Subsecretaría de Pesca y Acuicultura - agn.gov.ar · Aplicaciones informáticas para el control de...

Subsecretaría de Pesca y Acuicultura

Aplicaciones informáticas para el control de captura máxima permisible por especie,

derechos de extracción, otorgamiento de permisos de pesca y zonas vedadas.

Auditoría General de la Nación

Gerencia de Planificación y Proyectos Especiales

Departamento de Auditoría Informática

Índice

1. OBJETO DE AUDITORÍA ............................................................................................... 1 2. ALCANCE ........................................................................................................................ 1

2.1. Ejecución del Trabajo de Auditoría ......................................................................................................... 1 2.2. Enfoque del Trabajo de Auditoría ........................................................................................................... 2 2.3. Procedimientos de Auditoría ................................................................................................................... 2

3. ACLARACIONES PREVIAS ........................................................................................... 3 3.1. Marco institucional y presente de la actividad pesquera marítima .......................................................... 3 3.2. Contexto de TI del objeto de control ....................................................................................................... 9

4. COMENTARIOS Y OBSERVACIONES ...................................................................... 10 4.1 Funcionalidades del Sistema .................................................................................................................. 10 4.2 Confiabilidad de los Sistemas ................................................................................................................ 12 4.3 Procesos Críticos de Negocios ............................................................................................................... 24

5. RECOMENDACIONES.................................................................................................. 32 5.1 Funcionalidades del Sistema .................................................................................................................. 32 5.2 Confiabilidad de los Sistemas ................................................................................................................ 32 5.3 Procesos Críticos de Negocios ............................................................................................................... 34

6. CONCLUSIONES ........................................................................................................... 35 7. COMUNICACIÓN AL ENTE ........................................................................................ 38 8. LUGAR Y FECHA.......................................................................................................... 39 9. FIRMA ............................................................................................................................. 39 10. ANEXOS ....................................................................................................................... 40

ANEXO I – Comentarios del auditado ......................................................................................................... 40 ANEXO II – Análisis de los comentarios del auditado ................................................................................ 47

Glosario

CMP: Captura Máxima Permisible.

COBIT: Control Objectives for Information and Related Technologyu Objetivos de Control

para Información y Tecnologías Relacionadas. Se utiliza como marco de referencia

de buenas prácticas en TI.

.DBF: Formato de archivo de base de datos.

DC: Data Center, Centro de Procesamiento de Datos o Centro de Cómputos.

Incidente: de acuerdo con ITIL, es cualquier evento que no forma parte del desarrollo

habitual del servicio y que causa, o puede causar una interrupción del mismo o

una reducción de la calidad de dicho servicio.

ISO 27000: conjunto de estándares desarrollados por ISO (International Organization for

Standardization) e IEC (International Electrotechnical Commission), que

proporcionan un marco de gestión de la seguridad de la información

ITIL: Information Technology Infrastructure Library o Biblioteca de Infraestructura de

Tecnologías de Información. Se utiliza como marco de referencia de buenas

prácticas en TI.

Mar territorial: De acuerdo a la ley 23.968, art. 4º, es aquel que se extiende hasta una

distancia de doce millas marinas a partir de las líneas de base utilizadas para medir

los espacios marítimos.

Pishing: Abuso informático consistente en la captura maliciosa de datos.

PostgreSQL: sistema de gestión de bases de datos objeto-relacional.

Problema: fallo producido en sistema por un mal funcionamiento del software o hardware

que puede producir desde una disminución en su performance hasta la salida de

servicio de todo el sistema afectado.

Script: programas pequeños o simples, para realizar tareas muy específicas.

SISGRAL: Sistema General de Pesca, utilizado por la SSPyA para administrar y controlar

la actividad pesquera.

SSPyA: Subsecretaría de Pesca y Acuicultura, dependiente de la Secretaría de Agricultura,

Ganadería y Pesca.

TI: Tecnologías de la Información.

Visual Fox: Lenguaje de programación.

ZEE: (Zona Económica Exclusiva) De acuerdo a la ley 23.968, la zona económica

exclusiva argentina se extiende, más allá del límite exterior del mar territorial, hasta

una distancia de doscientas millas marinas a partir de las líneas de base utilizadas

para medir los espacios marítimos. En ella, la Nación Argentina ejerce derechos de

soberanía para los fines de la exploración y explotación, conservación y

administración de los recursos naturales, tanto vivos como no vivos

INFORME DE AUDITORÍA

1

Al Señor Subsecretario de Pesca y Acuicultura

Lic. Tomás Gerpe

En uso de las facultades conferidas por el artículo 118 de la Ley 24.156, la AUDITORÍA

GENERAL DE LA NACIÓN procedió a efectuar un examen en la Subsecretaria de Pesca y

Acuicultura, dependiente del Ministerio de Agroindustria, con el objeto que se detalla en el

apartado 1.

1. OBJETO DE AUDITORÍA

Análisis de las aplicaciones informáticas y base de datos utilizadas para el control de captura

máxima permisible por especie, derechos de extracción, otorgamientos de permisos de pesca

y zonas vedadas.

2. ALCANCE

2.1. Ejecución del Trabajo de Auditoría

El examen fue realizado de conformidad con las Normas de Control Externo Gubernamental

aprobadas por la AUDITORÍA GENERAL DE LA NACIÓN mediante la Resolución N°

26/15, dictada en virtud de las facultades conferidas por el artículo 119 inciso “d” de la Ley

N° 24.156, aplicándose los procedimientos detallados en el punto 2.3.

El inicio de las tareas de auditoría se notifican al organismo el 30/06/16 mediante Nota N°

51/16-A06.

En función de estos antecedentes resulta:

Período auditado: 01/06/2015 al 31/05/2016


2

Las tareas de campo se desarrollaron de agosto de 2016 a febrero de 2017.

2.2. Enfoque del Trabajo de Auditoría

La tarea abarcó la verificación de las aplicaciones informáticas para el control de captura

máxima permisible por especie, derechos de extracción, otorgamientos de permisos de pesca

y zonas vedadas en aguas marítimas de jurisdicción nacional. Para ello, y a partir de la

información obtenida, se identificaron los temas de mayor exposición al riesgo, realizándose

pruebas sustantivas y de cumplimiento para el control de los mismos.

La auditoría tuvo en cuenta estándares internacionales establecidos como marco de

referencia para buenas prácticas de TI, tales como COBIT (Control Objectives for

Information Technologies and Related) versión 4.1, normas ISO 27000 y 27001 e ITIL, entre

otras. Estas describen los procedimientos que una organización debe implementar para

obtener resultados óptimos en la gestión de la información.

2.3. Procedimientos de Auditoría En la etapa de análisis se realizaron los siguientes procedimientos:

• Inspección y control del cumplimiento de lo establecido por el Régimen Federal de

Pesca, Ley 24.922, Decreto Reglamentario 748/1999.

• Inspección ocular de la infraestructura de control de los Puertos de Mar del Plata,

Rawson, Puerto Madryn y Puerto Deseado.

• Inspección ocular de los procedimientos relativos al control de la descarga de productos

en los puertos mencionados.

• Inspección ocular de los procedimientos vinculados a la carga de datos en las

aplicaciones utilizadas en los distritos pesqueros para el control de la actividad.

• Recopilación de información mediante entrevistas mantenidas con los responsables y

personal de la Subsecretaria de Pesca, Dirección Registro de la Pesca, Dirección de

Administración Pesquera, Dirección de Control y Fiscalización, Coordinación de


3

Permisos de Pesca, Distrito de Pesca Puerto Deseado, Distrito de Pesca Puerto de

Rawson, Distrito de Pesca de Puerto Madryn, Distrito de Pesca Mar del Plata.

• Entrevistas con personal de la Unidad de Auditoría Interna.

• Entrevistas con el personal encargado del desarrollo y mantenimiento de los aplicativos

utilizados por la Subsecretaria de Pesca y Acuicultura.

• Análisis del funcionamiento de los aplicativos utilizados por la Subsecretaria de Pesca y

Acuicultura en un entorno de pruebas.

• Análisis de la consistencia de los datos almacenados en las bases de datos de las

aplicaciones.

3. ACLARACIONES PREVIAS 3.1. Marco institucional y presente de la actividad pesquera marítima

La República Argentina

posee un litoral marítimo

cuya línea de costa tiene

una longitud aproximada

de 4.800 km. En su Zona

Económica Exclusiva

(ZEE) la Nación ejerce

derechos de soberanía

para los fines de la

exploración, explotación,

conservación y

administración de los

recursos naturales (ley

Perfil del mar territorial argentino”. Fuente: 2011. “Lineamientos para la Incorporación de la Problemática del Mar Argentino en la Planificación Territorial” - Subsecretaria de Planificación Territorial de Inversión Pública - Ministerio de Planificación Federal.


4

23.968, art. 5º), lo que conforma una superficie marítima de 2.809.237 1km2 que recae bajo

su exclusiva jurisdicción. De acuerdo a la ley 23.968, la zona económica exclusiva argentina

se extiende, más allá del límite exterior del mar territorial, hasta una distancia de doscientas

millas marinas a partir de las líneas de base que se establecen en el artículo 1 (art. 5º), siendo

el mar territorial argentino aquel que se extiende hasta una distancia de doce millas marinas

a partir de las mencionadas líneas de base (art. 4º). La citada ley es consistente con la

Convención de las Naciones Unidas sobre el Derecho del Mar.

La fauna ictícola que habita el dominio marítimo constituye un importante recurso

económico para la nación y para las economías regionales de las provincias costeras. De

acuerdo a información publicada por la Subsecretaría de Pesca y Acuicultura,2 el volumen

total de pesca marítima en 2015 alcanzó las 768.010 toneladas. La importancia del sector

también se manifiesta por sus exportaciones: en 2015 se enviaron al exterior 460.485

toneladas por un valor de U$D 1.465.935.000, superando en monto a las de carne vacuna de

ese año. Según información provista por el auditado, el sector pesquero representa un 0,22%

del PBI y ocupa a más de 40.000 trabajadores directos e indirectos.

De la gran variedad de peces que habitan el Mar Argentino, más del 70% del peso extraído

corresponde a merluza, langostino, calamar y corvina blanca,3 cuya explotación se concentra

en los puertos de Mar del Plata, Puerto Madryn, Puerto Deseado, Ushuaia y Rawson, con

más del 90% del tonelaje.

La ley 24.922, “Régimen Federal de Pesca”, determina el marco legal que regula la actividad

pesquera marítima nacional. Conforme a ésta, la Nación Argentina fomentará el ejercicio de

la pesca marítima y adoptará las medidas tendientes a promover la protección de los recursos

1 Fuente: 2011. “Lineamientos para la Incorporación de la Problemática del Mar Argentino en la Planificación Territorial” - Subsecretaria de Planificación Territorial de Inversión Pública - Ministerio de Planificación Federal. 2www.agroindustria.gob.ar/sitio/areas/pesca_maritima/desembarques/lectura.php?imp=1&tabla=especie_puerto_2015 3 Merluza H Sur 41 (29.86%), langostino (18.64%), calamar illex (16.49%), merluza H Norte 41 (4.21%), corvina blanca (4.08%). Información obtenida de www.agroindustria.gob.ar. Fecha de ingreso: 7/09/2016.

http://www.agroindustria.gob.ar/


5

vivos marinos y la conservación en la Zona Económica Exclusiva. En ese orden, el art. 1º

determina que:

La Nación Argentina fomentará el ejercicio de la pesca marítima en procura del máximo

desarrollo compatible con el aprovechamiento racional de los recursos vivos marinos.

Promoverá la protección efectiva de los intereses nacionales relacionados con la pesca y

promocionará la sustentabilidad de la actividad pesquera, fomentando la conservación a largo

plazo de los recursos, favoreciendo el desarrollo de procesos industriales ambientalmente

apropiados que promuevan la obtención del máximo valor agregado y el mayor empleo de

mano de obra argentina.

