Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria

f_159_10_05_06.pdf

Anuncio 
GCIA. PLANIFICACIÓN
Dto. Auditoría
Informática
Informe aprobado por
Resolución AGN
159/2010
OBJETO DE
AUDITORÍA
Gestión de la
Tecnología de la
Información en la
Dirección Nacional de
los Registros
Nacionales de la
Propiedad del
Automotor y de
Créditos Prendarios
(DNRPA), organismo
descentralizado en la
órbita del Ministerio de
Justicia, para
determinar la madurez
y los riesgos en su
administración de la
información.
PERÍODO AUDITADO
Julio de 2008 a junio
de 2009.
AUTORIDADES AGN
Presidente
Dr. Leandro O. Despouy
Auditores Generales
Dr. Vicente Brusca
Dra. Vilma Castillo
Dr. Francisco Fernández
Dr. Oscar Lamberto
Dr. Alejandro Nieva
Dr. Horacio F. Pernasetti
AGN
HipólitoYrigoyen 1236
C1086AAV CABA
Argentina
Tel.: (54 11) 4124-3700
Fax: (54 11) 4124-3775
informació[email protected]
EVALUACIÓN DE LA GESTIÓN DE LA TI
Dirección Nacional de los Registros Nacionales de la Propiedad
Automotor y de Créditos Prendarios (DNRPA)
ACLARACIONES
PREVIAS
Marco legal e
institucional
La DNRPA
depende del
Ministerio de
Justicia y Derechos
Humanos . Regula
todo lo
concerniente al
dominio, trasmisión,
prueba y crédito
prendario de los
automotores, y
tiene a su cargo el
Registro Nacional
de la Propiedad
Automotor (RNPA),
creado en 1964
(Dto. Ley 6582/58;
Texto Ordenado
Dto. 1114/97). Los
Registros
Seccionales de la
Propiedad del
Automotor (Res.
683/00 MJyDH)
también
dependientes de la
DNRPA, regulan la
organización y
función de los
Registros.
La Asociación de
Concesionarios de
Automotores de la
República
Argentina (ACARA)
firmó un convenio
de cooperación
técnica con la
Secretaría de
Justicia según el
cual ACARA
contribuye mejorar
el funcionamiento y
modernizar los
métodos operativos
de la DNRPA.
OBSERVACIONES
-En la DNRPA, la estructura orgánica interna y las
misiones y funciones correspondientes a TI no han
sido aprobadas a la fecha de los trabajos de
campo. La falta de una estructura formal causa,
entre otros, los siguientes inconvenientes:
a) No hay una auditoría interna en TI que garantice
el funcionamiento de los controles necesarios
para su correcto desempeño.
b) L a s á r e a s i n t e r n a s d e s i s t e m a s n o
tienen existencia formal, lo que impide
el nombramiento de sus responsables y de los
subordinados con las descripciones de puesto
correspondientes,
c) El 100% del personal de TI está contratado por
el Ente Cooperador.
d) Falta de autoridad del sector informático para
imponer las normas de seguridad necesarias
tanto a nivel interno de la Dirección, como en
los Registros Seccionales.
-E l E n t e C o o p e r a d o r ( A C A R A ) r e a l i z a l a s
contrataciones del personal de TI y gestiona las
compras de equipamiento por fuera de la órbita de
la ONTI, lo que hace posible que no siempre se
satisfagan sus requisitos.
-La DNRPA no define ni hace cumplir políticas
informáticas acordes con las buenas prácticas,
motivo por el cual:
a) L a s e g u r i d a d i n t e r n a e s t á l i m i t a d a a l
reconocimiento automático de las máquinas en
la red; por lo tanto, cualquier persona que
encienda la máquina tendrá acceso a sus
recursos y contenidos.
b) Algunos funcionarios tienen habilitado el
servicio de mensajería instantánea, lo que abre
una puerta de acceso vía Internet a personas
malintencionadas
que
podrían
p r o v o c a r inconvenientes o hacerse de
información reservada.
