Post on 04-Oct-2018
Evaluación de la Tecnología Informática en
Nación Fideicomisos Sociedad Anónima
Auditoría General de la Nación
Gerencia de Planificación y Proyectos Especiales
Departamento de Auditoría Informática
INDICE 1. OBJETO DE AUDITORÍA ............................................................................................... 1 2. ALCANCE ......................................................................................................................... 1
2.1. Ejecución del Trabajo de Auditoría ......................................................................................................... 1 2.2. Enfoque del Trabajo de Auditoría ........................................................................................................... 1 2.3. Procedimientos de Auditoría ................................................................................................................... 2
3. ACLARACIONES PREVIAS ........................................................................................... 3 3.1 Marco Normativo e institucional de Nación Fideicomisos ...................................................................... 3 3.2 Contexto de TI del objeto de control ........................................................................................................ 6
4. COMENTARIOS Y OBSERVACIONES ......................................................................... 8 4.1. Cuestión de auditoría 1: Planificación y organización de TI ................................................................... 8 4.2. Cuestión de auditoría 2: Adquisición e implementación ....................................................................... 18 4.3. Cuestión de auditoría 3: Entrega y soporte ............................................................................................ 23 4.4. Cuestión de auditoría 4: Monitoreo y evaluación .................................................................................. 37
5. RECOMENDACIONES .................................................................................................. 40 6. CONCLUSIÓN ................................................................................................................ 46 7. COMUNICACIÓN AL ENTE ......................................................................................... 48 8. LUGAR Y FECHA .......................................................................................................... 48 9. FIRMA ............................................................................................................................. 48 10. ANEXOS ....................................................................................................................... 49
ANEXO I – Comentarios del auditado ......................................................................................................... 49 ANEXO II – Análisis de los comentarios del auditado ................................................................................ 58 ANEXO III – “Análisis de la página Web institucional” ............................................................................. 97 ANEXO IV – Evaluación del cumplimiento de la Res. 48/05 SIGEN “Pautas de control Interno de TI” . 103
INFORME DE AUDITORÍA
1
Al Ing. Marcelo Pedro Blanco
Presidente
Nación Fideicomisos S.A.
En uso de las facultades conferidas por el artículo 118 de la Ley 24.156, la AUDITORÍA
GENERAL DE LA NACIÓN efectuó un examen en el ámbito de Nación Fideicomisos
S.A., con el objeto que se detalla en el apartado 1.
1. OBJETO DE AUDITORÍA
Gestión de la Tecnología Informática en el ámbito de Nación Fideicomisos Sociedad
Anónima.
2. ALCANCE
2.1. Ejecución del Trabajo de Auditoría
El examen fue realizado de conformidad con las Normas de Control Externo
Gubernamental aprobadas por la AUDITORÍA GENERAL DE LA NACIÓN mediante la
Resolución N° 26/15, dictada en virtud de las facultades conferidas por el artículo 119
inciso “d” de la Ley N° 24.156, aplicándose los procedimientos detallados en el punto 2.3.
El período auditado abarca desde el 01-01-2014 al 31-03-2016.
Las tareas de campo se desarrollaron de abril a septiembre de 2016.
2.2. Enfoque del Trabajo de Auditoría
INFORME DE AUDITORÍA
2
La tarea abarcó el nivel de controles aplicados a la Tecnología Informática en Nación
Fideicomisos S.A., en base a la información obtenida, a la identificación de los temas de
mayor exposición al riesgo y a las pruebas sustantivas y de cumplimiento realizadas.
La auditoría se basó en la evaluación de los Objetivos de Control establecidos por el marco
de referencia de buenas prácticas de TI COBIT (Control Objectives in Information
Technologies) versión 4.1. Los Objetivos de Control describen los resultados que debe
alcanzar una Organización implantando sus procedimientos, basados en las mejores
prácticas aplicables a los procesos de TI.
2.3. Procedimientos de Auditoría
• Realización de entrevistas con los responsables de las áreas dependientes de la TI y el
responsable de la Gerencia de Tecnología y Procesos (GTP), con sus niveles
dependientes.
• Inspección del Centro de Procesamiento de Datos utilizado para correo electrónico,
servicio de Internet y diversas aplicaciones de la empresa.
• Verificación de la seguridad lógica en los servidores que prestan diversos servicios.
• Análisis de información recibida.
• Evaluación de los procedimientos de TI de la empresa.
• Evaluación contenido y funcionalidad del sitio http://www.nacionfides.com.ar
• Evaluación contenido y funcionalidad de la Intranet (http://blog/).
• Pruebas Sustantivas
o Red Informática: control de usuarios, directivas y contraseñas, controladores de
dominio y servidores seleccionados controles internos generales.
o Control de tareas funcionales del personal de TI y otros respecto de los roles
asignados dentro del aplicativo financiero PeopleSoft.
o Control de la política de usos aceptables (verificación de firmas).
INFORME DE AUDITORÍA
3
• Control de cumplimiento del siguiente marco normativo:
− Resolución 48/05 de SIGEN.
− Disposición ONTI 3/2013 “Política de Seguridad de la Información Modelo”.
− Ley 25.326 “Protección integral de los datos personales”.
− Ley 25.506 “Ley de Firma Digital”.
− Ley 26.653 “Accesibilidad de la Información de las Páginas Web".
3. ACLARACIONES PREVIAS
3.1 Marco Normativo e institucional de Nación Fideicomisos
De acuerdo a la normativa, hay contrato de fideicomiso cuando una parte llamada
fiduciante trasmite o se compromete a trasmitir la propiedad de ciertos bienes (los “bienes
fideicomitidos”) a otra parte denominada fiduciario, quien se obliga a ejercerla en
beneficio de una tercera llamada beneficiario, todas ellas designadas por contrato. Al
cumplimiento de determinado plazo o condición, la propiedad de los bienes se transmite al
fideicomisario (que puede ser el propio fiduciante). Los bienes fideicomitidos constituyen
un patrimonio separado del patrimonio del fiduciante y del fiduciario, lo que significa que
los acreedores personales de uno y otro no pueden embargarlos ni ejecutarlos.
INFORME DE AUDITORÍA
4
Figura Nº1 Esquema Conceptual de Fideicomisos
Fuente: Presentación Institucional de Nación Fideicomisos S.A.
La figura nace en el sector privado y se rige conforme al Código Civil y Comercial, art.
1.666, que toma la definición del art. 1º (hoy derogado) de la ley 24.441, “Financiamiento
de la Vivienda y la Construcción”. La Administración Pública Nacional adoptó la figura
recurriendo subsidiariamente al marco establecido para el sector privado.
En los fideicomisos públicos el patrimonio se conforma con bienes o con la afectación de
fondos del Estado1 y deben crearse por ley.2 Es de destacar que en algunos fideicomisos
donde el Estado Nacional actúa como fiduciante, el acto jurídico de creación establece
entre otros aspectos la formación de una comisión (o ente administrador) conformada por
1 Existen fondos fiduciarios públicos tanto presupuestarios como extra presupuestarios. 2 Ley 25.565 de Presupuesto 2002, que modifica el art. 5º inc.”a” de la Ley 25.152 de Administración de los Recursos Públicos.
INFORME DE AUDITORÍA
5
representantes de éste, con funciones que generalmente radican en el control del
cumplimiento de los objetivos del fideicomiso.3
En lo que respecta a los riesgos inherentes al negocio de fideicomisos, es dable señalar en
este sentido que desde 1989 el Grupo de Acción Financiera Internacional (GAFI) ha
promovido internacionalmente la implementación de medidas diseñadas para combatir el
uso indebido del sistema financiero internacional. A este respecto, la Ley 25.246 crea la
Unidad de Información Financiera (UIF), encargada del análisis, tratamiento y transmisión
de información a los efectos de prevenir e impedir el delito de lavado de activos (artículo
303 del Código Penal). El art. 20º de dicha ley establece los sujetos obligados a informar a
la UIF cualquier operación sospechosa, entre ellos, “(…) las personas físicas o jurídicas
que actúen como fiduciarios”.
Debido a la especificidad del negocio, el Grupo Nación4 creó a Nación Fideicomisos S.A.
(NAFISA) como empresa integrante especializada en la estructuración y administración de
fideicomisos, por los cuales cobra honorarios. De acuerdo a la Memoria y Estados
Contables al 31/12/15, “el Banco de la Nación Argentina es el accionista controlante de
Nación Fideicomisos S.A., con una participación del 99,4636% en el capital social”.
Según surge del Plan Comercial 2015, desde su creación se ha especializado en fondos
fiduciarios de proyectos de infraestructura.
NAFISA se complementa con el resto de las empresas del Grupo Nación atento a la
especialización de cada una de ellas. El hecho de formar parte de un grupo empresario
3 De acuerdo al Relevamiento de la Actividad Fiduciaria del Sector Público Nacional (Res. AGN 23/05), “Este órgano generalmente es el responsable del cumplimiento de los objetivos específicos del contrato, o bien de la aprobación de las acciones ejecutadas por el fiduciario. (…) Sus facultades, obligaciones y conformación se hallan estipuladas en el contrato de fideicomiso.” 4 Nación Seguros S.A., Nación Reaseguros S.A., Nación Seguros de Retiro S.A., Nación Servicios S.A., Nación Factoring S.A., Nación Leasing S.A., Pellegrini S.A. y Nación Bursátil S.A.
INFORME DE AUDITORÍA
6
implica que ciertas decisiones son tomadas para el conjunto de empresas, debiendo las
sociedades controladas -entre ellas NAFISA- subordinarse a ellas.
3.2 Contexto de TI del objeto de control
La gestión de la compañía se apoyó originalmente en aplicativos disponibles en el
mercado. Al respecto, sucesivos informes de auditoría objetaron la falta de integración
entre la aplicación contable y la de administración propia de los fideicomisos, más algunas
observaciones de seguridad en el software para la detección de operaciones sospechosas de
lavado de activos de origen delictivo, entre otras carencias de funcionalidades, motivo por
el cual la dirección de la empresa resolvió su progresivo reemplazo por otros que suplieran
en parte dichas debilidades.
Con anuencia del Directorio, la Gerencia de Tecnología y Procesos (GTP) adoptó la
política de no llevar a cabo desarrollos con personal propio y adquirir soluciones llave en
mano. Esto es, en la práctica, la compra de sistemas pre-planeados o enlatados tanto para la
administración de la empresa como para los fideicomisos en los que NAFISA actúa como
fiduciario. Los aplicativos elegidos fueron PeopleSoft5 (administrativo de propósitos
generales), Safiro6 (para la administración de los fideicomisos) y Vigía7 (para detección de
operaciones sospechosas de lavado de activos de origen delictivo).
Los sistemas enlatados o genéricos tienen la ventaja de ser de implementación
relativamente inmediata por tener funcionalidades básicas previamente armadas.
Generalmente resultan de costo definido (en los desarrollos con personal propio, el costo y
el tiempo de desarrollo e implementación son inciertos) y de una calidad establecida dados 5De Oracle S.A., que fue adoptada por el Grupo Nación. 6 De Softing S.A. 7 De Systech S.A.
INFORME DE AUDITORÍA
7
los antecedentes en el mercado. Como contrapartida, los usuarios finales no siempre se
sienten satisfechos atento que las facilidades establecidas por éstos no cubren todas sus
necesidades, por ejemplo no permiten consultas o generación de reportes no planeados.
Adicionalmente, como se trata de paquetes adquiridos en forma independiente, se deben
realizar desarrollos adicionales a fin de integrarlos.
Como política, la GTP no modifica los productos originales adquiridos: sólo los
parametriza a las necesidades del negocio. De acuerdo a información provista por el
auditado, “(…) las customizaciones o modificaciones requieren de una inversión
importante, y si se modifica el paquete original no se puede instalar las actualizaciones
sobre el paquete modificado.”8
No obstante, a raíz de la complejidad y heterogeneidad de los diversos fideicomisos que
NAFISA administra, cada uno recibe un tratamiento a medida, lo que implica cierta
adaptación de los sistemas para poder administrar a cada fideicomiso de acuerdo a sus
particularidades. Esto ha puesto en evidencia la dificultad que las soluciones automatizadas
existentes en el mercado tienen para satisfacer las funcionalidades requeridas. Cuestiones
como tratamientos impositivos, cálculo de intereses, moratorias variables y especificidades
sobre el devengamiento, entre otras, no están contempladas en los aplicativos y deben ser
elaboradas y revisadas manualmente.
Cabe aclarar que los aplicativos adquiridos son plataformas multiempresas, lo que en la
práctica implica que cada fideicomiso nuevo debe crearse dentro del ambiente de ese
sistema, en un entorno propio e independiente (o “compartimiento estanco”) de la
administración de NAFISA en sí y del resto de los fideicomisos.