La norma citada, en su art. 7º determina cuáles serán las funciones de la autoridad de

aplicación, indicándose a continuación los incisos relevantes para el objeto de auditoria:

• Conducir y ejecutar la política pesquera nacional, regulando la explotación,

fiscalización e investigación; (inc. a)

• Fiscalizar las Capturas Máximas Permisibles por especie, establecidas por el Consejo

Federal Pesquero y emitir las cuotas de captura anual por buques, por especies, por

zonas de pesca y por tipo de flota, conforme las otorgue el Consejo Federal Pesquero;

(inc. c)

• Calcular los excedentes disponibles y establecer, previa aprobación del Consejo

Federal Pesquero las restricciones en cuanto a áreas o épocas de veda; (inc. e)

• Elaborar y/o desarrollar sistemas de estadística de la actividad pesquera; (inc. i)

• Reglamentar el funcionamiento del Registro de pesca creado por esta ley; (inc. k)

• Percibir los derechos de extracción establecidos por el Consejo Federal Pesquero;

(inc. l)

• Establecer e implementar los sistemas de control necesarios y suficientes de modo

de determinar fehacientemente las capturas en el mar territorial y la Zona Económica

Exclusiva y desembarcadas en puertos argentinos habilitados y el cumplimiento y

veracidad de las declaraciones juradas de captura; (inc. o)


6

Con el objeto de propender a una eficaz administración y un adecuado control de los recursos

pesqueros, resulto necesario, conforme la Res. 27/2003, que la Secretaría de Agricultura,

Ganadería, Pesca y Alimentación delegue en la Subsecretaría de Pesca y Acuicultura el

ejercicio de las facultades conferidas por el artículo antes mencionado.

Para ejercer la actividad extractiva es necesario contar con un “permiso de pesca”,

habilitación otorgada por la autoridad de aplicación, previa autorización del Consejo Federal

Pesquero. El permiso sólo será efectivo cuando se complemente con una “Cuota Individual

Transferible de Captura” (para especies cuotificadas) o con una “Autorización de Captura”

(para especies no cuotificadas).4 Dichas cuotas configuran cupos temporales de pesca a favor

de un titular de permiso de pesca y vinculado a un buque determinado, que lo faculta a pescar

un porcentaje de la “Captura Máxima Permisible” (CMP). En este sentido, la cuota

individual se fija en relación al máximo que el Consejo determine en forma anual para la

especie de que se trate. Tanto la Cuota Individual Transferibles de Captura como la

Autorización de Captura están asociadas a una determinada especie y buque, y pueden ser

transferidas entre éstos.5

El Consejo Federal Pesquero creado por el art. 8º de la ley 24.922 debe “establecer la

Captura Máxima Permisible por especie, teniendo en cuenta el rendimiento máximo

sustentable de cada una de ellas, según datos proporcionados por el INIDEP. Además

[debe] establecer las cuotas de captura anual por buque, por especie, por zona de pesca y

por tipo de flota” (art. 9º).

4 En ese sentido, el art. 28 de la ley 24.922 establece que los permisos de pesca, se refieren “a las habilitaciones otorgadas a los buques solamente para acceder al caladero, siendo necesario para ejercer la pesca contar con una cuota de captura asignada o una autorización de captura en el caso que la especie no este cuotificada”. 5 En la actualidad las especies que se administran a través del sistema de cuotas de pesca, por su abundancia, características y con la finalidad de priorizar el valor comercial atento que en ellas se concentra una actividad pesquera importante, son la merluza común (Merluccius hubbsi), merluza de cola (Macruronus magellanicus), merluza polaca (Micromesistius australis), merluza negra (Dissostichus eleginoides) y vieira (Zygochlamys patagónica).


7

Por su parte, el Instituto de Investigación y Desarrollo Pesquero (INIDIEP), organismo

descentralizado del Ministerio de Agroindustria, debe determinar anualmente el rendimiento

máximo sostenible de las especies (art. 12º).

En lo que respecta a la fiscalización de la actividad, de acuerdo a información provista por

el auditado, la Subsecretaría de Pesca y Acuicultura emite un promedio anual de doscientas

disposiciones y resoluciones de infracciones, que suman aproximadamente $17.000.000. A

esto deben sumarse $22.500.000 en concepto de multas labradas a buques de bandera

extranjera que pescan en la ZEE sin los permisos correspondientes, más U$D 599.909 por

decomiso de carga.

Las infracciones más comunes son:

• Pesca en zona de veda.

• No utilizar dispositivos de selectividad para juveniles en las artes de pesca.

• Diferencias entre lo declarado en el Parte de Pesca y el Acta de Descarga.

• Inobservancia de las normas de clasificación y pesaje en el control de las descargas

en puerto.

Dentro del alcance de la auditoria se identificaron como procesos críticos:

• Ingreso de los datos de las Actas de Desembarco.

• Proceso de monitoreo de buques.

Uno de los procesos más relevantes del organismo es el ingreso de datos de las Actas de

Desembarco. Los datos que dan cuenta de las capturas realizadas por un buque habilitado se

ingresan a través de una aplicación Web a la que acceden los agentes de la Subsecretaria de

Pesca y Acuicultura de los distintos distritos pesqueros. Dichos datos se almacenan en

primera instancia en una base de datos, pero luego son convertidos a otro formato para que

puedan ser interpretados por el sistema que genera los reportes y estadísticas de importancia


8

para las funciones de la Subsecretaría. Información como capturas por especie o buque,

permisos de pesca, habilitaciones, entre otras es recopilada y procesada en este sistema.

Otro proceso relevante consiste en el control de la posición de los buques mediante el

monitoreo, a los efectos de verificar que no se encuentren pescando fuera de las zonas

asignadas o en zonas de veda. Para ello se descarga su posición desde distintos proveedores

de servicios de localización satelital, y se las contrasta con las cartas de las zonas

monitoreadas.

La SSPyA lleva a cabo las tareas administrativas asociadas a la fiscalización -recepción de

documentación, solicitud de inspectores, etc.- en oficinas situadas en cercanía de los muelles

de desembarque. En los casos de Puerto Deseado y Puerto Madryn (foto), aproximadamente

a 0,5 y 2 km. de

distancia,

respectivamente. En

cuanto a Rawson, las

tareas administrativas

de la Subsecretaria de

Pesca se realizan en un

contenedor metálico

dentro del predio del

puerto acondicionado

como oficina. En Mar

del Plata las oficinas se

encuentran en

cercanías de los

muelles de descarga, aunque no todas las tareas de control se realizan en la zona portuaria:

a solicitud de los armadores, las empresas pesqueras o las plantas procesadoras, el control

del peso de los productos descargados puede realizarse en donde éstos lo indiquen,

generalmente en las mismas plantas procesadoras. Ocasionalmente se determinan hasta tres


9

lugares para realizar los controles, debiendo la Subsecretaria enviar inspectores a cada uno

de ellos.

3.2. Contexto de TI del objeto de control

La Subsecretaría de Pesca y Acuicultura (SSPyA) administra y controla la actividad

pesquera mediante un único sistema modular denominado Sistema General de Pesca

(SISGRAL). Se encuentra instalado en servidores virtuales alojados en el Data Center del

Ministerio de Agroindustria, quien se encarga de mantenerlos disponibles y proveer la

seguridad física, lógica y los enlaces de comunicaciones necesarios.

La SSPyA cuenta con un área de desarrollo informático compuesta por cinco agentes que se

ocupan del desarrollo de las aplicaciones, su implementación y mantenimiento. Además

administran los servidores donde se encuentran alojadas las mismas.

El SISGRAL es un sistema desarrollado en Visual Fox en la década de los 90, que ha sido

adaptado periódicamente para contemplar las decisiones del Consejo Federal Pesquero. Si

bien se presenta con una interfaz única, está compuesto por un conjunto de módulos, cada

uno de los cuales cumple una finalidad específica en el proceso de control de la información

referida a la actividad pesquera.6

Este sistema administra información tal como permisos de pesca, permisos de zarpada,

registro de buques, registro de pesca, estadísticas y reportes de cupo por buque, entre otras.

El ingreso de datos es realizado desde diferentes ubicaciones, dependiendo del área

responsable de su carga. A modo de ejemplo, el ingreso de datos provenientes de las Actas

de Desembarco se realiza en los distritos pesqueros mediante una interfaz web (SCAPN), a

partir de la transcripción de dichas planillas que fueran confeccionadas a mano en el puerto.

6 Los principales módulos que componen el SISGRAL son i) estadísticas y actas de desembarque, ii) arancelamiento, iii) sumarios, iv) buques y armadores, v) inspectores a bordo, vi) pago tangoneros, vii) embarcos de inspectores; entre otros que facilitan la gestión de documentación del organismo.


10

Esta plataforma web de carga de datos utiliza una base de datos relacional convencional

administrada con un motor de base de datos PostgreSQL, a diferencia del SISGRAL, que

utiliza archivos .DBF. Esta configuración requiere de una interface para ejecutar tareas de

extracción y conversión de datos, y de ese modo abastecer a la base de datos del SISGRAL.

La conectividad de los puertos se realiza a través de servicios ADSL,7 lo que permite la carga

de los datos en un portal publicado en Internet.

4. COMENTARIOS Y OBSERVACIONES 4.1 Funcionalidades del Sistema 4.1.1 La plataforma informática que utiliza la SSPyA no consolida la información hasta que

las actas estén totalmente cargadas, lo que retrasa la actualización de la información en la

base de datos.

El sistema que posibilita la carga de Actas de Desembarco desde los distritos pesqueros exige

que la información ingresada sea completa para poder guardarse, incluyendo el documento

fuente escaneado. Dada la escasa disponibilidad de scanner en los distritos visitados, la carga

suele sufrir demora. Asimismo, ciertos datos relativos al buque deben ser brindados por la

provincia respectiva y cargada en conjunto con el parte. En este sentido y habida cuenta que

provienen de fuentes y momentos distintos, este procedimiento también puede afectar la

carga de datos. No hay ninguna funcionalidad del sistema que permita advertir la falta de

carga de partes presentados.

La falta de: i) un procedimiento automatizado que asegure que todas las Actas de

Desembarco sean cargadas, ii) un diseño de sistema que permita la carga parcial del acta de

pesca y iii) la falta de equipamiento en algunos distritos, impide que el sistema cuente con

7 Tecnología de acceso a Internet de banda ancha, que permite la conexión mediante línea telefónica.


11

información completa en el momento oportuno, lo que eventualmente permitiría otorgar

permisos de pesca a buques sin cuota, entre otros riesgos de control.

4.1.2 El SISGRAL no ha sido desarrollado conforme a buenas prácticas de desarrollo de

software, no cuenta con documentación formal, y su diseño dificulta su operatividad, lo que

genera dependencia crítica de personal.

De acuerdo a las mejores prácticas del mercado (como por ejemplo COBIT), es fundamental

desarrollar documentación formal sobre todas las etapas del proceso de desarrollo, desde la

definición del requerimiento hasta su implementación y puesta en producción.

El SISGRAL es un sistema desarrollado hace más de dos décadas, utilizando tecnologías

adecuadas para la época, pero consideraras obsoletas desde hace varios años. El mismo posee

errores de diseño, mensajes de error confusos y ausencia de documentación técnica formal

alguna, lo que impacta negativamente en la experiencia del usuario.

Para ilustrar esta situación, en las pruebas de campo, se pudo encontrar el siguiente mensaje

de error, haciendo referencia a una persona y su extensión, en lugar de un área:

Por último, el SISGRAL no emite alarmas cuando algunos de los valores -por ejemplo,

captura de especie por buque- supera el máximo permitido de acuerdo a los permisos

otorgados, lo que dificulta las acciones de control.

Ejemplo de mensaje de error del SISGRAL. Fuente: procedimientos de auditoría.


