2008_057info.pdf

INFORME DE AUDITORÍA
A Cont. Da. Marcela Marcó del Pont
Presidente
Banco de la Nación Argentina.
En uso de las facultades conferidas por el artículo 118 de la Ley N° 24.156, la AUDITORÍA
GENERAL DE LA NACIÓN procedió a efectuar un examen en el ámbito del Ministerio de
Economía, con el objeto que se detalla en el apartado 1.
1. - Objeto de la auditoría
Evaluación de la gestión de la Tecnología de la Información en el Banco de la Nación
Argentina, organismo descentralizado en la órbita del Ministerio de Economía, en lo referente
al Sistema de Contabilidad Automática y su comunicación con las sucursales del Banco.
Período auditado: Año 2006.
2. - Alcance del examen
2.1. - En la etapa de planificación, el equipo de auditoría identificó los temas más expuestos
al riesgo, con particular atención a los sistemas contables. Para ello:
Ø Relevó la documentación normativa del área de tecnología informática del Organismo.
Ø Relevó la infraestructura informática del Organismo.
Ø Relevó los sistemas existentes en producción y en desarrollo, con atención especial a los
contables.
Ø Verificó la adecuación de los sistemas, la infraestructura existente y la planificación con
las que el Organismo se propone plasmar sus misiones, alcanzar sus metas y cumplir con
las leyes y decretos que regulan su actividad.
Ø Verificó el modelo de arquitectura de la información y su seguridad.
Ø Relevó y analizó el organigrama y el funcionamiento del área de tecnología informática.
Ø Analizó la administración de recursos humanos, la evaluación de riesgos, la
administración de proyectos, la administración de calidad y las prácticas de instalación y
1
acreditación de sistemas y de administración de cambios.
Ø Analizó:
•
la definición de los niveles de servicio,
•
la administración de los servicios prestados por terceros,
•
la administración de la capacidad y el desempeño,
•
los mecanismos que garantizan el servicio continuo y la seguridad de los sistemas,
•
la imputación de costos,
•
la educación y capacitación de los usuarios,
•
la asistencia a los usuarios de Tecnología de la Información,
•
la administración de la configuración de hardware y software,
•
la administración de problemas e incidentes,
•
la administración de datos, de instalaciones y de operaciones.
Ø Analizó el control de los procesos, la idoneidad del control interno y de su monitoreo.
Ø Analizó el funcionamiento del sistema Contabilidad Automática y la comunicación de las
operaciones de sucursales.
2.2. - Para verificar el estado de utilización de la Tecnología Informática en el Banco de la
Nación Argentina, se obtuvo información de las siguientes fuentes:
Ø Entrevistas a los Gerentes de Organización, Sistemas y Contaduría.
Ø Cuestionario para determinar las necesidades de análisis detallado.
Ø Cuestionarios para el análisis detallado de los temas que lo requerían.
Ø Manuales de Documentación de los Sistemas Contables.
Ø Inspecciones directas efectuadas en el área informática del Banco de la Nación Argentina.
2.3. - Limitaciones: No se evaluó el uso de la Tecnología Informática en las más de 600
Sucursales del Banco.
El análisis de datos, tomados de las bases de correspondientes, no se concretó por cuanto no
fueron recibidos dentro del plazo límite establecido.
Las tareas de campo abarcaron desde marzo hasta octubre de 2007.
2.4. - Metodología: La auditoría incluyó dos etapas: 1) planificación del análisis detallado; 2)
verificación de lo informado en la primera etapa por medio de pruebas sustantivas y de
2
cumplimiento.
La etapa de planificación incluyó las siguientes actividades:
•
Análisis del marco legal e institucional del funcionamiento del Banco.
•
Análisis de los informes de Auditoría Interna y externa en temas informáticos.
•
Entrevistas con responsables de las Áreas Informática y Contable del Banco de la Nación
Argentina.
En la etapa de análisis detallado:
•
Se analizaron las minutas de reunión para determinar qué aspectos requerían un análisis
detallado.
•
Se determinaron las necesidades de verificación de las respuestas obtenidas.
•
Especialistas en diversas ramas de la informática realizaron inspecciones in situ y
entrevistas con personal subalterno.
En función de la información relevada y de la estimación de los niveles de riesgo, se
definieron los trabajos de campo para realizar las verificaciones necesarias.
Este informe es producto de la evaluación de la información recabada en las entrevistas y de
las observaciones realizadas en el trabajo de campo.
Se estableció el nivel de madurez de los Objetivos de Control definidos y se realizó un
análisis de los riesgos asociados a cada uno de ellos.
Hubo retrasos en las tareas de relevamiento debidos a la lentitud del Organismo en enviar la
información que se le solicitó.
3. - Aclaraciones previas
3.1. - Marco legal e institucional
Antecedentes y Naturaleza Jurídica
El Banco de la Nación Argentina constituye un ente autárquico del Estado Nacional, y por
ello es un organismo descentralizado perteneciente al Sector Público Nacional definido por el
artículo 8º de la Ley Nº 24.156.
La entidad bancaria tiene autonomía presupuestaria y administrativa y se rige por la Ley de
Entidades Financieras, su Carta Orgánica, aprobada por Ley Nº 21.799, sustituida por la Ley
3
Nº 25.299 y demás normas legales concordantes, y coordina su acción con las políticas
económico-financieras que establece el Gobierno Nacional.
Si bien el Banco de la Nación Argentina es un ente autárquico del Estado Nacional, por su
actividad esencialmente financiera se diferencia de otras áreas de la Administración Pública
Nacional, y su capital es enteramente estatal. Su función principal es la de agente financiero
del Gobierno Federal, y como tal recibe depósitos oficiales, realizando pagos por cuenta y
orden de la Nación. La entidad se relaciona con el Poder Ejecutivo Nacional a través del
Ministerio de Economía y está sujeta al contralor del Banco Central de la República
Argentina.
La entidad bancaria desarrolla también una actividad internacional, financiera y comercial
apoyada en una red integrada por 14 sucursales operativas, Financieras y Comerciales en
nueve países extranjeros y cuatro oficinas de representación.
3.2. - Particularidades del sistema contable
La contabilidad del Banco de la Nación Argentina se nutre de las transacciones que se
realizan en las más de 600 sucursales y la Casa Central.
El ingreso de la información al centro de cómputos central se realiza:
⋅
Utilizando la metodología de Contabilidad Manual (CM) en la sucursal Plaza de
Mayo y en la Casa Central.
⋅
Operando con la metodología de Contabilidad Automática (CB) en el resto de las
sucursales, salvo casos particulares que se detallan más adelante.
3.2.1. - Metodología Contabilidad Automática
Las operatorias más importantes por su volumen de transacciones están respaldadas por un
sistema informático o aplicativo específico, como por ejemplo Caja de Ahorro, Cuenta
Corriente o Plazo Fijo.
Se considera Contabilidad Automática el proceso por el cual esos aplicativos generan, al
cierre del día, los Asientos Contables de esa operatoria por cada moneda, sucursal y los
ingresan a las bases centrales, que serán procesadas en forma diferida durante la noche.
En las sucursales con Contabilidad Automática, el Aplicativo de Caja llamado Transactor
actualiza acumuladores sobre los movimientos de caja, por cada tipo de operación y moneda,
4
que al cierre del día utilizará para enviar los boletines de tesorería a las bases centrales.
Obtiene los pares contables correspondientes para armar el asiento accediendo a la Tabla de
Relación Transacción / Cuentas Imputables, que relaciona el tipo de operación y moneda con
las cuentas contables correspondientes.
Para el control de las operaciones del día, se utiliza el concepto de Cuentas Control o cuentas
puente. Existe una por cada sucursal, tipo de operación y moneda.
Cada transacción realizada en una sucursal se imputa en dos aplicativos:
⋅
En el Aplicativo de Caja: la cuenta Caja se imputa contra la Cuenta de Control de la
operación (o viceversa, según sea débito o crédito).
⋅
En el aplicativo específico (Cuenta Corriente, por ejemplo) se imputa la Cuenta Control
de la operación contra la cuenta del aplicativo, o viceversa.
El vínculo entre ambas imputaciones es la Cuenta Control, cuyo saldo final deberá quedar en
cero durante la contabilización nocturna, si el proceso de doble imputación de la transacción
se ejecuta correctamente.
Al final de las operaciones del día la sucursal realiza las siguientes actividades:
⋅
Con los acumuladores generados durante la jornada por el Aplicativo de Caja
(Transactor), imprime localmente el resumen de las transacciones realizadas con sus
importes totalizados por fecha, moneda y concepto contra cada cuenta control.
⋅
Con los acumuladores generados por los aplicativos específicos (Caja de Ahorros,
Cuentas Corrientes, etc.), local y centralmente, se imprimen los boletines por tipo de
operación igualmente totalizados.
Durante la noche, en el centro de cómputos central, se procesa el cierre contable general del
banco a partir de los asientos resumen que fueron cargados en las bases centrales por:
⋅
Los Aplicativos de Caja de cada sucursal.
⋅
Los aplicativos específicos de cada tipo de operación integrada a la contabilidad
automática.
⋅
Los ingresados manualmente mediante el CM.
De existir saldo no nulo en alguna cuenta control, se buscan las diferencias; una vez
encontradas, la sucursal corrige el error, habiéndose habilitado la operación previamente en la
5
Gerencia Contable central por medio del desbloqueo de las cuentas involucradas. Finalizada
la actividad, la cuenta se bloquea nuevamente.
Las diferencias indican la existencia de:
. Transacciones que pasaron por el Aplicativo de Caja y no llegaron al aplicativo
correspondiente o viceversa.
. Transacciones generadas por un aplicativo específico para otro que no fueron
procesadas por uno de ellos.
. Transacciones ingresadas por el Aplicativo de Caja (sin aplicativo específico
integrado) para las cuales no se cargaron los asientos manuales correspondientes a las
contrapartidas contables o viceversa.
3.2.2. - Metodología de Contabilidad Manual
En las casas que operan de forma manual, el Boletín Contable –conjunto de los Asientos
Contables de la sucursal que resume las transacciones diarias por tipo de operación y
moneda– se realiza manualmente al finalizar las operaciones y se ingresa con la misma
modalidad en las bases centrales a través del proceso de CM. El sistema imprime la
información cargada en las bases como Boletín Contable para cotejarlo con el original.
Hasta el momento de los trabajos de campo, algunas aplicaciones no habían sido integradas a
los procesos de Contabilidad Automática (Personal, Bienes de Uso, Jubilaciones de Policía,
Jubilaciones de Gendarmería, Fondo Compensador, Ticket Total, Impuestos de Tarjetas de
Crédito, etc.) que el Transactor acumula en “Varios” y cuyas imputaciones contables se
ingresan manualmente a través de la CM.
4. - Comentarios y observaciones
Se exponen a continuación las principales observaciones y comentarios surgidos del trabajo
de esta Auditoría.
Para cada una de las observaciones detectadas se incluye el nivel de madurez, conforme al
Modelo de Madurez de la Capacidad enunciado más abajo, y en el punto 6, las
recomendaciones tendientes a mejorar el ambiente de control y reducir los riesgos
identificados.
6
Niveles del Modelo Genérico de Madurez:
§
0 - No conforma. Falta total de procesos reconocibles. La organización incluso no
reconoce que existe un tema a ser tenido en cuenta.
§
1 - Inicial / Ad Hoc. Hay evidencia de que la organización reconoce la existencia del tema
y la necesidad de atenderlo. Sin embargo, no existen procesos estandarizados y en lugar
de ellos existen aproximaciones ad hoc que tienden a ser aplicadas sobre una base
individual o caso por caso. La administración aparece como desorganizada.
§
2 - Repetible. Los procesos han evolucionado hasta la etapa en la cual procedimientos
similares son ejecutados por distintas personas que desarrollan las mismas tareas. No hay
entrenamiento formal ni comunicación de procedimientos estándar y la responsabilidad es
dejada a cada individuo. Hay un alto grado de confianza en el conocimiento de los
individuos y los errores son probables.
§
3 - Proceso Definido. Los procedimientos han sido estandarizados, documentados y
comunicados vía entrenamiento. Sin embargo, es responsabilidad de los individuos
cumplir con estos procesos y es improbable que se detecten las desviaciones. Los
procedimientos en sí mismos no son sofisticados pero son la formalización de prácticas
existentes.
§
4 - Administrado. Es posible monitorear y medir el cumplimiento de los procedimientos y
tomar acción cuando los procesos parecen estar trabajando inadecuadamente. Los
procesos están bajo mejora constante y proveen una práctica correcta. El uso de
herramientas y de automatización es limitado o fragmentario.
§
5 - Optimizado. Los procesos han sido corregidos al nivel de la mejor práctica, basado en
los resultados de la mejora continua y de la movilización con otras organizaciones. La
Tecnología de la Información es usada de forma integrada para automatizar el flujo de
trabajo, proveer herramientas para mejorar la calidad y la eficacia y hacer que la
organización se adapte rápido a los cambios.
Además, para cada uno de los objetivos de control, se indica cuáles de los requerimientos de
la información, que se detallan a continuación, son afectados:
Eficacia: Que la información sea relevante y pertinente para la misión del ente, y que su
7
entrega sea oportuna, correcta, consistente y utilizable.
Eficiencia: Que la información se provea a través de la utilización óptima (más productiva y
económica) de recursos.
Confidencialidad: Que la información sensible se proteja de la divulgación no autorizada.
Integridad: Que la información sea precisa, suficiente y válida de acuerdo con los valores y
expectativas del organismo.
Disponibilidad: Que la información esté disponible cuando sea requerida por las misiones del
organismo. Que se salvaguarden los recursos necesarios y las capacidades asociadas.
Cumplimiento: Que la información cumpla con las leyes, regulaciones y acuerdos
contractuales a los que el organismo está sujeto.
Confiabilidad: Que la información sea apropiada para que la administración opere la entidad
y cumpla sus responsabilidades de elaborar informes financieros y de cumplimiento.
Para determinar el impacto de las observaciones detectadas, se asignó a cada uno de los
objetivos de control el nivel de riesgo asociado. Los niveles se califican como Alto, Medio o
Bajo. En el Anexo III se detalla el cálculo de los niveles de riesgo finales.
4.1. - Planificación y Organización de la Tecnología de la Información
4.1.1. - Definición de un Plan Estratégico de Tecnología de la Información
Objetivo de control: La máxima autoridad debe impulsar el proceso periódico de
planificación estratégica que permita formular los planes a largo plazo, los que, a su vez,
deben traducirse oportunamente en planes operativos que definan metas claras y concretas a
corto plazo.
Este objetivo de control afecta los siguientes requerimientos de la información necesaria para
cumplir las misiones del organismo, primariamente:
•
la eficacia
y en forma secundaria:
•
la eficiencia.
Nivel de riesgo:
[X] Alto
[ ] Medio
[ ] Bajo
8
Nivel de madurez: Repetible aunque Intuitivo. La planificación estratégica de Tecnología de
la Información es comprendida por la gerencia correspondiente, pero no está documentada.
Está a cargo de la gerencia de Tecnología de la Información, pero solo se la comparte con las
autoridades del organismo en función de la necesidad. La actualización se produce sólo ante
pedidos de la máxima autoridad o cuando se lo cree necesario y no hay un proceso proactivo
para identificar las novedades de Tecnología de la Información y del organismo que
requieren actualizaciones al plan. Las decisiones estratégicas se toman proyecto por proyecto,
sin uniformidad de criterios con la estrategia global de la organización. Los riesgos y
beneficios que las grandes decisiones estratégicas podrían tener para el usuario se reconocen,
pero su definición es intuitiva.
Observaciones: Si bien existe un Plan Estratégico del Área de Sistemas, no existen
procedimientos proactivos para generarlo y actualizarlo. En el plan estratégico del área
informática 2006-2008 no figura el sistema de contabilidad automática, pero sí figura en el
correspondiente al período 2007-2009, como Contabilidad Automática Fase III, con fecha
tentativa de finalización en el cuarto trimestre de 2007. Según la información recibida durante
las tareas de campo, el proyecto aún se encontraba en su Etapa Inicial, la cual comprende la
definición del alcance y de grupo de trabajo, y no estaba reprogramado pese a su evidente
retraso.
4.1.2. - Definición de la Arquitectura de la Información
Objetivo de control: La información debe mantenerse acorde con las necesidades y debe ser
identificada, recopilada y comunicada en forma y tiempo tales que permita al personal
cumplir sus responsabilidades de manera eficiente y oportuna. La función de servicios de
información debe crear y mantener una arquitectura de la información que incluya el modelo
de los datos del organismo y los sistemas de información relacionados. En este aspecto, la
función de servicios de información debe garantizar:
- Un modelo de arquitectura de la información.
- El diccionario de datos del organismo y reglas de sintaxis de los datos.
- Un esquema de clasificación de los datos.
- Los niveles de seguridad.
9
Este objetivo de control afecta los siguientes requerimientos de la información necesaria para
cumplir las misiones del organismo, primariamente:
•
la eficacia
y en forma secundaria:
•
la eficiencia
•
la confidencialidad
•
la integridad
Nivel de riesgo:
[X] Alto
[ ] Medio
[ ] Bajo
Nivel de madurez: Repetible aunque Intuitivo. Se tomó conciencia de la importancia que una
arquitectura de la información reviste para el organismo. Surge un proceso y distintas
personas siguen procedimientos similares, aunque informales e intuitivos. No hay una
capacitación formal; el aprendizaje surge de la experiencia directa y la aplicación repetida de
técnicas. Los requerimientos tácticos llevan a desarrollar componentes de la arquitectura de la
información.
Observaciones: Existe conciencia de la importancia de la arquitectura de la información pero
no se ha avanzado en el tema y no existe un modelo unificado al respecto. Hay modelos de
datos por cada aplicación, pero no un diccionario de datos que abarque a toda la institución.
La definición de los datos a utilizar en los nuevos proyectos se realiza en base a la
experiencia de los funcionarios.
4.1.3. - Determinación de la Dirección Tecnológica
Objetivo de control: La función de servicios de información debe crear y mantener un plan
de infraestructura tecnológica que fije y administre expectativas claras y realistas de lo que la
tecnología puede ofrecer en términos de productos, servicios y mecanismos de entrega.
Este objetivo de control afecta los siguientes requerimientos de la información necesaria para
cumplir las misiones del organismo, primariamente:
•
la eficacia
y en forma secundaria:
•
la eficiencia
Nivel de riesgo:
[X] Alto
[ ] Medio
[ ] Bajo
10
Nivel de madurez: Repetible aunque Intuitivo. Hay un entendimiento implícito de la
necesidad e importancia de la planificación tecnológica. No obstante, la planificación es
táctica y se concentra en la generación de soluciones técnicas a problemas técnicos, y no en el
uso de la tecnología para satisfacer las necesidades de las actividades del organismo. La
evaluación de los cambios tecnológicos se deja librada al criterio de distintas personas que
siguen procesos intuitivos, aunque similares. No hay una actividad formal de capacitación y
comunicación de los roles y responsabilidades. Aparecen técnicas y normas comunes para el
desarrollo de los componentes de la infraestructura.