8 Fortalezas y debilidades de Peoplesoft, documento provisto en respuesta a Nota 39/16-A06.
INFORME DE AUDITORÍA
8
Al momento de los trabajos de campo, los fideicomisos que representaban el 86,65% de la
facturación de la compañía habían sido migrados al conjunto de aplicaciones PeopleSoft-
Safiro-Vigía.9
4. COMENTARIOS Y OBSERVACIONES 4.1. Cuestión de auditoría 1: Planificación y organización de TI
4.1.1. La formulación de la Planificación Estratégica de TI no se presenta con los niveles
de claridad y de detalle necesarios, lo que dificulta su seguimiento posterior.
Las mejores prácticas en TI señalan la necesidad de contar con una planeación estratégica
específica para administrar y dirigir los recursos de TI de acuerdo con los objetivos
estratégicos de la empresa y sus prioridades. El plan estratégico debe mejorar el
entendimiento de los interesados clave respecto a las oportunidades y limitaciones de TI,
evaluar el desempeño actual y aclarar el nivel de inversión requerido. La estrategia y las
prioridades se deben reflejar en los proyectos de inversión y deben ser ejecutadas por los
planes tácticos de TI, los cuales establecen objetivos y tareas específicas.
9FF Privado Serie II 15,11%; Fideicomiso Financiero NASA, 14,00%; Fideicomiso Financiero ENARSA Barragán, 9,06 %; Fideicomiso Obra Norte 2006-2008, 6,16%; Fideicomiso Obra Sur 2006-2008, 6,16%; Fid. Financiero ENARSA Brigadier López, 4,67%; Fideicomiso FF FOCEDE Edenor, 3,97%; Fideicomiso FF FOCEDE Edesur,3,86%; FA Fondo Argentino de Hidrocarburos, 3,47%; Fideicomiso Financiero ACSA, 2,99%; Fideicomiso de Gas Ampl. Gasoducto Sur, 2,51%; Fid. Adm. Fondo Turismo Estudiantil, 2,24%; FF NASA Serie III, 2,10%; Fideicomiso de Gas Ampl. Gasoducto Norte, 1,74%; Fideicomiso Financiero NASA Serie II, 1,70%; Fideicomiso FFA FOCEGAS Pampeana, 1,20%; Fideicomiso FFA FOCEGAS METROGAS, 1,18%; FF Loma Blanca Serie I, 1,11%; Fideicomiso FFA FOCEGAS GNBAN, 1,10%; Fideicomiso FFA FOCEGAS Sur, 0,49%; Fideicomiso de Administración Importación Gas Natural, 0,46%; Fideicomiso FFA FOCEGAS Centro, 0,46%; Fideicomiso FFA FOCEGAS CUYANA, 0,41%; Fideicomiso FFA FOCEGAS GASNOR, 0,27%; Fideicomiso FFA FOCEGAS GASENEA, 0,07%; Fideicomiso FFA FOCEGAS DISTRIGAS, 0,07%; Fideicomiso FFA FOCEGAS REDENGAS, 0,05%; y Fideicomiso FFA FOCEGAS BAGSA, 0,04%.
INFORME DE AUDITORÍA
9
Si bien la planeación estratégica y táctica de TI está formalizada, aprobada por la máxima
autoridad de la empresa y en línea con los objetivos estratégicos de ésta, se observa que:
Contiene imprecisiones relativas a tiempos en algunos proyectos, y falta de totales de
inversión proyectada por año.10
Considerando que es un documento que debe ser aprobado por el directorio de la empresa,
el lenguaje en algunos casos es demasiado técnico y se utilizan acrónimos y siglas que no
están aclarados. Su forma de exposición dificulta el seguimiento.
4.1.2. La arquitectura de la información de la empresa no se encuentra totalmente
integrada, lo que genera la necesidad de realizar tareas de composición de datos,
desarrollar interfaces específicas y llevar a cabo controles manuales que afectan la
eficacia y eficiencia de los procesos.
Las mejores prácticas en TI señalan la necesidad de crear y actualizar de forma regular un
modelo de información, lo que incluye el desarrollo de un diccionario de datos de la
organización, el esquema de clasificación de datos y los niveles de seguridad. Este proceso
de TI también es necesario para mejorar la efectividad y control de la información
compartida a lo largo de las aplicaciones.
Debido a que los sistemas clave del negocio que habían sido adquiridos en su oportunidad
fueron objetados por distintos informes de auditoría11, la GTP –que adoptó la política de
10 Por ejemplo en el Plan de Tecnología 2014 no se detalló la duración del proyecto ni los recursos humanos afectados en los desarrollos planeados para el aplicativo Physis o la implementación de Sipre y Safiro; o en el Plan de Tecnología 2016 para la implementación del Vigía que se contemplan 480 horas mensuales de una persona, lo que equivale a 60 días de una jornada de 8 horas. 11 Por ejemplo el informe de Seguimiento de Observaciones de Auditoría de Empresas Controladas al 31-12-2015 a cargo de la Unidad de Auditoría Interna del B.N.A. menciona que “…El sistema para Prevención de Lavado de Activos y Financiamiento del Terrorismo que posee la Sociedad (…) no permite analizar y
INFORME DE AUDITORÍA
10
comprar soluciones llave en mano- adquirió el sistema contable y administrativo
PeopleSoft; Safiro, para la administración de los fideicomisos, y Vigía, para detección de
operaciones sospechosas de lavado de activos de origen delictivo, sistemas que cubrían
tanto las necesidades funcionales como las observaciones mencionadas. Además, adquirió
el Sipre, para operar los fideicomisos de préstamos.
Al momento de los trabajos de campo de esta auditoría, estos aplicativos presentaban
problemas de integración. Por otra parte, no existe un diccionario único de datos de la
organización, ni se ha llevado a cabo un esquema de clasificación de datos basado en la
criticidad y sensibilidad de la información, necesarios para conocer detalles de los datos de
la organización y sus vinculaciones, de modo de prevenir duplicaciones e
incompatibilidades.
4.1.3. En la formulación de la dirección tecnológica no se han explicitado los riesgos
relacionados con la dependencia de la empresa sobre ciertos servicios tercerizados
críticos. Esto genera incertidumbre sobre la calidad del servicio que los proveedores
pueden brindar ante determinadas situaciones.
La GTP debe determinar la dirección tecnológica para dar soporte a los objetivos
estratégicos de la empresa. Esto requiere de la creación de un plan de infraestructura
tecnológica que establezca y administre expectativas realistas y claras de lo que la
tecnología puede ofrecer en términos de productos, servicios y mecanismos de aplicación.
El plan debe actualizarse regularmente y abarcar la arquitectura de sistemas, dirección monitorear distintas variables para identificar ciertos comportamientos…”. En el mismo sentido la firma KPMG sugiere que “….el producto actualmente en uso podría ser reemplazado por otra alternativa.”. El mencionado informe de la UAI del B.N.A. también mencionó debilidades en los aplicativos para la gestión administrativo-contable y para la administración de fideicomisos. “…Como consecuencia de la falta de integración entre los aplicativos, la contabilización de las operaciones de fideicomisos no se realiza de manera automática…”.
INFORME DE AUDITORÍA
11
tecnológica, planes de adquisición, estándares, estrategias de migración y contingencias.
Esto permite mejorar los tiempos de reacción para la toma de decisiones en situaciones de
cambio.
De la documentación entregada surge que la dirección tecnológica está formalmente
definida, y se contemplan las tecnologías existentes y emergentes para materializar la
estrategia de TI.12 Producto de lo expresado precedentemente, se incorporaron aplicaciones
nuevas en las actividades clave del negocio13 que reemplazaron a las existentes hasta ese
entonces, de modo de adaptar mejor las actividades de la empresa a los requerimientos
funcionales y regulatorios.
Se observa una debilidad relacionada con: i) la falta de explicitación de los riesgos
asociados a la tercerización de servicios críticos (y en consecuencia las acciones que se
deben tomar frente a éstos)14 y ii) la existencia de acuerdos de nivel de servicios poco
precisos;15 lo que genera incertidumbre sobre la eficacia del control de los proveedores
considerados críticos, dada la significativa dependencia de la empresa sobre servicios
tercerizados.
4.1.4. La estructura organizacional de TI actual es insuficiente para llevar a cabo todas
las funcionalidades requeridas con un adecuado control interno por oposición. Además,
falta definir procedimientos formales para procesos relevantes de la organización. Como
resultado de estos dos factores existe una dependencia crítica sobre individuos clave, lo
que conlleva el riesgo que ante su posible ausencia la prestación de algún servicio crítico
se vea afectada.
12 Planes de tecnología 2013, 2014 y 2015, entre otros. 13 Los aplicativos PeopleSoft, Safiro y Vigía. 14 Para más detalles ver punto 4.1.9 Evaluar y administrar los riesgos de TI. 15 Para más detalles ver punto 4.3.2 Administrar servicios de terceros.
INFORME DE AUDITORÍA
12
Una organización de TI se debe definir tomando en cuenta los requerimientos de personal,
funciones, delegación, autoridad, roles, responsabilidades y supervisión. En la
organización debe estar inserto un marco de trabajo de procesos de TI que asegure la
transparencia y control, así como el involucramiento de los altos ejecutivos de nivel
decisorio. Deben existir procesos, políticas administrativas y procedimientos para todas las
funciones, con atención específica en el control, el aseguramiento de la calidad, la
administración de riesgos, la seguridad de la información, la propiedad de datos y de
sistemas y la segregación de tareas.
La actual estructura organizacional de TI16 resulta insuficiente para cubrir todas las tareas
funcionales. Hay tareas relevantes de planificación y control que no se llevan a cabo a
nivel operativo, tales como la administración de proyectos, análisis de riesgo,
aseguramiento de la calidad y monitoreo (tanto de la infraestructura como de los servicios
tercerizados).
Complementariamente, algunas de las funciones existentes no se encuentran desagregadas
o definidas de tal manera que fortalezcan el control interno por oposición de intereses, tales
como las que competen al Supervisor de Tecnología, responsable de “Definir estándares
metodológicos y técnicos que permitan ejercer un adecuado control de calidad, seguridad
y performance de los recursos tecnológicos de [hardware], redes e instalaciones
vinculadas, de la Empresa”, quien debe simultáneamente “Supervisar el correcto
cumplimiento de los proveedores contratados para el desarrollo e implementación de
aplicativos de uso interno de la Empresa, en los aspectos referentes a la seguridad de las
redes, así como de su posterior mantenimiento y la realización de las instalaciones que 16 Establecida desde enero de 2016, con modificaciones en febrero y abril del mismo año. Cabe aclarar que la función de Supervisor de Calidad no se encontraba cubierta al momento de las tareas de campo de esta auditoría.
INFORME DE AUDITORÍA
13
correspondan”17; en conclusión, recae en el mismo funcionario la doble función de fijar
los estándares y controlarlos.
Además, existe dependencia crítica sobre algunos individuos clave18. Faltan
procedimientos de mesa de ayuda, cambios en situaciones de emergencia, control sobre los
proveedores de servicios tercerizados, mantenimiento de hardware, pasaje de software a
producción y pruebas de aplicaciones. Por último, la página web institucional se encuentra
sin mantenimiento de contenidos debido a que no hay un responsable designado para
administrarla.
4.1.5. La GTP presupuesta los costos de TI de toda la organización sin identificar los que
pertenecen a otras gerencias. De este modo asume como propio la totalidad de lo
presupuestado, dificultando así la exposición de la información para la correcta toma de
decisiones por parte de los niveles directivos.
Una organización de TI debe llevar cabo un proceso de administración presupuestaria de
TI donde, habiendo identificado los costos propios de cada gerencia, se pueden comparar
los costos reales con los presupuestados, identificar en forma oportuna las desviaciones y
evaluar el impacto de éstas sobre lo planificado.
La GTP realiza todos los años la formulación presupuestaria del año siguiente pero lo hace
en función del costo total de TI de la empresa, con lo cual se imputan presupuestos que no
pertenecen a la propia gerencia. El presupuesto de TI en relación al gasto total de la
empresa en los años 2014 y 2015 fue de 6,11%19 y 7,13% respectivamente.
17Documento “Descripción de Puesto: Supervisor de Tecnología” suministrado por la GTP de NAFISA. 18 Para más detalles ver punto 4.1.7. 19 De acuerdo con información suministrada por la GTP y la Supervisión de Control Interno los gastos totales de la empresa fueron 81.739.000 (9.170.000 de gastos comerciales más 72.569.000 de gastos operativos) y
INFORME DE AUDITORÍA
14
4.1.6. La comunicación de los objetivos y la dirección de TI está parcialmente informada
al personal relevante, lo que condiciona el apoyo a la estrategia de TI y la entrega de
valor.
Las máximas autoridades de la empresa deben implantar un programa de comunicación
continua para articular la misión, los objetivos de servicio, las políticas y procedimientos
aprobados y apoyados por la dirección. La comunicación apoya el logro de los objetivos de
TI y asegura la concientización y el entendimiento de los riesgos. El proceso debe
garantizar el cumplimiento de las leyes y reglamentos.
