2001_100info.pdf

INDICE DE RECOMENDACIONES
I
RECOMENDACIONES DE EJERCICIOS ANTERIORES
1.
1.1.
1.2.
CIRCUITO: MOVIMIENTO DE FONDOS
Gestión de cobranza de los Créditos Consolidados segun la Ley N° 23.982
Falta de seguimiento sobre la devolución de garantías otorgadas por la Sociedad
2.
2.1.
2.2.
2.3.
2.4.
CIRCUITO: SISTEMAS INFORMATICOS
Comité de Sistemas
Plan de Sistemas
Metodología de Desarrollo de Sistemas
Resguardo/ Recupero de Datos
II
RECOMENDACIONES DEL EJERCICIO
1.
1.1.
1.2.
1.3.
1.4.
1.5.
1.6.
1.7.
1.8.
1.9.
CIRCUITO: SISTEMAS INFORMATICOS
Administración de la Gerencia de Cómputos
Plan de Contingencia General
Prueba del Plan de Contingencia General
Administración de requerimientos
Documentación y conformidad de requerimientos
Administración de Seguridad
Seguridad física
Seguridad ambiental
Configuración de Servidores Windows NT
2.
2.1.
CIRCUITO: CONTRATACIONES
Renovación de contratos
3.
3.1.
RUBRO: BIENES DE CAMBIO
Sobrevaluación de materias primas
III
ASPECTOS OBSERVADOS EN
REGULARIZADOS A LA FECHA
EL
EJERCICIO
ANTERIOR,
A los Señores Presidente y Directores de
Sociedad del Estado Casa de Moneda
Avda. Antártida Argentina 2085
Capital Federal
En ejercicio de las facultades conferidas por el art. 118 de la Ley 24156, la
Auditoría General de la Nación efectuó una revisión de la estructura de control
interno adoptado por la Sociedad del Estado Casa de Moneda, referido al
ejercicio finalizado el 31 de diciembre de 1999.
OBJETIVOS
Los objetivos de nuestra tarea han sido los siguientes:
‰
Evaluar el grado de control interno alcanzado por la Sociedad, a fin de:
•
determinar el grado de confiabilidad de los controles propios de cada
uno de los sistemas a través de los cuales fluye la información que
alimenta las cuentas o rubros contables a examinar, y
•
establecer el alcance, la naturaleza y la oportunidad de los
procedimientos de auditoría aplicados en la revisión de los estados
contables al 31 de diciembre de 1999 de la Sociedad.
‰
Identificar las conclusiones y las observaciones de mayor significatividad
visualizadas a raíz de dicha evaluación.
‰
Evaluar la confiabilidad de los procesos asociados con las imputaciones
contables y su entorno de procesamiento.
En función de los objetivos definidos precedentemente, el contenido de este
Informe respecto a la evaluación del Control Interno, cubre únicamente aquellos
aspectos que han surgido durante el desarrollo de nuestro examen y por lo tanto,
no incluye todos aquellos comentarios y recomendaciones que un estudio
específico destinado a tal fin podría revelar.
1
ALCANCE
Nuestro examen fue realizado de acuerdo con las normas de auditoría aprobadas
por la Auditoría General de la Nación mediante la Resolución Nº 145/93,
dictadas en virtud de las facultades conferidas por el artículo 119 inciso d) de la
ley 24.156. Dichas normas son compatibles con las adoptadas por el Consejo
Profesional de Ciencias Económicas de la Capital Federal.
La tarea y el alcance de la auditoría fue realizada por el Estudio Grant Thornton,
contratado por la Sociedad del Estado Casa de Moneda a través de un concurso
de precios realizado entre los estudios de primera línea, bajo nuestra supervisión,
de acuerdo al Convenio firmado entre la Auditoría General de la Nación y la
mencionada Sociedad.
