AUDITORÍA GENERAL DE LA NACIÓN Las tareas de campo abarcaron desde enero hasta abril de 2005.-...

AUDITORÍA GENERAL DE LA NACIÓN

GERENCIA DE PLANIFICACIÓN Y PROYECTOS ESPECIALES

Dr. Felipe Pizzuto

DEPARTAMENTO DE AUDITORÍA INFORMÁTICA

Ing. Ernesto Casin

Evaluación del Sistema Informático de Administración y Abastecimiento, denominado GIGA

(Gestión Integral de Gobierno Automatizada), y de la gestión de la Tecnología Informática en

la Administración General de Puertos S. E., organismo autárquico en la órbita del Ministerio

de Planificación Federal, Inversión Pública y Servicios, con el objeto de determinar

debilidades y fortalezas del Sistema y de la gestión informática en el Organismo.

1

INFORME DE AUDITORÍA

A D. Luis Ángel Diez

Interventor

Administración General de Puertos S.E.

En uso de las facultades conferidas por el artículo 118 de la Ley N° 24.156, la AUDITORÍA

GENERAL DE LA NACIÓN procedió a efectuar un examen en el ámbito del Ministerio de

Planificación Federal, Inversión Pública y Servicios, con el objeto que se detalla en el

apartado 1.

1. Objeto de la auditoría

Evaluación del Sistema Informático de Administración y Abastecimiento, denominado GIGA

(Gestión Integral de Gobierno Automatizada), y de la gestión de la Tecnología Informática en

la Administración General de Puertos S. E., organismo autárquico en la órbita del Ministerio

de Planificación Federal, Inversión Pública y Servicios, con el objeto de determinar

debilidades y fortalezas del Sistema y de la gestión informática en el Organismo.

2. Alcance del examen

2.1.- En la etapa de planificación, el equipo de auditoría identificó los temas de mayor

exposición al riesgo, que comprenden los siguientes ítems:

Relevamiento de la documentación normativa del área de tecnología informática del

Organismo.

Relevamiento de la infraestructura informática del Organismo.

Verificación de la adecuación del Sistema y la infraestructura existentes y de la

planificación a la misión y metas del Organismo y a las leyes y decretos que regulan su

actividad.

Verificación del modelo de arquitectura de la información y su seguridad.

Relevamiento y análisis del organigrama del área de tecnología informática y su

funcionamiento.

2

Relevamiento y análisis del presupuesto operativo anual del área.

Verificación del cumplimiento de la comunicación de los objetivos y las directivas de la

Gerencia.

Análisis de la administración de recursos humanos, la evaluación de riesgos, la

administración de proyectos, la administración de calidad y las prácticas de instalación y

acreditación de sistemas y de administración de cambios.

Análisis de:

• la definición de los niveles de servicio,

• la administración de los servicios prestados por terceros,

• la administración de la capacidad y el desempeño,

• los mecanismos que garantizan el servicio continuo y la seguridad de los sistemas,

• la imputación de costos,

• la educación y capacitación de los usuarios,

• la asistencia a los usuarios de la Tecnología de la Información,

• la administración de la configuración de hardware y software,

• la administración de problemas e incidentes,

• la administración de datos, de instalaciones y de operaciones.

2.2. La tarea abarcó la Auditoría del estado de utilización de la Tecnología Informática en la

Administración General de Puertos S. E., en base a la información obtenida de las siguientes

fuentes:

Entrevistas realizadas con las principales autoridades del Organismo.

Cuestionario para determinar las necesidades de análisis detallado.

Cuestionarios para analizar detalladamente los temas que lo requerían.

Manuales de Documentación de los Sistemas.

Inspecciones directas efectuadas en el Organismo.

2.3. Limitaciones: No formó parte de la presente auditoría la evaluación del uso de la

Tecnología Informática en las Gerencias no involucradas en el uso del sistema informático

GIGA.

3

Las tareas de campo abarcaron desde enero hasta abril de 2005.-

2.4. Metodología: La auditoría incluyó dos etapas: 1) planificación del análisis detallado y 2)

verificación del cumplimiento de lo informado en la primera etapa.

La etapa de planificación incluyó las siguientes actividades:

• Análisis del marco legal e institucional del funcionamiento del Instituto.

• Análisis de los informes de Auditoría Interna en temas informáticos.

• Entrevistas con los responsables de Gerencias del Organismo, en cuanto a la participación

y experiencia propia y de su personal en el uso de la Tecnología de la Información y del

Sistema GIGA.

• Entrevistas con los responsables del Área Informática.

En la etapa de análisis detallado se ejecutó:

• Análisis de las respuestas a los cuestionarios para determinación de las necesidades de

análisis detallado.

• Determinación de las necesidades de verificación de las respuestas obtenidas.

• Inspecciones in situ y entrevistas con personal subalterno y del proveedor del Sistema,

realizadas por especialistas en diversas ramas de la informática, a través del trabajo

directo en el campo.

• Pruebas generales para verificar la operatividad y confiabilidad del sistema GIGA.

En función de la información relevada y los niveles de riesgo estimados se definieron los

trabajos de campo convenientes para realizar las verificaciones necesarias.

Este informe es producto de la evaluación de la información recabada en las entrevistas

mantenidas y de las observaciones realizadas en el trabajo de campo.

También se analizaron los riesgos asociados a los Objetivos de Control definidos para cada

uno de los procedimientos relevados. Las observaciones correspondientes se detallan por

separado.

3. Aclaraciones previas

3.1. Antecedentes: La Ley N° 24.093, de actividades portuarias, contiene un capítulo

referido a la transferencia del dominio, administración o explotación portuaria nacional a los

4

Estados provinciales y/o a la municipalidad de la Ciudad de Buenos Aires y/o a la actividad

privada. Así, el articulo 11 establece que “a solicitud de las provincias y/o de la

municipalidad de la Ciudad de Buenos Aires, en cuyos territorios se sitúen puertos de

propiedad y/o administrados por el Estado Nacional, y mediante el procedimiento que al

respecto determine la reglamentación, el Poder Ejecutivo les transferirá a título gratuito, el

dominio y la administración portuaria”.

El Decreto N° 1029/92 vetó en forma parcial esta ley, en lo atinente a la transferencia del

puerto de Buenos Aires a la jurisdicción municipal.

El artículo 2º del Decreto Nº 817/92 dispuso la disolución de la Administración General de

Puertos Sociedad del Estado (AGPSE), la que se haría efectiva cuando hubieran sido

privatizados, transformados o transferidos los puertos que se encuentran bajo su jurisdicción.

Y, por el artículo 5º, se estableció que el objetivo principal de la gestión del interventor

liquidador del organismo sería la privatización y/o transferencia de los puertos, y que tendría

bajo su responsabilidad la liquidación de las estructuras y activos remanentes.

Además, el decreto creó los Administradores Provisorios de los Puertos de Buenos Aires y

Bahía Blanca, Rosario, Santa Fe, Quequén y Ushuaia, única Autoridad Portuaria en sus

jurisdicciones, dependientes de la Administración General de Puertos Sociedad del Estado (en

liquidación), actuante en la órbita de la entonces Secretaría de Transporte del ex Ministerio de

Economía y Obras y Servicios Públicos. A los Administradores Provisorios se les impuso

como objetivos la gestión y el ejercicio de las responsabilidades propias de la Autoridad

Portuaria en su jurisdicción, asegurando la continuidad de los servicios, el mantenimiento de

los canales de acceso y áreas internas en los respectivos puertos, la responsabilidad del

dragado, señalización y balizamiento y otras actividades conexas. También debían contribuir

a las tareas de transferencia y/o privatización de los servicios portuarios y de las terminales

del puerto bajo su responsabilidad.

Posteriormente, el Decreto N° 1019/93 estableció que la Administración General de Puertos

Sociedad del Estado (en liquidación) continuaría con su gestión como ente responsable del

Puerto de Buenos Aires.

5

Por otra parte, los Decretos N° 1194/94, 1195/94, 1196/94, 1693/94 y 2123/94, delegaron en

la Administración General de Puertos Sociedad del Estado (en liquidación), las tareas de

contralor del cumplimiento de las obligaciones de los Concesionarios de las Terminales

Portuarias del Puerto de Buenos Aires.

También se estableció que la Administración General de Puertos Sociedad del Estado (en

liquidación), deberá dar cumplimiento a todos los actos establecidos en sus Estatutos

Societarios, “hasta tanto se den por cumplidos íntegramente los requisitos establecidos en el

Decreto N° 817/92 y en la Ley N° 24.093 de actividades portuarias y continuará ejerciendo

todos los actos societarios que determinen sus Estatutos Sociales y la normativa vigente”.

En 2003 se elimina en la denominación de la Administración General de Puertos Sociedad

del Estado (en liquidación), el aditamento "en liquidación" (Decreto Nº 19/2003).

A la fecha, el Puerto de Buenos Aires se encuentra bajo la jurisdicción del Estado Nacional,

por no haberse procedido a su transformación y/o transferencia a distinta jurisdicción.

3.2. Naturaleza Jurídica: Como sociedad del Estado, la Administración General de Puertos

está regida por la Ley Nº 20.705 (sancionada el 31 de julio de 1974), según la cual “Son

sociedades del Estado aquellas que, con exclusión de toda participación de capitales

privados, constituyan el Estado Nacional, los Estados provinciales, los municipios, los

organismos estatales legalmente autorizados al efecto o las sociedades que se constituyan en

orden a lo establecido por la presente ley, para desarrollar actividades de carácter

industrial, comercial o explotar servicios públicos”.

En cuanto a su constitución y funcionamiento, las sociedades del Estado se someten a las

normas que regulan las sociedades anónimas. La misma norma establece que no se aplican a

estas sociedades las leyes de contabilidad, de obras públicas ni de procedimientos

administrativos.

La Sindicatura General de la Nación está a cargo del control interno de estas sociedades, y el

control externo lo realiza la Auditoría General de la Nación (Ley Nº 24.156 de

Administración Financiera y de los sistemas de control del Sector Público Nacional).

3.3. Gobierno y Administración: Conforme lo establece el estatuto en su artículo 9°, la

dirección y administración de la Sociedad estará a cargo de un Directorio, integrado por un

6

Presidente, un Vicepresidente y cinco Directores Titulares, designados todos por la Asamblea

Ordinaria, que también elegirá tres Directores Suplentes.

3.4.1.- Intervenciones: Cabe destacar, que los órganos de gobierno y administración no se

encuentran plenamente en funcionamiento, ya que el organismo ha sido intervenido, a causa

de la situación de disolución y privatización, establecida por Decreto 817/92. Actualmente la

Sociedad se encuentra intervenida, habiéndose designado el actual interventor por Decreto N°

371/2003.

3.5. Naturaleza del sistema auditado: El sistema integrado denominado GIGA (Gestión

Integral de Gobierno Automatizada) es un software del tipo Planeamiento de los Recursos

Empresariales (ERP, Enterprise Resources Planning) que cubre la gestión de las áreas de

Administración y Abastecimientos.

Este tipo de sistemas por tener tanto la interfase de usuario como los datos y los circuitos

administrativos integrados permite unificar el flujo de información y mejorar los procesos en

las distintas áreas de la empresa.

Los objetivos principales de los sistemas ERP son:

-Optimizar los procesos empresariales.

-Brindar acceso a información confiable, precisa y oportuna.

-Brindar la posibilidad de que todos los componentes de la organización compartan

información.

-Eliminar datos y operaciones innecesarias.

-Reducir tiempos, costos, errores y la posibilidad de fraudes.

Un ERP es un sistema de información para la gestión de la organización que debe ser

parametrizado. Esto implica definir las políticas con que se quiere utilizar el sistema, que

dependerán de las necesidades de la empresa.

Una importante ventaja de los ERP es que prácticamente todas sus funciones están

interrelacionadas, cada operación realizada genera al final del circuito administrativo su

asiento contable en forma automática, de modo que se pueden conocer los estados contables

en tiempo real o a la fecha deseada, y, por ejemplo: las deudas de clientes y proveedores,

ventas, compras efectivizadas o pendientes de recepción, entre otros.

7

El proceso “ideal” sería que una vez definida la estrategia de la organización y sus circuitos

administrativos, se asociaran a ellos los recursos tecnológicos necesarios para que todas las

operaciones se ejecutasen dentro del ERP.

Aunque en principio el hardware no es la parte más compleja de la implantación, podría

suceder que si ha sido mal elegido o hubo errores en el diseño, su rendimiento global

disminuya.

Se ha de considerar que además de las personas, los procesos son los que definen la eficiencia

y eficacia de la organización. Por ello, en el proyecto de implantación de ERP se deben

redefinir los procesos para:

-Adecuarlos al sistema

-Mejorar su eficiencia y eficacia.

Es necesario que todas las aplicaciones de la organización estén conectadas con el ERP para

conseguir una gestión de la información eficaz, eficiente y confiable.

3.5.1. Descripción de las funciones principales del GIGA

3.5.1.1. Abastecimiento

3.5.1.1.1. Compras: Registra las compras de bienes y servicios requeridas por las diversas

áreas, desde que el sector requirente detecta la necesidad, hasta que el proveedor entrega el

bien o presta el servicio y se obtiene la conformidad del solicitante. Abarca las transacciones

relacionadas con:

• Suministro de bienes almacenados disponibles en stock.

• Compras de todo tipo de bien en cualquiera de sus modalidades.

• Contratación directa.

• Contratación directa con invitación.

• Licitación privada.

• Licitación pública.

• Contratación de servicios.

3.5.1.1.2. Stock: Permite el seguimiento de la gestión de todos los elementos físicos

considerados como stock, almacenados en Deposito Central. Mantiene el registro desde que el

8

bien ingresa a Almacenes y sus eventuales transferencias, hasta el momento en que es

solicitado y enviado al sector requeriente.

3.5.2. Administración.

3.5.2.1. Cuentas a Pagar: Permite efectuar el seguimiento de los compromisos contraídos

por AGP que concluyen con un egreso de fondos.

Registra desde que se completa el ciclo de Compra con la emisión de su Orden de Compra,

hasta la llegada de las facturas, su registro en el sistema y seguimiento de los vencimientos

hasta la preparación de la documentación para efectuar el pago.

3.5.2.2. Liquidaciones: Permite emitir la facturación de los servicios prestados a terceros por

AGP y su posterior seguimiento hasta la cobranza definitiva o hasta que cada concepto

facturado sea dado de baja por cualquier otro motivo (pasaje a mora, gestión judicial,

incobrabilidad, etc.)

3.5.2.3. Tesorería: Permite realizar el seguimiento de las transacciones vinculadas con el

ingreso y egreso de fondos.

Desde la recepción de la documentación respaldatoria de los pagos y las cobranzas a efectuar,

hasta la emisión y entrega del instrumento de pago, o la recepción de fondos y la entrega del

recibo correspondiente.

También efectúa el manejo de los fondos con posterioridad al pago o cobranza, incluyendo el

depósito, la transferencia, adquisición de otros activos financieros y su seguimiento.

3.5.2.4. Patrimonio: Permite gestionar de la totalidad de los activos fijos de la AGP en sus

diversos aspectos: ubicación física, tenencia, etc.

Se registra desde el ingreso del bien al patrimonio con todos los eventos que se produzcan

hasta el momento de la baja definitiva.

3.5.2.5. Contabilidad: Registra los movimientos contables correspondientes a la totalidad de

las transacciones efectuadas, permitiendo consultar la información generada y emitiendo los

informes necesarios para satisfacer requerimientos legales como los de análisis de la gestión.

Comprende el proceso de traducción a nivel contable de todas las transacciones operativas,

permitiendo el ingreso de ajustes manuales a los saldos contables por medio de asientos y la

extracción de la información en distintos formatos.

9

3.5.2.6. Presupuesto: Permite la asignación anual del presupuesto para cada partida y

efectuar el posterior seguimiento para comprobar su ejecución.

Registra desde la aprobación del Presupuesto Anual, cuando se lo carga, hasta cada una de las

transacciones que lo afectan en sus diferentes etapas, concluyendo en el cierre anual.

3.5.3. Procedimientos del Sistema.

3.5.3.1. Procedimiento de Compras: Al realizar la apertura de la Solicitud del Gasto se

define su concepto (partida presupuestaria afectada). Esta tarea la efectúa cada sector según

sus necesidades.

Se autoriza la solicitud accediendo por el sistema a la lista de transacciones pendientes donde

se permite aprobarla o rechazarla. Este proceso está limitado a los usuarios con perfil de Jefe

de Departamento.

La solicitud se remite a la Gerencia Administrativa para afectar la partida presupuestaria que

corresponda. Afecta el presupuesto Preventivo y lo realiza el usuario con perfil de Gerente

Administrativo.

Se inicia la Gestión de Compras. El sistema permite las opciones Compra Directa, Compra

Directa con Invitación, Licitación Privada y Licitación Pública.

El sistema, en forma automática, analiza y propone adjudicar por menor cotización.

Los procesos de autorización solicitados por el sistema son realizados por el usuario con los

perfiles de Gerente General y Jefe de Departamento de Abastecimiento.

Se remite el expediente en formas electrónica y manual a la Gerencia Administrativa para

confirmar o rechazar la imputación presupuestaria del Compromiso.

Luego de confirmado el compromiso se emite la Orden de Compra.

Almacenes realiza la recepción de la mercadería ingresando los datos del remito en el sistema,

valida las cantidades solicitadas con las recibidas, y actualiza el stock.

Los remitos recibidos en Almacenes habilitan la recepción de la factura del proveedor y su

ingreso en el sistema , estos datos permiten confeccionar la orden de pago al proveedor.

La emisión de la orden de pago genera en forma automática la imputación presupuestaria a

pagar (devengado) y el asiento contable correspondiente.

10

Por cada pago realizado se emite un Recibo de Pago donde se detalla los instrumentos de

pago utilizados. El sistema permite la emisión de cheques y realiza la imputación

presupuestaria de lo pagado en forma automática.

3.5.3.2. Procedimiento de Liquidaciones: El sector de Liquidaciones realiza la confección y

generación de todas las facturas que emite la Administración General de Puertos.

Las facturas corresponden a distintos servicios por los cuales recibe ingresos, estos servicios

consisten en la liquidación de:

• Tasas de Cargas.

• Importación.

• Pasavantes.

• Patentes de Buques.

• Arrendamientos.

• Servicios Ferroviarios.

• Servicios Administrativos.

• Prestaciones Tácitas.

• Tasa a Terminales Portuarias.

• Tasas a Pasajeros y Vehículos.

• Suministro de Energía Eléctrica.

• Reliquidación de Servicios Sanitarios.

• Multas.

• Averías.

• Embarques de Cereales y Elevadores – Exportación.

4. Comentarios y observaciones

Se exponen a continuación las principales observaciones y comentarios surgidos del trabajo

llevado a cabo por esta Auditoría.

Para cada una de las observaciones se incluyen el nivel de madurez, conforme al Modelo de

Madurez de la Capacidad de la Universidad Carnegie Melon enunciado más abajo, y las

recomendaciones tendientes a mejorar el ambiente de control y reducir los riesgos

identificados.

11

Niveles del Modelo Genérico de Madurez:

0 – No conforma. Falta total de procesos reconocibles. La organización incluso no reconoce

que existe un tema a ser tenido en cuenta.

1 – Inicial / Ad Hoc. Hay evidencia de que la organización reconoce la existencia del tema y

la necesidad de atenderlo. Sin embargo, no existen procesos estandarizados y en lugar de ellos

existen aproximaciones ad hoc que se aplican sobre una base individual o caso por caso. La

administración aparece como desorganizada.

2 – Repetible aunque Informal. Los procesos han evolucionado hasta la etapa en la cual

procedimientos similares son ejecutados por distintas personas que desarrollan las mismas

tareas. No hay entrenamiento formal ni comunicación de procedimientos estándar y la

responsabilidad es librada a cada individuo. Hay un alto grado de confianza en el

conocimiento de los individuos y es probable que haya errores.

3 – Proceso Definido. Los procedimientos han sido estandarizados, documentados y

comunicados vía entrenamiento. Sin embargo, es responsabilidad de los individuos cumplir

con estos procesos y es improbable que se detecten las desviaciones. Los procedimientos en sí

mismos no son sofisticados pero son la formalización de prácticas existentes.

4 - Administrado. Es posible monitorear y medir el cumplimiento de los procedimientos e

intervenir cuando los procesos parecen no estar funcionando adecuadamente. Los procesos

están siendo mejorados constantemente y proveen una práctica correcta. El uso de

herramientas y de automatización es limitado o fragmentario.

5 - Optimizado. Los procesos han sido corregidos hasta el nivel de la mejor práctica, basado

en los resultados de la mejora continua y de la movilización con otras organizaciones. La

Tecnología de la Información es usada de forma integrada para automatizar el flujo de trabajo,

proveer herramientas para mejorar la calidad y la eficacia y hacer que la organización se

adapte rápidamente a los cambios.

Además, para cada uno de los objetivos de control se indica cuáles de los requerimientos de la

información, detallados a continuación, son afectados:

Eficacia: La información debe ser relevante y pertinente para la misión del ente, y su entrega,

oportuna, correcta, consistente y utilizable.

12

Eficiencia: La información debe suministrarse mediante la utilización óptima (más productiva

y económica) de recursos.

Confidencialidad: La información sensible debe ser protegida contra divulgación no

autorizada.

Integridad: La información debe ser precisa y suficiente, y válida, de acuerdo con los valores

y expectativas del organismo.

Disponibilidad: La información debe estar disponible cuando se la requiera por las misiones

del organismo ahora y en el futuro. Se deben salvaguardar los recursos necesarios y

capacidades asociadas.

Cumplimiento: El organismos debe cumplir las leyes, regulaciones y acuerdos contractuales a

los que está sujeto.

Confiabilidad: La información que se requiere para que la administración opere la entidad y

cumpla sus responsabilidades de generar reportes financieros y de cumplimiento, debe ser

confiable.

A efectos de determinar el impacto de las observaciones detectadas, se clasificó las de

acuerdo con el nivel de riesgo. Los niveles asignados son Alto, Medio y Bajo.-

4.1. Planificación y organización.

4.1.1. Definición de un Plan Estratégico de Tecnología de la Información.

Objetivo de control: La máxima autoridad debe impulsar el proceso periódico de

planificación estratégica que permita formular los planes a largo plazo. A su vez, estos planes

deben traducirse oportunamente en planes operativos que definan metas claras y concretas a

corto plazo.

Este objetivo de control afecta a los siguientes requerimientos de la información necesaria

para cumplir las misiones del organismo, primariamente:

• la eficacia

y en forma secundaria:

• la eficiencia.

13

Nivel de madurez: No Conforma. No se realiza una planificación estratégica formal. Las

autoridades del organismo no han llevado acabo una planificación estratégica de la

Tecnología Informática que respalde sus metas, programas, proyectos o actividades.

Observaciones: El nivel de organización del Organismo es débil y la alta frecuencia de

rotación de sus máximas autoridades dificulta la superación del problema. No hubo en los

últimos años un plan estratégico de la Empresa. No se conoce la existencia de un área de

planeamiento ni de un comité de planificación de Tecnología Informática.

Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo

4.1.2. Definición de la Arquitectura de la Información.

Objetivo de control: La información debe mantenerse acorde con las necesidades y debe ser

identificada, recopilada y comunicada en forma y tiempo tales que permitan a las personas

cumplir sus responsabilidades de manera eficiente y oportuna. Se debe crear y mantener un

modelo de arquitectura de la información que incluya el modelo de datos del organismo y los

sistemas de información relacionados.



• la eficacia


• la eficiencia

• la confidencialidad

• la integridad

Nivel de madurez: No Conforma. No se toma conciencia de la importancia que reviste la

arquitectura de la información. El conocimiento, la pericia y las responsabilidades necesarias

para desarrollar esta arquitectura no existen en el organismo.

Observaciones: No existe un modelo de la arquitectura de la información. El proveedor del

sistema GIGA entregó en su momento un diccionario de datos con el estado del Sistema antes

de su adaptación a las necesidades de la Administración, pero no se lo ha actualizado.


14

4.1.3. Determinación de la Dirección Tecnológica.

Objetivo de control: La función de servicios de información debe crear y mantener un plan

de infraestructura tecnológica que fije y administre expectativas claras y realistas de lo que la

tecnología puede ofrecer en términos de productos, servicios y mecanismos de entrega.



• la eficacia


• la eficiencia

Nivel de madurez: No Conforma. No se toma conciencia de la importancia que la

planificación de infraestructura tecnológica reviste para el organismo. No se alcanza el

conocimiento y la pericia requeridos para desarrollar esa infraestructura. No se considera que

la planificación para el cambio tecnológico sea crítica para la asignación eficaz de los

recursos.