La empresa cuenta con la Intranet para facilitar el acceso a parte de la normativa interna
sobre diversas temáticas, pero al no estar clasificada, se dificulta la identificación de los
temas específicos de TI por parte de los usuarios. Asimismo, falta un digesto centralizado
de normas por gerencia que incluya las políticas, normas y procedimientos de TI.
4.1.7. Existe dependencia de individuos clave. Esto expone a la organización a que en
alguna situación la prestación del servicio de TI pueda verse afectada.
Una buena práctica para incorporar, mantener y motivar una fuerza de trabajo para la
creación y entrega de servicios de TI se logra siguiendo prácticas definidas y aprobadas
que apoyan el reclutamiento, entrenamiento, la evaluación del desempeño, la promoción y
la desafectación.
99.056.000 (gastos comerciales 8.763.000 más 90.293.000 de gastos operativos) para los períodos 2014 y 2015; en tanto que el gasto en TI para esos mismos períodos fue de 4.991.580 (3.541.560 pesos y 169.000 dólares) y 7.067.580,00 respectivamente. Los valores sobre los gastos totales fueron suministrados en miles. Se tomó como valor del dólar, la cotización para la venta del día 30-12-2014 (último día hábil).
INFORME DE AUDITORÍA
15
El reclutamiento de recursos humanos, las políticas de retención del personal, las
competencias, la asignación de roles, evaluación de desempeño y la finalización del
vínculo laboral, están formalmente definidos en el “Manual de Políticas y Prácticas de
Recursos Humanos”. Asimismo, la empresa cuenta con descripciones de cada puesto. De
este documento se desprende que el supervisor de calidad tiene asignadas funciones de
control y supervisión que no se están cumpliendo por encontrase vacante el puesto. Por
otra parte, en la GTP se verifica la dependencia de individuos clave, cuya ausencia no
puede ser cubierta por otro recurso humano de similares conocimientos. En particular, la
función de supervisión de parametrizaciones lleva éstas a cabo para cada nuevo
fideicomiso en el aplicativo administrativo-contable Peoplesoft, sin que el procedimiento
de parametrización se encuentre documentado. Esto expone a la empresa a
vulnerabilidades frente a errores u omisiones y a que en alguna situación la prestación del
servicio de TI pueda verse afectada.
4.1.8. No se ha establecido formalmente un Sistema de Aseguramiento de la Calidad, lo
que impide identificar desviaciones, aplicar acciones correctivas, informar a los usuarios
involucrados y conocer la entrega de valor de TI a los objetivos estratégicos de la
empresa.
Las áreas de TI deben elaborar y mantener un sistema de administración de calidad, que
incluya procesos y estándares probados de desarrollo y de adquisición. Los requerimientos
de calidad se deben manifestar y documentar con indicadores cuantificables y alcanzables.
La mejora continua se logra por medio del constante monitoreo, corrección de
desviaciones y la comunicación de los resultados a los interesados. La administración de
calidad es esencial para garantizar que la TI está dando valor a los objetivos estratégicos de
la empresa.
INFORME DE AUDITORÍA
16
No existen políticas, procedimientos, ni un sistema de aseguramiento de calidad que
establezca estándares para medirla y monitorearla.
4.1.9. No se han formalizado estudios de riesgos, por lo que ante la presencia de un evento
inesperado, no se tienen definidos los cursos de acción a tomar, situación que puede
afectar las operaciones de la empresa.
El área de TI debería, de acuerdo a las buenas prácticas en la materia, mantener un marco
de trabajo de administración de riesgos que documente un nivel común y acordado de
riesgos de TI, estrategias para evitar, mitigar, reducir, compartir, transferir, asumir, aplazar
y administrar los riesgos residuales acordados. El resultado de la evaluación debe ser
entendible para los participantes, para permitir alinear los riesgos a un nivel aceptable de
tolerancia.
De las tareas de campo surge que no existe un marco formal de administración de riesgos
que permita identificarlos con el objeto de tomar acciones para prevenirlos, asumirlos,
mitigarlos, evitarlos o resolverlos en caso de un incidente, cuantificando costos y
probabilidades de ocurrencia.
Si bien los riesgos tecnológicos sobre el hardware y el software se conocen, se limita a un
esquema informal. En consecuencia, falta la formalización del contexto de riesgo y su
evaluación estructurada de manera tal de contemplar las fortalezas, oportunidades,
debilidades y amenazas, con el fin de evitar que se produzcan incidentes que pongan en
riesgo las operaciones.
4.1.10. No existe un marco de trabajo formalizado para la administración de proyectos.
Como consecuencia de esto, se dificulta determinar la coordinación, la correcta
INFORME DE AUDITORÍA
17
asignación de prioridades y de recursos, el cumplimiento de los objetivos tácticos y la
entrega de valor para el negocio.
El área de TI debería establecer un programa y un marco de control para la administración
de todos los proyectos de TI, que garantice la correcta asignación de prioridades y la
coordinación de recursos. El marco de trabajo debe incluir un plan maestro, asignación de
recursos, definición de entregables, aprobación de los usuarios, un enfoque de entrega por
fases, aseguramiento de la calidad, un plan formal de pruebas, revisión de pruebas y
revisión post-implantación para garantizar la administración de la ejecución del proyecto y
su contribución a los objetivos estratégicos de la empresa.
De las tareas de campo surge que el marco de trabajo para la administración de proyectos
es informal y que incluso no se aplica en todos los casos. Asimismo, la empresa carece de
una unidad administrativa o función asignada que tenga a cargo la administración y control
de los proyectos de TI tercerizados, por lo que esa función recae sobre el Gerente de
Tecnología y Procesos y genera una dependencia crítica de este funcionario. Por otra parte,
y al haber adoptado como política tercerizar la mayoría de los servicios de TI sin que
medien acuerdos de niveles de servicios robustos en todos los casos,20 se genera una
dependencia crítica de los proveedores.
La carencia de un marco formal y estructurado de administración de proyectos de TI
dificulta la comunicación y el involucramiento del negocio y de los usuarios finales, no
asegura la calidad de la documentación entregable y genera una fuerte dependencia sobre
el administrador real de los proyectos.
20 Para más detalles ver punto 4.3.2 Administrar servicios de terceros.
INFORME DE AUDITORÍA
18
4.2. Cuestión de auditoría 2: Adquisición e implementación
4.2.1. NAFISA carece de un tratamiento centralizado de los requerimientos funcionales
que formulan los usuarios, por lo que existen múltiples plataformas para su seguimiento y
debe componerse información para obtener un estado de situación consolidado.
La necesidad de una nueva aplicación o función requiere de un análisis antes de la compra
o desarrollo para garantizar que los requisitos del proyecto se satisfacen con un enfoque
efectivo y eficiente. Este proceso cubre la definición de las necesidades, considera las
fuentes alternativas, realiza una revisión de la factibilidad tecnológica y económica, ejecuta
un análisis de riesgo y de costo-beneficio y concluye con una decisión final de desarrollar
o comprar. Todos estos pasos permiten a la empresa minimizar el costo para adquirir e
implantar soluciones, mientras que al mismo tiempo facilitan el logro de los objetivos.
En NAFISA la solución a los requerimientos funcionales de negocio se abarcan de manera
global con la adquisición de soluciones llave en mano. Antes del proceso de compra de la
solución integral, se llevan a cabo los estudios de factibilidad, análisis funcional,
debilidades y costos. Estas decisiones son aprobadas por el directorio.
La política adoptada por la GTP es no hacer adaptaciones sobre el código fuente a los
productos comprados, por lo tanto una vez instalado, las demandas puntuales de los
usuarios son satisfechas sólo en la medida en que estos contengan las funcionalidades
necesarias para proveerlas. En este sentido, cada producto comprado incluye un servicio de
soporte y mantenimiento posterior por una cantidad de horas de consultoría suministrada
por los proveedores.
De este esquema de trabajo se observa la falta de un repositorio común donde almacenar
INFORME DE AUDITORÍA
19
los requerimientos funcionales que realizan los usuarios, un procedimiento formal de
administración de requerimientos donde se identifique, de prioridad y analice la
factibilidad o los cursos de acción alternativos, la asignación de recursos y su posterior
seguimiento.
4.2.2. Las parametrizaciones que se realizan sobre los sistemas de NAFISA no se
encuentran comunicadas formalmente a las gerencias usuarias por la falta de un
procedimiento aprobado y específico. Ante estas situaciones, las áreas operativas que
solicitan una parametrización no pueden verificar adecuadamente que éstas se hayan
realizado de acuerdo a las necesidades del negocio, dificultando el control posterior y
generando una dependencia crítica sobre el personal que lleva a cabo la tarea.
Se precisa tener un ambiente controlado para la adquisición de aplicativos y su posterior
mantenimiento. Esto permite que los cambios producidos por la incorporación de nuevas
soluciones automatizadas impacten lo menos posible en la operatividad de la empresa.
En relación a las adquisiciones, se lleva a cabo una evaluación de las ofertas existentes en
el mercado donde se analizan aspectos de factibilidad, funcionalidad, cumplimiento de
regulaciones, costos y debilidades. Los aplicativos son plataformas multiempresas,21 lo que
en la práctica implica que cada nuevo fideicomiso a administrar requiere de la creación del
entorno propio a través de la parametrización que permiten estos productos. En este
contexto, el alta de fideicomisos y su parametrización es el único proceso que podría
definirse como un cambio. Dependiendo de los valores que se asignen en esta etapa a cada
entorno propio de cada fideicomiso a administrar, la aplicación actuará en consecuencia.
La GTP no realiza adaptaciones propias al software.22
21 Para más detalles ver punto 4.2. ADQUIRIR E IMPLEMENTAR 22 Para más detalles ver punto “3.3 Contexto de TI del objeto de control”.
INFORME DE AUDITORÍA
20
En este sentido se observa que las documentaciones de las parametrizaciones no se
encuentran comunicadas formalmente a las gerencias usuarias por la falta de un
procedimiento aprobado y específico, lo cual impide un control concomitante (por parte
del usuario) o expost (por parte de la auditoría). A modo de ejemplo, esto sucedió en la
segunda etapa de migración de los fideicomisos al PeopleSoft. De este modo la GTP se
hace responsable por los resultados de la parametrización (y el posterior comportamiento
de la aplicación) cuando debe ser responsabilidad de usuario final interesado.
4.2.3. El impacto de un cambio en las reglas del negocio, un desarrollo nuevo o una
modificación de un aplicativo puede generar una modificación en la infraestructura de TI
que no esté formalmente contemplada, lo que implica un riesgo para el nivel de prestación
del servicio de TI.
Para la adquisición y mantenimiento de la infraestructura tecnológica, las organizaciones
deben contar con procesos para adquirir, implantar y actualizar la infraestructura
tecnológica dentro de un enfoque planeado y de acuerdo con las estrategias tecnológicas
convenidas.
De las tareas de campo realizadas se desprende que no está formalmente contemplado el
impacto que pueda producir sobre la infraestructura tecnológica un nuevo fideicomiso o la
administración del mismo, un desarrollo nuevo, un cambio importante en alguna de las
aplicaciones existentes o una modificación de las reglas de negocio.
Complementariamente, los acuerdos de nivel de servicios con la empresa del grupo Nación
Servicios S.A. -que suministra los recursos para el procesamiento de la aplicación
administrativa-contable PeopleSoft- no están determinados. Esto implica un riesgo
adicional ya que, por tratarse de un servicio tercerizado, no se tiene control sobre la propia
INFORME DE AUDITORÍA
21
capacidad y riesgos de esta empresa para brindar el servicio.
4.2.4. Los procedimientos administrativos relacionados con las aplicaciones
administrativas/contables no se encuentran actualizados en su totalidad, por lo que la
operatoria puede presentar ambigüedades.
Los procedimientos formalmente aprobados para la operatoria administrativa deben
mencionar y contemplar la interacción con los aplicativos y cómo se debe actuar en cada
situación, de modo de minimizar los actos discrecionales o las interpretaciones erróneas
por parte de los usuarios.
En ese sentido, al momento de los trabajos de campo de esta auditoría se observó que
algunos procedimientos de operatoria administrativa relacionada con los sistemas
PeopleSoft y Safiro se encontraban desactualizados23.
4.2.5. No existen controles específicos formales sobre el nivel de servicio de post-venta
suministrado por los proveedores.
Las mejores prácticas en materia de adquisición de recursos de TI exigen la definición y
ejecución de adecuados procedimientos de adquisición, la selección de proveedores, el
ajuste de arreglos contractuales y la adquisición en sí para garantizar que la empresa cuente
oportunamente con todos los recursos de TI necesarios.
En el contexto de la política adoptada por la GTP de tercerizar los eventuales cambios
sobre los aplicativos también adquiridos a terceros, se verificó que las relaciones
23 Por ejemplo los procedimientos PADM – 15 Facturación de Honorarios, PADM – 11 Pagos, PADM – 27 Análisis Legal y Fiscal.