Observaciones: Se tiene conciencia de la importancia que la planificación de infraestructura
tecnológica reviste para el organismo y se encuentra definida un área para la determinación
de la dirección tecnológica. No existe a la fecha normativa formal para la función. Se toman
decisiones (como la instalación de una sala cofre en el quinto piso del edificio central) sin
contar con la adecuada documentación de los estudios de alternativas y factibilidad. La falta
de un plan tecnológico de largo plazo puede llevar a un nivel de obsolescencia que
comprometa la funcionalidad del sistema contable.
4.1.4. - Administración de los Recursos Humanos
Objetivo de control: La máxima autoridad debe implementar prácticas sólidas, justas y
transparentes de administración de personal en cuanto a selección, alineación, verificación de
antecedentes, remuneración, capacitación, evaluación, promoción y despido.
Este objetivo de control afecta los siguientes requerimientos de la información necesaria para
cumplir las misiones del organismo, primariamente:
•
la eficacia
•
la eficiencia
Nivel de riesgo:
[X] Alto
[ ] Medio
[ ] Bajo
Nivel de madurez: Repetible aunque Intuitivo. Hay un entendimiento implícito de la
necesidad de administración de los recursos humanos de Tecnología de la Información. El
enfoque táctico de la contratación y administración del personal de Tecnología de la
Información está impulsado por necesidades específicas de proyectos, y no por una dirección
tecnológica y un equilibrio bien entendido entre la disponibilidad interna y externa de
11
personal capacitado. Se capacita informalmente a los nuevos empleados, que luego son
entrenados según necesidades particulares.
Observaciones: No existe una política formal de reclutamiento y promoción de personal ni
un plan de capacitación formal destinado a satisfacer las necesidades de los recursos humanos
de sistemas a mediano y largo plazo. No se estableció un programa formal de rotación
destinado a expandir las habilidades gerenciales y técnicas.
4.1.5. - Evaluación de Riesgos
Objetivo de control: La máxima autoridad debe definir un proceso por el cual el organismo
identifique los riesgos de Tecnología de la Información y analice su impacto, involucrando
funciones multidisciplinarias y adoptando medidas eficaces en función de costos a fin de
mitigar los riesgos.
Este objetivo de control afecta los siguientes requerimientos de la información necesaria para
cumplir las misiones del organismo, primariamente:
•
la confidencialidad
•
la integridad
•
la disponibilidad
y en forma secundaria:
•
la eficacia
•
la eficiencia
•
el cumplimiento
•
la confiabilidad
Nivel de riesgo:
[X] Alto
[ ] Medio
[ ] Bajo
Nivel de madurez: Repetible aunque Intuitivo. Existe algún enfoque a la evaluación de
riesgos, pero el proceso todavía es inmaduro y está en desarrollo. La evaluación es muy
general y se aplica sólo a los grandes proyectos. La evaluación de las operaciones en marcha
depende principalmente de que los gerentes de Tecnología de la Información la planteen
como un tema a tratar, lo cual a menudo sucede sólo cuando se producen problemas. La
gerencia de Tecnología de la Información no ha definido procedimientos o descripciones de
puestos en el tema de la administración de riesgos.
12
Observaciones: No existe una política de administración de riesgos que cubra todo el
organismo, defina cuándo y cómo realizar las evaluaciones de riesgos de sistemas. La
evaluación de riesgos informáticos no sigue un proceso definido que esté documentado y a
disposición de todo el personal a través de la capacitación.
4.1.6. - Administración de Proyectos
Objetivo de control: La máxima autoridad debe establecer un proceso por el cual el
organismo identifique y priorice los proyectos en concordancia con el plan operativo. El
organismo debe adoptar y aplicar técnicas bien concebidas de administración de proyectos
para cada uno que se inicie.
Este objetivo de control afecta los siguientes requerimientos de la información necesaria para
cumplir las misiones del organismo, primariamente:
•
la eficacia
•
la eficiencia
Nivel de riesgo:
[X] Alto
[ ] Medio
[ ] Bajo
Nivel de madurez: Proceso Parcialmente Definido. El proceso y la metodología de
administración se establecieron y comunicaron formalmente. Los proyectos de Tecnología de
la Información se definen con objetivos técnicos y de negocio adecuados. Las partes
interesadas participan en su administración. La organización de estos proyectos y
responsabilidades y roles están definidos. Los proyectos de desarrollo tienen hitos definidos,
cronogramas, presupuesto y medidas del desempeño. También tienen procedimientos
formales posteriores a la implementación de sistemas. Se brinda una capacitación informal en
administración de proyectos. No se han definido procedimientos de garantía de la calidad y
actividades posteriores a la implementación de sistemas. No están definidas políticas para un
equilibrio de los recursos internos y externos.
Observaciones: El marco de administración de proyectos no es de aplicación rigurosa debido
a la falta de un plan de calidad y no incluye la descripción formal del estudio de factibilidad.
No existe una política formal para determinar la conveniencia de utilizar desarrollo con
recursos propios o tercerizarlo.
13
4.1.7. - Administración de la Calidad
Objetivo de control: La alta gerencia debe desarrollar la planificación, implementación y el
mantenimiento de normas y sistemas de administración de calidad del organismo, que
proporcionen distintas fases de desarrollo, prestaciones claves y responsabilidades explícitas.
Este objetivo de control afecta los siguientes requerimientos de la información necesaria para
cumplir las misiones del organismo, primariamente:
•
la eficacia
•
la eficiencia
•
la integridad
y en forma secundaria:
•
la confiabilidad
Nivel de riesgo:
[X] Alto
[ ] Medio
[ ] Bajo
Nivel de madurez: Inicial / Ad Hoc. La alta gerencia ha tomado conciencia de la necesidad
de una garantía de la calidad. La garantía de calidad, en los casos en que se produce, depende
de los conocimientos de cada gerente. Las actividades de garantía de calidad que se realizan
se concentran en iniciativas orientadas a proyectos y procesos de Tecnología de la
Información, y no en procesos que alcanzan a toda la organización. Los proyectos y las
operaciones de Tecnología de la Información en general no se miden en cuanto a su calidad,
pero la dirección hace juicios informales sobre la calidad.
Observaciones: La falta de adecuada administración de la calidad es el fundamento de las
insuficiencias encontradas en la administración de la tecnología de la información en el
Banco de la Nación Argentina. Existen metodologías para la ejecución de tareas, como la
metodología de desarrollo de sistemas en el caso del sistema de contabilidad automática, que
no se respetan por falta del monitoreo que exigiría un adecuado control de calidad.
4.2. - Adquisición e Implementación de Soluciones de Tecnología de la Información
4.2.1. - Adquisición y Mantenimiento del Software de Aplicación
Objetivo de control: La adquisición y mantenimiento del software aplicativo debe realizarse
por medio de la definición específica de requerimientos funcionales y operativos con una
implementación por etapas de prestaciones claras.
14
Este objetivo de control afecta los siguientes requerimientos de la información necesaria para
cumplir las misiones del organismo, primariamente:
•
la eficacia
•
la eficiencia
y en forma secundaria:
•
la integridad
•
el cumplimiento
•
la confiabilidad
Nivel de riesgo:
[X] Alto
[ ] Medio
[ ] Bajo
Nivel de madurez: Proceso Parcialmente Definido. Existen procesos de adquisición y
mantenimiento documentados. Se hace el intento de utilizar los procesos documentados en
forma coherente en distintas aplicaciones y proyectos, pero no siempre resultan prácticos de
implementar ni reflejan las soluciones tecnológicas actuales. En general son inflexibles y no
son aplicables a todos los casos, de modo que con frecuencia se pasan por alto algunos pasos.
Por consiguiente, las aplicaciones suelen adquirirse en forma aislada y puntual. La gestión
sigue un enfoque definido, pero en general lleva mucho tiempo y es ineficiente.
Observaciones: La metodología actualmente vigente del ciclo de vida del desarrollo y
mantenimiento de sistemas de la organización fue aprobada el 27 de febrero de 2004, cuando
ya estaba iniciado el desarrollo del Sistema de Contabilidad Automática (1998-2005). La
metodología anterior, datada en 1998, tampoco se utilizó para este sistema.
4.2.2. - Adquisición y Mantenimiento de la Infraestructura Tecnológica
Objetivo de control: La gerencia de la función de servicios de información debe impulsar la
adquisición criteriosa del software y el hardware, la estandarización del software, la
evaluación de los rendimientos, y la administración coherente de sistemas.
Este objetivo de control afecta los siguientes requerimientos de la información necesaria para
cumplir las misiones del organismo, primariamente:
•
la eficacia
•
la eficiencia
y en forma secundaria:
15
•
la integridad
Nivel de riesgo:
[X] Alto
[ ] Medio
[ ] Bajo
Nivel de madurez: Repetible aunque Intuitivo. Existe uniformidad entre los enfoques
tácticos, cuando se trata de adquirir y mantener la infraestructura de Tecnología de la
Información. No obstante, se carece de una estrategia definida y no se consideran
formalmente las necesidades de las aplicaciones de negocio a las que ha de darse soporte.
Observaciones: Existe un Plan de Adecuación Tecnológica y la infraestructura actual de
Tecnología de la Información soporta las aplicaciones de negocio, pero, a la fecha, se observa
un nivel de obsolescencia en las sucursales que pone en riesgo el funcionamiento del sistema
contable y la operación del Banco. Se carece de una metodología formal que permita definir
en plazo aceptable un plan adecuado para la prestación futura.
4.2.3. - Desarrollo y Mantenimiento de Procedimientos
Objetivo de control: Se debe aplicar un enfoque estructurado para el desarrollo de
procedimiento del usuario y de operaciones, requerimientos de servicios y materiales de
capacitación.
Este objetivo de control afecta los siguientes requerimientos de la información necesaria para
cumplir las misiones del organismo, primariamente:
•
la eficacia
•
la eficiencia
y en forma secundaria:
•
la integridad
•
el cumplimiento
•
la confiabilidad
Nivel de riesgo:
[X] Alto
[ ] Medio
[ ] Bajo
Nivel de madurez: Repetible aunque Intuitivo. Se toman enfoques similares con respecto a la
producción de procedimientos y documentación, pero no están basados en un lineamiento o
marco estructurado. Los procedimientos operativos y del usuario están documentados pero se
carece de un abordaje uniforme y, por lo tanto, su exactitud y disponibilidad dependen en
gran medida de los individuos, y no de un proceso formal. Hay material de capacitación
16
disponible, pero también se tiende a producirlo individualmente, y la calidad depende de las
personas involucradas. Por consiguiente, los procedimientos reales y la calidad del soporte al
usuario pueden variar y tienen poca uniformidad e integración en las distintas áreas del
organismo.
Observaciones: Las expectativas de desempeño y los niveles de servicio no están lo
suficientemente detallados como para permitir su seguimiento, comunicación y mejoras.
No existe un control de calidad de los procedimientos y de su aplicación efectiva. Los
procedimientos de cierre de la contabilidad automática no están formalmente definidos.
4.2.4. - Instalación y acreditación de aplicativos
Objetivo de control: La implementación de nuevos sistemas debe realizarse por medio de un
plan bien formalizado de instalación, migración, conversión y aceptación.
Este objetivo de control afecta los siguientes requerimientos de la información necesaria para
cumplir las misiones del organismo, primariamente:
•
la eficacia
y en forma secundaria:
•
la integridad
•
la disponibilidad
Nivel de riesgo:
[X] Alto
[ ] Medio
[ ] Bajo
Nivel de madurez: Proceso Definido. Se cuenta con una metodología formal para la
instalación, migración, conversión y aceptación. Sin embargo, la dirección no tiene la
capacidad de evaluar el cumplimiento. Los procesos de instalación y acreditación de
Tecnología de la Información están relativamente integrados al ciclo de vida de sistemas y
automatizados. La capacitación, prueba y transición al estado de producción, y la
acreditación, pueden variar con respecto al proceso definido, en función de decisiones
personales. La calidad de los sistemas que pasan a producción no es uniforme y los sistemas
nuevos suelen generar un nivel significativo de problemas posteriores a la implementación.
Observaciones: Las políticas y procedimientos referentes al proceso del ciclo de vida del
desarrollo de sistemas no se aplican para la totalidad de los proyectos. Se realiza el traspaso
independiente de las bibliotecas de desarrollo a producción y se requiere la aceptación del
17
área de pruebas para su implementación. Sin embargo, no se cumple en forma absoluta en
caso de urgencias que estén fuera del horario estándar. No hay un manual de calidad, ni un
plan de calidad, ni programas formales de capacitación.
4.2.5. - Administración de Cambios
Objetivo de control: Se debe implementar un sistema de administración de cambios que
permita el análisis, la implementación y el seguimiento de todas las modificaciones
solicitadas y realizadas en la infraestructura de Tecnología de la Información existente.
Este objetivo de control afecta los siguientes requerimientos de la información necesaria para
cumplir las misiones del organismo, primariamente:
•
la eficacia
•
la eficiencia
•
la integridad
•
la disponibilidad
y en forma secundaria:
•
la confiabilidad
Nivel de riesgo:
[X] Alto
[ ] Medio
[ ] Bajo
Nivel de madurez: Proceso Definido. Existe un proceso formal definido de administración
de cambios, que incluye categorización, priorización, procedimientos de emergencia,
autorización de cambios y administración de las versiones de software, pero no siempre se
hace cumplir. El proceso definido no siempre es visto como adecuado o práctico. Es factible
que se produzcan errores y cambios no autorizados. El análisis del impacto de los cambios de
Tecnología de la Información en las operaciones del organismo se está formalizando, para dar
soporte a la implementación planificada de nuevas aplicaciones y tecnologías.
Observaciones: No existe una metodología formal para priorizar las solicitudes de cambios.
No se han encontrado procedimientos de cambios de emergencia en los manuales de
operaciones verificados. El control de cambios se realiza en los ambientes distribuidos con un
flujo de trabajos (workflow) sobre Lotus Notes y en ambiente mainframe con el producto
Endevor para administración de cambios. No se evalúa el costo de eventuales cambios ni se
monitorean los efectivamente realizados.
18
4.3. - Entrega de Prestaciones y Soporte de la Tecnología de la Información
4.3.1. - Definición y Administración de los Niveles de Servicio
Objetivo de control: La máxima autoridad debe definir un marco para promover acuerdos de
nivel de servicio que formalicen los criterios de desempeño en virtud de los cuales se medirá
su cantidad y calidad.
Este objetivo de control afecta los siguientes requerimientos de la información necesaria para
cumplir las misiones del organismo, primariamente:
•
la eficacia
•
la eficiencia
y en forma secundaria:
•
la confidencialidad
•
la integridad
•
la disponibilidad
•
el cumplimiento
•
la confiabilidad
Nivel de riesgo:
[X] Alto
[ ] Medio
[ ] Bajo
Nivel de madurez: Repetible aunque Intuitivo. El proceso de supervisión de los proveedores
de servicios y la prestación de los servicios es informal. Se usa un contrato firmado formal
con términos y condiciones para los proveedores y una descripción de los servicios a prestar.
Se toman mediciones, pero no siempre son relevantes. Hay informes disponibles, aunque no
siempre dan soporte a los objetivos de las actividades sustantivas del organismo.
Observaciones: No se encontraron normas y procedimientos formales del Organismo para la
supervisión de los contratos. En algunas áreas de Sistemas se realizan controles, pero no
cubren todos los servicios que brinda el sector. No se han encontrado acuerdos formales de
nivel de servicio con la Gerencia usuaria del sistema de contabilidad automática.
4.3.2. - Administración de la Capacidad y el Desempeño
Objetivo de control: Se debe implementar un proceso de administración orientado a la
recopilación de datos, al análisis y a la generación de informes sobre el desempeño de los
19
recursos de Tecnología de la Información, la dimensión de los sistemas de aplicación y la
demanda de cargas de trabajo.
Este objetivo de control afecta los siguientes requerimientos de la información necesaria para
cumplir las misiones del organismo, primariamente:
•
la eficacia
•
la eficiencia
y en forma secundaria:
•
la disponibilidad
Nivel de riesgo:
[X] Alto
[ ] Medio
[ ] Bajo
Nivel de madurez: Repetible aunque Intuitivo. La máxima autoridad del organismo es
consciente del impacto de no administrar la capacidad y el desempeño. En general, se
satisfacen las necesidades de desempeño de las áreas críticas, en función de una evaluación
de los sistemas individuales y del conocimiento de los equipos de soporte y de proyecto.
Pueden usarse algunas herramientas aisladas para diagnosticar problemas de capacidad y
desempeño, pero la uniformidad de los resultados depende de la pericia de las personas clave.
No hay una evaluación general del desempeño de la infraestructura de Tecnología de la
Información ni consideración de las situaciones de carga pico. Es probable que surjan
problemas de disponibilidad en forma inesperada cuyo diagnóstico y corrección llevan un
tiempo considerable.
Observaciones: Si bien se realiza un monitoreo general y global de la capacidad instalada, se
satisfacen las necesidades de desempeño en áreas críticas en función de una evaluación y
control de los sistemas individuales. Existen herramientas y procedimientos formalmente
definidos para diagnosticar problemas de capacidad y desempeño en las comunicaciones y
parcialmente en los servidores centrales. No hay una evaluación general del desempeño de la
infraestructura de Tecnología de la Información y existen equipos obsoletos en sucursales,
pudiendo surgir problemas de disponibilidad cuyo tiempo de diagnóstico y corrección afecte
la operación del sistema contable.
20
4.3.3. - Garantía de un Servicio Continuo
Objetivo de control: La máxima autoridad debe implementar un plan probado y operativo de
continuidad de tecnología de información que concuerde con el plan de continuidad general
del organismo y los requerimientos de actividad relacionados.
Este objetivo de control afecta los siguientes requerimientos de la información necesaria para
cumplir las misiones del organismo, primariamente:
•
la eficacia
•
la disponibilidad
y en forma secundaria:
•
la eficiencia
Nivel de riesgo:
[X] Alto
[ ] Medio
[ ] Bajo
Nivel de madurez: Proceso Definido. La rendición de cuentas no es ambigua y las
responsabilidades para la planificación y prueba del servicio continuo están claramente
definidas y asignadas. Los planes están documentados y se basan en la criticidad de sistemas
y el impacto en las actividades del organismo. Hay informes periódicos de pruebas de
servicio continuo. Son las personas las que toman la iniciativa de seguir los estándares y
recibir capacitación. La alta gerencia comunica uniformemente la necesidad de un servicio
continuo. Se mantiene un inventario de los sistemas y componentes críticos.
Observaciones: No existen procedimientos y controles que garanticen el cumplimiento de
los estándares y la capacitación del personal.
4.3.4. - Garantía de la Seguridad de los Sistemas
Objetivo de control: La máxima autoridad debe establecer y mantener un programa de
seguridad de la información para implementar los controles de acceso lógico que garanticen
que el acceso a los sistemas, datos y programas esté limitado a los usuarios autorizados.
Este objetivo de control afecta los siguientes requerimientos de la información necesaria para
cumplir las misiones del organismo, primariamente:
•
la confidencialidad
•
la integridad
y en forma secundaria:
21
•
la disponibilidad
•
el cumplimiento
•
la confiabilidad
Nivel de riesgo:
[X] Alto
[ ] Medio
[ ] Bajo
Nivel de madurez: Proceso Definido. La dirección tiene conciencia de la seguridad y la
promueve. Se estandarizaron y formalizaron sesiones informativas sobre temas de seguridad.