El trabajo desarrollado ha consistido en evaluar principalmente los controles que
tienen efecto sobre la información contable generada por la Sociedad y que
pueden, por lo tanto, afectar los saldos finales de los estados contables. En este
sentido, se ha tenido en consideración la experiencia recogida en nuestra
participación en las auditorías de ejercicios anteriores.
Se ha analizado en qué medida se cumplen -entre otros- los siguientes principios
de control interno:
¾ Adecuada separación de funciones.
¾ Segregación física de activos -disponibilidades, documentos, títulos, etc. y
acceso restringido a los mismos.
¾ Empleo de formularios seguros y racionales en cuanto a la cantidad y calidad
de la información contenida.
¾ Empleo de archivos adecuados y seguros que permitan una rápida y ágil
tarea de verificación y control.
2
¾ Existencia y aplicación de regímenes claros y precisos en materia de
autorización de operaciones y registraciones contables subsecuentes.
¾ Existencia y aplicación de normas y procedimientos contables que otorguen
precisión a los registros.
Asimismo, se ha evaluado la confiabilidad de la información proveniente de los
sistemas administrativo-contables que inciden en las registraciones y posterior
confección de los estados contables.
3
I
RECOMENCACIONES DE EJERCICIO ANTERIORES
1.
CIRCUITO: MOVIMIENTO DE FONDOS
1.1.
Gestión de cobranza de los Créditos Consolidados según la Ley N° 23.982.
La última gestión de cobranza efectuada por la Sociedad consistió en enviar con
fecha 23 de junio de 1997, una nota al Secretario de Hacienda Dr. Pablo Emilio
Guidotti solicitando que proceda a cancelar sus créditos consolidados mediante
la entrega de los bonos previstos por la Ley N° 23.982.
Con fecha 27/09/97 se recibió la respuesta del Ministerio de Economía y Obras y
Servicios Públicos –expediente EXPMEyOSP.E N° 001-002767/97- en la que se
consigna que no ha entregado los mencionados Bonos, porque resta aún concluir
el proceso de consolidación entre el Estado Nacional y el Gobierno de la Ciudad
de Buenos Aires, lo que posibilitará la determinación de un saldo único frente al
Tesoro Nacional.
Al respecto, cabe aclarar que los créditos consolidados de la Sociedad ascienden
al cierre del ejercicio a $ 1.566.310,07 y emergen de las actas acuerdo
celebradas durante los años 1992 y 1993 entre el ex ME y OSP y diversas
provincias, en el marco de las Leyes N° 24.133, 24.154, 23.982 y la parte
pertinente de la Ley N° 24.145.
La Sociedad no dispone, a la fecha del presente informe, de los Bonos de
Consolidación que efectivicen su crédito con las provincias involucradas y/o que
posibiliten su compensación con los pasivos consolidables.
Recomendación
Continuar en contacto con el Ministerio de Economía a fin de obtener los
correspondientes Bonos de Consolidación y asimismo, gestionar la posible
compensación de estos créditos con los pasivos consolidables que mantiene la
Sociedad con la Secretaría de Hacienda en el marco de la Ley N° 23.982.
Opinión del Sector
Se encuentra de acuerdo con la recomendación efectuada.
4
1.2
Falta de seguimiento sobre la devolución de garantías otorgadas por la
Sociedad.
La Sociedad mantiene al cierre del ejercicio los créditos en concepto de
garantías de oferta o adjudicación otorgadas por $ 54.162, las cuales se
encuentran vencidas, ya sea por haberse adjudicado la licitación a otro oferente o
por haberse cumplido el contrato pertinente, según el siguiente detalle:
Fecha
Año 95
Año 95
Licitante
Vencimiento
I.N.S.S.J. y P.
Adm. Nac. Aduanas
05-95
11-95
Importe
$
36.162
18.000
54.162
Cabe mencionar que las citadas garantías ya fueron informadas como vencidas
en nuestro informe del ejercicio anterior.
Recomendación
Llevar a cabo un adecuado control sobre el vencimiento de las garantías
otorgadas por la Sociedad a fin de solicitar oportunamente su devolución,
evitando así la inmovilización de fondos.