12

4.1.3 El SISGRAL almacena sus datos en bases que no poseen ninguna medida de control

interno que permita asegurar su integridad. El organismo está así expuesto a la alteración

indebida de registros sin que pueda percatarse de ello.

El SISGRAL almacena los datos en una serie de archivos denominados DBF (Database File),

un antiguo formato de archivo en el que los datos no poseen ningún tipo de estructura,

encriptación, protección contra escritura ni registro de modificación.

El paradigma computacional moderno exige que se asegure la integridad, seguridad y

confidencialidad de los datos, y se mantenga registro de quién modifica los datos

almacenados.

Operar con archivos DBF deja a la organización expuesta a la destrucción o alteración de

datos, sin almacenar rastro alguno de quien realizare la operación.

4.2 Confiabilidad de los Sistemas 4.2.1 El área de desarrollo de la Dirección de Administración Pesquera no aplica un marco

metodológico para la gestión de proyectos de desarrollo de software, incluida la migración

del sistema crítico, lo que dificulta su seguimiento, el control y medición de avances y la

calidad de los entregables de cada etapa.

A partir de los relevamientos realizados con los agentes del área de desarrollo de software

respecto del proyecto de migración del sistema existente desarrollado en Visual FOX, al

sistema actual desarrollado sobre una plataforma web, se ha constatado que no se aplica

ningún enfoque metodológico que permita visualizar la formalización de las etapas del

proyecto, plazos de entrega, esquemas de validación y aceptación de los entregables,

seguimiento, control y medición de la productividad del equipo de desarrollo involucrado en

el proyecto.


13

Según lo indicado por las buenas prácticas (PMBook, ITIL, COBIT, entre otros), la gestión

de proyectos es un enfoque metódico que permite planificar y orientar los procesos del

proyecto de principio a fin, con altos niveles de eficiencia. De acuerdo a estas prácticas, los

procesos de todo proyecto se guían por cinco etapas: iniciación, planificación, ejecución,

control y cierre. La gestión de proyectos es ampliamente utilizada para controlar los procesos

complejos de proyectos de desarrollo de software.

Llevar adelante un proyecto de desarrollo de software sin un marco metodológico concreto,

más aún cuando su objetivo es migrar un sistema que se encuentra actualmente en

producción y que es crítico para la organización, a un sistema de similares características de

criticidad, pero sobre la base de nuevas herramientas y nuevas plataformas tecnológicas,

conlleva un alto riesgo de que éste se torne indefinido en sus plazos, que se pierda el control

sobre el ciclo de vida y que sea poco efectivo para la organización al momento de que se

concreten las implementaciones de los entregables.

4.2.2 El área de desarrollo de sistemas dependiente de la Dirección de Administración

Pesquera no cuenta con procedimientos normalizados de gestión de configuraciones,

cambios y versiones que permitan llevar un eficiente control sobre las modificaciones de los

sistemas de información críticos puestos en producción. Esta debilidad representa un riesgo

para la disponibilidad del sistema y, por lo tanto, para la administración y control de la

actividad pesquera.

De los trabajos de análisis, relevamiento y seguimiento realizados con el personal

involucrado en el desarrollo y mantenimiento de los sistemas aplicativos de la Dirección de

Administración Pesquera se ha detectado que las configuraciones de los activos de TI y los

cambios y mejoras sobre los sistemas de información se gestionan a través de solicitudes

verbales, por correo electrónico, vía telefónica, mediante notas o a través de apuntes internos

del área de desarrollo. Estas solicitudes de las áreas usuarias son distribuidas informalmente

entre los integrantes del equipo de desarrollo, que deriva en la ejecución de un proyecto


14

individual, desde la etapa de desarrollo hasta su implementación definitiva, sin aprobación

por parte del usuario solicitante.

Estos procedimientos aplicados por el área de desarrollo de sistemas no están dentro de un

esquema normalizado de gestión de las configuraciones, cambios y versiones, por lo cual

resultan insuficientes para una correcta administración de los cambios correctivos,

adaptativos y evolutivos que se aplican a las versiones de los sistemas de información que

se ponen en producción, lo que genera dependencia crítica sobre la persona que desarrolló

el cambio en el sistema.

De acuerdo a lo establecido por las mejores prácticas para el desarrollo y despliegue de

software (CMMI e ITIL), la gestión de las configuraciones y el control de cambios son

esenciales para un debido seguimiento de estas actividades, con el objetivo de garantizar

niveles de calidad aceptables para todos los productos generados por los integrantes del

equipo de desarrollo. Dicho control ayuda a eliminar la posibilidad de confusiones que

puedan resultar de alto costo para el proyecto y el organismo, al asegurar que no existan

inconsistencias en el sistema desarrollado generadas por:

• Actualizaciones simultáneas; que ocurren cuando varios integrantes del equipo

trabajan sobre un mismo elemento al mismo tiempo.

• Problemas en la notificación de cambios; cuando un problema fue resuelto para algún

elemento que es compartido por varios desarrolladores, pero alguno de ellos no fue

notificado de dicho cambio.

• Múltiples versiones; en virtud de que usualmente se cuenta con varias versiones del

producto en desarrollo (por ejemplo, una versión de desarrollo y otra de test), pero

un cambio en una no necesariamente se ve reflejado en las otras.


15

4.2.3 Las funciones del área de desarrollo de sistemas de la Dirección de Administración

Pesquera no se encuentran segregadas, lo que puede originar errores no detectados en el

desarrollo del sistema, por falta de controles cruzados.

En los trabajos de campo se detectó que los agentes pertenecientes al área de desarrollo de

sistemas son poli-funcionales y en la asignación de funciones y responsabilidades no se

practica el concepto de segregación de funciones. Si bien cada agente tiene una función

primaria base, todos están habilitados a asumir funciones de desarrolladores, control de

calidad (testing), soporte a usuarios, operaciones de los servicios de TI, administración de

las bases de datos y administración del entorno de producción de los sistemas de

información.

Las buenas prácticas indican que la implementación de un esquema de segregación de

funciones para los recursos de un área de sistemas representa una actividad de control por

oposición de intereses que asegura una adecuada administración de los activos y de los

servicios de tecnología de información, en función del cumplimiento de los objetivos de una

organización.

Una segregación adecuada de funciones reduce la probabilidad de no detectar

modificaciones intencionales o errores involuntarios, lo que resulta funcional a la protección

de los activos de la organización. Por el contrario, una inadecuada segregación de funciones

puede derivar en debilidades materiales y de servicios, y producir deficiencias significativas

en los controles internos.

4.2.4 No se encuentran formalizados los acuerdos de niveles de servicio entre la Dirección

de Administración Pesquera de la Subsecretaría de Pesca y Acuicultura y la Dirección de

Informática del Ministerio de Agroindustria, por lo que resulta imposible asegurar la

calidad del servicio provisto a nivel hardware, software y seguridad física.


16

La infraestructura tecnológica, las telecomunicaciones y los sistemas de información que

brindan servicios al entorno operativo de la Dirección de Administración Pesquera, son

gestionados por la estructura técnica de la Dirección Informática del Ministerio de

Agroindustria. El servicio que brinda la Dirección Informática tiene por objetivo principal

asegurar la disponibilidad de la infraestructura tecnológica y los sistemas de información

que la Dirección de Administración Pesquera utiliza para gestionar eficientemente sus

procesos operativos.

A partir de las entrevistas realizadas con los responsables del soporte y mantenimiento de

los sistemas de información de la Dirección de Administración Pesquera, se pudo constatar

que si bien las condiciones generales del servicio se cumplen razonablemente, no se

encuentran documentados los acuerdos de niveles de servicios ofrecidos por la Dirección de

Informática y los requeridos por la Dirección de Administración Pesquera, que permitan

garantizar la demanda de disponibilidad tecnológica que necesitan los procesos operativos

de dicho organismo.

Esta carencia impide a ambas partes asegurar la calidad del servicio en aspectos tales como

tiempo de respuesta, disponibilidad horaria, documentación disponible, personal asignado al

servicio, etc., lo que indefectiblemente conduce a una administración informal del servicio

de locación de los activos tecnológicos de la Dirección de Administración Pesquera.

4.2.5 La Dirección de Administración Pesquera no exige la implementación de un plan de

contingencia ni de recuperación de desastres (DRP), lo que pone en riesgo la continuidad

del servicio brindado por los sistemas de información utilizados diariamente por esta

dirección.

Frente a la posibilidad de que ocurran eventos que puedan dejar fuera de servicio a los

sistemas de información –como un incendio en las instalaciones del centro de cómputos-,

los organismos deben contar con un plan de recuperación de desastres (DRP) que especifique

los pasos a seguir para asegurar la continuidad del servicio frente a dichos eventos. Los


17

planes deben ponerse a prueba con cierta regularidad para que, ocurrido el desastre, las

funciones estén automatizadas y aprendidas por los responsables.

Las mejores prácticas en materia de continuidad de servicio (COBIT DS4.2) establecen la

necesidad de detallar específicamente los procedimientos de restablecimiento de servicio

ante una eventualidad. Estos planes deben ser detallados, incluyendo responsables asignados

y tiempo de ejecución estimado por cada tarea.

La Dirección de Administración Pesquera no posee un plan formal provisto por la Dirección

de Informática del Ministerio de Agroindustria que asegure la continuidad del servicio ante

incidentes o desastres ocurridos en el centro de procesamiento de datos en el cual se

encuentran alojados los servidores de la Dirección de administración Pesquera.

4.2.6 El área competente de la Subsecretaría de Pesca y Acuicultura no cuenta con

procedimientos de gestión de incidencias y de problemas que permitan llevar un eficiente

control sobre los errores y anomalías que se presentan en los sistemas de información

puestos en producción, considerados críticos para la organización.

El SISGRAL cuenta con una memoria de registro de incidencias que el personal del área de

desarrollo controla diariamente para informarse de errores detectados automáticamente por

el aplicativo. Sin embargo, de acuerdo a lo verificado por el equipo de auditoria, los usuarios

informan los incidentes que se producen y cuya detección no se encuentra automatizada, en

forma verbal, telefónica o por correo electrónico.

Si bien estos procedimientos habilitan a que el área de desarrollo tome las acciones

correctivas necesarias para solucionar las incidencias y problemas8 que se presentan en los

aplicativos en producción, resultan insuficientes para llevar un adecuado y eficiente registro

o historial de incidentes. Un registro de incidentes permitiría realizar análisis y emprender

8 Ver glosario.


18

acciones correctivas orientadas al mejoramiento de la calidad de los aplicativos y a la

disminución de los errores o falencias del software.

De acuerdo a las mejores prácticas en el ámbito del desarrollo de software orientadas a la

gestión de incidencias y problemas (CMMI e ITIL), una adecuada administración y

documentación del ciclo de vida de las anomalías que se presentan en los sistemas

aplicativos permite: i) responder con mayor celeridad a la solución del problema, ii) obtener

una mejor calidad en los resultados de la solución, y iii) disminuir considerablemente la tasa

de anomalías en los sistemas, en definitiva ofreciendo soluciones estructurales más sólidas

que aseguren la estabilidad de los servicios brindados por los sistemas de información.

La inadecuada gestión de incidencias y de problemas conlleva un servicio de TI deficitario

e inestable, lo que conduce inexorablemente a una considerable carencia de confiabilidad

sobre las herramientas informáticas que dan soporte a la operación de la organización.

4.2.7 El área competente de la Subsecretaría de Pesca y Acuicultura no cuenta con un

sistema de seguimiento de pedidos de soporte, lo que limita la calidad del mantenimiento de

la infraestructura de TI.

