2011_230info.pdf

INFORME DE AUDITORIA
Al Señor Secretario de Finanzas
Dr. Hernán Gaspar Lorenzino
Ministerio de Economía y Finanzas Públicas
Hipólito Yrigoyen 250 10º piso
(C1086AAB) Ciudad Autónoma de Buenos Aires
En uso de las facultades conferidas por el artículo 118 de la Ley Nº 24.156, la AUDITORÍA
GENERAL DE LA NACIÓN procedió a efectuar un examen en el ámbito de la Oficina
Nacional de Crédito Público – Secretaría de Finanzas (ONCP), con el objeto que se detalla en
el apartado 1.
1.- OBJETO DE AUDITORÍA.
Evaluación general de los controles TI en relación al cumplimiento del artículo 69 de la Ley
de Administración Financiera (Nº 24.156) en el ámbito de la Oficina Nacional de Crédito
Público – Secretaría de Finanzas.
2.- ALCANCE
El examen fue realizado de conformidad con las normas de auditoría externa de la Auditoría
General de la Nación, aprobadas por la Resolución N° 145/93, dictada en función del artículo
119, inciso d, de la Ley N° 24.156.
Las tareas de campo se llevaron a cabo entre los meses de abril y diciembre de 2010.
La evaluación general de los controles TI en relación al cumplimiento del artículo 69 de la
Ley de Administración Financiera en el ámbito de la Oficina Nacional de Crédito Público, ha
comprendido para el año 2009:
• el análisis funcional de los procedimientos y sistemas vigentes durante el relevamiento,
que abarcó al circuito interno de la ONCP.
1
• el análisis de la información de la ONCP publicada en el sitio web de la Subsecretaría de
Financiamiento: http://www.mecon.gov.ar/finanzas/sfinan/
Se practicaron los siguientes procedimientos:

Análisis de la normativa vigente del organismo.

Análisis de las normas generales en materia de tecnología, de competencia de la
Secretaría de la Gestión Pública y de SIGEN (Sindicatura General de la Nación).

Entrevistas con los siguientes funcionarios:

Director Nacional de la Oficina Nacional de Crédito Público.

Director de Administración de la Deuda Pública.

Director de Financiación Externa.

Coordinador Técnico Operativo de la Subsecretaría de
Financiamiento.

Coordinador de la Unidad de Registro de la Deuda Pública.

Coordinadora de Emisión de Deuda Interna.

Coordinadora de Sistemas de Información y Comunicaciones.

Coordinadora de BOCON Proveedores.

Coordinador de Títulos Públicos.

Coordinador de Préstamos.

Coordinador de Operaciones Contables.

Coordinador de la Unidad de Análisis de Riesgo Financiero.

Coordinador de Sistemas del Programa SIGADE dependiente
de la Conferencia de las Naciones Unidas sobre Comercio y
Desarrollo (UNCTAD).

Coordinadora Grupo de Trabajo de la Resolución N° 10/2008
de la Secretaría de Finanzas.

Responsable del Sector Estadística de la Deuda Pública.

Responsables de la Administración de Usuarios y de los
Firewall de la Coordinación General del Proyecto Informático.

Representantes de la Dirección de Información Financiera.
2

Representante Regional de Usuarios del SIGADE (Sistema de
Gestión y Análisis de la Deuda).

Jefa de Despacho Bocon Proveedores.

Administradores de Base de Datos.

Auditores de la Unidad de Auditoría Interna (U.A.I) del
Ministerio de Economía y Finanzas Públicas.
 Análisis de la siguiente documentación:
 Misiones, Funciones y Organigrama del Organismo.
 Lista del personal asignado a la función de sistemas.
 Plan Estratégico de Sistemas.
 Financiamiento de la actividad TI. Presupuesto anual (crédito vigente y
devengado de la ONCP por fuente de financiamiento, programa, inciso,
partida principal y partida parcial). Período 2007-2010.
 Contratos informáticos con terceros.
 Planes de capacitación para el personal de la Coordinación de TI.
 Descripción de las aplicaciones informáticas en producción de la ONCP.
 Descripción de los proyectos y/o iniciativas TI en curso.
 Política de seguridad informática aplicada a partir del año 2006.
 Informe SIGEN de Evaluación del Sistema de Control Interno del año 2008.
 Informes U.A.I./MECON 2005, 2007 y 2009.
 Manual del Usuario del SIGADE Versión 5.3.
 Manual del Usuario del Sistema de Regularización de Deuda Pública (SRDP).
 Manual del Usuario del Sidif Link.
 Descripción de las tablas de las bases de SIGADE y de SRDP.
 Contrato con la UNCTAD (Conferencia de las Naciones Unidas sobre
Comercio y Desarrollo).
3