Observaciones: No se conoce la existencia de procesos formales para crear y actualizar

periódicamente el plan de infraestructura tecnológica ni para evaluar su estado.


4.1.4. Definición de la organización y las Relaciones de Tecnología de la Información.

Objetivo de control: La máxima autoridad debe establecer una estructura organizativa

adecuada en términos de cantidad e idoneidad del personal, con roles y responsabilidades

definidos y comunicados, alineada con la misión del organismo y que facilite la estrategia y

brinde una dirección eficaz y un control adecuado.



• la eficacia


• la eficiencia

Nivel de madurez: No conforma. La estructura organizativa del organismo no está

debidamente establecida para concretar el logro de sus objetivos.

15

Observaciones: Al no estar aprobada la planificación estratégica, no están oficialmente

establecidos los objetivos de detalle de la Administración, por lo que no se pueden adecuar los

servicios de tecnología de la información a sus necesidades. La dotación del área de Sistemas

es reducida para el volumen de tareas que debería realizar el sector si asumiera la

problemática de todo el organismo.


4.1.5. Administración de la Inversión en Tecnología de Información.

Objetivo de control: La máxima autoridad debe definir un presupuesto anual operativo y de

inversión, establecido y aprobado por el organismo.

Este objetivo de control afecta a los siguientes requerimientos de la información,

primariamente:

• la eficacia

• la eficiencia


• la confiabilidad

Nivel de madurez: No Conforma. No se ha tomado conciencia de la importancia de la

selección y presupuestación de las inversiones en tecnología de la información. No se hace un

seguimiento o monitoreo de las inversiones ni de los gastos en esta materia.

Observaciones: No se conoce la existencia de políticas y procedimientos formales para la

preparación del presupuesto operativo anual, ni para monitorear los costos reales y

compararlos con los proyectados, ni para su justificación económica. No existe un sistema de

imputación de costos.


4.1.6. Comunicación de los Objetivos y Directivas de la Gerencia.

Objetivo de control: La máxima autoridad debe impulsar la definición de políticas y su

comunicación a la comunidad de usuarios. Además, es preciso que se establezcan normas que

traduzcan las opciones estratégicas en reglas prácticas y útiles.



16

• la eficacia


• el cumplimiento

Nivel de madurez: No Conforma. La máxima autoridad del organismo no ha establecido un

ambiente positivo de control de la información. No hay reconocimiento de la necesidad de

establecer un conjunto de procesos, políticas, procedimientos y normas, y de garantizar su

cumplimiento.

Observaciones: No se conoce la existencia de políticas y procedimientos formales ni un

programa de concientización que generen un ambiente de control positivo. No se conoce la

existencia de políticas y procedimientos formales que garanticen la asignación de recursos en

forma adecuada. No existe el documento marco de seguridad informática ni políticas formales

al respecto.


4.1.7. Administración de los Recursos Humanos.

Objetivo de control: La máxima autoridad debe implementar prácticas sólidas, justas y

transparentes de administración de personal en cuanto a selección, alineación, verificación de

antecedentes, remuneración, capacitación, evaluación, promoción y despido.



• la eficacia

• la eficiencia

Nivel de madurez: No Conforma. No se ha tomado conciencia de la importancia de alinear la

administración de los recursos humanos de tecnología de la información con el proceso de

planificación de tecnología para el organismo. No hay ninguna persona o grupo formalmente

responsable de la administración de recursos humanos de tecnología de la información.

Observaciones: No se conoce la existencia de programas referentes a la educación y la

concientización general en problemas de seguridad de la información. No se cuenta con

personal suficientemente idóneo para las tareas a realizar. No existen procesos formales de

seguridad para altas, bajas y modificaciones de accesos por usuario. Existen usuarios en la red

17

que ya no pertenecen a la Empresa. En la Subgerencia de Sistemas, la falta de personal

capacitado es manifiesta e impide transferir la tecnología del sistema GIGA del proveedor a la

Administración.


4.1.8. Evaluación de Riesgos.

Objetivo de control: La máxima autoridad debe definir un proceso por el cual el organismo

se ocupe de identificar los riesgos de Tecnología de la Información y analizar su impacto,

involucrando funciones multidisciplinarias y adoptando medidas eficaces en función de costos

a fin de mitigarlos.




• la integridad

• la disponibilidad


• la eficacia

• la eficiencia

• el cumplimiento


Nivel de madurez: No Conforma. No se realiza una evaluación de riesgos para los procesos y

las decisiones de actividades sustantivas. No se consideran los puntos vulnerables de la

seguridad ni las incertidumbres de los proyectos de desarrollo. La administración de riesgos

no se consideró relevante en la adquisición de soluciones de Tecnología de la Información y

la prestación de servicios de Tecnología de la Información.

Observaciones: De la información recibida se concluye que no existen políticas y

procedimientos formales para evaluar el riesgo tecnológico.


4.1.9. Administración de Proyectos.

18

Objetivo de control: La máxima autoridad debe establecer un proceso por el cual el

organismo identifique y establezca las respectivas prioridades de los proyectos en

concordancia con el plan operativo. El organismo debe adoptar y aplicar técnicas bien

concebidas de administración de proyectos para cada uno que se inicie.



• la eficacia

• la eficiencia

Nivel de madurez: Inicial / Ad Hoc. El organismo tiene una noción de la necesidad de

estructurar los proyectos y conoce los riesgos que implican los proyectos mal administrados.

El uso de técnicas y enfoques de administración de proyectos es una decisión que queda a

criterio del gerente. En general, los proyectos están mal definidos y no incorporan los

objetivos técnicos ni los de la actividad del organismo o de las partes interesadas. Hay una

falta generalizada de compromiso de la dirección. La asignación de responsables de los

proyectos y las decisiones críticas se toman sin tener en cuenta los aportes de la gerencia

usuaria o de los usuarios. La participación de los clientes y usuarios en la definición de

proyectos es escasa o nula. No hay una buena definición de los cronogramas y plazos de los

proyectos. El tiempo y los gastos del personal asignado al proyecto no se rastrean ni cotejan

con los presupuestos.

Observaciones: No se conoce la existencia de un marco formal de administración de

proyectos. En el caso particular del sistema GIGA, se nombraron responsables de la ejecución

del proyecto de implantación. Existió una planificación que no se cumplió en la práctica en lo

referente a plazos (23 meses contra los 6 previstos) y a control de calidad (las pruebas de

aprobación no fueron completas). Algunos usuarios no están conformes con las prestaciones

del sistema.


4.1.10. Administración de la Calidad.

19

Objetivo de control: La alta gerencia debe desarrollar la planificación, implementación y el

mantenimiento de normas y sistemas de administración de calidad del organismo, que

proporcionen distintas fases de desarrollo, prestaciones claves y responsabilidades explícitas.



• la eficacia

• la eficiencia

• la integridad



Nivel de madurez: No Conforma. El organismo carece de un proceso de planificación de

garantía de calidad y de una metodología de ciclo de vida de desarrollo de sistemas. La alta

gerencia y el personal de Tecnología de la Información no reconocen la necesidad de un

programa de calidad. No se verifica la calidad de los proyectos y las operaciones.

Observaciones: La alta gerencia y el personal de Tecnología no establecen un programa de

control de calidad y éste no se verifica en los proyectos y las operaciones. No se aplica la

metodología de ciclo de vida, no se planifican los proyectos de desarrollo de sistemas ni hay

un sistema formal para su seguimiento. Se han observado datos erróneos almacenados en las

bases principales que los sistemas de aplicación no deberían admitir.


4.2. Administración e implementación.

4.2.1. Identificación de Soluciones Automatizadas

Objetivo de control: La máxima autoridad debe garantizar una identificación y un análisis

claro y objetivo de las alternativas, medidas en comparación con los requerimientos del

usuario.



• la eficacia


20

• la eficiencia

Nivel de madurez: No Conforma. El organismo no exige la identificación de requerimientos

funcionales y operativos para el desarrollo, la implementación o modificación de las

soluciones de sistemas, servicio, infraestructura, software y datos. El organismo no se

mantiene informado de las soluciones tecnológicas disponibles y eventualmente relevantes

para su actividad.

Observaciones: De la información recibida surge que:

• No se han documentado criterios para la consideración de las opciones de desarrollo

interno, de terceros y soluciones compradas.

• No existe un método general de adquisición e implementación ni una metodología de

ciclo de vida de desarrollo de sistemas claros y aceptados.

• No existe un proceso transparente, ágil y eficiente para la planificación, iniciación y

aprobación de soluciones.

• No se implementó un proceso estructurado de análisis de requerimientos.

• No existen procedimientos formales para evaluar los requerimientos de seguridad y

control desde el principio de los desarrollos.


4.2.2. Adquisición y Mantenimiento del Software de Aplicación

Objetivo de control: La adquisición y mantenimiento del software de aplicación debe

realizarse definiendo específicamente los requerimientos funcionales y operativos, e

implementando por etapas con prestaciones claras.



• la eficacia

• la eficiencia


• la integridad

• el cumplimiento


21

Nivel de madurez: Inicial / Ad Hoc. Se tomó conciencia de que se necesita un proceso para

adquirir y mantener las aplicaciones. Sin embargo, los enfoques varían de proyecto a proyecto

sin uniformidad y en general, en forma aislada de otros proyectos. Es probable que el

organismo haya adquirido una variedad de soluciones individuales y ahora enfrente problemas

de sistemas heredados e ineficiencias en el mantenimiento y soporte. Los usuarios del

organismo no pueden sacar demasiada ventaja de las inversiones de Tecnología de la

Información.

Observaciones: De la información recibida no surge la existencia de una metodología formal

de adquisición, diseño, desarrollo e implementación aceptada, entendida y aplicada.


4.2.3. Adquisición y Mantenimiento de la Infraestructura Tecnológica

Objetivo de control: La gerencia de la función de servicios de información debe impulsar la

adquisición criteriosa del software y el hardware, la estandarización del software, la

evaluación de los rendimientos, y la administración coherente de sistemas.



• la eficacia

• la eficiencia


• la integridad

Nivel de madurez: No Conforma. No se conoce la existencia de un plan de adquisición de

infraestructura tecnológica que permita mantener criteriosamente actualizados el hardware y

el software del organismo.

Observaciones: No existen políticas y procedimientos formales que aseguren la preparación

de un plan de evaluación del hardware y el software nuevos a fin de determinar su eventual

impacto sobre el rendimiento general.

La alta gerencia no ha definido una estrategia de arquitectura de Tecnología de la Información

y los requerimientos relacionados.

22

No se cuenta con un inventario actualizado de la infraestructura de Tecnología de la

Información (hardware y software). El inventario de hardware que se ha recibido no permite

evaluar adecuadamente el estado de la infraestructura tecnológica, a pesar de lo cual se pudo

inferir que el equipamiento disponible es incompleto. De la información obtenida no surge

que se hayan definido políticas para:

• Evaluar adecuadamente las opciones de desarrollo interno, por terceros y por

infraestructuras externas.

• Manejar los casos en los que se depende de un proveedor de única fuente.

• La administración de cambios.

• El uso de una metodología de ciclo de vida bien definida para seleccionar, adquirir,

mantener y quitar componentes de la infraestructura de Tecnología de la Información.

• Fundamentar las adquisiciones en los requerimientos de desempeño y capacidad mediante

la integración con procesos de administración de los mismos.


4.2.4. Desarrollo y Mantenimiento de Procedimientos

Objetivo de control: Se debe aplicar un enfoque estructurado para el desarrollo de

procedimiento del usuario y de operaciones, requerimientos de servicios y materiales de

capacitación.



• la eficacia

• la eficiencia


• la integridad

• el cumplimiento


Nivel de madurez: No Conforma. No hay un proceso para producir documentación del

usuario, manuales de operaciones y material de capacitación. Los únicos materiales son los

que vienen con los productos comprados.

23

Observaciones: De la información recibida no surge que:

• Existan acuerdos de nivel de servicio, con vínculos con las normas de documentación.

• Se mantengan inventarios de programas y procedimientos del organismo ni de Tecnología

de la Información utilizando herramientas automatizadas.

• El proceso de desarrollo asegure el uso de procedimientos operativos estándares y una

apariencia estándar de las interfaces de usuario.

• La capacitación del usuario en la utilización de los procedimientos esté integrada con los

planes de capacitación del organismo y de Tecnología de la Información.

• Exista un marco estándar, definido y monitoreado, para documentar y redactar los

procedimientos.

• Para desarrollar, distribuir y mantener procedimientos se empleen técnicas de

administración del conocimiento, de flujo de trabajo ni herramientas automatizadas.

• La infraestructura y estructura organizativa estén diseñadas para promover y compartir la

documentación del usuario, los procedimientos técnicos y el material de capacitación

entre los instructores, la mesa de ayuda y los grupos de usuarios.


4.2.5. - Instalación y acreditación de aplicativos.

Objetivo de control: La implementación de nuevos sistemas debe realizarse por medio de un

plan bien formalizado de instalación, migración, conversión y aceptación.



• la eficacia


• la integridad


Nivel de madurez: No Conforma. No hay ningún proceso formal de instalación y

acreditación. La alta gerencia o el personal de Tecnología de la Información reconocen

parcialmente la necesidad de verificar que las soluciones sean adecuadas para la finalidad

prevista.

24

Observaciones: No existe una metodología formal del ciclo de vida del desarrollo de

sistemas para la instalación y acreditación de sistemas que incluya, entre otros, un enfoque en

fases de: capacitación, cuantificación del desempeño, plan de conversión, pruebas de

programas, un plan de pruebas paralelas o prototipo, pruebas de aceptación, pruebas de

seguridad y acreditación, pruebas de funcionamiento, controles de cambios; implementación,

y revisión y modificación posteriores a la implementación. No se usan adecuadamente las

bibliotecas de desarrollo, prueba y producción para los sistemas en proceso. En el caso del

Sistema GIGA los cambios se realizan mayoritariamente en forma directa en el ambiente de

producción. El programa de capacitación de usuarios del sistema GIGA no contempló las

diferencias respecto del sistema anterior, los cambios que afectan a la entrada, el

procesamiento, la programación, la distribución, las interfaces con otros sistemas, los errores

y su resolución. Algunos usuarios no están satisfechos con la capacitación recibida. El

desempeño del sistema GIGA se encuentra por debajo del óptimo y el problema no se

soluciona debido a la insuficiencia de infraestructura tecnológica y de personal.


4.2.6. Administración de Cambios

Objetivo de control: Se debe poner en marcha un sistema de administración de cambios que

permita analizar, implementar y seguir todas las modificaciones solicitadas y realizadas en la

infraestructura de Tecnología de la Información existente.



• la eficacia

• la eficiencia

• la integridad




Nivel de madurez: No Conforma. No hay un proceso de administración de cambios definido

y es posible introducir cambios casi sin control alguno. No se ha tomado conciencia de que el

25

cambio puede ser perturbador tanto para las operaciones de Tecnología de la Información

como para las actividades del organismo y no se toma conciencia de los beneficios de una

buena administración de cambios.

Observaciones: Del análisis de la información recibida surge que:

• No existen políticas de cambio claras y conocidas que se implementen en forma rigurosa y

sistemática.

• La administración de cambios no está integrada con la administración de las versiones de

software ni forma parte de la administración de la configuración.

• No existe un proceso rápido y eficiente de planificación, aprobación e iniciación para

identificar, categorizar, evaluar impactos y establecer prioridades para los cambios.

• No se cuenta con herramientas de proceso automatizadas para respaldar la definición de

flujo de trabajo, planes de trabajo normados, plantillas de aprobación, pruebas,

configuración y distribución.

• No hay un proceso formal definido para la transición del ambiente de desarrollo al de

operaciones.

• No se analiza si los cambios tienen impacto en los requisitos de capacidad y desempeño.

• No se dispone de documentación de aplicaciones y configuración completa y actualizada.

• No existe registro completo de los cambios al sistema GIGA solicitados ni de los

efectuados.

• La documentación del sistema GIGA no se modificó pese a los cambios que viene

sufriendo.


4.3. Entrega y Soporte.

4.3.1. Definición y Administración de los Niveles de Servicio.

Objetivo de control: La máxima autoridad debe definir un marco dentro del cual promueva

acuerdos de nivel de servicio que formalicen los criterios de desempeño en virtud de los

cuales se medirá su cantidad y calidad.



26

• la eficacia

• la eficiencia



• la integridad


• el cumplimiento


Nivel de madurez: No Conforma. La gerencia no ha reconocido la necesidad de la

definición de niveles de servicio ni de un proceso para tal fin.

Observaciones: De las reuniones mantenidas y de la documentación recibida surge que no se

definen niveles de servicio y no existen políticas al respecto.

Nivel de riesgo: [ ] Alto [X] Medio [ ] Bajo

4.3.2. Administración de Servicios Prestados por Terceros.

Objetivo de control: La máxima autoridad debe implementar medidas de control orientadas

revisar y monitorear los contratos y procedimientos existentes para garantizar su eficacia y el

cumplimiento de la política del organismo.



• la eficacia

• la eficiencia



• la integridad


• el cumplimiento


Nivel de madurez: No Conforma. Las responsabilidades y la rendición de cuentas no están

definidas. No hay políticas y procedimientos formales para la contratación de terceros. Los

27

servicios de terceros no son aprobados ni revisados por la dirección. No hay actividades de

medición ni informes de los proveedores y en consecuencia la alta gerencia no está al tanto de

la calidad del servicio prestado.

Observaciones: De la información recibida surge que los contratos de algunos servicios que

se le prestan al Organismo ya no están vigentes. En el caso de la administración del sistema

GIGA, los servicios los prestan terceros cuyo contrato ha vencido, y son pagados con la figura

de “legítimo abono”.


4.3.3. Administración de la Capacidad y el Desempeño.

Objetivo de control: Se debe implementar un proceso de administración orientado a

recopilar datos, analizar y generar informes sobre el desempeño de los recursos de Tecnología

de la Información, la dimensión de los sistemas de aplicación y la demanda de cargas de

trabajo.



• la eficacia

• la eficiencia



Nivel de madurez: No Conforma. La alta gerencia no reconoce que las actividades

sustantivas claves pueden requerir altos niveles de desempeño de Tecnología de la

Información y que la necesidad del organismo de tales servicios excede la capacidad

instalada. No se cuenta con ningún proceso de planificación de la capacidad de

procesamiento.

Observaciones: Según la información disponible, no existen en el organismo políticas y

procedimientos formales para la planificación de la capacidad. Si bien se realizan

estimaciones basadas en las expectativas de cambio, la falta de definiciones al respecto

dificulta la concreción y formalización de ampliaciones de una infraestructura que a la fecha

es insuficiente, incluso para las aplicaciones en uso.

28


4.3.4. Garantía de un Servicio Continuo.

Objetivo de control: La máxima autoridad debe implementar un plan probado y operativo de

continuidad de tecnología de información que concuerde con el plan de continuidad general

del organismo y sus requerimientos de actividad relacionados.



• la eficacia



• la eficiencia

Nivel de madurez: No Conforma. No se consideran los riesgos, las vulnerabilidades y las

amenazas para las operaciones de Tecnología de la Información, ni el impacto que la pérdida

de servicios de Tecnología de la Información puede tener en el organismo. No se considera

que la continuidad del servicio requiera la atención de la máxima autoridad y la alta gerencia.

Observaciones: De la información recibida surge que no se ha formalizado un plan de

continuidad del servicio. A pesar de que existe conciencia de los riesgos a los que está

expuesto el Organismo, hasta la fecha no se han emprendido las acciones requeridas para

superarlos.


4.3.5. Garantía de la Seguridad de los Sistemas.

Objetivo de control: La máxima autoridad debe establecer y mantener un programa de

seguridad de la información para implementar los controles de acceso lógico que garanticen

que el acceso a los sistemas, datos y programas esté limitado a los usuarios autorizados.




• la integridad


29


• el cumplimiento


Nivel de madurez: Inicial / Ad Hoc. El organismo reconoce la necesidad de la seguridad de

tecnología de información, pero la concientización depende de cada persona. La seguridad de

tecnología de información se encara en forma reactiva y no se realizan mediciones. Las

responsabilidades no son claras por lo cual las violaciones a la seguridad de tecnología de la

información, si son detectadas, generan la necesidad de señalar a los culpables. Las respuestas

a las violaciones de la seguridad de tecnología de información son impredecibles.

Observaciones: No existe un plan estratégico formal de seguridad. Existe una persona que se

ocupa de los temas de seguridad, pero su cargo, sus misiones y funciones no están definidos

formalmente. No se conoce la existencia de un esquema de clasificación de datos. No existen

responsables de la seguridad y contenido de los datos. No existen perfiles de seguridad de los

usuarios. No se revisan periódicamente los niveles de seguridad y accesos permitidos de los

usuarios. Existen usuarios de la red y del sistema GIGA que son genéricos, no pertenecen a la

organización o gozan de los privilegios correspondientes al personal de gerencias distintas de

la propia. No se capacita a los empleados sobre seguridad informática. No existen

procedimientos formales de presentación de informes sobre violaciones a la seguridad, ni de

resolución de problemas. La red permite sesiones múltiples concurrentes. No existen políticas

para los puestos clave, ni posiciones definidas como tales.


4.3.6. Identificación e Imputación de Costos.

Objetivo de control: Se debe implementar un sistema de imputación de costos que garantice

que se registren, calculen y asignen los costos de acuerdo con el nivel de detalle requerido y el

ofrecimiento de servicio adecuado.



• la eficiencia


30

Nivel de madurez: No Conforma. Se carece totalmente de un proceso reconocible para

identificar e imputar costos con respecto a los servicios de información prestados. El

organismo ni siquiera ha reconocido que haya una cuestión que merezca ser abordada en

cuanto a la contabilización de los costos, y no hay comunicación al respecto.

Observaciones: La máxima autoridad del área entiende que, dada la gravedad de los

problemas que debe enfrentar, el análisis de la imputación de costos es secundario.


4.3.7. Educación y Capacitación de los Usuarios.

Objetivo de control: Se debe establecer y mantener un plan integral de capacitación y

desarrollo.



• la eficacia


• la eficiencia

Nivel de madurez: Inicial / Ad Hoc. Hay evidencia de que el organismo reconoció la

necesidad de un programa de educación y capacitación, pero no hay procesos estandarizados.

En ausencia de un programa organizado, los empleados identifican y asisten a cursos de

capacitación por cuenta propia. Algunos de estos cursos tratan temas de conducta ética,

concientización de seguridad de sistemas y prácticas de seguridad. El enfoque global de la

dirección carece de cohesión y la comunicación de los temas y abordajes de la educación y

capacitación es sólo esporádica y poco coherente.

Observaciones: De la información recibida no surge la existencia de procedimientos para

identificar y documentar las necesidades de capacitación de todo el personal que utiliza

servicios de información. No existen políticas y procedimientos aprobados para la

identificación de las necesidades de capacitación y tampoco un plan de capacitación a

usuarios. La capacitación y concientización en los principios de seguridad no se realiza. El

área de capacitación instruye a los empleados en el uso de herramientas informáticas de

oficina (Excel, Word, etc.). y al personal de sistemas en temas específicos.

31


4.3.8. Asistencia y Asesoramiento a los Usuarios de Tecnología de la Información.

Objetivo de control: Se debe establecer una función de mesa de ayuda que brinde soporte y

asesoramiento de primera línea.



• la eficacia

Nivel de madurez: Inicial / Ad Hoc. El organismo reconoció que se necesita un proceso

apoyado por herramientas y personal para responder a las consultas de los usuarios y

administrar la resolución de problemas. No obstante, no se cuenta con un proceso

estandarizado y sólo se brinda un soporte reactivo. La alta gerencia no monitorea las

consultas, problemas o tendencias. No hay un proceso de escalamiento que ayude a resolver

los problemas.

Observaciones: No existe una mesa de ayuda formal que atienda a los usuarios. Se presta un

servicio de acuerdo a la disponibilidad de personal. En lo referente al sistema GIGA, el

servicio lo presta personal externo sólo en horas de la tarde. No se dispone de documentación

que formalice y estandarice los procedimientos.


4.3.9. Administración de la Configuración.

Objetivo de control: Se deben implementar controles que identifiquen y registren todos los

bienes de Tecnología de la Información y su ubicación física, y un programa de verificación

regular que confirme su existencia.



• la eficacia




32

Nivel de madurez: No Conforma. La alta gerencia no valora los beneficios de contar con un

proceso para la información y administración de la infraestructura de TI, ni para la

configuración de hardware ni de software.

Observaciones: De la documentación recibida se deduce que no existen procedimientos

formales para la administración de la configuración ni está definida la función. Los datos

disponibles no son de calidad y difieren según la oportunidad de la solicitud de información.