Opinión del Sector
La Sociedad reiterará las instrucciones a la Gerencia de Comercialización a fin
de que la misma adopte las medidas necesarias tendientes a un exhaustivo
control sobre la devolución de las garantías otorgadas.
5
2.
CIRCUITO: SISTEMAS INFORMATICOS
2.1.
Comité de Sistemas
Si bien el Comité de Sistemas mantiene reuniones periódicas, para evaluar y
definir distintos aspectos relacionados con las prioridades, operatoria y
proyectos de implicancia en el centro de Cómputos; de la evidencia reunida se
desprende, que las mismas no son sistemáticas (no existieron reuniones entre
diciembre de 1999 y abril de 2000) y que aún se encuentra sin definir el Plan
Estratégico de la Empresa, razón por la cual no están explícitos los objetivos a
considerar y los valores implícitos a transmitir a la organización, que permitan
definir un plan de desarrollo y mantenimiento de sistemas en consecuencia.
La situación mencionada dificulta la definición de políticas y cursos de acción
de la Gerencia de Cómputos que aumenten la eficiencia del Area, así como la
determinación del uso correcto de los recursos.
Adicionalmente, teniendo en cuenta el período de más de cuatro meses, sin que
se hayan realizado reuniones del Comité de Sistemas, consideramos que se ve
resentida la oportunidad en el seguimiento y control de la Gerencia de
Cómputos, pudiendo resultar potencialmente riesgosos los desvíos que
eventualmente se produzcan, respecto de las tareas y/o líneas de acción
establecidas.
Recomendación
Se recomienda evaluar la realización de una adecuada transmisión del Plan
Estratégico de la Empresa, sus objetivos y valores implícitos en el mismo, para
que sobre dicha base, el Comité de Sistemas formalice los planes de la Gerencia
de Cómputos en lo relativo a nuevos desarrollos de sistemas y mantenimiento de
los existentes.
Por otra parte, recomendamos que las reuniones de Comité de Sistemas, sean
realizadas, como mínimo una vez por mes, más allá de necesidades específicas y
puntuales que justifiquen un intervalo menor, a efectos de llevar a cabo un
seguimiento oportuno de las actividades y proyectos de la Gerencia de
Cómputos.
Opinión del Sector
Se tomó conocimiento.
6
2.2.
Plan de Sistemas
Si bien la Gerencia General, ha solicitado la elaboración de un Plan Informático,
el mismo aún no ha podido concretarse. En este sentido el Comité de Sistemas,
se ha expedido considerando necesario conocer en detalle el Plan Estratégico de
la Empresa, como requisito previo para la eficiente elaboración de aquel.
De todos modos se ha evidenciado un avance en este aspecto, ya que de acuerdo
a la documentación suministrada, se han lanzado tres proyectos de rápida
concreción, necesarios para mejorar la comunicación y obtener presencia
institucional, tales como, servidor de correo electrónico, compra de
computadoras y sitio web para internet y conexión de alta velocidad punto a
punto.
Recomendación
Se recomienda reforzar las acciones tendientes a conocer e interpretar el Plan
Estratégico de la Empresa, a efectos que el Comité de Sistemas pueda definir un
Plan Formal de Sistemas de alcance anual, con objetivos, metas, afectación de
recursos y cronogramas detallados, y un plan Estratégico de Sistemas para el
próximo trienio que contemple los proyectos más importantes a llevarse a cabo
en ese periodo.
Opinión del Sector
Se tomó conocimiento.
2.3.
Metodología de Desarrollo de Sistemas.
Si bien de las entrevistas surge la utilización de metodologías generalmente
aceptadas, y en base a la documentación suministrada puede inferirse que en la
Gerencia de Cómputos se están comenzando a elaborar las metodologías y
estándares de desarrollo y mantenimiento de sistemas, las mismas aún no han
sido finalizadas ni formalizadas, no existiendo una fecha cierta para su
concreción.