INFORME DE AUDITORÍA
22
contractuales sólo se basan en cantidad de horas trabajadas. No hay determinaciones de
parámetros de calidad del servicio.24
4.2.6. No existen procedimientos formales de control de cambios tanto para situaciones
normales como de emergencia. Como consecuencia de esto, no se cuenta con la
documentación apropiada para evaluar los resultados del cambio.
Todos los cambios, incluyendo el mantenimiento de emergencia y actualizaciones,
relacionados con la infraestructura y las aplicaciones dentro del ambiente de producción,
deben administrarse formal y controladamente. Los cambios se deben registrar, evaluar y
autorizar previo a la implantación y contrastar contra los resultados planeados después de
introducidos. Esto garantiza la reducción de riesgos que impactan negativamente en la
estabilidad o integridad del ambiente de producción.
La GTP no dispone de un procedimiento formalizado de control de cambios. Estos se
solicitan de manera informal a través de distintos medios, como el correo electrónico y
otros. La falta de este marco de trabajo (un entorno controlado donde la participación de
los usuarios relevantes en el proceso de aprobación del cambio sean responsables de última
instancia de los efectos del mismo) transfiere la responsabilidad a la GTP cuyo rol debe ser
apoyo técnico.
Tampoco está establecido un procedimiento formal para actuar en situaciones de
emergencia que contemple tareas a ser cumplidas en forma diferida una vez solucionado el
problema y la registración de pistas de auditoría.
4.2.7. Faltan procedimientos formales que aseguren que antes de pasar un aplicativo con 24Para más detalles ver punto 4.3.2 Administrar servicios de terceros.
INFORME DE AUDITORÍA
23
cambios a producción, el usuario dé su conformidad de que funciona de acuerdo a sus
expectativas y las del negocio. Como consecuencia de esto, puede que este proceso no
cubra sus requerimientos.
Se requiere pruebas adecuadas en un ambiente dedicado con datos de prueba relevantes,
definir la transición e instrucciones de migración, planear la liberación y la transición en sí
al ambiente de producción, y revisar la post-implantación para garantizar el cumplimiento
de las expectativas y resultados convenidos.
NAFISA no cuenta con un procedimiento formal para hacer las pruebas, que defina la
documentación a generar y que contemple la conformidad final por parte del usuario sobre
el resultado satisfactorio de la misma. En el mismo orden, tampoco cuenta con un
procedimiento formal de autorización por parte del usuario final para el pasaje de los
entornos de prueba a producción.
4.3. Cuestión de auditoría 3: Entrega y soporte
4.3.1. No se ha formalizado un marco de trabajo para definir los niveles de servicios
internos y externos con el usuario final. En consecuencia, algunas prestaciones pueden no
satisfacer al usuario final o a las necesidades del negocio.
La GTP debe definir un marco de trabajo que promueva el establecimiento de acuerdos de
nivel de servicio externos e internos con cada gerencia operativa, que formalicen los
criterios de desempeño en virtud de los cuales se medirá su cantidad y calidad.
Falta formalizar el marco que contemple la creación del requerimiento por parte del
usuario, el almacenamiento centralizado por parte la GTP, los acuerdos de niveles de
INFORME DE AUDITORÍA
24
servicios alcanzado y el proceso de monitoreo. De este modo el usuario final tiene un
estándar de referencia para exigir calidad de prestación del servicio.
4.3.2. No se ha formalizado un marco de trabajo para controlar los servicios de los
proveedores externos. Esto limita la posibilidad de exigir niveles de calidad de las
prestaciones, acordes a las necesidades de la empresa.
El área de TI debe, de acuerdo a lo indicado por las buenas prácticas, implementar medidas
de control orientadas a la revisión y al monitoreo de los contratos y procedimientos
existentes para garantizar la eficacia y la eficiencia de las prestaciones de los proveedores.
Los contratos con terceros proveedores de servicios deben incluir la especificación formal
de acuerdos de nivel de servicio, identificando explícitamente los respectivos a seguridad -
por ejemplo, mediante acuerdos de no divulgación- y al cumplimiento de los requisitos
legales aplicables. Asimismo, en los contratos se debe aclarar expresamente que la
propiedad de los datos corresponde a la organización contratante.
La responsabilidad de coordinar la relación entre los proveedores y los usuarios para
asegurar la calidad y la transparencia recae sobre el gerente de Tecnología y Procesos, en
tanto que el control del cumplimiento de los requerimientos legales y regulatorios está a
cargo de la Subgerencia de Compras, Contrataciones y Servicios Generales.
Los riesgos relacionados con la habilidad de los prestadores para mantener una efectiva
entrega de servicios de forma segura y eficiente se contempla en los estudios previos a la
firma de los contratos. En ese sentido, tanto para los servicios críticos de TI como para las
principales aplicaciones, se optó por proveedores con probados antecedentes en el
mercado. No obstante, los acuerdos de niveles de servicio están débilmente definidos (no
se definen objetivos, penalidades, calidad de la respuesta, respuesta ante crisis, etc.), por lo
INFORME DE AUDITORÍA
25
que se complejiza la medición de la eficacia y la eficiencia de la prestación. Para ciertos
servicios, incluso, tampoco se establecen condiciones de punibilidad por incumplimiento.
Las debilidades mencionadas ponen en riesgo la calidad de los servicios provistos por
terceros.
4.3.3. No se ha formalizado un marco de trabajo para el planeamiento de las necesidades
futuras de capacidad de la infraestructura de TI instalada, por lo que los requerimientos
de ampliación pueden resultar tardíos o ejecutarse a destiempo.
En lo que respecta a la administración del desempeño y la capacidad de la infraestructura
de TI, las mejores prácticas al respecto señalan la necesidad de implementar un proceso
orientado a la recopilación de datos, al análisis y a la generación de informes sobre el
desempeño de los recursos de TI, la dimensión de los sistemas de aplicación y la demanda
de cargas de trabajo. Este proceso debe incluir el pronóstico de las necesidades futuras,
almacenamiento y contingencias, y garantizar que los recursos de información que
soportan los requerimientos de la empresa estén disponibles de manera continua.
En este sentido, de las tareas de campo realizadas surge que la GTP carece de un proceso
de planeación para la revisión regular del desempeño y la capacidad de los recursos de TI.
La situación descripta no permite asegurar la disponibilidad para procesar cargas de trabajo
y minimizar el riesgo de interrupciones del servicio originados por falta de capacidad o
degradación del desempeño, ni determinar las necesidades de capacidades futuras.
4.3.4. NAFISA carece de un proceso formal de revisión y prueba del plan de contingencia
de servicios de TI. Producto de su desactualización, de presentarse una situación no
contemplada, podría afectar la operatoria del negocio.
INFORME DE AUDITORÍA
26
Se requiere desarrollar, mantener y probar planes para asegurar la continuidad de servicio.
Al respecto, se debe almacenar respaldos fuera de las instalaciones y brindar entrenamiento
periódico, de acuerdo a las mejores prácticas.
En ese sentido, la empresa ha desarrollado un marco de trabajo para mantener la
continuidad de los servicios de TI. En efecto, se ha formado un grupo de trabajo integrado
por el Gerente de Tecnología y Procesos, el Supervisor de Procesos y el Supervisor de
Tecnología, que tienen a cargo el desarrollo y el mantenimiento del Plan de Contingencia.
Este quipo ha mantenido reuniones con el objetivo de revisar las prioridades estratégicas,
los procesos de la Empresa, los diferentes incidentes/escenarios y su impacto en el
negocio, la definición de los sistemas críticos, el tablero de contingencias, las estrategias de
recuperación, las acciones definidas, los tiempos de reacción y los errores detectados, de
manera de introducir los cambios adecuados. Se contempla también una revisión en los
casos donde se producen cambios en el negocio, o nuevos eventos o incidentes que lo
impacten.
Dicho plan debería ser revisado periódicamente mediante pruebas de simulación en
escenarios posibles. Sin embargo, no se han llevado a cabo revisiones posteriores al
15/1/2015. De la información entregada a esta auditoría sobre las pruebas realizadas, surge
que no se individualizaron las personas que las llevaron a cabo.
La falta de actualización del plan y de documentación sobre las pruebas realizadas pone en
riesgo la continuidad de las operaciones.
4.3.5. RESERVADO - COLEGIO DE AUDITORES GENERALES – SESIÓN DEL ______/______/______
INFORME DE AUDITORÍA
27
RESERVADO - COLEGIO DE AUDITORES GENERALES – SESIÓN DEL ______/______/______
INFORME DE AUDITORÍA
28
RESERVADO - COLEGIO DE AUDITORES GENERALES – SESIÓN DEL ______/______/______
INFORME DE AUDITORÍA
29
RESERVADO - COLEGIO DE AUDITORES GENERALES – SESIÓN DEL ______/______/______
INFORME DE AUDITORÍA
30
RESERVADO - COLEGIO DE AUDITORES GENERALES – SESIÓN DEL ______/______/______
INFORME DE AUDITORÍA
31
RESERVADO - COLEGIO DE AUDITORES GENERALES – SESIÓN DEL ______/______/______
4.3.6. No se conoce la incidencia de los costos de TI que consumen las áreas sustantivas
de la empresa. Esto deriva en eventuales dificultades para determinar la entrega de valor
de TI en cada caso y su contribución a los objetivos del negocio.
La mejores prácticas del sector sugieren implementar un sistema de imputación de costos
que garantice que se los registre, calcule y asigne de acuerdo con el nivel de detalle que
debe incluir la distribución de costos de TI a los usuarios de los servicios.
De acuerdo a la evidencia recolectada, la empresa carece de un enfoque orientado a la
administración por centros de costos de los recursos de TI, que permita el control de los
recursos que consume cada gerencia. En efecto, la asignación presupuestaria de los
recursos de TI no está imputada a las áreas usuarias de los servicios de TI, sino a la GTP.
La falta de información sobre la distribución de costos de TI entre las áreas dificulta la
correcta asignación de recursos y la medición de su contribución a los objetivos
organizacionales.
4.3.7. Faltan acciones articuladas entre la GTP y la Coordinación de RRHH para
asegurar que las políticas y directivas de TI son comprendidas por los miembros de la
empresa. La situación descripta deriva en el riesgo que algunos usuarios finales
desconozcan su importancia para los objetivos organizacionales.
INFORME DE AUDITORÍA
32
Se debe establecer y mantener un plan integral de capacitación y desarrollo. Para ello, se
requieren identificar las necesidades de entrenamiento de cada área de TI. El proceso debe
incluir la definición y ejecución de una estrategia para llevar a cabo un entrenamiento
efectivo y para medir los resultados.
La empresa realiza una actividad sistemática de capacitación de su personal, mediante el
desarrollo de un plan, surgido de las necesidades que se identifiquen en el relevamiento
anual, dentro de una política de formación y desarrollo de su capital humano. La Gerencia
de Recursos Humanos del Grupo Banco Nación es la responsable de elaborar y administrar
el Plan Anual de Capacitación con la colaboración de la Coordinación de RRHH de la
NAFISA la cual reporta funcionalmente a la primera, como así también de llevar a cabo la
comunicación del mismo, su nivel de avance y cumplimiento, a los distintos sectores a
través del Departamento de Capacitación.
Faltan acciones de concientización sobre las políticas de TI tales como la seguridad de la
información, que procuren un entendimiento por parte de los usuarios involucrados de las
necesidades de aplicarlas en función de los objetivos estratégicos del negocio.
4.3.8. El tratamiento de incidentes y problemas no está debidamente formalizado, lo que
dificulta su control, seguimiento y satisfacción del usuario final.
Responder de manera oportuna y efectiva a las consultas de los usuarios de TI requiere de
una mesa de servicio y de un proceso de administración de incidentes que incluya el
registro, escalamiento de incidentes, análisis de tendencia, análisis causa-raíz y resolución.
Los beneficios incluyen el incremento en la productividad gracias a la resolución rápida de
consultas.
INFORME DE AUDITORÍA
33
En NAFISA, ante la presencia de un incidente o problema que deba ser solucionado por la
GTP, el usuario final se comunica telefónicamente o envía un correo electrónico a una
dirección genérica definida a tal fin para el área de Supervisión de Tecnología, quienes se
encargan del requerimiento.
La excepción a la formulación precedente son los casos referidos al aplicativo contable
PeopleSoft que tienen una dirección de correo electrónico especial. En este caso,
dependiendo del incidente o problema, puede resolverse internamente o ser derivado a la
empresa del grupo Nación Servicios S.A. para su resolución.
No existe un procedimiento formal para el tratamiento de incidentes o problemas que
permita su clara identificación, la priorización, escalamientos, seguimiento y medición del
nivel de satisfacción del usuario respecto de la solución final adoptada. Tampoco se ha
creado una base de conocimientos con las resoluciones de los incidentes o problemas más
comunes que permitan responder con una solución estandarizada a estas situaciones.