4.3.10. Administración de Problemas e Incidentes.

Objetivo de control: Se debe implementar un sistema de administración de problemas que

registre y dé respuesta a todos los incidentes.



• la eficacia

• la eficiencia



Nivel de madurez: No Conforma. No se reconoce la necesidad de administrar problemas e

incidentes. El proceso de resolución de problemas es informal y los usuarios y el personal de

Tecnología de la Información encara los problemas individualmente, caso por caso.

Observaciones: De la información recibida no surge que existan procedimientos formales

para la administración de problemas e incidentes de seguridad, ni sistemas al efecto que

permitan realizar el escalamiento y seguimiento de los problemas y pistas de auditoría.


4.3.11. Administración de Datos.

Objetivo de control: La máxima autoridad debe establecer y mantener una combinación

eficaz de controles generales y de aplicación sobre las operaciones de Tecnología de la

Información.



33

• la integridad


Nivel de madurez: No Conforma. Los datos no están considerados como un recurso y un

bien del organismo. No se asignó la responsabilidad sobre los datos ni rendición de cuentas

individual por su integridad y confiabilidad. La calidad y seguridad de los datos es escasa o

nula.

Observaciones: No existen procedimientos para el monitoreo de exactitud, integridad y

autorización. Los sistemas, en particular el GIGA –desde el cual se autorizan todas las

erogaciones del Organismo–, se alimentan con información generada en aplicaciones “ad

hoc”, desarrolladas fuera del control del área de Tecnología Informática, con utilitarios de

oficina y, por lo tanto, sin satisfacer mínimamente normas de calidad y seguridad.


4.3.12. Administración de Instalaciones.

Objetivo de control: Se deben instalar controles ambientales y físicos adecuados cuya

revisión se efectúe periódicamente a fin de determinar su correcto funcionamiento.



• la integridad


Nivel de madurez: Inicial / Ad Hoc. El organismo reconoce la necesidad de brindar un

entorno físico adecuado que proteja los recursos y el personal contra los peligros generados

por la Naturaleza y por el hombre. No existen procedimientos estándar y la administración de

las instalaciones y los equipos depende de la idoneidad y capacidad de ciertas personas clave.

No se revisan las actividades de maestranza en las instalaciones y el personal se desplaza sin

restricciones. La dirección no monitorea los controles ambientales de las instalaciones ni el

movimiento del personal.

Observaciones: No existe normativa de seguridad informática ni de seguridad física de las

instalaciones. No existe registro del acceso a los centros de procesamiento. Se verificaron

pérdidas de líquidos provenientes de los baños del primer piso que caían sobre el rack de

34

comunicaciones del centro de procesamiento de datos. Los equipos de alimentación de

energía alternativa (fuentes de alimentación de energía ininterrumpible y moto generador) no

tienen mantenimiento preventivo. No existe un plan formal de contingencia.


4.3.13. Administración de Operaciones

Objetivo de control: Se debe establecer de un cronograma de actividades de soporte que se

registre y apruebe para el logro de todas las actividades.



• la eficacia

• la eficiencia


• la integridad


Nivel de madurez: Inicial / Ad Hoc. El organismo reconoce la necesidad de estructurar las

funciones de soporte de Tecnología de la Información. Sin embargo, no hay procedimientos

estándares establecidos y las actividades son de tipo reactivo. La mayoría de las operaciones

no están formalmente programadas y los pedidos de procesamiento se aceptan sin validación

previa. Las computadoras que dan soporte a los procesos con frecuencia sufren interrupciones

y demoras. Los empleados pierden tiempo por tener que esperar los recursos. Los sistemas no

son estables ni están disponibles.

Observaciones: De la información recibida no surge evidencia que sustente:

• la totalidad del procesamiento ejecutado, arranques en frío, reinicios y

recuperaciones;

• las estadísticas de finalización de cronogramas, a fin de confirmar que se cumple

satisfactoriamente con todos los requerimientos;

• la separación física y lógica de las bibliotecas fuente y objeto de prueba, desarrollo y

producción y los procedimientos de control de cambios para trasladar programas entre

las bibliotecas;

35

• las estadísticas de desempeño de las actividades operativas, incluyendo, entre otras:

o capacidad, utilización y desempeño del hardware y periféricos;

o utilización y desempeño de la memoria de los equipos principales;

o utilización y desempeño de telecomunicaciones.

Tampoco se tuvo conocimiento de la existencia de manuales de instrucciones y

procedimientos de operación, documentación del proceso de puesta en marcha y otras tareas,

programas de trabajo y registro de operaciones.


4.4. Monitoreo.

4.4.1. Monitoreo de los Procesos.

Objetivo de control: La máxima autoridad debe impulsar la definición de indicadores del

desempeño relevantes, el informe sistemático y oportuno del desempeño y la acción inmediata

en caso de desviaciones.



• la eficacia


• la eficiencia


• la integridad


• el cumplimiento


Nivel de madurez: No conforma. El organismo no tiene procesos de monitoreo

implementados. La función de Tecnología de la Información no realiza el monitoreo de los

proyectos y procesos en forma independiente. No se cuenta con informes útiles, puntuales y

precisos. No se reconoce la necesidad de objetivos de proceso claramente entendidos.

Observaciones: De la información recibida se desprende que no se han establecido

formalmente políticas, procedimientos, objetivos e indicadores de desempeño.

36

Consecuentemente, no se realiza el monitoreo continuo y sistemático de la actividad del área

de tecnología de la información.


4.5. Procedimientos Operacionales.

A continuación se describen brevemente los circuitos administrativos informales que

efectivamente realiza la Administración General de Puertos en cada sector involucrado en el

uso del sistema GIGA y las observaciones correspondientes.

4.5.1. Gerencia de Abastecimiento.

Existe un agente que realiza las siguientes actividades:

• Carga la solicitud del gasto para todas las Gerencias de la Sociedad excepto para la

Gerencia de Ingeniería, donde la carga la realiza un agente propio.

• Carga en el Sistema la aprobación del gasto realizada por el Gerente General, con firma

hológrafa en el expediente en papel, ejerciendo atribuciones del Gerente General.

• Controla que Presupuesto haya realizado la reserva preventiva en la base de datos del

sistema y en el expediente.

• Carga solamente la oferta adjudicada y, ejerciendo atribuciones del Gerente General, la

aprueba.

• Controla que Presupuesto haya realizado el compromiso presupuestario.

• Emite la orden de compra en Excel.

• Carga en el sistema el ingreso controlado por el depósito o, si fuera el caso, la recepción

de obras y/o servicios controlada por el sector solicitante.

• Manualmente realiza el seguimiento de la orden de compra antes de mandar las facturas

correspondientes a pagos parciales al sector de Administración.

• Sin intervención del sistema controla las Garantías de Oferta y de Ejecución.

En la gerencia se utiliza un sistema propio de seguimiento interno de expedientes además del

sistema de expedientes propio del organismo, ambos independientes del GIGA. La iniciación

37

de la licitación no se carga al Sistema pues, a juicio de la Gerencia, la carga del acta de

apertura, llevaría demasiado tiempo. Se hace la apertura con los totales globales y en los tres

días siguientes, durante la vista de ofertas, arman en Excel el cuadro comparativo. La

preadjudicación es manual y se informa al Gerente General en papel con resumen de lo

actuado y solicitud de aprobación.

Observaciones:

• La gerencia carga en el sistema las solicitudes de bienes y servicios de toda la

organización transcribiendo formularios generados en distintas áreas. Esto induce a

errores de interpretación por falta de conocimientos específicos y repercute en la

integridad y confiabilidad del sistema.

• Un mismo agente realiza varias operaciones utilizando distintos perfiles de usuario (por

ejemplo: Jefe de Departamento, Subgerente de Organización y Sistemas y Gerente

General), lo que reduce la calidad del control por oposición y afecta seriamente la

eficacia, confidencialidad, integridad y confiabilidad de la información.

• El sistema es subutilizado por la Gerencia, dado que el Reglamento de Contrataciones que

se aplica es posterior a su puesta en marcha y nunca se lo adaptó.

• El uso de planillas Excel conspira contra la seguridad, la integridad y confiabilidad en el

manejo de datos.

• Se realizan tareas innecesarias por falta de confianza en el sistema.

• La operatoria llevada a cabo por la Gerencia de Abastecimiento consiste en analizar las

ofertas a partir de planillas Excel con los datos, y no utilizando el sistema. Esto implica el

riesgo de que haya habido errores en la transcripción de datos y la pérdida de la

información histórica de las ofertas recibidas. Afecta la eficacia, la eficiencia, la

integridad, la disponibilidad, el cumplimiento y la confiabilidad de la información.

• Algunas tareas no están automatizadas, se realizan manualmente, lo que afecta la eficacia

y eficiencia de la organización.


4.5.2. Gerencia de Administración.

38

4.5.2.1. Presupuesto.

Se utiliza la función del sistema “Formulación de Gastos” para cargar los créditos del

Presupuesto.

La Ejecución del Presupuesto se imputa en las cuatro etapas según corresponda: Preventivo,

Comprometido, Devengado y Pagado. Se utiliza el GIGA para automatizar todas las

imputaciones, lo que permite realizar las modificaciones que sean necesarias.

Se controla la imputación preventiva propuesta por el sistema, en cuanto a su concordancia

con lo establecido en la Formulación del Gasto y, en caso de ser correcta, se la confirma.

Se puede aprobar, modificar o anular la operación según corresponda.

Si la operación se aprueba, se emite el comprobante Preventivo.

Se confirma la imputación del Compromiso realizada en forma automática por el sistema,

antes de emitir la Orden de Compra.

Se emite el comprobante de Compromiso.

Se cargan los datos en el sistema de los Compromisos Directos a través de la función

correspondiente.

Se verifican todas las imputaciones presupuestarias realizadas en forma automática por el

sistema por medio de reportes generados en el GIGA.

Observaciones. En la formulación del gasto se les asignan a los sectores conceptos que no les

corresponden (por ejemplo, la Gerencia Jurídica tiene adjudicada partidas para la compra de

aceitunas). Esta circunstancia hace ineficaz el control interno del sistema, pues permite a un

sector emitir solicitudes de gastos no acordes a lo presupuestado ni a sus misiones y

funciones.

Nivel de riesgo: [ ] Alto [ ] Medio [ X ] Bajo

4.5.2.2. Tesorería.

Recibe las facturas a ser cobradas. Selecciona la operación en el aplicativo, y el sistema emite

el recibo correspondiente.

Cobra los fondos pagados por el cliente (en efectivo o en cheque) y carga la información.

Emite las notas de crédito solicitadas por Cuentas Corrientes.

39

Al finalizar el día se emite un informe del aplicativo GIGA denominado Parte Diario que

permite controlar las operaciones registradas cotejándola con la documentación respaldatoria.

Se confeccionan en forma manual las boletas de depósito para las cuentas bancarias que

correspondan y se depositan los valores.

Se realiza el pago a Proveedores en base a las Órdenes de Pago autorizadas.

Se consultan en el GIGA los pagos a realizar durante el día.

Una vez verificado que la Orden de Pago se encuentre debidamente firmada por los

responsables, se emite –en forma manual– el cheque y se lo envía a la firma del responsable

autorizado.

En el momento en que el beneficiario retira el cheque, se accede al GIGA para registrar la

operación y emitir el Recibo de Pago correspondiente.

Se realizan las conciliaciones bancarias en planillas de Excel.

El personal externo de administración del Sistema, a pedido de Tesorería, corrige importes en

los asientos generados por operaciones de ese sector debidos a montos mal ingresados. Lo

hacen modificando en forma directa el contenido de la base de datos, sin utilizar el Sistema.

Estas operaciones son autorizadas por el Gerente de Administración.

En determinadas circunstancias se reciben cheques de los clientes de AGP por montos

inferiores a los facturados.

Observaciones:

• No se utiliza la función de emisión automática de cheques proporcionada por el sistema.

• Existe una función del sistema GIGA para la conciliación bancaria que no se utiliza.

• La manipulación de la base de datos en forma directa evita los controles internos del

Sistema.

• No existe una función del Sistema específica para la operación, autorizada por la

Intervención, de cobro parcial de facturas. Lo que se utiliza es la función Cobro

Anticipado, que no corresponde estrictamente. Esta situación dificulta la conciliación de

las Cuentas Corrientes.

Estas observaciones permiten afirmar que existe pérdida de confiabilidad e integridad de los

datos de la base del sistema GIGA.

40

Nivel de riesgo: [ X ] Alto [ ] Medio [ ] Bajo

4.5.2.3. Contabilidad.

Verifica las imputaciones contables realizadas en forma automática por el sistema contra la

documentación respaldatoria.

Carga los asientos por ajustes de conciliaciones bancarias realizadas en planillas de Excel

suministradas por Tesorería.

Calcula en forma manual las diferencias por cambio de cotizaciones y realiza los asientos

correspondientes.

Realiza los asientos manuales de ajustes que correspondan. En algún caso se cargan asientos

manuales con fecha distinta a la del día corriente mediante la modificación de la fecha de

operación usando la función Fecha de Operación.

En el caso de ingresar un nuevo Objeto de Gasto que no tenga asociada la cuenta

correspondiente, el Gerente del área solicita la apertura o asignación, según corresponda, de la

cuenta contable en el momento de realizar la imputación.

Observaciones:

• Por falta de un procedimiento interno adecuado se dan de alta las cuentas patrimoniales

sin identificar la cuenta contable ni presupuestaria a las que corresponden, lo cual afecta la

eficiencia de los procesos de compras y contrataciones.

• La función Fecha de Operación del Sistema es usada por más personas que las

imprescindibles, por lo cual se pierde la confiabilidad e integridad de la información.

• Se han detectado errores en las relaciones, establecidas por los usuarios del Sistema, entre

las cuentas patrimoniales y las cuentas presupuestarias, lo cual genera errores en las

imputaciones contables automáticas y, luego, en el balance de sumas y saldos.


4.5.2.4. Cuentas Corrientes.

Aplica las Notas de Crédito y los cobros anticipados en la cuenta corriente de los clientes.

Una vez por semana emite, por el sistema, el detalle de las cobranzas.

Inhabilita en el sistema, en forma manual, a los clientes que tengan una factura vencida,

previa autorización por escrito de un responsable.

41

Recibe las solicitudes de altas de clientes y los ingresa al sistema.

Observaciones: El hecho de que la inhabilitación de los clientes morosos se realice en forma

manual permite que se pueda omitir la acción.


4.5.2.5. Liquidaciones.

El sector recibe la información externa para liquidar y emite las facturas cargando en el

sistema los datos que se obtienen de las diversas documentaciones que presenta el cliente,

como por ejemplo declaraciones juradas de importación-exportación, liquidación de tasa a las

cargas, liquidación de pasavantes, liquidación de patentes de buques, etc.

El sector de Liquidaciones carga en el sistema GIGA los datos consignados en la

documentación, el responsable del área verifica la liquidación y, en el caso de ser correcta, se

imprimen, por medio del sistema, las facturas por cuadruplicado. Se entregan tres copias al

cliente y queda una en el sector.

Observaciones: Sin observaciones.

Nivel de riesgo: No aplicable.

4.5.3. Operación General. Observaciones.

• Cada área del Organismo opera como si estuviera aislada del resto. No existe conciencia

de la interdependencia que un sistema de gestión integral supone en el funcionamiento

general.

• No existen manuales de procedimientos que regulen la operación de los sectores

involucrados.

4.6. Funcionamiento del sistema Giga.

Se realizó un simulacro de operación del sistema desde el origen de la transacción hasta su

conclusión en registración contable, para los siguientes circuitos:

• Compras

• Facturación

Los datos utilizados correspondían a una copia de las bases que estaban operativas a fines de

2004.

4.6.1. Pruebas realizadas de circuitos completos del Sistema.

42

4.6.1.1. Circuito de Compras.

La prueba se realizó solicitando la compra de una resma de “Papel Obra Oficio de 210 x 297

(resma) A4” (sic), artículo registrado bajo el código 1.01.003.115 del nomenclador, por un

valor unitario de $30.

Se afectó el gasto a la partida 01.01.01.A10.02.03.05 correspondiente a la formulación de

gastos de la Asesoría Jurídica para Bienes de Consumo – Artículos de Escritorio – Productos

de papel y cartón.

Se realizó el compromiso del gasto a la misma partida.

Se seleccionó la opción de compra Con Invitación cargando dos proveedores para la solicitud

de precios.

Se adjudicó la compra al proveedor propuesto por el sistema en base al menor precio ofertado.

Se emitió la Orden de Compra por medio del sistema.

Se realizó la recepción en almacenes del material solicitado.

Se cargó la factura proporcionada por el proveedor.

Se generó la Orden de Pago correspondiente.

Se realizó el pago mediante dos cheques de distintos bancos (los cheques no fueron emitidos

utilizando el sistema).

Se generaron los recibos correspondientes.

Se verificaron los Libros de IVA Compras, el Mayor de la cuenta Proveedores, el Libro

Diario y los listados de Cheques Pagados y Órdenes de Pago Presupuestarias.

Observaciones:

• Hay ítems que no están correctamente descriptos en el nomenclador (vg., el tamaño de

papel es oficio o A4; pero no ambos a la vez).

Genera incertidumbre respecto al bien en cuestión y es una posible fuente de error.

• Cualquier sector puede generar solicitudes para cualquier otro sector; el control interno

que lo evitaba fue levantado.

Implica pérdida de integridad y confiabilidad de la información.

• En la modificación de la solicitud de gasto no realiza el cambio de sector solicitante,

mantiene siempre el sector del usuario que ingresó al sistema.

43

• En la tarea Autorizador de Transacciones no se visualiza la fecha de alta del comprobante

a autorizar, aparece en blanco.

• La tarea de Gestión de Compras cuando se pasa del Preventivo a la Gestión de Compra

selección por defecto el tipo de compra en Contratación Directa Trámite Simplificado,

modificando el tipo de contratación seleccionado en el proceso anterior.

Afecta el control interno del Sistema sobre el cumplimiento del Reglamento de

Contrataciones e induce a eventuales errores.

• La tarea Cotización de Proveedores admite cargar una cotización con importes negativos.

Implica pérdida de integridad por eventuales errores en el ingreso de datos.

• La recepción de facturas de Proveedores permite ingresar un importe mayor al

comprometido y continuar con el circuito sin ningún tipo de obstáculo.

Pérdida de eficacia, eficiencia y confiabilidad.


4.6.1.2. Circuito de Liquidaciones.

• Se emitió una factura por el concepto de Tasa a las Cargas.

• Se imprimió el comprobante donde se verificaron todos los importes.

• Se verificó la cuenta corriente con el ingreso de la factura emitida.

• Se registró el cobro mediante recibos de Tesorería donde se ingresaron cheques de

terceros.

• Se aplicó diferidamente la cobranza.

• Se listó la minuta de recaudación coincidente con el ingreso realizado.

• Se realizó la impresión del detalle de los Instrumentos de Cobro.

• Se imprimió el Libro Diario con los registros de todos los movimientos realizados.

• Se depositaron los cheques ingresados.



4.6.2. Pruebas realizadas a funciones individuales.

Administración de Bienes y Patrimonio.

Observaciones:

44

• En el listado Anexo Bienes de Consumo al 25/02/2005 se detectó el código 1.01.019.025

con descripción “Cartucho de tinta para impresora Epson T029201” con cantidad negativa

(-1, menos uno)

• No se pudo ingresar al módulo Composición de Bienes debido a un error en el programa

en la línea 240 (data server: cmd:o, getrst: ora-01422).

Contabilidad.

Observaciones:

• En los reportes de Mayor y sumas y saldos no se informa a qué período corresponde cada

reporte.

• La utilización de la función Fecha de Operación, que permite cambiar la fecha con la cual

se registran las operaciones contables, es una de las causas de los problemas que impiden

el cierre de los balances.

Operación General. Observaciones:

• El Sistema no provee ayuda en línea, a pesar que fue requerida en el pliego de

contratación.

• Existen mensajes de error que brinda el sistema que resultan no significativos para el

usuario.

• El Sistema no tiene un módulo de Auditoría que permita al auditor examinar los registros

en forma sencilla. Su análisis requiere conocimientos de informática.

• Los usuarios no utilizan algunos reportes, por falta de confianza o porque no saben que

existen. Esta situación dificulta la detección de errores en el sistema (por ejemplo, los de

parametrización).

• Al Sistema le faltan opciones de impresión que eviten la necesidad de capturar pantallas

para generar comprobantes.

• No existen procedimientos formales para la comunicación de problemas o fallas del

Sistema al personal externo de soporte. Las comunicaciones son informales y en algunos

casos no aportan suficiente información para subsanar el problema.

45

5. Comunicación del proyecto de informe y análisis de los descargos formulados por la

Administración General de Puertos S.E..

El proyecto de informe de auditoría fue enviado al organismo auditado para que formule las

observaciones y/o comentarios que estime pertinentes, con fecha 22 de agosto de 2005, por

Nota AGN N° 20/05 AG4. Los mismos fueron remitidos por la Administración General de

Puertos S.E., con fecha 22 de noviembre de 2005 a través de la Nota N° 814 AGP.

Cabe aclarar que la respuesta a la vista tiene los comentarios de 3 gerencias distintas en

documentos no integrados. Además en la Nota N° 814 AGP del Sr. Interventor del Organismo

se indica que van a seguir las recomendaciones del Informe de Auditoría y se incluye una

solicitud de aclaración que es satisfecha en el Anexo VI.

Por el motivo citado los comentarios a las respuestas se organizan de la siguiente manera:

• Si no se indica a que gerencia corresponde se trata de la Subgerencia de Organización y

Sistemas.

• En el resto se aclara a que gerencia corresponde.

Por último, no solamente existieron respuestas de la Administración General de Puertos a

nuestras Observaciones, sino que también incorporaron párrafos correspondientes a las

Aclaraciones Previas (punto 3.5 en adelante).

Como consecuencia del análisis del descargo presentado por el organismo auditado (que

consta como Anexo V), se ratifican las observaciones oportunamente formuladas.

6. Recomendaciones


6.1.1. Definición de un Plan estratégico de Tecnología de la Información: La alta gerencia

debe implementar planes a corto y largo plazo que sean compatibles con la misión y las metas

de la organización. En este aspecto, debe garantizar que:

- la tecnología de información forme parte del plan de la organización a corto y largo plazo:

- se elabore un Plan de Tecnología de la Información a largo plazo;

- se actualice el enfoque y la estructura de la planificación de Tecnología de la Información a

largo plazo;

- se realicen los cambios del plan de Tecnología de la Información a largo plazo;

46

- se elabore la planificación a corto plazo de la función de servicios de información;

- se comuniquen los planes de Tecnología de la Información;

- se controlen y evalúen los planes de Tecnología de la Información;

- se evalúen los sistemas existentes.

6.1.2. Definición de la Arquitectura de la Información: La máxima autoridad debe

impulsar la creación y el mantenimiento de un modelo que contemple lo siguiente:

- un modelo de arquitectura de la información;

- el diccionario de datos del organismo y reglas de sintaxis de los datos;

- un esquema de clasificación de los datos;

- los niveles de seguridad.

6.1.3. Determinación de la dirección tecnológica: Se debe crear y actualizar periódicamente

un plan de infraestructura tecnológica que incluya aspectos tales como la arquitectura de los

sistemas, la dirección tecnológica y las estrategias de información.

6.1.4. Definición de la organización y las Relaciones de Tecnología de la Información: Al

ubicar la función de servicios de información dentro de la estructura del organismo, la alta

gerencia debe garantizar autoridad, masa crítica e independencia de las áreas de usuarios en la

medida necesaria para lograr soluciones de tecnología de información eficientes. En este

aspecto se debe asegurar:

- la designación de un comité de planificación de Tecnología de la Información;

- la correcta ubicación de la función de servicios de información en el organismo;

- la revisión de los logros organizacionales;

- los roles y responsabilidades;

- la responsabilidad sobre el aseguramiento de calidad;

- la responsabilidad sobre la seguridad lógica y física;

- la propiedad y custodia de los datos;

- la supervisión de las actividades de Tecnología de la Información;

- la separación de funciones;

- la competencia del personal de Tecnología de la Información;

- las descripciones de los puestos del personal de Tecnología de la Información;

47

- las políticas y procedimientos relativos al personal contratado;

- las relaciones de coordinación, comunicación y enlace.

6.1.5. Administración de la Inversión en Tecnología de Información: Debe implementarse

un proceso de formulación presupuestaria que contemple lo siguiente:

- un presupuesto operativo anual de Tecnología de la Información;

- el monitoreo de costos y beneficios;

- la justificación de costos y beneficios.

