Planificación Auditoria Informática Administración Nacional de Medicamentos, Alimentos y Tecnología Médica (ANMAT) - Ministerio de Salud. CONSIDERACIONES GENERALES Datos del Informe • La auditoria se propuso evaluar la gestión de la Tecnología de la Información (TI) en la Administración Nacional de Medicamentos, Alimentos y Tecnología Médica, Organismo descentralizado en la órbita del Ministerio de Salud, con el objeto de determinar debilidades y fortalezas de la administración de la información en el Organismo. Período Auditado • Año 2007. La Administración Nacional de Medicamentos, Alimentos y Tecnología Médica (ANMAT) es creada como organismo descentralizado de la Administración Pública Nacional, dependiendo técnica y científicamente de las normas y directivas que le imparta la Secretaría de Salud del Ministerio homónimo, con un régimen de autarquía económica y financiera y jurisdicción en todo el territorio Nacional. (Conf. Art. 2º del Dto. 1490/92). Es competencia del Organismo, el control y fiscalización sobre sanidad y calidad de: a) Drogas, productos químicos, reactivos y todo otro producto de uso y aplicación en la medicina humana. b) Alimentos acondicionados e ingredientes utilizados en la alimentación humana, productos de uso doméstico y materiales en contacto con los alimentos. c) Productos de higiene, tocador y cosmética humana y de drogas y materias primas que los componen. Su objetivo principal: “ garantizar que los medicamentos, alimentos y dispositivos médicos a disposición de la población, posean eficacia (cumplimiento del objetivo terapéutico, nutricional o diagnóstico), seguridad (alto coeficiente beneficio/riesgo) y calidad (respondan a las necesidades y expectativas de la ciudadanía)…”. Res N°: 150/2008 - Fecha: 07/10/08 ASPECTOS PRINCIPALES Esta auditoria verificó la ausencia generalizada de normas y procedimientos, algunos de los cuales son de importancia crítica para el correcto desempeño de la Tecnología de la Información (TI) en el Organismo. Algunos de los rubros inexistentes: • Estructura formal del área informática. • Planes estratégicos para el Organismo y para tecnología. • Políticas y procedimientos formales para abordar los resguardos y objetivos de seguridad e higiene. • Políticas sobre cálculo de costos. • Políticas de capacitación. • Planes de contingencia. • Control de datos. Por otra parte, las autoridades del Organismo, intervenido desde el año 2000, alegan tener un carácter temporario por lo que no consideran apropiado efectuar una programación a largo plazo. La evaluación realizada con el modelo genérico de madurez indica que el 88,2% de los objetivos de control se encuentran en los niveles más bajos del modelo: “No conforma” e “Inicial”, y ninguno alcanza el valor mínimo recomendable de “Proceso Definido” (ver Anexo IV). En síntesis:a) existen riesgos altos de falta de eficiencia y aún de falta de eficacia en la concreción de los objetivos y b) en general, la información del Organismo está sometido a riesgos que superan los valores aceptables. Para superar el actual estado de situación, es Constitución 1– Instituto Nacional de Medicamentos ( INAME). 2– Instituto Nacional de Alimentos (INAL). Informe completo www.agn.gov.ar/informes/ informesPDF2008/2008_150.pdf 3– Dirección de Tecnología Médica. 4– Dirección de Evaluación de Medicamentos. 5– Dirección de Planificación y Relaciones Institucionales. 6– Dirección de Coordinación y Administración. Los informes de Auditoria son aprobados por el Colegio de Auditores Generales conformado por el Presidente Dr. Leandro O. Despouy, y los Auditores Generales Dr. Vicente Mario Brusca, Dr. Francisco J. Fernández, Dr. Alfredo Fólica, Dr. Oscar Santiago Lamberto, Dr. Gerardo L. Palacios y Dr. Horacio F. Pernasetti. Página 2 Normativa Vigente Decretos: 1490/92 necesario darle prioridad a: • la definición de la estructura de la Tecnología de la Información (TI), de sus misiones y funciones, de las políticas y procedimientos a cumplir y el nombramiento del personal idóneo, responsable de cumplirlas satisfactoriamente, • tender a que la madurez de la calidad de la gestión se aproxime al nivel de “Procesos definidos”, • superar a la brevedad las limitaciones de los procesos ponderados en niveles “No conforma” e “Inicial”, particularmente en los casos en que la estimación del riesgo es alta. Finalmente, como elemento positivo, se ha observado que durante los trabajos de campo realizados, y como consecuencia de esos trabajos, ya se están produciendo mejoras en la Administración que serán evaluadas en una próxima auditoria. Para superar las falencias detectadas, es imprescindible un fuerte compromiso de las máximas autoridades de la Administración Nacional de Medicamentos, Alimentos y Tecnología Médica (ANMAT) para organizar los servicios de la Tecnología de Información. Algunos comentarios y observaciones: Para cada una de las Observaciones se menciona el nivel de madurez que le corresponde conforme al Modelo de Madurez de la Capacidad incluido en el Anexo IV. En el punto 6 se encuentran las Recomendaciones para mejorar el ambiente de control y reducir los riesgos. Además, para cada uno de los objetivos de control, se indica qué requerimientos de la información (detallados en el Anexo V) son afectados. Para determinar el impacto de las observaciones detectadas, se las clasificó de acuerdo con el nivel de riesgo: Alto, Medio o Bajo. Planificación y organización Definición de un Plan Estratégico de la TI Objetivo de control: La máxima autoridad debe impulsar el proceso periódico de planificación estratégica que permita formular los planes a largo plazo. A su vez, estos planes deben traducirse oportunamente en planes operativos que definan metas claras y concretas a corto plazo. Este objetivo de control afecta, primariamente: • la eficacia y en forma secundaria: • la eficiencia. Nivel de madurez: No Conforma. No se realiza ninguna planificación estratégica. Las autoridades del Organismo no han tomado conciencia de que se necesita una planificación estratégica de la Tecnología de Información para alcanzar y respaldar las metas del Organismo. Observaciones: Las autoridades actuales de la Administración entienden que, dado su carácter de Intervención, no les corresponde definir un plan estratégico que pudiera interferir con las decisiones de futuras autoridades. Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo.