de herramientas informáticas de
oficina (Excel, Word, etc.). y al personal de sistemas en temas específicos.
30
Nivel de riesgo:
[X] Alto
[ ] Medio
[ ] Bajo
4.3.8. Asistencia y Asesoramiento a los Usuarios de Tecnología de la Información.
Objetivo de control: Se debe establecer una función de mesa de ayuda que brinde soporte y
asesoramiento de primera línea.
Este objetivo de control afecta a los siguientes requerimientos de la información necesaria
para cumplir las misiones del organismo, primariamente:
•
la eficacia
Nivel de madurez: Inicial / Ad Hoc. El organismo reconoció que se necesita un proceso
apoyado por herramientas y personal para responder a las consultas de los usuarios y
administrar la resolución de problemas.
No obstante, no se cuenta con un proceso
estandarizado y sólo se brinda un soporte reactivo.
La alta gerencia no monitorea las
consultas, problemas o tendencias. No hay un proceso de escalamiento que ayude a resolver
los problemas.
Observaciones: No existe una mesa de ayuda formal que atienda a los usuarios. Se presta un
servicio de acuerdo a la disponibilidad de personal. En lo referente al sistema GIGA, el
servicio lo presta personal externo sólo en horas de la tarde. No se dispone de documentación
que formalice y estandarice los procedimientos.
Nivel de riesgo:
[ ] Alto
[X] Medio
[ ] Bajo
4.3.9. Administración de la Configuración.
Objetivo de control: Se deben implementar controles que identifiquen y registren todos los
bienes de Tecnología de la Información y su ubicación física, y un programa de verificación
regular que confirme su existencia.
Este objetivo de control afecta a los siguientes requerimientos de la información necesaria
para cumplir las misiones del organismo, primariamente:
•
la eficacia
y en forma secundaria:
•
la disponibilidad
•
la confiabilidad
31
Nivel de madurez: No Conforma. La alta gerencia no valora los beneficios de contar con un
proceso para la información y administración de la infraestructura de TI, ni para la
configuración de hardware ni de software.
Observaciones: De la documentación recibida se deduce que no existen procedimientos
formales para la administración de la configuración ni está definida la función. Los datos
disponibles no son de calidad y difieren según la oportunidad de la solicitud de información.
Nivel de riesgo:
[X] Alto
[ ] Medio
[ ] Bajo
4.3.10. Administración de Problemas e Incidentes.
Objetivo de control: Se debe implementar un sistema de administración de problemas que
registre y dé respuesta a todos los incidentes.
Este objetivo de control afecta a los siguientes requerimientos de la información necesaria
para cumplir las misiones del organismo, primariamente:
•
la eficacia
•
la eficiencia
y en forma secundaria:
•
la disponibilidad
Nivel de madurez: No Conforma. No se reconoce la necesidad de administrar problemas e
incidentes. El proceso de resolución de problemas es informal y los usuarios y el personal de
Tecnología de la Información encara los problemas individualmente, caso por caso.
Observaciones: De la información recibida no surge que existan procedimientos formales
para la administración de problemas e incidentes de seguridad, ni sistemas al efecto que
permitan realizar el escalamiento y seguimiento de los problemas y pistas de auditoría.
Nivel de riesgo:
[X] Alto
[ ] Medio
[ ] Bajo
4.3.11. Administración de Datos.
Objetivo de control: La máxima autoridad debe establecer y mantener una combinación
eficaz de controles generales y de aplicación sobre las operaciones de Tecnología de la
Información.
Este objetivo de control afecta a los siguientes requerimientos de la información necesaria
para cumplir las misiones del organismo, primariamente:
32
•
la integridad
•
la confiabilidad
Nivel de madurez: No Conforma. Los datos no están considerados como un recurso y un
bien del organismo. No se asignó la responsabilidad sobre los datos ni rendición de cuentas
individual por su integridad y confiabilidad. La calidad y seguridad de los datos es escasa o
nula.
Observaciones: No existen procedimientos para el monitoreo de exactitud, integridad y
autorización. Los sistemas, en particular el GIGA –desde el cual se autorizan todas las
erogaciones del Organismo–, se alimentan con información generada en aplicaciones “ad
hoc”, desarrolladas fuera del control del área de Tecnología Informática, con utilitarios de
oficina y, por lo tanto, sin satisfacer mínimamente normas de calidad y seguridad.
Nivel de riesgo:
[X] Alto
[ ] Medio
[ ] Bajo
4.3.12. Administración de Instalaciones.
Objetivo de control: Se deben instalar controles ambientales y físicos adecuados cuya
revisión se efectúe periódicamente a fin de determinar su correcto funcionamiento.
Este objetivo de control afecta a los siguientes requerimientos de la información necesaria
para cumplir las misiones del organismo, primariamente:
•
la integridad
•
la disponibilidad
Nivel de madurez: Inicial / Ad Hoc. El organismo reconoce la necesidad de brindar un
entorno físico adecuado que proteja los recursos y el personal contra los peligros generados
por la Naturaleza y por el hombre. No existen procedimientos estándar y la administración de
las instalaciones y los equipos depende de la idoneidad y capacidad de ciertas personas clave.
No se revisan las actividades de maestranza en las instalaciones y el personal se desplaza sin
restricciones. La dirección no monitorea los controles ambientales de las instalaciones ni el
movimiento del personal.
Observaciones: No existe normativa de seguridad informática ni de seguridad física de las
instalaciones. No existe registro del acceso a los centros de procesamiento. Se verificaron
pérdidas de líquidos provenientes de los baños del primer piso que caían sobre el rack de
33
comunicaciones del centro de procesamiento de datos. Los equipos de alimentación de
energía alternativa (fuentes de alimentación de energía ininterrumpible y moto generador) no
tienen mantenimiento preventivo. No existe un plan formal de contingencia.
Nivel de riesgo:
[X] Alto
[ ] Medio
[ ] Bajo
4.3.13. Administración de Operaciones
Objetivo de control: Se debe establecer de un cronograma de actividades de soporte que se
registre y apruebe para el logro de todas las actividades.
Este objetivo de control afecta a los siguientes requerimientos de la información necesaria
para cumplir las misiones del organismo, primariamente:
•
la eficacia
•
la eficiencia
y en forma secundaria:
•
la integridad
•
la disponibilidad
Nivel de madurez: Inicial / Ad Hoc. El organismo reconoce la necesidad de estructurar las
funciones de soporte de Tecnología de la Información. Sin embargo, no hay procedimientos
estándares establecidos y las actividades son de tipo reactivo. La mayoría de las operaciones
no están formalmente programadas y los pedidos de procesamiento se aceptan sin validación
previa. Las computadoras que dan soporte a los procesos con frecuencia sufren interrupciones
y demoras. Los empleados pierden tiempo por tener que esperar los recursos. Los sistemas no
son estables ni están disponibles.
Observaciones: De la información recibida no surge evidencia que sustente:
•
la totalidad del procesamiento ejecutado, arranques en frío, reinicios y
recuperaciones;
•
las estadísticas de finalización de cronogramas, a fin de confirmar que se cumple
satisfactoriamente con todos los requerimientos;
•
la separación física y lógica de las bibliotecas fuente y objeto de prueba, desarrollo y
producción y los procedimientos de control de cambios para trasladar programas entre
las bibliotecas;
34
•
las estadísticas de desempeño de las actividades operativas, incluyendo, entre otras:
o capacidad, utilización y desempeño del hardware y periféricos;
o utilización y desempeño de la memoria de los equipos principales;
o utilización y desempeño de telecomunicaciones.
Tampoco se tuvo conocimiento de la existencia de manuales de instrucciones y
procedimientos de operación, documentación del proceso de puesta en marcha y otras tareas,
programas de trabajo y registro de operaciones.
Nivel de riesgo:
[X] Alto
[ ] Medio
[ ] Bajo
4.4. Monitoreo.
4.4.1. Monitoreo de los Procesos.
Objetivo de control: La máxima autoridad debe impulsar la definición de indicadores del
desempeño relevantes, el informe sistemático y oportuno del desempeño y la acción inmediata
en caso de desviaciones.
Este objetivo de control afecta a los siguientes requerimientos de la información necesaria
para cumplir las misiones del organismo, primariamente:
•
la eficacia
y en forma secundaria:
•
la eficiencia
•
la confidencialidad
•
la integridad
•
la disponibilidad
•
el cumplimiento
•
la confiabilidad
Nivel de madurez: No conforma. El organismo no tiene procesos de monitoreo
implementados. La función de Tecnología de la Información no realiza el monitoreo de los
proyectos y procesos en forma independiente. No se cuenta con informes útiles, puntuales y
precisos. No se reconoce la necesidad de objetivos de proceso claramente entendidos.
Observaciones: De la información recibida se desprende que no se han establecido
formalmente
políticas,
procedimientos,
objetivos
e
indicadores
de
desempeño.
35
Consecuentemente, no se realiza el monitoreo continuo y sistemático de la actividad del área
de tecnología de la información.
Nivel de riesgo:
[X] Alto
[ ] Medio
[ ] Bajo
4.5. Procedimientos Operacionales.
A continuación se describen brevemente los circuitos administrativos informales que
efectivamente realiza la Administración General de Puertos en cada sector involucrado en el
uso del sistema GIGA y las observaciones correspondientes.
4.5.1. Gerencia de Abastecimiento.
Existe un agente que realiza las siguientes actividades:
•
Carga la solicitud del gasto para todas las Gerencias de la Sociedad excepto para la
Gerencia de Ingeniería, donde la carga la realiza un agente propio.
•
Carga en el Sistema la aprobación del gasto realizada por el Gerente General, con firma
hológrafa en el expediente en papel, ejerciendo atribuciones del Gerente General.
•
Controla que Presupuesto haya realizado la reserva preventiva en la base de datos del
sistema y en el expediente.
•
Carga solamente la oferta adjudicada y, ejerciendo atribuciones del Gerente General, la
aprueba.
•
Controla que Presupuesto haya realizado el compromiso presupuestario.
•
Emite la orden de compra en Excel.
•
Carga en el sistema el ingreso controlado por el depósito o, si fuera el caso, la recepción
de obras y/o servicios controlada por el sector solicitante.
•
Manualmente realiza el seguimiento de la orden de compra antes de mandar las facturas
correspondientes a pagos parciales al sector de Administración.
•
Sin intervención del sistema controla las Garantías de Oferta y de Ejecución.
En la gerencia se utiliza un sistema propio de seguimiento interno de expedientes además del
sistema de expedientes propio del organismo, ambos independientes del GIGA. La iniciación
36
de la licitación no se carga al Sistema pues, a juicio de la Gerencia, la carga del acta de
apertura, llevaría demasiado tiempo. Se hace la apertura con los totales globales y en los tres
días siguientes, durante la vista de ofertas, arman en Excel el cuadro comparativo. La
preadjudicación es manual y se informa al Gerente General en papel con resumen de lo
actuado y solicitud de aprobación.
Observaciones:
•
La gerencia carga en el sistema las solicitudes de bienes y servicios de toda la
organización transcribiendo formularios generados en distintas áreas. Esto induce a
errores de interpretación por falta de conocimientos específicos y repercute en la
integridad y confiabilidad del sistema.
•
Un mismo agente realiza varias operaciones utilizando distintos perfiles de usuario (por
ejemplo: Jefe de Departamento, Subgerente de Organización y Sistemas y Gerente
General), lo que reduce la calidad del control por oposición y afecta seriamente la
eficacia, confidencialidad, integridad y confiabilidad de la información.
•
El sistema es subutilizado por la Gerencia, dado que el Reglamento de Contrataciones que
se aplica es posterior a su puesta en marcha y nunca se lo adaptó.
•
El uso de planillas Excel conspira contra la seguridad, la integridad y confiabilidad en el
manejo de datos.
•
Se realizan tareas innecesarias por falta de confianza en el sistema.
•
La operatoria llevada a cabo por la Gerencia de Abastecimiento consiste en analizar las
ofertas a partir de planillas Excel con los datos, y no utilizando el sistema. Esto implica el
riesgo de que haya habido errores en la transcripción de datos y la pérdida de la
información histórica de las ofertas recibidas. Afecta la eficacia, la eficiencia, la
integridad, la disponibilidad, el cumplimiento y la confiabilidad de la información.
•
Algunas tareas no están automatizadas, se realizan manualmente, lo que afecta la eficacia
y eficiencia de la organización.
Nivel de riesgo: [X] Alto
[ ] Medio
[ ] Bajo
4.5.2. Gerencia de Administración.
37
4.5.2.1. Presupuesto.
Se utiliza la función del sistema “Formulación de Gastos” para cargar los créditos del
Presupuesto.
La Ejecución del Presupuesto se imputa en las cuatro etapas según corresponda: Preventivo,
Comprometido, Devengado y Pagado. Se utiliza el GIGA para automatizar todas las
imputaciones, lo que permite realizar las modificaciones que sean necesarias.
Se controla la imputación preventiva propuesta por el sistema, en cuanto a su concordancia
con lo establecido en la Formulación del Gasto y, en caso de ser correcta, se la confirma.
Se puede aprobar, modificar o anular la operación según corresponda.
Si la operación se aprueba, se emite el comprobante Preventivo.
Se confirma la imputación del Compromiso realizada en forma automática por el sistema,
antes de emitir la Orden de Compra.
Se emite el comprobante de Compromiso.
Se cargan los datos en el sistema de los Compromisos Directos a través de la función
correspondiente.
Se verifican todas las imputaciones presupuestarias realizadas en forma automática por el
sistema por medio de reportes generados en el GIGA.
Observaciones. En la formulación del gasto se les asignan a los sectores conceptos que no les
corresponden (por ejemplo, la Gerencia Jurídica tiene adjudicada partidas para la compra de
aceitunas). Esta circunstancia hace ineficaz el control interno del sistema, pues permite a un
sector emitir solicitudes de gastos no acordes a lo presupuestado ni a sus misiones y
funciones.
Nivel de riesgo:
[ ] Alto
[ ] Medio
[ X ] Bajo
4.5.2.2. Tesorería.
Recibe las facturas a ser cobradas. Selecciona la operación en el aplicativo, y el sistema emite
el recibo correspondiente.
Cobra los fondos pagados por el cliente (en efectivo o en cheque) y carga la información.
Emite las notas de crédito solicitadas por Cuentas Corrientes.
38
Al finalizar el día se emite un informe del aplicativo GIGA denominado Parte Diario que
permite controlar las operaciones registradas cotejándola con la documentación respaldatoria.
Se confeccionan en forma manual las boletas de depósito para las cuentas bancarias que
correspondan y se depositan los valores.
Se realiza el pago a Proveedores en base a las Órdenes de Pago autorizadas.
Se consultan en el GIGA los pagos a realizar durante el día.
Una vez verificado que la Orden de Pago se encuentre debidamente firmada por los
responsables, se emite –en forma manual– el cheque y se lo envía a la firma del responsable
autorizado.
En el momento en que el beneficiario retira el cheque, se accede al GIGA para registrar la
operación y emitir el Recibo de Pago correspondiente.
Se realizan las conciliaciones bancarias en planillas de Excel.
El personal externo de administración del Sistema, a pedido de Tesorería, corrige importes en
los asientos generados por operaciones de ese sector debidos a montos mal ingresados. Lo
hacen modificando en forma directa el contenido de la base de datos, sin utilizar el Sistema.
Estas operaciones son autorizadas por el Gerente de Administración.
En determinadas circunstancias se reciben cheques de los clientes de AGP por montos
inferiores a los facturados.
Observaciones:
•
No se utiliza la función de emisión automática de cheques proporcionada por el sistema.
•
Existe una función del sistema GIGA para la conciliación bancaria que no se utiliza.
•
La manipulación de la base de datos en forma directa evita los controles internos del
Sistema.
•
No existe una función del Sistema específica para la operación, autorizada por la
Intervención, de cobro parcial de facturas. Lo que se utiliza es la función Cobro
Anticipado, que no corresponde estrictamente. Esta situación dificulta la conciliación de
las Cuentas Corrientes.
Estas observaciones permiten afirmar que existe pérdida de confiabilidad e integridad de los
datos de la base del sistema GIGA.
39
Nivel de riesgo:
[ X ] Alto
[ ] Medio
[ ] Bajo
4.5.2.3. Contabilidad.
Verifica las imputaciones contables realizadas en forma automática por el sistema contra la
documentación respaldatoria.
Carga los asientos por ajustes de conciliaciones bancarias realizadas en planillas de Excel
suministradas por Tesorería.
Calcula en forma manual las diferencias por cambio de cotizaciones y realiza los asientos
correspondientes.
Realiza los asientos manuales de ajustes que correspondan. En algún caso se cargan asientos
manuales con fecha distinta a la del día corriente mediante la modificación de la fecha de
operación usando la función Fecha de Operación.
En el caso de ingresar un nuevo Objeto de Gasto que no tenga asociada la cuenta
correspondiente, el Gerente del área solicita la apertura o asignación, según corresponda, de la
cuenta contable en el momento de realizar la imputación.
Observaciones:
•
Por falta de un procedimiento interno adecuado se dan de alta las cuentas patrimoniales
sin identificar la cuenta contable ni presupuestaria a las que corresponden, lo cual afecta la
eficiencia de los procesos de compras y contrataciones.
•
La función Fecha de Operación del Sistema es usada por más personas que las
imprescindibles, por lo cual se pierde la confiabilidad e integridad de la información.
•
Se han detectado errores en las relaciones, establecidas por los usuarios del Sistema, entre
las cuentas patrimoniales y las cuentas presupuestarias, lo cual genera errores en las
imputaciones contables automáticas y, luego, en el balance de sumas y saldos.
Nivel de riesgo:
[ X ] Alto
[ ] Medio
[ ] Bajo
4.5.2.4. Cuentas Corrientes.
Aplica las Notas de Crédito y los cobros anticipados en la cuenta corriente de los clientes.
Una vez por semana emite, por el sistema, el detalle de las cobranzas.
Inhabilita en el sistema, en forma manual, a los clientes que tengan una factura vencida,
previa autorización por escrito de un responsable.
40
Recibe las solicitudes de altas de clientes y los ingresa al sistema.
Observaciones: El hecho de que la inhabilitación de los clientes morosos se realice en forma
manual permite que se pueda omitir la acción.
Nivel de riesgo:
[ ] Alto
[ ] Medio
[ X ] Bajo
4.5.2.5. Liquidaciones.
El sector recibe la información externa para liquidar y emite las facturas cargando en el
sistema los datos que se obtienen de las diversas documentaciones que presenta el cliente,
como por ejemplo declaraciones juradas de importación-exportación, liquidación de tasa a las
cargas, liquidación de pasavantes, liquidación de patentes de buques, etc.
El sector de Liquidaciones carga en el sistema GIGA los datos consignados en la
documentación, el responsable del área verifica la liquidación y, en el caso de ser correcta, se
imprimen, por medio del sistema, las facturas por cuadruplicado. Se entregan tres copias al
cliente y queda una en el sector.
Observaciones: Sin observaciones.
Nivel de riesgo: No aplicable.
4.5.3. Operación General. Observaciones.
•
Cada área del Organismo opera como si estuviera aislada del resto. No existe conciencia
de la interdependencia que un sistema de gestión integral supone en el funcionamiento
general.
•
No existen manuales de procedimientos que regulen la operación de los sectores
involucrados.
4.6. Funcionamiento del sistema Giga.
Se realizó un simulacro de operación del sistema desde el origen de la transacción hasta su
conclusión en registración contable, para los siguientes circuitos:
•
Compras
•
Facturación
Los datos utilizados correspondían a una copia de las bases que estaban operativas a fines de
2004.
4.6.1. Pruebas realizadas de circuitos completos del Sistema.
41
4.6.1.1. Circuito de Compras.
La prueba se realizó solicitando la compra de una resma de “Papel Obra Oficio de 210 x 297
(resma) A4” (sic), artículo registrado bajo el código 1.01.003.115 del nomenclador, por un
valor unitario de $30.
Se afectó el gasto a la partida 01.01.01.A10.02.03.05 correspondiente a la formulación de
gastos de la Asesoría Jurídica para Bienes de Consumo – Artículos de Escritorio – Productos
de papel y cartón.
Se realizó el compromiso del gasto a la misma partida.
Se seleccionó la opción de compra Con Invitación cargando dos proveedores para la solicitud
de precios.
Se adjudicó la compra al proveedor propuesto por el sistema en base al menor precio ofertado.
Se emitió la Orden de Compra por medio del sistema.
Se realizó la recepción en almacenes del material solicitado.
Se cargó la factura proporcionada por el proveedor.
Se generó la Orden de Pago correspondiente.
Se realizó el pago mediante dos cheques de distintos bancos (los cheques no fueron emitidos
utilizando el sistema).
Se generaron los recibos correspondientes.
Se verificaron los Libros de IVA Compras, el Mayor de la cuenta Proveedores, el Libro
Diario y los listados de Cheques Pagados y Órdenes de Pago Presupuestarias.
Observaciones:
•
Hay ítems que no están correctamente descriptos en el nomenclador (vg., el tamaño de
papel es oficio o A4; pero no ambos a la vez).
Genera incertidumbre respecto al bien en cuestión y es una posible fuente de error.
•
Cualquier sector puede generar solicitudes para cualquier otro sector; el control interno
que lo evitaba fue levantado.
Implica pérdida de integridad y confiabilidad de la información.
•
En la modificación de la solicitud de gasto no realiza el cambio de sector solicitante,
mantiene siempre el sector del usuario que ingresó al sistema.
42
•
En la tarea Autorizador de Transacciones no se visualiza la fecha de alta del comprobante
a autorizar, aparece en blanco.
•
La tarea de Gestión de Compras cuando se pasa del Preventivo a la Gestión de Compra
selección por defecto el tipo de compra en Contratación Directa Trámite Simplificado,
modificando el tipo de contratación seleccionado en el proceso anterior.
Afecta el control interno del Sistema sobre el cumplimiento del Reglamento de
Contrataciones e induce a eventuales errores.
•
La tarea Cotización de Proveedores admite cargar una cotización con importes negativos.
Implica pérdida de integridad por eventuales errores en el ingreso de datos.
•
La recepción de facturas de Proveedores permite ingresar un importe mayor al
comprometido y continuar con el circuito sin ningún tipo de obstáculo.
Pérdida de eficacia, eficiencia y confiabilidad.
Nivel de riesgo:
[ X ] Alto
[ ] Medio
[ ] Bajo
4.6.1.2. Circuito de Liquidaciones.
•
Se emitió una factura por el concepto de Tasa a las Cargas.
•
Se imprimió el comprobante donde se verificaron todos los importes.
•
Se verificó la cuenta corriente con el ingreso de la factura emitida.
•
Se registró el cobro mediante recibos de Tesorería donde se ingresaron cheques de
terceros.
•
Se aplicó diferidamente la cobranza.
•
Se listó la minuta de recaudación coincidente con el ingreso realizado.
•
Se realizó la impresión del detalle de los Instrumentos de Cobro.
•
Se imprimió el Libro Diario con los registros de todos los movimientos realizados.
•
Se depositaron los cheques ingresados.
Observaciones: Sin observaciones.
Nivel de riesgo: No aplicable.
4.6.2. Pruebas realizadas a funciones individuales.
Administración de Bienes y Patrimonio.
Observaciones:
43
•
En el listado Anexo Bienes de Consumo al 25/02/2005 se detectó el código 1.01.019.025
con descripción “Cartucho de tinta para impresora Epson T029201” con cantidad negativa
(-1, menos uno)
•
No se pudo ingresar al módulo Composición de Bienes debido a un error en el programa
en la línea 240 (data server: cmd:o, getrst: ora-01422).
Contabilidad.
Observaciones:
•
En los reportes de Mayor y sumas y saldos no se informa a qué período corresponde cada
reporte.
•
La utilización de la función Fecha de Operación, que permite cambiar la fecha con la cual
se registran las operaciones contables, es una de las causas de los problemas que impiden
el cierre de los balances.
Operación General. Observaciones:
•
El Sistema no provee ayuda en línea, a pesar que fue requerida en el pliego de
contratación.
•
Existen mensajes de error que brinda el sistema que resultan no significativos para el
usuario.
•
El Sistema no tiene un módulo de Auditoría que permita al auditor examinar los registros
en forma sencilla. Su análisis requiere conocimientos de informática.
•
Los usuarios no utilizan algunos reportes, por falta de confianza o porque no saben que
existen. Esta situación dificulta la detección de errores en el sistema (por ejemplo, los de
parametrización).
•
Al Sistema le faltan opciones de impresión que eviten la necesidad de capturar pantallas
para generar comprobantes.
•
No existen procedimientos formales para la comunicación de problemas o fallas del
Sistema al personal externo de soporte. Las comunicaciones son informales y en algunos
casos no aportan suficiente información para subsanar el problema.
44
5. Comunicación del proyecto de informe y análisis de los descargos formulados por la
Administración General de Puertos S.E..
El proyecto de informe de auditoría fue enviado al organismo auditado para que formule las
observaciones y/o comentarios que estime pertinentes, con fecha 22 de agosto de 2005, por
Nota AGN N° 20/05 AG4. Los mismos fueron remitidos por la Administración General de
Puertos S.E., con fecha 22 de noviembre de 2005 a través de la Nota N° 814 AGP.
Cabe aclarar que la respuesta a la vista tiene los comentarios de 3 gerencias distintas en
documentos no integrados. Además en la Nota N° 814 AGP del Sr. Interventor del Organismo
se indica que van a seguir las recomendaciones del Informe de Auditoría y se incluye una
solicitud de aclaración que es satisfecha en el Anexo VI.
Por el motivo citado los comentarios a las respuestas se organizan de la siguiente manera:
•
Si no se indica a que gerencia corresponde se trata de la Subgerencia de Organización y
Sistemas.
•
En el resto se aclara a que gerencia corresponde.
Por último, no solamente existieron respuestas de la Administración General de Puertos a
nuestras Observaciones, sino que también incorporaron párrafos correspondientes a las
Aclaraciones Previas (punto 3.5 en adelante).
Como consecuencia del análisis del descargo presentado por el organismo auditado (que
consta como Anexo V), se ratifican las observaciones oportunamente formuladas.
6. Recomendaciones
6.1. Planificación y organización.
6.1.1. Definición de un Plan estratégico de Tecnología de la Información: La alta gerencia
debe implementar planes a corto y largo plazo que sean compatibles con la misión y las metas
de la organización. En este aspecto, debe garantizar que:
- la tecnología de información forme parte del plan de la organización a corto y largo plazo:
- se elabore un Plan de Tecnología de la Información a largo plazo;
- se actualice el enfoque y la estructura de la planificación de Tecnología de la Información a
largo plazo;
- se realicen los cambios del plan de Tecnología de la Información a largo plazo;
45
- se elabore la planificación a corto plazo de la función de servicios de información;
- se comuniquen los planes de Tecnología de la Información;
- se controlen y evalúen los planes de Tecnología de la Información;
- se evalúen los sistemas existentes.
6.1.2. Definición de la Arquitectura de la Información: La máxima autoridad debe
impulsar la creación y el mantenimiento de un modelo que contemple lo siguiente:
- un modelo de arquitectura de la información;
- el diccionario de datos del organismo y reglas de sintaxis de los datos;
- un esquema de clasificación de los datos;
- los niveles de seguridad.
6.1.3. Determinación de la dirección tecnológica: Se debe crear y actualizar periódicamente
un plan de infraestructura tecnológica que incluya aspectos tales como la arquitectura de los
sistemas, la dirección tecnológica y las estrategias de información.
6.1.4. Definición de la organización y las Relaciones de Tecnología de la Información: Al
ubicar la función de servicios de información dentro de la estructura del organismo, la alta
gerencia debe garantizar autoridad, masa crítica e independencia de las áreas de usuarios en la
medida necesaria para lograr soluciones de tecnología de información eficientes. En este
aspecto se debe asegurar:
- la designación de un comité de planificación de Tecnología de la Información;
- la correcta ubicación de la función de servicios de información en el organismo;
- la revisión de los logros organizacionales;
- los roles y responsabilidades;
- la responsabilidad sobre el aseguramiento de calidad;
- la responsabilidad sobre la seguridad lógica y física;
- la propiedad y custodia de los datos;
- la supervisión de las actividades de Tecnología de la Información;
- la separación de funciones;
- la competencia del personal de Tecnología de la Información;
- las descripciones de los puestos del personal de Tecnología de la Información;
46
- las políticas y procedimientos relativos al personal contratado;
- las relaciones de coordinación, comunicación y enlace.
6.1.5. Administración de la Inversión en Tecnología de Información: Debe implementarse
un proceso de formulación presupuestaria que contemple lo siguiente:
- un presupuesto operativo anual de Tecnología de la Información;
- el monitoreo de costos y beneficios;
- la justificación de costos y beneficios.
6.1.6. Comunicación de los Objetivos y Directivas de la Gerencia: Se debe implementar
un marco y un programa de concientización que propicien un ambiente de control positivo en
todo el organismo. Este marco debe abordar la integridad, los valores éticos y la competencia
de las personas, la filosofía de gestión, el estilo operativo y la rendición de cuentas. En este
aspecto, la máxima autoridad y la alta gerencia deben garantizar:
- las responsabilidades sobre la formulación de las políticas;
- la comunicación de las políticas del organismo;
- la disponibilidad de los recursos para la implementación de políticas;
- el mantenimiento de políticas;
- el cumplimiento de las políticas, los procedimientos y las normas;
- el compromiso con la calidad;
- la política marco de seguridad y control interno;
- la observancia de los derechos de propiedad intelectual;
- la comunicación de la concientización en materia de seguridad.
6.1.7. Administración de los Recursos Humanos: El organismo debe contar con una fuerza
laboral que tenga las habilidades necesarias para lograr sus metas. En este aspecto, la máxima
autoridad y la alta gerencia deben garantizar que se realicen:
- la selección y promoción del personal;
- la formación y experiencia del personal;
- la definición de roles y responsabilidades;
- la capacitación del personal, en particular la necesaria para poder transferir a AGP la
tecnología del sistema GIGA;
47
- la capacitación cruzada o de personal de reemplazo;
- los procedimientos de verificación de antecedentes del personal;
- la evaluación del desempeño laboral;
- el cambio de puestos y la seguridad en la extinción de la relación laboral.
6.1.8. Evaluación de Riesgos: Se debe establecer un marco de evaluación sistemática de
riesgos. Dicho marco debe incorporar una evaluación periódica de los riesgos de información
relacionados con la consecución de los objetivos del organismo, que constituya una base para
determinar cómo deben administrarse los riesgos a un nivel aceptable. En este aspecto, la alta
gerencia debe garantizar que se realice:
- una evaluación de riesgos de la actividad;
- la identificación de riesgos;
- la medición de riesgos;
- un plan de acción de reducción de riesgos;
- la aceptación de riesgos.
6.1.9. Administración de Proyectos: Se debe establecer un marco de administración de
proyectos que contemple, como mínimo, la asignación de responsabilidades, división de
tareas, presupuestación del tiempo y los recursos, plazos, puntos de verificación y
aprobaciones. En este aspecto, la alta gerencia debe garantizar que:
- se aplique un marco de administración de proyectos;
- se contemple la participación del departamento de usuarios en el inicio del proyecto;
- se asignen miembros y responsabilidades del equipo del proyecto;
- exista una definición del proyecto;
- se aprueben las fases del proyecto;
- exista un plan maestro del proyecto;
- se defina un plan de garantía de calidad del sistema;
- se implemente la administración formal de riesgos del proyecto;
- se elabore un plan de pruebas;
- se diseñe un plan de capacitación;
- se desarrolle un plan de revisión posterior a la implementación.
48
6.1.10. Administración de la Calidad: Debe desarrollarse y mantenerse periódicamente un
plan general de calidad basado en los planes del organismo y de tecnología de información a
largo plazo. En este aspecto, la alta gerencia debe garantizar que exista:
- un plan general de calidad;
- un enfoque de garantía de calidad;
- una planificación de garantía de calidad;
- la revisión de garantía de calidad;
- una metodología del ciclo de vida del desarrollo de sistemas;
- una metodología del ciclo de vida del desarrollo de sistemas para la introducción de cambios
importantes en la tecnología existente;
- la actualización de la metodología del ciclo de vida del desarrollo de sistemas;
- la coordinación y comunicación entre los usuarios y el personal de Tecnología de la
Información;
- un marco de adquisición y mantenimiento de la infraestructura tecnológica;
- un marco para las relaciones con terceros a cargo de la implementación;
- la observación de las normas de documentación de programas verificando que:
•
se cumplan las normas de prueba de programas;
•
se cumplan las normas de prueba de sistemas;
•
se utilicen pruebas en paralelo o bien pruebas piloto.
- la documentación de pruebas de sistemas
6.2. Administración e implementación.
6.2.1. Identificación de Soluciones Automatizadas
Se debe implementar una metodología del ciclo de vida de desarrollo de sistemas (CVDS)
para el organismo con la especificación de los requerimientos funcionales y operativos de las
soluciones, incluidos el rendimiento, la seguridad, confiabilidad, compatibilidad y legislación.
Además, la metodología del CVDS debe contemplar un plan de estrategias de adquisición de
software y de evaluación de requerimientos y especificaciones para la contratación de terceros
proveedores de servicios. En este aspecto, se debe garantizar la eficacia de los procedimientos
49
y prácticas establecidas para las siguientes tareas y/o actividades de Tecnología de la
Información:
- definición de los requerimientos de información;
- formulación de cursos alternativos de acción;
- formulación de la estrategia de adquisición;
- formulación de requisitos para servicios prestados por terceros:
- estudio de factibilidad tecnológica;
- estudio de factibilidad económica;
- definición de la arquitectura de la información;
- informe de análisis de riesgos;
- controles de seguridad económicos;
- diseño de pistas de auditoría;
- adecuación ergonómica;
- selección del software de sistemas;
- control de compras;
- adquisición de productos de software;
- mantenimiento del software de terceros;
- programación contratada de aplicaciones;
- aceptación de las instalaciones;
- aceptación de la tecnología.
6.2.2. Adquisición y Mantenimiento del Software de Aplicación
Se deben establecer procedimientos y técnicas adecuadas para la aplicación de la metodología
del ciclo de vida de desarrollo de sistemas (CVDS) del organismo, que impliquen una
coordinación estrecha con los usuarios, para crear y verificar las especificaciones de diseño de
cada proyecto de desarrollo de un sistema nuevo. En este aspecto, debe garantizarse la
eficacia de los procedimientos y prácticas establecidas para las siguientes tareas y/o
actividades de Tecnología de la Información:
- normalización de los métodos de diseño;
- registración de los cambios importantes de los sistemas existentes;
50
- aprobación del diseño;
- definición y documentación de los requerimientos de archivos;
- especificación de programas;
- diseño de la recopilación de datos fuente;
- definición y documentación de los requerimientos de entrada;
- definición de interfaces;
- normalización de la interfaz usuario-máquina;
- definición y documentación de los requerimientos de procesamiento;
- definición y documentación de los requerimientos de salida;
- normalización de la controlabilidad;
- establecimiento de la disponibilidad como factor clave del diseño;
- normalización de las especificaciones de integridad de tecnología de información en
programas de aplicación;
- realización de las pruebas del software de aplicación;
- desarrollo de materiales de soporte y referencia del usuario;
- reevaluación del diseño de sistemas.
6.2.3. Adquisición y Mantenimiento de la Infraestructura Tecnológica
Garantizar la eficacia de los procedimientos y prácticas establecidas para las siguientes tareas
y/o actividades de Tecnología de la Información:
- evaluación del hardware y el software nuevos;
- mantenimiento preventivo del hardware;
- atender a la seguridad del software del sistema;
- instalación del software del sistema;
- mantenimiento del software del sistema;
- realizar los controles de cambios del software del sistema.
6.2.4. Desarrollo y Mantenimiento de Procedimientos
Utilizar una metodología del ciclo de vida del desarrollo de sistemas (CVDS) del organismo
de manera tal de garantizar la definición oportuna de los requerimientos operativos y niveles
de servicio, la preparación de manuales de usuario y de operaciones y el desarrollo de
51
materiales de capacitación. En este aspecto, la alta gerencia y el funcionario principal de
servicios de información deben verificar la eficacia de los procedimientos y prácticas
establecidas para las siguientes tareas y/o actividades de Tecnología de la Información:
- los requerimientos operativos y niveles de servicio;
- la confección de manuales de procedimientos del usuario;
- la confección del manual de operaciones;
- la preparación de los materiales de capacitación.
6.2.5. Instalación y Acreditación de Sistemas de Aplicación
Se debe preparar, revisar y aprobar un plan de implementación o modificación de los sistemas
de aplicación. En este aspecto, la alta gerencia y el funcionario principal de servicios de
información deben garantizar la eficacia de los procedimientos y prácticas establecidas para
las siguientes tareas y/o actividades de Tecnología de la Información:
- capacitación de los usuarios y personal de servicios de información;
- dimensionamiento del desempeño del software de aplicación;
- desarrollar el plan de implementación;
- conversión de sistemas de aplicación;
- conversión de datos;
- definir la estrategia y los planes de prueba;
- realizar la prueba de cambios;
- establecer criterios de ejecución de pruebas paralelas o bien pruebas piloto;
- realizar la prueba de aceptación final;
- realizar las pruebas de acreditación de seguridad;
- realizar la prueba de funcionamiento;
- transición a producción;
- evaluación del cumplimiento de los requerimientos del usuario;
- revisión de la gerencia posterior a la implementación.
6.2.6. Administración de Cambios
Implementar procedimientos específicos para tratar los pedidos de cambios, mantenimiento de
sistemas y mantenimiento del proveedor. En este aspecto, la alta gerencia y el funcionario
52
principal de la función de servicios de información deben garantizar la eficacia de los
procedimientos y prácticas establecidas para las siguientes tareas y/o actividades de
Tecnología de la Información:
- inicio y control de solicitudes de cambio;
- evaluación del impacto;
- control de cambios;
- realizar los cambios de emergencia;
- desarrollar documentación y procedimientos;
- mantenimiento autorizado;
- establecer políticas de versiones de software;
- distribución de software.
6.3. Entrega y Soporte.
6.3.1. Definición y Administración de los Niveles de Servicio: Garantizar la eficacia de las
políticas y prácticas establecidas para las siguientes tareas y/o actividades de Tecnología de la
Información:
- establecer marco de acuerdos de nivel de servicio;
- procedimientos de ejecución;
- monitoreo e informes;
- revisión de los contratos y acuerdos de nivel de servicio;
- establecer un programa de mejora del servicio.
6.3.2. Administración de Servicios Prestados por Terceros: Se debe verificar que los
servicios prestados por terceros se identifiquen de modo adecuado y que la interrelación
técnica y funcional con los proveedores esté documentada. En este aspecto, la máxima
autoridad y la alta gerencia deben garantizar la eficacia de las políticas y practicas
establecidas para las siguientes tareas y/o actividades de Tecnología de la Información:
- interrelación con proveedores de Tecnología de la Información;
- asignar la responsabilidad por las relaciones;
- formalización de contratos con terceros;
- evaluación del conocimiento y la experiencia de terceros;
53
- formalización de contratos de tercerización que incluyan los acuerdos de confidencialidad;
- asegurar la continuidad de los servicios;
- acordar las relaciones de seguridad;
- monitoreo de la prestación del servicio.
6.3.3. Administración de la Capacidad y el Desempeño: La máxima autoridad y la alta
gerencia deben garantizar la eficacia de las políticas y prácticas establecidas para las
siguientes tareas y/o actividades de Tecnología de la Información:
- identificación de requerimientos de disponibilidad y desempeño;
- establecer un plan de disponibilidad;
- monitoreo e informes del desempeño de los recursos de Tecnología de la Información;
- utilización de herramientas para la creación de modelos;
- administración proactiva del desempeño;
- la realización de pronósticos de la carga de trabajo;
- administración de la capacidad de los recursos;
- establecer la disponibilidad de recursos;
- planificación de recursos.
6.3.4. Garantía de un Servicio Continuo: Se debe crear un marco de continuidad que defina
los roles, responsabilidades, enfoque, normas y estructuras para documentar un plan que
garantice el servicio continuo. En este aspecto, la alta gerencia y el funcionario principal de
servicios de información deben garantizar la eficacia de las políticas y practicas establecidas
para las siguientes tareas y/o actividades de Tecnología de la Información:
- un marco de continuidad de Tecnología de la Información;
- definir estrategias y filosofía del plan de continuidad de Tecnología de la Información;
- establecer los contenidos del plan de continuidad de Tecnología de la Información;
- reducción de los requerimientos de continuidad de Tecnología de la Información;
- mantenimiento del plan de continuidad de Tecnología de la Información;
- realizar la prueba del plan de continuidad de Tecnología de la Información;
- capacitación en el plan de continuidad de Tecnología de la Información;
- distribución del plan de continuidad de Tecnología de la Información;
54
- resguardar el procesamiento alternativo del usuario;
- identificar recursos críticos de Tecnología de la Información;
- definir el sitio y equipamiento alternativos;
- almacenar el resguardo en sitio alternativo;
- reevaluación periódica del plan.
6.3.5. Garantía de la Seguridad de los Sistemas: La alta gerencia y el funcionario principal
de servicios de información deben garantizar la eficacia de las políticas y prácticas
establecidas para las siguientes tareas y/o actividades de Tecnología de la Información:
- administración de las medidas de seguridad;
- identificación, autenticación y acceso;
- la seguridad del acceso en línea a los datos;
- administración de cuentas de usuarios;
- revisión de la gerencia de cuentas de usuarios;
- el control ejercido por el usuario en sus propias cuentas;
- la supervisión de la seguridad;
- clasificación de los datos;
- administración centralizada de identificaciones y derechos de acceso;
- informes de violación y actividades de seguridad;
- manejo de incidentes;
- reacreditación;
- autorización de transacciones;
- establecer la imposibilidad de rechazo;
- definir ruta de acceso confiable;
- protección de las funciones de seguridad;
- administración de claves criptográficas;
- prevención, detección y corrección de software malicioso;
- establecer arquitectura de firewalls y conexiones con redes públicas;
- protección del valor electrónico.