El área de desarrollo de sistemas dependiente de la Dirección de Administración Pesquera

realiza tareas de soporte al usuario sobre los sistemas aplicativos productivos. Cuando los

usuarios se encuentran con un inconveniente o deben realizar alguna consulta al soporte

técnico, se contactan telefónicamente o vía correo electrónico con el área de desarrollo. Dado

que el número de contacto está asociado a todos los teléfonos del personal asignado a esta

tarea, las llamadas recibidas se derivan a todos ellos en forma simultánea.

Los pedidos de asistencia no se registran en ningún medio o sistema, ya sea por parte del

agente que recibió el pedido inicialmente o por quien lo reemplace, lo que dificulta su

seguimiento, imposibilita la realización de análisis históricos sobre problemas frecuentes y

reduce la eficiencia de la tarea de mantenimiento. Entre los inconvenientes detectados


19

también se menciona la falta de conformidad explicita por parte del usuario sobre la solución

del problema.

Tal y como indican las buenas prácticas, cada pedido de soporte debería registrarse en un

sistema que permita identificar en forma unívoca cada solicitud, tanto para hacer un

seguimiento del estado de los pendientes, como para servir de base de conocimiento y

acelerar así la tarea de los agentes. Podría también ser abierta al usuario con el fin de

disminuir la cantidad de contactos entrantes (llamadas y correos electrónicos), para medir el

nivel de servicio o conocer los pedidos activos y dar la conformidad sobre la tarea realizada

una vez solucionado el incidente.

El no contar con un sistema de estas características conlleva el riesgo de no resolver el

inconveniente de algunos usuarios, o no darle la prioridad adecuada. Asimismo, su falta

imposibilita o dificulta la distribución correcta de las tareas entre los agentes que

corresponda, e impide la identificación de problemas recurrentes a los fines de brindar

soluciones más eficientes. Tampoco deja constancia de quien fue el agente responsable de

resolver el incidente.

4.2.8 Se encuentran desactualizados los procedimientos y guías técnicas sobre los sistemas

aplicativos (SISGRAL e interfaces) mantenidos por el personal del área de desarrollo de la

Dirección de Administración Pesquera, lo que genera dependencia de personal clave.

Los documentos que describen los procedimientos técnicos de los sistemas aplicativos

fueron generados simultáneamente con la puesta en producción, y no se cuenta con versiones

actualizadas ni con una política formal de actualización de dichos documentos.

De acuerdo con las buenas prácticas establecidas para TI, como por ejemplo COBIT, todos

los procedimientos y guías técnicas deben ser mantenidos y actualizados para permitir al

personal mantener la aplicación y la infraestructura asociada de manera efectiva y eficiente

de acuerdo a los niveles de servicio requeridos.


20

A partir de entrevistas realizadas y del análisis y revisión de la documentación provista por

el área de desarrollo de aplicaciones del organismo auditado, se concluye que los

documentos son efectivamente concordantes con los aplicativos en producción y cuentan

con un alcance adecuado en relación a los aspectos que conforman la plataforma e

infraestructura tecnológica que da soporte a la Dirección. No obstante, la brecha existente

entre la documentación vigente y la infraestructura actualmente instalada no permite dar un

adecuado soporte al personal técnico a cargo de la administración de la plataforma

tecnológica del organismo. Esto genera una dependencia de personal clave para la

realización de ciertas tareas, dificultando que las mismas sean llevadas a cabo en su ausencia,

o ante la incorporación de nuevo personal.

4.2.9 El área de desarrollo de la Dirección de Administración Pesquera no provee manuales

de uso de los aplicativos a los agentes de las áreas usuarias, lo que dificulta la transmisión

de conocimiento a los usuarios nuevos.

En los trabajos de campo se ha podido verificar que los sistemas de información de la

organización no cuentan con manuales de usuario como herramienta de apoyo para la

capacitación y operación de estos sistemas por parte de los usuarios.

Las buenas prácticas indican que los sistemas de información utilizados por las áreas

operativas de una organización deben estar acompañados por manuales que constituyen

guías prácticas básicas para operar estos sistemas.

No contar con manuales de usuarios implica que los usuarios carezcan de documentación

oficial que indique el objetivo de los sistemas, cómo funcionan y cómo deben interactuar los

usuarios con los aplicativos. Esto genera incertidumbre en los usuarios y una alta

dependencia sobre el personal técnico que desarrolla y mantiene los sistemas, dificultando,

además, la capacitación de nuevos usuarios.


21

4.2.10 Los agentes del área de desarrollo de la Dirección de Administración Pesquera no

cuentan con un plan de capacitación y actualización técnica sobre las nuevas versiones de

las herramientas y plataformas tecnológicas aplicadas en el entorno de desarrollo de

software sobre el cual trabajan.

En los trabajos de campo realizados en el área de desarrollo se comprobó que los agentes del

área no cuentan con un plan de capacitación y actualización técnica oficial sustentable sobre

las herramientas utilizadas, para el corto y mediano plazo. Cada agente se encarga de

actualizar sus conocimientos y competencias en forma personal.

En la actualidad, debido a los constantes cambios tecnológicos, las mejores prácticas

(COBIT DS7) señalan la necesidad de capacitar en forma permanente al personal de las áreas

de sistemas de cualquier organización, incluso en aspectos metodológicos, estándares,

buenas prácticas y gestión de proyectos.

Establecer planes de capacitación ayuda a definir un rumbo tecnológico y a alinear los planes

de trabajo. Adicionalmente, los planes de capacitación permiten evaluar rendimientos y

calidad de resultados.

4.2.11 El área de desarrollo de sistemas de la Dirección de Administración Pesquera no

cuenta con un adecuado ambiente de control interno.

No se encontró evidencia de la existencia de un efectivo control sobre los procesos y

procedimientos llevados a cabo por el área de desarrollo de sistemas de la Dirección de

Administración Pesquera ni sobre los servicios de TI prestados por los proveedores tanto

internos como externos.

La falta de un adecuado ambiente de control interno expone a la Dirección de Administración

Pesquera a riesgos no detectados, y por lo tanto no mitigados.


22

4.2.12 No existe un procedimiento formal para el control, alta, baja y modificación de

usuarios y permisos de los sistemas de la Subsecretaría de Pesca y Acuicultura, lo que

impide un adecuado control de la seguridad de la información almacenada por los módulos

del sistema.

La Subsecretaría de Pesca y Acuicultura posee diversas aplicaciones, principalmente

orientadas al control de extracción de recursos, licencias e infracciones, entre otras, que

deben ser accedidas por diversos sectores, cada uno con un conjunto de permisos y

atribuciones específicas.

La subsecretaría no cuenta con procedimientos formales de alta y baja de usuarios, ni de

cambio de conjunto de permisos.

La falta de procedimientos formales de administración de usuarios deriva en el riesgo de que

un usuario pueda realizar acciones que no le competen por su función, ya sea por un alta

incorrecta, una baja no realizada, o un cambio de sector no impactado correctamente en el

perfil del usuario.

4.2.13 Las oficinas utilizadas por la Subsecretaria de Pesca en los distintos puertos

pesqueros para llevar a cabo las tareas relacionadas con la recolección de datos y el control

de la actividad pesquera poseen deficiencias que podrían poner en riesgo la continuidad del

servicio.

Durante las tareas de campo pudo comprobarse que la situación de las oficinas utilizadas por

la SSPyA para desarrollar sus actividades de fiscalización, es precaria.

A modo de ejemplo, las oficinas no cuentan con equipos UPS que permitan la continuidad

de las tareas en el caso de interrupción del suministro eléctrico por parte de las empresas

proveedoras. De acuerdo a lo manifestado por el personal entrevistado, ocasionalmente las

oficinas quedan expuestas al corte de servicios públicos y conexión a Internet por falta de


23

pagos. Por su parte, en el distrito pesquero de Puerto Madryn se requiere mensualmente el

envío de la constancia de inscripción en la ART de los agentes de la Subsecretaria, pero de

las entrevistas realizadas surge que cuando dicha documentación no llega en término no es

posible controlar las descargas en el muelle. Entre otras cuestiones también se puede

mencionar que el local utilizado en Puerto Deseado es alquilado y que al momento de

realizarse las tareas de campo había pagos pendientes, mientras que las oficinas de la

delegación pesquera de Puerto Madryn pertenecen a la Provincia de Chubut y no existe

documentación que formalice su uso por parte de la SSPyA.

Las deficiencias mencionadas pueden impedir el cumplimiento de las funciones de control

que debe realizar la Subsecretaria de Pesca y Acuicultura sobre la actividad pesquera, entre

ellas la carga de registros en el SISGRAL.

4.2.14 La infraestructura de telecomunicaciones de los distritos pesqueros no cuenta con

adecuados niveles de servicio, disponibilidad ni redundancia que garantice la posibilidad

de ingresar datos al sistema.

Los distritos pesqueros cargan la información referente a los volúmenes de pesca realizada

por cada buque mediante un sistema web, al cual acceden a través de Internet. Sin embargo,

según se pudo observar en los distritos relevados, la conexión a internet es realizada a través

de proveedores comerciales, brindando conexiones hogareñas o hasta móviles en ciertos

casos. Estas conexiones no proveen ningún tipo de calidad de servicio por lo que su

disponibilidad se define como “Mejor Esfuerzo”, no siendo diferente a la de otro usuario

residencial.

El hecho de no contar con una conexión a Internet confiable pone en riesgo la disponibilidad

de la información proveniente de los distritos, lo que dificulta o impide el control oportuno

de los volúmenes de pesca descargados.


24

4.2.15 RESERVADO - COLEGIO DE AUDITORES GENERALES – SESIÓN DEL ______/______/______

4.3 Procesos Críticos de Negocios

4.3.1 La frecuencia con la cual los buques pesqueros reportan su ubicación es inadecuada

y presenta un riesgo para la protección de zonas de veda.


25

Entre las funciones de la Subsecretaría de Pesca y Acuicultura, se encuentra la de “establecer

e implementar los sistemas de control necesarios y suficientes de modo de determinar

fehacientemente las capturas en el mar territorial y la Zona Económica Exclusiva y

desembarcadas en puertos argentinos habilitados y el cumplimiento y veracidad de las

declaraciones juradas de captura” (Ley 24.922, art. 7º). A los efectos de controlar el no

ingreso a las zonas de veda, la SSPyA cuenta con un centro de monitoreo de posicionamiento

de buques. Los datos de posición, rumbo,

velocidad y hora los obtiene descargando

de las páginas web de los proveedores del

servicio de posicionamiento contratado

por cada empresa pesquera. Estos datos

son procesados en un sistema GIS

(Geographic Information System) que

permite ubicarlos en un mapa y determinar

si los buques se encuentran dentro de las

zonas permitidas.

Con la configuración actual, los sistemas

de monitoreo satelital de buques (VTS por

sus siglas en inglés) reportan su posición,

velocidad y rumbo una vez por hora. De

acuerdo a la Organización Marítima

Internacional (IMO por sus siglas en

inglés), un VTS tiene un desempeño que

varía dependiendo del movimiento del buque, pero bajo las condiciones más adversas, puede

transmitir una vez cada 6 minutos.9

9 Ryszard Wawruch - Telematics in the Transport Environment – 12th International Conference on Transport System Telematics (Selected Papers), TST 2012 Katowice-Ustrón, Polonia, Octubre de 2012 - pp. 320 – ISSN 1865-0929 – ISBN 978-3-642-34049-9

Imagen del sistema de monitoreo satelital de la flota pesquera. Fuente: http://www.agroindustria.gob.ar/sitio/areas/pesca_maritima/monitoreo/ Fecha de ingreso: 15/09/16

http://www.agroindustria.gob.ar/sitio/areas/pesca_maritima/monitoreo/

http://www.agroindustria.gob.ar/sitio/areas/pesca_maritima/monitoreo/


26

Durante las tareas de campo se pudo verificar que el capitán del buque tiene control sobre el

dispositivo, pudiendo encenderlo y apagarlo en el momento que lo desee. Por otro lado,

también tiene conocimiento del momento exacto en el que su posición fue transmitida.