Los procedimientos de seguridad de Tecnología de la Información están definidos e
integrados en una estructura de políticas y procedimientos de seguridad. Las
responsabilidades de la seguridad de Tecnología de la Información están asignadas, aunque
no se observan en forma consistente. Existe un plan de seguridad de Tecnología de la
Información con análisis de riesgos y soluciones de seguridad. El informe de la seguridad de
Tecnología de la Información se concentra en la función de Tecnología de la Información y
no en la misión del organismo. Se realizan pruebas de intrusión ad hoc.
Observaciones: El organismo cuenta con una política de seguridad informática y con la
autoridad y el poder de dictar y hacer cumplir las normas que considere necesarias. Se
destaca el grado de detalle alcanzado por el manual de seguridad informática. Aún quedan
pendientes de resolución el procedimiento de bajas de los usuarios –que a la fecha es
totalmente reactivo– y la limitación a los usuarios ausentes por vacaciones o licencias
prolongadas, a fin de evitar la extracción de información. La falta de un modelo de datos
general de toda la organización complica la asignación de su propiedad y debilita su
seguridad.
4.3.5. - Identificación e Imputación de Costos
Objetivo de control: Se debe implementar un sistema de imputación de costos que garantice
que se registren, calculen y asignen los costos de acuerdo con el nivel de detalle requerido y
el ofrecimiento de servicio adecuado.
Este objetivo de control afecta los siguientes requerimientos de la información necesaria para
cumplir las misiones del organismo, primariamente:
•
la eficiencia
•
la confiabilidad
22
Nivel de riesgo:
[ ] Alto
[X] Medio
[ ] Bajo
Nivel de madurez: No Conforma. Se carece totalmente de un proceso reconocible para
identificar e imputar costos con respecto a los servicios de información prestados. El
organismo ni siquiera ha reconocido que hay una cuestión que merece abordarse en cuanto a
la contabilización de los costos, y no hay comunicación al respecto.
Observaciones: No hay registro de los costos relacionados con las horas-hombre
presupuestadas en algunos proyectos, como el de contabilidad automática, y no se realizan
controles durante el desarrollo ni luego de la finalización.
4.3.6. - Educación y Capacitación de los Usuarios
Objetivo de control: Se debe establecer y mantener un plan integral de capacitación y
desarrollo.
Este objetivo de control afecta los siguientes requerimientos de la información necesaria para
cumplir las misiones del organismo, primariamente:
•
la eficacia
y en forma secundaria:
•
la eficiencia
Nivel de riesgo:
[ ] Alto
[X] Medio
[ ] Bajo
Nivel de madurez: Inicial / Ad Hoc. Hay evidencia de que el organismo reconoció la
necesidad de un programa de educación y capacitación, pero no hay procesos estandarizados.
En ausencia de un programa organizado, los empleados identifican y asisten a cursos de
capacitación por cuenta propia. Algunos de estos cursos tratan temas de conducta ética,
concientización de seguridad de sistemas y prácticas de seguridad. El enfoque global de la
dirección carece de cohesión, y la comunicación de los temas y abordajes de la educación y
capacitación es sólo esporádica y poco coherente.
Observaciones: No existe evidencia de un plan de capacitación formalmente definido y
especificado para instruir en temas de ética y seguridad informática a la totalidad del personal
del Banco. No se encontró una planificación del uso del Centro de Capacitación del
Organismo para formar masivamente a los usuarios del sistema de contabilidad.
23
4.3.7. - Administración de Problemas e Incidentes
Objetivo de control: Se debe implementar un sistema de administración de problemas que
registre y dé respuesta a todos los incidentes.
Este objetivo de control afecta los siguientes requerimientos de la información necesaria para
cumplir las misiones del organismo, primariamente:
•
la eficacia
•
la eficiencia
y en forma secundaria:
•
la disponibilidad
Nivel de riesgo:
[X] Alto
[ ] Medio
[ ] Bajo
Nivel de madurez: Proceso Definido. La necesidad de un sistema eficaz de administración
de problemas es aceptada y evidenciada por los presupuestos para dotación de personal,
capacitación y soporte de los equipos de respuesta. Los procesos de solución de problemas,
escalamiento y resolución son estandarizados, aunque no sofisticados. Sin embargo, los
usuarios recibieron comunicaciones claras sobre dónde y cómo informar problemas e
incidentes. El registro y seguimiento de los problemas y su resolución está fragmentado
dentro del equipo de respuesta, que utiliza las herramientas disponibles sin centralización ni
análisis. Las desviaciones de las normas o los estándares establecidos probablemente pasen
inadvertidas.
Observaciones: Los usuarios reciben comunicaciones sobre dónde informar problemas e
incidentes; sin embargo, algunas de las indicaciones que se dan en la intranet, no están
actualizadas.
4.3.8. - Administración de Datos
Objetivo de control: La máxima autoridad debe establecer y mantener una combinación
eficaz de controles generales y de aplicación sobre las operaciones de Tecnología de la
Información para asegurar que los datos permanezcan durante su entrada, actualización y
almacenamiento completos, precisos y válidos.
Este objetivo de control afecta los siguientes requerimientos de la información necesaria para
cumplir las misiones del organismo, primariamente:
24
•
la integridad
•
la confiabilidad
Nivel de riesgo:
[X] Alto
[ ] Medio
[ ] Bajo
Nivel de madurez: Repetible aunque Intuitivo. En todo el organismo prevalece el
reconocimiento de la necesidad de la exactitud de los datos y del mantenimiento de su
integridad. Se comienza a asignar responsabilidad sobre los datos, pero al nivel de los
departamentos o grupos. Las reglas y los requerimientos son documentados por personas
clave y no son uniformes en todo el organismo y todas las plataformas.
Observaciones: Al no existir un diccionario de datos general de la institución no se puede
garantizar que exista integridad entre los datos de las aplicaciones que alimentan la
contabilidad automática.
4.3.9. - Administración de Instalaciones
Objetivo de control: Se deben instalar controles ambientales y físicos adecuados cuya
revisión se efectúe periódicamente a fin de determinar su correcto funcionamiento.
Este objetivo de control afecta los siguientes requerimientos de la información necesaria para
cumplir las misiones del organismo, primariamente:
•
la integridad
•
la disponibilidad
Nivel de riesgo:
[X] Alto
[ ] Medio
[ ] Bajo
Nivel de madurez: Inicial. El organismo reconoce la necesidad de brindar un entorno físico
adecuado que proteja los recursos y el personal contra los peligros generados por la
naturaleza y el hombre. No existen procedimientos estándar, y la administración de las
instalaciones y los equipos dependen de la idoneidad y capacidad de ciertas personas clave.
No se controlan las actividades de proveedores habituales en las instalaciones y la gente se
desplaza sin restricciones. La dirección no monitorea habitualmente los controles ambientales
de las instalaciones ni el movimiento del personal.
Observaciones: No se encuentran definidas las políticas de acceso físico al área restringida
central. No existe una planilla o tarjeta que indique el ingreso o egreso de los empleados del
área o de otras del organismo. Los niveles de iluminación no cumplen con la legislación
25
vigente. No hay una política documentada en materia de Seguridad y Salud Ocupacional. No
se pudo acceder a los antecedentes y documentación de obra de la construcción del centro de
cómputos, ni a las normas que se tuvieron en cuenta desde el punto de vista de riesgo de
incendio. No se observaron evaluaciones y estudios en el sistema de ventilación cuando se
efectúa ingreso o cambio de equipos. En la evidencia suministrada no se encontró el plan de
mantenimiento preventivo, predictivo y correctivo de equipos de aire acondicionado. No se
obtuvo la planilla de control periódico de extintores. No se encontró la memoria de cálculo de
hidrantes. No existen luces de emergencia autónomas. El Plan de Evacuación del área de
sistemas se encuentra en proceso de estudio. No están ubicadas las tapas de protección en las
aberturas correspondientes al falso piso, se encontró que existen algunas piezas mal
colocadas que pueden producir accidentes. No se encontró un Procedimiento formalizado de
limpieza del centro de cómputos. Los cables de interconexión a los equipos que se encuentran
debajo de los escritorios y los que entran a la parte posterior de los bastidores para
equipamiento no están protegidos. Se encontraron puertas de bastidores abiertas. Se observan
tomacorrientes en bases de madera, y cables sueltos. Los cables de las instalaciones eléctricas
no están correctamente canalizados. En la puerta principal del centro de cómputos no se han
instalado controles eléctricos de emergencia que permitan el corte de la energía en caso de ser
necesario. Se encontraron resmas de papel incorrectamente almacenadas y sueltas en el piso.
La situación enunciada no garantiza la continuidad del centro de cómputos y del
procesamiento informático operativo y contable.
4.3.10. - Administración de Operaciones
Objetivo de control: Se debe establecer para el logro de todas las actividades un cronograma
de actividades de soporte que se registre y apruebe.
Este objetivo de control afecta los siguientes requerimientos de la información necesaria para
cumplir las misiones del organismo, primariamente:
•
la eficacia
•
la eficiencia
y en forma secundaria:
•
la integridad
26
•
la disponibilidad
Nivel de riesgo:
[X] Alto
[ ] Medio
[ ] Bajo
Nivel de madurez: Proceso Definido. La necesidad de administrar las operaciones de
sistemas es comprendida y aceptada dentro del organismo. Se asignaron recursos y se brinda
entrenamiento en el puesto de trabajo. Las funciones repetibles están formalmente definidas,
estandarizadas, documentadas y comunicadas al personal de operaciones y del cliente. Los
eventos y resultados de las tareas completas se registran, pero los informes a la dirección son
limitados o nulos. El uso de programación automatizada y otras herramientas se extiende y
estandariza para limitar la intervención del operador. También son identificadas otras
actividades regulares de soporte de Tecnología de la Información, y las tareas relacionadas
están siendo definidas. Se ejercen controles estrictos para poner en operación los puestos
nuevos y se aplica una política formal para reducir la cantidad de eventos no programados.
Los acuerdos de mantenimiento y servicio con proveedores todavía son informales.
Observaciones: No existen normas formales de desempeño ni acuerdos de nivel de servicio
del usuario ni se encontraron procedimientos formales de mantenimiento de equipos.
No existe un plan de capacitación permanente para mantener sus competencias.
4.4. - Monitoreo
4.4.1. - Monitoreo de los procesos de Tecnología de la Información
Objetivo de control: La máxima autoridad debe impulsar la definición de indicadores del
desempeño relevantes, el informe sistemático y oportuno del desempeño y la acción
inmediata en caso de desviaciones
Este objetivo de control afecta los siguientes requerimientos de la información necesaria para
cumplir las misiones del organismo, primariamente:
•
la eficacia
y en forma secundaria:
•
la eficiencia
•
la confidencialidad
•
la integridad
•
la disponibilidad
27
•
el cumplimiento
•
la confiabilidad
Nivel de riesgo:
[X] Alto
[ ] Medio
[ ] Bajo
Nivel de madurez: Repetible aunque Intuitivo. Se identificaron mediciones básicas que
deben monitorearse. Se definieron métodos y técnicas de recopilación y evaluación, pero los
procesos no se adoptaron en todo el organismo. Se crean funciones de planificación y
administración para evaluar los procesos de monitoreo, pero las decisiones se toman sobre la
base de la pericia de personas clave. Se eligen e implementan herramientas limitadas para
recopilar información, pero probablemente no se usen en toda su capacidad debido a una
perdida de conocimiento sobre su funcionalidad. La función de servicios de información se
administra como un centro de costos, sin evaluar su contribución a las áreas sustantivas del
organismo.
Observaciones: No se monitorean los recursos de la función “servicios de información”. Los
recursos son inadecuados debido a la lentitud en la contratación e instalación de hardware y
software. Se monitorea con las herramientas disponibles el uso de los equipos mainframe,
pero no el de los servidores de menor porte en las sucursales.
No se utilizan indicadores clave para medir el desempeño de la función “servicios de
información”. No se han recibido informes internos referentes a la utilización de los recursos
de la función “servicios de información” (personal, instalaciones, sistemas de aplicación,
tecnología y datos).
No existe un tablero de comando interno, ni un plan formal de mejora del desempeño con
políticas y procedimientos documentados, ni el análisis formal de satisfacción del usuario.
4.5. - Contabilidad Automática
4.5.1. - Correcciones Manuales de la Contabilidad
Objetivo de control: Se debe establecer un procedimiento formal para el ingreso de
correcciones manuales por parte del usuario.
Este objetivo de control afecta los siguientes requerimientos, primariamente:
•
la eficacia
•
la eficiencia
28
y en forma secundaria:
•
la integridad
•
el cumplimiento
•
la confiabilidad
Nivel de riesgo:
[ ] Alto
[X] Medio
[ ] Bajo
Nivel de madurez: Repetible aunque Intuitivo. Se toman enfoques similares con respecto a
los procedimientos y la documentación de respaldo, pero no están basados en un lineamiento
o marco estructurado. Los procedimientos operativos y del usuario están documentados pero
se carece de un abordaje uniforme y, por lo tanto, su exactitud y disponibilidad dependen en
gran medida de las personas, y no de un proceso formal.
Observaciones: No existe el procedimiento formal a seguir para el ingreso de correcciones
manuales en la contabilidad. No está automatizado el proceso de inhibición o bloqueo de las
cuentas contables de las sucursales para evitar la existencia de cuentas desprotegidas en
forma innecesaria.
4.5.2. - Modificaciones al Sistema
Objetivo de control: Se debe establecer un procedimiento formal para la puesta en marcha
de las modificaciones de los aplicativos y su sincronización con las tablas de cuentas
contables y de control.
Este objetivo de control afecta los siguientes requerimientos, primariamente:
•
la eficacia
•
la eficiencia
y en forma secundaria:
•
la integridad
•
el cumplimiento
•
la confiabilidad
Nivel de riesgo:
[ ] Alto
[X] Medio
[ ] Bajo
Nivel de madurez: Repetible aunque Intuitivo. Se toman enfoques similares con respecto a
los procedimientos pero no están basados en un lineamiento o marco estructurado. Los
29
procedimientos carecen de un abordaje uniforme y, por lo tanto, su exactitud y disponibilidad
dependen en gran medida de las personas y no de un proceso formal.
Observaciones: No existe el procedimiento formal para sincronizar la puesta en marcha de
las nuevas versiones de los aplicativos con las modificaciones correspondientes en las tablas
de cuentas contables y de control. Esos procedimientos evitarían rechazos por falta de la
partida correspondiente.
5. Comunicación del proyecto de informe y análisis de los descargos formulados por el
Banco de la Nación Argentina
El proyecto de informe de auditoría fue enviado al organismo auditado para que formule las
observaciones y/o comentarios que estime pertinentes, con fecha 20 de diciembre de 2007,
por Nota AGN N° 287/07-05. Los mismos fueron remitidos por el Banco de la Nación
Argentina, con fecha 5 de marzo de 2008 a través de Nota sin número.
Como consecuencia del análisis del descargo presentado por el organismo auditado (que
consta como Anexo IV), se ratifican las observaciones oportunamente formuladas.
6. - Recomendaciones
6.1. - Planificación y Organización de la Tecnología de la Información
6.1.1. - Definición de un Plan Estratégico de Tecnología de la Información
La alta gerencia debe implementar planes a corto y largo plazo compatibles con la misión y
las metas de la organización. En este aspecto, debe garantizar que:
- La Tecnología de la Información forme parte del plan de la organización a corto y largo
plazo.
- Se elabore un Plan de Tecnología de la Información a largo plazo.
- Se actualice el enfoque y la estructura de la planificación de Tecnología de la Información a
largo plazo.
- Se realicen los cambios del plan de Tecnología de la Información a largo plazo.
- Se elabore la planificación a corto plazo de la función de servicios de información.
- Se comuniquen los planes de Tecnología de la Información.
30
- Se controlen y evalúen los planes de Tecnología de la Información.
- Se evalúen los sistemas existentes.
6.1.2. - Definición de la Arquitectura de la Información
La máxima autoridad debe impulsar la creación y el mantenimiento de un modelo que
contemple lo siguiente:
- Un modelo de arquitectura de la información.
- El diccionario de datos del organismo y reglas de sintaxis de los datos.
- Un esquema de clasificación de los datos.
- Los niveles de seguridad.
6.1.3. - Determinación de la Dirección Tecnológica
Se debe crear y actualizar periódicamente un plan de infraestructura tecnológica. Dicho plan
debe comprender aspectos tales como la arquitectura de los sistemas, la dirección tecnológica
y las estrategias de información.
6.1.4. - Administración de los Recursos Humanos
El organismo debe contar con una fuerza laboral con las habilidades necesarias para lograr
sus metas. La máxima autoridad y la alta gerencia deben garantizar que se realicen:
- La selección y promoción del personal.
- La formación y experiencia del personal.
- La definición de roles y responsabilidades.
- La capacitación del personal.
- La capacitación cruzada o personal de reemplazo.
- Los procedimientos de verificación de antecedentes del personal.
- La evaluación del desempeño laboral.
- El cambio de puestos y la seguridad en la extinción de la relación laboral.
6.1.5. - Evaluación de Riesgos
Se debe establecer un marco de evaluación sistemática de riesgos. Dicho marco debe
incorporar una evaluación periódica de los riesgos de información relacionados con la
consecución de los objetivos del organismo, que constituya una base para determinar cómo
31
deben administrarse los riegos a un nivel aceptable. La alta gerencia debe garantizar que se
realice:
- Una evaluación de riesgos de la actividad.
- La identificación de riesgos.
- La medición de riesgos.
- Un plan de acción de reducción de riesgos.
- La aceptación de riesgos.
6.1.6. - Administración de Proyectos
Se debe establecer un marco de administración de proyectos que contemple, como mínimo,
asignación de responsabilidades, división de tareas, presupuestación del tiempo y los
recursos, plazos, puntos de verificación y aprobaciones. La alta gerencia debe garantizar que:
- Se aplique un marco de administración de proyectos.
- Se contemple la participación del departamento de usuarios en el inicio del proyecto.
- Se asignen miembros y responsabilidades del equipo del proyecto.
- Exista una definición del proyecto.
- Se aprueben las fases del proyecto.
- Exista un plan maestro del proyecto.
- Se defina un plan de garantía de calidad del sistema.
- Se implemente la administración formal de riesgos del proyecto.
- Se elabore un plan de pruebas.
- Se elabore un plan de capacitación.
- Se desarrolle un plan de revisión posterior a la implementación.
6.1.7. - Administración de la Calidad
Debe desarrollarse y mantenerse periódicamente un plan general de calidad basado en los
planes del organismo y de tecnología de información a largo plazo. La alta gerencia debe
garantizar que existan y se utilicen adecuadamente:
- Un plan general de calidad.
- Un enfoque de garantía de calidad.
- Una planificación de garantía de calidad.
32
- La revisión de la observación de las normas y procedimientos de la función de servicios de
información.
- Una metodología del ciclo de vida del desarrollo de sistemas.
- Una metodología del ciclo de vida del desarrollo de sistemas para la introducción de
cambios importantes en la tecnología existente.
- La actualización de la metodología del ciclo de vida del desarrollo de sistemas.
- La coordinación y comunicación entre los usuarios y el personal de Tecnología de la
Información.
- Un marco de adquisición y mantenimiento de la infraestructura tecnológica.
- Un marco para las relaciones con terceros a cargo de la implementación.
- La observación de las normas de documentación de programas, verificando que:
•
Se cumplan las normas de prueba de programas.