55
6.3.6. Identificación e Implementación de Costos: La máxima autoridad y la alta gerencia
deben garantizar la eficacia de las políticas y prácticas establecidas para las siguientes tareas
y/o actividades de Tecnología de la Información:
- identificar ítems imputables;
- definir procedimientos de determinación de costos;
- utilizar procedimientos de cargos e imputación de costos al usuario.
6.3.7. Educación y capacitación de los Usuarios: La máxima autoridad debe garantizar la
eficacia de las políticas y practicas establecidas para las siguientes tareas y/o actividades de
Tecnología de la Información:
- identificación de necesidades de capacitación;
- organización de sesiones de capacitación;
- capacitación y concientización en los principios de seguridad.
6.3.8. Asistencia y Asesoramiento a los Usuarios de Tecnología de la Información: El
funcionario principal de servicios de información debe garantizar la eficacia de las políticas y
prácticas establecidas para las siguientes tareas y/o actividades de Tecnología de la
Información:
- el soporte al usuario mediante la mesa de ayuda;
- registro de consultas de usuarios;
- escalamiento de consultas de usuarios;
- monitoreo de soluciones;
- análisis e informe de tendencias.
6.3.9. Administración de la Configuración: El funcionario principal de servicios de
información debe garantizar la eficacia de las políticas y prácticas establecidas para las
siguientes tareas y/o actividades de Tecnología de la Información:
- registro de la configuración;
- establecer el nivel básico de configuración;
- registro del estado de la configuración;
- control de la configuración;
- detectar el software no autorizado;
56
- almacenamiento del software;
- administración de configuración;
- seguimiento y control de versiones de software.
6.3.10. Administración de Problemas e Incidentes: El funcionario principal de servicios de
información debe garantizar la eficacia de las políticas y practicas establecidas para las
siguientes tareas y/o actividades de Tecnología de la Información:
- sistema de administración de problemas;
- escalamiento de problemas;
- seguimiento de problemas y pistas de auditoría;
- autorizaciones de emergencia y acceso temporario;
- establecer las prioridades de procesamiento de emergencia.
6.3.11. Administración de Datos: La alta gerencia, los responsables de programas y
actividades y el funcionario principal de servicios de información deben garantizar la eficacia
de los procedimientos y prácticas establecidas para las siguientes tareas y/o actividades de
Tecnología de la Información:
- preparación de datos;
- autorización de documentos fuente;
- recopilación de datos de documentos fuente;
- manejo de errores de documentos fuente;
- conservación de documentos fuente;
- autorización de entrada de datos;
- verificación de exactitud, integridad y autorización;
- control de errores de entrada de datos;
- asegurar la integridad del procesamiento de datos;
- validación y edición del procesamiento de datos;
- administración de errores del procesamiento de datos;
- manejo y conservación de salidas;
- distribución de salidas de datos;
- balanceo y conciliación de salidas de datos;
57
- revisión y manejo de errores de salidas de datos;
- seguridad en la distribución de los informes de salida;
- protección de información crítica durante la transmisión y el transporte;
- protección de información crítica eliminada;
- administración del almacenamiento;
- establecer períodos de conservación y condiciones de almacenamiento;
- establecer un sistema de administración de biblioteca de medios;
- definir las responsabilidades de administración de la biblioteca de medios;
- resguardo y restauración;
- tareas de resguardo;
- almacenamiento de resguardos;
- administración de archivos;
- protección de mensajes críticos;
- autenticación e integridad.
6.3.12. Administración de Instalaciones: El funcionario principal de servicios de
información debe garantizar la eficacia de las políticas y practicas establecidas para las
siguientes tareas y/o actividades de Tecnología de la Información:
- seguridad física;
- asegurar la discreción del sitio de tecnología de información;
- acompañamiento de visitas;
- salud y seguridad del personal;
- protección contra factores ambientales;
- disponibilidad de fuente de alimentación de energía ininterrumpible.
6.3.13. Administración de Operaciones: El funcionario principal de servicios de
información debe garantizar la eficacia de las políticas y prácticas establecidas para las
siguientes tareas y/o actividades de Tecnología de la Información:
- desarrollo de manuales de instrucciones y procedimientos de las operaciones de
procesamiento;
- documentación del proceso de puesta en marcha y otras operaciones;
58
- fijación de programas de trabajo;
- control de las desviaciones de los programas estándares de trabajo;
- asegurar la continuidad del procesamiento;
- registración de operaciones;
- salvaguardia de formularios especiales y dispositivos de salida;
- realización de operaciones remotas.
6.4. Monitoreo.
6.4.1. Monitoreo de los Procesos: La alta gerencia es responsable de garantizar que se:
- recopilen los datos de monitoreo;
- evalúe el desempeño en forma continua;
- evalúe la satisfacción del usuario;
- elaboren informes de gestión.
6.5. Procedimientos Operacionales.
6.5.1. Gerencia de Abastecimiento.
•
Cada sector debe generar en el sistema su Solicitud de Gasto para evitar errores de
comprensión y transcripción.
•
Los procedimientos deben ser estrictos en cuanto al seguimiento y utilización de los flujos
de trabajo que el Sistema administra internamente, obligando a cada funcionario a realizar
las tareas que por norma le correspondan.
•
Cada sector debe probar completamente todas las funciones del Sistema que están a su
disposición e informar de acuerdo a la norma de Administración de Problemas aquellos
que detecte hasta que pueda operarlo de manera absolutamente confiable.
•
Las funciones del Sistema deben ser utilizadas por completo, modificando en caso de
necesidad los programas y la infraestructura de comunicaciones y hardware.
6.5.2 Gerencia de Administración.
•
Modificar el procedimiento informal de Formulación Presupuestaria como para permitir la
carga de partidas en el Sistema acordes a los objetivos y programas planificados del
Organismo. Esto permitirá un eficaz control interno del GIGA respecto a la pertinencia de
las solicitudes de gasto.
59
•
Prohibir las correcciones de los errores de operación mediante la manipulación directa de
las bases de datos del Sistema.
•
Agregar al Sistema la función de Cobro Parcial de facturas emitidas.
•
Incluir en los procedimientos de la Gerencia de Abastecimiento la obligación de
identificar previamente las cuentas presupuestaria y contable correspondientes para el alta
de una cuenta patrimonial.
•
Incluir en el Sistema la regla de negocio que permita automatizar la inhabilitación de los
clientes morosos, en forma acorde a las políticas del Organismo.
•
Modificar el Sistema en forma tal que la función Fecha de Operación esté limitada
exclusivamente a la confección de asientos de ajuste al balance anual.
•
Establecer la perentoria necesidad de
o establecer las asociaciones correctas entre las cuentas patrimoniales y las cuentas
presupuestarias,
o depurar el Nomenclador de Bienes,
designando responsables a tales efectos.
6.5.3. Operación General.
•
Lanzar un proyecto general de integración operativa del organismo que incluya una
recapacitación del personal para trabajar en un ambiente de estrecha cooperación
intergerencial y en el uso del Sistema; una vez modificado según las recomendaciones,
reformular los procedimientos operativos y generar conciencia de la importancia de la
organización y administración empresaria por procesos, entre otros temas.
6.6. Funcionamiento del sistema Giga.
•
Reimplantar el control interno del Sistema que sólo permite generar Solicitudes de Gasto
correspondientes al Sector del operador.
•
Modificar la tarea del Sistema Autorizador de Transacciones para visualizar la fecha de
alta del comprobante a autorizar.
•
Modificar la tarea del Sistema Gestión de Compras para que no indique por defecto la
opción de tipo de compra Contratación Directa Trámite Simplificado.
•
Incluir como regla en el Sistema la imposibilidad de usar valores negativos.
60
•
Modificar el Sistema para impedir que se carguen importes de facturas de proveedores
mayores a los montos comprometidos presupuestariamente.
•
Modificar el Sistema para incluir en los reportes del Libro Mayor y de Sumas y Saldos la
información sobre el período al que corresponden.
•
Incluir en el Sistema la ayuda en línea.
•
Modificar los mensajes de error que brinda el sistema para que sean claros y útiles a los
usuarios.
7. Conclusiones.
La situación de la Tecnología Informática en la Administración General de Puertos S.E.,
basándose en los procedimientos efectuados y la evidencia obtenida, merece las siguientes
observaciones:
En general, en los niveles gerenciales del Organismo hay un alto grado de rotación. No existe
un organigrama con misiones y funciones. El personal del organismo es de aproximadamente
450 agentes. En el sector de sistemas trabajan 12 personas. La dotación del área de
Tecnología es reducida para el volumen de tareas que debería realizar el sector si asumiera la
problemática de todo el organismo.
Se han observado datos erróneos almacenados en las bases principales que los sistemas de
aplicación no deberían admitir.
El objetivo y las características de los sistemas integrados de administración de empresas, en
general, y del sistema de aplicación GIGA, en particular, que mantienen y procesan datos
clasificados y sensitivos y que en su proceso generan transferencia de la propiedad de bienes y
el pago de dinero, tienen un alto grado de complejidad e involucran aprobaciones y garantías
de las autoridades de los organismos. Por eso, son muy susceptibles a las pérdidas de
información y económicas, la administración deficiente o el uso no autorizado de los recursos;
por lo tanto, resultan particularmente vulnerables.
El sistema GIGA, con el cual se realiza la gestión administrativa integral, incluyendo el
abastecimiento de bienes y servicios, ha evidenciado falta de integridad en la información
almacenada así como relajamiento de sus controles internos, a lo que se agrega que es
alimentado con datos provenientes de sistemas manuales y computarizados que no han sido
61
aprobados formalmente y que, en consecuencia, no satisfacen requerimientos de confiabilidad
e integridad.
Del análisis del riesgo al que se encuentran sometidos los siete requerimientos (eficacia,
eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad) que
debería satisfacer la información provista por el área de Tecnología de la Información, se
concluye (ver Anexo III) que el riesgo promedio de no alcanzar los objetivos de calidad,
teniendo en cuenta los treinta procesos considerados, se encuentra entre el 78% y el 91%, con
un promedio general del 84%.
Finalmente se evalúa que, de acuerdo con el Modelo Genérico de Madurez∗ y los niveles
detectados durante el presente trabajo y representados gráficamente en el Anexo I, la gestión
de la tecnología informática en la Administración General de Puertos S.E. se encuentra para
22 objetivos de control en el nivel de madurez “No Conforma” y para 8 objetivos en el nivel
“Inicial”, todo lo cual pone en peligro la eficiencia en el cumplimiento de la misión del
organismo e, incluso, la eficacia en su concreción.
Se recomienda:
1. Tender a que la madurez de la calidad de la gestión se aproxime al nivel de “Procesos
Definidos”.
2. Superar a la brevedad las limitaciones de los procesos ponderados en niveles “No
Conforma” e “Inicial”.
3. Recomponer la base de datos de manera tal que se pueda confiar en la información que
almacena.
4. Reimplantar controles internos del Sistema que fueron oportunamente levantados para
disminuir la carga de trabajo del personal del Organismo y consecuentemente acelerar
la implantación del Sistema.
5. Optimizar la estructura organizativa para reflejar las condiciones operativas actuales
del Organismo y establecer las relaciones entre las unidades componentes del mismo.
Dentro de dichas unidades deberán definirse claramente los roles, responsabilidades y
tareas de cada individuo.
∗
Ver Modelo Genérico de Madurez en página 12.
62
6. Implantar circuitos administrativos que eviten duplicación de esfuerzos y procesos
antiguos ya innecesarios e impidan que el Organismo funcione en compartimentos
estancos, lo que relaja controles esenciales.
7. Asegurar que los datos ingresen al Sistema sólo en el punto donde se generan y que
estén disponibles donde se los utilizan.
8. Capacitar a cada integrante del Organismo para que conozca cómo su acción se
interrelaciona y contribuye a alcanzar los objetivos generales.
9. Forzar el uso integral del Sistema GIGA abarcando el seguimiento completo de los
circuitos administrativos.
10. Disponer en forma urgente de 4 personas suficientemente calificadas, 2 en
administración y uso de la base de datos Oracle y 2 en programación en lenguaje
Visual Basic, para poder proceder a la indispensable transferencia tecnológica del
sistema, dado que es muy importante superar la dependencia respecto del soporte
técnico del proveedor del Sistema y garantizar la condición clave del control, fundada
en la independencia entre los programadores y los administradores de la base de datos.
Para superar las fallas observadas; es imprescindible un fuerte compromiso de las máximas
autoridades de la Administración General de Puertos S.E., que deberán trasladar estas
observaciones a las gerencias dependientes , para que a su vez mejoren los procedimientos y
controles existentes e incorporen aquellos aún no implementados.
8.- Lugar y fecha
Buenos Aires, Marzo de 2006.
9.- Firma
63
Anexo I: Gráficos de brecha para los niveles de madurez de los objetivos de
control considerados.
64
65
66
67
Anexo II: Estimación de los Niveles de Riesgo para los requerimientos de la
información según los procesos informáticos considerados
La alta velocidad con la que se producen los cambios en la tecnología informática enfatiza la
necesidad de optimizar la gestión de sus riesgos. Las misiones y funciones críticas de los
organismos dependen en forma creciente de los sistemas de tecnología de la información en
un ambiente donde también aumentan las noticias sobre fraudes y desastres informáticos. En
la actualidad se entiende que la gestión de riesgos relacionados con la tecnología de la
información es un elemento esencial de la administración del Estado.
En la presente auditoría se trabajó sobre treinta objetivos de control, cada uno de los cuales se
corresponde con un proceso de tecnología informática.
Cada proceso hace a uno o más de los siguientes requerimientos que debe satisfacer la
información dentro de un organismo para permitirle cumplir con sus misiones y funciones:
• Eficacia: Se refiere a que la información sea relevante y pertinente para la misión del
ente, así como a que su entrega sea oportuna, correcta, consistente y utilizable.
•
Eficiencia: Se refiere a la provisión de información a través de la utilización óptima
(más productiva y económica) de recursos.
•
Confidencialidad: se refiere a la protección de información sensible contra
divulgación no autorizada.
•
Integridad: Se refiere a la precisión y suficiencia de la información, así como a su
validez de acuerdo con los valores y expectativas del organismo.
•
Disponibilidad: Se refiere a la disponibilidad de la información cuando ésta es
requerida para cumplir con las misiones del organismo, ahora y en el futuro. También
se refiere a la salvaguardia de los recursos necesarios y capacidades asociadas.
•
Cumplimiento: Se refiere al cumplimiento de las leyes, regulaciones y acuerdos
contractuales a los que el organismo está sujeto.
•
Confiabilidad: Se refiere a la provisión de información apropiada para administrar la
entidad y para ejercer sus responsabilidades de reportes financieros y de
cumplimiento.
En los treinta casos se indica dentro de las observaciones qué requerimientos son afectados en
forma primaria y secundaria por el objetivo de control (ver Tabla I).
El objeto de este anexo es brindar parámetros cuantificables para establecer un Tablero de
Control que posibilite conocer los problemas con mayor riesgo y al mismo tiempo controlar
las eventuales mejoras en forma explícita.
“Riesgo de un requerimiento” es el valor que representa la probabilidad de que la información
no satisfaga esa necesidad. Este valor fluctúa entre 0 y 1, siendo 0 la situación más segura y 1
la más insegura.
68
El proceso de cálculo parte de la base de que el riesgo es directamente proporcional al
impacto (impacto = el peligro de incumplimiento de las misiones y funciones del organismo,
para los procesos involucrados en el objetivo de control) y a la probabilidad de que ocurra el
evento.
Para cada uno de los procesos se definió el riesgo como alto (99%), medio (66%) o bajo
(33%).
La probabilidad de ocurrencia está directamente vinculada a la calidad del control que se
realiza y este es evaluado en el informe mediante el nivel alcanzado según el modelo de
madurez. A cada nivel se le asignó un coeficiente según el siguiente detalle:
Nivel de Madurez
No Conforma
Inicial
Repetible aunque Intuitivo
Proceso Definido
Administrado
Optimizado
Coeficiente
1,00
0,75
0,50
0,30
0,20
0,10
69
Tabla I
4.1.1
Definir un plan estratégico de sistemas
P
S
4.1.2
Definir la arquitectura de la información
P
S
4.1.3
Determinar la dirección tecnológica
P
S
4.1.4
Definir la organización y sus relaciones
P
S
4.1.5
Administrar las inversiones (en TI)
P
P
4.1.6
Comunicar la dirección y objetivos de la gerencia
P
4.1.7
Administrar los recursos humanos
P
P
4.1.8
Evaluar riesgos
S
S
4.1.9
Administrar proyectos
P
P
4.1.10
Administrar calidad
P
P
4,2,1
Identificar soluciones de automatización
P
S
4,2,2
Adquirir y mantener software de aplicación
P
P
S
4,2,3
Adquirir y mantener la arquitectura tecnológica
P
P
S
4,2,4
Desarrollar y mantener procedimientos
P
P
S
4,2,5
Instalar y acreditar sistemas de información
P
4,2,6
Administrar cambios
P
P
4,3,1
Definir niveles de servicio
P
P
4,3,2
Administrar servicios de terceros
P
P
4,3,3
Administrar desempeño y capacidad
P
P
S
4,3,4
Asegurar continuidad de servicio
P
S
P
4,3,5
Garantizar la seguridad de sistemas
4,3,6
Identificar y asignar costos
4,3,7
Educar y capacitar a usuarios
P
4,3,8
Apoyar y orientar a clientes
P
4,3,9
Administrar la configuración
P
4,3,10
Administrar problemas e incidentes
P
4,3,11
Administrar la información
P
4,3,12
Administrar las instalaciones
P
P
4,3,13
Administrar la operación
P
P
S
S
Monitorear el proceso
P
S
S
S
Monitoreo 4,4,1
S
confiabilidad
cumplimiento
disponibilidad
integridad
confidencialidad
Dominio
Planeamiento y Organización
Adquisición e Implementación
Entrega y Soporte de Servicios
eficiencia
Requerimiento de la información
efectividad
Proceso
S
S
S
P
P
P
S
P
S
S
S
S
S
S
S
S
P
P
S
S
S
S
S
S
S
S
S
S
S
S
P
P
S
S
P
P
S
S
P
S
S
S
P
S
S
70
Anexo III. Gráficos de los niveles de riesgo para los requerimientos de la
información para cada uno de los treinta objetivos de control considerados
y el promedio general.
71
72
73
74
75
76
77
78
79
ANEXO V: ANÁLISIS DE LA RESPUESTA A LA VISTA.
3.5. Naturaleza del sistema auditado: El sistema integrado denominado GIGA (Gestión
Integral de Gobierno Automatizada) es un software del tipo Planeamiento de los Recursos
Empresariales (ERP, Enterprise Resources Planning) que cubre la gestión de las áreas de
Administración y Abastecimientos.
Este tipo de sistemas por tener tanto la interfase de usuario como los datos y los circuitos
administrativos integrados permite unificar el flujo de información y mejorar los procesos en
las distintas áreas de la empresa.
Los objetivos principales de los sistemas ERP son:
-Optimizar los procesos empresariales.
-Brindar acceso a información confiable, precisa y oportuna.
-Brindar la posibilidad de que todos los componentes de la organización compartan
información.
-Eliminar datos y operaciones innecesarias.
-Reducir tiempos, costos, errores y la posibilidad de fraudes.
Un ERP es un sistema de información para la gestión de la organización que debe ser
parametrizado. Esto implica definir las políticas con que se quiere utilizar el sistema, que
dependerán de las necesidades de la empresa.
Una importante ventaja de los ERP es que prácticamente todas sus funciones están
interrelacionadas, cada operación realizada genera al final del circuito administrativo su
asiento contable en forma automática, de modo que se pueden conocer los estados contables
en tiempo real o a la fecha deseada, y, por ejemplo: las deudas de clientes y proveedores,
ventas, compras efectivizadas o pendientes de recepción, entre otros.
El proceso “ideal” sería que una vez definida la estrategia de la organización y sus circuitos
administrativos, se asociaran a ellos los recursos tecnológicos necesarios para que todas las
operaciones se ejecutasen dentro del ERP.
Aunque en principio el hardware no es la parte más compleja de la implantación, podría
suceder que si ha sido mal elegido o hubo errores en el diseño, su rendimiento global
disminuya.
Se ha de considerar que además de las personas, los procesos son los que definen la eficiencia
y eficacia de la organización. Por ello, en el proyecto de implantación de ERP se deben
redefinir los procesos para:
-Adecuarlos al sistema
-Mejorar su eficiencia y eficacia.