Adicionalmente la no documentación de aplicaciones impide la revisión de la
implementación de controles internos.
7
Recomendación
Se recomienda finalizar las tareas de documentación de la metodología utilizada
como todos los aspectos referidos al análisis y desarrollos de aplicaciones.
Opinión del Sector
Se tomó conocimiento.
2.4
Resguardo/ Recupero de Datos.
Las dos ubicaciones en donde están resguardados los medios magnéticos se
encuentran en diferentes pisos del mismo edificio, no obstante la Gerencia de
Cómputos ha solicitado subsanar tal situación.
En virtud de ello por nota de fecha 19 de mayo de 2000, el Jefe de Area
Secretaría General informa que esa Secretaría se encuentra abocada a lograr la
reubicación de los medios magnéticos de resguardo, actualmente en el Archivo
Central.
El hecho de pertenecer las dos ubicaciones de medios magnéticos al mismo
edificio aumenta el riesgo de perder la información resguardada en caso de
existir algún siniestro.
Recomendación
Se recomienda continuar con las tareas que están siendo llevadas a cabo por la
Secretaría General para trasladar una de las cajas ignífugas a una locación
independiente y a una distancia razonable de la otra, para subsanar la
observación mencionada a la brevedad.
Opinión del Sector
Se tomó conocimiento.
8
II
RECOMENDACIONES DEL EJERCICIO
1.
CIRCUITO: SISTEMAS INFORMATICOS
1.1.
Administración de la Gerencia de Cómputos.
Observamos en base a la documentación suministrada que en el mes de abril de
2000, la Gerencia de Cómputos ha comenzado a emitir informes mensuales
dirigidos a la Gerencia General, conteniendo el detalle de las tareas efectuadas
en el período.
No obstante no se encuentran disponibles todos los elementos formales
necesarios, para llevar a cabo un control y evaluación de desempeño de la
Gerencia de Cómputos en forma eficiente, dada la inexistencia de un plan que
sirva de parámetro de medición de las actividades desarrolladas en la Gerencia.
La falta de un plan de sistemas, dificulta la determinación del grado de eficiencia
de las operaciones llevadas a cabo por la Gerencia de Cómputos.
Recomendación
Se recomienda definir y documentar aspectos inherentes a la planificación de la
Gerencia de Cómputos; tales como el Plan de Sistemas, a efectos de completar
en forma adecuada los mecanismos de evaluación y control de las operaciones
de la Gerencia.
Con el objetivo de implementar eficientemente esta recomendación, sería
necesario, como paso previo, la definición del Plan Estratégico de Sistemas, por
parte del Comité de Sistemas.
Opinión del Sector
Se tomó conocimiento.
9
1.2.
Plan de Contingencia General
De acuerdo a la documentación suministrada, la Gerencia de Cómputos ha
desarrollado un Plan de Contingencias del Area. El mismo es parte constitutiva
del Plan de Contingencias General de la Organización, y ha sido desarrollado en
base a la experiencia y capacitación recibida por el personal de la Gerencia y de
parte de La Secretaría de la Función Pública, en oportunidad de la realización
del Plan de Contingencias Año 2000.
Si bien los niveles jerárquicos de la Empresa han tomado conocimiento y han
participado en sus definiciones, el mismo aún no ha sido aprobado formalmente
por la máxima autoridad del Organismo, ni cuenta con el dictamen previo de la
Auditoría Interna y Asesoría Legal.
La falta de aprobación formal por los niveles jerárquicos de la organización del
Plan de Contingencias General, dificulta su difusión y aceptación en el personal
de la Empresa y carece del peso necesario para ser llevado a la práctica en el
caso de una eventualidad que justifique su utilización.
Recomendación
Se recomienda que las máximas autoridades de la Empresa aprueben
formalmente el Plan de Contingencias General y definan una estrategia de
comunicación con respecto al público en general y al personal de la Empresa.