4.3.9. La administración de los bienes tangibles e intangibles no está debidamente
formalizada ni centralizada, lo que dificulta su identificación, valuación y localización.
De acuerdo a las mejores prácticas, se deben formular y documentar los procedimientos
que identifiquen y registren la totalidad de los bienes tangibles e intangibles de TI –lo que
incluye inventarios de licencias de software adquirido o de propia producción–, con su
ubicación física, la configuración inicial, el establecimiento de normas que prohíban
movimientos y modificaciones no autorizadas, la verificación y auditoría de la información
de la configuración y la actualización del repositorio de configuración conforme se
necesite.
INFORME DE AUDITORÍA
34
De la información recibida surge que no existe un inventario único de los bienes tangibles
e intangibles de TI. Al cierre de tareas de campo, la identificación y mantenimiento de los
elementos de configuración se gestionan de manera informal, y no están integradas a los
procedimientos de gestión de cambios, incidentes y problemas. Consecuentemente, no es
posible rastrear los cambios realizados y dificulta la trazabilidad de la configuración y su
impacto potencial en términos de incidentes ocurridos a partir de cambios que se hayan
realizado.
4.3.10. No se realizan pruebas para asegurar que la restauración de la información
respaldada (backups) funciona adecuadamente. Ello expone a la organización al riesgo de
que los datos no estén disponibles en tiempo y forma ante una situación de contingencia,
lo que pone en riesgo la continuidad del servicio.
Las buenas prácticas indican que el área de TI debe establecer y mantener una
combinación eficaz de controles generales y de aplicación sobre las operaciones de TI para
asegurar que los datos permanezcan durante su entrada, actualización y almacenamiento
completos, precisos y válidos. El proceso de administración de información también
incluye el establecimiento de procedimientos efectivos para administrar la librería de
medios de soporte para el respaldo y la recuperación de datos, así como su eliminación
apropiada.
El marco de trabajo de administración de soportes para respaldo de datos de la empresa
está integrado al Plan de Continuidad de Servicios.25 La organización como integrante del
Grupo Nación cuenta con un sitio de procesamiento alternativo en otra empresa
perteneciente al grupo especializada en servicios informáticos: Nación Servicios S.A.
(NSSA). 25 Para más detalles ver punto 4.3.4 Garantizar la Continuidad del Servicio.
INFORME DE AUDITORÍA
35
Los respaldos de información se llevan a cabo en condiciones totalmente automáticas
(robotizadas), bajo los requerimientos de seguridad física establecidos26y fuera de los
horarios de trabajo, bajo el siguiente esquema:
• Resguardo Total. Se resguardan la totalidad de los datos de la compañía.
• El último día hábil de cada semana (resguardo total semanal).
• El último día hábil del mes (resguardo total mensual).
• En ambos casos se hacen dos copias. Una es conservada en NAFISA y la otra en
NSSA. Los resguardos mensuales se guardan por diez años.
• Resguardo Incremental. Se guardan las novedades producidas desde el último
resguardo total hasta ese momento, en dispositivos ignífugos en el Centro de
Procesamiento de NAFISA.
En este sentido, y en relación a lo observado en el punto 4.3.4 Garantía de Continuidad del
Servicio, se observa la falta de un procedimiento formal de revisión y prueba en intervalos
previamente definidos, para asegurar que los resguardos responden a las necesidades
presentes.
4.3.11. Faltan medidas para asegurar la correcta instalación física del Data Center. Esto
expone a la empresa a no disponer de los elementos suficientes para prevenir, evitar o
subsanar incidentes.
La protección del equipamiento y del personal requiere de instalaciones bien diseñadas y
administradas, con controles ambientales y físicos adecuados cuya revisión se efectúe
periódicamente a fin de determinar su correcto funcionamiento. Sin embargo, se detectaron
las siguientes debilidades en el Data Center: 26 Para más detalles ver punto “4.3.12 Administración del Ambiente Físico”.
INFORME DE AUDITORÍA
36
• La puerta de acceso no es anti pánico.
• Los detectores de humo son
insuficientes: Existe sólo uno, por lo que
si este fallara, no se detectaría un
incidente. Por otra parte, faltan
detectores de humo debajo del piso
técnico.
• Los servidores no están conectados de
forma correcta bajo una nomenclatura
técnica. Los cables no están rotulados ni
organizados lo que dificulta su
mantenimiento.
• Los dos matafuegos con los que cuenta
no son adecuados para componentes
electrónicos y se encontraban en el piso,
lo que dificulta su manipulación para
entrar en operación.
• Faltan: i) luces de emergencia, ii)
planilla de acceso para proveedores y
visitas, iii) cámara de inspección dentro
de la sala de servidores y iv) termómetro
para medir la temperatura ambiente.
• Las UPS no están configuradas para enviar un correo electrónico ante un corte de
energía.
4.3.12. No se ha formalizado el procedimiento de apagado y encendido de los equipos
para un caso de reinicio. Esto puede generar problemas de conectividad con otros
INFORME DE AUDITORÍA
37
equipos activos, y consecuentemente producir errores.
Un procesamiento completo y apropiado de la información requiere su efectiva
administración y el mantenimiento del hardware involucrado que incluya la definición de
políticas y procedimientos de operación para una administración efectiva del
procesamiento programado, protección de datos de salida sensitivos, monitoreo de
infraestructura y mantenimiento preventivo de hardware.
Si bien los procedimientos de operaciones están documentados formalmente, lo que reduce
el riesgo para la continuidad de las operaciones y propende a la independencia de
individuos clave, no se especifica el orden de encendido de los servidores y equipos
restantes de la red para un caso de reinicio.
4.4. Cuestión de auditoría 4: Monitoreo y evaluación
4.4.1. NAFISA carece de un marco de trabajo para el monitoreo de la infraestructura de
TI que permita detectar anomalías y tomar acciones correctivas a tiempo.
Una efectiva administración del desempeño de TI requiere un proceso de monitoreo
definido formalmente que incluya la definición de indicadores de desempeño relevantes,
reportes sistemáticos y oportunos, como así también tomar medidas expeditivas cuando
existan desviaciones. El monitoreo se requiere para garantizar que se haga lo correcto y
que ello esté de acuerdo con el conjunto de direcciones y políticas.
De la evaluación realizada surge que la empresa no cuenta con un marco de trabajo de
monitoreo general que defina los objetivos e indicadores de desempeño, el alcance, qué
datos se van a recolectar, la metodología y el proceso a seguir para medir la solución y la
INFORME DE AUDITORÍA
38
entrega de servicios de TI. La falencia detectada dificulta poder comparar en forma
periódica el desempeño contra las metas, realizar análisis de la causa raíz e iniciar medidas
correctivas para resolver las causas subyacentes ante la existencia de desvíos.
4.4.2. Los controles internos de TI no son lo suficientemente robustos producto de la falta
de personal de TI, de la desagregación de funciones y de la estructura funcional de
Seguridad de la Información. Esto permite acciones discrecionales por parte de
funcionarios clave.
Establecer un proceso de control interno efectivo para TI requiere de un proceso definido
formalmente que incluya el monitoreo y el reporte de las excepciones de control, los
resultados de las auto-evaluaciones y las revisiones realizadas por terceros. Un beneficio
clave del monitoreo del control interno es proporcionar seguridad, eficiencia y eficacia
respecto a las operaciones, así como el cumplimiento de las leyes y regulaciones
aplicables.
En su carácter de empresa controlada del Grupo Nación, el marco de trabajo del ambiente
de control interno de NAFISA se monitorea de forma continua a través de dos auditorías
semestrales que lleva a cabo el Departamento de Auditorías de Empresas Controladas
dependiente de la Subgerencia General de Auditoría General del BNA
(SGAGBNA).También reciben auditorías de la Sindicatura General de la Nación (que le
asignó un nivel de madurez 227 –bueno-) y otras auditorías externas.28Asimismo, la
operatoria de cada fideicomiso es auditada por auditorías externas.
27 “Informe de Seguimiento de Observaciones de Auditoría de Empresas Controladas al 31-12-2015. En relación a los “Niveles de Madurez para el Diagnóstico de Procesos” ver Resolución SIGEN Nº 36/2011 - Programa de Fortalecimiento del Sistema de Control Interno del 1/04/2011. 28 KPMG y Deloitte entre otras.
INFORME DE AUDITORÍA
39
En relación al estado de los controles internos de los proveedores de servicios, y dado que
el más importante es una empresa del propio Grupo (Nación Servicios S.A.), es auditada
también por la SGAGBNA.
No obstante, se verifican debilidades en los controles, algunas de las cuales ya han sido
expuestas en este informe. Entre ellas vale destacar: que la estructura organizacional de la
GTP actual es insuficiente para llevar a cabo todas las funciones requeridas con un
adecuado control interno, existe dependencia de individuos clave29, no se ha establecido un
formalmente un Sistema de Aseguramiento de la Calidad30, no se han formalizado estudios
de riesgos asociados a la TI31, no existe un marco de trabajo formalizado para la
administración de proyectos32, para controlar los niveles de servicios internos y externos33,
para el tratamiento de incidentes y problemas34 y de monitoreo de la infraestructura de
TI.35
Además, no se ha definido un proceso para auto-evaluaciones y revisiones de
aseguramiento del control interno, con roles definidos para los responsables de la
administración del negocio y de TI. Como consecuencia de esto, persisten debilidades
observadas por auditorías externas e internas que al cierre de tareas de campo no habían
sido corregidas, como la implementación de pistas de auditoría en algunas bases de datos
consideradas críticas, entre otras.
Por último, se ha evidenciado que no existen políticas de evaluación de riesgos y por lo
29 Para más detalles ver puntos 4.1.4 y 4.1.7 30 Para más detalles ver punto 4.1.8 31 Para más detalles ver punto 4.1.9 32 Para más detalles ver punto 4.1.10 33 Para más detalles ver punto 4.3.1. y 4.3.2 34 Para más detalles ver punto 4.3.8 35 Para más detalles ver punto 4.4.1
INFORME DE AUDITORÍA
40
tanto no están definidos los procedimientos para el manejo y mitigación de riesgos
específicos de procesos.
4.4.3. No se cumple con algunas de las regulaciones externas obligatorias.
Una supervisión efectiva del cumplimiento regulatorio requiere del establecimiento de un
proceso independiente de revisión para garantizar el cumplimiento de las leyes y
regulaciones.
Se observaron debilidades en el cumplimiento de los siguientes marcos normativos:
• Resolución 48/05 de SIGEN "Normas de Control Interno para Tecnología de la
Información para el Sector Público Nacional”. Ver detalles en ANEXO I – Evaluación
del cumplimiento de la Res. 48/05 SIGEN “Pautas de control Interno de TI”
• Ley 26.653 “Accesibilidad de la Información de las Páginas Web". Para más detalles
ver ANEXO II “Análisis de página Web institucional”
5. RECOMENDACIONES La secuencia de las recomendaciones aquí expuestas sigue el mismo orden que las
observaciones del capítulo precedente. 5.1. Cuestión de auditoría 1: Planificación y organización de TI
5.1.1. Elaborar los próximos Planes de Tecnologías de la Información de manera que sea lo
suficientemente detallado como para permitir el entendimiento y seguimiento de la
definición de los planes tácticos de TI.
5.1.2. Desarrollar y mantener un diccionario de datos completo de la empresa.
INFORME DE AUDITORÍA
41
5.1.3. Mejorar los acuerdos de servicios a los efectos de minimizar los riesgos y establecer
un plan de contingencia sobre los servicios tercerizados, al menos de los sistemas
considerados críticos.
5.1.4. Designar responsabilidades y tareas con adecuadas separación de funciones a los
efectos de minimizar el riesgo de control, como así también desarrollar los procedimientos
faltantes y cubrir las funciones y tareas operativas.
5.1.5. Realizar un presupuesto de TI por gerencia, incluida la GTP.
5.1.6. Compilar y facilitar el acceso a la información de todas las políticas, normas y
procedimientos de TI de la empresa.
5.1.7. Realizar una descripción de los procesos y procedimientos que realiza el personal
clave. Designar personal de supervisión de calidad, con funciones y tareas independientes
de las de supervisión de procesos.
5.1.8. Establecer un Sistema de Administración de la Calidad (SAC) con políticas y
procedimientos que recurra a estándares y certificaciones para medirla y monitorearla.
5.1.9. Establecer un marco formal de administración de riesgos de la TI, vinculado al Plan
de TI anual.
5.1.10. Formalizar un procedimiento para el marco de trabajo de administración de
proyectos propios o de terceros.
INFORME DE AUDITORÍA
42
5.2. Cuestión de auditoría 2: Administración e implementación
5.2.1. Desarrollar un repositorio común donde almacenar los requerimientos funcionales
que realizan los usuarios y formalizar un procedimiento para administrarlos.