Es necesario que todas las aplicaciones de la organización estén conectadas con el ERP para
conseguir una gestión de la información eficaz, eficiente y confiable.
Respuesta del organismo: En cuanto se incorporen Analistas Funcionales se procederá a
revisar los procedimientos administrativos para adecuarlos al sistema o adecuar el sistema a
las mejores prácticas para mejorar la eficiencia y eficacia.
En el proyecto informático está contemplado el hecho de que todas las aplicaciones estén
conectadas entre sí para lograr que todos los sistemas sean eficaces, eficientes y confiables.
Comentario AGN: La respuesta del organismo confirma que es necesario revisar los
procedimientos administrativos o adecuar el sistema para mejorar la eficacia y eficiencia. Si
bien está contemplado en el proyecto informático que todas las aplicaciones estén conectadas
entre sí, falta ponerlo en práctica.
En consecuencia se mantiene lo informado.
3.5.1. Descripción de las funciones principales del GIGA
3.5.1.1. Abastecimiento
3.5.1.1.1. Compras: Registra las compras de bienes y servicios requeridas por las diversas
áreas, desde que el sector requirente detecta la necesidad, hasta que el proveedor entrega el
bien o presta el servicio y se obtiene la conformidad del solicitante. Abarca las transacciones
relacionadas con:
•
Suministro de bienes almacenados disponibles en stock.
•
Compras de todo tipo de bien en cualquiera de sus modalidades.
•
Contratación directa.
81
•
Contratación directa con invitación.
•
Licitación privada.
•
Licitación pública.
•
Contratación de servicios.
3.5.1.1.2. Stock: Permite el seguimiento de la gestión de todos los elementos físicos
considerados como stock, almacenados en Deposito Central. Mantiene el registro desde que el
bien ingresa a Almacenes y sus eventuales transferencias, hasta el momento en que es
solicitado y enviado al sector requeriente.
3.5.2. Administración.
3.5.2.1. Cuentas a Pagar: Permite efectuar el seguimiento de los compromisos contraídos
por AGP que concluyen con un egreso de fondos.
Registra desde que se completa el ciclo de Compra con la emisión de su Orden de Compra,
hasta la llegada de las facturas, su registro en el sistema y seguimiento de los vencimientos
hasta la preparación de la documentación para efectuar el pago.
Respuesta del organismo: El sector se denomina “Departamento Pago a Proveedores”. El
segundo párrafo no se corresponde con el procedimiento. La factura del proveedor,
conformada por el sector correspondiente, se ingresa en el sistema para generar la Orden de
Pago.
Comentario AGN: El sector denominado Pago a Proveedores es el que utiliza el módulo
Cuentas a Pagar. En este acápite el presente informe describe la naturaleza del Sistema
GIGA y no los procedimientos vigentes en el Organismo. Lo manifestado por el organismo
coincide con lo expresado por esta Auditoría en lo referente a la generación de Orden de
Pago.
En consecuencia se mantiene lo informado.
3.5.2.2. Liquidaciones: Permite emitir la facturación de los servicios prestados a terceros por
AGP y su posterior seguimiento hasta la cobranza definitiva o hasta que cada concepto
facturado sea dado de baja por cualquier otro motivo (pasaje a mora, gestión judicial,
incobrabilidad, etc.)
82
3.5.2.3. Tesorería: Permite realizar el seguimiento de las transacciones vinculadas con el
ingreso y egreso de fondos.
Desde la recepción de la documentación respaldatoria de los pagos y las cobranzas a efectuar,
hasta la emisión y entrega del instrumento de pago, o la recepción de fondos y la entrega del
recibo correspondiente.
También efectúa el manejo de los fondos con posterioridad al pago o cobranza, incluyendo el
depósito, la transferencia, adquisición de otros activos financieros y su seguimiento.
3.5.2.4. Patrimonio: Permite gestionar de la totalidad de los activos fijos de la AGP en sus
diversos aspectos: ubicación física, tenencia, etc.
Se registra desde el ingreso del bien al patrimonio con todos los eventos que se produzcan
hasta el momento de la baja definitiva.
Respuesta del organismo: En el sistema se registran los eventos.
Comentario AGN: lo manifestado por el organismo coincide con lo expresado por esta
Auditoría.
En consecuencia se mantiene lo informado.
3.5.2.5. Contabilidad: Registra los movimientos contables correspondientes a la totalidad de
las transacciones efectuadas, permitiendo consultar la información generada y emitiendo los
informes necesarios para satisfacer requerimientos legales como los de análisis de la gestión.
Comprende el proceso de traducción a nivel contable de todas las transacciones operativas,
permitiendo el ingreso de ajustes manuales a los saldos contables por medio de asientos y la
extracción de la información en distintos formatos.
Respuesta del organismo: Los movimientos contables correspondientes a las transacciones
efectuadas son realizados automáticamente por el sistema.
Comentario AGN: lo manifestado por el organismo coincide con lo expresado por esta
Auditoría.
En consecuencia se mantiene lo informado.
3.5.2.6. Presupuesto: Permite la asignación anual del presupuesto para cada partida y
efectuar el posterior seguimiento para comprobar su ejecución.
83
Registra desde la aprobación del Presupuesto Anual, cuando se lo carga, hasta cada una de las
transacciones que lo afectan en sus diferentes etapas, concluyendo en el cierre anual.
Respuesta del organismo: Las transacciones no se registran, sólo se verifican para su
aprobación.
Comentario AGN: las transacciones son efectivamente registradas en el sistema a efectos de
llevar cuenta del estado del presupuesto en sus cuatro aspectos: presupuestado,
comprometido, devengado y ejecutado.
En consecuencia se mantiene lo informado.
3.5.3. Procedimientos del Sistema.
3.5.3.1. Procedimiento de Compras: Al realizar la apertura de la Solicitud del Gasto se
define su concepto (partida presupuestaria afectada). Esta tarea la efectúa cada sector según
sus necesidades.
Se autoriza la solicitud accediendo por el sistema a la lista de transacciones pendientes donde
se permite aprobarla o rechazarla. Este proceso está limitado a los usuarios con perfil de Jefe
de Departamento.
La solicitud se remite a la Gerencia Administrativa para afectar la partida presupuestaria que
corresponda. Afecta el presupuesto Preventivo y lo realiza el usuario con perfil de Gerente
Administrativo.
Se inicia la Gestión de Compras. El sistema permite las opciones Compra Directa, Compra
Directa con Invitación, Licitación Privada y Licitación Pública.
El sistema, en forma automática, analiza y propone adjudicar por menor cotización.
Los procesos de autorización solicitados por el sistema son realizados por el usuario con los
perfiles de Gerente General y Jefe de Departamento de Abastecimiento.
Se remite el expediente en formas electrónica y manual a la Gerencia Administrativa para
confirmar o rechazar la imputación presupuestaria del Compromiso.
Luego de confirmado el compromiso se emite la Orden de Compra.
Almacenes realiza la recepción de la mercadería ingresando los datos del remito en el sistema,
valida las cantidades solicitadas con las recibidas, y actualiza el stock.
84
Los remitos recibidos en Almacenes habilitan la recepción de la factura del proveedor y su
ingreso en el sistema, estos datos permiten confeccionar la orden de pago al proveedor.
La emisión de la orden de pago genera en forma automática la imputación presupuestaria a
pagar (devengado) y el asiento contable correspondiente.
Por cada pago realizado se emite un Recibo de Pago donde se detalla los instrumentos de
pago utilizados. El sistema permite la emisión de cheques y realiza la imputación
presupuestaria de lo pagado en forma automática.
Respuesta del organismo: Cuando se realiza la Solicitud del Gasto se selecciona el bien o
servicio que se requiere. La partida presupuestaria que se afecta la define el responsable de
la tabla de bienes y servicios.
No es una regla que el que autoriza la Solicitud del Gasto sea un Jefe de Departamento.
La afectación preventiva de una Solicitud del Gasto la revisa el Departamento Presupuesto,
si todo está bien la pone en curso y luego el Gerente Administrativo la autoriza.
Depósito Central realiza la recepción de la mercadería de la Solicitud del Gasto cuyo
destinatario es el propio Depósito Central.
Comentario AGN: El procedimiento descripto es el que está implícito en el Sistema Giga y
no pretende describir los procedimientos internos de la AGP.
En consecuencia se mantiene lo informado.
3.5.3.2. Procedimiento de Liquidaciones: El sector de Liquidaciones realiza la confección y
generación de todas las facturas que emite la Administración General de Puertos.
Las facturas corresponden a distintos servicios por los cuales recibe ingresos, estos servicios
consisten en la liquidación de:
•
Tasas de Cargas.
•
Importación.
•
Pasavantes.
•
Patentes de Buques.
•
Arrendamientos.
•
Servicios Ferroviarios.
•
Servicios Administrativos.
85
•
Prestaciones Tácitas.
•
Tasa a Terminales Portuarias.
•
Tasas a Pasajeros y Vehículos.
•
Suministro de Energía Eléctrica.
•
Reliquidación de Servicios Sanitarios.
•
Multas.
•
Averías.
•
Embarques de Cereales y Elevadores – Exportación.
Respuesta del Organismo: Sin observaciones.
En consecuencia se mantiene lo informado.
4. Comentarios y observaciones
Se exponen a continuación las principales observaciones y comentarios surgidos del trabajo
llevado a cabo por esta Auditoría.
Para cada una de las observaciones se incluyen el nivel de madurez, conforme al Modelo de
Madurez de la Capacidad de la Universidad Carnegie Melon enunciado más abajo, y las
recomendaciones tendientes a mejorar el ambiente de control y reducir los riesgos
identificados.
Niveles del Modelo Genérico de Madurez:
0 – No conforma. Falta total de procesos reconocibles. La organización incluso no reconoce
que existe un tema a ser tenido en cuenta.
1 – Inicial / Ad Hoc. Hay evidencia de que la organización reconoce la existencia del tema y
la necesidad de atenderlo. Sin embargo, no existen procesos estandarizados y en lugar de ellos
existen aproximaciones ad hoc que se aplican sobre una base individual o caso por caso. La
administración aparece como desorganizada.
2 – Repetible aunque Informal. Los procesos han evolucionado hasta la etapa en la cual
procedimientos similares son ejecutados por distintas personas que desarrollan las mismas
tareas. No hay entrenamiento formal ni comunicación de procedimientos estándar y la
responsabilidad es librada a cada individuo. Hay un alto grado de confianza en el
conocimiento de los individuos y es probable que haya errores.
86
3 – Proceso Definido. Los procedimientos han sido estandarizados, documentados y
comunicados vía entrenamiento. Sin embargo, es responsabilidad de los individuos cumplir
con estos procesos y es improbable que se detecten las desviaciones. Los procedimientos en sí
mismos no son sofisticados pero son la formalización de prácticas existentes.
4 - Administrado. Es posible monitorear y medir el cumplimiento de los procedimientos e
intervenir cuando los procesos parecen no estar funcionando adecuadamente. Los procesos
están siendo mejorados constantemente y proveen una práctica correcta. El uso de
herramientas y de automatización es limitado o fragmentario.
5 - Optimizado. Los procesos han sido corregidos hasta el nivel de la mejor práctica, basado
en los resultados de la mejora continua y de la movilización con otras organizaciones. La
Tecnología de la Información es usada de forma integrada para automatizar el flujo de trabajo,
proveer herramientas para mejorar la calidad y la eficacia y hacer que la organización se
adapte rápidamente a los cambios.
Además, para cada uno de los objetivos de control se indica cuáles de los requerimientos de la
información, detallados a continuación, son afectados:
Eficacia: La información debe ser relevante y pertinente para la misión del ente, y su entrega,
oportuna, correcta, consistente y utilizable.
Eficiencia: La información debe suministrarse mediante la utilización óptima (más productiva
y económica) de recursos.
Confidencialidad: La información sensible debe ser protegida contra divulgación no
autorizada.
Integridad: La información debe ser precisa y suficiente, y válida, de acuerdo con los valores
y expectativas del organismo.
Disponibilidad: La información debe estar disponible cuando se la requiera por las misiones
del organismo ahora y en el futuro. Se deben salvaguardar los recursos necesarios y
capacidades asociadas.
Cumplimiento: El organismos debe cumplir las leyes, regulaciones y acuerdos contractuales a
los que está sujeto.
87
Confiabilidad: La información que se requiere para que la administración opere la entidad y
cumpla sus responsabilidades de generar reportes financieros y de cumplimiento, debe ser
confiable.
A efectos de determinar el impacto de las observaciones detectadas, se clasificó las de
acuerdo con el nivel de riesgo. Los niveles asignados son Alto, Medio y Bajo.4.1. Planificación y organización.
4.1.1. Definición de un Plan Estratégico de Tecnología de la Información.
Objetivo de control: La máxima autoridad debe impulsar el proceso periódico de
planificación estratégica que permita formular los planes a largo plazo. A su vez, estos planes
deben traducirse oportunamente en planes operativos que definan metas claras y concretas a
corto plazo.
Este objetivo de control afecta a los siguientes requerimientos de la información necesaria
para cumplir las misiones del organismo, primariamente:
•
la eficacia
y en forma secundaria:
•
la eficiencia.
Nivel de madurez: No Conforma. No se realiza una planificación estratégica formal. Las
autoridades del organismo no han llevado acabo una planificación estratégica de la
Tecnología Informática que respalde sus metas, programas, proyectos o actividades.
Observaciones: El nivel de organización del Organismo es débil y la alta frecuencia de
rotación de sus máximas autoridades dificulta la superación del problema. No hubo en los
últimos años un plan estratégico de la Empresa. No se conoce la existencia de un área de
planeamiento ni de un comité de planificación de Tecnología Informática.
Nivel de riesgo:
[X] Alto
[ ] Medio
[ ] Bajo
Respuesta del Organismo: Sin observaciones.
En consecuencia se mantiene la observación.
4.1.2. Definición de la Arquitectura de la Información.
Objetivo de control: La información debe mantenerse acorde con las necesidades y debe ser
identificada, recopilada y comunicada en forma y tiempo tales que permitan a las personas
88
cumplir sus responsabilidades de manera eficiente y oportuna. Se debe crear y mantener un
modelo de arquitectura de la información que incluya el modelo de datos del organismo y los
sistemas de información relacionados.
Este objetivo de control afecta a los siguientes requerimientos de la información necesaria
para cumplir las misiones del organismo, primariamente:
•
la eficacia
y en forma secundaria:
•
la eficiencia
•
la confidencialidad
•
la integridad
Nivel de madurez: No Conforma. No se toma conciencia de la importancia que reviste la
arquitectura de la información. El conocimiento, la pericia y las responsabilidades necesarias
para desarrollar esta arquitectura no existen en el organismo.
Observaciones: No existe un modelo de la arquitectura de la información. El proveedor del
sistema GIGA entregó en su momento un diccionario de datos con el estado del Sistema antes
de su adaptación a las necesidades de la Administración, pero no se lo ha actualizado.
Nivel de riesgo:
[X] Alto
[ ] Medio
[ ] Bajo
Respuesta del organismo: Si bien es cierto que no existe un modelo de la arquitectura de
información, esto se debe a que luego de la transformación de la empresa la Subgerencia
quedó sin personal y con una estructura de sistemas totalmente desconectados entre sí.
A partir de 1999 las autoridades de la empresa tomaron conciencia del problema y se
empezó, con los medios disponibles, a planificar en cuanto a la incorporación de sistemas
con el objeto de culminar con una integración total de los mismos.
De esta forma se comenzó con la incorporación del ERP GIGA.
Es cierto que no está actualizado el Diccionario de Datos, hecho que será solucionado en el
transcurso del mes entrante.
No se comparte lo expresado en “Nivel de Madurez” en cuanto a que no se toma conciencia
de importancia que reviste la Arquitectura de la Información.
89
Cuando se cuente con los recursos humanos correspondientes, hecho que se está tratando de
solucionar a través de convenios de asistencia técnica con universidades, se trabajará en la
incorporación de nuevos sistemas y procedimientos acordes a los mismos.
Comentario AGN: La respuesta del organismo confirma que no existe un modelo de la
arquitectura de la información.
En consecuencia se mantiene la observación.
4.1.3. Determinación de la Dirección Tecnológica.
Objetivo de control: La función de servicios de información debe crear y mantener un plan
de infraestructura tecnológica que fije y administre expectativas claras y realistas de lo que la
tecnología puede ofrecer en términos de productos, servicios y mecanismos de entrega.
Este objetivo de control afecta a los siguientes requerimientos de la información necesaria
para cumplir las misiones del organismo, primariamente:
•
la eficacia
y en forma secundaria:
•
la eficiencia
Nivel de madurez: No Conforma. No se toma conciencia de la importancia que la
planificación de infraestructura tecnológica reviste para el organismo. No se alcanza el
conocimiento y la pericia requeridos para desarrollar esa infraestructura. No se considera que
la planificación para el cambio tecnológico sea crítica para la asignación eficaz de los
recursos.
Observaciones: No se conoce la existencia de procesos formales para crear y actualizar
periódicamente el plan de infraestructura tecnológica ni para evaluar su estado.
Nivel de riesgo:
[X] Alto
[ ] Medio
[ ] Bajo
Respuesta del organismo: Vale lo opinado en el punto anterior. Indudablemente que los
recursos son fundamentales para la planificación.
Comentario AGN: La respuesta del organismo confirma que no existe procesos formales
para crear y actualizar periódicamente el plan de infraestructura tecnológica ni para evaluar su
estado
En consecuencia se mantiene la observación.
90
4.1.4. Definición de la organización y las Relaciones de Tecnología de la Información.
Objetivo de control: La máxima autoridad debe establecer una estructura organizativa
adecuada en términos de cantidad e idoneidad del personal, con roles y responsabilidades
definidos y comunicados, alineada con la misión del organismo y que facilite la estrategia y
brinde una dirección eficaz y un control adecuado.
Este objetivo de control afecta a los siguientes requerimientos de la información necesaria
para cumplir las misiones del organismo, primariamente:
•
la eficacia
y en forma secundaria:
•
la eficiencia
Nivel de madurez: No conforma. La estructura organizativa del organismo no está
debidamente establecida para concretar el logro de sus objetivos.
Observaciones: Al no estar aprobada la planificación estratégica, no están oficialmente
establecidos los objetivos de detalle de la Administración, por lo que no se pueden adecuar los
servicios de tecnología de la información a sus necesidades. La dotación del área de Sistemas
es reducida para el volumen de tareas que debería realizar el sector si asumiera la
problemática de todo el organismo.
Nivel de riesgo:
[X] Alto
[ ] Medio
[ ] Bajo
Respuesta del Organismo: Sin observaciones.
Comentario AGN: En consecuencia se mantiene la observación.
4.1.5. Administración de la Inversión en Tecnología de Información.
Objetivo de control: La máxima autoridad debe definir un presupuesto anual operativo y de
inversión, establecido y aprobado por el organismo.
Este objetivo de control afecta a los siguientes requerimientos de la información,
primariamente:
•
la eficacia
•
la eficiencia
y en forma secundaria:
•
la confiabilidad
91
Nivel de madurez: No Conforma. No se ha tomado conciencia de la importancia de la
selección y presupuestación de las inversiones en tecnología de la información. No se hace un
seguimiento o monitoreo de las inversiones ni de los gastos en esta materia.
Observaciones: No se conoce la existencia de políticas y procedimientos formales para la
preparación del presupuesto operativo anual, ni para monitorear los costos reales y
compararlos con los proyectados, ni para su justificación económica. No existe un sistema de
imputación de costos.
Nivel de riesgo:
[X] Alto
[ ] Medio
[ ] Bajo
Respuesta del organismo:
Al no existir un Plan Maestro (fue aprobado por Resolución 36-2005 del 24 de junio de 2005)
y el correspondiente plan estratégico, el presupuesto anual de la Subgerencia de
Organización y Sistemas se preparó teniendo en cuenta las necesidades más urgentes y
considerando que el problema de falta de personal se solucionaba en el período.
Comentario AGN: La respuesta del organismo confirma que a la fecha del informe no
existían políticas y procedimientos formales para la preparación del presupuesto operativo
anual, ni para monitorear los costos reales y compararlos con los proyectados, ni para su
justificación económica. No existe un sistema de imputación de costos. La nueva situación
será analizada en una futura auditoría.
En consecuencia se mantiene la observación.
4.1.6. Comunicación de los Objetivos y Directivas de la Gerencia.
Objetivo de control: La máxima autoridad debe impulsar la definición de políticas y su
comunicación a la comunidad de usuarios. Además, es preciso que se establezcan normas que
traduzcan las opciones estratégicas en reglas prácticas y útiles.