6.1.6. Comunicación de los Objetivos y Directivas de la Gerencia: Se debe implementar

un marco y un programa de concientización que propicien un ambiente de control positivo en

todo el organismo. Este marco debe abordar la integridad, los valores éticos y la competencia

de las personas, la filosofía de gestión, el estilo operativo y la rendición de cuentas. En este

aspecto, la máxima autoridad y la alta gerencia deben garantizar:

- las responsabilidades sobre la formulación de las políticas;

- la comunicación de las políticas del organismo;

- la disponibilidad de los recursos para la implementación de políticas;

- el mantenimiento de políticas;

- el cumplimiento de las políticas, los procedimientos y las normas;

- el compromiso con la calidad;

- la política marco de seguridad y control interno;

- la observancia de los derechos de propiedad intelectual;

- la comunicación de la concientización en materia de seguridad.

6.1.7. Administración de los Recursos Humanos: El organismo debe contar con una fuerza

laboral que tenga las habilidades necesarias para lograr sus metas. En este aspecto, la máxima

autoridad y la alta gerencia deben garantizar que se realicen:

- la selección y promoción del personal;

- la formación y experiencia del personal;

- la definición de roles y responsabilidades;

- la capacitación del personal, en particular la necesaria para poder transferir a AGP la

tecnología del sistema GIGA;

48

- la capacitación cruzada o de personal de reemplazo;

- los procedimientos de verificación de antecedentes del personal;

- la evaluación del desempeño laboral;

- el cambio de puestos y la seguridad en la extinción de la relación laboral.

6.1.8. Evaluación de Riesgos: Se debe establecer un marco de evaluación sistemática de

riesgos. Dicho marco debe incorporar una evaluación periódica de los riesgos de información

relacionados con la consecución de los objetivos del organismo, que constituya una base para

determinar cómo deben administrarse los riesgos a un nivel aceptable. En este aspecto, la alta

gerencia debe garantizar que se realice:

- una evaluación de riesgos de la actividad;

- la identificación de riesgos;

- la medición de riesgos;

- un plan de acción de reducción de riesgos;

- la aceptación de riesgos.

6.1.9. Administración de Proyectos: Se debe establecer un marco de administración de

proyectos que contemple, como mínimo, la asignación de responsabilidades, división de

tareas, presupuestación del tiempo y los recursos, plazos, puntos de verificación y

aprobaciones. En este aspecto, la alta gerencia debe garantizar que:

- se aplique un marco de administración de proyectos;

- se contemple la participación del departamento de usuarios en el inicio del proyecto;

- se asignen miembros y responsabilidades del equipo del proyecto;

- exista una definición del proyecto;

- se aprueben las fases del proyecto;

- exista un plan maestro del proyecto;

- se defina un plan de garantía de calidad del sistema;

- se implemente la administración formal de riesgos del proyecto;

- se elabore un plan de pruebas;

- se diseñe un plan de capacitación;

- se desarrolle un plan de revisión posterior a la implementación.

49

6.1.10. Administración de la Calidad: Debe desarrollarse y mantenerse periódicamente un

plan general de calidad basado en los planes del organismo y de tecnología de información a

largo plazo. En este aspecto, la alta gerencia debe garantizar que exista:

- un plan general de calidad;

- un enfoque de garantía de calidad;

- una planificación de garantía de calidad;

- la revisión de garantía de calidad;

- una metodología del ciclo de vida del desarrollo de sistemas;

- una metodología del ciclo de vida del desarrollo de sistemas para la introducción de cambios

importantes en la tecnología existente;

- la actualización de la metodología del ciclo de vida del desarrollo de sistemas;

- la coordinación y comunicación entre los usuarios y el personal de Tecnología de la

Información;

- un marco de adquisición y mantenimiento de la infraestructura tecnológica;

- un marco para las relaciones con terceros a cargo de la implementación;

- la observación de las normas de documentación de programas verificando que:

• se cumplan las normas de prueba de programas;

• se cumplan las normas de prueba de sistemas;

• se utilicen pruebas en paralelo o bien pruebas piloto.

- la documentación de pruebas de sistemas



Se debe implementar una metodología del ciclo de vida de desarrollo de sistemas (CVDS)

para el organismo con la especificación de los requerimientos funcionales y operativos de las

soluciones, incluidos el rendimiento, la seguridad, confiabilidad, compatibilidad y legislación.

Además, la metodología del CVDS debe contemplar un plan de estrategias de adquisición de

software y de evaluación de requerimientos y especificaciones para la contratación de terceros

proveedores de servicios. En este aspecto, se debe garantizar la eficacia de los procedimientos

50

y prácticas establecidas para las siguientes tareas y/o actividades de Tecnología de la

Información:

- definición de los requerimientos de información;

- formulación de cursos alternativos de acción;

- formulación de la estrategia de adquisición;

- formulación de requisitos para servicios prestados por terceros:

- estudio de factibilidad tecnológica;

- estudio de factibilidad económica;

- definición de la arquitectura de la información;

- informe de análisis de riesgos;

- controles de seguridad económicos;

- diseño de pistas de auditoría;

- adecuación ergonómica;

- selección del software de sistemas;

- control de compras;

- adquisición de productos de software;

- mantenimiento del software de terceros;

- programación contratada de aplicaciones;

- aceptación de las instalaciones;

- aceptación de la tecnología.


Se deben establecer procedimientos y técnicas adecuadas para la aplicación de la metodología

del ciclo de vida de desarrollo de sistemas (CVDS) del organismo, que impliquen una

coordinación estrecha con los usuarios, para crear y verificar las especificaciones de diseño de

cada proyecto de desarrollo de un sistema nuevo. En este aspecto, debe garantizarse la

eficacia de los procedimientos y prácticas establecidas para las siguientes tareas y/o

actividades de Tecnología de la Información:

- normalización de los métodos de diseño;

- registración de los cambios importantes de los sistemas existentes;

51

- aprobación del diseño;

- definición y documentación de los requerimientos de archivos;

- especificación de programas;

- diseño de la recopilación de datos fuente;

- definición y documentación de los requerimientos de entrada;

- definición de interfaces;

- normalización de la interfaz usuario-máquina;

- definición y documentación de los requerimientos de procesamiento;

- definición y documentación de los requerimientos de salida;

- normalización de la controlabilidad;

- establecimiento de la disponibilidad como factor clave del diseño;

- normalización de las especificaciones de integridad de tecnología de información en

programas de aplicación;

- realización de las pruebas del software de aplicación;

- desarrollo de materiales de soporte y referencia del usuario;

- reevaluación del diseño de sistemas.


Garantizar la eficacia de los procedimientos y prácticas establecidas para las siguientes tareas

y/o actividades de Tecnología de la Información:

- evaluación del hardware y el software nuevos;

- mantenimiento preventivo del hardware;

- atender a la seguridad del software del sistema;

- instalación del software del sistema;

- mantenimiento del software del sistema;

- realizar los controles de cambios del software del sistema.


Utilizar una metodología del ciclo de vida del desarrollo de sistemas (CVDS) del organismo

de manera tal de garantizar la definición oportuna de los requerimientos operativos y niveles

de servicio, la preparación de manuales de usuario y de operaciones y el desarrollo de

52

materiales de capacitación. En este aspecto, la alta gerencia y el funcionario principal de

servicios de información deben verificar la eficacia de los procedimientos y prácticas

establecidas para las siguientes tareas y/o actividades de Tecnología de la Información:

- los requerimientos operativos y niveles de servicio;

- la confección de manuales de procedimientos del usuario;

- la confección del manual de operaciones;

- la preparación de los materiales de capacitación.

6.2.5. Instalación y Acreditación de Sistemas de Aplicación

Se debe preparar, revisar y aprobar un plan de implementación o modificación de los sistemas

de aplicación. En este aspecto, la alta gerencia y el funcionario principal de servicios de

información deben garantizar la eficacia de los procedimientos y prácticas establecidas para

las siguientes tareas y/o actividades de Tecnología de la Información:

- capacitación de los usuarios y personal de servicios de información;

- dimensionamiento del desempeño del software de aplicación;

- desarrollar el plan de implementación;

- conversión de sistemas de aplicación;

- conversión de datos;

- definir la estrategia y los planes de prueba;

- realizar la prueba de cambios;

- establecer criterios de ejecución de pruebas paralelas o bien pruebas piloto;

- realizar la prueba de aceptación final;

- realizar las pruebas de acreditación de seguridad;

- realizar la prueba de funcionamiento;

- transición a producción;

- evaluación del cumplimiento de los requerimientos del usuario;

- revisión de la gerencia posterior a la implementación.


Implementar procedimientos específicos para tratar los pedidos de cambios, mantenimiento de

sistemas y mantenimiento del proveedor. En este aspecto, la alta gerencia y el funcionario

53

principal de la función de servicios de información deben garantizar la eficacia de los

procedimientos y prácticas establecidas para las siguientes tareas y/o actividades de

Tecnología de la Información:

- inicio y control de solicitudes de cambio;

- evaluación del impacto;

- control de cambios;

- realizar los cambios de emergencia;

- desarrollar documentación y procedimientos;

- mantenimiento autorizado;

- establecer políticas de versiones de software;

- distribución de software.


6.3.1. Definición y Administración de los Niveles de Servicio: Garantizar la eficacia de las

políticas y prácticas establecidas para las siguientes tareas y/o actividades de Tecnología de la

Información:

- establecer marco de acuerdos de nivel de servicio;

- procedimientos de ejecución;

- monitoreo e informes;

- revisión de los contratos y acuerdos de nivel de servicio;

- establecer un programa de mejora del servicio.

6.3.2. Administración de Servicios Prestados por Terceros: Se debe verificar que los

servicios prestados por terceros se identifiquen de modo adecuado y que la interrelación

técnica y funcional con los proveedores esté documentada. En este aspecto, la máxima

autoridad y la alta gerencia deben garantizar la eficacia de las políticas y practicas


- interrelación con proveedores de Tecnología de la Información;

- asignar la responsabilidad por las relaciones;

- formalización de contratos con terceros;

- evaluación del conocimiento y la experiencia de terceros;

54

- formalización de contratos de tercerización que incluyan los acuerdos de confidencialidad;

- asegurar la continuidad de los servicios;

- acordar las relaciones de seguridad;

- monitoreo de la prestación del servicio.

6.3.3. Administración de la Capacidad y el Desempeño: La máxima autoridad y la alta

gerencia deben garantizar la eficacia de las políticas y prácticas establecidas para las

siguientes tareas y/o actividades de Tecnología de la Información:

- identificación de requerimientos de disponibilidad y desempeño;

- establecer un plan de disponibilidad;

- monitoreo e informes del desempeño de los recursos de Tecnología de la Información;

- utilización de herramientas para la creación de modelos;

- administración proactiva del desempeño;

- la realización de pronósticos de la carga de trabajo;

- administración de la capacidad de los recursos;

- establecer la disponibilidad de recursos;

- planificación de recursos.

6.3.4. Garantía de un Servicio Continuo: Se debe crear un marco de continuidad que defina

los roles, responsabilidades, enfoque, normas y estructuras para documentar un plan que

garantice el servicio continuo. En este aspecto, la alta gerencia y el funcionario principal de

servicios de información deben garantizar la eficacia de las políticas y practicas establecidas

para las siguientes tareas y/o actividades de Tecnología de la Información:

- un marco de continuidad de Tecnología de la Información;

- definir estrategias y filosofía del plan de continuidad de Tecnología de la Información;

- establecer los contenidos del plan de continuidad de Tecnología de la Información;

- reducción de los requerimientos de continuidad de Tecnología de la Información;

- mantenimiento del plan de continuidad de Tecnología de la Información;

- realizar la prueba del plan de continuidad de Tecnología de la Información;

- capacitación en el plan de continuidad de Tecnología de la Información;

- distribución del plan de continuidad de Tecnología de la Información;

55

- resguardar el procesamiento alternativo del usuario;

- identificar recursos críticos de Tecnología de la Información;

- definir el sitio y equipamiento alternativos;

- almacenar el resguardo en sitio alternativo;

- reevaluación periódica del plan.

6.3.5. Garantía de la Seguridad de los Sistemas: La alta gerencia y el funcionario principal

de servicios de información deben garantizar la eficacia de las políticas y prácticas


- administración de las medidas de seguridad;

- identificación, autenticación y acceso;

- la seguridad del acceso en línea a los datos;

- administración de cuentas de usuarios;

- revisión de la gerencia de cuentas de usuarios;

- el control ejercido por el usuario en sus propias cuentas;

- la supervisión de la seguridad;

- clasificación de los datos;

- administración centralizada de identificaciones y derechos de acceso;

- informes de violación y actividades de seguridad;

- manejo de incidentes;

- reacreditación;

- autorización de transacciones;

- establecer la imposibilidad de rechazo;

- definir ruta de acceso confiable;

- protección de las funciones de seguridad;

- administración de claves criptográficas;

- prevención, detección y corrección de software malicioso;

- establecer arquitectura de firewalls y conexiones con redes públicas;

- protección del valor electrónico.

56

6.3.6. Identificación e Implementación de Costos: La máxima autoridad y la alta gerencia

deben garantizar la eficacia de las políticas y prácticas establecidas para las siguientes tareas

y/o actividades de Tecnología de la Información:

- identificar ítems imputables;

- definir procedimientos de determinación de costos;

- utilizar procedimientos de cargos e imputación de costos al usuario.

6.3.7. Educación y capacitación de los Usuarios: La máxima autoridad debe garantizar la

eficacia de las políticas y practicas establecidas para las siguientes tareas y/o actividades de


- identificación de necesidades de capacitación;

- organización de sesiones de capacitación;

- capacitación y concientización en los principios de seguridad.

6.3.8. Asistencia y Asesoramiento a los Usuarios de Tecnología de la Información: El

funcionario principal de servicios de información debe garantizar la eficacia de las políticas y

prácticas establecidas para las siguientes tareas y/o actividades de Tecnología de la

Información:

- el soporte al usuario mediante la mesa de ayuda;

- registro de consultas de usuarios;

- escalamiento de consultas de usuarios;

- monitoreo de soluciones;

- análisis e informe de tendencias.

6.3.9. Administración de la Configuración: El funcionario principal de servicios de

información debe garantizar la eficacia de las políticas y prácticas establecidas para las


- registro de la configuración;

- establecer el nivel básico de configuración;

- registro del estado de la configuración;

- control de la configuración;

- detectar el software no autorizado;

57

- almacenamiento del software;

- administración de configuración;

- seguimiento y control de versiones de software.

6.3.10. Administración de Problemas e Incidentes: El funcionario principal de servicios de

información debe garantizar la eficacia de las políticas y practicas establecidas para las


- sistema de administración de problemas;

- escalamiento de problemas;

- seguimiento de problemas y pistas de auditoría;

- autorizaciones de emergencia y acceso temporario;

- establecer las prioridades de procesamiento de emergencia.

6.3.11. Administración de Datos: La alta gerencia, los responsables de programas y

actividades y el funcionario principal de servicios de información deben garantizar la eficacia

de los procedimientos y prácticas establecidas para las siguientes tareas y/o actividades de


- preparación de datos;

- autorización de documentos fuente;

- recopilación de datos de documentos fuente;

- manejo de errores de documentos fuente;

- conservación de documentos fuente;

- autorización de entrada de datos;

- verificación de exactitud, integridad y autorización;

- control de errores de entrada de datos;

- asegurar la integridad del procesamiento de datos;

- validación y edición del procesamiento de datos;

- administración de errores del procesamiento de datos;

- manejo y conservación de salidas;

- distribución de salidas de datos;

- balanceo y conciliación de salidas de datos;

58

- revisión y manejo de errores de salidas de datos;

- seguridad en la distribución de los informes de salida;

- protección de información crítica durante la transmisión y el transporte;

- protección de información crítica eliminada;

- administración del almacenamiento;

- establecer períodos de conservación y condiciones de almacenamiento;

- establecer un sistema de administración de biblioteca de medios;

- definir las responsabilidades de administración de la biblioteca de medios;

- resguardo y restauración;

- tareas de resguardo;

- almacenamiento de resguardos;

- administración de archivos;

- protección de mensajes críticos;

- autenticación e integridad.

6.3.12. Administración de Instalaciones: El funcionario principal de servicios de

información debe garantizar la eficacia de las políticas y practicas establecidas para las


- seguridad física;

- asegurar la discreción del sitio de tecnología de información;

- acompañamiento de visitas;

- salud y seguridad del personal;

- protección contra factores ambientales;

- disponibilidad de fuente de alimentación de energía ininterrumpible.

6.3.13. Administración de Operaciones: El funcionario principal de servicios de

información debe garantizar la eficacia de las políticas y prácticas establecidas para las


- desarrollo de manuales de instrucciones y procedimientos de las operaciones de

procesamiento;

- documentación del proceso de puesta en marcha y otras operaciones;

59

- fijación de programas de trabajo;

- control de las desviaciones de los programas estándares de trabajo;

- asegurar la continuidad del procesamiento;

- registración de operaciones;

- salvaguardia de formularios especiales y dispositivos de salida;

- realización de operaciones remotas.

6.4. Monitoreo.

6.4.1. Monitoreo de los Procesos: La alta gerencia es responsable de garantizar que se:

- recopilen los datos de monitoreo;

- evalúe el desempeño en forma continua;

- evalúe la satisfacción del usuario;

- elaboren informes de gestión.



• Cada sector debe generar en el sistema su Solicitud de Gasto para evitar errores de

comprensión y transcripción.

• Los procedimientos deben ser estrictos en cuanto al seguimiento y utilización de los flujos

de trabajo que el Sistema administra internamente, obligando a cada funcionario a realizar

las tareas que por norma le correspondan.

• Cada sector debe probar completamente todas las funciones del Sistema que están a su

disposición e informar de acuerdo a la norma de Administración de Problemas aquellos

que detecte hasta que pueda operarlo de manera absolutamente confiable.

• Las funciones del Sistema deben ser utilizadas por completo, modificando en caso de

necesidad los programas y la infraestructura de comunicaciones y hardware.

6.5.2 Gerencia de Administración.

• Modificar el procedimiento informal de Formulación Presupuestaria como para permitir la

carga de partidas en el Sistema acordes a los objetivos y programas planificados del

Organismo. Esto permitirá un eficaz control interno del GIGA respecto a la pertinencia de

las solicitudes de gasto.

60

• Prohibir las correcciones de los errores de operación mediante la manipulación directa de

las bases de datos del Sistema.

• Agregar al Sistema la función de Cobro Parcial de facturas emitidas.

• Incluir en los procedimientos de la Gerencia de Abastecimiento la obligación de

identificar previamente las cuentas presupuestaria y contable correspondientes para el alta

de una cuenta patrimonial.

• Incluir en el Sistema la regla de negocio que permita automatizar la inhabilitación de los

clientes morosos, en forma acorde a las políticas del Organismo.

• Modificar el Sistema en forma tal que la función Fecha de Operación esté limitada

exclusivamente a la confección de asientos de ajuste al balance anual.

• Establecer la perentoria necesidad de

o establecer las asociaciones correctas entre las cuentas patrimoniales y las cuentas

presupuestarias,

o depurar el Nomenclador de Bienes,

designando responsables a tales efectos.

6.5.3. Operación General.

• Lanzar un proyecto general de integración operativa del organismo que incluya una

recapacitación del personal para trabajar en un ambiente de estrecha cooperación

intergerencial y en el uso del Sistema; una vez modificado según las recomendaciones,

reformular los procedimientos operativos y generar conciencia de la importancia de la

organización y administración empresaria por procesos, entre otros temas.

6.6. Funcionamiento del sistema Giga.

• Reimplantar el control interno del Sistema que sólo permite generar Solicitudes de Gasto

correspondientes al Sector del operador.

• Modificar la tarea del Sistema Autorizador de Transacciones para visualizar la fecha de

alta del comprobante a autorizar.

• Modificar la tarea del Sistema Gestión de Compras para que no indique por defecto la

opción de tipo de compra Contratación Directa Trámite Simplificado.

• Incluir como regla en el Sistema la imposibilidad de usar valores negativos.

61

• Modificar el Sistema para impedir que se carguen importes de facturas de proveedores

mayores a los montos comprometidos presupuestariamente.

• Modificar el Sistema para incluir en los reportes del Libro Mayor y de Sumas y Saldos la

información sobre el período al que corresponden.

• Incluir en el Sistema la ayuda en línea.

• Modificar los mensajes de error que brinda el sistema para que sean claros y útiles a los

usuarios.

7. Conclusiones.

La situación de la Tecnología Informática en la Administración General de Puertos S.E.,

basándose en los procedimientos efectuados y la evidencia obtenida, merece las siguientes

observaciones:

En general, en los niveles gerenciales del Organismo hay un alto grado de rotación. No existe

un organigrama con misiones y funciones. El personal del organismo es de aproximadamente

450 agentes. En el sector de sistemas trabajan 12 personas. La dotación del área de

Tecnología es reducida para el volumen de tareas que debería realizar el sector si asumiera la


Se han observado datos erróneos almacenados en las bases principales que los sistemas de

aplicación no deberían admitir.

El objetivo y las características de los sistemas integrados de administración de empresas, en

general, y del sistema de aplicación GIGA, en particular, que mantienen y procesan datos

clasificados y sensitivos y que en su proceso generan transferencia de la propiedad de bienes y

el pago de dinero, tienen un alto grado de complejidad e involucran aprobaciones y garantías

de las autoridades de los organismos. Por eso, son muy susceptibles a las pérdidas de

información y económicas, la administración deficiente o el uso no autorizado de los recursos;

por lo tanto, resultan particularmente vulnerables.

El sistema GIGA, con el cual se realiza la gestión administrativa integral, incluyendo el

abastecimiento de bienes y servicios, ha evidenciado falta de integridad en la información

almacenada así como relajamiento de sus controles internos, a lo que se agrega que es

alimentado con datos provenientes de sistemas manuales y computarizados que no han sido

62

aprobados formalmente y que, en consecuencia, no satisfacen requerimientos de confiabilidad

e integridad.

Del análisis del riesgo al que se encuentran sometidos los siete requerimientos (eficacia,

eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad) que

debería satisfacer la información provista por el área de Tecnología de la Información, se

concluye (ver Anexo III) que el riesgo promedio de no alcanzar los objetivos de calidad,

teniendo en cuenta los treinta procesos considerados, se encuentra entre el 78% y el 91%, con

un promedio general del 84%.

Finalmente se evalúa que, de acuerdo con el Modelo Genérico de Madurez∗ y los niveles

detectados durante el presente trabajo y representados gráficamente en el Anexo I, la gestión

de la tecnología informática en la Administración General de Puertos S.E. se encuentra para

22 objetivos de control en el nivel de madurez “No Conforma” y para 8 objetivos en el nivel

“Inicial”, todo lo cual pone en peligro la eficiencia en el cumplimiento de la misión del

organismo e, incluso, la eficacia en su concreción.

Se recomienda:

1. Tender a que la madurez de la calidad de la gestión se aproxime al nivel de “Procesos

Definidos”.

2. Superar a la brevedad las limitaciones de los procesos ponderados en niveles “No

Conforma” e “Inicial”.

3. Recomponer la base de datos de manera tal que se pueda confiar en la información que

almacena.

4. Reimplantar controles internos del Sistema que fueron oportunamente levantados para

disminuir la carga de trabajo del personal del Organismo y consecuentemente acelerar

la implantación del Sistema.

5. Optimizar la estructura organizativa para reflejar las condiciones operativas actuales

del Organismo y establecer las relaciones entre las unidades componentes del mismo.

Dentro de dichas unidades deberán definirse claramente los roles, responsabilidades y

tareas de cada individuo.

∗ Ver Modelo Genérico de Madurez en página 12.

63

6. Implantar circuitos administrativos que eviten duplicación de esfuerzos y procesos

antiguos ya innecesarios e impidan que el Organismo funcione en compartimentos

estancos, lo que relaja controles esenciales.

7. Asegurar que los datos ingresen al Sistema sólo en el punto donde se generan y que

estén disponibles donde se los utilizan.

8. Capacitar a cada integrante del Organismo para que conozca cómo su acción se

interrelaciona y contribuye a alcanzar los objetivos generales.

9. Forzar el uso integral del Sistema GIGA abarcando el seguimiento completo de los

circuitos administrativos.

10. Disponer en forma urgente de 4 personas suficientemente calificadas, 2 en

administración y uso de la base de datos Oracle y 2 en programación en lenguaje

Visual Basic, para poder proceder a la indispensable transferencia tecnológica del

sistema, dado que es muy importante superar la dependencia respecto del soporte

técnico del proveedor del Sistema y garantizar la condición clave del control, fundada

en la independencia entre los programadores y los administradores de la base de datos.