Relevamiento de áreas sustantivas y sectores involucrados en el circuito de la Deuda
Pública.
2.1. Tareas de campo
Se desarrollaron entre Marzo y Septiembre de 2010.
2.2 Exclusiones
Se excluyen los aspectos de gestión de TI de la nueva versión 6.0 del Sistema de Gestión y
Análisis de la Deuda (SIGADE), cuyas tareas de implementación se desarrollaban durante la
presente auditoría.
No se relevaron áreas externas ó nivel jerárquico superior a la ONCP que participan en los
procesos de endeudamiento público nacional como la Dirección de Proyectos con
Organismos Internacionales de Crédito dependiente de la Secretaría de Política Económica,
la Jefatura de Gabinete de Ministros o del órgano coordinador de las Secretarías de Hacienda
y Finanzas.
3.- ACLARACIONES PREVIAS
Los sistemas vigentes fueron relevados en sus aspectos funcionales a través de entrevistas
con los responsables de los sectores involucrados y cuando resultó necesario realizando
pruebas sustantivas y de cumplimiento sobre los mismos.
3.1 Marco Legal e Institucional
Una recopilación de los aspectos vinculados al sistema de crédito público se encuentra en la
siguiente normativa:
 Título III de la Ley Marco 24.156 de Administración Financiera y de los sistemas de
control del sector público nacional – Del sistema de crédito público.
 Reglamentación de la ley 24.156 por el decreto N° 1344/07·
 Anexo al artículo 2º del Decreto N° 1359/04:
 Estructura organizativa del ex Ministerio de Economía y Producción (Anexo al
artículo 2°).
 Decreto N° 2083/09: Modificación al Decreto N° 357/02 que aprueba el organigrama
4
de la Administración Pública Nacional Centralizada.
 Resolución Secretaría de Hacienda N° 404/09: Reglamentación de los procedimientos
de emisión y colocación de empréstitos, así como los de negociación, contratación y
amortización de préstamos de las entidades del Sector Público Nacional. Intervención
de la Secretaría de Hacienda.
 Ley Complementaria Permanente de Presupuesto N° 11.672 (2005).
 Ley N° 25.917 Régimen Federal de Responsabilidad Fiscal (Capítulo V –
“Endeudamiento” y otros puntos).
 Decreto N° 1731/04: Reglamento del Régimen Federal de Responsabilidad Fiscal.
 Ley N° 26.546: Presupuesto general de gastos y recursos de la Administración
Nacional Ejercicio 2010 (Capítulo VIII) “DE LAS OPERACIONES DE CRÉDITO
PÚBLICO”.
 Ley N° 26.530: Excepciones a la Ley N° 25.917 de Responsabilidad Fiscal para los
Ejercicios 2009 y 2010.
Completan el marco normativo la ley 23.982 de Consolidación de Deudas y normas
complementarias.
La ley 24.156 además de establecer regulaciones sobre las operaciones de crédito público
crea el órgano coordinador de los sistemas de administración financiera del sector público
nacional, se asigna ese rol en forma conjunta a la Secretaría de Hacienda y a la Secretaría de
Finanzas y a la ONCP el rol de órgano rector del sistema de crédito público cuya
competencia se establece en el artículo 69.
La ONCP se crea con la misión de asegurar una eficiente programación, utilización y control
de los medios de financiamiento que se obtengan mediante operaciones de crédito público.
La Resolución MECON 209/2005 establece las funciones de las Direcciones y
Coordinaciones dependientes de la ONCP. En particular crea la Coordinación de Sistemas de
Información y Comunicaciones (CSIyC) con dependencia directa de la ONCP asignándole
funciones de soporte en tecnología de información como el mantenimiento y actualización de
los sistemas, implementación de módulos de información gerencial y estudios de integración
de sistemas, entre otros.
5
3.2 Sistema de Crédito Público
El Artículo 57 (incisos a y b) del Decreto 1344/2007 -que reglamenta la Ley 24.156-,
establece un sistema para la emisión, colocación, negociación y liquidación de los
Instrumentos de Deuda Pública (IDP) que se coloquen en el mercado local. Estos
instrumentos consisten en los títulos valores que el Órgano Coordinador de los Sistemas de
Administración Financiera determine y estarán representados en forma escritural y
registrados en cuentas abiertas en el Registro del Banco Central de la República Argentina o
de la Oficina Nacional de Crédito Público dependiente de la Subsecretaria de Financiamiento
de la Secretaría de Finanzas del Ministerio de Economía y Finanzas Públicas o de la entidad
que a esos efectos designe el citado Órgano Coordinador.
3.2.1 Gerenciamiento de la Deuda
De la información relevada en la ONCP, se desprende que, a los efectos de gerenciar
la deuda pública, el organismo utiliza los siguientes conceptos financieros:
a)
Middle Office u Oficina Central es la encargada de elaborar la
estrategia de endeudamiento, monitorear riesgos y hacer reportes
Realizar la revisión y evaluación periódica de las metodologías de
valoración de instrumentos financieros y de la medición de riesgos; y
a su vez verificar el cumplimiento de las políticas y de los límites
establecidos.
b)
Front Office u Oficina de Operaciones está dedicada a realizar
la concertación de operaciones con el mercado financiero o
implementación de la estrategia y su retroalimentación con el
mercado.
c)
Back Office u Oficina de Registraciones es la que procesa las
operaciones, las registra y prepara estadísticas. Incluye las
actividades contables, financieras y administrativas generadas por la
confirmación escrita de una operación negociada por los agentes del
FO mediante el Registro, Control, Contabilización y Programación
del Servicio de la Deuda.
6
Si bien la estructura de la ONCP no responde explícitamente a este esquema, existen áreas
organizativas que desempeñan estos roles.
3.3 Los sistemas para el Gerenciamiento de la Deuda Pública
3.3.1 Sistema de Gestión y Análisis de la Deuda (SIGADE)
En el marco del “Programa de Reforma de la Administración Financiera Gubernamental” se
instala, a fines de 1993, el SIGADE 4.0 en la Dirección de Administración de la Deuda
Pública (DADP) dependiente de la Oficina Nacional de Crédito Público. Ha contado con la
contribución del Proyecto “Creación del Registro y Fortalecimiento de la Gestión de la
Deuda Pública en la República Argentina”.
Es un sistema creado por la UNCTAD (Conferencia de las Naciones Unidas sobre Comercio
y Desarrollo) que ha tenido continuas mejoras desde 1978 a la fecha. A fines del año 2005
se instala en la DADP la versión 5.3, vigente durante la realización de la presente
auditoría.
SIGADE 5.3 permite el registro y pago de la deuda constituyéndose un sistema del backoffice teniendo como principales usuarios a las Coordinaciones dependientes de la Dirección
de Administración de la Deuda.
La ONCP ha contratado la actualización de SIGADE en su versión 6 que prevé mejoras
funcionales y en entorno Web.
El mantenimiento del sistema es realizado por la oficina de sistemas de la UNCTAD.
3.3.2 Sistema Regularización Deuda Pública (SRDP)
Con desarrollo inicial externo (versión ODP), el sistema es mejorado con la versión SRDP
por la Coordinación de Sistemas de Información y Comunicaciones quien actualmente realiza
su mantenimiento.
Su objetivo es administrar el proceso de cancelación de deuda consolidada de organismos del
Sector Público Nacional mediante bonos de consolidación de deuda (BOCON) y efectivo.
Registra cada etapa del trámite desde la recepción de los formularios de requerimiento de
pagos -FRP- que remiten los organismos, su control y la emisión de los documentos para
instrumentar el pago así como las notificaciones a juzgados y organismos.
7
La efectivización del pago en bonos se realiza a través de un sistema de la Caja de Valores
operado desde una terminal en la ONCP. Para los pagos en efectivo, se genera la
documentación necesaria para el depósito de los fondos.
Las colocaciones efectivizadas de bonos son automáticamente registradas en el sistema
SIGADE como desembolsos.
Es un sistema del back office y la Coordinación Bocon Proveedores es el principal usuario.
3.3.3 SIDIF/Link
Es una interfase para la transmisión de datos entre el SIGADE y el SIDIF -Sistema de
Administración Financiera- que permite -a través de sus módulos Recursos y Gastos- generar
los formularios de ingresos y de gastos para su reflejo en
la contabilidad pública. El
mantenimiento está cargo de la Coordinación de Sistemas de Información y Comunicaciones.
Es un sistema del Back Office.
3.3.4 Aplicaciones en bases de datos de oficina
Como parte del Back Office se encontraron algunas bases de datos como:
 Amparos que permite el registro de decisiones judiciales sobre bonos del Tesoro
Nacional.
 Reporte de Estadísticas que permite obtener las consultas necesarias sobre los datos
trimestrales de la base de datos SIGADE, para el boletín fiscal, proyecciones de
deuda, stock y flujos trimestrales e información que publica la ONCP en la página de
la Secretaría de Finanzas en el portal del MECON.
3.3.5 Utilitarios
Para el Middle y Front Office se disponen de utilitarios específicos como MAE (Mercado
Abierto Electrónico), REUTERS y BLOOMBERG. La información de los mismos se vuelca
a herramientas de oficina (planillas de cálculo, bases de datos) para el manejo interno.
8
3.3.6 Redes y Servidores
La ONCP integra el dominio único del ministerio el cual es administrado por la Coordinación
General del Proyecto Informático (Resolución MECON 656/2004).
El acceso a la red es administrado por esta Coordinación bajo sus propias políticas de
seguridad mientras que la CSIyC administra los usuarios que ingresan a los sistemas de la
deuda bajo su responsabilidad y los servidores de las aplicaciones y las bases de datos.
3.4 Recursos Asignados a TI
3.4.1 Recursos Humanos
Cantidad y Función
1 Coordinadora de Sistemas de Información y Comunicaciones
4 Analistas Informáticos
1 Técnico Programador
TOTAL PERSONAL DE TI:
6 PERSONAS
3.4.2 Presupuesto ONCP
Créditos y Gastos - ONCP (2007-2009)
Fuente de
Ejercicio Programa Actividad
Financiamiento
Crédito
Crédito Vigente
Devengado
2007
22
3
11
7.522.062,00
4.835.764,15
2008
22
3
11
8.363.746,00
6.433.661,15
2009
22
3
11
8.702.516,00
8.429.927,76
Donde:
Programa 22: "Finanzas, Bancos y Seguros".
Actividad 3: "Administración del Financiamiento".
Fuente de Financiamiento 11: Tesoro Nacional.
9
3.4.3 Contratos Informáticos con Terceros
Proveedor
Reuters
MAE
Bloomberg
UNCTAD
Período
Descripción del Servicio
2009
Provisión de noticias y precios de commodities
y mercados financieros en tiempo real (7
terminales).
$377.470,68
2009-2011
Servicios de mensajes, monitoreo de pantallas
con el tipo de cambio y seguimiento de las
operaciones concertadas.
$26.400,00
2009
Provisión de noticias y precios de commodities
y mercados financieros en tiempo real (8
terminales).
12/2008-12/2010 Proyecto “Fortalecimiento de la Capacidad de
Monto
U$S159.266,2
5+
$12.433,39 de
Imp
U$S373.025
Gestión de la Deuda Pública Argentina”.
SIGADE
Oracle
2007-2010
Paquete de licencias, de producción y
desarrollo y licencia anual de mantenimiento y
actualización.
$38.302,12
10
4. COMENTARIOS Y OBSERVACIONES
Por cada objetivo de control se presentan las observaciones o hallazgos correspondientes. Los
comentarios se agruparon según se refieran al Ambiente de Control (A) o a los Sistemas de
la Deuda Pública Nacional (B).
A) AMBIENTE DE CONTROL
4.1 Objetivo de Control: Plan de Tecnología de Información
Establecer un proceso de planeamiento estratégico en TI de largo plazo para administrar y
dirigir todos los recursos articulado con la estrategia del organismo y sus prioridades. La
ONCP y sus Coordinaciones son responsables de garantizar que se materialice el valor
óptimo de los proyectos y servicios.
El plan de TI deberá referenciar y articularse con otros planes tales como el plan de calidad y
el plan de manejo de riesgos de la información.
4.1.1 Observación: Proceso de Planeación
El documento “Plan estratégico de sistemas” -Vigente para el periodo 2010/2011- describe
los cinco objetivos estratégicos sobre la infraestructura, los recursos humanos, el desarrollo
de software, la seguridad y la intranet de la ONCP que se propone alcanzar en el 2011.
Surgen los siguientes comentarios:

El documento carece de aprobación formal.

No se detectó un proceso formal de planificación para la elaboración del
mencionado documento que establezca la intervención y cooperación de usuarios
relevantes, como los responsables de la Oficina Nacional de Crédito Público