•
Se cumplan las normas de prueba de sistemas.
•
Se utilicen pruebas en paralelo/piloto.
- La documentación de pruebas de sistemas.
6.2. - Adquisición e Implementación de Soluciones de Tecnología de la Información (TI)
6.2.1. - Adquisición y Mantenimiento del Software de Aplicación
La metodología del ciclo de vida de sistemas debe:
⋅
Exigir que se especifiquen los requerimientos funcionales y operativos de las
soluciones, incluidos el rendimiento, la seguridad, confiabilidad, compatibilidad y
legislación.
⋅
Contemplar un plan de estrategias de adquisición de software y de evaluación de
requerimientos y especificaciones para la contratación de terceros proveedores de
servicios.
Se deben garantizar la eficacia y la aplicación de los procedimientos y prácticas establecidas
para siguientes tareas y/o actividades de TI:
- Definición de los requerimientos de información.
- Formulación de cursos alternativos de acción.
- Formulación de la estrategia de adquisición.
33
- Requisitos de servicios prestados por terceros.
- Estudio de factibilidad tecnológica.
- Estudio de factibilidad económica.
- Arquitectura de la información.
- Informe de análisis de riesgos.
- Diseño de pistas de auditoría.
- Ergonomía.
- Selección del software de sistemas.
- Control de compras.
- Adquisición de productos de software.
- Mantenimiento del software de terceros.
- Programación contratada de aplicaciones.
- Aceptación de las instalaciones.
- Aceptación de la tecnología.
6.2.2. - Adquisición y Mantenimiento de la Infraestructura Tecnológica
Se debe garantizar la eficacia de los procedimientos y prácticas establecidas para las
siguientes tareas y/o actividades de TI:
- Evaluación del hardware y el software nuevos.
- Mantenimiento preventivo del hardware.
- Atención de la seguridad del software del sistema.
- Instalación del software del sistema.
- Mantenimiento del software del sistema.
- Realizar los controles de cambios del software del sistema.
6.2.3. - Desarrollo y Mantenimiento de Procedimientos
Se debe garantizar la eficacia de los procedimientos y prácticas establecidas para las
siguientes tareas y/o actividades de TI:
- Requerimientos operativos y niveles de servicio.
- Manuales de procedimientos del usuario.
- Manual de operaciones.
34
- Materiales de capacitación.
6.2.4. - Instalación y Acreditación de Sistemas de Aplicación
Se debe aplicar para todos los proyectos el plan para la implementación o modificación de los
sistemas de aplicación y evaluar el cumplimiento de los procedimientos y prácticas
establecidas para las siguientes tareas y/o actividades de TI:
- Capacitación de los usuarios y personal de servicios de información.
- Dimensionamiento del desempeño del software de aplicación.
- Plan de implementación.
- Conversión de sistemas de aplicación.
- Conversión de datos.
- Estrategia y planes de prueba.
- Prueba de cambios.
- Criterios de ejecución de pruebas paralelas/piloto.
- Prueba de aceptación final.
- Pruebas de acreditación de seguridad.
- Prueba de funcionamiento.
- Transición a producción.
- Evaluación del cumplimiento de los requerimientos del usuario.
- Revisión de la gerencia posterior a la implementación.
6.2.5. - Administración de Cambios
Aplicar los procedimientos específicos para tratar los pedidos de cambios, mantenimiento de
sistemas y mantenimiento del proveedor. Monitorear su aplicación para las siguientes tareas
y/o actividades de TI:
- Inicio y control de solicitudes de cambio.
- Evaluación del impacto.
- Control de cambios.
- Realización de los cambios de emergencia.
- Desarrollo de documentación y procedimientos.
- Mantenimiento autorizado.
35
- Aplicación de políticas de versiones de software.
- Distribución de software.
6.3. - Entrega de Prestaciones y Soporte de la Tecnología de la Información
6.3.1. - Definición y Administración de los Niveles de Servicio
La máxima autoridad debe definir un marco en el cual promueva el establecimiento de
acuerdos de niveles de servicio que establezcan métricas y formalicen los criterios de
desempeño en virtud de los cuales se medirá la cantidad y calidad de los servicios.
Garantizar la eficacia de las políticas y prácticas establecidas para las siguientes tareas y/o
actividades de TI:
- Establecer marco de acuerdos de nivel de servicio.
- Procedimientos de ejecución.
- Monitoreo e informes.
- Revisión de los contratos y acuerdos de nivel de servicio.
- Establecer un programa de mejora del servicio.
6.3.2. - Administración de la Capacidad y el Desempeño
Si bien se llevan estadísticas y se realizan correcciones de algunos servicios, la máxima
autoridad debe implementar un proceso de administración orientado a la recopilación de
datos, el análisis y los informes sobre el desempeño de todos los recursos de Tecnología de la
Información, la dimensión de los sistemas de aplicación y la demanda de cargas de trabajo.
La máxima autoridad y la alta gerencia deben garantizar la eficacia de las políticas y prácticas
establecidas para las siguientes tareas y/o actividades de Tecnología de la Información:
- Identificación de requerimientos de disponibilidad y desempeño.
- Establecer un plan de disponibilidad.
- Monitoreo e informes del desempeño de los recursos de tecnología de la información.
- Utilización de herramientas para la creación de modelos.
- Administración proactiva del desempeño.
- Pronóstico de la carga de trabajo.
- Administración de la capacidad de los recursos.
- Establecer la disponibilidad de recursos.
36
- Planificación de recursos.
6.3.3. - Garantía de un Servicio Continuo
Se tiene implementado un plan de continuidad del servicio, probado y operativo, que
concuerda con el plan general del organismo y sus requerimientos de actividad relacionados.
La máxima autoridad debe crear un marco de continuidad que defina los roles, las
responsabilidades, el enfoque y las normas y estructuras para documentar un plan de
contingencia que garantice el servicio continuo. Se debe garantizar la eficacia de las políticas
y prácticas establecidas para las siguientes tareas y/o actividades de TI:
- Un marco de continuidad de TI.
- Definir estrategias y filosofía del plan de continuidad de TI.
- Establecer contenido del plan de continuidad de TI.
- Reducir los requerimientos de continuidad de TI.
- Mantener el plan de continuidad de TI.
- Realizar la prueba del plan de continuidad de TI.
- Capacitación en el plan de continuidad de TI.
- Distribución del plan de continuidad de TI.
- Resguardar el procesamiento alternativo del usuario.
- Identificar recursos críticos de TI.
- Definir el sitio y equipamiento alternativos.
- Implementar un almacenamiento de resguardo en sitio alternativo.
- Reevaluar el plan periódicamente.
6.3.4. - Garantía de la Seguridad de los Sistemas
La máxima autoridad establece y mantiene un programa de seguridad de la información para
implementar los controles de acceso lógico que garantizan que el acceso a los sistemas, datos
y programas esté limitado a usuarios autorizados.
Se debe garantizar la eficacia de las políticas y prácticas establecidas para las siguientes
tareas y/o actividades de TI:
- Administración de las medidas de seguridad.
- Identificación, autenticación y acceso.
37
- Seguridad del acceso en línea a los datos.
- Administración de cuentas de usuarios.
- Revisión de la gerencia de cuentas de usuarios.
- Control ejercido por el usuario en sus propias cuentas.
- Supervisión de la seguridad.
- Clasificación de los datos.
- Administración centralizada de identificaciones y derechos de acceso.
- Informes de violación y actividades de seguridad.
- Manejo de incidentes.
- Reacreditación.
- Regular la confianza en la contraparte.
- Autorización de transacciones.
- Establecimiento de la imposibilidad de rechazo.
- Definición de una ruta de acceso confiable.
- Protección de las funciones de seguridad.
- Administración de claves criptográficas.
- Prevención, detección y corrección de software malicioso.
- Establecer arquitectura de firewalls y conexiones con redes públicas.
- Proteger el valor electrónico.
6.3.5. - Identificación e Implementación de Costos
La máxima autoridad y la alta gerencia deben garantizar la eficacia de las políticas y prácticas
establecidas para las siguientes tareas y/o actividades de TI:
- Identificar ítems imputables.
- Definir procedimientos de determinación de costos.
- Utilizar procedimientos de cargos e imputación de costos al usuario.
6.3.6. - Educación y Capacitación de los Usuarios
Se debe establecer y mantener un plan integral de capacitación y desarrollo alineado con la
dirección tecnológica adoptada por el banco.
38
La máxima autoridad debe garantizar la eficacia de las políticas y practicas establecidas para
las siguientes tareas y/o actividades de TI:
- Identificación de necesidades de capacitación.
- Organización de sesiones de capacitación.
- Capacitación y concientización en los principios de seguridad.
6.3.7. - Administración de Problemas e Incidentes
El sistema de administración de incidentes los registra y les da respuesta, pero está muy
fragmentado por tipo de problema. Deben actualizarse en forma oportuna los datos que
figuran en la intranet para que los usuarios se comuniquen. El funcionario principal de
Servicios de Información debe garantizar la eficacia de las políticas y prácticas establecidas
para las siguientes tareas y/o actividades de TI:
- Sistema de administración de problemas.
- Escalamiento de problemas.
- Seguimiento de problemas y pistas de auditoría.
- Autorizaciones de emergencia y acceso temporario.
- Establecer las prioridades de procesamiento de emergencia.
6.3.8. - Administración de Datos
Debe implementarse un diccionario de datos único y general para toda la institución. La alta
gerencia, los responsables de programas y actividades y el funcionario principal de Servicios
de Información deben garantizar la eficacia de los procedimientos y prácticas establecidas
para las siguientes tareas y/o actividades de TI:
- Preparación de datos.
- Autorización de documentos fuente.
- Recopilación de datos de documentos fuente.
- Manejo de errores de documentos fuente.
- Conservación de documentos fuente.
- Autorización de entrada de datos.
- Verificación de exactitud, integridad y autorización.
- Manejo de errores de entrada de datos.
39
- Asegurar la integridad del procesamiento de datos.
- Validación y edición del procesamiento de datos.
- Manejo de errores del procesamiento de datos.
- Manejo y conservación de salidas.
- Distribución de salidas de datos.
- Balanceo y conciliación de salidas de datos.
- Revisión y manejo de errores de salidas de datos.
- Seguridad de los informes de salida.
- Protección de información crítica durante la transmisión y el transporte.
- Protección de información crítica eliminada.
- Administración del almacenamiento.
- Establecer períodos de conservación y condiciones de almacenamiento.
- Establecer un sistema de administración de biblioteca de medios.
- Definir las responsabilidades de administración de la biblioteca de medios.
- Resguardo y restauración.
- Tareas de resguardo.
- Almacenamiento de resguardos.
- Administración de archivos.
- Protección de mensajes críticos.
- Autenticación e integridad.
6.3.9. - Administración de Instalaciones
El funcionario principal de la función de servicios de información debe garantizar la eficacia
de las políticas y prácticas establecidas para las siguientes tareas y/o actividades de TI:
- Proporcionar seguridad física.
- Asegurar la discreción del sitio de TI.
- Acompañamiento de visitas.
- Salud y seguridad del personal.
- Protección contra factores ambientales.
6.3.10. - Administración de Operaciones
40
El funcionario principal de la función de servicios de información debe garantizar la eficacia
de las políticas y prácticas establecidas para las siguientes tareas y/o actividades de
Tecnología de la Información:
- Desarrollo de manuales de instrucciones y procedimientos de las operaciones de
procesamiento.
- Documentación del proceso de puesta en marcha y otras operaciones.
- Fijación de programas de trabajo.
- Control de las desviaciones de los programas estándar de trabajo.
- Asegurar la continuidad del procesamiento.
- Registro de operaciones.
- Salvaguardia de formularios especiales y dispositivos de salida.
- Operaciones remotas.
6.4.1. - Monitoreo de los Procesos de Tecnología de la Información
La alta gerencia es responsable de garantizar:
- La recopilación de datos de monitoreo.
- La evaluación continua del desempeño.
- La evaluación de la satisfacción del usuario.
- Elaboran informes de gestión.
6.5. - Contabilidad Automática
6.5.1. - Correcciones Manuales de la Contabilidad
Se debe definir un procedimiento formal para el ingreso de correcciones manuales en la
contabilidad. Automatizar la inhibición, o bloqueo, de las cuentas contables de las sucursales
para garantizar que no haya cuentas accesibles cuando sea innecesario incorporar
correcciones manuales.
6.5.2. - Modificaciones al Sistema
Definir un procedimiento formal para la puesta en marcha de las nuevas versiones de los
aplicativos relativos a la operatoria del Banco que garantice que los cambios de versión están
sincronizados con las modificaciones correspondientes en las tablas de cuentas contables y de
control.
41
7. - Conclusiones
En líneas generales se encuentra en la organización un compromiso con la solución de los
problemas vinculados a la tecnología informática. Se destaca la existencia de normas, sobre
todo las referidas a las exigencias del BCRA. Pese a ello, la falta de un control de calidad
estricto ocasiona, tal como se deduce de este informe, que muchas veces esas normas no sean
debidamente utilizadas.
El análisis de los siete requerimientos (eficacia, eficiencia, confidencialidad, integridad,
disponibilidad, cumplimiento y confiabilidad) que debería satisfacer la información provista
por el área de Tecnología de la Información revela (ver Anexo III) que el riesgo promedio se
encuentra en el 42%. Cabe destacar que no se incluyeron los objetivos de control sin impacto
directo en la Contabilidad y que no generan riesgos considerables.
El Modelo Genérico de Madurez∗ aplicado en esta auditoría y los niveles detectados,
representados gráficamente en el Anexo I, indican que la gestión de la tecnología informática
en el Banco de la Nación Argentina se encuentra, salvo algunas excepciones, entre “Repetible
aunque Intuitivo” y “Proceso Definido”, uno de los niveles de madurez más altos encontrados
hasta la fecha en la Administración Pública Nacional.
Para optimizar el gerenciamiento, se debe mejorar la evaluación de los riesgos informáticos,
la administración de las instalaciones y la aplicación de las normas de seguridad, y dar
prioridad a la Política de Calidad y el Plan de Calidad del Banco, en general, y de la Gerencia
de Organización y Sistemas, en particular, de manera de garantizar un cumplimiento estricto
de los procedimientos y normas definidos.
El Sistema de Contabilidad Automática y su comunicación con las Sucursales presenta un
esquema lógico de trabajo que permite corregir los errores propios de los sistemas de
comunicaciones y registrar la totalidad de las operaciones automatizadas. Sin embargo, resta
mejorar aspectos relativos a la administración de sus cambios y a la definición formal de los
procedimientos de cancelación de diferencias.
∗
Ver Modelo Genérico de Madurez en página 7.
42
8. - LUGAR Y FECHA
BUENOS AIRES, ABRIL DE 2008
9. - FIRMA
43
ANEXO I
GRÁFICOS DE BRECHA PARA LOS NIVELES DE MADUREZ DE LOS
OBJETIVOS DE CONTROL CONSIDERADOS
44
45
46
47
ANEXO II
ESTIMACIÓN DE LOS NIVELES DE RIESGO PARA LOS REQUERIMIENTOS DE
LA INFORMACIÓN SEGÚN LOS PROCESOS INFORMÁTICOS CONSIDERADOS
Los veloces cambios que caracterizan a la tecnología informática obligan a optimizar la
gestión de los riesgos inherentes. Las misiones y funciones críticas de los organismos
dependen en forma creciente de los sistemas de tecnología de la información, un ambiente
donde también aumentan las noticias sobre fraudes y desastres informáticos. En la actualidad
se entiende que la gestión de riesgos relacionados con la tecnología de la información es un
elemento esencial de la administración del Estado Nacional.
En esta auditoría se trabajó sobre 25 objetivos de control, cada uno de los cuales se
corresponde con un proceso de tecnología informática.
Cada proceso hace a uno o más de los siguientes requerimientos que debe satisfacer la
información dentro de un organismo para permitirle cumplir con sus misiones y funciones:
•
Eficacia: Que la información sea relevante y pertinente para la misión del ente, así
como a que su entrega sea oportuna, correcta, consistente y utilizable.
•
Eficiencia: La provisión de información a través de la utilización óptima (más
productiva y económica) de recursos.
•
Confidencialidad: La protección de información sensible contra divulgación no
autorizada.
•
Integridad: La precisión y suficiencia de la información, así como a su validez de
acuerdo con los valores y expectativas del organismo.
•
Disponibilidad: La disponibilidad de la información cuando ésta es requerida para
cumplir con las misiones del organismo, ahora y en el futuro. También se refiere a la
salvaguarda de los recursos necesarios y capacidades asociadas.
•
Cumplimiento:
Cumplimiento
de
aquellas
leyes,
regulaciones
y
acuerdos
contractuales a los que el organismo está sujeto.
•
Confiabilidad: La provisión de información apropiada a la administración para operar
la entidad y para ejercer sus responsabilidades de reportes financieros y de
cumplimiento.
48
En los 25 casos se indica dentro de las observaciones qué requerimientos son afectados en
forma primaria y secundaria por el objetivo de control (ver Tabla I).
El objeto de este Anexo es brindar parámetros cuantificables que permitan establecer un
Tablero de Control para conocer los problemas con mayor riesgo y al mismo tiempo controlar
las mejoras futuras en forma explícita.
Se entiende como riesgo de un requerimiento a un valor que simboliza la probabilidad de que
la información carezca del mencionado requisito. Este valor fluctúa entre 0 y 1 (0 representa
la situación más segura y 1, la más insegura).
El proceso de cálculo parte de la base de que el riesgo es directamente proporcional al
impacto (definido como el peligro de incumplimiento de las misiones y funciones del
organismo, para los procesos involucrados en el objetivo de control), y a la probabilidad de
ocurrencia del evento.
Para cada uno de los procesos se definió el impacto como alto (99%), medio (66%) o bajo
(33%).
La probabilidad de ocurrencia está directamente vinculada a la calidad del control que se
realiza, y este es evaluado en el informe a través del nivel alcanzado según el modelo de
madurez. A cada nivel se le asignó un coeficiente según el siguiente detalle:
Nivel de Madurez
No conforma
Inicial
Repetible
Proceso Definido
Administrado
Optimizado
Coeficiente
1,00
0,80
0,50
0,30
0,20
0,10
49
Tabla I
Entrega y Soporte de Servicios
Adquisición e
Implementación
Planeamiento y
Organización
Moni
toreo
Contabilidad
4.1.1
4.1.2
4.1.3
4.1.4
4.1.5
4.1.6
4.1.7
P
P
P
P
S
P
P
S
S
S
P
S
P
P
4.2.1 Adquirir y mantener software de aplicación
P
P
S
4.2.2 Adquirir y mantener la arquitectura tecnológica
P
P
S
4.2.3 Desarrollar y mantener procedimientos
P
P
S
4.2.4 Instalar y acreditar sistemas de información
P
4.2.5 Administrar cambios
P
P
4.3.1 Definir niveles de servicio
P
P
4.3.2 Administrar desempeño y capacidad
P
P
S
4.3.3 Asegurar continuidad de servicio
P
S
P
4.3.4 Garantizar la seguridad de sistemas
S
S
P
P
S
P
S
P
4.3.5 Identificar y asignar costos
P
S
P
P
S
S
S
S
S
S
S
S
S
S
S
S
P
4.3.6 Educar y capacitar a usuarios
P
S
4.3.7 Administrar problemas e incidentes
P
P
P
S
4.3.8 Administrar la información
P
4.3.9 Administrar las instalaciones
P
P
S
S
S
S
S
P
P
4.3.10 Administrar la operación
P
P
4.4.1 Monitorear el proceso
4.5.1 Correcciones manuales de contabilidad
P
P
S
P
4.5.2 Modificaciones al sistema
P
P
S
S
S
P
confiabilidad
cumplimiento
disponibilidad
integridad
confidencialidad
eficiencia
Proceso
Definir un plan estratégico de sistemas
Definir la arquitectura de la información
Determinar la dirección tecnológica
Administrar los recursos humanos
Evaluar riesgos
Administrar proyectos
Administrar calidad
eficacia
Dominio
Requerimiento de la
información
S
P
S
S
S
50
ANEXO III
GRÁFICOS DE LOS NIVELES DE RIESGO DE CADA UNO DE LOS
REQUERIMIENTOS DE LA INFORMACIÓN PARA LOS 25 OBJETIVOS DE
CONTROL CONSIDERADOS Y SU PROMEDIO GENERAL
51
52
53
54
55
56
57
58
59
ANEXO IV
ANÁLISIS DE LA VISTA ENVIADA AL ORGANISMO
Observaciones al punto 4.1.1 - Definición de un Plan Estratégico de Tecnología
Informática
Objetivo de control: La máxima autoridad debe impulsar el proceso periódico de
planificación estratégica que permita formular los planes a largo plazo, los que, a su vez,
deben traducirse oportunamente en planes operativos que definan metas claras y concretas a
corto plazo.