Para superar las fallas observadas; es imprescindible un fuerte compromiso de las máximas

autoridades de la Administración General de Puertos S.E., que deberán trasladar estas

observaciones a las gerencias dependientes , para que a su vez mejoren los procedimientos y

controles existentes e incorporen aquellos aún no implementados.

8.- Lugar y fecha

Buenos Aires, Marzo de 2006.

9.- Firma

64

Anexo I: Gráficos de brecha para los niveles de madurez de los objetivos de control considerados.

68

Anexo II: Estimación de los Niveles de Riesgo para los requerimientos de la información según los procesos informáticos considerados La alta velocidad con la que se producen los cambios en la tecnología informática enfatiza la necesidad de optimizar la gestión de sus riesgos. Las misiones y funciones críticas de los organismos dependen en forma creciente de los sistemas de tecnología de la información en un ambiente donde también aumentan las noticias sobre fraudes y desastres informáticos. En la actualidad se entiende que la gestión de riesgos relacionados con la tecnología de la información es un elemento esencial de la administración del Estado. En la presente auditoría se trabajó sobre treinta objetivos de control, cada uno de los cuales se corresponde con un proceso de tecnología informática. Cada proceso hace a uno o más de los siguientes requerimientos que debe satisfacer la información dentro de un organismo para permitirle cumplir con sus misiones y funciones:

• Eficacia: Se refiere a que la información sea relevante y pertinente para la misión del ente, así como a que su entrega sea oportuna, correcta, consistente y utilizable.

• Eficiencia: Se refiere a la provisión de información a través de la utilización óptima (más productiva y económica) de recursos.

• Confidencialidad: se refiere a la protección de información sensible contra divulgación no autorizada.

• Integridad: Se refiere a la precisión y suficiencia de la información, así como a su validez de acuerdo con los valores y expectativas del organismo.

• Disponibilidad: Se refiere a la disponibilidad de la información cuando ésta es requerida para cumplir con las misiones del organismo, ahora y en el futuro. También se refiere a la salvaguardia de los recursos necesarios y capacidades asociadas.

• Cumplimiento: Se refiere al cumplimiento de las leyes, regulaciones y acuerdos contractuales a los que el organismo está sujeto.

• Confiabilidad: Se refiere a la provisión de información apropiada para administrar la entidad y para ejercer sus responsabilidades de reportes financieros y de cumplimiento.

En los treinta casos se indica dentro de las observaciones qué requerimientos son afectados en forma primaria y secundaria por el objetivo de control (ver Tabla I). El objeto de este anexo es brindar parámetros cuantificables para establecer un Tablero de Control que posibilite conocer los problemas con mayor riesgo y al mismo tiempo controlar las eventuales mejoras en forma explícita. “Riesgo de un requerimiento” es el valor que representa la probabilidad de que la información no satisfaga esa necesidad. Este valor fluctúa entre 0 y 1, siendo 0 la situación más segura y 1 la más insegura.

69

El proceso de cálculo parte de la base de que el riesgo es directamente proporcional al impacto (impacto = el peligro de incumplimiento de las misiones y funciones del organismo, para los procesos involucrados en el objetivo de control) y a la probabilidad de que ocurra el evento. Para cada uno de los procesos se definió el riesgo como alto (99%), medio (66%) o bajo (33%). La probabilidad de ocurrencia está directamente vinculada a la calidad del control que se realiza y este es evaluado en el informe mediante el nivel alcanzado según el modelo de madurez. A cada nivel se le asignó un coeficiente según el siguiente detalle:

Nivel de Madurez Coeficiente No Conforma 1,00 Inicial 0,75 Repetible aunque Intuitivo 0,50 Proceso Definido 0,30 Administrado 0,20 Optimizado 0,10

70

Tabla I

Proceso Requerimiento de la información

Dom

inio

efec

tivid

ad

efic

ienc

ia

conf

iden

cial

idad

inte

grid

ad

disp

onib

ilida

d

cum

plim

ient

o

conf

iabi

lidad

4.1.1 Definir un plan estratégico de sistemas P S

4.1.2 Definir la arquitectura de la información P S S S

4.1.3 Determinar la dirección tecnológica P S

4.1.4 Definir la organización y sus relaciones P S

4.1.5 Administrar las inversiones (en TI) P P S

4.1.6 Comunicar la dirección y objetivos de la gerencia P S

4.1.7 Administrar los recursos humanos P P

4.1.8 Evaluar riesgos S S P P P S S

4.1.9 Administrar proyectos P P

Plan

eam

ient

o y

Org

aniz

ació

n

4.1.10 Administrar calidad P P P S

4,2,1 Identificar soluciones de automatización P S

4,2,2 Adquirir y mantener software de aplicación P P S S S

4,2,3 Adquirir y mantener la arquitectura tecnológica P P S

4,2,4 Desarrollar y mantener procedimientos P P S S S

4,2,5 Instalar y acreditar sistemas de información P S S

Adq

uisi

ción

e Im

plem

enta

ción

4,2,6 Administrar cambios P P P P S

4,3,1 Definir niveles de servicio P P S S S S S

4,3,2 Administrar servicios de terceros P P S S S S S

4,3,3 Administrar desempeño y capacidad P P S

4,3,4 Asegurar continuidad de servicio P S P

4,3,5 Garantizar la seguridad de sistemas P P S S S

4,3,6 Identificar y asignar costos P P

4,3,7 Educar y capacitar a usuarios P S

4,3,8 Apoyar y orientar a clientes P

4,3,9 Administrar la configuración P S S

4,3,10 Administrar problemas e incidentes P P S

4,3,11 Administrar la información P P

4,3,12 Administrar las instalaciones P P

Entre

ga y

Sop

orte

de

Serv

icio

s

4,3,13 Administrar la operación P P S S Monitoreo 4,4,1 Monitorear el proceso P S S S S S S

71

Anexo III. Gráficos de los niveles de riesgo para los requerimientos de la información para cada uno de los treinta objetivos de control considerados

y el promedio general.

ANEXO V: ANÁLISIS DE LA RESPUESTA A LA VISTA.

3.5. Naturaleza del sistema auditado: El sistema integrado denominado GIGA (Gestión

Integral de Gobierno Automatizada) es un software del tipo Planeamiento de los Recursos

Empresariales (ERP, Enterprise Resources Planning) que cubre la gestión de las áreas de

Administración y Abastecimientos.

Este tipo de sistemas por tener tanto la interfase de usuario como los datos y los circuitos

administrativos integrados permite unificar el flujo de información y mejorar los procesos en

las distintas áreas de la empresa.

Los objetivos principales de los sistemas ERP son:

-Optimizar los procesos empresariales.

-Brindar acceso a información confiable, precisa y oportuna.

-Brindar la posibilidad de que todos los componentes de la organización compartan

información.

-Eliminar datos y operaciones innecesarias.

-Reducir tiempos, costos, errores y la posibilidad de fraudes.

Un ERP es un sistema de información para la gestión de la organización que debe ser

parametrizado. Esto implica definir las políticas con que se quiere utilizar el sistema, que

dependerán de las necesidades de la empresa.

Una importante ventaja de los ERP es que prácticamente todas sus funciones están

interrelacionadas, cada operación realizada genera al final del circuito administrativo su

asiento contable en forma automática, de modo que se pueden conocer los estados contables

en tiempo real o a la fecha deseada, y, por ejemplo: las deudas de clientes y proveedores,

ventas, compras efectivizadas o pendientes de recepción, entre otros.

El proceso “ideal” sería que una vez definida la estrategia de la organización y sus circuitos

administrativos, se asociaran a ellos los recursos tecnológicos necesarios para que todas las

operaciones se ejecutasen dentro del ERP.

81

Aunque en principio el hardware no es la parte más compleja de la implantación, podría

suceder que si ha sido mal elegido o hubo errores en el diseño, su rendimiento global

disminuya.

Se ha de considerar que además de las personas, los procesos son los que definen la eficiencia

y eficacia de la organización. Por ello, en el proyecto de implantación de ERP se deben

redefinir los procesos para:

-Adecuarlos al sistema

-Mejorar su eficiencia y eficacia.

Es necesario que todas las aplicaciones de la organización estén conectadas con el ERP para

conseguir una gestión de la información eficaz, eficiente y confiable.

Respuesta del organismo: En cuanto se incorporen Analistas Funcionales se procederá a

revisar los procedimientos administrativos para adecuarlos al sistema o adecuar el sistema a

las mejores prácticas para mejorar la eficiencia y eficacia.

En el proyecto informático está contemplado el hecho de que todas las aplicaciones estén

conectadas entre sí para lograr que todos los sistemas sean eficaces, eficientes y confiables.

Comentario AGN: La respuesta del organismo confirma que es necesario revisar los

procedimientos administrativos o adecuar el sistema para mejorar la eficacia y eficiencia. Si

bien está contemplado en el proyecto informático que todas las aplicaciones estén conectadas

entre sí, falta ponerlo en práctica.

En consecuencia se mantiene lo informado.

3.5.1. Descripción de las funciones principales del GIGA

3.5.1.1. Abastecimiento

3.5.1.1.1. Compras: Registra las compras de bienes y servicios requeridas por las diversas

áreas, desde que el sector requirente detecta la necesidad, hasta que el proveedor entrega el

bien o presta el servicio y se obtiene la conformidad del solicitante. Abarca las transacciones

relacionadas con:

• Suministro de bienes almacenados disponibles en stock.

• Compras de todo tipo de bien en cualquiera de sus modalidades.

• Contratación directa.

82

• Contratación directa con invitación.

• Licitación privada.

• Licitación pública.

• Contratación de servicios.

3.5.1.1.2. Stock: Permite el seguimiento de la gestión de todos los elementos físicos

considerados como stock, almacenados en Deposito Central. Mantiene el registro desde que el

bien ingresa a Almacenes y sus eventuales transferencias, hasta el momento en que es

solicitado y enviado al sector requeriente.

3.5.2. Administración.

3.5.2.1. Cuentas a Pagar: Permite efectuar el seguimiento de los compromisos contraídos

por AGP que concluyen con un egreso de fondos.

Registra desde que se completa el ciclo de Compra con la emisión de su Orden de Compra,

hasta la llegada de las facturas, su registro en el sistema y seguimiento de los vencimientos

hasta la preparación de la documentación para efectuar el pago.

Respuesta del organismo: El sector se denomina “Departamento Pago a Proveedores”. El

segundo párrafo no se corresponde con el procedimiento. La factura del proveedor,

conformada por el sector correspondiente, se ingresa en el sistema para generar la Orden de

Pago.

Comentario AGN: El sector denominado Pago a Proveedores es el que utiliza el módulo

Cuentas a Pagar. En este acápite el presente informe describe la naturaleza del Sistema

GIGA y no los procedimientos vigentes en el Organismo. Lo manifestado por el organismo

coincide con lo expresado por esta Auditoría en lo referente a la generación de Orden de

Pago.


3.5.2.2. Liquidaciones: Permite emitir la facturación de los servicios prestados a terceros por

AGP y su posterior seguimiento hasta la cobranza definitiva o hasta que cada concepto

facturado sea dado de baja por cualquier otro motivo (pasaje a mora, gestión judicial,

incobrabilidad, etc.)

83

3.5.2.3. Tesorería: Permite realizar el seguimiento de las transacciones vinculadas con el

ingreso y egreso de fondos.

Desde la recepción de la documentación respaldatoria de los pagos y las cobranzas a efectuar,

hasta la emisión y entrega del instrumento de pago, o la recepción de fondos y la entrega del

recibo correspondiente.

También efectúa el manejo de los fondos con posterioridad al pago o cobranza, incluyendo el

depósito, la transferencia, adquisición de otros activos financieros y su seguimiento.

3.5.2.4. Patrimonio: Permite gestionar de la totalidad de los activos fijos de la AGP en sus

diversos aspectos: ubicación física, tenencia, etc.

Se registra desde el ingreso del bien al patrimonio con todos los eventos que se produzcan

hasta el momento de la baja definitiva.

Respuesta del organismo: En el sistema se registran los eventos.

Comentario AGN: lo manifestado por el organismo coincide con lo expresado por esta

Auditoría.


3.5.2.5. Contabilidad: Registra los movimientos contables correspondientes a la totalidad de

las transacciones efectuadas, permitiendo consultar la información generada y emitiendo los

informes necesarios para satisfacer requerimientos legales como los de análisis de la gestión.

Comprende el proceso de traducción a nivel contable de todas las transacciones operativas,

permitiendo el ingreso de ajustes manuales a los saldos contables por medio de asientos y la

extracción de la información en distintos formatos.

Respuesta del organismo: Los movimientos contables correspondientes a las transacciones

efectuadas son realizados automáticamente por el sistema.

Comentario AGN: lo manifestado por el organismo coincide con lo expresado por esta

Auditoría.


3.5.2.6. Presupuesto: Permite la asignación anual del presupuesto para cada partida y

efectuar el posterior seguimiento para comprobar su ejecución.

84

Registra desde la aprobación del Presupuesto Anual, cuando se lo carga, hasta cada una de las

transacciones que lo afectan en sus diferentes etapas, concluyendo en el cierre anual.

Respuesta del organismo: Las transacciones no se registran, sólo se verifican para su

aprobación.

Comentario AGN: las transacciones son efectivamente registradas en el sistema a efectos de

llevar cuenta del estado del presupuesto en sus cuatro aspectos: presupuestado,

comprometido, devengado y ejecutado.


3.5.3. Procedimientos del Sistema.

3.5.3.1. Procedimiento de Compras: Al realizar la apertura de la Solicitud del Gasto se

define su concepto (partida presupuestaria afectada). Esta tarea la efectúa cada sector según

sus necesidades.

Se autoriza la solicitud accediendo por el sistema a la lista de transacciones pendientes donde

se permite aprobarla o rechazarla. Este proceso está limitado a los usuarios con perfil de Jefe

de Departamento.

La solicitud se remite a la Gerencia Administrativa para afectar la partida presupuestaria que

corresponda. Afecta el presupuesto Preventivo y lo realiza el usuario con perfil de Gerente

Administrativo.

Se inicia la Gestión de Compras. El sistema permite las opciones Compra Directa, Compra

Directa con Invitación, Licitación Privada y Licitación Pública.

El sistema, en forma automática, analiza y propone adjudicar por menor cotización.

Los procesos de autorización solicitados por el sistema son realizados por el usuario con los

perfiles de Gerente General y Jefe de Departamento de Abastecimiento.

Se remite el expediente en formas electrónica y manual a la Gerencia Administrativa para

confirmar o rechazar la imputación presupuestaria del Compromiso.

Luego de confirmado el compromiso se emite la Orden de Compra.

Almacenes realiza la recepción de la mercadería ingresando los datos del remito en el sistema,

valida las cantidades solicitadas con las recibidas, y actualiza el stock.

85

Los remitos recibidos en Almacenes habilitan la recepción de la factura del proveedor y su

ingreso en el sistema, estos datos permiten confeccionar la orden de pago al proveedor.

La emisión de la orden de pago genera en forma automática la imputación presupuestaria a

pagar (devengado) y el asiento contable correspondiente.

Por cada pago realizado se emite un Recibo de Pago donde se detalla los instrumentos de

pago utilizados. El sistema permite la emisión de cheques y realiza la imputación

presupuestaria de lo pagado en forma automática.

Respuesta del organismo: Cuando se realiza la Solicitud del Gasto se selecciona el bien o

servicio que se requiere. La partida presupuestaria que se afecta la define el responsable de

la tabla de bienes y servicios.

No es una regla que el que autoriza la Solicitud del Gasto sea un Jefe de Departamento.

La afectación preventiva de una Solicitud del Gasto la revisa el Departamento Presupuesto,

si todo está bien la pone en curso y luego el Gerente Administrativo la autoriza.

Depósito Central realiza la recepción de la mercadería de la Solicitud del Gasto cuyo

destinatario es el propio Depósito Central.

Comentario AGN: El procedimiento descripto es el que está implícito en el Sistema Giga y

no pretende describir los procedimientos internos de la AGP.


3.5.3.2. Procedimiento de Liquidaciones: El sector de Liquidaciones realiza la confección y

generación de todas las facturas que emite la Administración General de Puertos.

Las facturas corresponden a distintos servicios por los cuales recibe ingresos, estos servicios

consisten en la liquidación de:

• Tasas de Cargas.

• Importación.

• Pasavantes.

• Patentes de Buques.

• Arrendamientos.

• Servicios Ferroviarios.

• Servicios Administrativos.

86

• Prestaciones Tácitas.

• Tasa a Terminales Portuarias.

• Tasas a Pasajeros y Vehículos.

• Suministro de Energía Eléctrica.

• Reliquidación de Servicios Sanitarios.

• Multas.

• Averías.

• Embarques de Cereales y Elevadores – Exportación.

Respuesta del Organismo: Sin observaciones.


4. Comentarios y observaciones

Se exponen a continuación las principales observaciones y comentarios surgidos del trabajo

llevado a cabo por esta Auditoría.

Para cada una de las observaciones se incluyen el nivel de madurez, conforme al Modelo de

Madurez de la Capacidad de la Universidad Carnegie Melon enunciado más abajo, y las

recomendaciones tendientes a mejorar el ambiente de control y reducir los riesgos

identificados.

Niveles del Modelo Genérico de Madurez:

0 – No conforma. Falta total de procesos reconocibles. La organización incluso no reconoce

que existe un tema a ser tenido en cuenta.

1 – Inicial / Ad Hoc. Hay evidencia de que la organización reconoce la existencia del tema y

la necesidad de atenderlo. Sin embargo, no existen procesos estandarizados y en lugar de ellos

existen aproximaciones ad hoc que se aplican sobre una base individual o caso por caso. La

administración aparece como desorganizada.

2 – Repetible aunque Informal. Los procesos han evolucionado hasta la etapa en la cual

procedimientos similares son ejecutados por distintas personas que desarrollan las mismas

tareas. No hay entrenamiento formal ni comunicación de procedimientos estándar y la

responsabilidad es librada a cada individuo. Hay un alto grado de confianza en el

conocimiento de los individuos y es probable que haya errores.

87

3 – Proceso Definido. Los procedimientos han sido estandarizados, documentados y

comunicados vía entrenamiento. Sin embargo, es responsabilidad de los individuos cumplir

con estos procesos y es improbable que se detecten las desviaciones. Los procedimientos en sí

mismos no son sofisticados pero son la formalización de prácticas existentes.

4 - Administrado. Es posible monitorear y medir el cumplimiento de los procedimientos e

intervenir cuando los procesos parecen no estar funcionando adecuadamente. Los procesos

están siendo mejorados constantemente y proveen una práctica correcta. El uso de

herramientas y de automatización es limitado o fragmentario.

5 - Optimizado. Los procesos han sido corregidos hasta el nivel de la mejor práctica, basado

en los resultados de la mejora continua y de la movilización con otras organizaciones. La

Tecnología de la Información es usada de forma integrada para automatizar el flujo de trabajo,

proveer herramientas para mejorar la calidad y la eficacia y hacer que la organización se

adapte rápidamente a los cambios.

Además, para cada uno de los objetivos de control se indica cuáles de los requerimientos de la

información, detallados a continuación, son afectados:

Eficacia: La información debe ser relevante y pertinente para la misión del ente, y su entrega,

oportuna, correcta, consistente y utilizable.

Eficiencia: La información debe suministrarse mediante la utilización óptima (más productiva

y económica) de recursos.

Confidencialidad: La información sensible debe ser protegida contra divulgación no

autorizada.

Integridad: La información debe ser precisa y suficiente, y válida, de acuerdo con los valores

y expectativas del organismo.

Disponibilidad: La información debe estar disponible cuando se la requiera por las misiones

del organismo ahora y en el futuro. Se deben salvaguardar los recursos necesarios y

capacidades asociadas.

Cumplimiento: El organismos debe cumplir las leyes, regulaciones y acuerdos contractuales a

los que está sujeto.

88

Confiabilidad: La información que se requiere para que la administración opere la entidad y

cumpla sus responsabilidades de generar reportes financieros y de cumplimiento, debe ser

confiable.

A efectos de determinar el impacto de las observaciones detectadas, se clasificó las de

acuerdo con el nivel de riesgo. Los niveles asignados son Alto, Medio y Bajo.-


4.1.1. Definición de un Plan Estratégico de Tecnología de la Información.

Objetivo de control: La máxima autoridad debe impulsar el proceso periódico de

planificación estratégica que permita formular los planes a largo plazo. A su vez, estos planes

deben traducirse oportunamente en planes operativos que definan metas claras y concretas a

corto plazo.



• la eficacia


• la eficiencia.

Nivel de madurez: No Conforma. No se realiza una planificación estratégica formal. Las

autoridades del organismo no han llevado acabo una planificación estratégica de la

Tecnología Informática que respalde sus metas, programas, proyectos o actividades.

Observaciones: El nivel de organización del Organismo es débil y la alta frecuencia de

rotación de sus máximas autoridades dificulta la superación del problema. No hubo en los

últimos años un plan estratégico de la Empresa. No se conoce la existencia de un área de

planeamiento ni de un comité de planificación de Tecnología Informática.



En consecuencia se mantiene la observación.

4.1.2. Definición de la Arquitectura de la Información.

Objetivo de control: La información debe mantenerse acorde con las necesidades y debe ser

identificada, recopilada y comunicada en forma y tiempo tales que permitan a las personas

89

cumplir sus responsabilidades de manera eficiente y oportuna. Se debe crear y mantener un

modelo de arquitectura de la información que incluya el modelo de datos del organismo y los

sistemas de información relacionados.



• la eficacia


• la eficiencia


• la integridad

Nivel de madurez: No Conforma. No se toma conciencia de la importancia que reviste la

arquitectura de la información. El conocimiento, la pericia y las responsabilidades necesarias

para desarrollar esta arquitectura no existen en el organismo.

Observaciones: No existe un modelo de la arquitectura de la información. El proveedor del

sistema GIGA entregó en su momento un diccionario de datos con el estado del Sistema antes

de su adaptación a las necesidades de la Administración, pero no se lo ha actualizado.


Respuesta del organismo: Si bien es cierto que no existe un modelo de la arquitectura de

información, esto se debe a que luego de la transformación de la empresa la Subgerencia

quedó sin personal y con una estructura de sistemas totalmente desconectados entre sí.

A partir de 1999 las autoridades de la empresa tomaron conciencia del problema y se

empezó, con los medios disponibles, a planificar en cuanto a la incorporación de sistemas

con el objeto de culminar con una integración total de los mismos.

De esta forma se comenzó con la incorporación del ERP GIGA.

Es cierto que no está actualizado el Diccionario de Datos, hecho que será solucionado en el

transcurso del mes entrante.

No se comparte lo expresado en “Nivel de Madurez” en cuanto a que no se toma conciencia

de importancia que reviste la Arquitectura de la Información.

90

Cuando se cuente con los recursos humanos correspondientes, hecho que se está tratando de

solucionar a través de convenios de asistencia técnica con universidades, se trabajará en la

incorporación de nuevos sistemas y procedimientos acordes a los mismos.

Comentario AGN: La respuesta del organismo confirma que no existe un modelo de la

arquitectura de la información.


4.1.3. Determinación de la Dirección Tecnológica.

Objetivo de control: La función de servicios de información debe crear y mantener un plan

de infraestructura tecnológica que fije y administre expectativas claras y realistas de lo que la

tecnología puede ofrecer en términos de productos, servicios y mecanismos de entrega.



• la eficacia


• la eficiencia

Nivel de madurez: No Conforma. No se toma conciencia de la importancia que la

planificación de infraestructura tecnológica reviste para el organismo. No se alcanza el

conocimiento y la pericia requeridos para desarrollar esa infraestructura. No se considera que

la planificación para el cambio tecnológico sea crítica para la asignación eficaz de los

recursos.

Observaciones: No se conoce la existencia de procesos formales para crear y actualizar

periódicamente el plan de infraestructura tecnológica ni para evaluar su estado.


Respuesta del organismo: Vale lo opinado en el punto anterior. Indudablemente que los

recursos son fundamentales para la planificación.

Comentario AGN: La respuesta del organismo confirma que no existe procesos formales

para crear y actualizar periódicamente el plan de infraestructura tecnológica ni para evaluar su

estado


91

4.1.4. Definición de la organización y las Relaciones de Tecnología de la Información.

Objetivo de control: La máxima autoridad debe establecer una estructura organizativa

adecuada en términos de cantidad e idoneidad del personal, con roles y responsabilidades

definidos y comunicados, alineada con la misión del organismo y que facilite la estrategia y

brinde una dirección eficaz y un control adecuado.



• la eficacia


• la eficiencia

Nivel de madurez: No conforma. La estructura organizativa del organismo no está

debidamente establecida para concretar el logro de sus objetivos.