Las acciones señaladas en el documento no están vinculadas al presupuesto de la
ONCP de manera de asegurar la provisión de los recursos económicos y humanos
necesarios para llevarlas a cabo.
11
No resulta posible garantizar a) que las acciones señaladas constituyan las mejores opciones
b) una mejor comprensión de las oportunidades y limitaciones de la TI y c) el nivel de
inversión requerido.
4.2 Objetivo de Control: Definición de la Arquitectura de la Información
La Coordinación de Sistemas de Información y Comunicaciones debe crear y actualizar
regularmente el modelo de arquitectura de la información que utiliza la ONCP y definir los
sistemas apropiados para optimizar su uso. Esto incluye el desarrollo de un diccionario
corporativo de datos que contenga reglas de sintaxis, esquema de clasificación y niveles de
seguridad.
4.2.1 Observación: Modelo de Datos
Durante nuestro relevamiento no se detectaron actividades destinadas a crear el modelo de
arquitectura de la información del sistema de deuda pública de manera de asegurar
consistencia entre tablas físicas y definiciones lógicas y un apropiado esquema de
clasificación de la información –en cuanto a la propiedad de datos, los niveles de seguridad y
los controles de protección-.
La falta de este proceso de TI limita la capacidad para proporcionar información confiable y
segura y mejorar la efectividad del control de la información compartida por las aplicaciones.
4.3 Objetivo de Control: Participación Pro-activa de Auditoria
El área de TI deberá obtener una opinión independiente, buscando que una auditoría evalúe
cada solución de tecnología de información desarrollada, antes de su instalación.
4.3.1 Observación: Auditoria Interna (UAI)
No se encontraron actividades sistemáticas de auditoría informática dentro de la ONCP.
Existen informes no específicos en TI de la Unidad de Auditoría Interna (UAI) del Ministerio
de Economía y de SIGEN que han señalado colateralmente algunas debilidades de control en
ésta materia
No se tuvo conocimiento de participación formal de la UAI u otro en los proyectos de
sistemas y cambios de tecnología realizados por la ONCP.
12
La situación descripta puede contribuir a reducir la capacidad del control interno sobre las
actividades TI en materia de deuda pública y en particular, el cumplimiento de políticas y
estándares, la seguridad de la información y los controles establecidos en los acuerdos de
provisión de servicios.
4.4 Objetivo de Control: Comité de Dirección
La Oficina Nacional de Deuda Pública deberá designar un Comité de Planeamiento o
Dirección para vigilar los proyectos de TI, con representantes propios, y Coordinadores de la
ONCP y de la CSIyC, para:
a.) determinar las prioridades de los programas de inversión de TI alineadas con la
estrategia y prioridades del organismo.
b.) realizar el seguimiento de los proyectos y resolver los conflictos de recursos.
c.) monitorear los niveles y mejoras de la calidad de servicio.
Deberá reunirse periódicamente y reportar a la autoridad de la ONCP.
4.4.1 Observación: Incorporación de proyectos
Se relevó la existencia de una comunicación informal entre las Coordinaciones operativas de
la ONCP y la CSIyC lo que contribuye a acercar necesidades y servicio de TI. No está
formalizada la práctica de control de un Comité que, en base a la estrategia en materia de
deuda pública, gestione las necesidades en TI (operativas y de gestión) del sistema de crédito
público con los recursos que se asignen y, vigile los proyectos aprobados.
4.5 Objetivos de Control: Estructura organizacional
Establecer una estructura organizacional de TI interna y externa que refleje las necesidades
del Organismo. Debiéndose implantar un proceso de revisión periódica para ajustar los
requerimientos de personal y las estrategias internas a fin
de satisfacer los objetivos
esperados.
4.5.1 Observación: Separación de Funciones
Las funciones de la CSIyC están formalmente definidas por la Resolución Mecon 209/2005.
Se detectaron casos de falta de una adecuada separación entre quienes desarrollan, operan y
administran las instalaciones y sistemas.
13
4.5.2 Observación: Funciones no previstas para la CSIyC
La Res. Mecon 209/2005 asigna a la CSIyC la función de supervisión de los sistemas de
computación. Se relevó que la sala de servidores que alojan a las bases de datos y
aplicaciones se encuentra a cargo de la Coordinación realizando funciones operativas como
ser el respaldo y restauración de cintas y otras variables de manejo ambiental.
Esta situación provoca que, además de excederse en sus funciones, no existe la debida
separación entre quienes supervisan y operan.
Otro conflicto relevado se refiere a los nuevos proyectos de sistemas ya que la Resolución
asigna la función de diseño pero no la de desarrollo. En la práctica nuevas aplicaciones como
SRDP si bien se iniciaron con soporte tercerizado terminaron siendo programados por la
CSIyC.
4.6 Objetivo de Control: Metodología del Ciclo de Vida de Desarrollo de los Sistemas
La ONCP deberá definir e implementar -en el marco de la normativa TI de nivel superior
existente- estándares de sistemas de información y adoptar una metodología del ciclo de vida
que rija el proceso de desarrollo, adquisición,
implementación y mantenimiento. La
metodología del ciclo de vida elegido deberá ser la apropiada para los sistemas a ser
desarrollados, adquiridos, implementados y mantenidos.
4.6.1 Observación: Metodología de desarrollo
No se detectaron estándares de TI formalmente aprobados o una metodología de ciclo de vida
para el desarrollo de los sistemas propios y/o contratados a terceros en las etapas de,
generación del proyecto, relevamiento y análisis, diseño detallado,
programación y
construcción, pruebas, puesta en producción o implementación y producción.
Los requerimientos de los usuarios son realizados vía correo electrónico o en acuerdos no
formales. Las instancias de desarrollo, testeo y puesta en producción no disponen de una
clara separación de funciones.
Los sistemas y aplicativos en producción carecen de un registro formal de incidentes y de
reglas que permitan evaluar los problemas y los tiempos de respuesta.
14
No se encontraron herramientas para la administración de los proyectos, del ambiente de
desarrollo, el versionado y de la documentación de las aplicaciones propias lo que reduce la
capacidad de control en la producción del software.
El plan de capacitación 2010 de la CSIyC prevé incorporar algunos conocimientos en estos
aspectos pero no se encuentra articulado a resultados establecidos en el plan estratégico o a
un programa determinado.
4.7 Objetivo de Control: Manejo de la Inversión en TI
La ONCP deberá implementar un proceso para asegurar que el presupuesto operativo anual
para los servicios de TI sea establecido y aprobado en línea con los planes a largo y corto
plazo de la organización. Debe existir un control gerencial que garantice a) la fijación de
prioridades a la asignación de recursos de TI para operaciones, proyectos y mantenimiento y
b) que la prestación de servicios de TI se justifique en cuanto a sus costos, beneficios
obtenidos y retorno de la inversión.
4.7.1 Observación: Presupuesto
El presupuesto de la ONCP –Jurisdicción 50 “Ministerio de Economía y Finanzas” Programa
22 “Finanzas, Bancos y Seguros” Actividad 3 “Administración del Financiamiento” y
parcialmente la Actividad 1 “Conducción de las Finanzas”- no dispone de apertura
programática identificable presupuestariamente por lo que los gastos TI del sistema de
Crédito Público tampoco pueden ser discriminados por esta vía.
A su vez los gastos que demanda el SIGADE se imputan a la Jurisdicción 90 “Servicio de la
Deuda Pública” Partida 728 “Comisiones y Otros gastos en moneda extranjera a largo plazo”.
No se obtuvo evidencia de una metodología implementada para obtener los gastos de TI que
insume el sistema de crédito público y su desglose por tipo de gasto, por proyecto, por
sistema en operación u otra apertura.
En materia de previsión, no se disponía de presupuestos de TI para el mediano y largo plazo
por lo que en este contexto la incorporación de nuevas tecnologías, el desarrollo proyectos u
otras reformas no está debidamente planificadas..
Lo señalado anteriormente no contribuye a disponer de mayor control sobre los gastos TI.
15
4.7.2 Observación: Justificación de costos y beneficios
No se tuvo conocimiento de estudios técnicos y económicos previos a la incorporación de
nuevas tecnologías que la justifiquen ni de la existencia de procedimientos que analicen los
costos de los servicios de TI.
No se conocen en forma cuantitativa los resultados de la inversión en TI en relación a los
servicios de TI brindados.
Es decir, no resulta posible medir la eficacia y eficiencia de los gastos y las inversiones.
4.8 Objetivo de Control: Responsabilidad en cuanto a las Políticas de TI
La CSIyC deberá asumir la responsabilidad directa de las Políticas de TI del sistema de
Crédito Público en cuanto a la formulación del ambiente de control, su elaboración y
mantenimiento, su implementación, comunicación y verificación de cumplimiento.
4.8.1 Políticas TI
No existen políticas formalmente aprobadas en temas como calidad de software - en
particular la documentación de sistemas y controles internos -, la adquisición de
infraestructura tecnológica, la capacitación y propiedad intelectual.
En relación a la política de seguridad la CSIyC ha elaborado un documento que describe las
pautas adoptadas en diferentes aspectos (clasificación y control de activos, seguridad del
personal, seguridad física y ambiental, administración de la continuidad y organización de la
seguridad, entre otros).
1) El mencionado documento no se encontraba formalmente aprobado, publicado y
comunicado a los involucrados.
2) No establece pautas y restricciones en el acceso a las diferentes operaciones de deuda
dentro de las aplicaciones de Crédito Público.
Lo señalado precedentemente no contribuye a mejorar la inserción de políticas y crear así un
ambiente de control TI más sólido.
4.9 Objetivo de Control: Administrar la Calidad
Establecer y mantener un sistema de administración de la calidad de los servicios de TI
prestados por la CSIyC que, alineado con los objetivos del Organismo, asegure la mejora
continua en términos medibles.
16
4.9.1 Mejora continua
No existe un plan de calidad para el desarrollo del software y servicios que asegure la mejora
continua en los procesos de producción.
17
B) SISTEMAS DE LA DEUDA PUBLICA NACIONAL
4.10 Objetivo de Control: Administración de Datos
El área de TI deberá establecer procedimientos de control para la carga, el procesamiento, la
salida y el almacenamiento de datos de las transacciones, que al menos incluyan,
a) la preparación de datos de entrada a ser verificados por departamentos
b) el manejo de errores (detección, reporte, corrección y reenvío de datos)
c) la validación de datos sobre transacciones para verificar exactitud, suficiencia
consistencia y confidencialidad
d) la validación y edición de datos preferentemente donde se originan
e) la integridad del procesamiento, asegurando una adecuada separación de funciones
durante el mismo
f) el manejo de errores en el procesamiento de datos (identificación de transacciones
erróneas)
g) el balanceo y conciliación de los datos de salida con los totales de control relevantes
h) las pistas de auditoría para facilitar el seguimiento del procesamiento y la corrección
de datos erróneos
i) el almacenamiento de los datos que considere los requerimientos de recuperación, la
economía y las políticas de seguridad.
4.10.1 Observación: Manual de procedimientos
Existe personal asignado a la redacción de un manual de procedimientos en el ámbito del
sistema de deuda pública. Al momento de nuestro relevamiento, dicha tarea solo incluía las
tareas de back-office y no contemplaba los procedimientos de carga de datos, publicación y
archivo de la información a los sistemas informáticos de deuda (SIGADE, SRDP y SIDIF
LINK).
La incorporación de la lógica de los procedimientos relevados al sistema SIGADE se
encuentra limitado por su carácter propietario ya que no brinda la posibilidad de introducir
reglas propias.
18
4.10.2 Observación: Documentación técnica
En los sistemas de deuda relevados se encontraron manuales de usuario y descripciones de
las tablas de la base. La carencia de manuales técnicos que describan los procesos y las
relaciones entre los objetos constituye una limitación para la actualización de los programas
fuentes de las aplicaciones con desarrollo propio.
4.10.3 Observación: Acceso a las aplicaciones
 SIGADE y SIDIF LINK
Roles. Los usuarios de estas aplicaciones operan con un único rol que permite acceder a
todas las opciones del sistema por lo que el ingreso o modificación de datos sensibles en el
registro de la deuda no requiere autorización adicional para realizar tales tareas.
Se encontraron 3 cuentas genéricas de la CSIyC que disponían del rol Administrador - con
los máximos derechos- del sistema. Las buenas prácticas recomiendan su no utilización, ya
que éstas no permiten identificar a quienes las utilizan, agravándose ésta circunstancia por
que el carácter de las mismas le da acceso irrestricto a todo el sistema.
 SRDP
Cuentas. La aplicación SRDP muestra una situación análoga. Dispone, a nivel base de datos,
de cuatro cuentas de administrador, uno de ellas genérica y a nivel aplicativo con 3 cuentas
de administrador, una de ellas genérico.
El cuadro expuesto muestra debilidades en el manejo de las cuentas de administrador que
afecta la confiabilidad de los datos del sistema.
4.10.4 Observación: Identificación de los registros de la deuda pública
Producida la autorización de la deuda, las áreas de la Dirección de Administración de la
Deuda Pública realizan procesos de control interno previo a registrar la deuda en el sistema
SIGADE.
Para su ingreso se le asigna un número de la operación de deuda dentro de un rango
específico para cada tipo de título (Préstamos, Títulos, Bonos de Corto Plazo y de
Regularización), y de acuerdo a un procedimiento informalmente establecido.