En caso de no recibirse los datos de posición, la Prefectura Naval Argentina (PNA) es la que

entra en contacto con el buque para conocer la situación.

El tiempo entre reportes le proporciona así a un buque una ventana no menor a las dos horas

para reportar su ubicación, tiempo suficiente para realizar maniobras de pesca en zonas de

veda sin que ello pueda ser advertido, de no mediar otros controles.

4.3.2 La Subsecretaría de Pesca no cuenta con un sistema de monitoreo automatizado que

permita el seguimiento y la generación de alarmas ante el posicionamiento de un buque en

zona de veda a una velocidad que presuma que está realizando tareas de pesca.

El proceso de monitoreo de posición geográfica se realiza una vez por hora de forma manual,

descargando 4 archivos formateados especialmente desde cada uno de los proveedores de

posicionamiento. Posteriormente se los consolida y transforma en un formato legible por un

sistema de información geográfica, en el cuál se instalaron una serie de filtros que deben ser

inspeccionados manualmente y analizados de forma individual para verificar si un buque

está cometiendo una maniobra ilícita.

Este proceso no deja de ser un proceso de recolección de eventos y análisis de alarmas, por

lo que debería existir una solución que permita la descarga automática de los archivos de

posicionamiento satelital, y genere una alarma visual y sonora cuando un buque se encuentre

en una posición irregular. Dicha solución debería incluir un registro que indique que

operador del sistema analizó la alarma y las medidas tomadas.


27

La falta de automatización y trazabilidad de la operatoria del área de monitoreo satelital

conduce a problemas de eficiencia, y la imposibilidad de aumentar la frecuencia de refresco

de toma de posición.

4.3.3 La infraestructura que da apoyo a las distintas operatorias de control de las artes de

pesca y de descarga de buques en los muelles es inadecuada para desarrollar las actividades

de fiscalización y registrar datos en el sistema, poniendo en riesgo la confiabilidad de la

información.

A partir de la inspección ocular de los procesos de control ejecutados en los puertos visitados,

se ha podido constatar que las operatorias que se llevan a cabo en los muelles sobre los

buques arribados a puerto se desarrollan sobre condiciones de infraestructura inadecuadas.

La infraestructura de servicio eléctrico que abastece a las balanzas de control de peso

utilizadas por los inspectores del ministerio,10 llega a los muelles a través de cables montados

a la intemperie y muchos de ellos con empalmes precarios. Estos cables expuestos a las

diferentes temperaturas y condiciones climáticas cruzan las calles del muelle por donde

transitan camiones de carga y descarga de mercancía, camiones de combustible y otros

vehículos particulares. Además, los tableros de abastecimiento eléctricos son insuficientes,

lo que habilita a los operarios a apelar a alternativas rudimentarias de suministro como, por

ejemplo, conectar una balanza de control de peso para la descarga de un buque a la batería

de un vehículo particular (ver fotos).

10 Que también alimenta a las grúas que descargan los productos de los buques y a las baterías de estos.


28

Las condiciones descritas, además de poner en riesgo la seguridad física de los agentes de la

SSPyA que desarrollan actividades en puerto, condicionan la disponibilidad de las balanzas

que se utilizan para controlar.

Existe numerosa normativa nacional e internacional que se aplica a las tareas que se efectúan

en puertos, tales como las establecidas por las distintas provincias para las instalaciones

eléctricas industriales, las reglamentaciones sobre la carga de combustibles líquidos que

emite la Secretaria de Energía, o las recomendaciones de la OIT en su documento “Seguridad

y Salud en Puertos”.

4.3.4 El equipamiento utilizado para el control del peso de la mercadería a descargar de

los buques es insuficiente o es propiedad de terceros (armadores, empresas pesqueras, entre

otros), y no se pudo constatar que posean una certificación sobre su correcto

funcionamiento. Esta situación pone en riesgo la confiabilidad de los datos registrados en

el sistema.

En las visitas realizadas a los puertos pesqueros de Mar del Plata, Puerto Madryn y Puerto

Deseado se pudo verificar que las balanzas utilizadas para el control de la captura no

pertenecen a la Subsecretaria de Pesca y Acuicultura, ni están homologadas por autoridad

Balanza de control de peso utilizada en el puerto de Mar del Plata, 23 de febrero de 2017. Fuente Procedimientos de auditoría.

Conexión de la alimentación eléctrica de la balanza, 23 de febrero de 2017. Fuente Procedimientos de auditoría.


29

competente. En los puertos mencionados, en el caso de que la mercadería se descargue

congelada (buques congeladores), el peso se obtiene de la pantalla de la balanza que utiliza

la planta procesadora a la que se enviará el producto, debiendo el inspector de la SSPyA

copiar a mano los valores en una planilla.

En el caso de los buques fresqueros (el pescado se mantiene en frio, pero no congelado) el

control puede realizarse en distintas plantas procesadores, donde el inspector copia

manualmente los valores de las balanza de la planta; o bien en el muelle, donde también se

capturan los datos en forma manual durante la descarga, observando balanzas que son

propiedad de los armadores o de las empresas que adquieren el producto.

En el puerto de Rawson, si bien la balanza utilizada es propiedad de la Subsecretaria de

Pesca, la dependencia dispone de solo una, motivo por el cual no puede controlarse la

totalidad de los buques pesqueros que operan en dicho puerto.

Las Actas de Desembarco de los buques no controlados se confeccionan con los datos que

se extraen de las Actas de Pesca presentadas por los armadores o los capitanes de los mismos,

que tienen carácter de declaración jurada, sin ninguna otra verificación posterior.

Sistema de control de peso en planta procesadora. Fuente Procedimientos de auditoría.

Registro manual de peso en una planta procesadora por personal de la Subsecretaria de Pesca. Fuente Procedimientos de auditoría.


30

Para un eficaz control de los productos desembarcados, se debe contar con equipamiento

adecuado que permita verificar su peso, ya sea mediante balanzas de propia Subsecretaría, o

por balanzas homologadas por organizaciones

reconocidas (como el INTA u otras).

La falta de estos elementos pone en riesgo la confiabilidad de los datos almacenados en los

sistemas impidiendo que los mismos reflejen con exactitud la cantidad de producto

desembarcado.

4.3.5 El proceso de captura de datos provenientes de la fiscalización de carga, es manual,

lo que tiene por consecuencia el riesgo de errores en la transcripción de los datos en las

distintas etapas hasta su registro final en el sistema.

Tal como se menciona en la observación anterior (ver Ilustración N° 9) todos los procesos

de captura de datos en todos los puertos relevados se realizan en forma manual, a pesar que,

por ejemplo en las plantas pesqueras, las empresas disponen de balanzas electrónicas que

registran los pesos y los almacenan en sus sistemas informáticos.

Los registros manuales son proclives a errores de lectura, interpretación e imputación, por

cada vez que en un procedimiento se recurra a ellos. En el caso de los procedimientos de

Balanza de control Puerto de Mar del Plata. Fuente Procedimientos de auditoría.

Balanza de control Puerto de Rawson. Fuente Procedimientos de auditoría.


31

fiscalización de carga de la SSPyA, el proceso manual interviene entre el Acta de Pesca

(elaborada a mano) y el Acta de Desembarque (también elaborada a mano), y entre esta y la

imputación manual en el SISGRAL. La imputación manual permite que se presenten errores

que al propagarse en las siguientes etapas, no puedan ser detectados sin mediar elevados

costos de control.

La situación descripta atenta contra la confiabilidad de los datos registrados en los sistemas

informáticos, lo que debilita el efectivo control del cumplimiento de la normativa existente

por parte de la Autoridad de Aplicación.

4.3.6 La cantidad de inspectores que dispone la Subsecretaria de Pesca es inferior a la

necesaria para cubrir la demanda operativa existente, lo que redunda en riesgos para la

confiabilidad de la información volcada al SISGRAL.

De las visitas realizadas a los principales puertos pesqueros del país surge que la cantidad de

inspectores es insuficiente para cumplir con las funciones de control. Este inconveniente se

agudiza en el puerto de Rawson, donde solo tres personas se ocupan de controlar el peso del

producto descargado (los tres inspectores deben dedicarse simultáneamente a un buque por

vez). Se verificó que solo se puede controlar un buque pesquero a la vez, mientras en plena

operación se descargan 7 buques simultáneamente.

En esta situación las Actas de Descarga se confeccionan con los datos que se extraen de las

Actas de Pesca que entregan los capitanes de los buques o los armadores, sin hacer ningún

control sobre la veracidad de la información suministrada.

Para obtener datos que puedan transformarse en información útil, los mismos deben ser

exactos, característica que no se puede asegurar si no son controlados adecuadamente.

La falta de control en una gran cantidad de actas de desembarco tiene como consecuencia la

ausencia de confiabilidad en la información almacenada en los sistemas de la Subsecretaria.


32

5. RECOMENDACIONES

Las recomendaciones aquí expuestas siguen la misma secuencia de las observaciones.

5.1 Funcionalidades del Sistema

5.1.1 Modificar el sistema a fin de no retrasar la carga de las Actas de Desembarco y dotar

a las oficinas de los Distritos Pesqueros del equipamiento necesario para permitir una carga

oportuna y segura de la información en el sistema.

5.1.2 Realizar un proceso de reingeniería completo e implementar un sistema que cumpla

con las necesidades actuales del organismo, conforme a las mejores prácticas de ingeniería

y desarrollo de software.

5.1.3 Migrar con urgencia el almacenamiento de datos a un sistema de bases de datos

relacionales, que permita garantizar la seguridad, integridad, confidencialidad y trazabilidad

de los datos almacenados.

5.2 Confiabilidad de los Sistemas

5.2.1 Implementar una metodología para la gestión integral de los proyectos de desarrollo

de software.

5.2.2 Implementar un modelo de gestión de las configuraciones y de control de cambios

dentro de los proyectos de desarrollo de software que permita obtener una adecuada y

eficiente planificación, evaluación, seguimiento y control de los procesos evolutivos de los

sistemas aplicativos de la organización.


33

5.2.3 Re organizar el área de desarrollo de sistemas conforme a un esquema de segregación

de funciones consistente con incentivos que propendan al control por oposición de intereses.

5.2.4 Formalizar acuerdos de niveles de servicio con la Dirección Informática del Ministerio

de Agroindustria, en cuanto a los servicios de gestión integral de las tecnologías de

información que dan soporte a la operatoria de la Dirección de Administración Pesquera.

5.2.5 La Dirección de Administración Pesquera debe exigir que se arbitren los medios

necesarios para desarrollar y probar un plan de recuperación de desastres que pueda ser

implementado.

5.2.6 Implementar un modelo de gestión de incidencias y de problemas dentro de los

procedimientos de soporte y mantenimiento que permita asegurar una adecuada y eficiente

disponibilidad de servicios en los sistemas aplicativos de la organización.

5.2.7 Gestionar la implementación de un sistema de tipo CRM con el fin de poder dar

seguimiento, priorización y registro a los pedidos de asistencia técnica de los usuarios.

5.2.8 Actualizar la documentación de los sistemas aplicativos y sus respectivos

procedimientos técnicos de soporte para los sistemas de información utilizados por la

SSPyA.

5.2.9 Redactar los manuales de usuarios de los sistemas de información de la organización.

Asimismo, implementar una política de actualización continua de los manuales por cada

nueva versión del software que se pone en producción, en caso de que esta nueva versión

incorpore funcionalidades o cambios sustanciales.

5.2.10 Definir e implementar planes de capacitación y actualización técnica anuales para los

agentes del área de desarrollo.


34

5.2.11 Adaptar un mecanismo de control interno que permita un efectivo control sobre los

procesos y procedimientos utilizados para el desarrollo de sistemas informáticos.

5.2.12 Desarrollar y formalizar un procedimiento para la gestión de usuarios.

5.2.13 La Subsecretaria deberá implementar procedimientos administrativos que aseguren el

normal funcionamiento de las oficinas de los Distritos Pesqueros evitando los riesgos de

interrupción del servicio.

5.2.14 Arbitrar los medios necesarios para que las oficinas de la SSPyA en los distritos

pesqueros cuenten con un nivel de servicio que asegure una disponibilidad no menor al 99%.

5.2.15 RESERVADO - COLEGIO DE AUDITORES GENERALES – SESIÓN DEL ______/______/______

5.3 Procesos Críticos de Negocios

5.3.1 Reducir al mínimo posible el tiempo entre reportes de ubicación o rediseñar el

procedimiento de control de modo de disminuir el impacto que puede tener una falla puntual

de transmisión. Eventualmente, endurecer los procedimientos de retorno a puerto de los

buques con problemas de transmisión de posición.

5.3.2 Desarrollar e implementar un sistema que recolecte automáticamente los datos de

posición, velocidad y dirección de los buques, filtre los resultados de acuerdo a criterios fijos

(zonas de veda, tipo de artes de pesca, etc.) y genere alarmas cuando se cumplan condiciones

que se contrapongan con la reglamentación. Dichas alarmas deben permanecer en el sistema

con su estado (pendiente, resuelto), el nombre del operador que las observó, y un campo de

texto donde registrar la acción tomada. Adicionalmente, estas alarmas podrían contar con

una clasificación (Advertencia, Menor, Mayor, Crítica) e integrarse con el sistema de

infracciones.


35

5.3.3 Reacondicionar las instalaciones y la infraestructura que da soporte a la operatoria de

control en los muelles en cumplimiento de las normas específicas al respecto, de manera de

garantizar la seguridad física de los operarios y agentes de control que allí trabajan y

propender a la plena disponibilidad de las tareas de control y registro de datos.

5.3.4 La Subsecretaria de Pesca debe implementar procedimientos que permitan disponer de

las balanzas necesarias propias -o bien de terceros, pero certificadas-, a fin de controlar la

totalidad de la producción pesquera.

5.3.5 Implementar procedimientos y tecnologías que reemplacen la captura manual de datos

con el fin de disminuir los posibles errores de carga al sistema.

5.3.6 Adecuar la cantidad de inspectores disponibles en cada uno de los distritos pesqueros

para mejorar la eficacia del control de las operaciones de descarga y, consecuentemente,

contribuir con la confiabilidad de los datos registrados en el sistema.

6. CONCLUSIONES

La Argentina cuenta con un importante espacio marítimo poblado con gran diversidad de

especies de interés comercial, tanto a nivel nacional como internacional. La autoridad de

aplicación de la legislación vigente es la Subsecretaría de Pesca y Acuicultura del Ministerio

de Agroindustria (SSPyA), responsable de velar por el desarrollo sustentable de la actividad.

Se trata de una industria con un volumen de operaciones significativo, que explota uno de

los recursos naturales renovables más importantes de la Argentina. De acuerdo a información

publicada por la SSPyA sobre la actividad pesquera marítima, en 2015 el peso total extraído

superó las 760.000 toneladas, de las cuales el 60% fue destinado a exportaciones por valor


36

aproximado de 1.500 millones de dólares (superando a las de carne vacuna para el mismo

período). 11

Entre las funciones de fiscalización de la SSPyA se encuentran las de i) conducir y ejecutar

la política pesquera nacional regulando la explotación, fiscalización e investigación, ii)

fiscalizar las Capturas Máximas Permisibles por especie establecidas por el Consejo Federal

Pesquero (CFP), y emitir las cuotas de captura anual por buque, por especie, por zona de

pesca y por tipo de flota conforme las otorgue el CFP, iii) calcular los excedentes disponibles

y establecer, previa aprobación del CFP, las áreas o épocas de veda, y iv) elaborar y/o

desarrollar sistemas de estadística de la actividad pesquera, entre otras.

Para ello se sirve de un sistema de información constituido por balanzas para el pesaje de las

capturas, más una plataforma informática no integrada y compuesta por una interface web

(para el ingreso de datos desde los distritos pesqueros), bases en las que quedan registrados

los datos y una aplicación denominada SISGRAL para gestionar y obtener información.

Cuenta también con inspectores para fiscalizar los partes de pesca y tomar los datos

provenientes de las descargas, además de personal para ingresarlos al sistema, entre otros.

La auditoría corroboró que la actividad de captura de datos resulta inadecuada debido a la

escasez de recursos humanos y materiales aplicados a ella, y a la generalizada presencia de

procesos e interfaces manuales. La carencia de inspectores en cantidad necesaria genera una

fuerte dependencia sobre la credibilidad de los partes de pesca que no pueden ser

fiscalizados. Lo propio ocurre ante la escasez de balanzas, que conduce a que los inspectores

tomen los datos directamente de instrumentos no homologados, propiedad de empresas

pesqueras o comercializadoras. A modo de ejemplo, la SSPyA cuenta con solamente dos

balanzas en el puerto de Mar del Plata (que concentra más del 50% del tonelaje

desembarcado en el país), con sólo una de ellas operativa al momento de las tareas de campo.

11http://www.agroindustria.gob.ar/sitio/areas/pesca_maritima/index.php?accion=noticia&id_info=160321173111. Entrada 9/05/17.

http://www.agroindustria.gob.ar/sitio/areas/pesca_maritima/index.php?accion=noticia&id_info=160321173111

http://www.agroindustria.gob.ar/sitio/areas/pesca_maritima/index.php?accion=noticia&id_info=160321173111


37

Los datos que efectivamente pueden ser corroborados por un inspector son apuntados a mano

en hojas en blanco y deben nuevamente volcarse en forma manual al sistema web. Finalizada

la imputación al sistema, los datos quedan registrados en una base que, en virtud de su

obsolescencia, no presenta las menores garantías para asegurar su integridad ni la

confiabilidad de la información generada.

Por otra parte, el proceso de monitoreo satelital orientado a controlar las zonas de veda se

realiza a partir de reportes cuya periodicidad es horaria y nuevamente recurriendo a

procedimientos manuales para convertir los datos en información de utilidad. Debido a la

reducida frecuencia del reporte y por carecer de un sistema de alarmas, la protección de estas

zonas queda sujeta a la pericia y proactividad del personal interviniente.

El propósito de la gestión de TI es poner a disposición de los decisores información íntegra,

confiable y oportuna, con el fin de contribuir con el logro de los objetivos organizacionales.

Sin embargo, la eficacia de la gestión de TI en términos de la información producida en el

ámbito de la Subsecretaría se encuentra comprometida por un sistema de limitada

confiabilidad. Dicha información es de importancia para la percepción de tasas, el diseño de

las políticas pesqueras y la protección del recurso.12 La manifiesta debilidad del sistema

condiciona su efectividad para contribuir con el objetivo de velar por el desarrollo

sustentable de la actividad.

En vistas de lo anterior, resulta aconsejable que las máximas autoridades del organismo

evalúen la posibilidad de realizar inversiones tendientes a: i) formalizar el área de sistemas

de la SSPyA, ii) equipar tecnológicamente a los distritos pesqueros y iii) desarrollar un

sistema de control y gestión que cubra completamente la actividad pesquera desde una única

plataforma actualizada.

12 Incide sobre el logro del ODS 14, Conservar y utilizar en forma sostenible los océanos, los mares y los recursos marinos para el desarrollo sostenible, meta 14.4., y sobre el ODS 16, meta 16.6, Crear a todos los niveles instituciones eficaces y transparentes que rindan cuentas.


38

7. COMUNICACIÓN AL ENTE

Por nota N° 542/17-P la AGN remite el proyecto de informe a la Subsecretaria de Pesca y

Acuicultura, quien lo recibe con fecha 2 de junio de 2017. El 21 de junio de 2017, el

organismo a través de su nota SSPyA N° 058 solicita una prórroga de 10 días para presentar

la respuesta. La misma es aceptada y comunicada a la Subsecretaria por medio de nota

651/17-P recibida 30 de junio de 2017. El 10 de julio de 2017 dicho Organismo hace llegar

sus comentarios, que ingresan a la AGN el 12 de julio del corriente.

Como resultado del análisis de los comentarios del auditado:

• Se reemplaza en la foja 4 el valor de las exportaciones en 2015 de U$D 1.465.935

por U$D 1.465.935.000.

• Se reemplaza en la foja 9 el texto “A modo de ejemplo, el ingreso de datos

provenientes de las Actas de Desembarco se realiza en los distritos pesqueros

mediante una interfaz web, a partir de la transcripción de dichas planillas que

fueran confeccionadas a mano en el puerto.// Esta plataforma web de carga de

datos utiliza una base de datos relacional convencional, a diferencia del

SISGRAL, que utiliza archivos .DBF.”, por el siguiente: “A modo de ejemplo, el

ingreso de datos provenientes de las Actas de Desembarco se realiza en los

distritos pesqueros mediante una interfaz web (SCAPN), a partir de la

transcripción de dichas planillas que fueran confeccionadas a mano en el

puerto.// Esta plataforma web de carga de datos utiliza una base de datos

relacional convencional administrada con un motor de base de datos

PostgreSQL, a diferencia del SISGRAL, que utiliza archivos .DBF.

• En el punto 4.1.1 se reemplaza en la foja 10 “El SISGRAL posee un diseño que

impide cargas parciales de Actas de Desembarco, lo que retrasa la actualización

de la información en la base de datos.”, por “La plataforma informática que

utiliza la SSPyA no consolida la información hasta que las actas estén totalmente

cargadas, lo que retrasa la actualización de la información en la base de datos.”,

y “i) un procedimiento de ingreso de datos que asegure que todas las Actas de


39

Desembarco sean cargadas”, por “i) un procedimiento automatizado que

asegure que todas las Actas de Desembarco sean cargadas”.

En los ANEXOS I y II al presente informe, en orden simultaneo, se presentan tanto la

respuesta del organismo auditado como los comentarios de la AGN.

8. LUGAR Y FECHA

BUENOS AIRES, setiembre de 2017

9. FIRMA


40

10. ANEXOS

ANEXO I – Comentarios del auditado

A continuación, se exponen los comentarios del auditado sobre cada una de las

observaciones señaladas.


41


42


43


44


45


46


47

ANEXO II – Análisis de los comentarios del auditado A continuación se presenta el análisis realizado por esta AGN para cada uno de los comentarios del auditado.

Sección del Informe Respuesta SSPyA Comentario AGN 3.1. La importancia del sector también se manifiesta por sus exportaciones: en 2015 se enviaron al exterior 460.485 toneladas por un valor de U$D 1.465.935, superando en monto a las de carne vacuna de ese año. Según información provista por el auditado, el sector pesquero representa un 0,22% del PBI y ocupa a más de 40.000 trabajadores directos e indirectos.

3.1. El valor de exportaciones 2015 indicado en foja 4 es incorrecto. Corresponde: U$D 1.465.935.000.-

Se procede a corregir el monto de acuerdo a lo informado.

3.2. A modo de ejemplo, el ingreso de datos provenientes de las Actas de Desembarco se realiza en los distritos pesqueros mediante una interfaz web, a partir de la transcripción de dichas planillas que fueran confeccionadas a mano en el puerto. Esta plataforma web de carga de datos utiliza una base de datos relacional convencional, a diferencia del SISGRAL, que utiliza archivos .DBF.

3.2. - La Subsecretaría de pesca y Acuicultura administra y controla la actividad pesquera mediante tres sistemas informáticos, el SCAPN desarrollado en plataforma web, mediante el cual acceden todas las delegaciones portuarias y dos sistemas internos, El Sisgral y el SIIP. La información que se administra en el Sisgral, se encuentra en un 80 % en Motor de Base de Datos Relacional Postgresql.