Este objetivo de control afecta los siguientes requerimientos de la información necesaria para
cumplir las misiones del organismo, primariamente:
•
la eficacia
y en forma secundaria:
•
la eficiencia.
Nivel de riesgo:
[X] Alto
[ ] Medio
[ ] Bajo
Nivel de madurez: Repetible aunque Intuitivo. La planificación estratégica de Tecnología de
la Información es comprendida por la gerencia correspondiente, pero no está documentada.
Está a cargo de la gerencia de Tecnología de la Información, pero solo se la comparte con las
autoridades del organismo en función de la necesidad. La actualización se produce sólo ante
pedidos de la máxima autoridad o cuando se lo cree necesario y no hay un proceso proactivo
para identificar las novedades de Tecnología de la Información y del organismo que
requieren actualizaciones al plan. Las decisiones estratégicas se toman proyecto por proyecto,
sin uniformidad de criterios con la estrategia global de la organización. Los riesgos y
beneficios que las grandes decisiones estratégicas podrían tener para el usuario se reconocen,
pero su definición es intuitiva.
Observaciones: Si bien existe un Plan Estratégico del Área de Sistemas, no existen
procedimientos proactivos para generarlo y actualizarlo. En el plan estratégico del área
informática 2006-2008 no figura el sistema de contabilidad automática, pero sí figura en el
correspondiente al período 2007-2009, como Contabilidad Automática Fase III, con fecha
60
tentativa de finalización en el cuarto trimestre de 2007. Según la información recibida durante
las tareas de campo, el proyecto aún se encontraba en su Etapa Inicial, la cual comprende la
definición del alcance y de grupo de trabajo, y no estaba reprogramado pese a su evidente
retraso.
Recomendación: La alta gerencia debe implementar planes a corto y largo plazo compatibles
con la misión y las metas de la organización. En este aspecto, debe garantizar que:
- La Tecnología de la Información forme parte del plan de la organización a corto y largo
plazo.
- Se elabore un Plan de Tecnología de la Información a largo plazo.
- Se actualice el enfoque y la estructura de la planificación de Tecnología de la Información a
largo plazo.
- Se realicen los cambios del plan de Tecnología de la Información a largo plazo.
- Se elabore la planificación a corto plazo de la función de servicios de información.
- Se comuniquen los planes de Tecnología de la Información.
- Se controlen y evalúen los planes de Tecnología de la Información.
- Se evalúen los sistemas existentes.
Respuesta del organismo: El nivel de madurez descrito no se condice con la realidad del
Banco, particularmente en lo que se refiere a la “uniformidad de criterios” y que “su
definición es intuitiva”.
Con respecto a la observación donde se expresa que el proyecto de Contabilidad Automática
“no estaba reprogramado pese a su evidente retraso”, es de destacar que si bien la
implementación de CB en Plaza de Mayo no estaba planificada para el período 2006-2008 no
debió informarse en el Plan Estratégico porque era una tarea operativa. La implementación no
se reprogramó porque estaba programada para Fase II y recién se estaba terminando de
implementar Fase I.-
Comentario AGN: La respuesta del organismo confirma que no existen procedimientos
formales para la definición de planes estratégicos.
En consecuencia se mantiene la observación.
61
Observaciones al punto 4.1.2 - Definición de la Arquitectura de la Información
Objetivo de control: La información debe mantenerse acorde con las necesidades y debe ser
identificada, recopilada y comunicada en forma y tiempo tales que permita al personal
cumplir sus responsabilidades de manera eficiente y oportuna. La función de servicios de
información debe crear y mantener una arquitectura de la información que incluya el modelo
de los datos del organismo y los sistemas de información relacionados. En este aspecto, la
función de servicios de información debe garantizar:
- Un modelo de arquitectura de la información.
- El diccionario de datos del organismo y reglas de sintaxis de los datos.
- Un esquema de clasificación de los datos.
- Los niveles de seguridad.
Este objetivo de control afecta los siguientes requerimientos de la información necesaria para
cumplir las misiones del organismo, primariamente:
•
la eficacia
y en forma secundaria:
•
la eficiencia
•
la confidencialidad
•
la integridad
Nivel de riesgo:
[X] Alto
[ ] Medio
[ ] Bajo
Nivel de madurez: Repetible aunque Intuitivo. Se tomó conciencia de la importancia que una
arquitectura de la información reviste para el organismo. Surge un proceso y distintas
personas siguen procedimientos similares, aunque informales e intuitivos. No hay una
capacitación formal; el aprendizaje surge de la experiencia directa y la aplicación repetida de
técnicas. Los requerimientos tácticos llevan a desarrollar componentes de la arquitectura de la
información.
Observaciones: Existe conciencia de la importancia de la arquitectura de la información pero
no se ha avanzado en el tema y no existe un modelo unificado al respecto. Hay modelos de
datos por cada aplicación, pero no un diccionario de datos que abarque a toda la institución.
62
La definición de los datos a utilizar en los nuevos proyectos se realiza en base a la
experiencia de los funcionarios.
Recomendación: La máxima autoridad debe impulsar la creación y el mantenimiento de un
modelo que contemple lo siguiente:
- Un modelo de arquitectura de la información.
- El diccionario de datos del organismo y reglas de sintaxis de los datos.
- Un esquema de clasificación de los datos.
- Los niveles de seguridad.
Respuesta del organismo: El nivel de madurez no se considera Repetible aunque Intuitivo
debido a que cualquier diseño o aplicación está normada en el MOI y nadie puede realizar
definiciones sin consenso, por lo que existe administración de datos definidos formalmente.
Comentario AGN: La respuesta del organismo reconoce que no existen ni un modelo de
arquitectura de la información, ni el diccionario de datos del organismo y sus reglas de
sintaxis. El Manual de Organización Interna (MOI) no incluye las políticas y procedimientos
formales de la arquitectura de la información.
En consecuencia se mantiene la observación.
Observaciones al punto 4.1.3. - Determinación de la Dirección Tecnológica
Objetivo de control: La función de servicios de información debe crear y mantener un plan
de infraestructura tecnológica que fije y administre expectativas claras y realistas de lo que la
tecnología puede ofrecer en términos de productos, servicios y mecanismos de entrega.
Este objetivo de control afecta los siguientes requerimientos de la información necesaria para
cumplir las misiones del organismo, primariamente:
•
la eficacia
y en forma secundaria:
•
la eficiencia
Nivel de riesgo:
[X] Alto
[ ] Medio
[ ] Bajo
Nivel de madurez: Repetible aunque Intuitivo. Hay un entendimiento implícito de la
necesidad e importancia de la planificación tecnológica. No obstante, la planificación es
táctica y se concentra en la generación de soluciones técnicas a problemas técnicos, y no en el
63
uso de la tecnología para satisfacer las necesidades de las actividades del organismo. La
evaluación de los cambios tecnológicos se deja librada al criterio de distintas personas que
siguen procesos intuitivos, aunque similares. No hay una actividad formal de capacitación y
comunicación de los roles y responsabilidades. Aparecen técnicas y normas comunes para el
desarrollo de los componentes de la infraestructura.
Observaciones: Se tiene conciencia de la importancia que la planificación de infraestructura
tecnológica reviste para el organismo y se encuentra definida un área para la determinación
de la dirección tecnológica. No existe a la fecha normativa formal para la función. Se toman
decisiones (como la instalación de una sala cofre en el quinto piso del edificio central) sin
contar con la adecuada documentación de los estudios de alternativas y factibilidad. La falta
de un plan tecnológico de largo plazo puede llevar a un nivel de obsolescencia que
comprometa la funcionalidad del sistema contable.
Recomendación: Se debe crear y actualizar periódicamente un plan de infraestructura
tecnológica. Dicho plan debe comprender aspectos tales como la arquitectura de los sistemas,
la dirección tecnológica y las estrategias de información.
Respuesta del organismo: Existen Planes Tecnológicos desde el año 2005.
Ningún plan tecnológico puede sustentarse si no se aseguran las condiciones que brinden las
características necesarias que deben cumplimentarse para los distintos componentes de la
infraestructura tecnológica (ambientales, eléctricas, telecomunicaciones, etc.), constituyendo
los cimientos para cualquier expectativa de productos, servicios y mecanismos de entrega.
La decisión de la construcción de una sala cofre, tiene la finalidad de prevenir la perdida o
daño de los activos informáticos del organismo, garantizando el adecuado ambiente físicoambiental para las actividades de procesamiento. En este sentido, el Banco tiene la urgente
necesidad de dar solución a problemas que comprometen seriamente el poder garantizar la
continuidad operativa a la vez de cumplir con las exigencias normativas vigentes, por lo cual
el proyecto de la sala cofre involucra a la vez el desarrollo de adecuados procedimientos de
instalación y mantenimiento del entorno de procesamiento, teniéndose por finalidad última
poder alcanzar la certificación por parte de un ente ultra nacional.
64
De acuerdo a los niveles de seguridad y redundancia de la infraestructura, la configuración
prevista por el Banco en su proyecto de “Sala Cofre” encuadraría en una calificación entre un
TIER III y TIER IV, con un nivel de redundancia que posibilita el mantenimiento de la
infraestructura sin afectar el servicio. La sala está previsto cumpla, entre otras, con las
siguientes especificaciones:
•
Normas tales como IRAM ISO IEC 17799 (protección contra hurto, incendio, explosivos,
humo, agua, polvo, fallas en el suministro de energía, fallas en el suministro de
comunicaciones, radiaciones electromagnéticas, y vandalismo, atendiendo a límites
máximos de temperatura y humedad para equipamientos electrónicos establecidos en las
normas NFPA 75, EN 1047/2, NBR 15247.
•
EL AMS deberá ser absolutamente estanco al agua exterior debiendo cumplir con la
norma NBR 10897 o equivalente.
•
Se deberá probar la estanqueidad del ambiente luego del montaje según procedimiento
ASTM E779 y/o NFPA 2001 las cuales deberán ser certificadas por organismos
internacionales reconocidos.
•
El suministro eléctrico ingresará al CC por dos vías separadas, cada una con su UPS,
alimentando a tableros independientes. Los equipos tendrán doble alimentación
proveniente de cada uno de esos tableros. El suministro de las compañías también ingresa
por dos vías (ex Italo y ex Segba) y la 3ra es el Grupo Electrógeno.
•
Los cableados de datos y alimentación irán por canalizaciones independientes.
•
Se instalará un sistema de detección de líquidos.
•
Se instalará un sistema de control de accesos.
•
Se instalará un Circuito cerrado de televisión.
•
Se readecuará el actual sistema de detección extinción de incendios.
•
Se instalará un sistema de Detección de Partículas (detección temprana).
•
Se instalará un sistema de Monitoreo y Control de la Infraestructura.
A partir de la visión de la situación vigente, de las proyecciones generadas en el mercado y
sobre la base de los diversos proyectos existentes, el Banco desarrolló un Plan Estratégico
cuyo objetivo es evolucionar hacia una infraestructura de sistemas que permita alcanzar la
65
mejor alineación entre la estrategia de negocio y las operaciones de tecnología, cumpliendo
con los objetivos Comerciales, Operativos/Administrativos y Tecnológicos.
En el mismo y adhiriendo a los estándares de ITIL, se ha hecho foco en el ciclo de vida
completo de los servicios, desde su diseño hasta su operación, auspiciado por una estrategia y
bajo el amparo de una mejora continua, a fin de:
- Establecer la integración de la estrategia de negocio con la estrategia de los servicios de TI.
- Superar la obsolescencia tecnológica.
- Facilitar la implementación y la gestión de servicios para ajustarse a las necesidades de
negocio actuales, que son dinámicas y rápidamente cambiantes.
- Mejorar las mediciones a fin de poder evaluar el valor de los servicios de TI.
Comentario AGN: Durante los trabajos de campo se verificó que el plan de adecuación
tecnológica se implementó como respuesta a la obsolescencia en que habían caído los
equipos, además se pudo constatar que la decisión de instalar una sala cofre, a fin de superar
los problemas existentes en el centro de cómputos, no estuvo respaldada por un análisis
formal y documentado de alternativas ni costos. Estos elementos debieran formar parte de
todo plan de infraestructura tecnológica para evitar llegar a situaciones de compromiso para
la operatividad de la institución.
En consecuencia se mantiene la observación.
Observaciones al punto 4.1.4. - Administración de los Recursos Humanos
Objetivo de control: La máxima autoridad debe implementar prácticas sólidas, justas y
transparentes de administración de personal en cuanto a selección, alineación, verificación de
antecedentes, remuneración, capacitación, evaluación, promoción y despido.
Este objetivo de control afecta los siguientes requerimientos de la información necesaria para
cumplir las misiones del organismo, primariamente:
•
la eficacia
•
la eficiencia
Nivel de riesgo:
[X] Alto
[ ] Medio
[ ] Bajo
Nivel de madurez: Repetible aunque Intuitivo. Hay un entendimiento implícito de la
necesidad de administración de los recursos humanos de Tecnología de la Información. El
66
enfoque táctico de la contratación y administración del personal de Tecnología de la
Información está impulsado por necesidades específicas de proyectos, y no por una dirección
tecnológica y un equilibrio bien entendido entre la disponibilidad interna y externa de
personal capacitado. Se capacita informalmente a los nuevos empleados, que luego son
entrenados según necesidades particulares.
Observaciones: No existe una política formal de reclutamiento y promoción de personal ni
un plan de capacitación formal destinado a satisfacer las necesidades de los recursos humanos
de sistemas a mediano y largo plazo. No se estableció un programa formal de rotación
destinado a expandir las habilidades gerenciales y técnicas.
Recomendación: El organismo debe contar con una fuerza laboral con las habilidades
necesarias para lograr sus metas. La máxima autoridad y la alta gerencia deben garantizar que
se realicen:
- La selección y promoción del personal.
- La formación y experiencia del personal.
- La definición de roles y responsabilidades.
- La capacitación del personal.
- La capacitación cruzada o personal de reemplazo.
- Los procedimientos de verificación de antecedentes del personal.
- La evaluación del desempeño laboral.
- El cambio de puestos y la seguridad en la extinción de la relación laboral.
Respuesta del organismo: Conforme con lo observado.
Comentario AGN: En consecuencia se mantiene la observación.
Observaciones al punto 4.1.5. - Evaluación de Riesgos
Objetivo de control: La máxima autoridad debe definir un proceso por el cual el organismo
identifique los riesgos de Tecnología de la Información y analice su impacto, involucrando
funciones multidisciplinarias y adoptando medidas eficaces en función de costos a fin de
mitigar los riesgos.
Este objetivo de control afecta los siguientes requerimientos de la información necesaria para
cumplir las misiones del organismo, primariamente:
67
•
la confidencialidad
•
la integridad
•
la disponibilidad
y en forma secundaria:
•
la eficacia
•
la eficiencia
•
el cumplimiento
•
la confiabilidad
Nivel de riesgo:
[X] Alto
[ ] Medio
[ ] Bajo
Nivel de madurez: Repetible aunque Intuitivo. Existe algún enfoque a la evaluación de
riesgos, pero el proceso todavía es inmaduro y está en desarrollo. La evaluación es muy
general y se aplica sólo a los grandes proyectos. La evaluación de las operaciones en marcha
depende principalmente de que los gerentes de Tecnología de la Información la planteen
como un tema a tratar, lo cual a menudo sucede sólo cuando se producen problemas. La
gerencia de Tecnología de la Información no ha definido procedimientos o descripciones de
puestos en el tema de la administración de riesgos.
Observaciones: No existe una política de administración de riesgos que cubra todo el
organismo, defina cuándo y cómo realizar las evaluaciones de riesgos de sistemas. La
evaluación de riesgos informáticos no sigue un proceso definido que esté documentado y a
disposición de todo el personal a través de la capacitación.
Recomendación: Se debe establecer un marco de evaluación sistemática de riesgos. Dicho
marco debe incorporar una evaluación periódica de los riesgos de información relacionados
con la consecución de los objetivos del organismo, que constituya una base para determinar
cómo deben administrarse los riegos a un nivel aceptable. La alta gerencia debe garantizar
que se realice:
- Una evaluación de riesgos de la actividad.
- La identificación de riesgos.
- La medición de riesgos.
- Un plan de acción de reducción de riesgos.
68
- La aceptación de riesgos.
Respuesta del organismo: Conforme con lo observado.
Comentario AGN: En consecuencia se mantiene la observación.
Observaciones al punto 4.1.6. - Administración de Proyectos
Objetivo de control: La máxima autoridad debe establecer un proceso por el cual el
organismo identifique y priorice los proyectos en concordancia con el plan operativo. El
organismo debe adoptar y aplicar técnicas bien concebidas de administración de proyectos
para cada uno que se inicie.
Este objetivo de control afecta los siguientes requerimientos de la información necesaria para
cumplir las misiones del organismo, primariamente:
•
la eficacia
•
la eficiencia
Nivel de riesgo:
[X] Alto
[ ] Medio
[ ] Bajo
Nivel de madurez: Proceso Parcialmente Definido. El proceso y la metodología de
administración se establecieron y comunicaron formalmente. Los proyectos de Tecnología de
la Información se definen con objetivos técnicos y de negocio adecuados. Las partes
interesadas participan en su administración. La organización de estos proyectos y
responsabilidades y roles están definidos. Los proyectos de desarrollo tienen hitos definidos,
cronogramas, presupuesto y medidas del desempeño. También tienen procedimientos
formales posteriores a la implementación de sistemas. Se brinda una capacitación informal en
administración de proyectos. No se han definido procedimientos de garantía de la calidad y
actividades posteriores a la implementación de sistemas. No están definidas políticas para un
equilibrio de los recursos internos y externos.
Observaciones: El marco de administración de proyectos no es de aplicación rigurosa debido
a la falta de un plan de calidad y no incluye la descripción formal del estudio de factibilidad.