En nuestra revisión se encontraron en el uso de los números:
1) pérdida de correlatividad dentro del rango aún en operaciones en situación de
“activo”,
19
2) asignación de números fuera de los rangos preestablecidos y,
3) datos alfanuméricos e incluso registros cargados aparentemente con fines de pruebas.
Es decir, al no gestionar automáticamente el SIGADE la asignación de los números de deuda
se generan los problemas señalados y en la medida que existen registros que no corresponden
a operaciones reales, se afecta la confiabilidad e integridad de la base de datos de la deuda.
4.10.5 Observación: Respaldo de las operaciones
Los datos de la documentación que respalda cada operación de deuda (numero de contrato,
descripción, número de decreto o número de resolución) no son datos obligatorios para el
ingreso de cada operación por lo que en ocasiones no se dispone de toda la información de
las transacciones.
En ese modo el sistema no provee datos esenciales para la trazabilidad de las operaciones y
exige una complementación con búsquedas sobre los archivos de la documentación que no se
encuentran digitalizados.
4.10.6 Observación: Archivos de la documentación
Las carpetas con la documentación que respalda cada operación contienen la ficha de la
operación y la tabla de amortizaciones producidas por SIGADE y se almacenan en
archivadores.
El registro de cada operación de deuda en el sistema, no posee la información
correspondiente a la ubicación de las mencionadas carpetas que faciliten su rápida
localización en los archivadores. La localización y consulta de la documentación resulta poco
segura e ineficiente.
No se tuvo conocimiento de la existencia de un proyecto de digitalización de la
documentación de la deuda pública dado su volumen y su grado de dispersión (archivadores
en la ONCP, en dependencias del Archivo General de la Administración ubicada en el Puerto
y en otra dependencia del Mecon en la calle Belgrano). Las órdenes de pago relativas a las
operaciones de la ONCP están digitalizadas como parte de la información financiera
sometida a procesamiento de imágenes mediante el sistema de Gestión Documental a cargo
de la Contaduría General de la Nación.
20
4.10.7 Observación: Control de las Pistas de Auditoría
SIGADE no disponía de una opción que permita registrar un historial de los cambios
realizados por los usuarios. No obstante, la CSIyC ha desarrollado una aplicación que registra
las operaciones mencionadas.
No existe un procedimiento formal que asigne responsabilidades para el control periódico de
esta información.
4.10.8 Observación: Generación de Reportes
1) Anexos. Se evaluó el procedimiento para la generación hasta su publicación en internet de
los Anexos de la deuda A -Inventario de los Instrumentos- y L –Atrasos Acumulados- que
se incorporan en la ley de presupuesto nacional.
Por correo electrónico el área –dependiente de la Unidad de Registro de la Deuda Públicaencargada de producir los anexos solicita a la CSIyC, a una fecha de corte, ejecutar
trimestralmente, un procedimiento (basado en lenguaje de base de datos) acordado
informalmente. Como resultado el área dispone el acceso a la aplicación SIGADE apuntando
a una copia de la base a esa fecha y a una base de datos de oficina que contienen tablas –
definidas en su oportunidad por el área usuario- con todos los datos que requiere el sector
para producir la información de los anexos.
La información es sometida a conciliación y como tal, puede derivar en ajustes con
intervención de las Coordinaciones de la Dirección de Administración de la Deuda Pública.
De acuerdo a lo relevado la información de los anexos A y L de la deuda no resulta de un
proceso automático de SIGADE lo que provee facilidades para intervenir en los datos, que
luego se presentarán.
Se corre el riesgo, dado el ambiente de informalidad en que se desenvuelve esta operatoria,
de que los cambios necesarios detectados al momento de la confección de los anexos no se
efectivicen en la base de producción de SIGADE y/o de SRDP por error u omisión y por lo
tanto la información de los anexos no sea su fiel reflejo.
Se suma también el riesgo de que el registro de deuda a modificar haya participado en una
transacción -de pago- lo que podría requerir un proceso de reversa afectando el resultado
contable y presupuestario.
21
2) Reportes del Middle Office. Se relevó que informes técnicos de la deuda pública nacional
como el Programa Financiero, Proyecciones del Servicio de la Deuda e Informes Financieros
se realizan esencialmente con el auxilio de utilitarios de oficina (planilla electrónica y/o base
de datos).
Dado el volumen de datos y la necesidad de sistematizar la información el personal del área
se encontraba programando en lenguaje Visual Basic.
Esta situación es atribuible en parte, a la carencia de sistemas disponibles a esos usuarios que
permitan obtener información agregada directamente de sus fuentes - base de SIGADE y
otras- y/o en tiempo real.
El principal riesgo es que los datos que se presenten en los informes no se ajusten a los
registros de la deuda existentes en la base.
4.10.9 Observación: Proceso de Reversión
Existen algunas situaciones que requieren realizar quitas sobre órdenes de pago como en el
valor nominal de una colocación de bonos. Se producen generalmente como resultado de
decisiones externas como sentencias judiciales o la devolución de bonos de la Caja de
Valores e implica modificar los valores de los montos o el valor nominal de un título. Esta
operación es manual ya que SIGADE no dispone de rutinas para realizarla. En un caso lo
ejecuta el usuario sobre el registro y en el otro por un procedimiento -no formal- lo debe
solicitar por memo a la CSIyC quién ejecutará la modificación. En el caso de los Bonos de
Consolidación de Deuda, el sistema SRDP permite registrar la baja pero el procedimiento
para realizar el correspondiente proceso de reversión en el SIGADE es manual por lo que
para estos casos los sistemas no están integrados.
Ello lleva a modificar datos sustanciales del registro de la deuda SIGADE sin condiciones o
controles automáticos para su aceptación por lo que se podrían producir errores de no fácil
detección.
4.10.10 Observación: Vínculo SIGADE – SIDIF
Se hace a través de la aplicación Sidif Link la cual consta de dos módulos Gastos y Recursos
-cada uno con acceso independiente-, que permite gestionar los gastos de la deuda
(formularios C55 -órdenes de pago- y las modificatorias de las OP, C41 y C42) y los recursos
(formularios C10) e intercambiar información con SIDIF.
22
Hasta la aprobación de cada transacción por SIDIF (iniciada con un pedido desde SIDIF link)
se deben completar hasta cinco instancias o estados y cada una requiere un seguimiento y
confirmación del usuario para su pase al siguiente estado.
Este mecanismo de semi-integración entre ambos sistemas produce una carga onerosa al
usuario y dificultad en el cierre de cifras de los movimientos de la deuda dada la
transitoriedad de las operaciones iniciadas y aun no confirmadas.
Se tuvo conocimiento de la existencia de conversaciones entre técnicos de TI de la ONCP y
de SIDIF para desarrollar una nueva interfase entre SIGADE con la última versión e-sidif
pero no existía un acuerdo formal de las autoridades para su desarrollo e implementación que
fijara compromisos.
4.10.11 Observación: Conciliación SIGADE – SIDIF – SRDP
Existe un procedimiento no formal de conciliación trimestral de los registros de deuda en
SIDIF y en SIGADE para un período dado. Intervienen las Coordinaciones de Títulos,
BOCON Proveedores y Operaciones Contables.
El proceso continúa en el caso de los BOCONES si hubiera diferencias entre los valores
registrados en SIGADE -y ya conciliados con SIDIF- y los existentes en SRDP.
Estos procesos son necesarios dados los problemas en la integración de los sistemas
señalados precedentemente que no son de carácter exclusivamente sistémico sino de
esquemas diferentes de registración como lo señalan informes de la UAI y que generaron
diferencias al cierre de operaciones del ejercicio 2007.
4.10.12 Observación: Cálculo de Intereses
Se detectaron que gran parte de los cálculos de intereses de la deuda –entre otros de la orden
de pago- que deben ingresarse a SIGADE son realizados por los usuarios usando
herramientas externas al sistema ya que no brinda esa facilidad.
Los datos de las diferentes tasas de interés que se emplean se bajan de los sistemas que
proveen esos datos a planilla electrónica, luego a una base de datos de oficina para luego ser
incorporadas a las tablas de SIDIF o SRDP.
El riesgo de la falta de automaticidad del procedimiento, es que los datos que ingresan a los
sistemas no sean los correctos.
23
4.11 Objetivo de Control: Seguridad Física y Lógica
Se deberá proteger los equipos de procesamiento de datos y al personal que lo opera, con el
adecuado diseño del centro que los aloja, establecer las medidas de seguridad física, restringir
el acceso físico, establecer medidas de protección contra factores ambientales así como
administrar
las instalaciones físicas en particular el equipo de comunicaciones y de
suministro de energía. Todo ello en concordancia con normas de seguridad generalmente
aceptadas. Análogamente se deberán adoptar medidas de seguridad lógica en los Sistemas
Operativos (SO).
4.11.1 Observación: Debilidades lógicas y físicas
1) Servidor de aplicaciones. En el Sistema Operativo (SO) del mismo:
 no se encontraba habilitado el servicio de auditorías
 no se tuvo evidencia de la existencia del disco de emergencia que permita la
restauración.
 se encontraba activa la cuenta de administrador que por defecto entrega el fabricante.
2) Servidor de base de datos. La capacidad disponible del disco principal era del 6% cercano
al límite crítico. Se encontraba habilitada la administración remota aunque limitado al ámbito
de la ONCP.
3) Servidor de aplicaciones. Presentaba obsolescencia en el hardware lo que trae aparejado la
imposibilidad a migrar el sistema operativo a versiones actualizadas ya que el instalado se
encuentra discontinuado y sin actualizaciones.
4) Política de contraseñas en SO. En el servidor de la base de datos la longitud mínima era 0
por lo que es posible definir cuentas de usuarios sin contraseñas.
5) Los backups de datos. Se hallaron almacenados en la misma sala de servidores. No
existían copia fuera del edificio ni registros de los mismos. Los DBA cumplían la función de
generarlos.
6) No se encontró un plan de contingencias completo y aprobado.
7) La sala que aloja los servidores no se encontraba debidamente acondicionada pues:
 carecía de detectores de humo, temperatura, humedad y alarma de seguridad,
24
 la conexión eléctrica no disponía de una alimentación alternativa a la común del
Ministerio y sin una llave de corte específica.
 se detectó la existencia de elementos que potencian el fuego como cartones, piso y
puertas de madera, cortinas y libros.
5- ANÁLISIS DE LA VISTA
Por nota AGN N° 45/11-A02 la AGN remite el proyecto de informe a la ONCP que lo recibe
con fecha 5 de abril de 2011.
Vencido el plazo para el descargo, la AGN por nota 113/11-A02 del 15 de abril de 2011
otorga un nuevo plazo de 15 días. El 19 de mayo de 2011 la ONCP envía el descargo que
AGN recepciona el 20 de mayo de 2011.
En el Anexo al presente informe “DESCARGO DE LA OFICINA NACIONAL DE
CREDITO PUBLICO Y COMENTARIOS RELATIVOS DE AGN”, se presentan tanto la
respuesta del organismo como los comentarios de la AGN.
Como resultado y en base a las nuevas evidencias presentadas se mantienen todas las
observaciones a excepción de la observación 4.5.1 que se modificó.
25
6. RECOMENDACIONES
A continuación se sugieren aquellas acciones que permiten mejorar los controles de TI, para
cada observación realizada.
A) AMBIENTE DE CONTROL
6.1 Objetivo de Control: Plan de Tecnología de Información
6.1.1 Proceso de Planeación
El documento “Plan estratégico de sistemas” -Vigente para el periodo 2010/2011- debería ser
aprobado formalmente y vincularlo al presupuesto de la ONCP para asegurar la provisión de
los recursos económicos y humanos necesarios. Definir también un proceso formal de
planificación.
6.2 Objetivo de Control: Definición de la Arquitectura de la Información
6.2.1 Modelo de Datos
Definir e implantar procedimientos para garantizar la integridad y consistencia de todos los
datos almacenados en distintas bases.
Asignar responsabilidades sobre la integridad y seguridad de los datos.
6.3 Objetivo de Control: Participación Pro-activa de Auditoria
6.3.1 Auditoria Interna (UAI)
Requerir la participación formal de la UAI en los proyectos de sistemas y cambios de
tecnología a realizar.
6.4 Objetivo de Control: Comité de Dirección
6.4.1 Incorporación de proyectos
Evaluar e implementar la práctica de control de un Comité que, en base a la estrategia en
materia de deuda pública, gestione las necesidades TI (operativas y de gestión) del sistema de
crédito público con los recursos que se asignen y, vigile los proyectos aprobados.
26
Evaluar la conveniencia que este Comité, integrado por directivos de alto nivel, dependa del
órgano coordinador de los sistemas de Administración Financiera y así cubrir todos los
aspectos de la deuda pública en materia de TI.
6.5 Objetivo de Control: Estructura organizacional
6.5.1 Roles y Responsabilidades
Definir los roles y responsabilidades de los integrantes de la CSIyC.
6.5.2 Funciones no previstas para la CSIyC
Realizar una adecuada separación de funciones. Además de tercerizar tareas para las que no
disponga recursos, gestionar la provisión de servicios de desarrollo y alojamiento del
hardware con las áreas del Ministerio de Economía (Unidad Informática y Proyecto
Informático).
6.6 Objetivo de Control: Metodología del Ciclo de Vida de Desarrollo de los Sistemas
6.6.1 Metodología de desarrollo
Aprobar formalmente los estándares TI y una metodología de ciclo de vida para el desarrollo
de los sistemas propios y aquellos contratados a terceros que establezca, entre otros:
 una clara separación de funciones a lo largo del ciclo de vida
 la formalización de los requerimientos de los usuarios,