Observaciones: Al no estar aprobada la planificación estratégica, no están oficialmente

establecidos los objetivos de detalle de la Administración, por lo que no se pueden adecuar los

servicios de tecnología de la información a sus necesidades. La dotación del área de Sistemas

es reducida para el volumen de tareas que debería realizar el sector si asumiera la




Comentario AGN: En consecuencia se mantiene la observación.

4.1.5. Administración de la Inversión en Tecnología de Información.

Objetivo de control: La máxima autoridad debe definir un presupuesto anual operativo y de

inversión, establecido y aprobado por el organismo.

Este objetivo de control afecta a los siguientes requerimientos de la información,

primariamente:

• la eficacia

• la eficiencia



92

Nivel de madurez: No Conforma. No se ha tomado conciencia de la importancia de la

selección y presupuestación de las inversiones en tecnología de la información. No se hace un

seguimiento o monitoreo de las inversiones ni de los gastos en esta materia.

Observaciones: No se conoce la existencia de políticas y procedimientos formales para la

preparación del presupuesto operativo anual, ni para monitorear los costos reales y

compararlos con los proyectados, ni para su justificación económica. No existe un sistema de

imputación de costos.


Respuesta del organismo:

Al no existir un Plan Maestro (fue aprobado por Resolución 36-2005 del 24 de junio de 2005)

y el correspondiente plan estratégico, el presupuesto anual de la Subgerencia de

Organización y Sistemas se preparó teniendo en cuenta las necesidades más urgentes y

considerando que el problema de falta de personal se solucionaba en el período.

Comentario AGN: La respuesta del organismo confirma que a la fecha del informe no

existían políticas y procedimientos formales para la preparación del presupuesto operativo

anual, ni para monitorear los costos reales y compararlos con los proyectados, ni para su

justificación económica. No existe un sistema de imputación de costos. La nueva situación

será analizada en una futura auditoría.


4.1.6. Comunicación de los Objetivos y Directivas de la Gerencia.

Objetivo de control: La máxima autoridad debe impulsar la definición de políticas y su

comunicación a la comunidad de usuarios. Además, es preciso que se establezcan normas que

traduzcan las opciones estratégicas en reglas prácticas y útiles.



• la eficacia


• el cumplimiento

93

Nivel de madurez: No Conforma. La máxima autoridad del organismo no ha establecido un

ambiente positivo de control de la información. No hay reconocimiento de la necesidad de

establecer un conjunto de procesos, políticas, procedimientos y normas, y de garantizar su

cumplimiento.

Observaciones: No se conoce la existencia de políticas y procedimientos formales ni un

programa de concientización que generen un ambiente de control positivo. No se conoce la

existencia de políticas y procedimientos formales que garanticen la asignación de recursos en

forma adecuada. No existe el documento marco de seguridad informática ni políticas formales

al respecto.




4.1.7. Administración de los Recursos Humanos.

Objetivo de control: La máxima autoridad debe implementar prácticas sólidas, justas y

transparentes de administración de personal en cuanto a selección, alineación, verificación de

antecedentes, remuneración, capacitación, evaluación, promoción y despido.



• la eficacia

• la eficiencia

Nivel de madurez: No Conforma. No se ha tomado conciencia de la importancia de alinear la

administración de los recursos humanos de tecnología de la información con el proceso de

planificación de tecnología para el organismo. No hay ninguna persona o grupo formalmente

responsable de la administración de recursos humanos de tecnología de la información.

Observaciones: No se conoce la existencia de programas referentes a la educación y la

concientización general en problemas de seguridad de la información. No se cuenta con

personal suficientemente idóneo para las tareas a realizar. No existen procesos formales de

seguridad para altas, bajas y modificaciones de accesos por usuario. Existen usuarios en la red

que ya no pertenecen a la Empresa. En la Subgerencia de Sistemas, la falta de personal

94

capacitado es manifiesta e impide transferir la tecnología del sistema GIGA del proveedor a la

Administración.




4.1.8. Evaluación de Riesgos.

Objetivo de control: La máxima autoridad debe definir un proceso por el cual el organismo

se ocupe de identificar los riesgos de Tecnología de la Información y analizar su impacto,

involucrando funciones multidisciplinarias y adoptando medidas eficaces en función de costos

a fin de mitigarlos.




• la integridad



• la eficacia

• la eficiencia

• el cumplimiento


Nivel de madurez: No Conforma. No se realiza una evaluación de riesgos para los procesos y

las decisiones de actividades sustantivas. No se consideran los puntos vulnerables de la

seguridad ni las incertidumbres de los proyectos de desarrollo. La administración de riesgos

no se consideró relevante en la adquisición de soluciones de Tecnología de la Información y

la prestación de servicios de Tecnología de la Información.

Observaciones: De la información recibida se concluye que no existen políticas y



95

Respuesta del organismo: Informalmente se presentó el proyecto de estructura de la

Subgerencia de Organización y Sistemas en el que se contempla el Departamento de

Seguridad Informática. La mencionada estructura no está aprobada ni hay personal para

cubrir los cargos del citado Departamento.

Comentario AGN: La respuesta del organismo confirma que no existen políticas y



4.1.9. Administración de Proyectos.

Objetivo de control: La máxima autoridad debe establecer un proceso por el cual el

organismo identifique y establezca las respectivas prioridades de los proyectos en

concordancia con el plan operativo. El organismo debe adoptar y aplicar técnicas bien

concebidas de administración de proyectos para cada uno que se inicie.



• la eficacia

• la eficiencia

Nivel de madurez: Inicial / Ad Hoc. El organismo tiene una noción de la necesidad de

estructurar los proyectos y conoce los riesgos que implican los proyectos mal administrados.

El uso de técnicas y enfoques de administración de proyectos es una decisión que queda a

criterio del gerente. En general, los proyectos están mal definidos y no incorporan los

objetivos técnicos ni los de la actividad del organismo o de las partes interesadas. Hay una

falta generalizada de compromiso de la dirección. La asignación de responsables de los

proyectos y las decisiones críticas se toman sin tener en cuenta los aportes de la gerencia

usuaria o de los usuarios. La participación de los clientes y usuarios en la definición de

proyectos es escasa o nula. No hay una buena definición de los cronogramas y plazos de los

proyectos. El tiempo y los gastos del personal asignado al proyecto no se rastrean ni cotejan

con los presupuestos.

Observaciones: No se conoce la existencia de un marco formal de administración de

proyectos. En el caso particular del sistema GIGA, se nombraron responsables de la ejecución

96

del proyecto de implantación. Existió una planificación que no se cumplió en la práctica en lo

referente a plazos (23 meses contra los 6 previstos) y a control de calidad (las pruebas de

aprobación no fueron completas). Algunos usuarios no están conformes con las prestaciones

del sistema.


Respuesta del organismo: En cuanto a que algunos usuarios no están conformes con las

prestaciones del sistema esta Subgerencia no ha recibido ninguna comunicación al respecto.

Si no indica la Auditoría General de la Nación se deberá efectuar un relevamiento para

determinarlo.

Comentario AGN: en las entrevistas mantenidas con personal de la Gerencia Administrativa

esta auditoria recibió criticas con respecto a la confiabilidad del sistema y a su velocidad de

procesamiento.


4.1.10. Administración de la Calidad.

Objetivo de control: La alta gerencia debe desarrollar la planificación, implementación y el

mantenimiento de normas y sistemas de administración de calidad del organismo, que

proporcionen distintas fases de desarrollo, prestaciones claves y responsabilidades explícitas.



• la eficacia

• la eficiencia

• la integridad



Nivel de madurez: No Conforma. El organismo carece de un proceso de planificación de

garantía de calidad y de una metodología de ciclo de vida de desarrollo de sistemas. La alta

gerencia y el personal de Tecnología de la Información no reconocen la necesidad de un

programa de calidad. No se verifica la calidad de los proyectos y las operaciones.

97

Observaciones: La alta gerencia y el personal de Tecnología no establecen un programa de

control de calidad y éste no se verifica en los proyectos y las operaciones. No se aplica la

metodología de ciclo de vida, no se planifican los proyectos de desarrollo de sistemas ni hay

un sistema formal para su seguimiento. Se han observado datos erróneos almacenados en las

bases principales que los sistemas de aplicación no deberían admitir.


Respuesta del organismo: Tener en cuenta la opinión vertida como respuesta al punto 4.1.2.

Al final de las observaciones se indica que “se han observado datos erróneos almacenados

en las bases principales”. Esta situación tiene relación directa con la importación de datos

realizada en oportunidad de la implementación del Sistema GIGA. En este momento se tuvo

que levantar algún control interno (por ejemplo número de documento unívoco) para realizar

la tarea mencionada. Se había consensuado que se revisarían los datos con el objeto de

solucionar el problema.

Comentario AGN: La respuesta del organismo reconoce la inexistencia de un programa de

control de calidad y de planificación de proyectos de desarrollo y confirma la existencia de

datos erróneos almacenados en las bases principales luego de varios años de realizada la

implementación del Sistema GIGA. Estos problemas son la causa del malestar y la

desconfianza que existe en el Organismo hacia el aplicativo y de su escasa utilidad y su

solución esta incluida en las recomendaciones y conclusiones del informe.




Objetivo de control: La máxima autoridad debe garantizar una identificación y un análisis

claro y objetivo de las alternativas, medidas en comparación con los requerimientos del

usuario.



• la eficacia


98

• la eficiencia

Nivel de madurez: No Conforma. El organismo no exige la identificación de requerimientos

funcionales y operativos para el desarrollo, la implementación o modificación de las

soluciones de sistemas, servicio, infraestructura, software y datos. El organismo no se

mantiene informado de las soluciones tecnológicas disponibles y eventualmente relevantes

para su actividad.

Observaciones: De la información recibida surge que:

• No se han documentado criterios para la consideración de las opciones de desarrollo

interno, de terceros y soluciones compradas.

• No existe un método general de adquisición e implementación ni una metodología de

ciclo de vida de desarrollo de sistemas claros y aceptados.

• No existe un proceso transparente, ágil y eficiente para la planificación, iniciación y

aprobación de soluciones.

• No se implementó un proceso estructurado de análisis de requerimientos.

• No existen procedimientos formales para evaluar los requerimientos de seguridad y

control desde el principio de los desarrollos.



Comentario AGN: La respuesta del organismo confirma que no se han documentado

criterios para considerar distintas opciones de desarrollo; no existe un método general de

adquisición e implementación ni una metodología de ciclo de vida de desarrollo de sistemas

claros y aceptados; no existe un proceso transparente, ágil y eficiente para la planificación,

iniciación y aprobación de soluciones; no se implementó un proceso estructurado de análisis

de requerimientos; no existen procedimientos formales para evaluar los requerimientos de

seguridad y control desde el principio de los desarrollos.



99

Objetivo de control: La adquisición y mantenimiento del software de aplicación debe

realizarse definiendo específicamente los requerimientos funcionales y operativos, e

implementando por etapas con prestaciones claras.



• la eficacia

• la eficiencia


• la integridad

• el cumplimiento


Nivel de madurez: No conforma. No hay un proceso para diseñar y especificar aplicaciones.

En general, las aplicaciones se obtienen sobre la base de ofrecimientos de los proveedores,

reconocimiento de la marca o familiaridad del personal de Tecnología de la Información con

productos específicos, mientras que los requerimientos reales prácticamente no se tienen en

cuenta.

Observaciones: De la información recibida no surge la existencia de una metodología formal

de adquisición, diseño, desarrollo e implementación aceptada, entendida y aplicada.



Existe una “Metodología para la construcción de Software”, la misma no está formalizada y

debe ser revisada.

No es cierto que las aplicaciones se obtienen sobre la base de ofrecimiento de los

proveedores, reconocimiento de la marca o familiaridad del personal de Tecnología de la

Información con productos específicos y que los requerimientos reales prácticamente no se

tienen en cuenta.

La metodología utilizada para la adquisición de software es la siguiente:

• Detectada la necesidad se efectúa un relevamiento de los requerimientos funcionales

a nivel de títulos.

100

• Se confecciona el pliego de bases y condiciones particulares en el que se fijan las

etapas del desarrollo, las mismas son:

Relevamiento

Análisis

Desarrollo

Implementación

Comentario AGN: La respuesta del organismo confirma que no existe una metodología

formal de adquisición, diseño, desarrollo e implementación aceptada, entendida y aplicada



Objetivo de control: La gerencia de la función de servicios de información debe impulsar la

adquisición criteriosa del software y el hardware, la estandarización del software, la

evaluación de los rendimientos, y la administración coherente de sistemas.



• la eficacia

• la eficiencia


• la integridad

Nivel de madurez: No Conforma. No se conoce la existencia de un plan de adquisición de

infraestructura tecnológica que permita mantener criteriosamente actualizados el hardware y

el software del organismo.

Observaciones: No existen políticas y procedimientos formales que aseguren la preparación

de un plan de evaluación del hardware y el software nuevos a fin de determinar su eventual

impacto sobre el rendimiento general.

La alta gerencia no ha definido una estrategia de arquitectura de Tecnología de la Información

y los requerimientos relacionados.

No se cuenta con un inventario actualizado de la infraestructura de Tecnología de la

Información (hardware y software). El inventario de hardware que se ha recibido no permite

101

evaluar adecuadamente el estado de la infraestructura tecnológica, a pesar de lo cual se pudo

inferir que el equipamiento disponible es incompleto. De la información obtenida no surge

que se hayan definido políticas para:

• Evaluar adecuadamente las opciones de desarrollo interno, por terceros y por

infraestructuras externas.

• Manejar los casos en los que se depende de un proveedor de única fuente.

• La administración de cambios.

• El uso de una metodología de ciclo de vida bien definida para seleccionar, adquirir,

mantener y quitar componentes de la infraestructura de Tecnología de la Información.

• Fundamentar las adquisiciones en los requerimientos de desempeño y capacidad mediante

la integración con procesos de administración de los mismos.



No se entiende cómo se llegó a la conclusión de que el equipamiento disponible es

incompleto. El inventario de hardware posee toda la información necesaria para evaluar

adecuadamente el estado de la infraestructura tecnológica.

Comentario AGN: La respuesta del organismo confirma que no existen políticas y

procedimientos formales que aseguren la preparación de un plan de evaluación del hardware

y el software nuevos a fin de determinar su eventual impacto sobre el rendimiento general.

La falta de espacio de almacenamiento disponible en los discos magnéticos del sistema de

producción, la puesta fuera de línea del sistema por haber salido de servicio un medio de

almacenamiento (Fines del 2004) y el haber procesado por un período de tiempo con discos

suministrados por el proveedor del sistema GIGA, hacen concluir que el equipamiento

disponible es incompleto. El inventario de hardware recibido es inespecífico (Ver el

comentario AGN del punto 4.3.9. Administración de la Configuración).



102

Objetivo de control: Se debe aplicar un enfoque estructurado para el desarrollo de

procedimiento del usuario y de operaciones, requerimientos de servicios y materiales de

capacitación.



• la eficacia

• la eficiencia


• la integridad

• el cumplimiento


Nivel de madurez: No Conforma. No hay un proceso para producir documentación del

usuario, manuales de operaciones y material de capacitación. Los únicos materiales son los

que vienen con los productos comprados.

Observaciones: De la información recibida no surge que:

• Existan acuerdos de nivel de servicio, con vínculos con las normas de documentación.

• Se mantengan inventarios de programas y procedimientos del organismo ni de Tecnología

de la Información utilizando herramientas automatizadas.

• El proceso de desarrollo asegure el uso de procedimientos operativos estándares y una

apariencia estándar de las interfaces de usuario.

• La capacitación del usuario en la utilización de los procedimientos esté integrada con los

planes de capacitación del organismo y de Tecnología de la Información.

• Exista un marco estándar, definido y monitoreado, para documentar y redactar los

procedimientos.

• Para desarrollar, distribuir y mantener procedimientos se empleen técnicas de

administración del conocimiento, de flujo de trabajo ni herramientas automatizadas.

• La infraestructura y estructura organizativa estén diseñadas para promover y compartir la

documentación del usuario, los procedimientos técnicos y el material de capacitación

entre los instructores, la mesa de ayuda y los grupos de usuarios.

103



La Subgerencia de Organización y Sistemas no cuenta con Analistas Funcionales.

Comentario AGN: La respuesta del organismo confirma lo observado.


4.2.5. - Instalación y acreditación de aplicativos.

Objetivo de control: La implementación de nuevos sistemas debe realizarse por medio de un

plan bien formalizado de instalación, migración, conversión y aceptación.



• la eficacia


• la integridad


Nivel de madurez: No Conforma. No hay ningún proceso formal de instalación y

acreditación. La alta gerencia o el personal de Tecnología de la Información reconocen

parcialmente la necesidad de verificar que las soluciones sean adecuadas para la finalidad

prevista.

Observaciones: No existe una metodología formal del ciclo de vida del desarrollo de

sistemas para la instalación y acreditación de sistemas que incluya, entre otros, un enfoque en

fases de: capacitación, cuantificación del desempeño, plan de conversión, pruebas de

programas, un plan de pruebas paralelas o prototipo, pruebas de aceptación, pruebas de

seguridad y acreditación, pruebas de funcionamiento, controles de cambios; implementación,

y revisión y modificación posteriores a la implementación. No se usan adecuadamente las

bibliotecas de desarrollo, prueba y producción para los sistemas en proceso. En el caso del

Sistema GIGA los cambios se realizan mayoritariamente en forma directa en el ambiente de

producción. El programa de capacitación de usuarios del sistema GIGA no contempló las

diferencias respecto del sistema anterior, los cambios que afectan a la entrada, el

procesamiento, la programación, la distribución, las interfaces con otros sistemas, los errores

104

y su resolución. Algunos usuarios no están satisfechos con la capacitación recibida. El

desempeño del sistema GIGA se encuentra por debajo del óptimo y el problema no se

soluciona debido a la insuficiencia de infraestructura tecnológica y de personal.


Respuesta del organismo: No es cierto que los cambios se realizan en forma directa en el

ambiente de producción. Hay un servidor de pruebas, el utilizado por la Auditoría General de

la Nación para esta auditoría, en el que se realizan los testeos de los cambios y luego de la

aprobación del usuario se pone en producción.

No obstante, la conformidad al momento de recibir la capacitación, es posible que algunos

usuarios requieran una recapacitación o, como el caso de la Gerencia de Abastecimiento,

que cuando se capacitó no estuvieron contemplados por pertenecer a otros sectores no

recibieron capacitación. Se solicitó un presupuesto para la capacitación de dicha Gerencia y

no fue aceptado.

El desempeño del sistema GIGA se encuentra por debajo del óptimo debido a la necesidad de

realizar el “Tunning de la Base de Datos”, el mismo no se realiza debido a la falta de

capacitación y personal de Administración de Bases de Datos. También existían problemas

con los enlaces los que ya fueron solucionados con la ampliación del ancho de banda de los

mismos.

Comentario AGN: El personal de esta auditoria presenció y tomó nota durante los trabajos

de campo de modificaciones de parámetros del sistema y de datos transaccionales realizados

en forma directa en el servidor de producción del sistema GIGA. En particular en fojas 33 el

auditado informa que se realizan cambios en los datos directamente en el sistema de

producción, sin utilizar funciones del programa.



Objetivo de control: Se debe poner en marcha un sistema de administración de cambios que

permita analizar, implementar y seguir todas las modificaciones solicitadas y realizadas en la

infraestructura de Tecnología de la Información existente.

105



• la eficacia

• la eficiencia

• la integridad




Nivel de madurez: No Conforma. No hay un proceso de administración de cambios definido

y es posible introducir cambios casi sin control alguno. No se ha tomado conciencia de que el

cambio puede ser perturbador tanto para las operaciones de Tecnología de la Información

como para las actividades del organismo y no se toma conciencia de los beneficios de una

buena administración de cambios.

Observaciones: Del análisis de la información recibida surge que:

• No existen políticas de cambio claras y conocidas que se implementen en forma rigurosa y

sistemática.

• La administración de cambios no está integrada con la administración de las versiones de

software ni forma parte de la administración de la configuración.

• No existe un proceso rápido y eficiente de planificación, aprobación e iniciación para

identificar, categorizar, evaluar impactos y establecer prioridades para los cambios.

• No se cuenta con herramientas de proceso automatizadas para respaldar la definición de

flujo de trabajo, planes de trabajo normados, plantillas de aprobación, pruebas,

configuración y distribución.

• No hay un proceso formal definido para la transición del ambiente de desarrollo al de

operaciones.

• No se analiza si los cambios tienen impacto en los requisitos de capacidad y desempeño.

• No se dispone de documentación de aplicaciones y configuración completa y actualizada.

• No existe registro completo de los cambios al sistema GIGA solicitados ni de los

efectuados.

106

• La documentación del sistema GIGA no se modificó pese a los cambios que viene

sufriendo.


Respuesta del organismo: Si bien no es completo, existe un registro de los cambios al

sistema GIGA solicitados y efectuados.

Desde mediados de noviembre de 2004 no se realiza ningún cambio en el sistema si no existe

una solicitud formal para realizarlo.

El 15 de agosto se requirió al proveedor la actualización de la documentación. El mismo se

comprometió a entregarla para fines de octubre.

Comentario AGN: No existía a la fecha de los trabajos de campo un registro de los cambios

pendientes al Sistema GIGA en la fecha de los trabajos de auditoría. Pese a haberlo solicitado

no se recibió, por lo que se lo dio como no existente. Se verificará la afirmación en una futura

auditoría.



4.3.1. Definición y Administración de los Niveles de Servicio.

Objetivo de control: La máxima autoridad debe definir un marco dentro del cual promueva

acuerdos de nivel de servicio que formalicen los criterios de desempeño en virtud de los

cuales se medirá su cantidad y calidad.



• la eficacia

• la eficiencia



• la integridad


• el cumplimiento


107

Nivel de madurez: No Conforma. La gerencia no ha reconocido la necesidad de la

definición de niveles de servicio ni de un proceso para tal fin.

Observaciones: De las reuniones mantenidas y de la documentación recibida surge que no se

definen niveles de servicio y no existen políticas al respecto.


Respuesta del organismo: sin observaciones. Comentario AGN: se mantiene la observación.

4.3.2. Administración de Servicios Prestados por Terceros.

Objetivo de control: La máxima autoridad debe implementar medidas de control orientadas

revisar y monitorear los contratos y procedimientos existentes para garantizar su eficacia y el

cumplimiento de la política del organismo.



• la eficacia

• la eficiencia



• la integridad


• el cumplimiento


Nivel de madurez: No Conforma. Las responsabilidades y la rendición de cuentas no están

definidas. No hay políticas y procedimientos formales para la contratación de terceros. Los

servicios de terceros no son aprobados ni revisados por la dirección. No hay actividades de

medición ni informes de los proveedores y en consecuencia la alta gerencia no está al tanto de

la calidad del servicio prestado.

Observaciones: De la información recibida surge que los contratos de algunos servicios que

se le prestan al Organismo ya no están vigentes. En el caso de la administración del sistema

108

GIGA, los servicios los prestan terceros cuyo contrato ha vencido, y son pagados con la figura

de “legítimo abono”.



4.3.3. Administración de la Capacidad y el Desempeño.

Objetivo de control: Se debe implementar un proceso de administración orientado a

recopilar datos, analizar y generar informes sobre el desempeño de los recursos de Tecnología

de la Información, la dimensión de los sistemas de aplicación y la demanda de cargas de

trabajo.



• la eficacia

• la eficiencia



Nivel de madurez: No Conforma. La alta gerencia no reconoce que las actividades

sustantivas claves pueden requerir altos niveles de desempeño de Tecnología de la

Información y que la necesidad del organismo de tales servicios excede la capacidad

instalada. No se cuenta con ningún proceso de planificación de la capacidad de

procesamiento.

Observaciones: Según la información disponible, no existen en el organismo políticas y

procedimientos formales para la planificación de la capacidad. Si bien se realizan

estimaciones basadas en las expectativas de cambio, la falta de definiciones al respecto

dificulta la concreción y formalización de ampliaciones de una infraestructura que a la fecha

es insuficiente, incluso para las aplicaciones en uso.



109

4.3.4. Garantía de un Servicio Continuo.

Objetivo de control: La máxima autoridad debe implementar un plan probado y operativo de

continuidad de tecnología de información que concuerde con el plan de continuidad general

del organismo y sus requerimientos de actividad relacionados.



• la eficacia



• la eficiencia

Nivel de madurez: No Conforma. No se consideran los riesgos, las vulnerabilidades y las

amenazas para las operaciones de Tecnología de la Información, ni el impacto que la pérdida

de servicios de Tecnología de la Información puede tener en el organismo. No se considera

que la continuidad del servicio requiera la atención de la máxima autoridad y la alta gerencia.