No existe una política formal para determinar la conveniencia de utilizar desarrollo con
recursos propios o tercerizarlo.
Recomendación: Se debe establecer un marco de administración de proyectos que
contemple,
como
mínimo,
asignación
de
responsabilidades,
división
de
tareas,
69
presupuestación del tiempo y los recursos, plazos, puntos de verificación y aprobaciones. La
alta gerencia debe garantizar que:
- Se aplique un marco de administración de proyectos.
- Se contemple la participación del departamento de usuarios en el inicio del proyecto.
- Se asignen miembros y responsabilidades del equipo del proyecto.
- Exista una definición del proyecto.
- Se aprueben las fases del proyecto.
- Exista un plan maestro del proyecto.
- Se defina un plan de garantía de calidad del sistema.
- Se implemente la administración formal de riesgos del proyecto.
- Se elabore un plan de pruebas.
- Se elabore un plan de capacitación.
- Se desarrolle un plan de revisión posterior a la implementación.
Respuesta del organismo: Conforme con lo observado.
Comentario AGN: En consecuencia se mantiene la observación.
Observaciones al punto 4.1.7. - Administración de la Calidad
Objetivo de control: La alta gerencia debe desarrollar la planificación, implementación y el
mantenimiento de normas y sistemas de administración de calidad del organismo, que
proporcionen distintas fases de desarrollo, prestaciones claves y responsabilidades explícitas.
Este objetivo de control afecta los siguientes requerimientos de la información necesaria para
cumplir las misiones del organismo, primariamente:
•
la eficacia
•
la eficiencia
•
la integridad
y en forma secundaria:
•
la confiabilidad
Nivel de riesgo:
[X] Alto
[ ] Medio
[ ] Bajo
70
Nivel de madurez: Inicial / Ad Hoc. La alta gerencia ha tomado conciencia de la necesidad
de una garantía de la calidad. La garantía de calidad, en los casos en que se produce, depende
de los conocimientos de cada gerente. Las actividades de garantía de calidad que se realizan
se concentran en iniciativas orientadas a proyectos y procesos de Tecnología de la
Información, y no en procesos que alcanzan a toda la organización. Los proyectos y las
operaciones de Tecnología de la Información en general no se miden en cuanto a su calidad,
pero la dirección hace juicios informales sobre la calidad.
Observaciones: La falta de adecuada administración de la calidad es el fundamento de las
insuficiencias encontradas en la administración de la tecnología de la información en el
Banco de la Nación Argentina. Existen metodologías para la ejecución de tareas, como la
metodología de desarrollo de sistemas en el caso del sistema de contabilidad automática, que
no se respetan por falta del monitoreo que exigiría un adecuado control de calidad.
Recomendación: Debe desarrollarse y mantenerse periódicamente un plan general de calidad
basado en los planes del organismo y de tecnología de información a largo plazo. La alta
gerencia debe garantizar que existan y se utilicen adecuadamente:
- Un plan general de calidad.
- Un enfoque de garantía de calidad.
- Una planificación de garantía de calidad.
- La revisión de la observación de las normas y procedimientos de la función de servicios de
información.
- Una metodología del ciclo de vida del desarrollo de sistemas.
- Una metodología del ciclo de vida del desarrollo de sistemas para la introducción de
cambios importantes en la tecnología existente.
- La actualización de la metodología del ciclo de vida del desarrollo de sistemas.
- La coordinación y comunicación entre los usuarios y el personal de Tecnología de la
Información.
- Un marco de adquisición y mantenimiento de la infraestructura tecnológica.
- Un marco para las relaciones con terceros a cargo de la implementación.
- La observación de las normas de documentación de programas, verificando que:
71
•
Se cumplan las normas de prueba de programas.
•
Se cumplan las normas de prueba de sistemas.
•
Se utilicen pruebas en paralelo/piloto.
- La documentación de pruebas de sistemas.
Respuesta del organismo: Conforme con lo observado.
Comentario AGN: En consecuencia se mantiene la observación.
Observaciones al punto 4.2.1. - Adquisición y Mantenimiento del Software de Aplicación
Objetivo de control: La adquisición y mantenimiento del software aplicativo debe realizarse
por medio de la definición específica de requerimientos funcionales y operativos con una
implementación por etapas de prestaciones claras.
Este objetivo de control afecta los siguientes requerimientos de la información necesaria para
cumplir las misiones del organismo, primariamente:
•
la eficacia
•
la eficiencia
y en forma secundaria:
•
la integridad
•
el cumplimiento
•
la confiabilidad
Nivel de riesgo:
[X] Alto
[ ] Medio
[ ] Bajo
Nivel de madurez: Proceso Parcialmente Definido. Existen procesos de adquisición y
mantenimiento documentados. Se hace el intento de utilizar los procesos documentados en
forma coherente en distintas aplicaciones y proyectos, pero no siempre resultan prácticos de
implementar ni reflejan las soluciones tecnológicas actuales. En general son inflexibles y no
son aplicables a todos los casos, de modo que con frecuencia se pasan por alto algunos pasos.
Por consiguiente, las aplicaciones suelen adquirirse en forma aislada y puntual. La gestión
sigue un enfoque definido, pero en general lleva mucho tiempo y es ineficiente.
Observaciones: La metodología actualmente vigente del ciclo de vida del desarrollo y
mantenimiento de sistemas de la organización fue aprobada el 27 de febrero de 2004, cuando
72
ya estaba iniciado el desarrollo del Sistema de Contabilidad Automática (1998-2005). La
metodología anterior, datada en 1998, tampoco se utilizó para este sistema.
Recomendación: La metodología del ciclo de vida de sistemas debe:
⋅
Exigir que se especifiquen los requerimientos funcionales y operativos de las
soluciones, incluidos el rendimiento, la seguridad, confiabilidad, compatibilidad y
legislación.
⋅
Contemplar un plan de estrategias de adquisición de software y de evaluación de
requerimientos y especificaciones para la contratación de terceros proveedores de
servicios.
Se deben garantizar la eficacia y la aplicación de los procedimientos y prácticas establecidas
para siguientes tareas y/o actividades de TI:
- Definición de los requerimientos de información.
- Formulación de cursos alternativos de acción.
- Formulación de la estrategia de adquisición.
- Requisitos de servicios prestados por terceros.
- Estudio de factibilidad tecnológica.
- Estudio de factibilidad económica.
- Arquitectura de la información.
- Informe de análisis de riesgos.
- Diseño de pistas de auditoría.
- Ergonomía.
- Selección del software de sistemas.
- Control de compras.
- Adquisición de productos de software.
- Mantenimiento del software de terceros.
- Programación contratada de aplicaciones.
- Aceptación de las instalaciones.
- Aceptación de la tecnología.
73
Respuesta del organismo: Se aplicó la metodología prevista y documentada que se utiliza a
la fecha.
Comentario AGN: De la información recibida durante los trabajos de campo se verificó que
el sistema contable se desarrolló en parte con anterioridad al establecimiento de la
metodología actual. Asimismo del estudio de las carpetas de análisis y desarrollo del sistema
se concluyó que para dichas tareas no se utilizó la normativa anterior ni la presente.
En consecuencia se mantiene la observación.
Observaciones al punto 4.2.2. - Adquisición y Mantenimiento de la Infraestructura
Tecnológica
Objetivo de control: La gerencia de la función de servicios de información debe impulsar la
adquisición criteriosa del software y el hardware, la estandarización del software, la
evaluación de los rendimientos, y la administración coherente de sistemas.
Este objetivo de control afecta los siguientes requerimientos de la información necesaria para
cumplir las misiones del organismo, primariamente:
•
la eficacia
•
la eficiencia
y en forma secundaria:
•
la integridad
Nivel de riesgo:
[X] Alto
[ ] Medio
[ ] Bajo
Nivel de madurez: Repetible aunque Intuitivo. Existe uniformidad entre los enfoques
tácticos, cuando se trata de adquirir y mantener la infraestructura de Tecnología de la
Información. No obstante, se carece de una estrategia definida y no se consideran
formalmente las necesidades de las aplicaciones de negocio a las que ha de darse soporte.
Observaciones: Existe un Plan de Adecuación Tecnológica y la infraestructura actual de
Tecnología de la Información soporta las aplicaciones de negocio, pero, a la fecha, se observa
un nivel de obsolescencia en las sucursales que pone en riesgo el funcionamiento del sistema
contable y la operación del Banco. Se carece de una metodología formal que permita definir
en plazo aceptable un plan adecuado para la prestación futura.
74
Recomendación: Se debe garantizar la eficacia de los procedimientos y prácticas
establecidas para las siguientes tareas y/o actividades de TI:
- Evaluación del hardware y el software nuevos.
- Mantenimiento preventivo del hardware.
- Atención de la seguridad del software del sistema.
- Instalación del software del sistema.
- Mantenimiento del software del sistema.
- Realizar los controles de cambios del software del sistema.
Respuesta del organismo: Se debiera tener presente el Plan de Adecuación Tecnológica
(PAT) que se está llevando a cabo en todo el Banco. Dicho Plan tuvo un análisis exhaustivo
de la necesidad del cambio y el rumbo a seguir; a partir de allí se llevaron a cabo las distintas
licitaciones para su implementación. Es de destacar que se programó finalizar para
septiembre de 2008 y se está llevando a cabo (hasta la fecha) sin ningún tipo de atraso. No se
considera correcta la expresión “se carece de una metodología formal que permita definir en
plazo aceptable un plan adecuado para la prestación futura”.
Comentario AGN: Se reitera que las respuestas son reactivas a los problemas y los resuelven
en lugar de evitar que se produzcan. A pesar del cumplimiento del Plan de Adecuación
Tecnológica con lo programado no evitó que los equipos ya sean obsoletos antes de ser
reemplazados.
En consecuencia se mantiene la observación.
Observaciones al punto 4.2.3. - Desarrollo y Mantenimiento de Procedimientos
Objetivo de control: Se debe aplicar un enfoque estructurado para el desarrollo de
procedimientos del usuario y de operaciones, requerimientos de servicios y materiales de
capacitación.
Este objetivo de control afecta los siguientes requerimientos de la información necesaria para
cumplir las misiones del organismo, primariamente:
•
la eficacia
•
la eficiencia
y en forma secundaria:
75
•
la integridad
•
el cumplimiento
•
la confiabilidad
Nivel de riesgo:
[X] Alto
[ ] Medio
[ ] Bajo
Nivel de madurez: Repetible aunque Intuitivo. Se toman enfoques similares con respecto a la
producción de procedimientos y documentación, pero no están basados en un lineamiento o
marco estructurado. Los procedimientos operativos y del usuario están documentados pero se
carece de un abordaje uniforme y, por lo tanto, su exactitud y disponibilidad dependen en
gran medida de los individuos, y no de un proceso formal. Hay material de capacitación
disponible, pero también se tiende a producirlo individualmente, y la calidad depende de las
personas involucradas. Por consiguiente, los procedimientos reales y la calidad del soporte al
usuario pueden variar y tienen poca uniformidad e integración en las distintas áreas del
organismo.
Observaciones: Las expectativas de desempeño y los niveles de servicio no están lo
suficientemente detallados como para permitir su seguimiento, comunicación y mejoras.
No existe un control de calidad de los procedimientos y de su aplicación efectiva. Los
procedimientos de cierre de la contabilidad automática no están formalmente definidos.
Recomendación: Se debe garantizar la eficacia de los procedimientos y prácticas
establecidas para las siguientes tareas y/o actividades de TI:
- Requerimientos operativos y niveles de servicio.
- Manuales de procedimientos del usuario.
- Manual de operaciones.
- Materiales de capacitación.
Respuesta del organismo: Lo único que falta definir son los procedimientos de ajustes. Se
entiende que la observación es por funcionamiento y no por proceso.
Comentario AGN: La observación y su recomendación apuntan a la necesidad de definir
una metodología uniforme y eficaz para la confección de los manuales de operación y de
usuario y de su estricto cumplimiento.
En consecuencia se mantiene la observación.
76
Observaciones al punto 4.2.4. - Instalación y acreditación de aplicativos
Objetivo de control: La implementación de nuevos sistemas debe realizarse por medio de un
plan bien formalizado de instalación, migración, conversión y aceptación.
Este objetivo de control afecta los siguientes requerimientos de la información necesaria para
cumplir las misiones del organismo, primariamente:
•
la eficacia
y en forma secundaria:
•
la integridad
•
la disponibilidad
Nivel de riesgo:
[X] Alto
[ ] Medio
[ ] Bajo
Nivel de madurez: Proceso Definido. Se cuenta con una metodología formal para la
instalación, migración, conversión y aceptación. Sin embargo, la dirección no tiene la
capacidad de evaluar el cumplimiento. Los procesos de instalación y acreditación de
Tecnología de la Información están relativamente integrados al ciclo de vida de sistemas y
automatizados. La capacitación, prueba y transición al estado de producción, y la
acreditación, pueden variar con respecto al proceso definido, en función de decisiones
personales. La calidad de los sistemas que pasan a producción no es uniforme y los sistemas
nuevos suelen generar un nivel significativo de problemas posteriores a la implementación.
Observaciones: Las políticas y procedimientos referentes al proceso del ciclo de vida del
desarrollo de sistemas no se aplican para la totalidad de los proyectos. Se realiza el traspaso
independiente de las bibliotecas de desarrollo a producción y se requiere la aceptación del
área de pruebas para su implementación. Sin embargo, no se cumple en forma absoluta en
caso de urgencias que estén fuera del horario estándar. No hay un manual de calidad, ni un
plan de calidad, ni programas formales de capacitación.
Recomendación: Se debe aplicar para todos los proyectos el plan para la implementación o
modificación de los sistemas de aplicación y evaluar el cumplimiento de los procedimientos y
prácticas establecidas para las siguientes tareas y/o actividades de TI:
- Capacitación de los usuarios y personal de servicios de información.
77
- Dimensionamiento del desempeño del software de aplicación.
- Plan de implementación.
- Conversión de sistemas de aplicación.
- Conversión de datos.
- Estrategia y planes de prueba.
- Prueba de cambios.
- Criterios de ejecución de pruebas paralelas/piloto.
- Prueba de aceptación final.
- Pruebas de acreditación de seguridad.
- Prueba de funcionamiento.
- Transición a producción.
- Evaluación del cumplimiento de los requerimientos del usuario.
- Revisión de la gerencia posterior a la implementación.
Respuesta del organismo: Conforme con lo observado.
Comentario AGN: En consecuencia se mantiene la observación.
Observaciones al punto 4.2.5. - Administración de Cambios
Objetivo de control: Se debe implementar un sistema de administración de cambios que
permita el análisis, la implementación y el seguimiento de todas las modificaciones
solicitadas y realizadas en la infraestructura de Tecnología de la Información existente.
Este objetivo de control afecta los siguientes requerimientos de la información necesaria para
cumplir las misiones del organismo, primariamente:
•
la eficacia
•
la eficiencia
•
la integridad
•
la disponibilidad
y en forma secundaria:
•
la confiabilidad
Nivel de riesgo:
[X] Alto
[ ] Medio
[ ] Bajo
78
Nivel de madurez: Proceso Definido. Existe un proceso formal definido de administración
de cambios, que incluye categorización, priorización, procedimientos de emergencia,
autorización de cambios y administración de las versiones de software, pero no siempre se
hace cumplir. El proceso definido no siempre es visto como adecuado o práctico. Es factible
que se produzcan errores y cambios no autorizados. El análisis del impacto de los cambios de
Tecnología de la Información en las operaciones del organismo se está formalizando, para dar
soporte a la implementación planificada de nuevas aplicaciones y tecnologías.
Observaciones: No existe una metodología formal para priorizar las solicitudes de cambios.
No se han encontrado procedimientos de cambios de emergencia en los manuales de
operaciones verificados. El control de cambios se realiza en los ambientes distribuidos con un
flujo de trabajos (workflow) sobre Lotus Notes y en ambiente mainframe con el producto
Endevor para administración de cambios. No se evalúa el costo de eventuales cambios ni se
monitorean los efectivamente realizados.
Recomendación: Aplicar los procedimientos específicos para tratar los pedidos de cambios,
mantenimiento de sistemas y mantenimiento del proveedor. Monitorear su aplicación para las
siguientes tareas y/o actividades de TI:
- Inicio y control de solicitudes de cambio.
- Evaluación del impacto.
- Control de cambios.
- Realización de los cambios de emergencia.
- Desarrollo de documentación y procedimientos.
- Mantenimiento autorizado.
- Aplicación de políticas de versiones de software.
- Distribución de software.
Respuesta del organismo: Se considera que el proceso de cambio está controlado, es cierto
que no se evalúa el costo de eventuales cambios ni se monitorean los efectivamente
realizados.
Comentario AGN: En consecuencia se mantiene la observación.
Observaciones al punto 4.3.1. - Definición y Administración de los Niveles de Servicio
79
Objetivo de control: La máxima autoridad debe definir un marco para promover acuerdos de
nivel de servicio que formalicen los criterios de desempeño en virtud de los cuales se medirá
su cantidad y calidad.
Este objetivo de control afecta los siguientes requerimientos de la información necesaria para
cumplir las misiones del organismo, primariamente:
•
la eficacia
•
la eficiencia
y en forma secundaria:
•
la confidencialidad
•
la integridad
•
la disponibilidad
•
el cumplimiento
•
la confiabilidad
Nivel de riesgo:
[X] Alto
[ ] Medio
[ ] Bajo
Nivel de madurez: Repetible aunque Intuitivo. El proceso de supervisión de los proveedores
de servicios y la prestación de los servicios es informal. Se usa un contrato firmado formal
con términos y condiciones para los proveedores y una descripción de los servicios a prestar.
Se toman mediciones, pero no siempre son relevantes. Hay informes disponibles, aunque no
siempre dan soporte a los objetivos de las actividades sustantivas del organismo.
Observaciones: No se encontraron normas y procedimientos formales del Organismo para la
supervisión de los contratos. En algunas áreas de Sistemas se realizan controles, pero no
cubren todos los servicios que brinda el sector. No se han encontrado acuerdos formales de
nivel de servicio con la Gerencia usuaria del sistema de contabilidad automática.
Recomendación: La máxima autoridad debe definir un marco en el cual promueva el
establecimiento de acuerdos de niveles de servicio que establezcan métricas y formalicen los
criterios de desempeño en virtud de los cuales se medirá la cantidad y calidad de los
servicios.
Garantizar la eficacia de las políticas y prácticas establecidas para las siguientes tareas y/o
actividades de TI:
80
- Establecer marco de acuerdos de nivel de servicio.
- Procedimientos de ejecución.
- Monitoreo e informes.
- Revisión de los contratos y acuerdos de nivel de servicio.
- Establecer un programa de mejora del servicio.
Respuesta del organismo: Conforme con lo observado.
Comentario AGN: En consecuencia se mantiene la observación.
Observaciones al punto 4.3.2. - Administración de la Capacidad y el Desempeño
Objetivo de control: Se debe implementar un proceso de administración orientado a la
recopilación de datos, al análisis y a la generación de informes sobre el desempeño de los
recursos de Tecnología de la Información, la dimensión de los sistemas de aplicación y la
demanda de cargas de trabajo.