Adicionalmente recomendamos una revisión periódica del Plan, a efectos de
actualizarlo, teniendo en cuenta y analizando la potencial aparición de nuevos
riesgos y situaciones críticas, que eventualmente pudieran surgir como
consecuencia de los cambios en las variables que puedan tener impacto sobre el
mismo.
Opinión del Sector
Se tomó conocimiento.
10
1.3.
Prueba del Plan de Contingencia General.
No contamos con evidencia de la existencia de una metodología y cronograma
de pruebas del Plan de Contingencias General de la Empresa, ni de la realización
de simulaciones de contingencias para probar el Plan.
No obstante, la Empresa ha llevado a cabo las pruebas previstas, consideradas
para la problemática año 2000.
La situación comentada precedentemente, dificulta las tareas de prueba que
deberían realizarse periódicamente sobre el Plan de Contingencias, y no permite
verificar la efectividad del plan ante la aparición de las contingencias
contempladas.
Recomendación
Se recomienda que la Gerencia General, o el responsable que ésta designe (con
jerarquía superior a las Gerencias involucradas), desarrolle y formalice una
metodología y cronograma de pruebas sobre el Plan de Contingencias, y que se
verifique el cumplimiento de la realización de las mismas en el tiempo y la
forma prevista, documentando sus resultados, los que deben ser tenidos en
cuenta como elementos de retroalimentación, para la eventual actualización del
plan. A tal efecto debería aprovecharse la experiencia acumulada en ocasión de
las pruebas efectuadas por la problemática Y2K.
El cronograma de pruebas mencionado en el párrafo anterior, debería prever al
menos, que el Plan sea probado en forma integral en períodos bianuales.
Opinión del Sector
Se tomó conocimiento.
1.4.
Administración de requerimientos.
De acuerdo a lo relevado durante las entrevistas en la Gerencia de Cómputos y a
la documentación suministrada, se observó que existen requerimientos de
modificaciones o actualizaciones de programas de áreas usuarias que fueron
expresados verbalmente por lo que no quedaron registros de los mismos. No
obstante a partir de los primeros meses del presente año se observan pedidos
formales en tal sentido.
11
La falta de documentación de solicitudes de requerimiento no permite
determinar los recursos insumidos para su resolución, a la vez que impiden
controlar la gestión de los mismos.
Recomendación
Se recomienda que toda solicitud de mantenimiento de sistemas aplicativos
realizada por los usuarios sea documentada de acuerdo a una metodología
conocida y aceptada por la Gerencia. Al respecto debería desarrollarse,
comunicarse formalmente a las áreas usuarias e implementarse un procedimiento
con formularios estándar.
Opinión del Sector
Actualmente la situación observada se encuentra regularizada.
1.5.
Documentación y conformidad de requerimientos.
Si bien las tareas realizadas para llevar a cabo las modificaciones solicitadas
sobre los aplicativos quedan documentadas, recién en el año 2000 se evidencia
que algunas de ellas se encuentran con la conformidad explícita del usuario.
La falta de conformidad de los sectores usuarios, no garantiza formalmente el
grado de satisfacción de los mismos, tanto sobre los pedidos requeridos o los
realizados por iniciativa de la Gerencia de Cómputos, y puede eventualmente
generar inconvenientes y no permiten deslindar responsabilidades en casos de
controversia.
Recomendación
Se recomienda que toda tarea de modificación de aplicativos, contenga la
aprobación formal del Area usuaria del sistema.
Opinión del Sector
Se tomó conocimiento.
12
1.6.
Administración de Seguridad.
A pesar de no encontrarse formalizada ni definida explícitamente, la función de
Administrador de Seguridad es llevada a cabo actualmente por la Jefa y la
Encargada de Operaciones de la Gerencia de Cómputos, en forma compartida.
Al respecto debe mencionarse que dichas funcionarias están tomando cursos de
capacitación en el tema.