Esta auditoría verificó que la gestión interna utiliza los datos almacenados por el SISGRAL. El sistema SCAPN es un desarrollo en plataforma web, tal como se menciona en el anteúltimo párrafo de dicho punto, que se utiliza para la carga de datos en los distritos pesqueros. Estos datos se almacenan en una base de datos relacional administrada por un motor de base de datos PostgreSQL para posteriormente ser convertidos en archivos DBF. A fin de brindar mayor claridad al texto del informe se reemplaza el texto citado por el siguiente: “A modo de ejemplo, el ingreso de datos provenientes de las Actas de Desembarco se realiza en los distritos pesqueros mediante una


48

interfaz web (SCAPN), a partir de la transcripción de dichas planillas que fueran confeccionadas a mano en el puerto. Esta plataforma web de carga de datos utiliza una base de datos relacional convencional administrada con un motor de base de datos PostgreSQL, a diferencia del SISGRAL, que utiliza archivos .DBF.”

4.1.1 El SISGRAL posee un diseño que impide cargas parciales de Actas de Desembarco, lo que retrasa la actualización de la información en la base de datos. El sistema que posibilita la carga de Actas de Desembarco desde los distritos pesqueros exige que la información ingresada sea completa para poder guardarse, incluyendo el documento fuente escaneado. Dada la escasa disponibilidad de scanner en los distritos visitados, la carga suele sufrir demora. Asimismo, ciertos datos relativos al buque deben ser brindados por la provincia respectiva y cargada en conjunto con el parte. En este sentido y habida cuenta que provienen de fuentes y momentos distintos, este procedimiento también puede afectar la carga de datos. No hay ninguna funcionalidad del sistema que permita advertir la falta de carga de partes presentados. La falta de: i) un procedimiento de ingreso de datos que asegure que todas las Actas de Desembarco sean cargadas, ii) un diseño de sistema que permita la carga parcial del acta de pesca y iii) la falta de equipamiento en algunos distritos, impide que el sistema cuente con información completa en el momento

Las actas de descarga no son cargadas en el Sisgral, sino en el sistema Web SCAPN, y pueden cargarse de forma parcial pero la información se consolida cuando el acta está cargada en su totalidad. Es una validación que se ha realizado con el propósito de que cuando el parte de pesca se ajusta con el acta no genere errores que podrían ser de una magnitud considerable, ya que ajustar un parte de pesca con la información parcial de un acta haría bajar las capturas haciendo que el control de las CITC, los cupos de los permisos y el control de la CMP sea totalmente erróneo. La carga de actas contempla se le adjunte el documento escaneado por el data entry luego de la carga de los datos, la no existencia de este adjunto no impide que la información se consolide en el sistema interno de control. El Sisgral tiene un proceso mediante el cual se obtiene listados de los presuntos partes faltantes, cruzando la información de Arribos y Zarpadas de Prefectura Naval Argentina.

Respecto del fundamento de la validación de actas parciales, debido a los problemas de infraestructura general de los distritos y la alta probabilidad de que no se cuente con actas completas, el SISGRAL requeriría que los datos puedan ser consolidados para contar con información completa que permita el control, lo que debería incluir un mecanismo automatizado para identificar las que se encuentran con datos pendientes de carga. Por otra parte, esta auditoría cuenta con evidencia de que las actas no pueden cargarse hasta no contar con la documentación respaldatoria. A los efectos de brindar mayor precisión al hallazgo, se reemplaza


49

oportuno, lo que eventualmente permitiría otorgar permisos de pesca a buques sin cuota, entre otros riesgos de control.

“El SISGRAL posee un diseño que impide cargas parciales de Actas de Desembarco, lo que retrasa la actualización de la información en la base de datos.”, por “La plataforma informática que utiliza la SSPyA no consolida la información hasta que las actas estén totalmente cargadas, lo que retrasa la actualización de la información en la base de datos.”, y “i) un procedimiento de ingreso de datos que asegure que todas las Actas de Desembarco sean cargadas”, por “i) un procedimiento automatizado que asegure que todas las Actas de Desembarco sean cargadas”, lo que no altera el espíritu del hallazgo, por lo cual se mantiene.

4.1.2 El SISGRAL no ha sido desarrollado conforme a buenas prácticas de desarrollo de software, no cuenta con documentación formal, y su diseño dificulta su operatividad, lo que genera dependencia crítica de personal.

Se toma debida nota de la observación. Vale la pena mencionar que a la Fecha Mayo de 2017, se están comenzando a utilizar modelos de desarrollo (metodologías ágiles), metodologías y procedimientos para la gestión de Peticiones (Requerimiento de Modificaciones y/o nuevas funcionalidades) y para ABM de usuarios. Se han mantenido reuniones con el área de seguridad de la DI, para unificar criterios de SGSI en el desarrollo. Teniendo como objetivo documentar los procesos y disponer de Manuales de Operación y Configuración.

La respuesta del auditado no contradice lo expuesto en el hallazgo. Los hechos posteriores serán tenidos en cuenta en futuras auditorías. Se mantiene el hallazgo.

4.1.3 El SISGRAL almacena sus datos en bases que no poseen ninguna medida de control interno que permita asegurar su integridad. El organismo está así expuesto a la alteración indebida de registros sin que pueda percatarse de ello.

Como se detalló en el punto 3.2:

El 80 % de los datos se encuentra en el Motor de Base de Datos Relacional PostgreSQL, para ser administrado por el sistema que está en desarrollo y al cual se emigran los datos de acuerdo al avance (Sistema denominado SIIP). La información se espeja en archivos de

El organismo reconoce que solo una parte de la información se encuentra en una base de datos relacional (PostgreSQL), y que los datos se traducen en archivos del tipo DBF de los cuales se alimenta el SISGRAL,


50

El SISGRAL almacena los datos en una serie de archivos denominados DBF (Database File), un antiguo formato de archivo en el que los datos no poseen ningún tipo de estructura, encriptación, protección contra escritura ni registro de modificación. El paradigma computacional moderno exige que se asegure la integridad, seguridad y confidencialidad de los datos, y se mantenga registro de quién modifica los datos almacenados. Operar con archivos DBF deja a la organización expuesta a la destrucción o alteración de datos, sin almacenar rastro alguno de quien realizare la operación.

tipo DBF para que el Sisgral siga funcionando durante la migración que se está realizando, pero la seguridad, la integridad del dato y las validaciones son administradas por el motor de datos anteriormente mencionado y se encuentra en los servidores del Data Center de la Dirección Informática de esta Cartera de Estado, quien aplica sus políticas de seguridad de la Información.

que es el sistema que utiliza la Dirección de Administración Pesquera para realizar los controles. La falta de seguridad que poseen estos últimos permite su alteración sin dejar rastros. Como no existe un acuerdo de niveles de servicio, o de directivas de seguridad entre el Data Center del Ministerio de Agroindustría y la SSPyA (ver hallazgo 4.2.4), no existen garantías que la información almacenada no pueda ser alterada. Por lo tanto se mantiene el hallazgo.

4.2.1 El área de desarrollo de la Dirección de Administración Pesquera no aplica un marco metodológico para la gestión de proyectos de desarrollo de software, incluida la migración del sistema crítico, lo que dificulta su seguimiento, el control y medición de avances y la calidad de los entregables de cada etapa.

Se toma debida nota de la observación.

Asimismo, vale la pena mencionar que esta área ha presentado formalmente en el mes de febrero de 2017 el proyecto de migración, con sus correspondientes etapas, fechas y responsables. Por otra parte, para el planeamiento de los nuevos proyectos se están utilizando metodologías Agiles (XP y RUP para documentación) y OpenProject para administrar las tareas de migración.


4.2.2 El área de desarrollo de sistemas dependiente de la Dirección de Administración Pesquera no cuenta con procedimientos normalizados de gestión de configuraciones, cambios y versiones que permitan llevar un eficiente control sobre las modificaciones de los sistemas de información críticos puestos en producción. Esta debilidad representa un riesgo para la disponibilidad del sistema y, por lo tanto, para la administración y control de la actividad pesquera.

Se toma debida nota de lo observado.

Vale pena mencionar que ésta área utiliza hace muchos años GIT:

Git es un software de control de versiones diseñado por Linus Torvalds, pensando en la eficiencia y la confiabilidad del mantenimiento de versiones de aplicaciones cuando éstas tienen un gran número de archivos de código fuente. Git se ha convertido desde entonces en un sistema de control de versiones con funcionalidad

La respuesta del auditado no contradice lo expuesto por esta auditoría. En cuanto al uso del GIT, el argumento ofrecido no fue observado por esta auditoría. Se mantiene el hallazgo.


51

plena. Hay algunos proyectos de mucha relevancia que ya usan Git, en particular, el grupo de programación del núcleo Linux. (Extraído de Wikipedia)

4.2.3 Las funciones del área de desarrollo de sistemas de la Dirección de Administración Pesquera no se encuentran segregadas, lo que puede originar errores no detectados en el desarrollo del sistema, por falta de controles cruzados.

Funciones del área de desarrollo No están segregadas. Se toma debida Nota.

La respuesta del auditado no contradice lo expuesto por esta auditoría. Se mantiene el hallazgo.

4.2.4 No se encuentran formalizados los acuerdos de niveles de servicio entre la Dirección de Administración Pesquera de la Subsecretaría de Pesca y Acuicultura y la Dirección de Informática del Ministerio de Agroindustria, por lo que resulta imposible asegurar la calidad del servicio provisto a nivel hardware, software y seguridad física.

La Dirección de Administración Pesquera no cuenta con contrato de acuerdo de niveles de servicio con la Dirección de Informática del Ministerio de Agroindustria. Se toma debida nota.


4.2.5 La Dirección de Administración Pesquera no exige la implementación de un plan de contingencia ni de recuperación de desastres (DRP), lo que pone en riesgo la continuidad del servicio brindado por los sistemas de información utilizados diariamente por esta dirección.

Se toma debida nota.

Vale la pena mencionar que los servidores de la SSP residen en el datacenter de la Dirección de Informática de Agroindustria. El Plan de Recuperación de desastres (llamado DRP) debe ser responsabilidad de la D.I., con Alta participación del área de desarrollo de Pesca, las áreas usuarias del sistema y el compromiso de las máximas autoridades de Pesca y es necesario acordar con la D.I. la generación de un PLAN DRP o BCP y realizar las pruebas pertinentes (Este último debería ser exigido por la UAI y el Ministro). Pero así mismo realizamos nuestros propios respaldos diarios de la información almacenada en los sistemas de la SSP encriptada con mecanismos OpenSSL SHA-2 512 bits realizando pruebas de restauración cada cierto tiempo.

La respuesta del auditado no contradice lo expuesto por esta auditoría. Como se mencionó en otros puntos del informe, el auditado no cuenta con un acuerdo de nivel de servicio con la Dirección de Informática del Ministerio de Agroindustria que permita asegurar la continuidad de los servicios ante fallas. Las pruebas que realiza el auditado solo aseguran que la información almacenada no se pierda, pero no asegura cómo o cuándo podría restablecerse el servicio ante un desastre. Se mantiene el hallazgo.

4.2.6 El área competente de la Subsecretaría de Pesca y Acuicultura no cuenta con procedimientos de gestión de

Si bien no se cuenta con personal de Soporte a Usuarios para la gestión de incidencias, desde Mayo 2017, se están desarrollando

La respuesta del auditado no contradice lo expuesto en el


52

incidencias y de problemas que permitan llevar un eficiente control sobre los errores y anomalías que se presentan en los sistemas de información puestos en producción, considerados críticos para la organización.

metodologías y procedimientos para la gestión de Peticiones (Requerimiento de Modificaciones y/o nuevas funcionalidades) y para ABM de usuarios.

hallazgo. Los hechos posteriores serán tenidos en cuenta en futuras auditorías. Se mantiene el hallazgo.