Observaciones: De la información recibida surge que no se ha formalizado un plan de

continuidad del servicio. A pesar de que existe conciencia de los riesgos a los que está

expuesto el Organismo, hasta la fecha no se han emprendido las acciones requeridas para

superarlos.



Comentario AGN: la respuesta del organismo confirma que no existe un plan de continuidad

del servicio.


4.3.5. Garantía de la Seguridad de los Sistemas.

Objetivo de control: La máxima autoridad debe establecer y mantener un programa de

seguridad de la información para implementar los controles de acceso lógico que garanticen

que el acceso a los sistemas, datos y programas esté limitado a los usuarios autorizados.



110


• la integridad



• el cumplimiento


Nivel de madurez: Inicial / Ad Hoc. El organismo reconoce la necesidad de la seguridad de

tecnología de información, pero la concientización depende de cada persona. La seguridad de

tecnología de información se encara en forma reactiva y no se realizan mediciones. Las

responsabilidades no son claras por lo cual las violaciones a la seguridad de tecnología de la

información, si son detectadas, generan la necesidad de señalar a los culpables. Las respuestas

a las violaciones de la seguridad de tecnología de información son impredecibles.

Observaciones: No existe un plan estratégico formal de seguridad. Existe una persona que se

ocupa de los temas de seguridad, pero su cargo, sus misiones y funciones no están definidos

formalmente. No se conoce la existencia de un esquema de clasificación de datos. No existen

responsables de la seguridad y contenido de los datos. No existen perfiles de seguridad de los

usuarios. No se revisan periódicamente los niveles de seguridad y accesos permitidos de los

usuarios. Existen usuarios de la red y del sistema GIGA que son genéricos, no pertenecen a la

organización o gozan de los privilegios correspondientes al personal de gerencias distintas de

la propia. No se capacita a los empleados sobre seguridad informática. No existen

procedimientos formales de presentación de informes sobre violaciones a la seguridad, ni de

resolución de problemas. La red permite sesiones múltiples concurrentes. No existen políticas

para los puestos clave, ni posiciones definidas como tales.


Respuesta del organismo: Los usuarios genéricos del Sistema GIGA no tienen acceso al

sistema y se utilizan como perfiles para facilitar la administración.

En el caso de usuarios genéricos de red se debe a casos especiales, como por ejemplo AGN

(Auditoría General de la Nación) y Universidad del Salvador.

111

Comentario AGN: Se verificó la existencia de cuentas genéricas (sin identificación del

usuario) con derechos de administrador, por ejemplo “Administrador” y “Sabado”, que

podrían modificar cualquier dato del sistema de producción


4.3.6. Identificación e Imputación de Costos.

Objetivo de control: Se debe implementar un sistema de imputación de costos que garantice

que se registren, calculen y asignen los costos de acuerdo con el nivel de detalle requerido y el

ofrecimiento de servicio adecuado.



• la eficiencia


Nivel de madurez: No Conforma. Se carece totalmente de un proceso reconocible para

identificar e imputar costos con respecto a los servicios de información prestados. El

organismo ni siquiera ha reconocido que haya una cuestión que merezca ser abordada en

cuanto a la contabilización de los costos, y no hay comunicación al respecto.

Observaciones: La máxima autoridad del área entiende que, dada la gravedad de los

problemas que debe enfrentar, el análisis de la imputación de costos es secundario.


Respuesta del organismo: Es cierto que no existe un sistema de imputación de costos, pero

también es cierto que no se conoce la necesidad de realizarlo.

Comentario AGN: la respuesta del organismo confirma que no existe un sistema de

imputación de costos, ni siquiera se ha reconocido que haya una cuestión que merezca ser

abordada en cuanto a la contabilización de los costos.


4.3.7. Educación y Capacitación de los Usuarios.

Objetivo de control: Se debe establecer y mantener un plan integral de capacitación y

desarrollo.

112



• la eficacia


• la eficiencia

Nivel de madurez: Inicial / Ad Hoc. Hay evidencia de que el organismo reconoció la

necesidad de un programa de educación y capacitación, pero no hay procesos estandarizados.

En ausencia de un programa organizado, los empleados identifican y asisten a cursos de

capacitación por cuenta propia. Algunos de estos cursos tratan temas de conducta ética,

concientización de seguridad de sistemas y prácticas de seguridad. El enfoque global de la

dirección carece de cohesión y la comunicación de los temas y abordajes de la educación y

capacitación es sólo esporádica y poco coherente.

Observaciones: De la información recibida no surge la existencia de procedimientos para

identificar y documentar las necesidades de capacitación de todo el personal que utiliza

servicios de información. No existen políticas y procedimientos aprobados para la

identificación de las necesidades de capacitación y tampoco un plan de capacitación a

usuarios. La capacitación y concientización en los principios de seguridad no se realiza. El

área de capacitación instruye a los empleados en el uso de herramientas informáticas de

oficina (Excel, Word, etc.). y al personal de sistemas en temas específicos.



4.3.8. Asistencia y Asesoramiento a los Usuarios de Tecnología de la Información.

Objetivo de control: Se debe establecer una función de mesa de ayuda que brinde soporte y

asesoramiento de primera línea.



• la eficacia

113

Nivel de madurez: Inicial / Ad Hoc. El organismo reconoció que se necesita un proceso

apoyado por herramientas y personal para responder a las consultas de los usuarios y

administrar la resolución de problemas. No obstante, no se cuenta con un proceso

estandarizado y sólo se brinda un soporte reactivo. La alta gerencia no monitorea las

consultas, problemas o tendencias. No hay un proceso de escalamiento que ayude a resolver

los problemas.

Observaciones: No existe una mesa de ayuda formal que atienda a los usuarios. Se presta un

servicio de acuerdo a la disponibilidad de personal. En lo referente al sistema GIGA, el

servicio lo presta personal externo sólo en horas de la tarde. No se dispone de documentación

que formalice y estandarice los procedimientos.


Respuesta del organismo: El servicio que presta personal externo lo realiza sin contrato

formal. Sólo en algunas oportunidades dicho servicio se prestó en horas de la tarde. También

es cierto que cuando se requirió la presencia en horas de la mañana, la respuesta fue

favorable.

Comentario AGN: la respuesta del organismo confirma que no existe una mesa de ayuda

formal.


4.3.9. Administración de la Configuración.

Objetivo de control: Se deben implementar controles que identifiquen y registren todos los

bienes de Tecnología de la Información y su ubicación física, y un programa de verificación

regular que confirme su existencia.



• la eficacia




114

Nivel de madurez: No Conforma. La alta gerencia no valora los beneficios de contar con un

proceso para la información y administración de la infraestructura de TI, ni para la

configuración de hardware ni de software.

Observaciones: De la documentación recibida se deduce que no existen procedimientos

formales para la administración de la configuración ni está definida la función. Los datos

disponibles no son de calidad y difieren según la oportunidad de la solicitud de información.


Respuesta del organismo: La apreciación de que la alta gerencia no valora los beneficios de

contar con un proceso para la información y administración de la infraestructura de TI no es

compartida por el suscripto.

No se entiende cuando se expresa que los datos disponibles no son de calidad. El hecho de

que los datos difieren según la oportunidad de la solicitud de información se debió a que

mientras duró la auditoría se estaba incorporando y/o reemplazando hardware.

Comentario AGN: las mejores prácticas indican que el funcionario principal de la función de

servicios de información debe garantizar la eficacia de las políticas y prácticas establecidas

para las siguientes tareas y/o actividades de TI:

- registro de la configuración

- nivel básico de configuración

- registro del estado de la configuración

- control de la configuración

- detectar el software no autorizado

- almacenamiento del software

- procedimientos de administración de configuración

- seguimiento y control de versiones de software

Lo detectado durante los trabajos de auditoria es que estas políticas y prácticas son

inexistentes en el ámbito de la Administración General de Puertos. El inventario de hardware

y software recibido es un documento realizado especialmente al efecto que no incluye

descripción completa del equipamiento, ubicación física, número de inventario, cantidad de

115

licencias de software, ubicación del software de los elementos informados y excluye

elementos de comunicaciones, red, fuentes de alimentación no interrumpibles, escáneres y

otros periféricos.


4.3.10. Administración de Problemas e Incidentes.

Objetivo de control: Se debe implementar un sistema de administración de problemas que

registre y dé respuesta a todos los incidentes.



• la eficacia

• la eficiencia



Nivel de madurez: No Conforma. No se reconoce la necesidad de administrar problemas e

incidentes. El proceso de resolución de problemas es informal y los usuarios y el personal de

Tecnología de la Información encara los problemas individualmente, caso por caso.

Observaciones: De la información recibida no surge que existan procedimientos formales

para la administración de problemas e incidentes de seguridad, ni sistemas al efecto que

permitan realizar el escalamiento y seguimiento de los problemas y pistas de auditoría.


Respuesta del organismo: Si se reconoce la necesidad de administrar problemas e

incidentes. La falta de recursos humanos atenta contra la posibilidad de implementarlo.

Comentario AGN: el hecho de solicitarle a los sectores no informar los problemas o

incidentes a través de memorandos sino en forma oral o vía e-mail demuestra que no se

reconoce la necesidad de la administración de problemas e incidentes de seguridad.


4.3.11. Administración de Datos.

116

Objetivo de control: La máxima autoridad debe establecer y mantener una combinación

eficaz de controles generales y de aplicación sobre las operaciones de Tecnología de la

Información.



• la integridad


Nivel de madurez: No Conforma. Los datos no están considerados como un recurso y un

bien del organismo. No se asignó la responsabilidad sobre los datos ni rendición de cuentas

individual por su integridad y confiabilidad. La calidad y seguridad de los datos es escasa o

nula.

Observaciones: No existen procedimientos para el monitoreo de exactitud, integridad y

autorización. Los sistemas, en particular el GIGA –desde el cual se autorizan todas las

erogaciones del Organismo –, se alimentan con información generada en aplicaciones “ad

hoc”, desarrolladas fuera del control del área de Tecnología Informática, con utilitarios de

oficina y, por lo tanto, sin satisfacer mínimamente normas de calidad y seguridad.


Respuesta del organismo: Se desconoce de lo que se indica en las observaciones. El sistema

GIGA no se alimenta de ninguna otra aplicación, ni tampoco de utilitarios de oficina.

Comentario AGN: en la respuesta del organismo al punto 4.5.1. se reconoce la utilización de

planillas Excel para realizar tareas propias del sistema GIGA, cuyo resultado es parte de la

información que luego se incorpora a dicho sistema.


4.3.12. Administración de Instalaciones.

Objetivo de control: Se deben instalar controles ambientales y físicos adecuados cuya

revisión se efectúe periódicamente a fin de determinar su correcto funcionamiento.



• la integridad

117


Nivel de madurez: Inicial / Ad Hoc. El organismo reconoce la necesidad de brindar un

entorno físico adecuado que proteja los recursos y el personal contra los peligros generados

por la Naturaleza y por el hombre. No existen procedimientos estándar y la administración de

las instalaciones y los equipos depende de la idoneidad y capacidad de ciertas personas clave.

No se revisan las actividades de maestranza en las instalaciones y el personal se desplaza sin

restricciones. La dirección no monitorea los controles ambientales de las instalaciones ni el

movimiento del personal.

Observaciones: No existe normativa de seguridad informática ni de seguridad física de las

instalaciones. No existe registro del acceso a los centros de procesamiento. Se verificaron

pérdidas de líquidos provenientes de los baños del primer piso que caían sobre el rack de

comunicaciones del centro de procesamiento de datos. Los equipos de alimentación de

energía alternativa (fuentes de alimentación de energía no interrumpible y moto generador) no

tienen mantenimiento preventivo. No existe un plan formal de contingencia.




4.3.13. Administración de Operaciones

Objetivo de control: Se debe establecer de un cronograma de actividades de soporte que se

registre y apruebe para el logro de todas las actividades.



• la eficacia

• la eficiencia


• la integridad


Nivel de madurez: Inicial / Ad Hoc. El organismo reconoce la necesidad de estructurar las

funciones de soporte de Tecnología de la Información. Sin embargo, no hay procedimientos

118

estándares establecidos y las actividades son de tipo reactivo. La mayoría de las operaciones

no están formalmente programadas y los pedidos de procesamiento se aceptan sin validación

previa. Las computadoras que dan soporte a los procesos con frecuencia sufren interrupciones

y demoras. Los empleados pierden tiempo por tener que esperar los recursos. Los sistemas no

son estables ni están disponibles.

Observaciones: De la información recibida no surge evidencia que sustente:

• la totalidad del procesamiento ejecutado, arranques en frío, reinicios y

recuperaciones;

• las estadísticas de finalización de cronogramas, a fin de confirmar que se cumple

satisfactoriamente con todos los requerimientos;

• la separación física y lógica de las bibliotecas fuente y objeto de prueba, desarrollo y

producción y los procedimientos de control de cambios para trasladar programas entre

las bibliotecas;

• las estadísticas de desempeño de las actividades operativas, incluyendo, entre otras:

o capacidad, utilización y desempeño del hardware y periféricos;

o utilización y desempeño de la memoria de los equipos principales;

o utilización y desempeño de telecomunicaciones.

Tampoco se tuvo conocimiento de la existencia de manuales de instrucciones y

procedimientos de operación, documentación del proceso de puesta en marcha y otras tareas,

programas de trabajo y registro de operaciones.




4.4. Monitoreo.

4.4.1. Monitoreo de los Procesos.

Objetivo de control: La máxima autoridad debe impulsar la definición de indicadores del

desempeño relevantes, el informe sistemático y oportuno del desempeño y la acción inmediata

en caso de desviaciones.

119



• la eficacia


• la eficiencia


• la integridad


• el cumplimiento


Nivel de madurez: No conforma. El organismo no tiene procesos de monitoreo

implementados. La función de Tecnología de la Información no realiza el monitoreo de los

proyectos y procesos en forma independiente. No se cuenta con informes útiles, puntuales y

precisos. No se reconoce la necesidad de objetivos de proceso claramente entendidos.

Observaciones: De la información recibida se desprende que no se han establecido

formalmente políticas, procedimientos, objetivos e indicadores de desempeño.

Consecuentemente, no se realiza el monitoreo continuo y sistemático de la actividad del área

de tecnología de la información.





A continuación se describen brevemente los circuitos administrativos informales que

efectivamente realiza la Administración General de Puertos en cada sector involucrado en el

uso del sistema GIGA y las observaciones correspondientes.


Existe un agente que realiza las siguientes actividades:

• Carga la solicitud del gasto para todas las Gerencias de la Sociedad excepto para la

Gerencia de Ingeniería, donde la carga la realiza un agente propio.

120

• Carga en el Sistema la aprobación del gasto realizada por el Gerente General, con firma

hológrafa en el expediente en papel, ejerciendo atribuciones del Gerente General.

• Controla que Presupuesto haya realizado la reserva preventiva en la base de datos del

sistema y en el expediente.

• Carga solamente la oferta adjudicada y, ejerciendo atribuciones del Gerente General, la

aprueba.

• Controla que Presupuesto haya realizado el compromiso presupuestario.

• Emite la orden de compra en Excel.

• Carga en el sistema el ingreso controlado por el depósito o, si fuera el caso, la recepción

de obras y/o servicios controlada por el sector solicitante.

• Manualmente realiza el seguimiento de la orden de compra antes de mandar las facturas

correspondientes a pagos parciales al sector de Administración.

• Sin intervención del sistema controla las Garantías de Oferta y de Ejecución.

En la gerencia se utiliza un sistema propio de seguimiento interno de expedientes además del

sistema de expedientes propio del organismo, ambos independientes del GIGA. La iniciación

de la licitación no se carga al Sistema pues, a juicio de la Gerencia, la carga del acta de

apertura, llevaría demasiado tiempo. Se hace la apertura con los totales globales y en los tres

días siguientes, durante la vista de ofertas, arman en Excel el cuadro comparativo. La

preadjudicación es manual y se informa al Gerente General en papel con resumen de lo

actuado y solicitud de aprobación.

Observaciones:

• La gerencia carga en el sistema las solicitudes de bienes y servicios de toda la

organización transcribiendo formularios generados en distintas áreas. Esto induce a

errores de interpretación por falta de conocimientos específicos y repercute en la

integridad y confiabilidad del sistema.

121

• Un mismo agente realiza varias operaciones utilizando distintos perfiles de usuario (por

ejemplo: Jefe de Departamento, Subgerente de Organización y Sistemas y Gerente

General), lo que reduce la calidad del control por oposición y afecta seriamente la

eficacia, confidencialidad, integridad y confiabilidad de la información.

• El sistema es subutilizado por la Gerencia, dado que el Reglamento de Contrataciones que

se aplica es posterior a su puesta en marcha y nunca se lo adaptó.

• El uso de planillas Excel conspira contra la seguridad, la integridad y confiabilidad en el

manejo de datos.

• Se realizan tareas innecesarias por falta de confianza en el sistema.

• La operatoria llevada a cabo por la Gerencia de Abastecimiento consiste en analizar las

ofertas a partir de planillas Excel con los datos, y no utilizando el sistema. Esto implica el

riesgo de que haya habido errores en la transcripción de datos y la pérdida de la

información histórica de las ofertas recibidas. Afecta la eficacia, la eficiencia, la

integridad, la disponibilidad, el cumplimiento y la confiabilidad de la información.

• Algunas tareas no están automatizadas, se realizan manualmente, lo que afecta la eficacia

y eficiencia de la organización.



Por Gerencia de Abastecimiento

A fs. 37 indica: “La gerencia carga en el sistema las solicitudes de bienes y servicios de toda

la organización transcribiendo formularios generados en distintas áreas. Esto induce a errores

de interpretación por falta de conocimientos específicos y repercute en la integridad y

confiabilidad del sistema”. Al respecto se indica que esta Gerencia realiza la carga de las

solicitudes generadas en distintas áreas a título de colaboración, a fin de evitar un colapso

en la gestión administrativa de compras, hasta tanto se arbitren los medios para que todas

las Gerencias realicen las tareas previstas en el sistema. Cabe agregar que deberá definirse

si el nomenclador de bienes, su especificación y concepto del gasto, estará al alcance de

modificar por todas las dependencias, o en su defecto quedará circunscrito a un grupo

122

reducido de usuarios, dado que su operación por inexpertos puede producir alteraciones en

el sistema, modificando incluso el balance de la empresa, repercutiendo en la integridad y

confiabilidad del sistema.

A fs. 37 indica: “Un mismo agente realiza varias operaciones utilizando distintos perfiles de

usuario (por ejemplo: Jefe de Departamento, Subgerente de Organización y Sistemas y

Gerente General), lo que reduce la calidad del control por oposición y afecta seriamente la

eficacia, confidencialidad, integridad y confiabilidad de la información”. Al respecto se

indica que dichas tareas con diferentes perfiles son realizadas a título de colaboración, hasta

tanto se arbitre los medios para que la Superioridad realice las tareas previstas en el sistema.

Cabe agregar que al asumir el rol de Subgerente y Gerente General, se realiza el workflow

correspondiente a la gestión de compras y preadjudicación, pero para hacer el compromiso

correspondiente, el mismo sólo puede autorizarlo el Gerente Administrativo, previa

aprobación del Departamento de Presupuestos y cuenta para ello con el expediente en el cual

están las autorizaciones indicadas precedentemente firmadas por el Sr. Interventor, previa

revisión de la Gerencia Asesoría Jurídica, y en contrataciones superiores a $150.000, con la

intervención de la Gerencia Unidad Auditoría interna y la Sindicatura General de la Nación.

En consecuencia se entiende que no se vulnera la eficacia, confidencialidad, integridad y

confiabilidad de la información.

A fs. 37 indica “El sistema es subutilizado por la Gerencia, dado que el reglamento de

Contrataciones que se aplica es posterior a su puesta en marcha y nunca se lo adoptó”. Al

respecto, se indica que está pendiente la actualización del Sistema GIGA a los requerimientos

de esta Gerencia, para tener un uso integral del mismo, a fin de que el empleo del sistema

otorgue un beneficio a las tareas que desarrolla esta Dependencia y no implique una

duplicidad de las tareas.

A fs. 37 dice: “El uso de planilla Excel conspira contra la seguridad, la integridad y

confiabilidad en el manejo de datos”, “Se realizan tareas innecesarias por falta de confianza

en el sistema” y “La operatoria llevada a cabo por la Gerencia de Abastecimiento consiste en

analizar las ofertas a partir de planillas Excel con los datos, y no utilizando el sistema. Esto

implica el riesgo de que haya habido errores en la transcripción de datos y la pérdida de la

123

información histórica de las ofertas recibidas. Afecta la eficacia, al eficiencia, la integridad, la

disponibilidad, el cumplimiento y la confiabilidad de la información”. Al respecto, se

comparte lo expresado por la Auditoría General de la Nación, dejándose constancia que las

operaciones que se realicen fuera del sistema no es por falta de confianza, sino que el sistema

GIGA no se ha adecuado a los nuevos requerimientos.

Por Subgerencia de Organización y Sistemas

La Gerencia de Abastecimiento carga la “Solicitud del Gasto” debido a que hay sectores

fuera de la red y a la falta de conocimientos específicos de otros sectores.

Debido a lo mencionado en el punto anterior es necesario realizarlo de esta forma. Dicha

situación no reduce el control por oposición debido a que cuando se carga en el sistema ya

tienen la aprobación del Gerente General.

El sistema es subutilizado por la Gerencia debido a la falta de capacitación y no porque el

Reglamento de Contrataciones que se aplica es posterior a la puesta en marcha.

Si se realizan las tareas innecesarias por falta de confianza en el sistema nunca fue

informado a la Subgerencia Organización y Sistemas.

Las ofertas son analizadas por la Comisión de Preadjudicaciones. En Excel se realiza el

cuadro comparativo de ofertas, el mismo no es vinculante.

Todas las tareas están automatizadas. No se las utiliza.

Comentario AGN: el sistema GIGA prevé realizar el análisis de oferta, la preadjudicación, la

aprobación de la contratación y la emisión de la orden de compra por distintos funcionarios

usando funciones automatizadas. En la práctica estas tareas se realizan manualmente y luego

son registradas en el sistema, en algún caso por el mismo agente, por lo cual se afecta el

control por oposición que debe proveer un sistema ERP como el GIGA. El control por

oposición existente no esta comprendido en el Sistema.

El reglamento de contrataciones prevé la emisión de la orden de compra con detalles

diferentes a los utilizados por el sistema GIGA, razón por la cual la orden de compra se emite

mediante una planilla de Excel.

No se realiza por el sistema GIGA el seguimiento de las órdenes de compra ni el control de

las garantías de oferta y ejecución.

124

En los otros ítems la respuesta del Organismo confirma lo informado.


4.5.2. Gerencia de Administración.

4.5.2.1. Presupuesto.

Se utiliza la función del sistema “Formulación de Gastos” para cargar los créditos del

Presupuesto.

La Ejecución del Presupuesto se imputa en las cuatro etapas según corresponda: Preventivo,

Comprometido, Devengado y Pagado. Se utiliza el GIGA para automatizar todas las

imputaciones, lo que permite realizar las modificaciones que sean necesarias.

Se controla la imputación preventiva propuesta por el sistema, en cuanto a su concordancia

con lo establecido en la Formulación del Gasto y, en caso de ser correcta, se la confirma.

Se puede aprobar, modificar o anular la operación según corresponda.

Si la operación se aprueba, se emite el comprobante Preventivo.

Se confirma la imputación del Compromiso realizada en forma automática por el sistema,

antes de emitir la Orden de Compra.

Se emite el comprobante de Compromiso.

Se cargan los datos en el sistema de los Compromisos Directos a través de la función

correspondiente.

Se verifican todas las imputaciones presupuestarias realizadas en forma automática por el

sistema por medio de reportes generados en el GIGA.

Observaciones. En la formulación del gasto se les asignan a los sectores conceptos que no les

corresponden (por ejemplo, la Gerencia Jurídica tiene adjudicada partidas para la compra de

aceitunas). Esta circunstancia hace ineficaz el control interno del sistema, pues permite a un

sector emitir solicitudes de gastos no acordes a lo presupuestado ni a sus misiones y

funciones.




El presupuesto se realiza a nivel de “Objeto del Gasto” y no a nivel de “Bienes o Servicios”.

125

Las aceitunas forman parte de la tabla de “Concepto del Gasto” (Bienes o Servicios), tabla

que tiene asignado un responsable y queda a criterio del mismo la depuración de la tabla

mencionada.