5.2.2. Integrar toda la información de control y seguimiento de las parametrizaciones
realizadas en el PeopleSoft en un repositorio común y de fácil acceso.
5.2.3. Perfeccionar los acuerdos de niveles de servicio para que permitan conocer la
infraestructura de Nación Servicios y su capacidad para responder ante cambios en las
reglas del negocio, un desarrollo nuevo o una modificación de un aplicativo.
5.2.4. Verificar y actualizar los procedimientos de la operatoria administrativa relacionada
con los sistemas.
5.2.5. Determinar pautas de control de calidad de los servicios contratados.
5.2.6. Formalizar un procedimiento de control de cambios para situaciones normales o de
emergencia.
5.2.7. Formalizar un procedimiento para la parametrización, prueba y puesta en producción
del aplicativo administrativo-contable PeopleSoft u otros.
5.3. Cuestión de auditoría 3: Entrega y Soporte
5.3.1. Desarrollar acuerdos de niveles de servicio entre la GTP y las gerencias operativas.
INFORME DE AUDITORÍA
43
5.3.2. Implementar medidas de control orientadas a la revisión y monitoreo de los contratos
con terceros. Designar un responsable del control y seguimiento de dichas medidas.
5.3.3. Desarrollar un marco de trabajo para el planeamiento de las necesidades futuras de la
capacidad de la infraestructura de TI instalada.
5.3.4. Actualizar y poner a prueba un plan de contingencias de TI. Contar con un
procedimiento regular de actualizaciones.
5.3.5. RESERVADO - COLEGIO DE AUDITORES GENERALES – SESIÓN DEL ______/______/______
5.3.6. Implementar la imputación por centros de costos a los efectos de conocer el costo e
inversión de TI por gerencia.
5.3.7. Adecuar, articular e incorporar a los planes de capacitación de la empresa, las
necesidades de la GTP, las Gerencias Operativas y el OSI. Concientizar a los usuarios
sobre seguridad de la información.
INFORME DE AUDITORÍA
44
5.3.8. Implementar un sistema centralizado para la recepción, administración y
seguimiento de incidentes o problemas.
5.3.9. Se recomienda:
• Identificar y registrar todos los activos de TI, sean tangibles (equipos HW y sus
repuestos) o intangibles (licencias de software y aplicaciones de producción propia o de
terceros con detalles tecnológicos que permitan apreciar el paso del tiempo).
• Mantener un repositorio central con toda la información relevante sobre los elementos
de configuración tangibles (hardware) e intangibles (por ejemplo, licencias de
software). Monitorear y registrar las modificaciones introducidas al equipamiento y sus
movimientos a otras oficinas o ámbitos de trabajo.
5.3.10. Elaborar un procedimiento para el proceso de revisión y pruebas de los resguardos
de información (backup).
5.3.11. Resolver las deficiencias señaladas sobre el entorno físico del Data Center a los
efectos de reducir los riesgos relevantes señalados.
5.3.12. Elaborar un procedimiento de apagado y encendido de los equipos para un caso de
reinicio.
5.4. Cuestión de Auditoría 4: Monitoreo y evaluación
5.4.1. Realizar un marco de trabajo (procedimientos, sistemas de información, etc.) para el
monitoreo de la infraestructura de TI,
5.4.2. Respecto de los controles internos se recomienda:
INFORME DE AUDITORÍA
45
• procurar asignar los recursos necesarios para ejecutar los controles internos de las
actividades de TI, de modo de hacer seguimientos más abarcativos.
• monitorear de forma continua, comparar y mejorar el ambiente de control de TI y el
marco de trabajo de control de TI para satisfacer los objetivos de la empresa.
• monitorear y evaluar la eficiencia y efectividad de los controles internos.
• identificar las excepciones de control, y analizar e identificar sus causas raíz
subyacentes. Escalar las excepciones de control y reportar a los interesados
apropiadamente. Establecer acciones correctivas necesarias.
• evaluar el estado de los controles internos de los proveedores de servicios externos.
Confirmar que los proveedores de servicios externos cumplen con los requerimientos
legales y regulatorios y obligaciones contractuales.
• identificar, iniciar, rastrear e implementar acciones correctivas derivadas de los
controles de evaluación y los informes.
5.4.3. A los efectos de propender al cumplimiento de los requerimientos externos, se
recomienda:
• rediseñar la página web de la empresa para cumplir con las Ley 26.653 “Accesibilidad
de la Información de las Páginas Web"36.
• identificar, sobre una base continua, leyes, regulaciones, y otros requerimientos
externos que se deben cumplir para incorporar en las políticas, estándares,
procedimientos y metodologías de TI de la empresa.
• revisar y ajustar las políticas, estándares, procedimientos y metodologías de TI para
garantizar que los requisitos legales, regulatorios y contractuales son direccionados y
comunicados.
36Para más detalles ver ANEXO II
INFORME DE AUDITORÍA
46
• confirmar el cumplimiento de políticas, estándares, procedimientos y metodologías de
TI con requerimientos legales y regulatorios.
• adecuar la Política de Seguridad para cumplir con el Modelo de Política de Seguridad de
la ONTI, disposición 3/13.
• avanzar en la implementación de la Firma Digital para procedimientos administrativos
internos conforme a la Ley 25.506 de Firma Digital y el Decreto 378/2005 de Gobierno
Electrónico.
6. CONCLUSIÓN
El gobierno de TI es una parte integral del gobierno corporativo que debe contribuir con el
cumplimiento de los objetivos organizacionales. La necesidad de asegurar el valor de TI, la
administración de los riesgos asociados y el control de la información deben priorizarse y
considerarse elementos clave del gobierno de la empresa. Producto de la evaluación de esta
auditoría, se han identificado algunos aspectos que atentan contra la eficacia de la gestión
de TI.
Uno de los aspectos concierne a la estructura organizacional de la Gerencia de Tecnología
y Procesos (GTP) de Nación Fideicomisos S.A., que resulta insuficiente en cantidad de
posiciones y en su nivel de desagregación como para permitir el control por oposición y
reducir la dependencia sobre individuos clave. En algunos casos las posiciones funcionales
actualmente definidas concentran una cantidad de responsabilidades que, en la práctica, no
pueden ser asumidas por un único funcionario sin debilitar unas en detrimento de otras.
Complementariamente, el nivel de informatización también resulta insuficiente para la
gestión por falta de incorporación de procesos automatizados, lo que genera que tanto los
niveles decisorios como el resto de los usuarios finales se vean obligados a componer
INFORME DE AUDITORÍA
47
información a partir de datos de las aplicaciones existentes. Esta problemática trae como
consecuencia que se llevan a cabo tareas administrativas con fuertes componentes
manuales que no están integradas en una plataforma tecnológica común, con lo que,
además, se dificulta su seguimiento posterior. En el mismo sentido, faltan herramientas
tecnológicas comunes que permitan a la GTP hacer seguimientos de los requerimientos
funcionales y técnicos de los usuarios finales.
Un aspecto relevante es la dependencia crítica sobre proveedores de servicios cuyos
niveles de prestación están débilmente establecidos y controlados, ya que los acuerdos de
niveles de prestaciones no han sido estipulados en todos los casos y no existe una posición
funcional que los monitoree y verifique.
RESERVADO - COLEGIO DE AUDITORES GENERALES – SESIÓN DEL ______/______/______
La función actualmente definida para aspectos de seguridad informática no tiene autoridad
suficiente para dar directrices, imponer directivas y políticas a toda la organización ya que
depende de una gerencia sustantiva. Esta subordinación no garantiza su independencia
funcional y operativa, tanto respecto de dicha dirección como del resto de las áreas
usuarias, lo que limita su control en aspectos tales como alcance, independencia, capacidad
operativa y control por oposición. Esta función no sólo debe ser una responsabilidad
compartida entre el Directorio y las gerencias sustantivas sino también jerarquizada de
acuerdo a su importancia relativa para el conjunto organizacional.
INFORME DE AUDITORÍA
48
Como consecuencia de lo expuesto precedentemente, las máximas autoridades de la
empresa deben resignificar la importancia de la TI como entrega de valor para la
consecución de los objetivos estratégicos de la organización, dotando a las áreas
competentes de los recursos materiales y humanos necesarios para conseguirlos.
Complementariamente área de TI debe informar oportuna, íntegra y formalmente al
Directorio de la compañía sobre los riesgos a los que la organización se enfrenta en la
actualidad que pueden atentar contra la efectividad de la gestión de TI.
7. COMUNICACIÓN AL ENTE
Por nota N° 348/17-P la AGN remite el proyecto de informe a Nación Fideicomisos S.A.
(NAFISA), quien lo recibe con fecha 24 de abril de 2017. El 16 de mayo de 2017 NAFISA
envía el descargo a AGN, el cual es recepcionado el mismo día.
En los ANEXOS I y II al presente informe, en orden simultaneo, se presentan tanto la
respuesta del organismo auditado como los comentarios de la AGN.
Como resultado del análisis realizado, se mantienen todas las observaciones.
8. LUGAR Y FECHA
BUENOS AIRES, julio de 2017
9. FIRMA
INFORME DE AUDITORÍA
49
10. ANEXOS
ANEXO I – Comentarios del auditado
INFORME DE AUDITORÍA
50
INFORME DE AUDITORÍA
51
Respuestas a las observaciones del Proyecto de Informe de Auditoría Informática37
4.1.1 La formulación de la Planificación Estratégica de TI no se presenta con los niveles de claridad y de detalle necesarios, lo que dificulta su seguimiento posterior.
Existe un Plan y un Presupuesto de Sistemas, dividido en Inversiones y Gastos, y Aplicaciones e Infraestructura, aprobado por el Directorio de NAFISA.
El mismo es entregado a la Gerencia de Planificación Estratégica y Control de Gestión en el mes de septiembre, y es incluido dentro del presupuesto global de la compañía.
Es enviado a la Gerencia de Administración, área Compras para que incluya dentro del plan anual todos los ítems por categoría para su posterior ejecución.
Adjunto Acta de Directorio W 1449 del 22 de febrero de 2017 en donde se presenta el control presupuestario, el plan de sistemas y documentos de soporte de lo enunciado.
Adjunto en el CD los documentos.
4.1.2 La arquitectura de la información de la empresa no se encuentra totalmente integrada, lo que genera la necesidad de realizar tareas de composición de datos, desarrollar interfaces específicas y llevar a cabo controles manuales que afectan la eficacia y eficiencia de los procesos.
Considerando que disponemos de 3 aplicaciones para llevar a cabo nuestro negocio, y los mismos no son del mismo proveedor, se hace imposible el obtener un diccionario único de datos. Dado que son paquetes tercerizados, y los mismos los obtenemos a través del licenciamiento; el proveedor dispone y nos entrega el diccionario de datos. La integración de datos se realiza a través de procesos externos considerando las necesidades de cada área.
4.1.3 En la formulación de la dirección tecnológica no se han explicitado los riesgos relacionados con la dependencia de la empresa sobre ciertos servicios tercerizados críticos. Esto genera incertidumbre sobre la calidad del servicio que los proveedores pueden brindar ante determinadas situaciones.
No es un riesgo la administración de terceros considerando que cada proveedor estratégico posee un contrato formal con la compañía, llevado a cabo por la Gerencia de Legales y administrado por el área de compras. Los contratos indican el nivel de servicio acordado y el servicio es analizado por cada solicitante una vez recibido el mismo.
4.1.4 La estructura organizacional de TI actual es insuficiente para llevar a cabo todas las funcionalidades requeridas con un adecuado control interno por oposición. Además, falta definir procedimientos formales para procesos relevantes de la organización. Como resultado de estos dos factores existe una dependencia crítica sobre individuos clave, lo que conlleva el riesgo que ante su posible ausencia la prestación de algún servicio crítico se vea afectada.
El Directorio de Nación Fideicomisos S.A. considera que la estructura organizacional de TI es Suficiente para llevar a cabo todas las tareas requeridas. La auditoría formulo comentarios sobre el administrador de base de datos, y acepto 37 Transcripción textual del original.
INFORME DE AUDITORÍA
52
que las funciones sean llevadas a cabo por el jefe de tecnología cuando se refiere a sistemas pequeños y en el ambiente PeopleSoft por el DBA de Nación Servicios.
4.1.5 La GTP presupuesta los costos de TI de toda la organización sin identificar los que pertenecen a otras gerencias. De este modo asume como propio la totalidad de lo presupuestado, dificultando así la exposición de la información para la correcta toma de decisiones por parte de los niveles directivos.
El Directorio de la compañía considera que no es necesario dividir el costo de IT por gerencia. Es una organización pyme cuyo principal costo de TI es el de licenciamiento, y los otros costos de Infraestructura.
4.1.6 La comunicación de los objetivos y la dirección de TI está parcialmente informada al personal relevante, lo que condiciona el apoyo a la estrategia de TI y la entrega de valor.