Este objetivo de control afecta a los siguientes requerimientos de la información necesaria
para cumplir las misiones del organismo, primariamente:
•
la eficacia
y en forma secundaria:
•
el cumplimiento
92
Nivel de madurez: No Conforma. La máxima autoridad del organismo no ha establecido un
ambiente positivo de control de la información. No hay reconocimiento de la necesidad de
establecer un conjunto de procesos, políticas, procedimientos y normas, y de garantizar su
cumplimiento.
Observaciones: No se conoce la existencia de políticas y procedimientos formales ni un
programa de concientización que generen un ambiente de control positivo. No se conoce la
existencia de políticas y procedimientos formales que garanticen la asignación de recursos en
forma adecuada. No existe el documento marco de seguridad informática ni políticas formales
al respecto.
Nivel de riesgo:
[X] Alto
[ ] Medio
[ ] Bajo
Respuesta del Organismo: Sin observaciones.
Comentario AGN: En consecuencia se mantiene la observación.
4.1.7. Administración de los Recursos Humanos.
Objetivo de control: La máxima autoridad debe implementar prácticas sólidas, justas y
transparentes de administración de personal en cuanto a selección, alineación, verificación de
antecedentes, remuneración, capacitación, evaluación, promoción y despido.
Este objetivo de control afecta a los siguientes requerimientos de la información necesaria
para cumplir las misiones del organismo, primariamente:
•
la eficacia
•
la eficiencia
Nivel de madurez: No Conforma. No se ha tomado conciencia de la importancia de alinear la
administración de los recursos humanos de tecnología de la información con el proceso de
planificación de tecnología para el organismo. No hay ninguna persona o grupo formalmente
responsable de la administración de recursos humanos de tecnología de la información.
Observaciones: No se conoce la existencia de programas referentes a la educación y la
concientización general en problemas de seguridad de la información. No se cuenta con
personal suficientemente idóneo para las tareas a realizar. No existen procesos formales de
seguridad para altas, bajas y modificaciones de accesos por usuario. Existen usuarios en la red
que ya no pertenecen a la Empresa. En la Subgerencia de Sistemas, la falta de personal
93
capacitado es manifiesta e impide transferir la tecnología del sistema GIGA del proveedor a la
Administración.
Nivel de riesgo:
[X] Alto
[ ] Medio
[ ] Bajo
Respuesta del Organismo: Sin observaciones.
Comentario AGN: En consecuencia se mantiene la observación.
4.1.8. Evaluación de Riesgos.
Objetivo de control: La máxima autoridad debe definir un proceso por el cual el organismo
se ocupe de identificar los riesgos de Tecnología de la Información y analizar su impacto,
involucrando funciones multidisciplinarias y adoptando medidas eficaces en función de costos
a fin de mitigarlos.
Este objetivo de control afecta a los siguientes requerimientos de la información necesaria
para cumplir las misiones del organismo, primariamente:
•
la confidencialidad
•
la integridad
•
la disponibilidad
y en forma secundaria:
•
la eficacia
•
la eficiencia
•
el cumplimiento
•
la confiabilidad
Nivel de madurez: No Conforma. No se realiza una evaluación de riesgos para los procesos y
las decisiones de actividades sustantivas. No se consideran los puntos vulnerables de la
seguridad ni las incertidumbres de los proyectos de desarrollo. La administración de riesgos
no se consideró relevante en la adquisición de soluciones de Tecnología de la Información y
la prestación de servicios de Tecnología de la Información.
Observaciones: De la información recibida se concluye que no existen políticas y
procedimientos formales para evaluar el riesgo tecnológico.
Nivel de riesgo:
[X] Alto
[ ] Medio
[ ] Bajo
94
Respuesta del organismo: Informalmente se presentó el proyecto de estructura de la
Subgerencia de Organización y Sistemas en el que se contempla el Departamento de
Seguridad Informática. La mencionada estructura no está aprobada ni hay personal para
cubrir los cargos del citado Departamento.
Comentario AGN: La respuesta del organismo confirma que no existen políticas y
procedimientos formales para evaluar el riesgo tecnológico.
En consecuencia se mantiene la observación.
4.1.9. Administración de Proyectos.
Objetivo de control: La máxima autoridad debe establecer un proceso por el cual el
organismo identifique y establezca las respectivas prioridades de los proyectos en
concordancia con el plan operativo. El organismo debe adoptar y aplicar técnicas bien
concebidas de administración de proyectos para cada uno que se inicie.
Este objetivo de control afecta a los siguientes requerimientos de la información necesaria
para cumplir las misiones del organismo, primariamente:
•
la eficacia
•
la eficiencia
Nivel de madurez: Inicial / Ad Hoc. El organismo tiene una noción de la necesidad de
estructurar los proyectos y conoce los riesgos que implican los proyectos mal administrados.
El uso de técnicas y enfoques de administración de proyectos es una decisión que queda a
criterio del gerente. En general, los proyectos están mal definidos y no incorporan los
objetivos técnicos ni los de la actividad del organismo o de las partes interesadas. Hay una
falta generalizada de compromiso de la dirección. La asignación de responsables de los
proyectos y las decisiones críticas se toman sin tener en cuenta los aportes de la gerencia
usuaria o de los usuarios. La participación de los clientes y usuarios en la definición de
proyectos es escasa o nula. No hay una buena definición de los cronogramas y plazos de los
proyectos. El tiempo y los gastos del personal asignado al proyecto no se rastrean ni cotejan
con los presupuestos.
Observaciones: No se conoce la existencia de un marco formal de administración de
proyectos. En el caso particular del sistema GIGA, se nombraron responsables de la ejecución
95
del proyecto de implantación. Existió una planificación que no se cumplió en la práctica en lo
referente a plazos (23 meses contra los 6 previstos) y a control de calidad (las pruebas de
aprobación no fueron completas). Algunos usuarios no están conformes con las prestaciones
del sistema.
Nivel de riesgo:
[X] Alto
[ ] Medio
[ ] Bajo
Respuesta del organismo: En cuanto a que algunos usuarios no están conformes con las
prestaciones del sistema esta Subgerencia no ha recibido ninguna comunicación al respecto.
Si no indica la Auditoría General de la Nación se deberá efectuar un relevamiento para
determinarlo.
Comentario AGN: en las entrevistas mantenidas con personal de la Gerencia Administrativa
esta auditoria recibió criticas con respecto a la confiabilidad del sistema y a su velocidad de
procesamiento.
En consecuencia se mantiene la observación.
4.1.10. Administración de la Calidad.
Objetivo de control: La alta gerencia debe desarrollar la planificación, implementación y el
mantenimiento de normas y sistemas de administración de calidad del organismo, que
proporcionen distintas fases de desarrollo, prestaciones claves y responsabilidades explícitas.
Este objetivo de control afecta a los siguientes requerimientos de la información necesaria
para cumplir las misiones del organismo, primariamente:
•
la eficacia
•
la eficiencia
•
la integridad
y en forma secundaria:
•
la confiabilidad
Nivel de madurez: No Conforma. El organismo carece de un proceso de planificación de
garantía de calidad y de una metodología de ciclo de vida de desarrollo de sistemas. La alta
gerencia y el personal de Tecnología de la Información no reconocen la necesidad de un
programa de calidad. No se verifica la calidad de los proyectos y las operaciones.
96
Observaciones: La alta gerencia y el personal de Tecnología no establecen un programa de
control de calidad y éste no se verifica en los proyectos y las operaciones. No se aplica la
metodología de ciclo de vida, no se planifican los proyectos de desarrollo de sistemas ni hay
un sistema formal para su seguimiento. Se han observado datos erróneos almacenados en las
bases
principales
que
Nivel de riesgo:
los
sistemas
[X] Alto
de
aplicación
[ ] Medio
no
deberían
admitir.
[ ] Bajo
Respuesta del organismo: Tener en cuenta la opinión vertida como respuesta al punto 4.1.2.
Al final de las observaciones se indica que “se han observado datos erróneos almacenados
en las bases principales”. Esta situación tiene relación directa con la importación de datos
realizada en oportunidad de la implementación del Sistema GIGA. En este momento se tuvo
que levantar algún control interno (por ejemplo número de documento unívoco) para realizar
la tarea mencionada. Se había consensuado que se revisarían los datos con el objeto de
solucionar el problema.
Comentario AGN: La respuesta del organismo reconoce la inexistencia de un programa de
control de calidad y de planificación de proyectos de desarrollo y confirma la existencia de
datos erróneos almacenados en las bases principales luego de varios años de realizada la
implementación del Sistema GIGA. Estos problemas son la causa del malestar y la
desconfianza que existe en el Organismo hacia el aplicativo y de su escasa utilidad y su
solución esta incluida en las recomendaciones y conclusiones del informe.
En consecuencia se mantiene la observación.
4.2. Administración e implementación.
4.2.1. Identificación de Soluciones Automatizadas
Objetivo de control: La máxima autoridad debe garantizar una identificación y un análisis
claro y objetivo de las alternativas, medidas en comparación con los requerimientos del
usuario.
Este objetivo de control afecta a los siguientes requerimientos de la información necesaria
para cumplir las misiones del organismo, primariamente:
•
la eficacia
y en forma secundaria:
97
•
la eficiencia
Nivel de madurez: No Conforma. El organismo no exige la identificación de requerimientos
funcionales y operativos para el desarrollo, la implementación o modificación de las
soluciones de sistemas, servicio, infraestructura, software y datos. El organismo no se
mantiene informado de las soluciones tecnológicas disponibles y eventualmente relevantes
para su actividad.
Observaciones: De la información recibida surge que:
•
No se han documentado criterios para la consideración de las opciones de desarrollo
interno, de terceros y soluciones compradas.
•
No existe un método general de adquisición e implementación ni una metodología de
ciclo de vida de desarrollo de sistemas claros y aceptados.
•
No existe un proceso transparente, ágil y eficiente para la planificación, iniciación y
aprobación de soluciones.
•
No se implementó un proceso estructurado de análisis de requerimientos.
•
No existen procedimientos formales para evaluar los requerimientos de seguridad y
control desde el principio de los desarrollos.
Nivel de riesgo:
[X] Alto
[ ] Medio
[ ] Bajo
Respuesta del organismo: Tener en cuenta la opinión vertida como respuesta al punto 4.1.2.
Comentario AGN: La respuesta del organismo confirma que no se han documentado
criterios para considerar distintas opciones de desarrollo; no existe un método general de
adquisición e implementación ni una metodología de ciclo de vida de desarrollo de sistemas
claros y aceptados; no existe un proceso transparente, ágil y eficiente para la planificación,
iniciación y aprobación de soluciones; no se implementó un proceso estructurado de análisis
de requerimientos; no existen procedimientos formales para evaluar los requerimientos de
seguridad y control desde el principio de los desarrollos.
En consecuencia se mantiene la observación.
4.2.2. Adquisición y Mantenimiento del Software de Aplicación
98
Objetivo de control: La adquisición y mantenimiento del software de aplicación debe
realizarse definiendo específicamente los requerimientos funcionales y operativos, e
implementando por etapas con prestaciones claras.
Este objetivo de control afecta a los siguientes requerimientos de la información necesaria
para cumplir las misiones del organismo, primariamente:
•
la eficacia
•
la eficiencia
y en forma secundaria:
•
la integridad
•
el cumplimiento
•
la confiabilidad
Nivel de madurez: No conforma. No hay un proceso para diseñar y especificar aplicaciones.
En general, las aplicaciones se obtienen sobre la base de ofrecimientos de los proveedores,
reconocimiento de la marca o familiaridad del personal de Tecnología de la Información con
productos específicos, mientras que los requerimientos reales prácticamente no se tienen en
cuenta.
Observaciones: De la información recibida no surge la existencia de una metodología formal
de adquisición, diseño, desarrollo e implementación aceptada, entendida y aplicada.
Nivel de riesgo:
[X] Alto
[ ] Medio
[ ] Bajo
Respuesta del organismo: Tener en cuenta la opinión vertida como respuesta al punto 4.1.2.
Existe una “Metodología para la construcción de Software”, la misma no está formalizada y
debe ser revisada.
No es cierto que las aplicaciones se obtienen sobre la base de ofrecimiento de los
proveedores, reconocimiento de la marca o familiaridad del personal de Tecnología de la
Información con productos específicos y que los requerimientos reales prácticamente no se
tienen en cuenta.
La metodología utilizada para la adquisición de software es la siguiente:
•
Detectada la necesidad se efectúa un relevamiento de los requerimientos funcionales
a nivel de títulos.
99
•
Se confecciona el pliego de bases y condiciones particulares en el que se fijan las
etapas del desarrollo, las mismas son:
ƒ
Relevamiento
ƒ
Análisis
ƒ
Desarrollo
ƒ
Implementación
Comentario AGN: La respuesta del organismo confirma que no existe una metodología
formal de adquisición, diseño, desarrollo e implementación aceptada, entendida y aplicada
En consecuencia se mantiene la observación.
4.2.3. Adquisición y Mantenimiento de la Infraestructura Tecnológica
Objetivo de control: La gerencia de la función de servicios de información debe impulsar la
adquisición criteriosa del software y el hardware, la estandarización del software, la
evaluación de los rendimientos, y la administración coherente de sistemas.
Este objetivo de control afecta a los siguientes requerimientos de la información necesaria
para cumplir las misiones del organismo, primariamente:
•
la eficacia
•
la eficiencia
y en forma secundaria:
•
la integridad
Nivel de madurez: No Conforma. No se conoce la existencia de un plan de adquisición de
infraestructura tecnológica que permita mantener criteriosamente actualizados el hardware y
el software del organismo.
Observaciones: No existen políticas y procedimientos formales que aseguren la preparación
de un plan de evaluación del hardware y el software nuevos a fin de determinar su eventual
impacto sobre el rendimiento general.
La alta gerencia no ha definido una estrategia de arquitectura de Tecnología de la Información
y los requerimientos relacionados.
No se cuenta con un inventario actualizado de la infraestructura de Tecnología de la
Información (hardware y software). El inventario de hardware que se ha recibido no permite
100
evaluar adecuadamente el estado de la infraestructura tecnológica, a pesar de lo cual se pudo
inferir que el equipamiento disponible es incompleto. De la información obtenida no surge
que se hayan definido políticas para:
•
Evaluar adecuadamente las opciones de desarrollo interno, por terceros y por
infraestructuras externas.
•
Manejar los casos en los que se depende de un proveedor de única fuente.
•
La administración de cambios.
•
El uso de una metodología de ciclo de vida bien definida para seleccionar, adquirir,
mantener y quitar componentes de la infraestructura de Tecnología de la Información.
•
Fundamentar las adquisiciones en los requerimientos de desempeño y capacidad mediante
la integración con procesos de administración de los mismos.
Nivel de riesgo:
[X] Alto
[ ] Medio
[ ] Bajo
Respuesta del organismo: Tener en cuenta la opinión vertida como respuesta al punto 4.1.2.
No se entiende cómo se llegó a la conclusión de que el equipamiento disponible es
incompleto. El inventario de hardware posee toda la información necesaria para evaluar
adecuadamente el estado de la infraestructura tecnológica.
Comentario AGN: La respuesta del organismo confirma que no existen políticas y
procedimientos formales que aseguren la preparación de un plan de evaluación del hardware
y el software nuevos a fin de determinar su eventual impacto sobre el rendimiento general.
La falta de espacio de almacenamiento disponible en los discos magnéticos del sistema de
producción, la puesta fuera de línea del sistema por haber salido de servicio un medio de
almacenamiento (Fines del 2004) y el haber procesado por un período de tiempo con discos
suministrados por el proveedor del sistema GIGA, hacen concluir que el equipamiento
disponible es incompleto. El inventario de hardware recibido es inespecífico (Ver el
comentario AGN del punto 4.3.9. Administración de la Configuración).
En consecuencia se mantiene la observación.
4.2.4. Desarrollo y Mantenimiento de Procedimientos
101
Objetivo de control: Se debe aplicar un enfoque estructurado para el desarrollo de
procedimiento del usuario y de operaciones, requerimientos de servicios y materiales de
capacitación.
Este objetivo de control afecta a los siguientes requerimientos de la información necesaria
para cumplir las misiones del organismo, primariamente:
•
la eficacia
•
la eficiencia
y en forma secundaria:
•
la integridad
•
el cumplimiento
•
la confiabilidad
Nivel de madurez: No Conforma. No hay un proceso para producir documentación del
usuario, manuales de operaciones y material de capacitación. Los únicos materiales son los
que vienen con los productos comprados.
Observaciones: De la información recibida no surge que:
•
Existan acuerdos de nivel de servicio, con vínculos con las normas de documentación.
•
Se mantengan inventarios de programas y procedimientos del organismo ni de Tecnología
de la Información utilizando herramientas automatizadas.
•
El proceso de desarrollo asegure el uso de procedimientos operativos estándares y una
apariencia estándar de las interfaces de usuario.
•
La capacitación del usuario en la utilización de los procedimientos esté integrada con los
planes de capacitación del organismo y de Tecnología de la Información.
•
Exista un marco estándar, definido y monitoreado, para documentar y redactar los
procedimientos.
•
Para desarrollar, distribuir y mantener procedimientos se empleen técnicas de
administración del conocimiento, de flujo de trabajo ni herramientas automatizadas.
•
La infraestructura y estructura organizativa estén diseñadas para promover y compartir la
documentación del usuario, los procedimientos técnicos y el material de capacitación
entre los instructores, la mesa de ayuda y los grupos de usuarios.
102
Nivel de riesgo:
[X] Alto
[ ] Medio
[ ] Bajo
Respuesta del organismo: Tener en cuenta la opinión vertida como respuesta al punto 4.1.2.
La Subgerencia de Organización y Sistemas no cuenta con Analistas Funcionales.
Comentario AGN: La respuesta del organismo confirma lo observado.
En consecuencia se mantiene la observación.
4.2.5. - Instalación y acreditación de aplicativos.
Objetivo de control: La implementación de nuevos sistemas debe realizarse por medio de un
plan bien formalizado de instalación, migración, conversión y aceptación.
Este objetivo de control afecta a los siguientes requerimientos de la información necesaria
para cumplir las misiones del organismo, primariamente:
•
la eficacia
y en forma secundaria:
•
la integridad
•
la disponibilidad
Nivel de madurez: No Conforma. No hay ningún proceso formal de instalación y
acreditación. La alta gerencia o el personal de Tecnología de la Información reconocen
parcialmente la necesidad de verificar que las soluciones sean adecuadas para la finalidad
prevista.
Observaciones: No existe una metodología formal del ciclo de vida del desarrollo de
sistemas para la instalación y acreditación de sistemas que incluya, entre otros, un enfoque en
fases de: capacitación, cuantificación del desempeño, plan de conversión, pruebas de
programas, un plan de pruebas paralelas o prototipo, pruebas de aceptación, pruebas de
seguridad y acreditación, pruebas de funcionamiento, controles de cambios; implementación,
y revisión y modificación posteriores a la implementación. No se usan adecuadamente las
bibliotecas de desarrollo, prueba y producción para los sistemas en proceso. En el caso del
Sistema GIGA los cambios se realizan mayoritariamente en forma directa en el ambiente de
producción. El programa de capacitación de usuarios del sistema GIGA no contempló las
diferencias respecto del sistema anterior, los cambios que afectan a la entrada, el
procesamiento, la programación, la distribución, las interfaces con otros sistemas, los errores
103
y su resolución. Algunos usuarios no están satisfechos con la capacitación recibida. El
desempeño del sistema GIGA se encuentra por debajo del óptimo y el problema no se
soluciona debido a la insuficiencia de infraestructura tecnológica y de personal.
Nivel de riesgo:
[X] Alto
[ ] Medio
[ ] Bajo
Respuesta del organismo: No es cierto que los cambios se realizan en forma directa en el
ambiente de producción. Hay un servidor de pruebas, el utilizado por la Auditoría General de
la Nación para esta auditoría, en el que se realizan los testeos de los cambios y luego de la
aprobación del usuario se pone en producción.
No obstante, la conformidad al momento de recibir la capacitación, es posible que algunos
usuarios requieran una recapacitación o, como el caso de la Gerencia de Abastecimiento,
que cuando se capacitó no estuvieron contemplados por pertenecer a otros sectores no
recibieron capacitación. Se solicitó un presupuesto para la capacitación de dicha Gerencia y
no fue aceptado.
El desempeño del sistema GIGA se encuentra por debajo del óptimo debido a la necesidad de
realizar el “Tunning de la Base de Datos”, el mismo no se realiza debido a la falta de
capacitación y personal de Administración de Bases de Datos. También existían problemas
con los enlaces los que ya fueron solucionados con la ampliación del ancho de banda de los
mismos.
Comentario AGN: El personal de esta auditoria presenció y tomó nota durante los trabajos
de campo de modificaciones de parámetros del sistema y de datos transaccionales realizados
en forma directa en el servidor de producción del sistema GIGA. En particular en fojas 33 el
auditado informa que se realizan cambios en los datos directamente en el sistema de
producción, sin utilizar funciones del programa.
En consecuencia se mantiene la observación.