crear un registro formal de incidentes los sistemas y aplicativos en producción y de
reglas que permitan medir los problemas y los tiempos de respuesta.
 La incorporación de herramientas en modo integrado para la administración de los
proyectos, el ambiente de desarrollo, versionado y la documentación de las
aplicaciones propias.
6.7 Objetivo de Control: Manejo de la Inversión en TI
6.7.1 Presupuesto
Definir e implementar una metodología para obtener los gastos de TI que el sistema de
crédito público y su desglose por tipo de gasto, por proyecto, por sistema en operación u otra
apertura.
27
Disponer de presupuestos TI para el mediano y largo plazo.
6.7.2 Justificación de costos y beneficios
Realizar estudios técnicos económicos previos a la incorporación de nuevas tecnologías y
procedimientos que analicen los costos de los servicios de TI.
Cuantificar los resultados de la inversión en TI en relación a los servicios TI brindados.
6.8 Objetivo de Control: Responsabilidad en cuanto a las Políticas de TI
6.8.1 Políticas TI
Definir y aprobar formalmente políticas sobre calidad de software - en particular la
documentación de sistemas y controles internos -, adquisición de infraestructura tecnológica,
capacitación y propiedad intelectual.
Aprobar formalmente la política de seguridad, publicarla y comunicarla a los involucrados.
Establecer pautas y restricciones en el acceso a las diferentes operaciones de deuda dentro de
las aplicaciones de Crédito Público.
6.9 Objetivo de Control: Administrar la Calidad
6.9.1 Mejora continua
Definir y aprobar un plan de calidad para el desarrollo del software y servicios que asegure
la mejora continua en los procesos en producción.
B) SISTEMAS DE LA DEUDA PUBLICA NACIONAL
6.10 Objetivo de Control: Administración de Datos
6.10.1 Manual de procedimientos
Redactar un manual de procedimientos en el ámbito del sistema de deuda pública que incluya
los procedimientos de carga de datos, publicación y archivo de la información a los sistemas
informáticos de deuda (SIGADE, SRDP y SIDIF LINK).
6.10.2 Documentación técnica
Redactar los manuales técnicos que describan los procesos y las relaciones entre los objetos.
28
6.10.3 Acceso a las aplicaciones
SIGADE y SIDIF LINK
Roles. Definir roles específicos a los usuarios operativos de estas aplicaciones requiriendo
autorización adicional al ingreso al sistema. Definir a una única cuenta con el rol
Administrador asignando a una sola persona con los resguardos de las claves ante un eventual
reemplazo. Eliminar las cuentas genéricas.
SRDP
Cuentas. Definir a nivel base de datos, de una única cuenta de Administrador y eliminar las
cuentas genéricas.
6.10.4 Identificación de los registros de la deuda pública
Implementar la asignación automática de los números de operación de deuda.
6.10.5 Respaldo de las operaciones
Implementar la incorporación obligatoria a los sistemas de registro de la deuda pública
nacional de los datos que respaldan cada operación.
Evaluar el rediseño de del almacenamiento de los datos y documentación de la deuda pública
nacional que permita a los usuarios de la ONCP el acceso autorizado a cada transacción y su
documentación respaldatoria.
6.10.6 Archivos de la documentación
Determinar y adoptar el sistema más conveniente de gestión documental con procesamiento
de imágenes integrado al sistema de registro de deuda así como su integración al registro de
la documentación financiera del Archivo General de la Administración.
6.10.7 Control de las pistas de auditoría
Diseñar, aprobar e implementar un procedimiento para la evaluación periódica de las pistas
de auditoría.
6.10.8 Generación de Reportes
1) Anexos. Individualizar las causas de este tipo de modificaciones y elaborar
procedimientos para que se procesen ni bien se producen en ámbito de SIGADE y SRDP.
2) Reportes del Middle Office. Evaluar la adopción por su conveniencia técnica económica de las herramientas -propietarias y/o de código abierto- llamadas de Business
Intelligence que permiten a los usuarios el manejo de sus reportes desde las bases de
29
producción asegurando así una adecuada separación de funciones entre quienes deben
producir información y quienes la deben registrar.
6.10.9 Proceso de Reversión
Diseñar, aprobar e implementar el procedimiento para tratar los diferentes casos de reversión,
separando adecuadamente las funciones y permitiendo la identificación de esos casos para su
posterior evaluación.
6.10.10 Vínculo SIGADE – SIDIF
Dar intervención al órgano coordinador entre la Secretaría de Hacienda y la Secretaría de
Finanzas. Elaborar un plan para la integración en tiempo real entre SIGADE y SIDIF y
acordar un cronograma de los trabajos a ejecutar.
6.10.11 Conciliación SIGADE – SIDIF – SRDP
Definir los procesos, procedimientos y plataforma de integración e implementar en forma que
los datos ingresen una sola vez y la comunicación sea para aprobar o rechazar la transacción,
preferentemente en forma instantánea.
6.10.12 Cálculo de intereses
Incorporar en el sistema una funcionalidad que realice el cálculo a partir de parámetros
básicos y el resultado lo aloje en el campo correspondiente.
6.11 Objetivo de Control: Seguridad Física y Lógica
6.11.1 Debilidades lógicas y físicas
Evaluar la factibilidad y conveniencia de alojar los servidores en el Centro de datos de
Economía si se asegura un adecuado nivel de servicio.
Definir y aprobar un Plan de Contingencia que incluya la política de backups y el
procesamiento alternativo. Proceder a la actualización del hardware y software de los
servidores. Acondicionar la Sala de Servidores con los elementos y medidas de seguridad
necesarias para proteger equipos y datos.
30
7. CONCLUSIONES
El relevamiento realizado, encontró a la ONCP con una organización de TI específica para
administrar los sistemas de la deuda pública nacional (DPN) como el SIGADE (software
propietario) y las aplicaciones complementarias SRDP y SIDIF-LINK (estos últimos con
desarrollo propio). Todos ellos dedicados a registrar las operaciones de la DPN.
El sistema SIGADE registra cada operación de deuda y sus pagos permitiendo la conciliación
de ésta con las instituciones financieras, facilidad que no se disponía antes de su instalación.
El ambiente de control TI presentaba debilidades en cuanto a la carencia de:

Un proceso organizado de planificación TI a mediano y largo plazo vinculado a
un presupuesto.

Una metodología de ciclo de vida en el desarrollo de los sistemas.

Documentación de diseño y desarrollo

Una organización adecuada para la incorporación y control de los proyectos
y para desempeñar las tareas de operación y desarrollo de TI.
A lo largo del ciclo de vida de las operaciones de deuda, en la generación, del archivo, la
integración y la explotación de los datos, se encontraron debilidades por funcionalidades no
automatizadas en el SIGADE y sistemas satélites como ser: la captura de datos en su origen
o al momento que se produce la transacción u operación, la integración en tiempo real entre
los sistemas y aplicaciones, controles y cálculos externos y la generación de informes
obtenidos directamente de los datos de producción. En el mismo sentido el SIGADE y el
sistema de Administración Financiera SIDIF se encontraban en estado de integración parcial,
dado el número de intervenciones manuales que requería la aprobación de cada transacción
de deuda, lo cual podría afectar la integridad de la base de datos. Se relevaron restricciones
para incorporar las mejoras locales al SIGADE -en tiempo razonable- por el carácter
propietario de la UNCTAD (Conferencia de Sistemas de la Conferencia de las Naciones
Unidas sobre Comercio y
Desarrollo), el reducido personal de la Coordinación de Sistemas
(CSIyC) y las limitaciones en sus funciones.
En lo que respecta al Middle Office (ver 3.2.1) se encontraban en desarrollo aplicaciones que
automaticen y minimicen errores involuntarios, ya que hasta ahora eran utilizadas
herramientas de ofimática convencionales.
31
En materia de los medios de procesamiento (hardware) se recomienda hacer una revisión de
su ubicación hacia lugares más adecuados que el actual, siempre y cuando se asegure
formalmente un apropiado nivel de servicio y resguardos de contingencia y seguridad.
Asimismo se encuentra en construcción un nuevo centro de cómputos el cual será objeto de
una futura auditoría. Para el desarrollo de aplicaciones se estima conveniente lograr mayor
soporte de la Unidad Informática tal como lo establecen las funciones de la CSIyC y la
incorporación de herramientas que permitan a los usuarios, generar los informes financieros
de la deuda y tableros de control sin el acceso directo a los datos de la base.
Por la dimensión de los problemas presentados se considera necesaria la participación del
órgano coordinador de los sistemas de administración financiera para establecer el horizonte
de TI de la deuda pública al mediano y largo plazo mediante un plan estratégico formalizado.
8. LUGAR Y FECHA
BUENOS AIRES, Marzo de 2011.
9. FIRMA
32
ANEXO: DESCARGO DE LA OFICINA NACIONAL DE CREDITO PUBLICO Y
COMENTARIOS RELATIVOS DE AGN
En la presente sección se detalla el contenido de la respuesta del organismo I (Diagramas
de Entidad Relación SIGADE), el Anexo II (Minutas de reunión ‘ Requerimientos de
desarrollo) y el Anexo III (Procedimientos ‘Versión preliminar’) los cuales se consideraron
como evidencia pero no se publican en el informe por haber sido entregado en papel, y
conforman un volumen muy importante. Se los archivó como papeles de trabajo.
A) AMBIENTE DE CONTROL
4.1 Objetivo de Control: Plan de Tecnología de Información
4.1.1 Observación: Proceso de Planeación
Respuesta de la ONCP:
Acciones correctivas - Comentarios
Con relación al Plan oportunamente informado se señala que, si bien no cuenta con
aprobación formal, hay actividades del mismo que se encuentran en plena ejecución, para
las cuales están contemplados los requerimientos presupuestarios suficientes, como por
ejemplo la compra de nuevo equipamiento y la instalación de la nueva versión del SIGADE
6.
No obstante, cabe mencionar que por decisión de las autoridades de la Secretaria de
Finanzas, se encuentra en proceso el diseño una nueva estructura de la ONCP, que
comprende entre otros aspectos la transferencia y la centralización a nivel de Secretaría de
Finanzas de todas las funciones, actividades y recursos asignados a TI en el ámbito de la
Secretaría.
Como resultado se prevé contar con un plan aprobado al más alto nivel de la Secretaría, un
proyecto de estructura acorde con las nuevas exigencias que plantea TI y los recursos
humanos y presupuestarios necesarios para su cumplimiento.
Comentario AGN:
Se mantiene la observación.
33
La documentación recepcionada sobre este punto no provee evidencia de vinculación entre
las acciones y las previsiones presupuestarias. La partida 728 donde se imputan los gastos de
SIGADE es una cuenta general y no específica para el sistema.
4.2 Objetivo de Control: Definición de la Arquitectura de la Información
4.2.1 Observación: Modelo de Datos
Respuesta de la ONCP:
Acciones correctivas – Comentarios
Se cuenta con definiciones de arquitectura de datos no formalizadas para los sistemas
SIGADE, SIDIF-LINK y SRDP cuyos Diagramas de Entidad Relación (DER), los que se
adjuntan como Anexo I.
Como parte de las acciones encaradas para el fortalecimiento institucional de la Secretaría
y dentro del plan de acción integral de TI se prevé su formalización.
Comentario AGN:
Se mantiene la observación.
Se considera auspicioso contar con los DER actualizados. Se considera necesario incorporar
el esquema de clasificación de los datos.
4.3 Objetivo de Control: Participación Pro-activa de Auditoria
Respuesta de la ONCP:
Acciones correctivas – Comentarios
Con relación a las actividades de auditoría informática se hace notar que, por la índole de
la observación, su regularización excede la competencia de la Secretaría de Finanzas. En
ese sentido, mediante Nota SF N° 53/2011, se remitió a la Unidad de Auditoría Interna de
este Ministerio, una copia de la nota recibida de la Auditoría General de la Nación (Nota N°
45/11-A02).
Comentario AGN:
Se mantiene la observación.
Se considera apropiada la iniciativa.
34
4.4 Objetivo de Control: Comité de Dirección
4.4.1 Observación: Incorporación de proyectos
Respuesta de la ONCP:
Acciones correctivas – Comentarios
Para reducir la informalidad de la comunicación de las solicitudes recibidas por la CSIyC,
en el corriente año 2011 se ha implementado un registro de requerimientos de desarrollo o
mantenimiento de sistemas, que toma como base una minuta de la reunión donde se releva
la necesidad (ver Anexo II).
Por otro lado, como se ha expresado al inicio, la Secretaría de Finanzas planea efectuar
una reforma profunda en el área de TI y en esa ocasión será contemplada la posibilidad de
constituir un Comité de Planeamiento y Dirección u otro mecanismo que garantice la
presencia de los usuarios relevantes en la asignación de prioridades y recursos para el
desarrollo del plan de acción Integral de TI.
Comentario AGN:
Se mantiene la observación.
Las iniciativas señaladas se consideran apropiadas.
4.5 Objetivos de Control: Estructura organizacional
4.5.1 Observación: Roles y Responsabilidades
Respuesta de la ONCP:
Acciones correctivas - Comentarios
Conforme surge de la normativa vigente, las funciones asignadas a una coordinación -por
tratarse de una Función Ejecutiva (en los términos del Dto. Nº 993/91)-, representan la
definición de dicho “cargo de conducción”. Merece aclararse que como tal, una
coordinación no posee reflejo estructural por no constituir una unidad organizativa con
dotación de personal a cargo.
Es por ello que los roles y responsabilidades del personal que colabora en la ejecución de
las funciones asignadas a una coordinación se encuentran definidos en la propuesta de
contratación o descripción del puesto a cubrir y en los Términos de Referencia del contrato
de cada consultor suscribe en los términos de la Ley Marco de Empleo Público N° 25.164, o
35
en la Plantilla del Perfil del puesto de trabajo correspondiente, de tratarse de personal
perteneciente a la planta permanente asignado para asistir a la coordinación en cuestión.
En el caso de la CSIyC dentro de la limitada dotación existente en los perfiles del personal
contratado se advierten la separación de funciones entre quienes desarrollan, operan y
administran las instalaciones y sistemas
Sin perjuicio de ello, y tal como se ha mencionado anteriormente, la Secretaría de Finanzas
se encuentra abocada por un lado, a la reformulación de su estructura organizativa de
forma tal de, entre otros aspectos, crear una Unidad Organizativa con dependencia
funcional directa de la misma que absorba la totalidad de las funciones que actualmente se
desempeñan en la CSIyC y que cubra las necesidades de TI a toda la Secretaría y por el
otro, al desarrollo de las normas de procedimiento en los cuales se contempla la asignación
de roles y responsabilidades según el proceso de que se trate.
Comentario AGN:
Se modifica la observación con el siguiente texto:
4.5.1 Observación: Separación de Funciones
Las funciones de la CSIyC están formalmente definidas por la Resolución Mecon 209/2005.
Se detectaron casos de falta de una adecuada separación entre quienes desarrollan, operan y
administran las instalaciones y sistemas.
4.5.2 Observación: Funciones no previstas para la CSlyC
Respuesta de la ONCP:
Acciones correctivas - Comentarios
La observación será tenida en cuenta al redefinirse las funciones del área de TI en el ámbito
de la Secretaría de Finanzas, conforme se desprende de lo señalado en los puntos
precedentes.
Comentario AGN:
Se mantiene la observación.
36
4.6 Objetivo de Control: Metodología del Ciclo de Vida de Desarrollo de los Sistemas
4.6.1 Observación: Metodología de desarrollo
Respuesta de la ONCP:
Acciones correctivas - Comentarios
Como bien se indica, la CSIyC cuenta actualmente con estándares de desarrollo no
formales; los que se prevé formalizar mediante el dictado del acto administrativo
correspondiente.
En la actualidad, la reducida dotación de recursos humanos de la CSIyC no permite una
clara separación de funciones en las instancias de desarrollo, testeo y puesta en producción,
pero la observación será tenida en cuenta en la reorganización de los recursos de TI.
Por otro lado, y como fuera expresado en el punto 4.4.1, en el corriente año 2011 la CSIyC
ha implementado un registro de requerimientos de desarrollo con miras a disminuir la
informalidad de las solicitudes, pero también como primer paso del armado de indicadores
de gestión interna del área.
En ese sentido se prevé la incorporación en el año 2012 de las previsiones presupuestarias
necesarias para la adquisición de herramientas para la administración de proyectos.
Comentario AGN:
Se mantiene la observación.
Las iniciativas se consideran auspiciosas.
4.7 Objetivo de Control: Manejo de la Inversión en TI
4.7.1 Observación: Presupuesto
Respuesta de la ONCP:
Acciones correctivas - Comentarios
Tal como se menciona, la estructura programática del Programa 22 “Finanzas, Bancos y
Seguros” no contempla una actividad específica en donde se puedan identificar los gastos e
inversiones asignada a TI,