Este objetivo de control afecta los siguientes requerimientos de la información necesaria para
cumplir las misiones del organismo, primariamente:
•
la eficacia
•
la eficiencia
y en forma secundaria:
•
la disponibilidad
Nivel de riesgo:
[X] Alto
[ ] Medio
[ ] Bajo
Nivel de madurez: Repetible aunque Intuitivo. La máxima autoridad del organismo es
consciente del impacto de no administrar la capacidad y el desempeño. En general, se
satisfacen las necesidades de desempeño de las áreas críticas, en función de una evaluación
de los sistemas individuales y del conocimiento de los equipos de soporte y de proyecto.
Pueden usarse algunas herramientas aisladas para diagnosticar problemas de capacidad y
desempeño, pero la uniformidad de los resultados depende de la pericia de las personas clave.
No hay una evaluación general del desempeño de la infraestructura de Tecnología de la
Información ni consideración de las situaciones de carga pico. Es probable que surjan
81
problemas de disponibilidad en forma inesperada cuyo diagnóstico y corrección llevan un
tiempo considerable.
Observaciones: Si bien se realiza un monitoreo general y global de la capacidad instalada, se
satisfacen las necesidades de desempeño en áreas críticas en función de una evaluación y
control de los sistemas individuales. Existen herramientas y procedimientos formalmente
definidos para diagnosticar problemas de capacidad y desempeño en las comunicaciones y
parcialmente en los servidores centrales. No hay una evaluación general del desempeño de la
infraestructura de Tecnología de la Información y existen equipos obsoletos en sucursales,
pudiendo surgir problemas de disponibilidad cuyo tiempo de diagnóstico y corrección afecte
la operación del sistema contable.
Recomendación: Si bien se llevan estadísticas y se realizan correcciones de algunos
servicios, la máxima autoridad debe implementar un proceso de administración orientado a la
recopilación de datos, el análisis y los informes sobre el desempeño de todos los recursos de
Tecnología de la Información, la dimensión de los sistemas de aplicación y la demanda de
cargas de trabajo.
La máxima autoridad y la alta gerencia deben garantizar la eficacia de las políticas y prácticas
establecidas para las siguientes tareas y/o actividades de Tecnología de la Información:
- Identificación de requerimientos de disponibilidad y desempeño.
- Establecer un plan de disponibilidad.
- Monitoreo e informes del desempeño de los recursos de tecnología de la información.
- Utilización de herramientas para la creación de modelos.
- Administración proactiva del desempeño.
- Pronóstico de la carga de trabajo.
- Administración de la capacidad de los recursos.
- Establecer la disponibilidad de recursos.
- Planificación de recursos.
Respuesta del organismo: Conforme con lo observado. Sería necesario rever el último
párrafo con lo expresado en el punto 4.2.2. sobre el Proyecto de Adecuación Tecnológica
(PAT).
82
Comentario AGN: Se reitera que el Proyecto de Adecuación Tecnológica resuelve los
problemas ya existentes a posteriori de su aparición y lo que se recomienda es llevar a cabo
una política capaz de prever las deficiencias y evitar que se produzcan.
En consecuencia se mantiene la observación.
Observaciones al punto 4.3.3. - Garantía de un Servicio Continuo
Objetivo de control: La máxima autoridad debe implementar un plan probado y operativo de
continuidad de tecnología de información que concuerde con el plan de continuidad general
del organismo y los requerimientos de actividad relacionados.
Este objetivo de control afecta los siguientes requerimientos de la información necesaria para
cumplir las misiones del organismo, primariamente:
•
la eficacia
•
la disponibilidad
y en forma secundaria:
•
la eficiencia
Nivel de riesgo:
[X] Alto
[ ] Medio
[ ] Bajo
Nivel de madurez: Proceso Definido. La rendición de cuentas no es ambigua y las
responsabilidades para la planificación y prueba del servicio continuo están claramente
definidas y asignadas. Los planes están documentados y se basan en la criticidad de sistemas
y el impacto en las actividades del organismo. Hay informes periódicos de pruebas de
servicio continuo. Son las personas las que toman la iniciativa de seguir los estándares y
recibir capacitación. La alta gerencia comunica uniformemente la necesidad de un servicio
continuo. Se mantiene un inventario de los sistemas y componentes críticos.
Observaciones: No existen procedimientos y controles que garanticen el cumplimiento de
los estándares y la capacitación del personal.
Recomendación: Se tiene implementado un plan de continuidad del servicio, probado y
operativo, que concuerda con el plan general del organismo y sus requerimientos de actividad
relacionados.
83
La máxima autoridad debe crear un marco de continuidad que defina los roles, las
responsabilidades, el enfoque y las normas y estructuras para documentar un plan de
contingencia que garantice el servicio continuo. Se debe garantizar la eficacia de las políticas
y prácticas establecidas para las siguientes tareas y/o actividades de TI:
- Un marco de continuidad de TI.
- Definir estrategias y filosofía del plan de continuidad de TI.
- Establecer contenido del plan de continuidad de TI.
- Reducir los requerimientos de continuidad de TI.
- Mantener el plan de continuidad de TI.
- Realizar la prueba del plan de continuidad de TI.
- Capacitación en el plan de continuidad de TI.
- Distribución del plan de continuidad de TI.
- Resguardar el procesamiento alternativo del usuario.
- Identificar recursos críticos de TI.
- Definir el sitio y equipamiento alternativos.
- Implementar un almacenamiento de resguardo en sitio alternativo.
- Reevaluar el plan periódicamente.
Respuesta del organismo: Conforme con lo observado.
Comentario AGN: En consecuencia se mantiene la observación.
Observaciones al punto 4.3.4. - Garantía de la Seguridad de los Sistemas
Objetivo de control: La máxima autoridad debe establecer y mantener un programa de
seguridad de la información para implementar los controles de acceso lógico que garanticen
que el acceso a los sistemas, datos y programas esté limitado a los usuarios autorizados.
Este objetivo de control afecta los siguientes requerimientos de la información necesaria para
cumplir las misiones del organismo, primariamente:
•
la confidencialidad
•
la integridad
y en forma secundaria:
84
•
la disponibilidad
•
el cumplimiento
•
la confiabilidad
Nivel de riesgo:
[X] Alto
[ ] Medio
[ ] Bajo
Nivel de madurez: Proceso Definido. La dirección tiene conciencia de la seguridad y la
promueve. Se estandarizaron y formalizaron sesiones informativas sobre temas de seguridad.
Los procedimientos de seguridad de Tecnología de la Información están definidos e
integrados en una estructura de políticas y procedimientos de seguridad. Las
responsabilidades de la seguridad de Tecnología de la Información están asignadas, aunque
no se observan en forma consistente. Existe un plan de seguridad de Tecnología de la
Información con análisis de riesgos y soluciones de seguridad. El informe de la seguridad de
Tecnología de la Información se concentra en la función de Tecnología de la Información y
no en la misión del organismo. Se realizan pruebas de intrusión ad hoc.
Observaciones: El organismo cuenta con una política de seguridad informática y con la
autoridad y el poder de dictar y hacer cumplir las normas que considere necesarias. Se
destaca el grado de detalle alcanzado por el manual de seguridad informática. Aún quedan
pendientes de resolución el procedimiento de bajas de los usuarios –que a la fecha es
totalmente reactivo– y la limitación a los usuarios ausentes por vacaciones o licencias
prolongadas, a fin de evitar la extracción de información. La falta de un modelo de datos
general de toda la organización complica la asignación de su propiedad y debilita su
seguridad.
Recomendación: La máxima autoridad establece y mantiene un programa de seguridad de la
información para implementar los controles de acceso lógico que garantizan que el acceso a
los sistemas, datos y programas esté limitado a usuarios autorizados.
Se debe garantizar la eficacia de las políticas y prácticas establecidas para las siguientes
tareas y/o actividades de TI:
- Administración de las medidas de seguridad.
- Identificación, autenticación y acceso.
- Seguridad del acceso en línea a los datos.
85
- Administración de cuentas de usuarios.
- Revisión de la gerencia de cuentas de usuarios.
- Control ejercido por el usuario en sus propias cuentas.
- Supervisión de la seguridad.
- Clasificación de los datos.
- Administración centralizada de identificaciones y derechos de acceso.
- Informes de violación y actividades de seguridad.
- Manejo de incidentes.
- Reacreditación.
- Regular la confianza en la contraparte.
- Autorización de transacciones.
- Establecimiento de la imposibilidad de rechazo.
- Definición de una ruta de acceso confiable.
- Protección de las funciones de seguridad.
- Administración de claves criptográficas.
- Prevención, detección y corrección de software malicioso.
- Establecer arquitectura de firewalls y conexiones con redes públicas.
- Proteger el valor electrónico.
Respuesta del organismo: Conforme con lo observado.
Comentario AGN: En consecuencia se mantiene la observación.
Observaciones al punto 4.3.5. - Identificación e Imputación de Costos
Objetivo de control: Se debe implementar un sistema de imputación de costos que garantice
que se registren, calculen y asignen los costos de acuerdo con el nivel de detalle requerido y
el ofrecimiento de servicio adecuado.
Este objetivo de control afecta los siguientes requerimientos de la información necesaria para
cumplir las misiones del organismo, primariamente:
•
la eficiencia
•
la confiabilidad
Nivel de riesgo:
[ ] Alto
[X] Medio
[ ] Bajo
86
Nivel de madurez: No Conforma. Se carece totalmente de un proceso reconocible para
identificar e imputar costos con respecto a los servicios de información prestados. El
organismo ni siquiera ha reconocido que hay una cuestión que merece abordarse en cuanto a
la contabilización de los costos, y no hay comunicación al respecto.
Observaciones: No hay registro de los costos relacionados con las horas-hombre
presupuestadas en algunos proyectos, como el de contabilidad automática, y no se realizan
controles durante el desarrollo ni luego de la finalización.
Recomendación: La máxima autoridad y la alta gerencia deben garantizar la eficacia de las
políticas y prácticas establecidas para las siguientes tareas y/o actividades de TI:
- Identificar ítems imputables.
- Definir procedimientos de determinación de costos.
- Utilizar procedimientos de cargos e imputación de costos al usuario.
Respuesta del organismo: Conforme con lo observado.
Comentario AGN: En consecuencia se mantiene la observación.
Observaciones al punto 4.3.6. - Educación y Capacitación de los Usuarios
Objetivo de control: Se debe establecer y mantener un plan integral de capacitación y
desarrollo.
Este objetivo de control afecta los siguientes requerimientos de la información necesaria para
cumplir las misiones del organismo, primariamente:
•
la eficacia
y en forma secundaria:
•
la eficiencia
Nivel de riesgo:
[ ] Alto
[X] Medio
[ ] Bajo
Nivel de madurez: Inicial / Ad Hoc. Hay evidencia de que el organismo reconoció la
necesidad de un programa de educación y capacitación, pero no hay procesos estandarizados.
En ausencia de un programa organizado, los empleados identifican y asisten a cursos de
capacitación por cuenta propia. Algunos de estos cursos tratan temas de conducta ética,
concientización de seguridad de sistemas y prácticas de seguridad. El enfoque global de la
87
dirección carece de cohesión, y la comunicación de los temas y abordajes de la educación y
capacitación es sólo esporádica y poco coherente.
Observaciones: No existe evidencia de un plan de capacitación formalmente definido y
especificado para instruir en temas de ética y seguridad informática a la totalidad del personal
del Banco. No se encontró una planificación del uso del Centro de Capacitación del
Organismo para formar masivamente a los usuarios del sistema de contabilidad.
Recomendación: Se debe establecer y mantener un plan integral de capacitación y desarrollo
alineado con la dirección tecnológica adoptada por el banco.
La máxima autoridad debe garantizar la eficacia de las políticas y practicas establecidas para
las siguientes tareas y/o actividades de TI:
- Identificación de necesidades de capacitación.
- Organización de sesiones de capacitación.
- Capacitación y concientización en los principios de seguridad.
Respuesta del organismo: El sistema de contabilidad automática tuvo una capacitación
formal en todas las zonales.
Comentario AGN: La observación se refiere a la falta de planes formales de capacitación
para el conjunto del personal del Banco tanto en temas de ética y seguridad informática,
como en el uso de los sistemas.
En consecuencia se mantiene la observación.
Observaciones al punto 4.3.7. - Administración de Problemas e Incidentes
Objetivo de control: Se debe implementar un sistema de administración de problemas que
registre y dé respuesta a todos los incidentes.
Este objetivo de control afecta los siguientes requerimientos de la información necesaria para
cumplir las misiones del organismo, primariamente:
•
la eficacia
•
la eficiencia
y en forma secundaria:
•
la disponibilidad
88
Nivel de riesgo:
[X] Alto
[ ] Medio
[ ] Bajo
Nivel de madurez: Proceso Definido. La necesidad de un sistema eficaz de administración
de problemas es aceptada y evidenciada por los presupuestos para dotación de personal,
capacitación y soporte de los equipos de respuesta. Los procesos de solución de problemas,
escalamiento y resolución son estandarizados, aunque no sofisticados. Sin embargo, los
usuarios recibieron comunicaciones claras sobre dónde y cómo informar problemas e
incidentes. El registro y seguimiento de los problemas y su resolución está fragmentado
dentro del equipo de respuesta, que utiliza las herramientas disponibles sin centralización ni
análisis. Las desviaciones de las normas o los estándares establecidos probablemente pasen
inadvertidas.
Observaciones: Los usuarios reciben comunicaciones sobre dónde informar problemas e
incidentes; sin embargo, algunas de las indicaciones que se dan en la intranet, no están
actualizadas.
Recomendación: El sistema de administración de incidentes los registra y les da respuesta,
pero está muy fragmentado por tipo de problema. Deben actualizarse en forma oportuna los
datos que figuran en la intranet para que los usuarios se comuniquen. El funcionario principal
de Servicios de Información debe garantizar la eficacia de las políticas y prácticas
establecidas para las siguientes tareas y/o actividades de TI:
- Sistema de administración de problemas.
- Escalamiento de problemas.
- Seguimiento de problemas y pistas de auditoría.
- Autorizaciones de emergencia y acceso temporario.
- Establecer las prioridades de procesamiento de emergencia.
Respuesta del organismo: La observación se refiere a un tema puntual que ya fue
solucionado en el transcurso de la auditoría.
Comentario AGN: La observación apunta a la falta de control de calidad en el tema de
administración de datos y problemas y se mantenía al finalizar los trabajos de campo.
En consecuencia se mantiene la observación.
Observaciones al punto 4.3.8. - Administración de Datos
89
Objetivo de control: La máxima autoridad debe establecer y mantener una combinación
eficaz de controles generales y de aplicación sobre las operaciones de Tecnología de la
Información para asegurar que los datos permanezcan durante su entrada, actualización y
almacenamiento completos, precisos y válidos.
Este objetivo de control afecta los siguientes requerimientos de la información necesaria para
cumplir las misiones del organismo, primariamente:
•
la integridad
•
la confiabilidad
Nivel de riesgo:
[X] Alto
[ ] Medio
[ ] Bajo
Nivel de madurez: Repetible aunque Intuitivo. En todo el organismo prevalece el
reconocimiento de la necesidad de la exactitud de los datos y del mantenimiento de su
integridad. Se comienza a asignar responsabilidad sobre los datos, pero al nivel de los
departamentos o grupos. Las reglas y los requerimientos son documentados por personas
clave y no son uniformes en todo el organismo y todas las plataformas.
Observaciones: Al no existir un diccionario de datos general de la institución no se puede
garantizar que exista integridad entre los datos de las aplicaciones que alimentan la
contabilidad automática.
Recomendación: Debe implementarse un diccionario de datos único y general para toda la
institución. La alta gerencia, los responsables de programas y actividades y el funcionario
principal de Servicios de Información deben garantizar la eficacia de los procedimientos y
prácticas establecidas para las siguientes tareas y/o actividades de TI:
- Preparación de datos.
- Autorización de documentos fuente.
- Recopilación de datos de documentos fuente.
- Manejo de errores de documentos fuente.
- Conservación de documentos fuente.
- Autorización de entrada de datos.
- Verificación de exactitud, integridad y autorización.
- Manejo de errores de entrada de datos.
90
- Asegurar la integridad del procesamiento de datos.
- Validación y edición del procesamiento de datos.
- Manejo de errores del procesamiento de datos.
- Manejo y conservación de salidas.
- Distribución de salidas de datos.
- Balanceo y conciliación de salidas de datos.
- Revisión y manejo de errores de salidas de datos.
- Seguridad de los informes de salida.
- Protección de información crítica durante la transmisión y el transporte.
- Protección de información crítica eliminada.
- Administración del almacenamiento.
- Establecer períodos de conservación y condiciones de almacenamiento.
- Establecer un sistema de administración de biblioteca de medios.
- Definir las responsabilidades de administración de la biblioteca de medios.
- Resguardo y restauración.
- Tareas de resguardo.
- Almacenamiento de resguardos.
- Administración de archivos.
- Protección de mensajes críticos.
- Autenticación e integridad.
Respuesta del organismo: Conforme con lo observado.
Comentario AGN: En consecuencia se mantiene la observación.
Observaciones al punto 4.3.9. - Administración de Instalaciones
Objetivo de control: Se deben instalar controles ambientales y físicos adecuados cuya
revisión se efectúe periódicamente a fin de determinar su correcto funcionamiento.
Este objetivo de control afecta los siguientes requerimientos de la información necesaria para
cumplir las misiones del organismo, primariamente:
•
la integridad
•
la disponibilidad
91
Nivel de riesgo:
[X] Alto
[ ] Medio
[ ] Bajo
Nivel de madurez: Inicial. El organismo reconoce la necesidad de brindar un entorno físico
adecuado que proteja los recursos y el personal contra los peligros generados por la
naturaleza y el hombre. No existen procedimientos estándar, y la administración de las
instalaciones y los equipos dependen de la idoneidad y capacidad de ciertas personas clave.
No se controlan las actividades de proveedores habituales en las instalaciones y la gente se
desplaza sin restricciones. La dirección no monitorea habitualmente los controles ambientales
de las instalaciones ni el movimiento del personal.
Observaciones: No se encuentran definidas las políticas de acceso físico al área restringida
central. No existe una planilla o tarjeta que indique el ingreso o egreso de los empleados del
área o de otras del organismo. Los niveles de iluminación no cumplen con la legislación
vigente. No hay una política documentada en materia de Seguridad y Salud Ocupacional. No
se pudo acceder a los antecedentes y documentación de obra de la construcción del centro de
cómputos, ni a las normas que se tuvieron en cuenta desde el punto de vista de riesgo de
incendio. No se observaron evaluaciones y estudios en el sistema de ventilación cuando se
efectúa ingreso o cambio de equipos. En la evidencia suministrada no se encontró el plan de
mantenimiento preventivo, predictivo y correctivo de equipos de aire acondicionado. No se
obtuvo la planilla de control periódico de extintores. No se encontró la memoria de cálculo de
hidrantes. No existen luces de emergencia autónomas. El Plan de Evacuación del área de
sistemas se encuentra en proceso de estudio. No están ubicadas las tapas de protección en las
aberturas correspondientes al falso piso, se encontró que existen algunas piezas mal
colocadas que pueden producir accidentes. No se encontró un Procedimiento formalizado de
limpieza del centro de cómputos. Los cables de interconexión a los equipos que se encuentran
debajo de los escritorios y los que entran a la parte posterior de los bastidores para
equipamiento no están protegidos. Se encontraron puertas de bastidores abiertas. Se observan
tomacorrientes en bases de madera, y cables sueltos. Los cables de las instalaciones eléctricas
no están correctamente canalizados. En la puerta principal del centro de cómputos no se han
instalado controles eléctricos de emergencia que permitan el corte de la energía en caso de ser
necesario. Se encontraron resmas de papel incorrectamente almacenadas y sueltas en el piso.