4.2.6. Administración de Cambios
Objetivo de control: Se debe poner en marcha un sistema de administración de cambios que
permita analizar, implementar y seguir todas las modificaciones solicitadas y realizadas en la
infraestructura de Tecnología de la Información existente.
104
Este objetivo de control afecta a los siguientes requerimientos de la información necesaria
para cumplir las misiones del organismo, primariamente:
•
la eficacia
•
la eficiencia
•
la integridad
•
la disponibilidad
y en forma secundaria:
•
la confiabilidad
Nivel de madurez: No Conforma. No hay un proceso de administración de cambios definido
y es posible introducir cambios casi sin control alguno. No se ha tomado conciencia de que el
cambio puede ser perturbador tanto para las operaciones de Tecnología de la Información
como para las actividades del organismo y no se toma conciencia de los beneficios de una
buena administración de cambios.
Observaciones: Del análisis de la información recibida surge que:
•
No existen políticas de cambio claras y conocidas que se implementen en forma rigurosa y
sistemática.
•
La administración de cambios no está integrada con la administración de las versiones de
software ni forma parte de la administración de la configuración.
•
No existe un proceso rápido y eficiente de planificación, aprobación e iniciación para
identificar, categorizar, evaluar impactos y establecer prioridades para los cambios.
•
No se cuenta con herramientas de proceso automatizadas para respaldar la definición de
flujo de trabajo, planes de trabajo normados, plantillas de aprobación, pruebas,
configuración y distribución.
•
No hay un proceso formal definido para la transición del ambiente de desarrollo al de
operaciones.
•
No se analiza si los cambios tienen impacto en los requisitos de capacidad y desempeño.
•
No se dispone de documentación de aplicaciones y configuración completa y actualizada.
•
No existe registro completo de los cambios al sistema GIGA solicitados ni de los
efectuados.
105
•
La documentación del sistema GIGA no se modificó pese a los cambios que viene
sufriendo.
Nivel de riesgo:
[X] Alto
[ ] Medio
[ ] Bajo
Respuesta del organismo: Si bien no es completo, existe un registro de los cambios al
sistema GIGA solicitados y efectuados.
Desde mediados de noviembre de 2004 no se realiza ningún cambio en el sistema si no existe
una solicitud formal para realizarlo.
El 15 de agosto se requirió al proveedor la actualización de la documentación. El mismo se
comprometió a entregarla para fines de octubre.
Comentario AGN: No existía a la fecha de los trabajos de campo un registro de los cambios
pendientes al Sistema GIGA en la fecha de los trabajos de auditoría. Pese a haberlo solicitado
no se recibió, por lo que se lo dio como no existente. Se verificará la afirmación en una futura
auditoría.
En consecuencia se mantiene la observación.
4.3. Entrega y Soporte.
4.3.1. Definición y Administración de los Niveles de Servicio.
Objetivo de control: La máxima autoridad debe definir un marco dentro del cual promueva
acuerdos de nivel de servicio que formalicen los criterios de desempeño en virtud de los
cuales se medirá su cantidad y calidad.
Este objetivo de control afecta a los siguientes requerimientos de la información necesaria
para cumplir las misiones del organismo, primariamente:
•
la eficacia
•
la eficiencia
y en forma secundaria:
•
la confidencialidad
•
la integridad
•
la disponibilidad
•
el cumplimiento
•
la confiabilidad
106
Nivel de madurez: No Conforma. La gerencia no ha reconocido la necesidad de
la
definición de niveles de servicio ni de un proceso para tal fin.
Observaciones: De las reuniones mantenidas y de la documentación recibida surge que no se
definen niveles de servicio y no existen políticas al respecto.
Nivel de riesgo:
[ ] Alto
[X] Medio
[ ] Bajo
Respuesta del organismo: sin observaciones.
Comentario AGN: se mantiene la observación.
4.3.2. Administración de Servicios Prestados por Terceros.
Objetivo de control: La máxima autoridad debe implementar medidas de control orientadas
revisar y monitorear los contratos y procedimientos existentes para garantizar su eficacia y el
cumplimiento de la política del organismo.
Este objetivo de control afecta a los siguientes requerimientos de la información necesaria
para cumplir las misiones del organismo, primariamente:
•
la eficacia
•
la eficiencia
y en forma secundaria:
•
la confidencialidad
•
la integridad
•
la disponibilidad
•
el cumplimiento
•
la confiabilidad
Nivel de madurez: No Conforma. Las responsabilidades y la rendición de cuentas no están
definidas. No hay políticas y procedimientos formales para la contratación de terceros. Los
servicios de terceros no son aprobados ni revisados por la dirección. No hay actividades de
medición ni informes de los proveedores y en consecuencia la alta gerencia no está al tanto de
la calidad del servicio prestado.
Observaciones: De la información recibida surge que los contratos de algunos servicios que
se le prestan al Organismo ya no están vigentes. En el caso de la administración del sistema
107
GIGA, los servicios los prestan terceros cuyo contrato ha vencido, y son pagados con la figura
de “legítimo abono”.
Nivel de riesgo:
[X] Alto
[ ] Medio
[ ] Bajo
Respuesta del organismo: sin observaciones.
Comentario AGN: se mantiene la observación.
4.3.3. Administración de la Capacidad y el Desempeño.
Objetivo de control: Se debe implementar un proceso de administración orientado a
recopilar datos, analizar y generar informes sobre el desempeño de los recursos de Tecnología
de la Información, la dimensión de los sistemas de aplicación y la demanda de cargas de
trabajo.
Este objetivo de control afecta a los siguientes requerimientos de la información necesaria
para cumplir las misiones del organismo, primariamente:
•
la eficacia
•
la eficiencia
y en forma secundaria:
•
la disponibilidad
Nivel de madurez: No Conforma. La alta gerencia no reconoce que las actividades
sustantivas claves pueden requerir altos niveles de desempeño de Tecnología de la
Información y que la necesidad del organismo de tales servicios excede la capacidad
instalada. No se cuenta con ningún proceso de planificación de la capacidad de
procesamiento.
Observaciones: Según la información disponible, no existen en el organismo políticas y
procedimientos formales para la planificación de la capacidad. Si bien se realizan
estimaciones basadas en las expectativas de cambio, la falta de definiciones al respecto
dificulta la concreción y formalización de ampliaciones de una infraestructura que a la fecha
es insuficiente, incluso para las aplicaciones en uso.
Nivel de riesgo:
[X] Alto
[ ] Medio
[ ] Bajo
Respuesta del organismo: sin observaciones.
Comentario AGN: se mantiene la observación.
108
4.3.4. Garantía de un Servicio Continuo.
Objetivo de control: La máxima autoridad debe implementar un plan probado y operativo de
continuidad de tecnología de información que concuerde con el plan de continuidad general
del organismo y sus requerimientos de actividad relacionados.
Este objetivo de control afecta a los siguientes requerimientos de la información necesaria
para cumplir las misiones del organismo, primariamente:
•
la eficacia
•
la disponibilidad
y en forma secundaria:
•
la eficiencia
Nivel de madurez: No Conforma. No se consideran los riesgos, las vulnerabilidades y las
amenazas para las operaciones de Tecnología de la Información, ni el impacto que la pérdida
de servicios de Tecnología de la Información puede tener en el organismo. No se considera
que la continuidad del servicio requiera la atención de la máxima autoridad y la alta gerencia.
Observaciones: De la información recibida surge que no se ha formalizado un plan de
continuidad del servicio. A pesar de que existe conciencia de los riesgos a los que está
expuesto el Organismo, hasta la fecha no se han emprendido las acciones requeridas para
superarlos.
Nivel de riesgo:
[X] Alto
[ ] Medio
[ ] Bajo
Respuesta del organismo: Tener en cuenta la opinión vertida como respuesta al punto 4.1.2.
Comentario AGN: la respuesta del organismo confirma que no existe un plan de continuidad
del servicio.
En consecuencia se mantiene la observación.
4.3.5. Garantía de la Seguridad de los Sistemas.
Objetivo de control: La máxima autoridad debe establecer y mantener un programa de
seguridad de la información para implementar los controles de acceso lógico que garanticen
que el acceso a los sistemas, datos y programas esté limitado a los usuarios autorizados.
Este objetivo de control afecta a los siguientes requerimientos de la información necesaria
para cumplir las misiones del organismo, primariamente:
109
•
la confidencialidad
•
la integridad
y en forma secundaria:
•
la disponibilidad
•
el cumplimiento
•
la confiabilidad
Nivel de madurez: Inicial / Ad Hoc. El organismo reconoce la necesidad de la seguridad de
tecnología de información, pero la concientización depende de cada persona. La seguridad de
tecnología de información se encara en forma reactiva y no se realizan mediciones. Las
responsabilidades no son claras por lo cual las violaciones a la seguridad de tecnología de la
información, si son detectadas, generan la necesidad de señalar a los culpables. Las respuestas
a las violaciones de la seguridad de tecnología de información son impredecibles.
Observaciones: No existe un plan estratégico formal de seguridad. Existe una persona que se
ocupa de los temas de seguridad, pero su cargo, sus misiones y funciones no están definidos
formalmente. No se conoce la existencia de un esquema de clasificación de datos. No existen
responsables de la seguridad y contenido de los datos. No existen perfiles de seguridad de los
usuarios. No se revisan periódicamente los niveles de seguridad y accesos permitidos de los
usuarios. Existen usuarios de la red y del sistema GIGA que son genéricos, no pertenecen a la
organización o gozan de los privilegios correspondientes al personal de gerencias distintas de
la propia. No se capacita a los empleados sobre seguridad informática. No existen
procedimientos formales de presentación de informes sobre violaciones a la seguridad, ni de
resolución de problemas. La red permite sesiones múltiples concurrentes. No existen políticas
para los puestos clave, ni posiciones definidas como tales.
Nivel de riesgo:
[X] Alto
[ ] Medio
[ ] Bajo
Respuesta del organismo: Los usuarios genéricos del Sistema GIGA no tienen acceso al
sistema y se utilizan como perfiles para facilitar la administración.
En el caso de usuarios genéricos de red se debe a casos especiales, como por ejemplo AGN
(Auditoría General de la Nación) y Universidad del Salvador.
110
Comentario AGN: Se verificó la existencia de cuentas genéricas (sin identificación del
usuario) con derechos de administrador, por ejemplo “Administrador” y “Sabado”, que
podrían modificar cualquier dato del sistema de producción
En consecuencia se mantiene la observación.
4.3.6. Identificación e Imputación de Costos.
Objetivo de control: Se debe implementar un sistema de imputación de costos que garantice
que se registren, calculen y asignen los costos de acuerdo con el nivel de detalle requerido y el
ofrecimiento de servicio adecuado.
Este objetivo de control afecta a los siguientes requerimientos de la información necesaria
para cumplir las misiones del organismo, primariamente:
•
la eficiencia
•
la confiabilidad
Nivel de madurez: No Conforma. Se carece totalmente de un proceso reconocible para
identificar e imputar costos con respecto a los servicios de información prestados. El
organismo ni siquiera ha reconocido que haya una cuestión que merezca ser abordada en
cuanto a la contabilización de los costos, y no hay comunicación al respecto.
Observaciones: La máxima autoridad del área entiende que, dada la gravedad de los
problemas que debe enfrentar, el análisis de la imputación de costos es secundario.
Nivel de riesgo:
[ ] Alto
[X] Medio
[ ] Bajo
Respuesta del organismo: Es cierto que no existe un sistema de imputación de costos, pero
también es cierto que no se conoce la necesidad de realizarlo.
Comentario AGN: la respuesta del organismo confirma que no existe un sistema de
imputación de costos, ni siquiera se ha reconocido que haya una cuestión que merezca ser
abordada en cuanto a la contabilización de los costos.
En consecuencia se mantiene la observación.
4.3.7. Educación y Capacitación de los Usuarios.
Objetivo de control: Se debe establecer y mantener un plan integral de capacitación y
desarrollo.
111
Este objetivo de control afecta a los siguientes requerimientos de la información necesaria
para cumplir las misiones del organismo, primariamente:
•
la eficacia
y en forma secundaria:
•
la eficiencia
Nivel de madurez: Inicial / Ad Hoc. Hay evidencia de que el organismo reconoció la
necesidad de un programa de educación y capacitación, pero no hay procesos estandarizados.
En ausencia de un programa organizado, los empleados identifican y asisten a cursos de
capacitación por cuenta propia. Algunos de estos cursos tratan temas de conducta ética,
concientización de seguridad de sistemas y prácticas de seguridad. El enfoque global de la
dirección carece de cohesión y la comunicación de los temas y abordajes de la educación y
capacitación es sólo esporádica y poco coherente.
Observaciones: De la información recibida no surge la existencia de procedimientos para
identificar y documentar las necesidades de capacitación de todo el personal que utiliza
servicios de información. No existen políticas y procedimientos aprobados para la
identificación de las necesidades de capacitación y tampoco un plan de capacitación a
usuarios. La capacitación y concientización en los principios de seguridad no se realiza. El
área de capacitación instruye a los empleados en el uso de herramientas informáticas de
oficina (Excel, Word, etc.). y al personal de sistemas en temas específicos.
Nivel de riesgo:
[X] Alto
[ ] Medio
[ ] Bajo
Respuesta del organismo: sin observaciones.
Comentario AGN: se mantiene la observación.
4.3.8. Asistencia y Asesoramiento a los Usuarios de Tecnología de la Información.
Objetivo de control: Se debe establecer una función de mesa de ayuda que brinde soporte y
asesoramiento de primera línea.
Este objetivo de control afecta a los siguientes requerimientos de la información necesaria
para cumplir las misiones del organismo, primariamente:
•
la eficacia
112
Nivel de madurez: Inicial / Ad Hoc. El organismo reconoció que se necesita un proceso
apoyado por herramientas y personal para responder a las consultas de los usuarios y
administrar la resolución de problemas.
No obstante, no se cuenta con un proceso
estandarizado y sólo se brinda un soporte reactivo.
La alta gerencia no monitorea las
consultas, problemas o tendencias. No hay un proceso de escalamiento que ayude a resolver
los problemas.
Observaciones: No existe una mesa de ayuda formal que atienda a los usuarios. Se presta un
servicio de acuerdo a la disponibilidad de personal. En lo referente al sistema GIGA, el
servicio lo presta personal externo sólo en horas de la tarde. No se dispone de documentación
que formalice y estandarice los procedimientos.
Nivel de riesgo:
[ ] Alto
[X] Medio
[ ] Bajo
Respuesta del organismo: El servicio que presta personal externo lo realiza sin contrato
formal. Sólo en algunas oportunidades dicho servicio se prestó en horas de la tarde. También
es cierto que cuando se requirió la presencia en horas de la mañana, la respuesta fue
favorable.
Comentario AGN: la respuesta del organismo confirma que no existe una mesa de ayuda
formal.
En consecuencia se mantiene la observación.
4.3.9. Administración de la Configuración.
Objetivo de control: Se deben implementar controles que identifiquen y registren todos los
bienes de Tecnología de la Información y su ubicación física, y un programa de verificación
regular que confirme su existencia.
Este objetivo de control afecta a los siguientes requerimientos de la información necesaria
para cumplir las misiones del organismo, primariamente:
•
la eficacia
y en forma secundaria:
•
la disponibilidad
•
la confiabilidad
113
Nivel de madurez: No Conforma. La alta gerencia no valora los beneficios de contar con un
proceso para la información y administración de la infraestructura de TI, ni para la
configuración de hardware ni de software.
Observaciones: De la documentación recibida se deduce que no existen procedimientos
formales para la administración de la configuración ni está definida la función. Los datos
disponibles no son de calidad y difieren según la oportunidad de la solicitud de información.
Nivel de riesgo:
[X] Alto
[ ] Medio
[ ] Bajo
Respuesta del organismo: La apreciación de que la alta gerencia no valora los beneficios de
contar con un proceso para la información y administración de la infraestructura de TI no es
compartida por el suscripto.
No se entiende cuando se expresa que los datos disponibles no son de calidad. El hecho de
que los datos difieren según la oportunidad de la solicitud de información se debió a que
mientras duró la auditoría se estaba incorporando y/o reemplazando hardware.
Comentario AGN: las mejores prácticas indican que el funcionario principal de la función de
servicios de información debe garantizar la eficacia de las políticas y prácticas establecidas
para las siguientes tareas y/o actividades de TI:
- registro de la configuración
- nivel básico de configuración
- registro del estado de la configuración
- control de la configuración
- detectar el software no autorizado
- almacenamiento del software
- procedimientos de administración de configuración
- seguimiento y control de versiones de software
Lo detectado durante los trabajos de auditoria es que estas políticas y prácticas son
inexistentes en el ámbito de la Administración General de Puertos. El inventario de hardware
y software recibido es un documento realizado especialmente al efecto que no incluye
descripción completa del equipamiento, ubicación física, número de inventario, cantidad de
114
licencias de software, ubicación del software de los elementos informados y excluye
elementos de comunicaciones, red, fuentes de alimentación no interrumpibles, escáneres y
otros periféricos.
En consecuencia se mantiene la observación.
4.3.10. Administración de Problemas e Incidentes.
Objetivo de control: Se debe implementar un sistema de administración de problemas que
registre y dé respuesta a todos los incidentes.
Este objetivo de control afecta a los siguientes requerimientos de la información necesaria
para cumplir las misiones del organismo, primariamente:
•
la eficacia
•
la eficiencia
y en forma secundaria:
•
la disponibilidad
Nivel de madurez: No Conforma. No se reconoce la necesidad de administrar problemas e
incidentes. El proceso de resolución de problemas es informal y los usuarios y el personal de
Tecnología de la Información encara los problemas individualmente, caso por caso.
Observaciones: De la información recibida no surge que existan procedimientos formales
para la administración de problemas e incidentes de seguridad, ni sistemas al efecto que
permitan realizar el escalamiento y seguimiento de los problemas y pistas de auditoría.
Nivel de riesgo:
[X] Alto
[ ] Medio
[ ] Bajo
Respuesta del organismo: Si se reconoce la necesidad de administrar problemas e
incidentes. La falta de recursos humanos atenta contra la posibilidad de implementarlo.
Comentario AGN: el hecho de solicitarle a los sectores no informar los problemas o
incidentes a través de memorandos sino en forma oral o vía e-mail demuestra que no se
reconoce la necesidad de la administración de problemas e incidentes de seguridad.
En consecuencia se mantiene la observación.
4.3.11. Administración de Datos.
115
Objetivo de control: La máxima autoridad debe establecer y mantener una combinación
eficaz de controles generales y de aplicación sobre las operaciones de Tecnología de la
Información.
Este objetivo de control afecta a los siguientes requerimientos de la información necesaria
para cumplir las misiones del organismo, primariamente:
•
la integridad
•
la confiabilidad
Nivel de madurez: No Conforma. Los datos no están considerados como un recurso y un
bien del organismo. No se asignó la responsabilidad sobre los datos ni rendición de cuentas
individual por su integridad y confiabilidad. La calidad y seguridad de los datos es escasa o
nula.
Observaciones: No existen procedimientos para el monitoreo de exactitud, integridad y
autorización. Los sistemas, en particular el GIGA –desde el cual se autorizan todas las
erogaciones del Organismo –, se alimentan con información generada en aplicaciones “ad
hoc”, desarrolladas fuera del control del área de Tecnología Informática, con utilitarios de
oficina y, por lo tanto, sin satisfacer mínimamente normas de calidad y seguridad.
Nivel de riesgo:
[X] Alto
[ ] Medio
[ ] Bajo
Respuesta del organismo: Se desconoce de lo que se indica en las observaciones. El sistema
GIGA no se alimenta de ninguna otra aplicación, ni tampoco de utilitarios de oficina.
Comentario AGN: en la respuesta del organismo al punto 4.5.1. se reconoce la utilización de
planillas Excel para realizar tareas propias del sistema GIGA, cuyo resultado es parte de la
información que luego se incorpora a dicho sistema.
En consecuencia se mantiene la observación.
4.3.12. Administración de Instalaciones.
Objetivo de control: Se deben instalar controles ambientales y físicos adecuados cuya
revisión se efectúe periódicamente a fin de determinar su correcto funcionamiento.
Este objetivo de control afecta a los siguientes requerimientos de la información necesaria
para cumplir las misiones del organismo, primariamente:
•
la integridad
116
•
la disponibilidad
Nivel de madurez: Inicial / Ad Hoc. El organismo reconoce la necesidad de brindar un
entorno físico adecuado que proteja los recursos y el personal contra los peligros generados
por la Naturaleza y por el hombre. No existen procedimientos estándar y la administración de
las instalaciones y los equipos depende de la idoneidad y capacidad de ciertas personas clave.
No se revisan las actividades de maestranza en las instalaciones y el personal se desplaza sin
restricciones. La dirección no monitorea los controles ambientales de las instalaciones ni el
movimiento del personal.