En ese sentido se señala que la modificación de la estructura programática del Presupuesto
Nacional excede a la competencia de la ONCP, no obstante
es posible identificar y
programar, las inversiones y los gastos más relevantes que se incurren tanto para el
37
equipamiento, como para el mantenimiento de los sistemas externos que se contratan de
acuerdo a las necesidades de la Secretaría, tanto sean financiados por el Programa 22 o se
trate de servicios de la deuda pagados por medio de la jurisdicción 90.
Comentario AGN:
Se mantiene la observación.
Se sugiere implementar un proceso para producir regularmente información sobre los gastos
incurridos y facilitar tanto la confección del presupuesto TI como la mejor asignación de los
recursos.
4.7.2 Observación: Justificación de costos y beneficios
Respuesta de la ONCP:
Acciones correctivas - Comentarios
La recomendación efectuada con relación a este punto será tenida en cuenta en el futuro.
Comentario AGN:
Se mantiene la observación.
4.8 Objetivo de Control: Responsabilidad en cuanto a las Políticas de TI
4.8.1 Observación: Políticas TI
Respuesta de la ONCP:
Acciones correctivas - Comentarios
De acuerdo con la Decisión Administrativa N° 669 del año 2004 la política de seguridad
informática debe ser establecida por las máximas autoridades de cada organismo. Asimismo
la Resolución MEyFP N° 339/10 (T.O. de agosto de 2010) establece que el Comité de
Seguridad de la Información del Ministerio es el único canal para realizar propuestas
relativas a la política de seguridad, los procedimientos internos y los sistemas de prevención
a fin de asegurar la homogeneidad y unicidad de criterios y objetivos en la materia.
No obstante, se procederá a formalizar internamente en la SF el documento elaborado por
la CSIyC relativo a la política de seguridad, la que tendrá vigencia hasta tanto se apruebe
la política de seguridad a nivel ministerial . En cuanto a la definición de las restantes
políticas de TI, su formalización forma parte del plan en elaboración mencionado en el
38
punto 4.1.1 y la consecuente reorganización de la estructura y los recursos afectados a la
materia.
Comentario AGN:
Se mantiene la observación.
4.9 Objetivo de Control: Administrar la Calidad
4.9.1 Observación: Mejora continua
Respuesta de la ONCP:
Acciones correctivas – Comentarios
Si bien no existe en la Secretaría de Finanzas un plan formal de mejora continua de la
calidad, a partir del objetivo asumido por las autoridades en el sentido de propender a la
mejora de la calidad institucional, en
los últimos años se han verificado avances en
diversos aspectos que hacen a la materia.
Comentario AGN:
Se mantiene la observación.
B) SISTEMAS DE LA DEUDA PUBLICA NACIONAL
4.10 Objetivo de Control: Administración de Datos
4.10.1 Observación: Manual de procedimientos
Acciones correctivas – Comentarios
Como señala la observación, se están redactando las normas de procedimiento
correspondientes a los procesos que se ejecutan en la Secretaría de Finanzas y en primer
término se están elaborando las correspondientes a la administración de la deuda pública.
Estas actividades, si bien comenzaron por iniciativa de la Secretaría, forman parte del plan
de regularización suscripto entre el Ministerio de Economía y Finanzas Públicas y la
Sindicatura General de la Nación y, consecuentemente, responden a los lineamientos fijados
en el Comité de Control del Ministerio.
Al respecto se puede destacar que la documentación comprometida es a nivel de proceso y
que ése es el alcance de las normas de procedimiento que están siendo elaboradas para las
actividades de la Dirección de Administración de la Deuda Pública. Contar con
39
procedimientos administrativos formalizados se considera en sí un gran avance, pero una
vez que se complete este nivel de documentación podría avanzarse en otras versiones de las
normas de procedimiento que incorporen un mayor grado de detalle en la operatoria, tal
como lo indica la Auditoría General de la Nación.
Por otro lado, con relación al SIGADE, se evaluó la alternativa de contar con otra
herramienta que lo sustituya, pero tanto por su costo como por el riesgo de una migración de
esa naturaleza, se resolvió actualizar la versión y solicitar modificaciones y nuevas
funciones en el marco de un nuevo Convenio de asistencia técnica suscripto con la
UNCTAD. El plan de trabajo vinculado al convenio se encuentra en ejecución y actualmente
está en etapa de prueba la nueva versión del Sistema de Gestión y Análisis de la Deuda
(SIGADE 6.0).
Comentario AGN:
Se mantiene la observación.
4.10.2 Observación: Documentación técnica
Acciones correctivas - Comentarios
La observación será tenida en cuenta y se procederá a regularizar la situación.
Comentario AGN:
Se mantiene la observación.
4.10.3 Observación: Acceso a las aplicaciones
Acciones correctivas – Comentarios
La versión 6.0 del SIGADE tiene incorporados aspectos de seguridad que serán activados
una vez que esté plenamente operativo el sistema y que se sumarán a la actual
administración por roles.
Al hacerse operativas estas funciones del SIGADE existirán restricciones circunscribiendo
los roles de operadores de la deuda como así también el acceso al sistema por tipo de deuda.
Respecto a la cantidad de cuentas de administrador, se prevé asignar solo una por cada
sistema (SIGADE y SRDP).
40
Comentario AGN:
Se mantiene la observación.
Se considera positiva la iniciativa.
4.10.4 Observación: Identificación de los registros de la deuda pública
Acciones correctivas – Comentarios
Una observación se similar naturaleza efectuada por la Unidad de Auditoría Interna dio
lugar a los Informes de la Dirección de Administración de la Deuda Pública N° 461/2010 del
26 de julio y N° 622/2010 del 7 de octubre. El segundo de ellos en los temas sustantivos
expresa:
“1. La aplicación uniforme de criterios para identificar los instrumentos de la deuda pública
está amparada en la capacitación efectuada a los distintos usuarios y en la documentación
que respalda el uso del SIGADE, resumida en su Manual del Usuario, que cuenta con un
Glosario donde se definen los conceptos y los términos empleados para la administración de
la deuda.
La definición de los conceptos por un lado y, por otro, su correcta aplicación mediante la
supervisión efectuada al momento de ingresar nuevos instrumentos permiten obtener
información confiable sobre la deuda pública, adecuada a los requerimientos que surgen
tanto de los restantes Órganos Rectores como de las convenciones internacionales en
materia estadística.
Como se señalara en la Nota 461/2010, la identificación de las operaciones en el SIGADE
se lleva a cabo “internamente” a partir de diferentes parámetros que no necesariamente
involucran la codificación utilizada.
2. Con relación a los controles realizados se informa que, como parte de las normas de
procedimiento en elaboración, se ha establecido la confección de una “Hoja Resumen”
donde se vuelca la información básica de cada operación de crédito público que ha de
registrarse en SIGADE, en forma previa a su ingreso, entre cuyos datos se cuenta la
codificación a otorgar. (Se adjunta el esquema general de esta Hoja Resumen, que ya está
siendo utilizada pero aún se encuentra sujeta a ajustes.)
Los criterios básicos empleados para codificar las operaciones de crédito público están
contenidos en el primer y segundo dígito según se describe a continuación.
41
Primer dígito: fuente de financiamiento
Nº Fuente
Tipo de deuda
2
Préstamos
Deuda externa
5
Activos
Comentario
Activos financieros asociados a operaciones de
crédito público (cambia el primer dígito). Ej. código
de deuda 22024000; código activo financiero
52024000
7
Préstamos
Deuda interna
7
Títulos
Largo plazo
Excepción: 7120XXXX bonos pesificados (los dígitos
siguientes corresponden al
bono original). Ej.
código bono original 71499000; código bono
pesificado 71201499
7
Adelantos
transitorios
BCRA
8
Títulos
Corto plazo
Excepción: 85001000 a 85026000 obligaciones en el
marco del Dto 1023/95
Segundo dígito: tipo de acreedor
Nº Fuente
Acreedor
0
Títulos
1
Títulos
2
Préstamos
Banca comercial u otras instituciones financieras
4
Adelantos
Banco Central de la República Argentina
transitorios
5
Préstamos
Proveedores
7
Préstamos
Club de París y otros organismos bilaterales
9
Préstamos
Organismos multilaterales de crédito
42
Para mejor ilustración, en el Anexo I se encuentran descriptos los rangos que se emplean
para nuevas operaciones de crédito público, lo cual no implica que los instrumentos se
mantengan a lo largo de su vida en una misma categoría, como fue comentado en la nota
antes citada, limitándose en consecuencia la posibilidad de emitir reportes apropiados a
partir de los códigos asignados.
3. Con relación al requerimiento de que “se amplíe la información referida a que ‘… se
trabaja con una correlatividad que es validada por el sistema…’ siendo que en el párrafo 1
de la respuesta del auditado, se indica que no existen criterios para fijar códigos de
operación” sólo cabe indicar que el sentido de la respuesta se restringe a que los controles
internos de SIGADE impiden la asignación de un mismo número a dos operaciones de
crédito público.
4. Como resultado de lo expuesto, se ratifica lo expresado en la Nota 461/2010 en el sentido
de que no se considera eficaz ni eficiente a la hora de identificar un instrumento de
financiamiento un “código numérico”, salvo por razones nemotécnicas, y sí en cambio, el
detalle o la descripción de la operación que se hace al cargarla en la base de datos, que es
supervisada por el Coordinador del área, por el Coordinador del Registro de la Deuda
Pública y por el suscripto.
En ese marco, las consultas del tipo “auditorías–generales/estadísticas - por tipo de
operación y/o acreedores…” se pueden llevar a cabo a partir del “atributo” al que se
pretende acceder. Por ejemplo, si lo que se requiere es el detalle de los préstamos de los
Organismos Multilaterales (o Bilaterales, Proveedores, etc.) se escribe sólo el tipo de
acreedor, y el SIGADE confeccionará el reporte. “
43
ANEXO I
Desde
Hasta
Acreedor
Tipo Acreedor – SIGADE
Banca
comercial BANCOS
COMERCIALES
U
22000000 24999000 externa
INSTITUCIONES FINANCIERAS
25000000 26999000 Proveedores
PROVEEDORES
27000000 27499000 Club de París
BILATERAL
Otros
OTRAS
bilaterales
27500000 28999000 externos
BILATERAL
Organismos
29000000 29999000 internacionales
MULTILATERAL
50500000 59999999 Activos
Se identifica por cada Tipo Acreedor
TENEDORES
70001000 71499000 Bonos de largo plazo
Banca
BONOS
COMERCIALES
U
OTRAS
INSTITUCIONES FINANCIERAS
Prestamos
BANCOS
COMERCIALES
U
73000000 73999000 garantizados
INSTITUCIONES FINANCIERAS
74000000 74999000 Anticipos del BCRA
AUTORIDAD MONETARIA
75000000 76999000 Proveedores
PROVEEDORES
Otros
Y
OBLIGACIONES
comercial BANCOS
72000000 72999000 interna
DE
OTRAS
bilaterales
77500000 79999000 interna
BILATERAL
TENEDORES
80001000 81499000 Bonos de corto plazo
OBLIGACIONES
85001000 85026000 Decreto 1023
PROVEEDORES
DE
BONOS
Y
Comentario AGN:
Se mantiene la observación.