El rol de Administrador de Seguridad debe pertenecer a la Gerencia de Sistemas,
con auditorías externas periódicas, ya que este rol es llevado a cabo por
Operaciones y no se realizan auditorías.
Recomendación
Se recomienda que se tomen las medidas necesarias a fin de regularizar la
situación detallada precedentemente.
En Anexo a la presente se proponen cuatro alternativas de implementación del
rol de Administrador de Seguridad ordenadas de acuerdo al nivel de prioridad de
implementación, analizando la estructura organizacional, la cultura
organizacional y los recursos disponibles. En cada alternativa se detallarán sus
fortalezas y debilidades.
Opinión del Sector
Se tomó conocimiento.
1.7.
Seguridad física.
Si bien se ha instalado un cerramiento, con puerta con llave para el resguardo de
servidores y del archivo ignífugo, este mecanismo de prevención de accesos no
autorizados a áreas críticas presenta las siguientes debilidades:
‰
‰
‰
‰
El cerramiento consiste en una mampara de madera en su parte inferior y
vidrio en su parte superior
No resguarda totalmente el recinto, ya que queda un espacio entre la parte
superior y el techo del recinto, suficiente como para permitir el acceso al
mismo
Existe en el recinto un equipo de aire acondicionado interno
El aparato de aire acondicionado, queda encendido durante los fines de
semana en verano.
13
Las debilidades comentadas en el párrafo precedente, tienen implícito los
siguientes riesgos:
‰
‰
‰
‰
El material del cerramiento no ofrece barreras importantes para ser violado.
El espacio entre el cerramiento y el techo del recinto es potencialmente
accesible.
El aire acondicionado interno expone al recinto a potenciales incendios ante
una falla o corto circuito del aparato.
A las facilidades de acceso mencionadas en los ítems precedentes se le
agrega la posibilidad de ingreso a la Gerencia de Cómputos, debido a que la
misma permanece sin cerradura.
Recomendación
Se recomienda mejorar las medidas de seguridad física, para prevenir el acceso
no autorizado en primer término al recinto de servidores y/o
complementariamente a la Gerencia. A tal efecto aconsejamos evaluar las
posibilidades de reemplazar la mampara por material más seguro, elevar su
cobertura hasta el techo del recinto, reemplazar el aparato de aire acondicionado
con un mecanismo de conductos que permitan su instalación externa. Si no se
lograran incorporar los controles de acceso físico recomendados, se debería
reanudar la práctica de mantener con cerradura la puerta de acceso a la Gerencia
y controlado el acceso.
Opinión del Sector
Se tomó conocimiento.
1.8.
Seguridad ambiental
La Gerencia de Cómputos ha solicitado, formalizando el pedido a través de una
solicitud de compra, un sistema de detección de incendios para los sectores
ocupados bajo su dependencia. El mismo ha sido requerido para el 10 de junio
de 2000, no habiéndose materializado aún su adquisición.
La carencia de controles preventivos, como es el caso de los detectores de
incendio, incrementa el riesgo de daños sobre los equipos, documentación e
instalaciones de la Gerencia, circunscribiendo las acciones a controles de tipo
correctivo.
14
Recomendación
Si bien la evaluación realizada por el Area de Seguridad Industrial concluye que
la carga de fuego es mínima y que cualquier inconveniente quedaría
circunscripto sólo al computador que lo provocó, el riesgo toma relevancia si se
tratara de los servidores.
En tal sentido recomendamos, intensificar las gestiones para la adquisición del
sistema solicitado y evaluar otros adicionales tales como, detectores de agua y
sistemas automáticos de supresión de incendios.
Opinión del Sector
Se tomó conocimiento de la observación y se elevará al área de Seguridad
Industrial para su conocimiento y efectos.
1.9.
Configuración de servidores Windows NT.
Del relevamiento realizado en los servidores de red MS Windows NT, estos
cumplen con las características mínimas de seguridad, en lo que respecta a
administración de políticas de cuentas.