Observaciones: No existe normativa de seguridad informática ni de seguridad física de las
instalaciones. No existe registro del acceso a los centros de procesamiento. Se verificaron
pérdidas de líquidos provenientes de los baños del primer piso que caían sobre el rack de
comunicaciones del centro de procesamiento de datos. Los equipos de alimentación de
energía alternativa (fuentes de alimentación de energía no interrumpible y moto generador) no
tienen mantenimiento preventivo. No existe un plan formal de contingencia.
Nivel de riesgo:
[X] Alto
[ ] Medio
[ ] Bajo
Respuesta del Organismo: Sin observaciones.
En consecuencia se mantiene la observación.
4.3.13. Administración de Operaciones
Objetivo de control: Se debe establecer de un cronograma de actividades de soporte que se
registre y apruebe para el logro de todas las actividades.
Este objetivo de control afecta a los siguientes requerimientos de la información necesaria
para cumplir las misiones del organismo, primariamente:
•
la eficacia
•
la eficiencia
y en forma secundaria:
•
la integridad
•
la disponibilidad
Nivel de madurez: Inicial / Ad Hoc. El organismo reconoce la necesidad de estructurar las
funciones de soporte de Tecnología de la Información. Sin embargo, no hay procedimientos
117
estándares establecidos y las actividades son de tipo reactivo. La mayoría de las operaciones
no están formalmente programadas y los pedidos de procesamiento se aceptan sin validación
previa. Las computadoras que dan soporte a los procesos con frecuencia sufren interrupciones
y demoras. Los empleados pierden tiempo por tener que esperar los recursos. Los sistemas no
son estables ni están disponibles.
Observaciones: De la información recibida no surge evidencia que sustente:
•
la totalidad del procesamiento ejecutado, arranques en frío, reinicios y
recuperaciones;
•
las estadísticas de finalización de cronogramas, a fin de confirmar que se cumple
satisfactoriamente con todos los requerimientos;
•
la separación física y lógica de las bibliotecas fuente y objeto de prueba, desarrollo y
producción y los procedimientos de control de cambios para trasladar programas entre
las bibliotecas;
•
las estadísticas de desempeño de las actividades operativas, incluyendo, entre otras:
o capacidad, utilización y desempeño del hardware y periféricos;
o utilización y desempeño de la memoria de los equipos principales;
o utilización y desempeño de telecomunicaciones.
Tampoco se tuvo conocimiento de la existencia de manuales de instrucciones y
procedimientos de operación, documentación del proceso de puesta en marcha y otras tareas,
programas de trabajo y registro de operaciones.
Nivel de riesgo:
[X] Alto
[ ] Medio
[ ] Bajo
Respuesta del Organismo: Sin observaciones.
En consecuencia se mantiene la observación.
4.4. Monitoreo.
4.4.1. Monitoreo de los Procesos.
Objetivo de control: La máxima autoridad debe impulsar la definición de indicadores del
desempeño relevantes, el informe sistemático y oportuno del desempeño y la acción inmediata
en caso de desviaciones.
118
Este objetivo de control afecta a los siguientes requerimientos de la información necesaria
para cumplir las misiones del organismo, primariamente:
•
la eficacia
y en forma secundaria:
•
la eficiencia
•
la confidencialidad
•
la integridad
•
la disponibilidad
•
el cumplimiento
•
la confiabilidad
Nivel de madurez: No conforma. El organismo no tiene procesos de monitoreo
implementados. La función de Tecnología de la Información no realiza el monitoreo de los
proyectos y procesos en forma independiente. No se cuenta con informes útiles, puntuales y
precisos. No se reconoce la necesidad de objetivos de proceso claramente entendidos.
Observaciones: De la información recibida se desprende que no se han establecido
formalmente
políticas,
procedimientos,
objetivos
e
indicadores
de
desempeño.
Consecuentemente, no se realiza el monitoreo continuo y sistemático de la actividad del área
de tecnología de la información.
Nivel de riesgo:
[X] Alto
[ ] Medio
[ ] Bajo
Respuesta del Organismo: Sin observaciones.
Comentario AGN: En consecuencia se mantiene la observación.
4.5. Procedimientos Operacionales.
A continuación se describen brevemente los circuitos administrativos informales que
efectivamente realiza la Administración General de Puertos en cada sector involucrado en el
uso del sistema GIGA y las observaciones correspondientes.
4.5.1. Gerencia de Abastecimiento.
Existe un agente que realiza las siguientes actividades:
•
Carga la solicitud del gasto para todas las Gerencias de la Sociedad excepto para la
Gerencia de Ingeniería, donde la carga la realiza un agente propio.
119
•
Carga en el Sistema la aprobación del gasto realizada por el Gerente General, con firma
hológrafa en el expediente en papel, ejerciendo atribuciones del Gerente General.
•
Controla que Presupuesto haya realizado la reserva preventiva en la base de datos del
sistema y en el expediente.
•
Carga solamente la oferta adjudicada y, ejerciendo atribuciones del Gerente General, la
aprueba.
•
Controla que Presupuesto haya realizado el compromiso presupuestario.
•
Emite la orden de compra en Excel.
•
Carga en el sistema el ingreso controlado por el depósito o, si fuera el caso, la recepción
de obras y/o servicios controlada por el sector solicitante.
•
Manualmente realiza el seguimiento de la orden de compra antes de mandar las facturas
correspondientes a pagos parciales al sector de Administración.
•
Sin intervención del sistema controla las Garantías de Oferta y de Ejecución.
En la gerencia se utiliza un sistema propio de seguimiento interno de expedientes además del
sistema de expedientes propio del organismo, ambos independientes del GIGA. La iniciación
de la licitación no se carga al Sistema pues, a juicio de la Gerencia, la carga del acta de
apertura, llevaría demasiado tiempo. Se hace la apertura con los totales globales y en los tres
días siguientes, durante la vista de ofertas, arman en Excel el cuadro comparativo. La
preadjudicación es manual y se informa al Gerente General en papel con resumen de lo
actuado y solicitud de aprobación.
Observaciones:
•
La gerencia carga en el sistema las solicitudes de bienes y servicios de toda la
organización transcribiendo formularios generados en distintas áreas. Esto induce a
errores de interpretación por falta de conocimientos específicos y repercute en la
integridad y confiabilidad del sistema.
120
•
Un mismo agente realiza varias operaciones utilizando distintos perfiles de usuario (por
ejemplo: Jefe de Departamento, Subgerente de Organización y Sistemas y Gerente
General), lo que reduce la calidad del control por oposición y afecta seriamente la
eficacia, confidencialidad, integridad y confiabilidad de la información.
•
El sistema es subutilizado por la Gerencia, dado que el Reglamento de Contrataciones que
se aplica es posterior a su puesta en marcha y nunca se lo adaptó.
•
El uso de planillas Excel conspira contra la seguridad, la integridad y confiabilidad en el
manejo de datos.
•
Se realizan tareas innecesarias por falta de confianza en el sistema.
•
La operatoria llevada a cabo por la Gerencia de Abastecimiento consiste en analizar las
ofertas a partir de planillas Excel con los datos, y no utilizando el sistema. Esto implica el
riesgo de que haya habido errores en la transcripción de datos y la pérdida de la
información histórica de las ofertas recibidas. Afecta la eficacia, la eficiencia, la
integridad, la disponibilidad, el cumplimiento y la confiabilidad de la información.
•
Algunas tareas no están automatizadas, se realizan manualmente, lo que afecta la eficacia
y eficiencia de la organización.
Nivel de riesgo: [X] Alto
[ ] Medio
[ ] Bajo
Respuesta del organismo:
Por Gerencia de Abastecimiento
A fs. 37 indica: “La gerencia carga en el sistema las solicitudes de bienes y servicios de toda
la organización transcribiendo formularios generados en distintas áreas. Esto induce a errores
de interpretación por falta de conocimientos específicos y repercute en la integridad y
confiabilidad del sistema”. Al respecto se indica que esta Gerencia realiza la carga de las
solicitudes generadas en distintas áreas a título de colaboración, a fin de evitar un colapso
en la gestión administrativa de compras, hasta tanto se arbitren los medios para que todas
las Gerencias realicen las tareas previstas en el sistema. Cabe agregar que deberá definirse
si el nomenclador de bienes, su especificación y concepto del gasto, estará al alcance de
modificar por todas las dependencias, o en su defecto quedará circunscrito a un grupo
121
reducido de usuarios, dado que su operación por inexpertos puede producir alteraciones en
el sistema, modificando incluso el balance de la empresa, repercutiendo en la integridad y
confiabilidad del sistema.
A fs. 37 indica: “Un mismo agente realiza varias operaciones utilizando distintos perfiles de
usuario (por ejemplo: Jefe de Departamento, Subgerente de Organización y Sistemas y
Gerente General), lo que reduce la calidad del control por oposición y afecta seriamente la
eficacia, confidencialidad, integridad y confiabilidad de la información”. Al respecto se
indica que dichas tareas con diferentes perfiles son realizadas a título de colaboración, hasta
tanto se arbitre los medios para que la Superioridad realice las tareas previstas en el sistema.
Cabe agregar que al asumir el rol de Subgerente y Gerente General, se realiza el workflow
correspondiente a la gestión de compras y preadjudicación, pero para hacer el compromiso
correspondiente, el mismo sólo puede autorizarlo el Gerente Administrativo, previa
aprobación del Departamento de Presupuestos y cuenta para ello con el expediente en el cual
están las autorizaciones indicadas precedentemente firmadas por el Sr. Interventor, previa
revisión de la Gerencia Asesoría Jurídica, y en contrataciones superiores a $150.000, con la
intervención de la Gerencia Unidad Auditoría interna y la Sindicatura General de la Nación.
En consecuencia se entiende que no se vulnera la eficacia, confidencialidad, integridad y
confiabilidad de la información.
A fs. 37 indica “El sistema es subutilizado por la Gerencia, dado que el reglamento de
Contrataciones que se aplica es posterior a su puesta en marcha y nunca se lo adoptó”. Al
respecto, se indica que está pendiente la actualización del Sistema GIGA a los requerimientos
de esta Gerencia, para tener un uso integral del mismo, a fin de que el empleo del sistema
otorgue un beneficio a las tareas que desarrolla esta Dependencia y no implique una
duplicidad de las tareas.
A fs. 37 dice: “El uso de planilla Excel conspira contra la seguridad, la integridad y
confiabilidad en el manejo de datos”, “Se realizan tareas innecesarias por falta de confianza
en el sistema” y “La operatoria llevada a cabo por la Gerencia de Abastecimiento consiste en
analizar las ofertas a partir de planillas Excel con los datos, y no utilizando el sistema. Esto
implica el riesgo de que haya habido errores en la transcripción de datos y la pérdida de la
122
información histórica de las ofertas recibidas. Afecta la eficacia, al eficiencia, la integridad, la
disponibilidad, el cumplimiento y la confiabilidad de la información”. Al respecto, se
comparte lo expresado por la Auditoría General de la Nación, dejándose constancia que las
operaciones que se realicen fuera del sistema no es por falta de confianza, sino que el sistema
GIGA no se ha adecuado a los nuevos requerimientos.
Por Subgerencia de Organización y Sistemas
La Gerencia de Abastecimiento carga la “Solicitud del Gasto” debido a que hay sectores
fuera de la red y a la falta de conocimientos específicos de otros sectores.
Debido a lo mencionado en el punto anterior es necesario realizarlo de esta forma. Dicha
situación no reduce el control por oposición debido a que cuando se carga en el sistema ya
tienen la aprobación del Gerente General.
El sistema es subutilizado por la Gerencia debido a la falta de capacitación y no porque el
Reglamento de Contrataciones que se aplica es posterior a la puesta en marcha.
Si se realizan las tareas innecesarias por falta de confianza en el sistema nunca fue
informado a la Subgerencia Organización y Sistemas.
Las ofertas son analizadas por la Comisión de Preadjudicaciones. En Excel se realiza el
cuadro comparativo de ofertas, el mismo no es vinculante.
Todas las tareas están automatizadas. No se las utiliza.
Comentario AGN: el sistema GIGA prevé realizar el análisis de oferta, la preadjudicación, la
aprobación de la contratación y la emisión de la orden de compra por distintos funcionarios
usando funciones automatizadas. En la práctica estas tareas se realizan manualmente y luego
son registradas en el sistema, en algún caso por el mismo agente, por lo cual se afecta el
control por oposición que debe proveer un sistema ERP como el GIGA. El control por
oposición existente no esta comprendido en el Sistema.
El reglamento de contrataciones prevé la emisión de la orden de compra con detalles
diferentes a los utilizados por el sistema GIGA, razón por la cual la orden de compra se emite
mediante una planilla de Excel.
No se realiza por el sistema GIGA el seguimiento de las órdenes de compra ni el control de
las garantías de oferta y ejecución.
123
En los otros ítems la respuesta del Organismo confirma lo informado.
En consecuencia se mantiene la observación.
4.5.2. Gerencia de Administración.
4.5.2.1. Presupuesto.
Se utiliza la función del sistema “Formulación de Gastos” para cargar los créditos del
Presupuesto.
La Ejecución del Presupuesto se imputa en las cuatro etapas según corresponda: Preventivo,
Comprometido, Devengado y Pagado. Se utiliza el GIGA para automatizar todas las
imputaciones, lo que permite realizar las modificaciones que sean necesarias.
Se controla la imputación preventiva propuesta por el sistema, en cuanto a su concordancia
con lo establecido en la Formulación del Gasto y, en caso de ser correcta, se la confirma.
Se puede aprobar, modificar o anular la operación según corresponda.
Si la operación se aprueba, se emite el comprobante Preventivo.
Se confirma la imputación del Compromiso realizada en forma automática por el sistema,
antes de emitir la Orden de Compra.
Se emite el comprobante de Compromiso.
Se cargan los datos en el sistema de los Compromisos Directos a través de la función
correspondiente.
Se verifican todas las imputaciones presupuestarias realizadas en forma automática por el
sistema por medio de reportes generados en el GIGA.
Observaciones. En la formulación del gasto se les asignan a los sectores conceptos que no les
corresponden (por ejemplo, la Gerencia Jurídica tiene adjudicada partidas para la compra de
aceitunas). Esta circunstancia hace ineficaz el control interno del sistema, pues permite a un
sector emitir solicitudes de gastos no acordes a lo presupuestado ni a sus misiones y
funciones.
Nivel de riesgo:
[ ] Alto
[ ] Medio
[ X ] Bajo
Respuesta del organismo:
Por Subgerencia de Organización y Sistemas
El presupuesto se realiza a nivel de “Objeto del Gasto” y no a nivel de “Bienes o Servicios”.
124
Las aceitunas forman parte de la tabla de “Concepto del Gasto” (Bienes o Servicios), tabla
que tiene asignado un responsable y queda a criterio del mismo la depuración de la tabla
mencionada.
Por Gerencia Administrativa
Presupuesto: el sistema cargó originalmente el nomenclador de bienes del Estado, hecho por
el cual, a pesar de la depuración efectuada figuran objetos del gasto como el mencionado. No
obstante el Departamento Presupuesto controla que la carga de los sectores solicitados sea
la correcta
Comentario AGN: La respuesta del Organismo confirma lo informado.
En consecuencia se mantiene la observación.
4.5.2.2. Tesorería.
Recibe las facturas a ser cobradas. Selecciona la operación en el aplicativo, y el sistema emite
el recibo correspondiente.
Cobra los fondos pagados por el cliente (en efectivo o en cheque) y carga la información.
Emite las notas de crédito solicitadas por Cuentas Corrientes.
Al finalizar el día se emite un informe del aplicativo GIGA denominado Parte Diario que
permite controlar las operaciones registradas cotejándola con la documentación respaldatoria.
Se confeccionan en forma manual las boletas de depósito para las cuentas bancarias que
correspondan y se depositan los valores.
Se realiza el pago a Proveedores en base a las Órdenes de Pago autorizadas.
Se consultan en el GIGA los pagos a realizar durante el día.
Una vez verificado que la Orden de Pago se encuentre debidamente firmada por los
responsables, se emite - en forma manual - el cheque y se lo envía a la firma del responsable
autorizado.
En el momento en que el beneficiario retira el cheque, se accede al GIGA para registrar la
operación y emitir el Recibo de Pago correspondiente.
Se realizan las conciliaciones bancarias en planillas de Excel.
El personal externo de administración del Sistema, a pedido de Tesorería, corrige importes en
los asientos generados por operaciones de ese sector debidos a montos mal ingresados. Lo
125
hacen modificando en forma directa el contenido de la base de datos, sin utilizar el Sistema.
Estas operaciones son autorizadas por el Gerente de Administración.
En determinadas circunstancias se reciben cheques de los clientes de AGP por montos
inferiores a los facturados.
Observaciones:
•
No se utiliza la función de emisión automática de cheques proporcionada por el sistema.
•
Existe una función del sistema GIGA para la conciliación bancaria que no se utiliza.
•
La manipulación de la base de datos en forma directa evita los controles internos del
Sistema.
•
No existe una función del Sistema específica para la operación, autorizada por la
Intervención, de cobro parcial de facturas. Lo que se utiliza es la función Cobro
Anticipado, que no corresponde estrictamente. Esta situación dificulta la conciliación de
las Cuentas Corrientes.
Estas observaciones permiten afirmar que existe pérdida de confiabilidad e integridad de los
datos de la base del sistema GIGA.
Nivel de riesgo:
[ X ] Alto
[ ] Medio
[ ] Bajo
Respuesta del organismo:
Por Subgerencia de Organización y Sistemas
La conciliación bancaria es función del sector Contabilidad.
El cobro parcial de la factura estaba incluido en el sistema y se solicitó la eliminación.
Las modificaciones que se realizan son las siguientes:
•
En las cobranzas se detecta al final del día que se ingresó un cheque con clearing
equivocado (no se modifican importes).
•
En los pagos se entregan los cheques cuando el proveedor viene a cobrar y al
final del día se asignan a las diferentes órdenes de pago. Por lo, alguna vez, se
asigna un cheque equivocadamente (un cheque por otro). Esto implica modificar
el cheque en la orden de pago y el asiento contable.
La solución a estos problemas es modificar el procedimiento utilizado
Por Gerencia Administrativa
126
Tesorería: por razones de rapidez y operatividad del sector, no se utiliza la función de
emisión automática de cheques, cabiendo acotar que los errores de confección son ínfimos la
conciliación bancaria es resorte del Departamento Contable que lo viene efectuando. El
Departamento Tesorería, por razones de control interno, efectúa una conciliación por fuera
del sistema. Los usuarios de los sectores de la Gerencia, no están habilitados para manipular
las bases de datos, aún así en caso de tener que efectuar modificaciones que subsanen
errores de carga en clearing, Nº de cheque o banco (por ejemplo nunca importes) debido a
que el sistema no contempla la opción de corrección como debiera ser, se le solicita al
proveedor (MICROSTAR) mediante nota de autorización de la GERENCIA o el personal de
la SUBGERENCIA DE ORGANIZACIÓN Y SISTEMAS las modificaciones pertinentes.
Ciertamente no existe función para el cobro parcial de facturas, en forma directa, debiendo
utilizar el método indirecto de cobro anticipado, que aparte de dificulta la conciliación de
cuentas corrientes (como se observa), no automatiza la aplicación de multas e intereses en
casos de pagos de facturas vencidas. Previo al requerimiento al proveedor, deberá
determinarse si la citada función (cobro parcial de facturas) se hallaba contemplado en los
pliegos de contratación, tomando en cuanta lo informado por la SUBGERENCIA DE
ORGANIZACIÓN Y SISTEMAS (fs. 33) indicando que fue solicitada la eliminación de dicha
función.
Comentario AGN: La respuesta del Organismo confirma lo informado.
En consecuencia se mantiene la observación.
4.5.2.3. Contabilidad.
Verifica las imputaciones contables realizadas en forma automática por el sistema contra la
documentación respaldatoria.
Carga los asientos por ajustes de conciliaciones bancarias realizadas en planillas de Excel
suministradas por Tesorería.
Calcula en forma manual las diferencias por cambio de cotizaciones y realiza los asientos
correspondientes.
127
Realiza los asientos manuales de ajustes que correspondan. En algún caso se cargan asientos
manuales con fecha distinta a la del día corriente mediante la modificación de la fecha de
operación usando la función Fecha de Operación.
En el caso de ingresar un nuevo Objeto de Gasto que no tenga asociada la cuenta
correspondiente, el Gerente del área solicita la apertura o asignación, según corresponda, de la
cuenta contable en el momento de realizar la imputación.
Observaciones:
•
Por falta de un procedimiento interno adecuado se dan de alta las cuentas patrimoniales
sin identificar la cuenta contable ni presupuestaria a las que corresponden, lo cual afecta la
eficiencia de los procesos de compras y contrataciones.
•
La función Fecha de Operación del Sistema es usada por más personas que las
imprescindibles, por lo cual se pierde la confiabilidad e integridad de la información.
•
Se han detectado errores en las relaciones, establecidas por los usuarios del Sistema, entre
las cuentas patrimoniales y las cuentas presupuestarias, lo cual genera errores en las
imputaciones contables automáticas y, luego, en el balance de sumas y saldos.