Las políticas, normas y procedimientos de TI de la Empresa son aprobadas por Directorio y puesta a disposición en el Disco Público al cual todos los empleados tienen acceso.
4.1.7 Existe dependencia de individuos clave. Esto expone a la organización a que en alguna situación la prestación del servicio de TI pueda verse afectada.
Los puestos claves están cubiertos con empleados con alto perfil en sus funciones cumpliendo satisfactoriamente con las necesidades del negocio teniendo en cuenta la estructura organizacional de NAFISA (dotación 111 personas).
4.1.8. No se ha establecido formalmente un Sistema de Aseguramiento de la Calidad, lo que impide identificar desviaciones, aplicar acciones correctivas, informar a los usuarios involucrados y conocer la entrega de valor de TI a los objetivos estratégicos de la empresa.
La empresa a través de los contratos que son firmados en cada caso con los proveedores de TI, establece las pautas a cumplir.
Es así que la gerencia de legales en conjunto con la gerencia de compras establece en la firma del mismo el nivel del servicio que se prestara.
No existe para cada tipo de categoría una prestación establecida dado que la empresa contrata consultoría de sistemas, Asesores impositivos, desarrollos de proyectos llave en mano, comunicaciones y su principal proveedor es una empresa socia del grupo BNA.
4.1.9. No se han formalizado estudios de riesgos, por lo que ante la presencia de un evento inesperado, no se tienen definidos los cursos de acción a tomar, situación que puede afectar las operaciones de la empresa.
Nación Fideicomisos S.A. se encuentra en etapa de implementación del proceso integral de gestión General de Riesgo teniendo en cuenta los lineamientos del Banco de la Nación Argentina. La Gerencia de Tecnología posee a través del programa PGSI el análisis completo de los servicios que brinda, como así de sus procesos. Adjunto en el CD los documentos.
4.1.10. No existe un marco de trabajo formalizado para la administración de proyectos. Como consecuencia de esto, se dificulta determinar la coordinación, la correcta asignación de prioridades y de recursos, el cumplimiento de los objetivos tácticos y la entrega de valor para el negocio.
El Directorio considera que nuestra estructura es suficiente para llevar a cabo los servicios. El responsable funcional es quien ejecuta los proyectos, mejoras, o administra los requerimientos con terceros.
INFORME DE AUDITORÍA
53
4.2.1 NAFISA carece de un tratamiento centralizado de los requerimientos funcionales que formulan los usuarios, por lo que existen múltiples plataformas para su seguimiento y debe componerse información para obtener un estado de situación consolidado.
La empresa no posee un software de requerimientos centralizado se están analizando alternativas en el mercado. Cada proveedor tercerizado dueño de las aplicaciones posee un software de requerimientos, que es el utilizado para registrar los requerimientos.
4.2.2 Las parametrizaciones que se realizan sobre los sistemas de NAFISA no se encuentran documentadas y comunicadas en todos los casos. Ante estas situaciones, las áreas operativas que solicitan una parametrización no pueden verificar adecuadamente que éstas se hayan realizado de acuerdo a las necesidades del negocio, dificultando el control posterior y generando una dependencia crítica sobre el personal que lleva a cabo la tarea.
Existe parametrización sobre el sistema Vigía y el sistema PeopleSoft y ambas se encuentran documentadas. El sistema Safiro posee los documentos para llevar a cabo los títulos sin necesidad de parametría. En todos los casos existe un ambiente pre producción, que es la copia de producción antes de hacer la liberación de los sistemas, en donde el usuario realiza las pruebas, firma las hojas de trabajo o envía un mail con la conformidad. Posterior a esto se lleva a cabo la seguridad. Considerando que se han establecido grupos de fideicomisos con la misma estructura evitando tener que documentar cada uno por separado. Adjunto en el CD los documentos.
4.2.3 El impacto de un cambio en las reglas del negocio, un desarrollo nuevo o una modificación de un aplicativo puede generar una modificación en la infraestructura de TI que no esté formalmente contemplada, lo que implica un riesgo para el nivel de prestación del servicio de TI.
Existe la planificación de las necesidades de TI en concordancia con el Negocio. Esto ha sido documentado en cada plan de sistemas y sus presupuestos, como la implementación de todos los proyectos.
4.2.4. Los procedimientos administrativos relacionados con las aplicaciones administrativas/contables no se encuentran actualizados en su totalidad, por lo que la operatoria puede presentar ambigüedades.
Existen todos los procedimientos que forman parte de los desarrollos realizados. Los mismos poseen un nivel de detalle que permiten comprender cada tarea/función. Son revisados y actualizados ante cada cambio. Adjunto en el CD los documentos.
4.2.5 No existen controles específicos formales sobre el nivel de servicio de post-venta suministrado por los proveedores.
La empresa a través de los contratos que son firmados en cada caso con los proveedores de TI, establece las pautas a cumplir. Es así que la gerencia de legales en conjunto con la gerencia de compras establece en la firma del mismo el nivel del servicio que se prestara. No existe para cada tipo de categoría una prestación establecida dado que la empresa contrata consultaría de sistemas, Asesores impositivos, desarrollos de proyectos llave en mano, comunicaciones y su principal proveedor es una empresa socia del grupo BNA.
4.2.6 No existen procedimientos formales de control de cambios tanto para situaciones normales como de emergencia. Como consecuencia de esto, no se cuenta con la documentación apropiada para evaluar los resultados del cambio.
Existe un procedimiento formal para el control del cambio llamado PGSI- POlO Procedimiento de Control de Cambios en Aplicaciones. Adjunto en el CD los documentos.
INFORME DE AUDITORÍA
54
4.2.7 Faltan procedimientos formales que aseguren que antes de pasar un aplicativo con cambios a producción, el usuario dé su conformidad de que funciona de acuerdo a sus expectativas y las del negocio. Como consecuencia de esto, puede que este proceso no cubra sus requerimientos.
Existen procedimientos formales llamados PGSI- POll Procedimiento de Testeo de Aplicaciones y PGSI- P012 Procedimiento Implantación de Aplicaciones. Adjunto en el CD los documentos.
4.3.1. No se ha formalizado un marco de trabajo para definir los niveles de servicios internos y externos con el usuario final. En consecuencia, algunas prestaciones pueden no satisfacer al usuario final o a las necesidades del negocio.
Se ha considerado para el próximo año 2018 la implementación de un software de requerimientos. En el mismo año se presentara al directorio y a la Auditoría la política y el procedimiento para su aprobación.
4.3.2. No se ha formalizado un marco de trabajo para controlar los servicios de los proveedores externos. Esto limita la posibilidad de exigir niveles de calidad de las prestaciones, acordes a las necesidades de la empresa.
Como se ha detallado en punto 4.2.5: La empresa a través de los contratos que son firmados en cada caso con los proveedores de TI, establece las pautas a cumplir. Es así que la gerencia de legales en conjunto con la gerencia de compras establece en la firma del mismo el nivel del servicio que se prestara. No existe para cada tipo de categoría una prestación establecida dado que la empresa contrata consultoría de sistemas, Asesores impositivos, desarrollos de proyectos llave en mano, comunicaciones y su principal proveedor es una empresa socia del grupo BNA.
4.3.3. No se ha formalizado un marco de trabajo para el planeamiento de las necesidades futuras de capacidad de la infraestructura de TI instalada, por lo que los requerimientos de ampliación pueden resultar tardíos o ejecutarse a destiempo.
Se realiza antes de presentar el plan de sistemas y tecnología. Es así que si se sigue el plan de inversiones de infraestructura ha mejora en los últimos 3 años de manera considerable. No es necesario hacer un análisis de capacidad de la plataforma dado que poseemos infraestructura para el crecimiento del negocio sin tener ningún riesgo.
Como ejemplo este año estamos analizando para el próximo presupuesto la adquisición de nuevas librerías de backup. Se ha solicitado a los proveedores alternativas de solución.
4.3.4 NAFISA carece de un proceso formal de revisión y prueba del plan de contingencia de servicios de TI. Producto de su desactualización, de presentarse una situación no contemplada, podría afectar la operatoria del negocio.
El Oficial de Seguridad de la Información posee un perfil del puesto que ha sido auditado por la auditoría del Banco Nación. Todas las funciones y tareas están descriptas en concordancia con las prácticas que ellos desarrollan. Adjunto en el CD los documentos con la evidencia. Existe una revisión de las políticas anual, la misma se ha llevado a cabo en diciembre 2016. Adjunto en CD el Acta de Directorio con el tratamiento de la revisión anual de las políticas. No existen accesos genéricos ni en la red, ni en los aplicativos. No existen usuarios que no formen parte de la compañía. La política de seguridad no permite reactivar cuentas como está manifestado en el Informe de Auditoría Informática (AGN). Es así que KPMG como auditor externo durante el mes de febrero 2017 y la Auditoría del BNA en su Informe Integral 2016 no encontró evidencia de lo enunciado.
Para la administración de usuarios los permisos a GTP y Seguridad de la información son los acordados. No se han realizado test de penetración ni se cuenta con dispositivos IPS /IDS debido a que la empresa no posee servicios expuestos. Las pistas de auditoría están configuradas para la base de datos, son de 90 días en concordancia con la Auditoría. Los firewall están en clúster. El switch principal de la empresa posee redundancia. Se encuentra equipo con
INFORME DE AUDITORÍA
55
capacidad para poder soportar los servicios críticos. No está en cluster. Los servidores del centro de datos tienen actualizados los parches de seguridad a la fecha.
4.3.5. RESERVADO - COLEGIO DE AUDITORES GENERALES – SESIÓN DEL ______/______/______
4.3.6. No se conoce la incidencia de los costos de TI que consumen las áreas sustantivas de la empresa. Esto deriva en eventuales dificultades para determinar la entrega de valor de TI en cada caso y su contribución a los objetivos del negocio.
El Directorio de la compañía considera que no es necesario dividir el costo de IT por gerencia/área.
4.3.7. Faltan acciones articuladas entre la GTP y la Coordinación de RRHH para asegurar que las políticas y directivas de TI son comprendidas por los miembros de la empresa. La situación descripta deriva en el riesgo que algunos usuarios finales desconozcan su importancia para los objetivos organizacionales.
En función del relevamiento de las necesidades de capacitación de cada área de Nación
Fideicomisos que se encuentra realizando esta Subgerencia de Recursos Humanos para el año2017, procedimos a recopilar los requerimientos realizados por la Gerencia de Tecnología y Procesos y la Gerencia de Planificación Estratégica y Control de Gestión, en relación al Oficial de Seguridad de la Información para programar actividades con el fin de llevarlos a cabo. Asimismo, en un trabajo en conjunto con el Oficial de Seguridad de la Información hemos decidido llevar a cabo un plan de concientización sobre las políticas de Tecnología Informática para el personal de Nación Fideicomisos S.A. El mismo se desarrollará en su totalidad de manera presencial y se estima finalizar con la capacitación del 100% de la nómina al 30/09/2017.
4.3.8. El tratamiento de incidentes y problemas no está debidamente formalizado, lo que dificulta su control, seguimiento y satisfacción del usuario final.
INFORME DE AUDITORÍA
56
La compañía no posee una herramienta de incidentes. Nos encontramos en proceso de análisis de alternativas provistas por el mercado.
4.3.9. La administración de los bienes tangibles e intangibles no está debidamente formalizada ni centralizada, lo que dificulta su identificación, valuación y localización.
Existe un inventario de hardware y software administrado por la GT.
4.3.10. No se realizan pruebas para asegurar que la restauración de la información respaldada (backups) funciona adecuadamente. Ello expone a la organización al riesgo de que los datos no estén disponibles en tiempo y forma ante una situación de contingencia, lo que pone en riesgo la continuidad del servicio.
Existe un plan de pruebas de recupero aprobado por el Directorio de NAFISA. Se llevó a cabo la primera tanda de pruebas en el mes de abril de 2017. Adjunto documentación y evidencia.
4.3.11. Faltan medidas para asegurar la correcta instalación física del Data Center. Esto expone a la empresa a no disponer de los elementos suficientes para prevenir, evitar o subsanar incidentes.
Los cables han sido ordenados y se presenta la evidencia. Los mismos se encontraban sin su orden debido a que la organización presento durante los meses de enero 2016 hasta junio 2016 nuevos esquemas de organización y los mismos han afectado el orden de las VLAN. Se ha realizado el trabajo de mejora de calidad del producto en los matafuegos (Halon) y en su instalación. Se ha instalado el producto netbozt (la cámara de inspección interna, planilla de acceso a proveedores y visitas, termómetro de temperatura, Ups configurada en red con monitoreo y envió de mail.).
4.3.12. No se ha formalizado el procedimiento de apagado y encendido de los equipos para un caso de reinicio. Esto puede generar problemas de conectividad con otros equipos activos, y consecuentemente producir errores.
