f_008_11_05_06.pdf

GCIA. PLANIFICACIÓN
Y PROYECYOS
ESPECIALES
Dto. de Auditoría
Informática
Informe aprobado por
Resolución AGN
08/2011
OBJETO DE
AUDITORÍA
Seguimiento de las
Recomendaciones
efectuadas mediante
Resolución AGN 3/06,,
“Evaluación de la
Tecnología Informática en
el Instituto Nacional de
Servicios Sociales para
Jubilados y Pensionados,
organismo autárquico en
la órbita del Ministerio de
Salud y Ambiente, con el
objeto de determinar
debilidades y fortalezas
de la gestión informática
en el Organismo”.
PERIODO AUDITADO
Abril de 2004 a diciembre
de 2009.
AUTORIDADES AGN
Presidente
Dr. Leandro O. Despouy
Auditores Generales
Dr. Vicente Brusca
Dra. Vilma Castillo
Dr. Francisco Fernández
Dr. Oscar Lamberto
Dr. Alejandro Nieva
Dr. Horacio F. Pernasetti
AGN
Hipólito Yrigoyen 1236
C1086AAV CABA.
Argentina
Tel.: (54 11) 4124-3700
Fax: (54 11) 4124-3775
informació[email protected]
GESTIÓN DE LA TECNOLOGÍA DE LA INFORMACIÓN (TI)
Instituto Nacional de Servicios Sociales para Jubilados y
Pensionados (PAMI)
ACLARACIONES
PREVIAS
CONCLUSIONES
Marco legal e institucional
El Instituto Nacional de
Servicios Sociales para
Jubilados y Pensionados
(PAMI) fue creado por el
Decreto Ley 19.032 del 13
de mayo de 1971 y
reglamentado por el Decreto
1157/71 de igual fecha.
Funciona como entidad de
derecho público no estatal,
con personalidad jurídica e
individualidad financiera y
administrativa.
El Instituto tiene como objeto
otorgar —por sí o por
terceros— a los jubilados y
pensionados del Régimen
Nacional de Previsión y del
Sistema Integrado de
Jubilaciones y Pensiones y a
su grupo familiar primario,
las prestaciones sanitarias y
sociales, integrales,
integradas y equitativas
necesarias para promover,
prevenir, proteger, recuperar
y rehabilitarla salud.
Estas prestaciones son
consideradas servicios de
interés público, y los
recursos destinados a su
financiamiento son
intangibles (Ley 25.615)
La Ley 25.615 también
rediseña el accionar del
Instituto sobre la base de
criterios y necesidades
regionales, factores sociodemográficos,
epidemiológicos, tasas de
uso estimativas y costos de
cada jurisdicción,
coordinando su actividad con
las autoridades sanitarias
locales. En consonancia con
ello, institucionaliza las
Unidades de Gestión Local
(UGL), haciéndolas
partícipes en la
responsabilidad de
conducción, el control
prestacional local y la
administración de su padrón.
-Se han encontrado mejoras en la Tecnología
Informática (TI) en el Instituto Nacional de
Servicios Sociales para Jubilados y
Pensionados (PAMI) con respecto a la
situación anterior.
Del análisis del riesgo al que se encuentra
sometida la información (eficacia, eficiencia,
confidencialidad, integridad, disponibilidad,
cumplimiento y confiabilidad), el riesgo
promedio, que se encontraba en el 76%, bajó
al 38% (nuestra recomendación es no superar
el 20%).
El nivel de madurez promedio para los 30
objetivos de control considerados evolucionó
de 0,87 a 2,18 en una escala de 0 a 5
(nuestra recomendación es alcanzar como
mínimo el nivel 3) (ver página siguiente,
“Niveles del Modelo Genérico de Madurez”).
- Se realizó un esfuerzo plasmado en la
cantidad de observaciones que superaron el
nivel más bajo “No Conforma” antes obtenido;
sin embargo, aún quedan algunos puntos
para mejorar. El organismo debe
concentrarse en que la madurez de la calidad
de la gestión alcance como mínimo el nivel de
“Procesos Definidos” y, donde sea posible, el
nivel “Administrados”.
- Los niveles de madurez asignados a los
distintos objetivos de control no comprenden
la situación de la administración y el
mantenimiento del Sistema Interactivo de
Información (SII), cuya recepción se concretó
a principios de 2010 pero aún no se transfirió
a la Gerencia de Tecnología de la Información
y Comunicación (GTIC). El organismo debe
subsanar esta situación a la brevedad para no
afectar el nivel de madurez TI de la
organización.
Recomendamos continuar con el esfuerzo
realizado a la fecha, profundizando los
cambios efectuados y concentrándose en los
objetivos de control que poseen los niveles de
madurez más bajos.
Niveles del Modelo Genérico de Madurez
0 – No conforma. Falta total de procesos reconocibles. La organización no
reconoce que existe un tema a ser tenido en cuenta.
1 – Inicial. La organización reconoce la existencia del tema y la necesidad de
atenderlo. Sin embargo, no existen procesos estandarizados sino
aproximaciones ad hoc que suelen ser aplicadas sobre una base individual o
caso por caso. La administración aparece como desorganizada.
2 – Repetible. Los procesos han evolucionado hasta la etapa en la cual
procedimientos similares son ejecutados por distintas personas que desarrollan
las mismas tareas. No hay entrenamiento formal ni comunicación de
procedimientos estándar y la responsabilidad es asumida por cada individuo.
Hay un alto grado de confianza en el conocimiento de los individuos y los
errores son probables.
3 – Proceso Definido. Los procedimientos han sido estandarizados,
documentados y comunicados vía entrenamiento. Sin embargo, es
responsabilidad de los individuos cumplir con estos procesos y es improbable
que se detecten las desviaciones. Los procedimientos en sí mismos no son
sofisticados pero son la formalización de prácticas existentes.
4 – Administrado. Es posible monitorear y medir el cumplimiento de los
procedimientos y accionar cuando los procesos parecen no estar trabajando
adecuadamente. Los procesos están bajo mejora constante y proveen una
práctica correcta. El uso de herramientas y de automatización es limitado o
fragmentario.
5 – Optimizado. Los procesos han sido corregidos al nivel de la mejor práctica,
en base a los resultados de la mejora continua y de la movilización con otras
organizaciones. La TI es usada de forma integrada para automatizar el flujo de
trabajo, proveer herramientas para mejorar la calidad y la eficacia y hacer que
la organización se adapte rápidamente a los cambios.