Por Gerencia Administrativa

Presupuesto: el sistema cargó originalmente el nomenclador de bienes del Estado, hecho por

el cual, a pesar de la depuración efectuada figuran objetos del gasto como el mencionado. No

obstante el Departamento Presupuesto controla que la carga de los sectores solicitados sea

la correcta

Comentario AGN: La respuesta del Organismo confirma lo informado.


4.5.2.2. Tesorería.

Recibe las facturas a ser cobradas. Selecciona la operación en el aplicativo, y el sistema emite

el recibo correspondiente.

Cobra los fondos pagados por el cliente (en efectivo o en cheque) y carga la información.

Emite las notas de crédito solicitadas por Cuentas Corrientes.

Al finalizar el día se emite un informe del aplicativo GIGA denominado Parte Diario que

permite controlar las operaciones registradas cotejándola con la documentación respaldatoria.

Se confeccionan en forma manual las boletas de depósito para las cuentas bancarias que

correspondan y se depositan los valores.

Se realiza el pago a Proveedores en base a las Órdenes de Pago autorizadas.

Se consultan en el GIGA los pagos a realizar durante el día.

Una vez verificado que la Orden de Pago se encuentre debidamente firmada por los

responsables, se emite - en forma manual - el cheque y se lo envía a la firma del responsable

autorizado.

En el momento en que el beneficiario retira el cheque, se accede al GIGA para registrar la

operación y emitir el Recibo de Pago correspondiente.

Se realizan las conciliaciones bancarias en planillas de Excel.

El personal externo de administración del Sistema, a pedido de Tesorería, corrige importes en

los asientos generados por operaciones de ese sector debidos a montos mal ingresados. Lo

126

hacen modificando en forma directa el contenido de la base de datos, sin utilizar el Sistema.

Estas operaciones son autorizadas por el Gerente de Administración.

En determinadas circunstancias se reciben cheques de los clientes de AGP por montos

inferiores a los facturados.

Observaciones:

• No se utiliza la función de emisión automática de cheques proporcionada por el sistema.

• Existe una función del sistema GIGA para la conciliación bancaria que no se utiliza.

• La manipulación de la base de datos en forma directa evita los controles internos del

Sistema.

• No existe una función del Sistema específica para la operación, autorizada por la

Intervención, de cobro parcial de facturas. Lo que se utiliza es la función Cobro

Anticipado, que no corresponde estrictamente. Esta situación dificulta la conciliación de

las Cuentas Corrientes.

Estas observaciones permiten afirmar que existe pérdida de confiabilidad e integridad de los

datos de la base del sistema GIGA.




La conciliación bancaria es función del sector Contabilidad.

El cobro parcial de la factura estaba incluido en el sistema y se solicitó la eliminación.

Las modificaciones que se realizan son las siguientes:

• En las cobranzas se detecta al final del día que se ingresó un cheque con clearing

equivocado (no se modifican importes).

• En los pagos se entregan los cheques cuando el proveedor viene a cobrar y al

final del día se asignan a las diferentes órdenes de pago. Por lo, alguna vez, se

asigna un cheque equivocadamente (un cheque por otro). Esto implica modificar

el cheque en la orden de pago y el asiento contable.

La solución a estos problemas es modificar el procedimiento utilizado


127

Tesorería: por razones de rapidez y operatividad del sector, no se utiliza la función de

emisión automática de cheques, cabiendo acotar que los errores de confección son ínfimos la

conciliación bancaria es resorte del Departamento Contable que lo viene efectuando. El

Departamento Tesorería, por razones de control interno, efectúa una conciliación por fuera

del sistema. Los usuarios de los sectores de la Gerencia, no están habilitados para manipular

las bases de datos, aún así en caso de tener que efectuar modificaciones que subsanen

errores de carga en clearing, Nº de cheque o banco (por ejemplo nunca importes) debido a

que el sistema no contempla la opción de corrección como debiera ser, se le solicita al

proveedor (MICROSTAR) mediante nota de autorización de la GERENCIA o el personal de

la SUBGERENCIA DE ORGANIZACIÓN Y SISTEMAS las modificaciones pertinentes.

Ciertamente no existe función para el cobro parcial de facturas, en forma directa, debiendo

utilizar el método indirecto de cobro anticipado, que aparte de dificulta la conciliación de

cuentas corrientes (como se observa), no automatiza la aplicación de multas e intereses en

casos de pagos de facturas vencidas. Previo al requerimiento al proveedor, deberá

determinarse si la citada función (cobro parcial de facturas) se hallaba contemplado en los

pliegos de contratación, tomando en cuanta lo informado por la SUBGERENCIA DE

ORGANIZACIÓN Y SISTEMAS (fs. 33) indicando que fue solicitada la eliminación de dicha

función.



4.5.2.3. Contabilidad.

Verifica las imputaciones contables realizadas en forma automática por el sistema contra la

documentación respaldatoria.

Carga los asientos por ajustes de conciliaciones bancarias realizadas en planillas de Excel

suministradas por Tesorería.

Calcula en forma manual las diferencias por cambio de cotizaciones y realiza los asientos

correspondientes.

128

Realiza los asientos manuales de ajustes que correspondan. En algún caso se cargan asientos

manuales con fecha distinta a la del día corriente mediante la modificación de la fecha de

operación usando la función Fecha de Operación.

En el caso de ingresar un nuevo Objeto de Gasto que no tenga asociada la cuenta

correspondiente, el Gerente del área solicita la apertura o asignación, según corresponda, de la

cuenta contable en el momento de realizar la imputación.

Observaciones:

• Por falta de un procedimiento interno adecuado se dan de alta las cuentas patrimoniales

sin identificar la cuenta contable ni presupuestaria a las que corresponden, lo cual afecta la

eficiencia de los procesos de compras y contrataciones.

• La función Fecha de Operación del Sistema es usada por más personas que las

imprescindibles, por lo cual se pierde la confiabilidad e integridad de la información.

• Se han detectado errores en las relaciones, establecidas por los usuarios del Sistema, entre

las cuentas patrimoniales y las cuentas presupuestarias, lo cual genera errores en las

imputaciones contables automáticas y, luego, en el balance de sumas y saldos.


Respuesta del Organismo


Contabilidad: la función “fecha de operación” ha sido restringida. La razón de la extensión

a varios usuarios a dicha opción, se debió a que las fallas que presentaba el sistema, al

momento de su implementación y aún durante un extenso período, generó errores y atrasos

en las registraciones, y en muchos casos la posibilidad de corrección se demoraba a niveles

considerables, subsanándose el hecho, con la citada función. Es real la existencia de errores

en las relaciones establecidas entre cuentas patrimoniales y presupuestarias. Más allá del

error humano, o de criterio, seguramente la falta de capacitación adecuada por parte del

proveedor, en los alcances y utilización del sistema, potenció los resultados negativos.



4.5.2.4. Cuentas Corrientes.

129

Aplica las Notas de Crédito y los cobros anticipados en la cuenta corriente de los clientes.

Una vez por semana emite, por el sistema, el detalle de las cobranzas.

Inhabilita en el sistema, en forma manual, a los clientes que tengan una factura vencida,

previa autorización por escrito de un responsable.

Recibe las solicitudes de altas de clientes y los ingresa al sistema.

Observaciones: El hecho de que la inhabilitación de los clientes morosos se realice en forma

manual permite que se pueda omitir la acción.




Existe un procedimiento administrativo que no permite que la inhabilitación sea automática.

Debe contar con la autorización previa de la máxima autoridad de la Empresa.


Cuentas Corrientes: El hecho de que las inhabilitaciones de morosos al realizarse en forma

manual permita que se pueda omitir la acción es real. Previo al requerimiento al proveedor,

deberá determinarse si la citada función (inhabilitación automática de morosos) se hallaba

contemplado en los pliegos de la contratación y elevar a consideración la modificación de la

normativa vigente.



4.5.2.5. Liquidaciones.

El sector recibe la información externa para liquidar y emite las facturas cargando en el

sistema los datos que se obtienen de las diversas documentaciones que presenta el cliente,

como por ejemplo declaraciones juradas de importación-exportación, liquidación de tasa a las

cargas, liquidación de pasavantes, liquidación de patentes de buques, etc.

El sector de Liquidaciones carga en el sistema GIGA los datos consignados en la

documentación, el responsable del área verifica la liquidación y, en el caso de ser correcta, se

imprimen, por medio del sistema, las facturas por cuadruplicado. Se entregan tres copias al

cliente y queda una en el sector.

130



Respuesta del organismo: Las copias de la factura se entregan al Departamento Tesorería o

al Departamento Cuentas Corrientes si son de pago diferido.



4.5.3. Operación General. Observaciones.

• Cada área del Organismo opera como si estuviera aislada del resto. No existe conciencia

de la interdependencia que un sistema de gestión integral supone en el funcionamiento

general.

• No existen manuales de procedimientos que regulen la operación de los sectores

involucrados.



Los manuales de procedimiento que existen son informales. Se está a la espera de la

incorporación de Analistas Funcionales para regularizar la situación.


La falta de conciencia de interdependencia que un sistema de gestión integral supone en el

funcionamiento de cada área, es un hecho, que más allá de la responsabilidad del

Organismo, se incrementa en el aspecto de que la falta de capacitación adecuada por parte

del proveedor, no acercó al usuario en el conocimiento del impacto de sus actos como

ejecutor del sistema (en muchos casos incluso el dominio de las propias funciones de usuario

fueron aprendidas en la acción diaria). Se desconoce por parte del proveedor de manuales

de procedimiento actualizados.



4.6. Funcionamiento del sistema GIGA.

Se realizó un simulacro de operación del sistema desde el origen de la transacción hasta su

conclusión en registración contable, para los siguientes circuitos:

131

• Compras

• Facturación

Los datos utilizados correspondían a una copia de las bases que estaban operativas a fines de

2004.

4.6.1. Pruebas realizadas de circuitos completos del Sistema.

4.6.1.1. Circuito de Compras.

La prueba se realizó solicitando la compra de una resma de “Papel Obra Oficio de 210 x 297

(resma) A4” (sic), artículo registrado bajo el código 1.01.003.115 del nomenclador, por un

valor unitario de $30.

Se afectó el gasto a la partida 01.01.01.A10.02.03.05 correspondiente a la formulación de

gastos de la Asesoría Jurídica para Bienes de Consumo – Artículos de Escritorio – Productos

de papel y cartón.

Se realizó el compromiso del gasto a la misma partida.

Se seleccionó la opción de compra Con Invitación cargando dos proveedores para la solicitud

de precios.

Se adjudicó la compra al proveedor propuesto por el sistema en base al menor precio ofertado.

Se emitió la Orden de Compra por medio del sistema.

Se realizó la recepción en almacenes del material solicitado.

Se cargó la factura proporcionada por el proveedor.

Se generó la Orden de Pago correspondiente.

Se realizó el pago mediante dos cheques de distintos bancos (los cheques no fueron emitidos

utilizando el sistema).

Se generaron los recibos correspondientes.

Se verificaron los Libros de IVA Compras, el Mayor de la cuenta Proveedores, el Libro

Diario y los listados de Cheques Pagados y Órdenes de Pago Presupuestarias.

Observaciones:

• Hay ítems que no están correctamente descriptos en el nomenclador (vg., el tamaño de

papel es oficio o A4; pero no ambos a la vez).

Genera incertidumbre respecto al bien en cuestión y es una posible fuente de error.

132

• Cualquier sector puede generar solicitudes para cualquier otro sector; el control interno

que lo evitaba fue levantado.

Implica pérdida de integridad y confiabilidad de la información.

• En la modificación de la solicitud de gasto no realiza el cambio de sector solicitante,

mantiene siempre el sector del usuario que ingresó al sistema.

• En la tarea Autorizador de Transacciones no se visualiza la fecha de alta del comprobante

a autorizar, aparece en blanco.

• La tarea de Gestión de Compras cuando se pasa del Preventivo a la Gestión de Compra

selección por defecto el tipo de compra en Contratación Directa Trámite Simplificado,

modificando el tipo de contratación seleccionado en el proceso anterior.

Afecta el control interno del Sistema sobre el cumplimiento del Reglamento de

Contrataciones e induce a eventuales errores.

• La tarea Cotización de Proveedores admite cargar una cotización con importes negativos.

Implica pérdida de integridad por eventuales errores en el ingreso de datos.

• La recepción de facturas de Proveedores permite ingresar un importe mayor al

comprometido y continuar con el circuito sin ningún tipo de obstáculo.

Pérdida de eficacia, eficiencia y confiabilidad.




Hasta tanto no estén todos los sectores conectados a la red se debe permitir que un sector

pueda generar la “Solicitud del Gasto” de otro sector.

Ya fue solucionado el problema de modificación del sector solicitante de la “Solicitud del

Gasto”.

La fecha de alta del comprobante a autorizar en la tarea Autorizador de Transacciones será

solucionado.

Fue solucionado el problema del cambio del tipo de compra.

Ya se solucionó el error de permitir importe mayor en la recepción de facturas.


133

Las observaciones del rubro deberían ser analizadas por la GERENCIA DE

ABASTECIMIENTO. No obstante, con respecto a la última observación, se informa que el

sistema no permite además el pago de sumas mayores a las comprometidas.

Comentario AGN: La respuesta del Organismo confirma lo informado. Las modificaciones

realizadas serán analizadas en una próxima auditoría.


4.6.1.2. Circuito de Liquidaciones.

• Se emitió una factura por el concepto de Tasa a las Cargas.

• Se imprimió el comprobante donde se verificaron todos los importes.

• Se verificó la cuenta corriente con el ingreso de la factura emitida.

• Se registró el cobro mediante recibos de Tesorería donde se ingresaron cheques de

terceros.

• Se aplicó diferidamente la cobranza.

• Se listó la minuta de recaudación coincidente con el ingreso realizado.

• Se realizó la impresión del detalle de los Instrumentos de Cobro.

• Se imprimió el Libro Diario con los registros de todos los movimientos realizados.

• Se depositaron los cheques ingresados.



Respuesta del Organismo: sin observaciones.


4.6.2. Pruebas realizadas a funciones individuales.

Administración de Bienes y Patrimonio.

Observaciones:

• En el listado Anexo Bienes de Consumo al 25/02/2005 se detectó el código 1.01.019.025

con descripción “Cartucho de tinta para impresora Epson T029201” con cantidad negativa

(-1, menos uno)

• No se pudo ingresar al módulo Composición de Bienes debido a un error en el programa

en la línea 240 (data server: cmd:o, getrst: ora-01422).

134


La cantidad negativa mencionada en las observaciones se debe a que, en el circuito de

compra, se ingresó la factura del proveedor y no fue cargado el remito.

El módulo Composición de Bienes no es utilizado por la AGP y se utilizó en el menú del

administrador del sistema.



Contabilidad.

Observaciones:

• En los reportes de Mayor y sumas y saldos no se informa a qué período corresponde cada

reporte.

• La utilización de la función Fecha de Operación, que permite cambiar la fecha con la cual

se registran las operaciones contables, es una de las causas de los problemas que impiden

el cierre de los balances.


La utilización de la función “Fecha de Operación” debe ser coordinada con los sectores que

verán reflejado el hecho.

No se entiende por qué se indica que la función “Fecha de Operación” es la causal de los

problemas que impiden el cierre de los balances.

Comentario AGN: La respuesta del Organismo confirma lo informado. Cabe destacar que el

uso de la función Fecha de Operación genera, por errores del usuario, registros en la base de

datos con fecha de operación distinta de la real y por lo tanto es una de las causales de la

corrupción de la base de datos y del desbalance de las cuentas.


Operación General. Observaciones:

• El Sistema no provee ayuda en línea, a pesar que fue requerida en el pliego de

contratación.

• Existen mensajes de error que brinda el sistema que resultan no significativos para el

usuario.

135

• El Sistema no tiene un módulo de Auditoría que permita al auditor examinar los registros

en forma sencilla. Su análisis requiere conocimientos de informática.

• Los usuarios no utilizan algunos reportes, por falta de confianza o porque no saben que

existen. Esta situación dificulta la detección de errores en el sistema (por ejemplo, los de

parametrización).

• Al Sistema le faltan opciones de impresión que eviten la necesidad de capturar pantallas

para generar comprobantes.

• No existen procedimientos formales para la comunicación de problemas o fallas del

Sistema al personal externo de soporte. Las comunicaciones son informales y en algunos

casos no aportan suficiente información para subsanar el problema.


• En la misma nota en que se pidió la actualización de la documentación se requirió

también que se active la ayuda en línea.

• En algunas circunstancias es necesario el mensaje técnico para la solución del problema.

• Se desconoce la necesidad de opciones de impresión. Los comprobantes generados por

captura de pantallas no son válidos.



Opinión del Organismo


CONSIDERACIONES GENERALES: del análisis efectuado, específicamente en lo

concerniente a esta GERENCIA, cabe consignar que llama la atención que el análisis

practicado en los sectores más damnificados (contabilidad y patrimonio), no atiende en el

primer caso a las problemáticas de fondo que produjo la implementación a principios del

2003, con los innumerables errores producidos por el sistema en las áreas operativas, y su

impacto en las registraciones contables, por las soluciones de compromiso adoptadas en el

caso del Departamento Patrimonio, la auditoría se limita a indicar que no se pudo imprimir

un listado porque el sistema arrojo un error.

136

Otro punto llamativo es que si bien la auditoría excede a la evaluación del sistema GIGA,

pues alcanza el análisis de la gestión tecnológica de AGP, por lo que se justificaría la

extensión de la descripción de la particular situación del ente (fs. 3 a 6), ignorar las

peculiares condiciones del proveedor, que distan de ser las normales (situación financiera,

pérdida de recursos humanos, otorgamiento de espacio físico por parte de AGP, adelanto de

pago, etc.), alteraron la normal prestación.

Finalmente, una consideración a la capacitación del personal usuario del sistema.

La misma debió haber sido responsabilidad del proveedor acorde a lo convenido.

Evidentemente la ausencia de dicha prestación, agravó las dificultades que se analizan en la

presente auditoria entendiendo esta gerencia que dicho análisis no puede ni debe ser

soslayado, pues varia sustancialmente la determinación de responsabilidades que

conllevaron la situación dificultosa que aún perdura, y que no permite a la fecha contar con

un sistema que cumpla los objetivos para los cuales se lo contrató.

Comentario AGN: En este punto la respuesta del Organismo toma un carácter que de alguna

manera refleja falta de interpretación de las observaciones realizadas en el informe resultado

del trabajo de campo efectuado durante los primeros 4 meses del año 2005.

Con el único objeto de clarificar algunas circunstancias que parecen haber sido pasadas por

alto en este ítem, y sin la intención de generar ningún tipo de polémica, se reafirman a

continuación algunos conceptos que ya figuran en nuestro trabajo:

El objetivo de la auditoría fue evaluar el sistema Informático de Administración y

Abastecimiento, denominado GIGA (Gestión Integral de Gobierno Automatizada), y la

gestión de la Tecnología informática en la Administración General de Puertos S.E., con el

propósito de apoyar al organismo en su utilización, de tal como lo solicita el Sr.

Interventor en su Nota Nº 109-AGPSE-04, donde expresa la necesidad de “verificar el

estado de avance y funcionamiento del sistema implementado” por medio de “una

auditoría integral respecto del mismo, de la cual podrían surgir virtudes y defectos, como

a sí mismo la posibilidad de su perfeccionamiento”.

En este contexto, no debería llamar la atención “que el análisis practicado en los sectores mas

damnificados (Contabilidad y Patrimonio), no atiende en el primer caso a las problemáticas de

137

fondo que produjo la implementación a principios del 2003……..” y “para el caso del

Departamento de patrimonio, se limita a indicar que no se puede imponer un listado porque el

sistema arrojó un error”.

Para el primer concepto, la problemática de implantación a principios de 2003, fue

considerada desde el punto de vista de su solución, y no de la implantación del software ya

que ésta no formó parte del objeto de auditoría.

Es así que se indica en la observación 4.2.2. (pág. 20) y su correspondencia en la

recomendación 6.2.2. (pág. 49), los pasos a seguir para que no se repita esa circunstancia y

además en las conclusiones se manifiestan las consecuencias de tales acciones.

“El sistema GIGA, con el cual se realiza la gestión administrativa integral, incluyendo el

abastecimiento de bienes y servicios, la evidencia de falta de integridad en la información

almacenada, así como el relajamiento de sus controles internos, …” (pág. 61)

y se recomienda: “Recomponer la base de datos de manera tal que se pueda confiar en la

información que almacena” (pág. 62).

Para el caso del Departamento de Patrimonio, son aplicables las observaciones: 4.1.1, 4.1.2,

4.1.3, 4.1.4, 4.1.5, 4.1.6, 4.1.7, 4.1.8, 4.1.9, 4.1.10, 4.2.6, 4.3.3, 4.3.4, 4.3.5, 4.3.6, 4.3.7,

4.3.10, 4.3.11, 4.3.12, 4.3.13 y 4.4.1, como para el resto de la organización.

Tampoco debería ser llamativo que la auditoría analice no sólo el sistema GIGA, sino también

el entorno donde éste se ejecute, ya que éstos están íntimamente ligados.

Con respecto a “ignorar las particulares condiciones del proveedor”, se informa que tal

aseveración no se ajusta a la realidad, ya que fueron consideradas analizando el riesgo que

éstos generan a la AGP. Es por ello que se indica la observación 4.3.2 -Administración de

servicios monitoreados por terceros- (pág. 26) y su correspondiente recomendación 6.3.2

(pág. 53), así como “proceder a la indispensable transferencia tecnológica del sistema dado

que es muy importante superar las dependencias…” (pág. 62)

Con respecto al último párrafo referido a la capacitación, se realizaron las observaciones 4.3.7

(pág. 30) con su correspondiente recomendación 6.3.7, así como “capacitar a cada integrante

del organismo para que conozca cómo su acción se interrelaciona y contribuye a alcanzar los

objetivos generales” y “Disponer en forma urgente de 4 personas lo suficientemente

138

calificadas, 2 en administración de la base de datos Oracle y 2 en programación en lenguaje

Visual Basic”. Figura también dentro de nuestros papeles de trabajo:

• Nota INF N° 86 RI-CENCAPOR-2005 en la que consta que 14 personas de la Gerencia

de Administración recibieron capacitación sobre “Software de Gestión (GIGA)”

incluyendo personal de Contabilidad y Patrimonio.

• Organigrama de la Gerencia Administrativa donde no figura el Departamento Patrimonio.

Finalmente nuestra tarea fue detectar los problemas, ofrecer soluciones, pero jamás delimitar

responsabilidades, ya que este ítem no forma parte del trabajo de auditoría.

139

ANEXO VI

Aclaración solicitada en la nota 814 AGP del 22/11/05 del Sr. Interventor de la

Administración General de Puertos S.E..

Para el párrafo donde se menciona la subutilización del GIGA, es de destacar que para poder

evaluar problemas en el sistema, fue necesario realizar 2 simulacros de operación del sistema

desde el origen de la transacción hasta su conclusión en registración contable (circuitos de

compras y de liquidaciones) (observación 4.6 - pág. 41) para así analizar las fallas que el

software presentaba, ya que el organismo no genera las acciones que éste propone en forma

integral, sino que por el contrario cada área opera como si estuviera aislada del resto

(observación 4.5.3) y utiliza en varios casos planillas Excel, para reemplazar las operaciones

que ofrece (Observación 4.5.1 – pág. 36/37, observación 4.5.2.3 – pág. 40).

En el punto 3.5 (pág. 6), se realiza una descripción genérica de los denominados ERP, grupo

al que pertenece el GIGA.

El éxito de la implantación de estos programas, radica en su utilización integral, con todas las

ventajas que en ese ítem figuran.

Por lo tanto nuestro trabajo, sintetizado en las recomendaciones, apuntó a que la

Administración General de Puertos logre este objetivo.

En lo atinente a la capacitación, también en las recomendaciones, se describen los problemas

localizados, divididos en dos partes, usuarios y personal específico de sistemas.

Consideramos que si se tuviese cubierto el sector de sistemas y utilizando también algún

agente que conozca su funcionamiento, la capacitación de usuarios puede autorealizarse.

“El verdadero problema”, se soluciona con el seguimiento de nuestras recomendaciones, en

particular la número nueve (pág. 62), (para lo cual hay que implementar el resto).

Párrafo aparte merecen las responsabilidades derivadas ante este tema. Se considera

apropiado, aquí, insistir en el concepto sobre que la auditoría realizada no busca individualizar

responsables, sino brindar el camino para superar los obstáculos.

AUDITORÍA GENERAL DE LA NACIÓN Las tareas de campo abarcaron desde enero hasta abril de 2005.-...

Documents

Transcript of AUDITORÍA GENERAL DE LA NACIÓN Las tareas de campo abarcaron desde enero hasta abril de 2005.-...