GCIA. PLANIFICACIÓN Y PROYECTOS ESPECIALES Dto. de Auditoría Informática Informe aprobado por Resolución AGN 204/12 OBJETO DE AUDITORÍA Gestión informática en el Banco Central de la República Argentina. PERIODO AUDITADO Julio de 2010 - Junio de 2011. GESTIÓN INFORMÁTICA Banco Central de la República Argentina (BCRA) ACLARACIONES PREVIAS El Banco Central de la República Argentina es una entidad autárquica del Estado Nacional. Emite normas (Comunicación “A” 4383) que toman como estándares los principios del Marco de Recomendaciones del Grupo de Acción Financiera Internacional (GAFI), donde se advierten políticas y estructuras sobre “conocimiento de cliente”. Hay procesos diseñados para identificar a las personas que se vinculan con las entidades financieras, que deben registrar en una base de datos la estadística correspondiente a las operaciones consideradas sospechosas. COMENTARIOS SOBRE EL ALCANCE Basamos nuestra tarea en la verificación de los Objetivos de Control establecidos por las normas COBIT versión 4. Los Objetivos de Control describen los resultados que debe alcanzar un organismo implantando procedimientos de control basados en las mejores prácticas aplicables, a los procesos de TI. CONCLUSIONES - El análisis de los siete requerimientos (eficacia, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad) que debería satisfacer la información provista por el área de TI revela un riesgo superior al recomendable. - El Modelo Genérico de Madurez aplicado en esta auditoría y los niveles de madurez detectados indican que los distintos procesos de la gestión de la tecnología informática (TI) están entre “Inicial (Nivel 1)” y “Medible (Nivel 4)”, con un nivel promedio de 2,2 (sobre una escala del 0 al 5) para los 34 objetivos de control considerados. - En general y teniendo en cuenta que se trata de una entidad bancaria rectora, debe trabajarse para que el nivel de madurez promedio para todos los procesos tienda a Administrado y Medible. Mencionamos el nivel de madurez que le corresponde a cada Objetivo, conforme al Modelo Genérico de Madurez (ver abajo). AUTORIDADES AGN Presidente Dr. Leandro O. Despouy Auditores Generales Dr. Vicente Brusca Dra. Vilma Castillo Dr. Francisco Fernández CPN Oscar Lamberto Dr. Alejandro Nieva Dr. Horacio F. Pernasetti Para cada uno de los Objetivos de Control se indica qué requerimientos de la información son afectados. Cada objetivo de control va acompañado de su nivel de riesgo genérico (alto, medio o bajo), poniendo en evidencia el impacto provocado por su incumplimiento y sin estar vinculado con la situación del organismo. Ese nivel genérico es modificado por el índice de madurez correspondiente (dependiente de las observaciones realizadas) para establecer el riesgo específico para ese objetivo. AGN Hipólito Yrigoyen 1236 (C1086AAV) CABA – Argentina Tel.: (54 11) 4124-3700 Fax: (54 11) 4124-3775 [email protected] 1 MODELO GENÉRICO DE MADUREZ. NIVELES 0 – No conforma. Falta total de procesos reconocibles. La organización no reconoce que existe un tema a ser tenido en cuenta. 1 – Inicial. La organización reconoce la existencia del tema y la necesidad de atenderlo. Sin embargo, no existen procesos estandarizados sino aproximaciones ad hoc que suelen ser aplicadas sobre una base individual o caso por caso. La administración aparece como desorganizada. 2 – Repetible. Los procesos han evolucionado hasta la etapa en la cual procedimientos similares son ejecutados por distintas personas que desarrollan las mismas tareas. No hay entrenamiento formal ni comunicación de procedimientos estándar y la responsabilidad es asumida por cada individuo. Hay un alto grado de confianza en el conocimiento de los individuos y los errores son probables. 3 – Proceso definido. Los procedimientos han sido estandarizados, documentados y comunicados vía entrenamiento. Sin embargo, es responsabilidad de los individuos cumplir con estos procesos y es improbable que se detecten las desviaciones. Los procedimientos en sí mismos no son sofisticados pero son la formalización de prácticas existentes. 4 – Administrado. Es posible monitorear y medir el cumplimiento de los procedimientos y accionar cuando los procesos parecen no estar trabajando adecuadamente. Los procesos están bajo mejora constante y proveen una práctica correcta. El uso de herramientas y de automatización es limitado o fragmentario. 5 – Optimizado. Los procesos han sido corregidos al nivel de la mejor práctica, en base a los resultados de la mejora continua y de la movilización con otras organizaciones. La TI es usada de forma integrada para automatizar el flujo de trabajo, proveer herramientas para mejorar la calidad y la eficacia y hacer que la organización se adapte rápidamente a los cambios. 2