92
La situación enunciada no garantiza la continuidad del centro de cómputos y del
procesamiento informático operativo y contable.
Recomendación: El funcionario principal de la función de servicios de información debe
garantizar la eficacia de las políticas y prácticas establecidas para las siguientes tareas y/o
actividades de TI:
- Proporcionar seguridad física.
- Asegurar la discreción del sitio de TI.
- Acompañamiento de visitas.
- Salud y seguridad del personal.
- Protección contra factores ambientales.
Respuesta del organismo:
Observación
Respuesta
1. Las políticas de seguridad están establecidas en el manual
No se encuentran definidos de “Políticas y Normas de Seguridad de la Información”. Lo
los procedimientos de
que se encuentra en revisión son los procedimientos de
acceso físico al área
ingreso, dado que se está licitando la instalación de una Sala
Cofre para el sector, con nuevos sistemas de control de
restringida central.
accesos.
No existe una planilla o
tarjeta que indique el
ingreso o egreso de los
empleados del área o de
otras del organismo.
Los niveles de iluminación
no cumplen con la
legislación vigente.
No hay una política
documentada en materia de
Seguridad y Salud
Ocupacional.
No se pudo acceder a los
antecedentes y
documentación de obra de
la construcción del centro
de computos, ni a las
normas que e tuvieron en
cuenta desde el punto de
vista de riesgo de incendio.
Estado
En curso
2. Existen registros y tarjetas para el acceso de visitas al centro
de cómputos; no para el ingreso del personal. El nuevo control En curso
de accesos arriba mencionado lo contempla.
Hay sectores del Centro de cómputos y del área de sistemas
que tienen niveles inferiores a los requeridos. El Lic. J. Zeni
tiene un informe al respecto y están pedidas las correcciones.
En curso
El Banco no tiene una política definida por la presidencia al
respecto.
Conforme
No contamos con la información solicitada.
En estos momentos se encuentra en trámite una licitación para
la instalación de una sala cofre que contiene un sistema propio En curso
de detección y extinción de incendios. El pliego tiene
requerimientos de seguridad contra incendio
93
No se observaron
evaluaciones y estudios en
el sistema de ventilación
cuando se efectúa ingreso o
cambio de equipos.
Se tomará en cuenta la recomendación. No obstante se deja
constancia que la configuración del sistema fue realizada para
una carga térmica superior a la actual. Se creara un
procedimiento a cumplimentar en oportunidad de incorporar En curso
nuevos equipos o reemplazar los existentes, que contemple el
control previo de las instalaciones (canalizaciones, energía,
aire acondicionado, etc.).
El servicio de mantenimiento de los equipos de aire
En la evidencia
acondicionado es prestado por una empresa externa, en cuyo
suministrada no se encontró
contrato se establecen las responsabilidades asignadas tanto en
el plan de mantenimiento
Contestado
lo predictivo y preventivo, como en lo correctivo para
preventivo, predictivo y
mantener un correcto funcionamiento de los mismos a fin de
correctivo de equipos de
que garanticen las condiciones adecuadas para el normal
aire acondicionado
desempeño del equipamiento acorde a sus especificaciones .
No se obtuvo la planilla de 8. Fueron presentados los controles, Actualmente se cuenta
control periódico de
con las planillas de control tipificadas por el IRAM, las que no Cumplido
extintores.
se tenían en el momento de la auditoría.
9. No se cuenta con la memoria de cálculo de los hidrantes.
No se encontró la memoria
Los planos de la red de agua contra incendios fueron
En curso
de cálculo de hidrantes.
solicitados en reiteradas oportunidades al Área de
Arquitectura, sin respuesta alguna.
El Centro de Cómputos, cuenta con sistemas alternativos de
generación de energía eléctrica, los cuales abastecen de
No existen luces de
potencia a los equipos y garantizan la iluminación del mismo y Contestado
emergencia autónomas.
del área de Operaciones, por lo cual no se requiere la
existencia de otras luces de emergencia.
El plan de evacuación del
11. Se cuenta con el Plan de evacuación de Casa Central, que
área de sistemas se
incluye el Centro de Cómputos, el que fuera aprobado con Cumplido
encuentra en proceso de
fecha posterior a la auditoría.
estudio.
No están ubicadas las tapas
En el transcurso de la auditoría, se estaban llevando adelante
de protección en las
muchas tareas de adecuación y reacomodamiento de la
aberturas correspondientes
infraestructura (nuevos equipamientos, traslados). La
al falso piso, se encontró
En curso
remoción y movimiento de tapas, en muchos casos es
que existen algunas piezas
consecuencia de la actividad realizada. Igualmente se
mal colocadas que pueden
procederá a realizar una revisión de las mismas.
producir accidentes.
94
Si bien no existe un procedimiento formalizado, las tareas de
limpieza, como cualquier otra actividad que se realice dentro
del Centro de Cómputos, están bajo la supervisión directa del
No se encontró un
responsable de Turno de Operaciones, quien tiene bajo su
procedimiento formalizado
custodia las llaves de acceso a las distintas salas de equipos, En curso
de limpieza del centro de
dado que este rol tiene presencia de 7x24 a lo largo de todo el
cómputos.
año. Igualmente se procederá a la formalización del
procedimiento en cuestión con la participación de todas las
áreas involucradas.
Los cables de interconexión
a los equipos que se
encuentran debajo de los
escritorios y los que entran
a la parte posterior de los
bastidores para
equipamie nto no están
protegidos.
Se encontraron puertas de
bastidores abiertas
Se tomará en cuenta la recomendación.
En curso
Los bastidores se encuentran en áreas de acceso restringido
Contestado
cerradas bajo llave.
Se observan tomacorrientes
Los tomas corrientes observados corresponden a un
en bases de madera y cables
En curso
prolongador cuyo reemplazo ha sido solicitado.
sueltos.
Los cables de las
instalaciones eléctricas no
Se tomará en cuenta la recomendación.
En curso
están correctamente
canalizados.
En la puerta ppal. del centro
de cómputos no se han
En el pasillo de entrada al CC, debidamente protegido, existe
instalado controles
un “hongo rojo” que permite cortar la energía que alimenta la
Contestado
eléctricos de emergencia
sala del equipamiento central ante una situación de
que permitan el corte de la
emergencia.
energía en caso de ser
necesario.
Se encontraron resmas de Las resmas mencionadas, no se encontraban en las salas de
papel incorrectamente equipos, sino en el área donde se desenvuelven los operadores,
Contestado
almacenadas y sueltas en el siendo precisamente su finalidad abastecer a los mismos para
piso.
tareas inherentes (documentación, partes informativos, etc.).
95
La situación enunciada no
garantiza la continuidad del
centro de cómputos y del
procesamiento informático
operativo y contable.
Algunos de los ítems enunciados en esta lista, más otros
aspectos detectados en la actividad cotidiana (filtraciones,
humedad, etc.), han llevado a tomar la decisión de tener que
adecuar las instalaciones, por un lado para poder garantizar la
continuidad del procesamiento operativo y por otro para dar
cumplimento a las legislaciones vigentes. En este sentido se En curso
han encarado los estudios de factibilidad para la construcción
de una sala cofre, que permita solucionar los problemas que
actualmente existen y tal como lo indica la AGN poder
garantizar la continuidad del centro de cómputos y del
procesamie nto informático.
Comentarios AGN de los ítems “Contestados”: Respecto al tema aire acondicionado, el
Organismo entregó como evidencia el 24/09/07 las “Especificaciones Técnicas Particulares
para la Contratación de un Servicio de Mantenimiento Integral de la Instalación de Aire
Acondicionado”, que si bien transfiere la responsabilidad al proveedor ni este ni el organismo
presentaron plan concreto alguno acerca del mantenimiento en cuestión, indicando fecha de
realización de cada tarea. Asimismo no se encontró evidencia de que el sector involucrado
controlara los trabajos tercerizados.
Ante una potencial falla de los sistemas alternativos se recomienda la instalación de luces de
emergencia autónomas.
Las puertas de los racks deben permanecer cerradas para evitar potenciales desconexiones en
los equipos allí instalados.
Los medios de desconexión de la energía eléctrica del centro de cómputos, deben hallarse
agrupados, identificados y estar en las proximidades de la puerta principal y ser de fácil
acceso al personal del centro cómputos.
Las resmas de papel en el área de comunicaciones deberán ser almacenadas en muebles
apropiados y no en el piso (evidencia foto número 30), a los fines de evitar la acumulación de
elementos combustibles, como así también la obstrucción de las vías de circulación.
Las observaciones indicadas por el Organismo como “Cumplidas” y en “Curso de Ejecución”
serán verificadas en una próxima Auditoría de Seguimiento.
En consecuencia se mantiene la observación.
96
Observaciones al punto 4.3.10. - Administración de Operaciones
Objetivo de control: Se debe establecer para el logro de todas las actividades un cronograma
de actividades de soporte que se registre y apruebe.
Este objetivo de control afecta los siguientes requerimientos de la información necesaria para
cumplir las misiones del organismo, primariamente:
•
la eficacia
•
la eficiencia
y en forma secundaria:
•
la integridad
•
la disponibilidad
Nivel de riesgo:
[X] Alto
[ ] Medio
[ ] Bajo
Nivel de madurez: Proceso Definido. La necesidad de administrar las operaciones de
sistemas es comprendida y aceptada dentro del organismo. Se asignaron recursos y se brinda
entrenamiento en el puesto de trabajo. Las funciones repetibles están formalmente definidas,
estandarizadas, documentadas y comunicadas al personal de operaciones y del cliente. Los
eventos y resultados de las tareas completas se registran, pero los informes a la dirección son
limitados o nulos. El uso de programación automatizada y otras herramientas se extiende y
estandariza para limitar la intervención del operador. También son identificadas otras
actividades regulares de soporte de Tecnología de la Información, y las tareas relacionadas
están siendo definidas. Se ejercen controles estrictos para poner en operación los puestos
nuevos y se aplica una política formal para reducir la cantidad de eventos no programados.
Los acuerdos de mantenimiento y servicio con proveedores todavía son informales.
Observaciones: No existen normas formales de desempeño ni acuerdos de nivel de servicio
del usuario ni se encontraron procedimientos formales de mantenimiento de equipos.
No existe un plan de capacitación permanente para mantener sus competencias.
Recomendación: El funcionario principal de la función de servicios de información debe
garantizar la eficacia de las políticas y prácticas establecidas para las siguientes tareas y/o
actividades de Tecnología de la Información:
97
- Desarrollo de manuales de instrucciones y procedimientos de las operaciones de
procesamiento.
- Documentación del proceso de puesta en marcha y otras operaciones.
- Fijación de programas de trabajo.
- Control de las desviaciones de los programas estándar de trabajo.
- Asegurar la continuidad del procesamiento.
- Registro de operaciones.
- Salvaguardia de formularios especiales y dispositivos de salida.
- Operaciones remotas.
Respuesta del organismo: Conforme con lo observado.
Comentario AGN: En consecuencia se mantiene la observación.
Observaciones al punto 4.4.1. - Monitoreo de los procesos de Tecnología de la
Información
Objetivo de control: La máxima autoridad debe impulsar la definición de indicadores del
desempeño relevantes, el informe sistemático y oportuno del desempeño y la acción
inmediata en caso de desviaciones
Este objetivo de control afecta los siguientes requerimientos de la información necesaria para
cumplir las misiones del organismo, primariamente:
•
la eficacia
y en forma secundaria:
•
la eficiencia
•
la confidencialidad
•
la integridad
•
la disponibilidad
•
el cumplimiento
•
la confiabilidad
Nivel de riesgo:
[X] Alto
[ ] Medio
[ ] Bajo
98
Nivel de madurez: Repetible aunque Intuitivo. Se identificaron mediciones básicas que
deben monitorearse. Se definieron métodos y técnicas de recopilación y evaluación, pero los
procesos no se adoptaron en todo el organismo. Se crean funciones de planificación y
administración para evaluar los procesos de monitoreo, pero las decisiones se toman sobre la
base de la pericia de personas clave. Se eligen e implementan herramientas limitadas para
recopilar información, pero probablemente no se usen en toda su capacidad debido a una
perdida de conocimiento sobre su funcionalidad. La función de servicios de información se
administra como un centro de costos, sin evaluar su contribución a las áreas sustantivas del
organismo.
Observaciones: No se monitorean los recursos de la función “servicios de información”. Los
recursos son inadecuados debido a la lentitud en la contratación e instalación de hardware y
software. Se monitorea con las herramientas disponibles el uso de los equipos mainframe,
pero no el de los servidores de menor porte en las sucursales.
No se utilizan indicadores clave para medir el desempeño de la función “servicios de
información”. No se han recibido informes internos referentes a la utilización de los recursos
de la función “servicios de información” (personal, instalaciones, sistemas de aplicación,
tecnología y datos).
No existe un tablero de comando interno, ni un plan formal de mejora del desempeño con
políticas y procedimientos documentados, ni el análisis formal de satisfacción del usuario.
Recomendación: La alta gerencia es responsable de garantizar:
- La recopilación de datos de monitoreo.
- La evaluación continua del desempeño.
- La evaluación de la satisfacción del usuario.
- elaboran informes de gestión.
Respuesta del organismo: Conforme con lo observado.
Comentario AGN: En consecuencia se mantiene la observación.
Observaciones al punto 4.5.1. - Correcciones Manuales de la Contabilidad
Objetivo de control: Se debe establecer un procedimiento formal para el ingreso de
correcciones manuales por parte del usuario.
99
Este objetivo de control afecta los siguientes requerimientos, primariamente:
•
la eficacia
•
la eficiencia
y en forma secundaria:
•
la integridad
•
el cumplimiento
•
la confiabilidad
Nivel de riesgo:
[ ] Alto
[X] Medio
[ ] Bajo
Nivel de madurez: Repetible aunque Intuitivo. Se toman enfoques similares con respecto a
los procedimientos y la documentación de respaldo, pero no están basados en un lineamiento
o marco estructurado. Los procedimientos operativos y del usuario están documentados pero
se carece de un abordaje uniforme y, por lo tanto, su exactitud y disponibilidad dependen en
gran medida de las personas, y no de un proceso formal.
Observaciones: No existe el procedimiento formal a seguir para el ingreso de correcciones
manuales en la contabilidad. No está automatizado el proceso de inhibición o bloqueo de las
cuentas contables de las sucursales para evitar la existencia de cuentas desprotegidas en
forma innecesaria.
Recomendación: Se debe definir un procedimiento formal para el ingreso de correcciones
manuales en la contabilidad. Automatizar la inhibición, o bloqueo, de las cuentas contables
de las sucursales para garantizar que no haya cuentas accesibles cuando sea innecesario
incorporar correcciones manuales.
Respuesta del organismo: Conforme con lo observado.
Comentario AGN: En consecuencia se mantiene la observación.
Observaciones al punto 4.5.2. - Modificaciones al Sistema
Objetivo de control: Se debe establecer un procedimiento formal para la puesta en marcha
de las modificaciones de los aplicativos y su sincronización con las tablas de cuentas
contables y de control.
Este objetivo de control afecta los siguientes requerimientos, primariamente:
100
•
la eficacia
•
la eficiencia
y en forma secundaria:
•
la integridad
•
el cumplimiento
•
la confiabilidad
Nivel de riesgo:
[ ] Alto
[X] Medio
[ ] Bajo
Nivel de madurez: Repetible aunque Intuitivo. Se toman enfoques similares con respecto a
los procedimientos pero no están basados en un lineamiento o marco estructurado. Los
procedimientos carecen de un abordaje uniforme y, por lo tanto, su exactitud y disponibilidad
dependen en gran medida de las personas y no de un proceso formal.
Observaciones: No existe el procedimiento formal para sincronizar la puesta en marcha de
las nuevas versiones de los aplicativos con las modificaciones correspondientes en las tablas
de cuentas contables y de control. Esos procedimientos evitarían rechazos por falta de la
partida correspondiente.
Recomendación: Definir un procedimiento formal para la puesta en marcha de las nuevas
versiones de los aplicativos relativos a la operatoria del Banco que garantice que los cambios
de versión están sincronizados con las modificaciones correspondientes en las tablas de
cuentas contables y de control.
Respuesta del organismo: En razón de haberse definido para implementar la registración
contable automática, el siguiente esquema:
1ª) Implementar en una Sucursal Piloto los aplicativos/circuitos operativos una vez
estabilizados en producción.
2ª) Continuar implementando los circuitos contables en Zonal o en todas las sucursales luego
de estabilizados en la Sucursal Piloto, y considerando que algunas aplicaciones resolverían en
forma gradual la Contabilidad Automática, se crearon los siguientes parámetros para uso
centralizado de las distintas aplicaciones, para ello:
101
I - Se asignó un identificador denominado GRUPO, que se emplea para asociar el conjunto de
transacciones operativas de distintas aplicaciones que se habilitan simultáneamente para
registrar contablemente el circuito.
Ante la implementación de nuevas versiones o funcionalidades de una Aplicación que ya
genera información para CB, se analiza la conveniencia de relacionar las novedades al
circuito ya vigente o asignarle uno propio.
II - Se creó una Tabla para administrar la vigencia y el alcance (Piloto, Zonal y resto de
sucursales) de estos Grupos.
Cada Grupo tiene asociada tres fechas de inicio (una para la suc. Piloto, otra para Zonal y la
tercera para el resto). Cada una indica el momento en que, para las sucursales involucradas,
serán aceptadas en CB estos Grupos de Transacciones.
La combinación de estos parámetros permite la selección de los códigos y subcódigos
operativos/ sucursales habilitados que corresponden para la fecha del movimiento.
Adicionalmente, los circuitos son previamente probados en Ambiente de Test verificándose
la integridad operativa/contable.
Por todo lo expuesto, en el lapso transcurrido desde el inicio de la registración contable
automática bajo esta metodología se pudo observar que, en general, los circuitos operativos
cuentan con la totalidad de las partidas contables, por lo que a nuestro juicio se entiende que
se cumple con la sincronización de la puesta en producción de las versiones de Aplicativos,
ya que los rechazos que se producen responden en su mayoría a la detección de movimientos
no permitidos sobre las cuentas operativas
Comentario AGN: Se detectó durante los trabajos de campo que en ciertas oportunidades se
producen rechazos de algunos movimientos debidos a la no inclusión en las tablas de
correlación de una partida contable. Este hecho suele suceder cuando se incorpora una nueva
operación al sistema de contabilidad automática. Se desprende que el procedimiento descipto
debe ser mejorado, formalizado y debidamente controlado.
En consecuencia se mantiene la observación.
102
Respuesta del organismo: Con respecto al punto 6.- Recomendaciones, dado que las
mismas están descriptas en forma genérica y a efectos de lograr una mejor implementación,
se solicita se detallen aquellas que estén relacionadas directamente con una observación o
riesgo del informe.
Comentario AGN: Las recomendaciones efectuadas describen la mejor práctica en cada
materia. A fin de su correcta instrumentación el Organismo deberá considerar del total de los
ítems aquellos que todavía no hayan sido resuelto y figuran en las observaciones realizadas.
103