Nivel de riesgo:
[ X ] Alto
[ ] Medio
[ ] Bajo
Respuesta del Organismo
Por Gerencia Administrativa
Contabilidad: la función “fecha de operación” ha sido restringida. La razón de la extensión
a varios usuarios a dicha opción, se debió a que las fallas que presentaba el sistema, al
momento de su implementación y aún durante un extenso período, generó errores y atrasos
en las registraciones, y en muchos casos la posibilidad de corrección se demoraba a niveles
considerables, subsanándose el hecho, con la citada función. Es real la existencia de errores
en las relaciones establecidas entre cuentas patrimoniales y presupuestarias. Más allá del
error humano, o de criterio, seguramente la falta de capacitación adecuada por parte del
proveedor, en los alcances y utilización del sistema, potenció los resultados negativos.
Comentario AGN: La respuesta del Organismo confirma lo informado.
En consecuencia se mantiene la observación.
4.5.2.4. Cuentas Corrientes.
128
Aplica las Notas de Crédito y los cobros anticipados en la cuenta corriente de los clientes.
Una vez por semana emite, por el sistema, el detalle de las cobranzas.
Inhabilita en el sistema, en forma manual, a los clientes que tengan una factura vencida,
previa autorización por escrito de un responsable.
Recibe las solicitudes de altas de clientes y los ingresa al sistema.
Observaciones: El hecho de que la inhabilitación de los clientes morosos se realice en forma
manual permite que se pueda omitir la acción.
Nivel de riesgo:
[ ] Alto
[ ] Medio
[ X ] Bajo
Respuesta del organismo:
Por Subgerencia de Organización y Sistemas
Existe un procedimiento administrativo que no permite que la inhabilitación sea automática.
Debe contar con la autorización previa de la máxima autoridad de la Empresa.
Por Gerencia Administrativa
Cuentas Corrientes: El hecho de que las inhabilitaciones de morosos al realizarse en forma
manual permita que se pueda omitir la acción es real. Previo al requerimiento al proveedor,
deberá determinarse si la citada función (inhabilitación automática de morosos) se hallaba
contemplado en los pliegos de la contratación y elevar a consideración la modificación de la
normativa vigente.
Comentario AGN: La respuesta del Organismo confirma lo informado.
En consecuencia se mantiene la observación.
4.5.2.5. Liquidaciones.
El sector recibe la información externa para liquidar y emite las facturas cargando en el
sistema los datos que se obtienen de las diversas documentaciones que presenta el cliente,
como por ejemplo declaraciones juradas de importación-exportación, liquidación de tasa a las
cargas, liquidación de pasavantes, liquidación de patentes de buques, etc.
El sector de Liquidaciones carga en el sistema GIGA los datos consignados en la
documentación, el responsable del área verifica la liquidación y, en el caso de ser correcta, se
imprimen, por medio del sistema, las facturas por cuadruplicado. Se entregan tres copias al
cliente y queda una en el sector.
129
Observaciones: Sin observaciones.
Nivel de riesgo: No aplicable.
Respuesta del organismo: Las copias de la factura se entregan al Departamento Tesorería o
al Departamento Cuentas Corrientes si son de pago diferido.
Comentario AGN: La respuesta del Organismo confirma lo informado.
En consecuencia se mantiene la observación.
4.5.3. Operación General. Observaciones.
•
Cada área del Organismo opera como si estuviera aislada del resto. No existe conciencia
de la interdependencia que un sistema de gestión integral supone en el funcionamiento
general.
•
No existen manuales de procedimientos que regulen la operación de los sectores
involucrados.
Respuesta del organismo:
Por Subgerencia de Organización y Sistemas
Los manuales de procedimiento que existen son informales. Se está a la espera de la
incorporación de Analistas Funcionales para regularizar la situación.
Por Gerencia Administrativa
La falta de conciencia de interdependencia que un sistema de gestión integral supone en el
funcionamiento de cada área, es un hecho, que más allá de la responsabilidad del
Organismo, se incrementa en el aspecto de que la falta de capacitación adecuada por parte
del proveedor, no acercó al usuario en el conocimiento del impacto de sus actos como
ejecutor del sistema (en muchos casos incluso el dominio de las propias funciones de usuario
fueron aprendidas en la acción diaria). Se desconoce por parte del proveedor de manuales
de procedimiento actualizados.
Comentario AGN: La respuesta del Organismo confirma lo informado.
En consecuencia se mantiene la observación.
4.6. Funcionamiento del sistema GIGA.
Se realizó un simulacro de operación del sistema desde el origen de la transacción hasta su
conclusión en registración contable, para los siguientes circuitos:
130
•
Compras
•
Facturación
Los datos utilizados correspondían a una copia de las bases que estaban operativas a fines de
2004.
4.6.1. Pruebas realizadas de circuitos completos del Sistema.
4.6.1.1. Circuito de Compras.
La prueba se realizó solicitando la compra de una resma de “Papel Obra Oficio de 210 x 297
(resma) A4” (sic), artículo registrado bajo el código 1.01.003.115 del nomenclador, por un
valor unitario de $30.
Se afectó el gasto a la partida 01.01.01.A10.02.03.05 correspondiente a la formulación de
gastos de la Asesoría Jurídica para Bienes de Consumo – Artículos de Escritorio – Productos
de papel y cartón.
Se realizó el compromiso del gasto a la misma partida.
Se seleccionó la opción de compra Con Invitación cargando dos proveedores para la solicitud
de precios.
Se adjudicó la compra al proveedor propuesto por el sistema en base al menor precio ofertado.
Se emitió la Orden de Compra por medio del sistema.
Se realizó la recepción en almacenes del material solicitado.
Se cargó la factura proporcionada por el proveedor.
Se generó la Orden de Pago correspondiente.
Se realizó el pago mediante dos cheques de distintos bancos (los cheques no fueron emitidos
utilizando el sistema).
Se generaron los recibos correspondientes.
Se verificaron los Libros de IVA Compras, el Mayor de la cuenta Proveedores, el Libro
Diario y los listados de Cheques Pagados y Órdenes de Pago Presupuestarias.
Observaciones:
•
Hay ítems que no están correctamente descriptos en el nomenclador (vg., el tamaño de
papel es oficio o A4; pero no ambos a la vez).
Genera incertidumbre respecto al bien en cuestión y es una posible fuente de error.
131
•
Cualquier sector puede generar solicitudes para cualquier otro sector; el control interno
que lo evitaba fue levantado.
Implica pérdida de integridad y confiabilidad de la información.
•
En la modificación de la solicitud de gasto no realiza el cambio de sector solicitante,
mantiene siempre el sector del usuario que ingresó al sistema.
•
En la tarea Autorizador de Transacciones no se visualiza la fecha de alta del comprobante
a autorizar, aparece en blanco.
•
La tarea de Gestión de Compras cuando se pasa del Preventivo a la Gestión de Compra
selección por defecto el tipo de compra en Contratación Directa Trámite Simplificado,
modificando el tipo de contratación seleccionado en el proceso anterior.
Afecta el control interno del Sistema sobre el cumplimiento del Reglamento de
Contrataciones e induce a eventuales errores.
•
La tarea Cotización de Proveedores admite cargar una cotización con importes negativos.
Implica pérdida de integridad por eventuales errores en el ingreso de datos.
•
La recepción de facturas de Proveedores permite ingresar un importe mayor al
comprometido y continuar con el circuito sin ningún tipo de obstáculo.
Pérdida de eficacia, eficiencia y confiabilidad.
Nivel de riesgo:
[ X ] Alto
[ ] Medio
[ ] Bajo
Respuesta del organismo:
Por Subgerencia de Organización y Sistemas
Hasta tanto no estén todos los sectores conectados a la red se debe permitir que un sector
pueda generar la “Solicitud del Gasto” de otro sector.
Ya fue solucionado el problema de modificación del sector solicitante de la “Solicitud del
Gasto”.
La fecha de alta del comprobante a autorizar en la tarea Autorizador de Transacciones será
solucionado.
Fue solucionado el problema del cambio del tipo de compra.
Ya se solucionó el error de permitir importe mayor en la recepción de facturas.
Por Gerencia Administrativa
132
Las observaciones del rubro deberían ser analizadas por la GERENCIA DE
ABASTECIMIENTO. No obstante, con respecto a la última observación, se informa que el
sistema no permite además el pago de sumas mayores a las comprometidas.
Comentario AGN: La respuesta del Organismo confirma lo informado. Las modificaciones
realizadas serán analizadas en una próxima auditoría.
En consecuencia se mantiene la observación.
4.6.1.2. Circuito de Liquidaciones.
•
Se emitió una factura por el concepto de Tasa a las Cargas.
•
Se imprimió el comprobante donde se verificaron todos los importes.
•
Se verificó la cuenta corriente con el ingreso de la factura emitida.
•
Se registró el cobro mediante recibos de Tesorería donde se ingresaron cheques de
terceros.
•
Se aplicó diferidamente la cobranza.
•
Se listó la minuta de recaudación coincidente con el ingreso realizado.
•
Se realizó la impresión del detalle de los Instrumentos de Cobro.
•
Se imprimió el Libro Diario con los registros de todos los movimientos realizados.
•
Se depositaron los cheques ingresados.
Observaciones: Sin observaciones.
Nivel de riesgo: No aplicable.
Respuesta del Organismo: sin observaciones.
Comentario AGN: En consecuencia se mantiene la observación.
4.6.2. Pruebas realizadas a funciones individuales.
Administración de Bienes y Patrimonio.
Observaciones:
•
En el listado Anexo Bienes de Consumo al 25/02/2005 se detectó el código 1.01.019.025
con descripción “Cartucho de tinta para impresora Epson T029201” con cantidad negativa
(-1, menos uno)
•
No se pudo ingresar al módulo Composición de Bienes debido a un error en el programa
en la línea 240 (data server: cmd:o, getrst: ora-01422).
133
Respuesta del organismo:
La cantidad negativa mencionada en las observaciones se debe a que, en el circuito de
compra, se ingresó la factura del proveedor y no fue cargado el remito.
El módulo Composición de Bienes no es utilizado por la AGP y se utilizó en el menú del
administrador del sistema.
Comentario AGN: La respuesta del Organismo confirma lo informado.
En consecuencia se mantiene la observación.
Contabilidad.
Observaciones:
•
En los reportes de Mayor y sumas y saldos no se informa a qué período corresponde cada
reporte.
•
La utilización de la función Fecha de Operación, que permite cambiar la fecha con la cual
se registran las operaciones contables, es una de las causas de los problemas que impiden
el cierre de los balances.
Respuesta del organismo:
La utilización de la función “Fecha de Operación” debe ser coordinada con los sectores que
verán reflejado el hecho.
No se entiende por qué se indica que la función “Fecha de Operación” es la causal de los
problemas que impiden el cierre de los balances.
Comentario AGN: La respuesta del Organismo confirma lo informado. Cabe destacar que el
uso de la función Fecha de Operación genera, por errores del usuario, registros en la base de
datos con fecha de operación distinta de la real y por lo tanto es una de las causales de la
corrupción de la base de datos y del desbalance de las cuentas.
En consecuencia se mantiene la observación.
Operación General. Observaciones:
•
El Sistema no provee ayuda en línea, a pesar que fue requerida en el pliego de
contratación.
•
Existen mensajes de error que brinda el sistema que resultan no significativos para el
usuario.
134
•
El Sistema no tiene un módulo de Auditoría que permita al auditor examinar los registros
en forma sencilla. Su análisis requiere conocimientos de informática.
•
Los usuarios no utilizan algunos reportes, por falta de confianza o porque no saben que
existen. Esta situación dificulta la detección de errores en el sistema (por ejemplo, los de
parametrización).
•
Al Sistema le faltan opciones de impresión que eviten la necesidad de capturar pantallas
para generar comprobantes.
•
No existen procedimientos formales para la comunicación de problemas o fallas del
Sistema al personal externo de soporte. Las comunicaciones son informales y en algunos
casos no aportan suficiente información para subsanar el problema.
Respuesta del organismo:
•
En la misma nota en que se pidió la actualización de la documentación se requirió
también que se active la ayuda en línea.
•
En algunas circunstancias es necesario el mensaje técnico para la solución del problema.
•
Se desconoce la necesidad de opciones de impresión. Los comprobantes generados por
captura de pantallas no son válidos.
Comentario AGN: La respuesta del Organismo confirma lo informado.
En consecuencia se mantiene la observación.
Opinión del Organismo
Por Gerencia Administrativa
CONSIDERACIONES GENERALES: del análisis efectuado, específicamente en lo
concerniente a esta GERENCIA, cabe consignar que llama la atención que el análisis
practicado en los sectores más damnificados (contabilidad y patrimonio), no atiende en el
primer caso a las problemáticas de fondo que produjo la implementación a principios del
2003, con los innumerables errores producidos por el sistema en las áreas operativas, y su
impacto en las registraciones contables, por las soluciones de compromiso adoptadas en el
caso del Departamento Patrimonio, la auditoría se limita a indicar que no se pudo imprimir
un listado porque el sistema arrojo un error.
135
Otro punto llamativo es que si bien la auditoría excede a la evaluación del sistema GIGA,
pues alcanza el análisis de la gestión tecnológica de AGP, por lo que se justificaría la
extensión de la descripción de la particular situación del ente (fs. 3 a 6), ignorar las
peculiares condiciones del proveedor, que distan de ser las normales (situación financiera,
pérdida de recursos humanos, otorgamiento de espacio físico por parte de AGP, adelanto de
pago, etc.), alteraron la normal prestación.
Finalmente, una consideración a la capacitación del personal usuario del sistema.
La misma debió haber sido responsabilidad del proveedor acorde a lo convenido.
Evidentemente la ausencia de dicha prestación, agravó las dificultades que se analizan en la
presente auditoria entendiendo esta gerencia que dicho análisis no puede ni debe ser
soslayado, pues varia sustancialmente la determinación de responsabilidades que
conllevaron la situación dificultosa que aún perdura, y que no permite a la fecha contar con
un sistema que cumpla los objetivos para los cuales se lo contrató.
Comentario AGN: En este punto la respuesta del Organismo toma un carácter que de alguna
manera refleja falta de interpretación de las observaciones realizadas en el informe resultado
del trabajo de campo efectuado durante los primeros 4 meses del año 2005.
Con el único objeto de clarificar algunas circunstancias que parecen haber sido pasadas por
alto en este ítem, y sin la intención de generar ningún tipo de polémica, se reafirman a
continuación algunos conceptos que ya figuran en nuestro trabajo:
El objetivo de la auditoría fue evaluar el sistema Informático de Administración y
Abastecimiento, denominado GIGA (Gestión Integral de Gobierno Automatizada), y la
gestión de la Tecnología informática en la Administración General de Puertos S.E., con el
propósito de apoyar al organismo en su utilización, de tal como lo solicita el Sr.
Interventor en su Nota Nº 109-AGPSE-04, donde expresa la necesidad de “verificar el
estado de avance y funcionamiento del sistema implementado” por medio de “una
auditoría integral respecto del mismo, de la cual podrían surgir virtudes y defectos, como
a sí mismo la posibilidad de su perfeccionamiento”.
En este contexto, no debería llamar la atención “que el análisis practicado en los sectores mas
damnificados (Contabilidad y Patrimonio), no atiende en el primer caso a las problemáticas de
136
fondo que produjo la implementación a principios del 2003……..” y “para el caso del
Departamento de patrimonio, se limita a indicar que no se puede imponer un listado porque el
sistema arrojó un error”.
Para el primer concepto, la problemática de implantación a principios de 2003, fue
considerada desde el punto de vista de su solución, y no de la implantación del software ya
que ésta no formó parte del objeto de auditoría.
Es así que se indica en la observación 4.2.2. (pág. 20) y su correspondencia en la
recomendación 6.2.2. (pág. 49), los pasos a seguir para que no se repita esa circunstancia y
además en las conclusiones se manifiestan las consecuencias de tales acciones.
“El sistema GIGA, con el cual se realiza la gestión administrativa integral, incluyendo el
abastecimiento de bienes y servicios, la evidencia de falta de integridad en la información
almacenada, así como el relajamiento de sus controles internos, …” (pág. 61)
y se recomienda: “Recomponer la base de datos de manera tal que se pueda confiar en la
información que almacena” (pág. 62).
Para el caso del Departamento de Patrimonio, son aplicables las observaciones: 4.1.1, 4.1.2,
4.1.3, 4.1.4, 4.1.5, 4.1.6, 4.1.7, 4.1.8, 4.1.9, 4.1.10, 4.2.6, 4.3.3, 4.3.4, 4.3.5, 4.3.6, 4.3.7,
4.3.10, 4.3.11, 4.3.12, 4.3.13 y 4.4.1, como para el resto de la organización.
Tampoco debería ser llamativo que la auditoría analice no sólo el sistema GIGA, sino también
el entorno donde éste se ejecute, ya que éstos están íntimamente ligados.
Con respecto a “ignorar las particulares condiciones del proveedor”, se informa que tal
aseveración no se ajusta a la realidad, ya que fueron consideradas analizando el riesgo que
éstos generan a la AGP. Es por ello que se indica la observación 4.3.2 -Administración de
servicios monitoreados por terceros- (pág. 26) y su correspondiente recomendación 6.3.2
(pág. 53), así como “proceder a la indispensable transferencia tecnológica del sistema dado
que es muy importante superar las dependencias…” (pág. 62)
Con respecto al último párrafo referido a la capacitación, se realizaron las observaciones 4.3.7
(pág. 30) con su correspondiente recomendación 6.3.7, así como “capacitar a cada integrante
del organismo para que conozca cómo su acción se interrelaciona y contribuye a alcanzar los
objetivos generales” y “Disponer en forma urgente de 4 personas lo suficientemente
137
calificadas, 2 en administración de la base de datos Oracle y 2 en programación en lenguaje
Visual Basic”. Figura también dentro de nuestros papeles de trabajo:
•
Nota INF N° 86 RI-CENCAPOR-2005 en la que consta que 14 personas de la Gerencia
de Administración recibieron capacitación sobre “Software de Gestión (GIGA)”
incluyendo personal de Contabilidad y Patrimonio.
•
Organigrama de la Gerencia Administrativa donde no figura el Departamento Patrimonio.
Finalmente nuestra tarea fue detectar los problemas, ofrecer soluciones, pero jamás delimitar
responsabilidades, ya que este ítem no forma parte del trabajo de auditoría.
138
ANEXO VI
Aclaración solicitada en la nota 814 AGP del 22/11/05 del Sr. Interventor de la
Administración General de Puertos S.E..
Para el párrafo donde se menciona la subutilización del GIGA, es de destacar que para poder
evaluar problemas en el sistema, fue necesario realizar 2 simulacros de operación del sistema
desde el origen de la transacción hasta su conclusión en registración contable (circuitos de
compras y de liquidaciones) (observación 4.6 - pág. 41) para así analizar las fallas que el
software presentaba, ya que el organismo no genera las acciones que éste propone en forma
integral, sino que por el contrario cada área opera como si estuviera aislada del resto
(observación 4.5.3) y utiliza en varios casos planillas Excel, para reemplazar las operaciones
que ofrece (Observación 4.5.1 – pág. 36/37, observación 4.5.2.3 – pág. 40).
En el punto 3.5 (pág. 6), se realiza una descripción genérica de los denominados ERP, grupo
al que pertenece el GIGA.
El éxito de la implantación de estos programas, radica en su utilización integral, con todas las
ventajas que en ese ítem figuran.
Por lo tanto nuestro trabajo, sintetizado en las recomendaciones, apuntó a que la
Administración General de Puertos logre este objetivo.
En lo atinente a la capacitación, también en las recomendaciones, se describen los problemas
localizados, divididos en dos partes, usuarios y personal específico de sistemas.
Consideramos que si se tuviese cubierto el sector de sistemas y utilizando también algún
agente que conozca su funcionamiento, la capacitación de usuarios puede autorealizarse.
“El verdadero problema”, se soluciona con el seguimiento de nuestras recomendaciones, en
particular la número nueve (pág. 62), (para lo cual hay que implementar el resto).
Párrafo aparte merecen las responsabilidades derivadas ante este tema. Se considera
apropiado, aquí, insistir en el concepto sobre que la auditoría realizada no busca individualizar
responsables, sino brindar el camino para superar los obstáculos.
139
Documentos relacionados
f_204_12_05_06.pdf
f_204_12_05_06.pdf
Informe Auditoria Interna AI-01-11
Informe Auditoria Interna AI-01-11
Informe de Auditoria AI-01-12
Informe de Auditoria AI-01-12
f_194_13_05_06.pdf
f_194_13_05_06.pdf
f_155_10_05_06.pdf
f_155_10_05_06.pdf
2007_001info.pdf
2007_001info.pdf
f_170_09_05_06.pdf
f_170_09_05_06.pdf
Descargar
Anuncio
Anuncio