4.2.7 El área competente de la Subsecretaría de Pesca y Acuicultura no cuenta con un sistema de seguimiento de pedidos de soporte, lo que limita la calidad del mantenimiento de la infraestructura de TI.

ldem 4.2.6 La respuesta del auditado no contradice lo expuesto en el hallazgo. Los hechos posteriores serán tenidos en cuenta en futuras auditorías. Se mantiene el hallazgo.

4.2.8 Se encuentran desactualizados los procedimientos y guías técnicas sobre los sistemas aplicativos (SISGRAL e interfaces) mantenidos por el personal del área de desarrollo de la Dirección de Administración Pesquera, lo que genera dependencia de personal clave.

Se toma debida nota de lo observado. La respuesta del auditado no contradice lo expuesto por esta auditoría. Se mantiene el hallazgo.

4.2.9 El área de desarrollo de la Dirección de Administración Pesquera no provee manuales de uso de los aplicativos a los agentes de las áreas usuarias, lo que dificulta la transmisión de conocimiento a los usuarios nuevos.



4.2.10 Los agentes del área de desarrollo de la Dirección de Administración Pesquera no cuentan con un plan de capacitación y actualización técnica sobre las nuevas versiones de las herramientas y plataformas tecnológicas aplicadas en el entorno de desarrollo de software sobre el cual trabajan.



4.2.11 El área de desarrollo de sistemas de la Dirección de Administración Pesquera no cuenta con un adecuado ambiente de control interno.




53

4.2.12 No existe un procedimiento formal para el control, alta, baja y modificación de usuarios y permisos de los sistemas de la Subsecretaría de Pesca y Acuicultura, lo que impide un adecuado control de la seguridad de la información almacenada por los módulos del sistema.

A la fecha Mayo 2017, para ABM de usuarios o ABM de nuevas aplicaciones y/o módulos a un usuario se utiliza un documento especialmente diseñado para estos fines, que deben llenar los solicitantes, aclarando la acción a llevarse a cabo y debe estar autorizado por el director del área que corresponda.


4.2.13 Las oficinas utilizadas por la Subsecretaria de Pesca en los distintos puertos pesqueros para llevar a cabo las tareas relacionadas con la recolección de datos y el control de la actividad pesquera poseen deficiencias que podrían poner en riesgo la continuidad del servicio.

La falta de infraestructura adecuada y de recursos económicos implica serios problemas edilicios en las delegaciones de pesca del interior (instalaciones precarias y falta de pago de alquileres). Retraso en el pago de los seguros de riesgos del trabajo del personal de inspección. Falta de equipamiento de trabajo. Restricciones presupuestarias en comisiones, traslados y viaticos que limitan operativos de control. Se solicitó incremento de crédito presupuestario en el ámbito del Programa 36- Formulación de Políticas del Sector Primario, Fuente de Financiamiento 13- Recursos con Afectación Específica, Actividad 5- Actividad Pesca y Acuicultura y afectación directa a las necesidades detalladas.


4.2.14 La infraestructura de telecomunicaciones de los distritos pesqueros no cuenta con adecuados niveles de servicio, disponibilidad ni redundancia que garantice la posibilidad de ingresar datos al sistema.

Las deficiencias en infraestructura de telecomunicaciones en los distritos de pesqueros responden en general a las mismas razones indicadas en 4.2.13, y para la región patagónica en buena medida a la falta de alternativas de conexión disponibles, sobre todo en zonas portuarias.


4.2.15 RESERVADO

- COLEGIO DE AUDITORES GENERALES –SESIÓN DEL

_____/______/______


54

RESERVADO

- COLEGIO DE AUDITORES GENERALES –SESIÓN DEL

_____/______/______

4.3.1 La frecuencia con la cual los buques pesqueros reportan su ubicación es inadecuada y presenta un riesgo para la protección de zonas de veda.

Resultaría importante aumentar la frecuencia de emisiones, se está trabajando para hacerlo con el consenso de los armadores (titulares del vínculo contractual con las empresas proveedoras de servicio de posicionamiento y a quienes se les incrementaría el costo del mismo), y al mismo tiempo, está bajo análisis la conveniencia implementación por estratos de flota.

La respuesta del auditado no contradice lo expuesto en el hallazgo. Los hechos posteriores serán tenidos en cuenta en futuras auditorías. Se mantiene el hallazgo

4.3.2 La Subsecretaría de Pesca no cuenta con un sistema de monitoreo automatizado que permita el seguimiento y la

Las empresas prestadoras del servicio satelital son las encargadas de brindar los registros de posicionamientos satelital a los organismos

Respecto de la descarga de datos manual, la respuesta del auditado no


55

generación de alarmas ante el posicionamiento de un buque en zona de veda a una velocidad que presuma que está realizando tareas de pesca.

estatales (PNA, SSPyA, Armada Argentina, INIDEP). Según la Disposición SAGPyA NO 2/2013, las empresas servidoras debían suministrar una infraestructura WEB en la que se pudieran descargar los datos de la flota y que estuvieran disponibles en cada momento. Dicho procedimiento no se encuentra automatizado, de manera que los operadores del sistema deben descargar los registros de manera manual.

A partir de los datos descargados de las distintas páginas WEB de las empresas servidoras se filtra automáticamente la información mediante procesos geoespaciales desarrollados por el personal del área, en plataformas de sistemas de información geográficos, que permiten realizar consultas (SQL automatizados que se adaptan a la modificación constante de datos) para identificar buques en posible situación de infracción. Entre estas verificaciones se encuentran la del control de la operatoria en las áreas de veda, que su habilitación / permiso estuviera vigente, como así también validar la integridad de los datos del registro satelital. Para todo esto el sistema tiene desarrollado una serie de alarmas automatizadas que le informan al operador de turno de cualquier anomalía.

Una herramienta adicional que las empresas servidoras les brindan a los usuarios tanto la SSPyA como la PNA es la realización de polling o interrogaciones instantáneas que nos permiten conocer la posición actual de los buques sin la necesidad de esperar que se completen los 60 minutos hasta el próximo reporte. A su vez, los operadores del área cuentan con permisos que les permiten modificar los períodos de tiempo que ocurren entre un reporte y otro.

De manera que si un buque está operando en los bordes de un área de veda o jurisdiccional, podemos cambiar la configuración de la repetición de los reportes para recibirlos cada 10 ó 20 o los minutos según se crea pertinente.

contradice lo expuesto en el hallazgo. Respecto de la generación automática de alarmas, el auditado no brinda documentación que contradiga lo expuesto por esta auditoría. Se mantiene el hallazgo.


56

4.3.3 La infraestructura que da apoyo a las distintas operatorias de control de las artes de pesca y de descarga de buques en los muelles es inadecuada para desarrollar las actividades de fiscalización y registrar datos en el sistema, poniendo en riesgo la confiabilidad de la información. A partir de la inspección ocular de los procesos de control ejecutados en los puertos visitados, se ha podido constatar que las operatorias que se llevan a cabo en los muelles sobre los buques arribados a puerto se desarrollan sobre condiciones de infraestructura inadecuadas. La infraestructura de servicio eléctrico que abastece a las balanzas de control de peso utilizadas por los inspectores del ministerio, llega a los muelles a través de cables montados a la intemperie y muchos de ellos con empalmes precarios. Estos cables expuestos a las diferentes temperaturas y condiciones climáticas cruzan las calles del muelle por donde transitan camiones de carga y descarga de mercancía, camiones de combustible y otros vehículos particulares. Además, los tableros de abastecimiento eléctricos son insuficientes, lo que habilita a los operarios a apelar a alternativas rudimentarias de suministro como, por ejemplo, conectar una balanza de control de peso para la descarga de un buque a la batería de un vehículo particular (ver fotos). Las condiciones descritas, además de poner en riesgo la seguridad física de los agentes de la SSPyA que desarrollan actividades en puerto, condicionan la disponibilidad de las balanzas que se utilizan para controlar. Existe numerosa normativa nacional e internacional que se aplica a las tareas que se efectúan en puertos, tales como las

Las condiciones de infraestructura inadecuada y recursos materiales insuficientes han sido destacadas en cada oportunidad posible por la Dirección de Control y Fiscalización y la Dirección Nacional de Coordinación Pesquera.

Las balanzas con las que cuentan las delegaciones no tienen cables, sino que tienen batería y se cargan, por lo tanto no existe ningún tipo de riesgo. En todo caso es responsabilidad del consorcio portuario que la infraestructura sea la correcta para que puedan trabajar tanto inspectores como armadores y compradores.

Las balanzas de los armadores se enchufan de donde ellos pueden.



57

establecidas por las distintas provincias para las instalaciones eléctricas industriales, las reglamentaciones sobre la carga de combustibles líquidos que emite la Secretaria de Energía, o las recomendaciones de la OIT en su documento “Seguridad y Salud en Puertos”. 4.3.4 El equipamiento utilizado para el control del peso de la mercadería a descargar de los buques es insuficiente o es propiedad de terceros (armadores, empresas pesqueras, entre otros), y no se pudo constatar que posean una certificación sobre su correcto funcionamiento. Esta situación pone en riesgo la confiabilidad de los datos registrados en el sistema.

El equipamiento utilizado para el control de peso de la mercadería a descargar es insuficiente ya que, por ejemplo, el distrito de Mar del Plata cuenta sólo con dos balanzas homologadas, de las cuales una está en arreglo. En el caso de las balanzas de terceros, obviamente no están certificadas por nosotros, pero aparte de los inspectores que toman los valores de las pesadas, se encuentran generalmente los compradores de pescado, que certifican la cantidad y el peso de los cajones aproximado. El armador se encarga de pesar una de cada diez lingadas, obteniendo así el peso promedio del cajón.

Durante el año 2011 se dio inicio un nuevo proceso de compras bajo el Expte. SOI: 0153092, que culminó con la provisión de 7 (SIETE) balanzas para las Delegaciones del Interior que estaban necesitando tales herramientas, previéndose 3 (TRES) para la Delegación Mar del Plata y una para cada una de las restantes. De esos equipos muchos fueron sufriendo desperfectos que no pudieron reparase y desde entonces se han reiterado los pedidos de compra de equipamiento en general donde se incluyen balanzas, sin resultado alguno hasta la fecha.


4.3.5 El proceso de captura de datos provenientes de la fiscalización de carga, es manual, lo que tiene por consecuencia el riesgo de errores en la transcripción de los datos en las distintas etapas hasta su registro final en el sistema.

Se emplean los sistemas disponibles desarrollados por el grupo ad hoc de la SSPyA.



58

Dadas las condiciones climáticas y del lugar donde se realizan las descargas, además de la falta de los elementos adecuados en cantidad y calidad para desarrollar el trabajo, se realiza todo en forma manual.

4.3.6 La cantidad de inspectores que dispone la Subsecretaria de Pesca es inferior a la necesaria para cubrir la demanda operativa existente, lo que redunda en riesgos para la confiabilidad de la información volcada al SISGRAL.

La falta de recursos humanos ha sido puesta de relieve en diversos informes.

Respecto a la observación vinculada a que las actas de desembarco de los buques no controlados se confeccionan con los datos que se extraen de los partes de pesca presentados por los armadores, cabe aclarar que en todas las delegaciones se intenta controlar todos los barcos, y en función de la cantidad que arriban juntos y la disponibilidad de personal se establece un orden de prioridades, donde prevalecen sobre los demás los barcos que traen merluza hubbsi ya que esta especie está cuotificada. En caso de no contar con inspectores, cosa que generalmente no sucede, se liberan los barcos costeros. Al liberar un barco (no controlarlo) no se realiza el acta de descarga correspondiente, sino que el parte de pesca presentado por el armador, es la única documentación que se cargara del buque (obviamente sin acta de descarga).


Subsecretaría de Pesca y Acuicultura - agn.gov.ar · Aplicaciones informáticas para el control de...

Documents

Transcript of Subsecretaría de Pesca y Acuicultura - agn.gov.ar · Aplicaciones informáticas para el control de...