‰
‰
‰
‰
Las contraseñas caducan cada 90 días.
Las cuentas de usuario son bloqueadas después de 5 intentos fallidos.
La longitud mínima de claves es de 6 caracteres.
Se auditan todos los sucesos correctos y erróneos.
Se destacan las siguientes observaciones:
‰
‰
‰
‰
‰
‰
‰
‰
El registro de sucesos de seguridad en cada uno de los servidores sobrescribe
registro cada 512 Kb de información, dada la cantidad de registros no se
posee historial de accesos.
Existen 6 cuentas con perfil de administrador además de la cuenta de
“default”. Las mismas son:
ADMINIST
DECARLI
GABRIELLI
KARAGOZIAN
SILVIA
SQLEXEC
15
La sobre escritura de los registros de seguridad, dada la cantidad de registros, no
permite realizar un adecuado control del mismo, ya que como máximo se
encontraron registros de las últimas 8 horas.
La multiplicidad de cuentas con el perfil “Administrador de Dominio” reduce la
confidencialidad e integridad de los datos almacenados.
Recomendación
Se recomienda definir una política de cuentas que contemple un solo
administrador, y modificar la configuración del registro de sucesos de manera
que queden registrados todos los logs entre cada uno de los back-ups de los
mismos, de esta manera se tendría el historial completo.
Opinión del Sector
Con respecto a lo observado sobre las cuentas declaradas con perfil de
Administrador, cabe aclarar lo siguiente:
‰
‰
‰
SQLEXEC es una cuenta declarada para poder realizar diferentes tareas con
SQL SERVER.
ADMINIST es una cuenta declarada para poder ejecutar el NTBACKUP.
Con respecto a la cantidad de Administradores declarados, es menester
cubrir la franja horaria que va desde las 6.00 horas a las 22.00 horas.
2.
CIRCUITO: CONTRATACIONES
2.1.
Renovación de contratos.
Se realizó una muestra que representó el 50% de la compra de Bienes y el 30 %
de adquisición de Servicios, la misma esta constituida por 18 legajos de compras
y contrataciones, de los cuales 5 (cinco) corresponden a Concursos de Precios, 9
(nueve) a Contrataciones Directas y 4 (cuatro) a Opciones de Prórroga. De la
revisión de dichos legajos se detectó que en la contratación del “Servicio de
Elaboración y Distribución de Comidas al Personal de la Sociedad”, no se
realizó concursos de precios, sino que se renovó directamente el contrato al
proveedor Bagalá S.A., por $ 1.013.247,- por el término de un año, no
cumpliéndose con el Reglamento de Contrataciones.
16
Recomendación
Realizar la selección del proveedor de acuerdo con las disposiciones establecidas
por el Reglamento para cada caso.
Opinión del Sector
Esta Administración se atendrá estrictamente a las normas del Reglamento de
Contrataciones.
3.
RUBRO: BIENES DE CAMBIO
3.1.
Sobrevaluación de materias primas.
Del análisis de la valuación de las materias primas “tintas compradas” se
observó que el costo unitario de ciertas tintas importadas se encontraba
sobrevaluado debido a que el sistema calcula de manera deficiente este valor.
Cabe citar a modo de ejemplos los artículos 10041898 y 10041936.
Debido a que en esta cuenta se incluyen las tintas nacionales e importadas, a su
atomización y a que las diferencias no son constantes, no se pudo determinar un
monto estimado.
Recomendación
Corregir los procesos del sistema a fin de que éste realice el cálculo correcto, y
asimismo, efectuar un análisis exhaustivo de los valores de las tintas importadas.
Opinión del Sector
El error detectado en órdenes de compra de tintas importadas se originó en la
carga de datos de formación del precio de costo. Ya se han tomado las medidas
correctivas en el mencionado proceso.