Se considera positivo exponer formalmente los rangos que se emplean en las nuevas
operaciones de crédito público.
44
La generación del número de operación empleado actualmente es manual. Incorporando al
sistema las definiciones hechas permitiría respetar los rangos asignados. En ese modo hay un
control automático que impediría la creación de registros en la base con casos como los que
señala la observación y así evitar corromper la base de datos de la deuda pública.
4.10.5 Observación: Respaldo de las operaciones
Acciones correctivas - Comentarios
Al ponerse en operación la versión 6.0 de SIGADE se va a definir un campo obligatorio en el
que asiente el número de contrato, decreto o resolución que autorice la operación de crédito
público que se está registrando.
Comentario AGN:
Se mantiene la observación.
4.10.6 Observación: Archivos de la documentación
Acciones correctivas - Comentarios
Los procedimientos administrativos que se están elaborando contemplan la identificación del
lugar de archivo de la documentación de respaldo de los registros de SIGADE (la Carpeta).
Con relación a la digitalización de archivos, se está analizando la generación de una base
documental en el ámbito de la Dirección de Administración de la Deuda Pública.
Comentario AGN:
Se mantiene la observación.
4.10.7 Observación: Control de las Pistas de Auditoría
Acciones correctivas – Comentarios
Por las características de las autorizaciones de acceso al Sistema, la revisión periódica del
conjunto de la información de auditoría generada ofrece datos poco significativos, siendo en
cambio valiosa su utilización para el análisis de operaciones puntuales.
Comentario AGN:
Se mantiene la observación.
45
Se considera esencial mantener un control sobre ciertas operaciones que implican cambios
sustanciales como importes y fecha u otro dato sensible que se quiera tener adecuado control.
4.10.8 Observación: Generación de Reportes
Acciones correctivas – Comentarios
Está documentado el procedimiento a aplicar para la revisión de la información que
trimestralmente se remite a la Contaduría General de la Nación, donde se establecen
circuitos para asegurar la consistencia de la información obrante en la base de producción
del SIGADE y la empleada para la confección de los cuadros y anexos requeridos por la
Contaduría. Este procedimiento, que se adjunta como Anexo III, será formalizado a la
brevedad.
Acciones correctivas – Comentarios
Si bien no existe una sistematización total de la información que se requiere para la
elaboración de los informes y proyecciones a que refiere la observación, el riesgo de que los
datos que se presenten no sean correctos está minimizado por los múltiples controles que se
realizan hasta obtener el producto final.
Por otro lado, está en análisis la elaboración de nuevas herramientas para la programación
financiera e información asociada.
Comentario AGN:
Se mantiene la observación.
Se consideran auspiciosas las iniciativas señaladas.
4.10.9 Observación: Proceso de Reversión
Existen algunas situaciones que requieren realizar quitas sobre órdenes de pago como en el
valor nominal de una colocación de bonos. Se producen generalmente como resultado de
decisiones externas como sentencias judiciales o la devolución de bonos de la Caja de
Valores e implica modificar los valores de los montos o el valor nominal de un título. Esta
operación es manual ya que SIGADE no dispone de rutinas para realizar la. En un caso lo
ejecuta el usuario sobre el registro y en el otro por un procedimiento -no formal- lo debe
solicitar por memo a la CSIyC quién ejecutará la modificación. En el caso de los Bonos de
Consolidación de Deuda, el sistema SRDP permite registrar la baja pero el procedimiento
46
para realizar el correspondiente proceso de reversión en el SIGADE es manual por lo que
para estos casos los sistemas no están integrados.
Ello lleva a modificar datos sustanciales del registro de la deuda SIGADE sin condiciones o
controles automáticos para su aceptación por lo que se podrían producir errores de no fácil
detección.
Acciones correctivas – Comentarios
La recomendación vertida respecto de este punto ya ha sido contemplada por cuanto las
normas de procedimiento correspondientes al proceso “Administración de Títulos Públicos”
(aún no formalizada) contienen un capítulo relativo a la devolución de bonos, que cuenta
con la siguiente discriminación:
a) Bonos de Consolidación
a.1)
Devolución de bonos entregados para el pago de deuda consolidada y demás
obligaciones, excepto las indemnizaciones a ex empleados de YPF
a.2)
Devolución de bonos entregados para el pago de indemnizaciones a ex empleados de
YPF
a.3)
Devolución de Bonos de Consolidación de Deuda Previsional
b) Otros bonos
Por otro lado, respecto de los Bonos de Consolidación, no se considera conveniente la
existencia de un sistema automático de bajas en el SIGADE asociado al SRDP por cuanto
estas operaciones están asociadas a trámites administrativos de naturaleza diversa, que
demandan tiempos diferentes y que pueden originarse o en los que pueden intervenir la
Coordinación Bocon Proveedores, la de Títulos Públicos, la Técnico Operativo Litigiosa, e
incluso requerir la intervención del servicio jurídico del Ministerio.
Comentario AGN:
Se mantiene la observación.
Para que la base de datos de SIGADE refleje el verdadero estado de la deuda es necesario
que los cambios y en especial las bajas en SRDP actualicen esa base en el momento que se
producen.
47
4.10.10 Observación: Vínculo SIGADE – SIDIF
Acciones correctivas – Comentarios
Tal como se señalara en el punto 4.5.1., la Secretaría de Finanzas está elaborando una
propuesta de estructura que contempla la reorganización de TI como un área con
dependencia funcional directa de la misma que tendría la responsabilidad de trabajar
coordinadamente con su par de la Secretaría de Hacienda.
Comentario AGN:
Se mantiene la observación.
4.10.11 Observación: Conciliación SIGADE - SIDIF - SRDP
Acciones correctivas – Comentarios
Al respecto resulta pertinente considerar que desde la fecha del informe UAI utilizado como
referencia para la formulación de la presente observación, los procedimientos han sufrido
variaciones significativas, existiendo actualmente un grado de integración mayor entre el
SIGADE y el SRDP que el que había en aquel momento. Aunque no se cuenta con una
integración completa de ambos sistemas se han adoptado las medidas necesarias para que
no existan diferencias en la variación de los saldos de ambos sistemas, sea tanto por altas o
bajas de deuda.
Con relación a esta observación la AGN recomienda un grado de integración que requiera
un ingreso único de los datos y la opción de aprobar o rechazar la transacción,
preferentemente de forma automática. Tal situación se verifica hoy para las altas pero no
para las bajas y, como fue señalado en el punto 4.10.9, se considera conveniente mantener
esa situación.
Comentario AGN:
Se mantiene la observación.
Se considera necesario dedicar esfuerzos en mejorar la integración de los sistemas señalados,
entre ellos SIDIF, pues ello redundará en un mejoramiento de la calidad de la información
relativa a la deuda.
48
4.10.12 Observación: Cálculo de Intereses
Acciones correctivas – Comentarios
Si bien el SIGADE no se alimenta de fuentes externas en forma directa, para la alimentación
de los ficheros de referencia que contienen los parámetros comunes a muchas operaciones
de crédito público, como los tipos de cambio o las tasas de interés, existe una automatización
de actividades de modo tal que el operador de SIGADE sólo tiene que ingresar los datos
mediante la ejecución de un proceso particular. El proceso en términos generales está
descripto en el Manual de Usuario del módulo de SIDIF-Link “Alimentación automática de
las Tablas de Referencia del SIGADE” cuya copia se adjunta a fs.
Comentario AGN:
Se mantiene la observación.
Se sugiere evaluar el tema de las tasas de interés y los vínculos desde sus fuentes de origen.
4.11 Objetivo de Control: Seguridad Física y Lógica
4.11.1 Observación: Debilidades lógicas y físicas
Acciones correctivas - Comentarios
El servicio de auditoría no se encuentra habilitado por falta de recursos de hardware. Se
prevé habilitarlo cuando se cuente con el nuevo servidor que está en proceso de compra
Actualmente existe un disco de emergencia, y está alojado en la caja fuerte de la Oficina
Nacional de Crédito Público.
En el transcurso del próximo trimestre se creará una cuenta de administrador diferente a la
creada por defecto por el fabricante.
Acciones correctivas - Comentarios
Con el nuevo servidor quedará solucionada la disponibilidad de espacio en discos para sus
diversas utilizaciones.
Acciones correctivas - Comentarios
La disponibilidad del nuevo servidor permitirá dar de baja el servidor discontinuado.
Acciones correctivas - Comentarios
Se toma en cuenta la observación y en el transcurso del próximo trimestre se adoptarán
medidas para modificar la situación.
49
Acciones correctivas - Comentarios
Las cintas de backups están en una caja ignífuga fuera de la sala de servidores pero dentro
de la Oficina Nacional de Crédito Público y se están analizando alternativas para su guarda
fuera de ella.
Las tareas de backup son realizadas por una persona que no desarrolla actividades de DBA.
Acciones correctivas - Comentarios
Se solicitará la aprobación del plan de contingencias vigente, convenientemente actualizado
hasta tanto se establezcan las políticas de seguridad a que refiere la Resolución MEyFP N°
339/2010.
Acciones correctivas - Comentarios
Está previsto el traslado físico de los servidores al nuevo centro de cómputos, que se está
construyendo en el segundo subsuelo del edificio ubicado en Balcarce 186, que contará con
todas las medidas de seguridad requeridas, y a cuyo respecto los responsables del Proyecto
Informática del Mecon han informado lo siguiente:
“Informe de Avance Centro de Cómputos 2SS Balcarce 186
Para la construcción del Centro de Cómputos se ha considerado conveniente dividir la
ejecución del Proyecto en dos etapas. En la primera etapa se ejecuta completamente la
construcción de un primer módulo y permite el traslado del equipamiento, que se encuentra
actualmente operativo y distribuido en el edificio.
Luego se inicia una segunda etapa que comprende los dos módulos restantes que completan
el Centro de Cómputos.
Cada uno de los módulos se comportará en cuanto a infraestructura básica como unidad
independiente, y con capacidad de 150 kW (40 gabinetes de servidores en promedio)
Actualmente el modulo 1 presenta un avance del 50%, y se prevé que para finales del
segundo trimestre del corriente, se finalice con la totalidad de las actividades programadas.
Para los módulos 2 y 3 se estima que la ejecución comenzará en el tercer trimestre del
corriente, finalizando durante el cuarto trimestre. …”
Comentario AGN:
Se mantiene la observación.
50
La observación relativa a los backups de datos corresponde al momento de nuestro
relevamiento.
51