c) Existe duplicación de información instalada en
distintos motores de base de datos (FoxPro, en
los Registros Seccionales y SQLServer y
PostgresSQL en la Dirección Nacional), con la
consecuente falta de integridad de información
sensible, aparte de los problemas técnicos y
administrativos que genera.
d) Falta claridad en la definición sobre la
propiedad de los datos.
e) No hay autoridad del Organismo sobre los
Registros Seccionales en materia de TI.
f) Más del 60 % de los objetivos de control se
encuentran en el nivel “Inicial”, y ninguno
alcanza el valor mínimo recomendable de
“Proceso Definido” (ver “Niveles del Modelo
Genérico de Madurez”, abajo).
CONCLUSIÓN
Los riesgos de ineficiencia e ineficacia en el
cumplimiento de la misión del organismo son altos
y, en general, la información está sometida a
riesgos que superan los valores aceptables.
PRINCIPALES RECOMENDACIONES
-Definir la e s t r u c t u r a d e TI, s u s m i s i o n e s
y funciones, las políticas y procedimientos a
cumplir y nombrar personal idóneo, responsable de
cumplirlas satisfactoriamente.
-Hacer hincapié en resolver las inconsistencias en
los datos en el desarrollo de la nueva versión del
aplicativo y depurar la base antes de la puesta en
producción.
-Tender a que la madurez de la calidad de la
gestión se aproxime, cuanto menos, al nivel de
“Procesos definidos” (ver “Niveles del Modelo
Genérico de Madurez”, abajo),
-Superar a la brevedad las limitaciones de los
procesos ponderados en niveles “No conforma” e
“Inicial”, particularmente en los casos en que la
estimación del riesgo es alta.
-Es imprescindible un fuerte compromiso de las
máximas autoridades de la DNRPA para organizar
los servicios de TI y de las autoridades del
Ministerio para proveer los recursos necesarios y
una urgente formalización de la estructura.
NIVELES DEL MODELO GENÉRICO DE MADUREZ
0 – No conforma. Falta total de procesos reconocibles. La organización no
reconoce que existe un tema a ser tenido en cuenta.
1 – Inicial. La organización reconoce la existencia del tema y la necesidad de
atenderlo. Sin embargo, no existen procesos estandarizados sino
aproximaciones ad hoc que suelen ser aplicadas sobre una base individual o
caso por caso. La administración aparece como desorganizada.
2 – Repetible. Los procesos han evolucionado hasta la etapa en la cual
procedimientos similares son ejecutados por distintas personas que desarrollan
las mismas tareas. No hay entrenamiento formal ni comunicación de
procedimientos estándar y la responsabilidad es asumida por cada individuo.
Hay un alto grado de confianza en el conocimiento de los individuos y los
errores son probables.
3 – Proceso Definido. Los procedimientos han sido estandarizados,
documentados y comunicados vía entrenamiento. Sin embargo, es
responsabilidad de los individuos cumplir con estos procesos y es improbable
que se detecten las desviaciones. Los procedimientos en sí mismos no son
sofisticados pero son la formalización de prácticas existentes.
4 – Administrado. Es posible monitorear y medir el cumplimiento de los
procedimientos y accionar cuando los procesos parecen no estar trabajando
adecuadamente. Los procesos están bajo mejora constante y proveen una
práctica correcta. El uso de herramientas y de automatización es limitado o
fragmentario.
5 – Optimizado. Los procesos han sido corregidos al nivel de la mejor práctica,
en base a los resultados de la mejora continua y de la movilización con otras
organizaciones. La TI es usada de forma integrada para automatizar el flujo de
trabajo, proveer herramientas para mejorar la calidad y la eficacia y hacer que
la organización se adapte rápidamente a los cambios.
Documentos relacionados
REUNION ZONAL VALLE
REUNION ZONAL VALLE
f_204_12_05_06.pdf
f_204_12_05_06.pdf
f_194_13_05_06.pdf
f_194_13_05_06.pdf
Descargar
Anuncio
Anuncio