17
III ASPECTOS OBSERVADOS EN EL EJERCICIO ANTERIOR,
REGULARIZADOS A LA FECHA
A continuación se detallan las observaciones mencionadas en nuestra Carta con
Recomendaciones de Control Interno y Otros Aspectos Contables, correspondientes
a la auditoría de los estados contables al 31 de diciembre de 1998, que se han
regularizado a la fecha del presente informe, o no se han presentado durante nuestra
revisión al 31 de diciembre de 1999.
CIRCUITO: SISTEMAS INFORMATICOS
¾ Capacitación de los recursos humanos, en cuanto a que la Gerencia de Cómputos
no cuenta con personal especializado y capacitado en el desarrollo del Plan de
Contingencias del área.
¾ Operatoria de Cómputos, en cuanto a la falta de un cronograma completo de
tareas diarias.
¾ Administración del servicio de mantenimiento, en cuanto las solicitudes de
mantenimiento de equipamiento no estaban correctamente diseñadas y
completadas.
¾ Seguridad Lógica, en cuanto a que las normas no contemplan de manera integral
los procedimientos mínimos de Seguridad Lógica, siendo a su vez parcial y
estando desactualizadas.
¾ Organización y Control de la Gerencia de Cómputos, en cuanto a que la
Gerencia tiene a su cargo funciones operativas que a su vez debe controlar.
BUENOS AIRES, 15 de Noviembre de 2000.
18
ANEXO
ADMINISTRADOR DE SEGURIDAD – ALTERNATIVAS
¾ Administrador de Seguridad perteneciente a la Gerencia de Sistemas,
independiente de Desarrollo y de Operaciones.
Fortalezas:
‰ La definición de seguridad estará claramente ligada al área de Sistemas.
‰ Se asegura un control independiente de los demás sectores de la Gerencia
de Cómputos.
Debilidades:
‰ Dado que la Gerencia de Sistemas es la principal involucrada en la
estructura de seguridad informática de la organización, existe el problema
de la no independencia de la Administración de Seguridad.
‰ Incorporación de un recurso humano adicional, si bien podría asignársele
funciones no incompatibles con las de seguridad, como Help Desk y
Administrador de Datos
‰ Inversión en capacitación continua, para mantener el recurso humano
actualizado.
¾ Administración de la Seguridad a cargo del Gerente de Cómputos con
auditorías externas periódicas.
Se recomienda auditorías mensuales sobre la base de un plan de auditoría anual.
Fortalezas:
‰ No requiere de recursos adicionales a los ya existentes.
‰ La definición de seguridad estará claramente ligada a la operación de la
misma.
‰ La auditoría externa periódica asegura un control independiente de la
organización.
Debilidades:
‰ Dado que la Gerencia de Cómputos es la principal involucrada en la
estructura de seguridad informática de la organización, existe el problema
de la no independencia de la Administración de Seguridad.
‰ Esta debilidad se minimiza con el control por auditorías de seguridad
informática externas.
‰ Inversión en capacitación continua, para mantener el recurso humano
actualizado.
19
¾ Administrador de Seguridad dependiente de la Gerencia General.
Fortalezas:
‰ Independencia de la Administración de Seguridad respecto a las gerencias
involucradas en la implementación de la seguridad informática.
‰ Nivel de decisión alto.
Debilidades:
‰ Necesita de un alto compromiso al nivel de Gerencia General.
‰ Es difícil conseguir recursos idóneos fuera de la Gerencia de Sistemas.
‰ Inversión en capacitación continua, para mantener el recurso humano
actualizado.
¾ Administrador de Seguridad perteneciente a otra Gerencia distinta de la de
Sistemas.
Fortalezas:
‰ Independencia de la Administración de Seguridad respecto a las gerencias
involucradas en la implementación de la seguridad informática.
Debilidades:
‰ Necesita de un alto compromiso al nivel de la Gerencia responsable.
‰ Es difícil conseguir recursos idóneos fuera de la Gerencia de Sistemas.
‰ Inversión en capacitación continua, para mantener el recurso humano
actualizado.
20