Se procederá a desarrollarlo teniendo en cuenta el siguiente esquema:
Procedimiento de apagado y encendido general del CPO. Procedimiento de apagado y encendido de los servicios. Procedimiento de apagado y encendido de las UPS. Procedimiento de apagado y encendido del sistema de Aire acondicionado. Procedimiento de apagado y encendido del sistema de monitoreo. OBJETIVO: Establecer un instructivo para el desarrollo de la secuencia de apagado y encendido de los servicios del centro de datos. Teniendo en cuanta los parámetros para realizar estas operaciones de forma correcta y eficiente, optimizando la vida útil de los mismos. ALCANCE: El instructivo comprende las actividades desarrolladas en la secuencia de apagado y encendido de los servicios del centro de datos. El documento estará enfocado al eficaz desarrollo de actividades mediante una descripción clara y sencilla de la forma correcta de ejecutarlas.
4.4. MONITOREO
4.4.1. NAFISA carece de un marco de trabajo para el monitoreo de la infraestructura de TI que permita detectar anomalías y tomar acciones correctivas a tiempo.
Se ha adquirido e instalado el producto Solard Winds. Existen otros productos instalados para la medición de eventos (event manager, lanware).
4.4.2. Los controles internos de TI no son lo suficientemente robustos producto de la falta de personal de TI, de la desagregación de funciones y de la estructura funcional de Seguridad de la Información. Esto permite acciones discrecionales por parte de funcionarios clave.
INFORME DE AUDITORÍA
57
El Directorio de NAFISA considera adecuada estructura y suficiente para llevar a cabo los servicios.
4.4.3. No se cumple con algunas de las regulaciones externas obligatorias.
En función de la observación efectuada con relación al análisis de la página web institucional de Nación Fideicomisos S.A., procedimos a realizar la contratación de la firma "Ferraro Camacho y Asociados" a los fines de que analice las debilidades de la página actualmente en uso, las no conformidades indicadas por esa Auditoría General de la Nación, las observaciones de la Auditoría Interna y todos los requerimientos de Directorio y de los diferentes sectores de la Empresa. Se estima recibir el informe final el día 02 de junio que será elevado a conocimiento del Directorio a los fines de que adopte las medidas pertinentes.
INFORME DE AUDITORÍA
58
ANEXO II – Análisis de los comentarios del auditado
A continuación se presenta el análisis realizado por esta AGN para cada uno de los comentarios del auditado
Observación Respuesta NAFISA Comentario AGN 4.1.1. La formulación de la Planificación Estratégica de TI no se presenta con los niveles de claridad y de detalle necesarios, lo que dificulta su seguimiento posterior.
Las mejores prácticas en TI señalan la necesidad de contar con una planeación estratégica específica para administrar y dirigir los recursos de TI de acuerdo con los objetivos estratégicos de la empresa y sus prioridades. El plan estratégico debe mejorar el entendimiento de los interesados clave respecto a las oportunidades y limitaciones de TI, evaluar el desempeño actual y aclarar el nivel de inversión requerido. La estrategia y las prioridades se deben reflejar en los proyectos de inversión y deben ser ejecutadas por los planes tácticos de TI, los cuales establecen objetivos y tareas específicas.
Si bien la planeación estratégica y táctica de TI está formalizada, aprobada por la máxima autoridad de la empresa y en línea con los objetivos estratégicos de ésta, se observa que:
Contiene imprecisiones relativas a tiempos en algunos proyectos, y falta de totales de inversión proyectada por año.
Considerando que es un documento que debe ser aprobado por el directorio de la empresa, el lenguaje en algunos casos es demasiado técnico y se utilizan acrónimos y
Existe un Plan y un Presupuesto de Sistemas, dividido en Inversiones y Gastos, y Aplicaciones e Infraestructura, aprobado por el Directorio de NAFISA. El mismo es entregado a la Gerencia de Planificación Estratégica y Control de Gestión en el mes de Septiembre, y es incluido dentro del presupuesto global de la compañía. Es enviado a la Gerencia de Administración, área Compras para que incluya dentro del plan anual todos los ítems por categoría para su posterior
Vista la documentación provista por el auditado, por tratarse de hechos posteriores, serán objeto de evaluación en futuras auditorías. Se mantiene la observación.
INFORME DE AUDITORÍA
59
Observación Respuesta NAFISA Comentario AGN siglas que no están aclarados.
Su forma de exposición dificulta el seguimiento.
ejecución. Adjunto Acta de Directorio W 1449 del 22 de febrero de 2017 en donde se presenta el control presupuestario, el plan de sistemas y documentos de soporte de lo enunciado. Adjunto en el CD los documentos.
4.1.2. La arquitectura de la información de la empresa no se encuentra totalmente integrada, lo que genera la necesidad de realizar tareas de composición de datos, desarrollar interfaces específicas y llevar a cabo controles manuales que afectan la eficacia y eficiencia de los procesos.
Las mejores prácticas en TI señalan la necesidad de crear y actualizar de forma regular un modelo de información, lo que incluye el desarrollo de un diccionario de datos de la organización, el esquema de clasificación de datos y los niveles de seguridad. Este proceso de TI también es necesario para mejorar la efectividad y control de la información compartida a lo largo de las aplicaciones.
Debido a que los sistemas clave del negocio que habían sido adquiridos en su oportunidad fueron objetados por distintos informes de auditoría , la GTP –que adoptó la política de comprar soluciones llave en mano- adquirió el sistema contable y
Considerando que disponemos de 3 aplicaciones para llevar a cabo nuestro negocio, y los mismos no son del mismo proveedor, se hace imposible el obtener un diccionario único de datos. Dado que son paquetes tercerizados, y los mismos los obtenemos a través del licenciamiento; el proveedor dispone y nos entrega el diccionario de datos. La integración de datos se realiza a través de procesos
Un diccionario de datos empresarial registra el nombre, tipo, rango de valores, fuente, sistema de registro, y autorización de acceso para cada elemento de datos utilizado en la empresa. Indica cuáles programas aplicativos usan esos datos, de tal forma que cuando se contemple una estructura de datos, se pueda
INFORME DE AUDITORÍA
60
Observación Respuesta NAFISA Comentario AGN administrativo PeopleSoft; Safiro, para la administración de los fideicomisos, y Vigía, para detección de operaciones sospechosas de lavado de activos de origen delictivo, sistemas que cubrían tanto las necesidades funcionales como las observaciones mencionadas. Además, adquirió el Sipre, para operar los fideicomisos de préstamos.
Al momento de los trabajos de campo de esta auditoría, estos aplicativos presentaban problemas de integración. Por otra parte, no existe un diccionario único de datos de la organización, ni se ha llevado a cabo un esquema de clasificación de datos basado en la criticidad y sensibilidad de la información, necesarios para conocer detalles de los datos de la organización y sus vinculaciones, de modo de prevenir duplicaciones e incompatibilidades.
externos considerando las necesidades de cada área.
generar una lista de los programas afectados. Contar con diccionarios de datos de cada producto tercerizado, independientes entre sí, no brinda la funcionalidad mencionada. Se mantiene la observación.
4.1.3. En la formulación de la dirección tecnológica no se han explicitado los riesgos relacionados con la dependencia de la empresa sobre ciertos servicios tercerizados críticos. Esto genera incertidumbre sobre la calidad del servicio que los proveedores pueden brindar ante determinadas situaciones.
La GTP debe determinar la dirección tecnológica para dar soporte a los objetivos estratégicos de la empresa. Esto requiere de la creación de un plan de infraestructura tecnológica que establezca y administre expectativas realistas y claras de lo que la tecnología puede ofrecer en términos de productos, servicios y mecanismos de aplicación. El plan debe actualizarse regularmente y abarcar la arquitectura de sistemas, dirección tecnológica, planes de adquisición, estándares, estrategias de migración y
No es un riesgo la administración de terceros considerando que cada proveedor estratégico posee un contrato formal con la compañía, llevado a cabo por la Gerencia de Legales y administrado por el área de compras. Los contratos indican el nivel de servicio acordado y el servicio
Tal como se manifiesta en la observación, se han identificado dos variables relevantes que aumentan el riesgo de degradación o interrupción del servicio: i) la significativa dependencia de la empresa sobre servicios tercerizados, y ii)
INFORME DE AUDITORÍA
61
Observación Respuesta NAFISA Comentario AGN contingencias. Esto permite mejorar los tiempos de reacción para la toma de decisiones en situaciones de cambio.
De la documentación entregada surge que la dirección tecnológica está formalmente definida, y se contemplan las tecnologías existentes y emergentes para materializar la estrategia de TI. Producto de lo expresado precedentemente, se incorporaron aplicaciones nuevas en las actividades clave del negocio que reemplazaron a las existentes hasta ese entonces, de modo de adaptar mejor las actividades de la empresa a los requerimientos funcionales y regulatorios.
Se observa una debilidad relacionada con: i) la falta de explicitación de los riesgos asociados a la tercerización de servicios críticos (y en consecuencia las acciones que se deben tomar frente a éstos) y ii) la existencia de acuerdos de nivel de servicios poco precisos; lo que genera incertidumbre sobre la eficacia del control de los proveedores considerados críticos, dada la significativa dependencia de la empresa sobre servicios tercerizados.
es analizado por cada solicitante una vez recibido el mismo.
acuerdos de niveles de servicios poco precisos en cuanto al control que sobre ellos es posible ejercer. Dicho riesgo debe ser medido e informado al Directorio, mencionando las medidas a tomar frente a la eventualidad de que se materialice. Se mantiene la observación
4.1.4. La estructura organizacional de TI actual es insuficiente para llevar a cabo todas las funcionalidades requeridas con un adecuado control interno por oposición. Además, falta definir procedimientos formales para procesos relevantes de la organización. Como resultado de estos dos factores existe una dependencia crítica sobre individuos clave, lo que conlleva el riesgo que ante su posible ausencia la prestación de algún servicio crítico se vea afectada.
Una organización de TI se debe definir tomando en cuenta los requerimientos de
El Directorio de Nación Fideicomisos S.A. considera que la estructura organizacional de TI es suficiente para llevar a cabo todas las tareas requeridas. La auditoría formulo comentarios sobre el administrador de base
Las mejores prácticas recomiendan la segregación de funciones de ejecución y control para prevenir errores involuntarios u otros factores de riesgo. Se aclara que esta es una
INFORME DE AUDITORÍA
62
Observación Respuesta NAFISA Comentario AGN personal, funciones, delegación, autoridad, roles, responsabilidades y supervisión. En la organización debe estar inserto un marco de trabajo de procesos de TI que asegure la transparencia y control, así como el involucramiento de los altos ejecutivos de nivel decisorio. Deben existir procesos, políticas administrativas y procedimientos para todas las funciones, con atención específica en el control, el aseguramiento de la calidad, la administración de riesgos, la seguridad de la información, la propiedad de datos y de sistemas y la segregación de tareas.
La actual estructura organizacional de TI resulta insuficiente para cubrir todas las tareas funcionales. Hay tareas relevantes de planificación y control que no se llevan a cabo a nivel operativo, tales como la administración de proyectos, análisis de riesgo, aseguramiento de la calidad y monitoreo (tanto de la infraestructura como de los servicios tercerizados).
Complementariamente, algunas de las funciones existentes no se encuentran desagregadas o definidas de tal manera que fortalezcan el control interno por oposición de intereses, tales como las que competen al Supervisor de Tecnología, responsable de “Definir estándares metodológicos y técnicos que permitan ejercer un adecuado control de calidad, seguridad y performance de los recursos tecnológicos de [hardware], redes e instalaciones vinculadas, de la Empresa”, quien debe simultáneamente “Supervisar el correcto cumplimiento de los proveedores contratados para el desarrollo e implementación de aplicativos de uso interno de la Empresa, en los aspectos referentes a la seguridad de las redes, así como de su posterior mantenimiento y la realización de las instalaciones que correspondan” ; en conclusión, recae en el mismo funcionario la doble
de datos, y acepto que las funciones sean llevadas a cabo por el jefe de tecnología cuando se refiere a sistemas pequeños y en el ambiente PeopleSoft por el DBA de Nación Servicios.
auditoría externa, independiente de otras que pudieran ejercer la función de control sobre la empresa. Se mantiene la observación
INFORME DE AUDITORÍA
63
Observación Respuesta NAFISA Comentario AGN función de fijar los estándares y controlarlos.
Además, existe dependencia crítica sobre algunos individuos clave . Faltan procedimientos de mesa de ayuda, cambios en situaciones de emergencia, control sobre los proveedores de servicios tercerizados, mantenimiento de hardware, pasaje de software a producción y pruebas de aplicaciones. Por último, la página web institucional se encuentra sin mantenimiento de contenidos debido a que no hay un responsable designado para administrarla. 4.1.5. La GTP presupuesta los costos de TI de toda la organización sin identificar los que pertenecen a otras gerencias. De este modo asume como propio la totalidad de lo presupuestado, dificultando así la exposición de la información para la correcta toma de decisiones por parte de los niveles directivos.
Una organización de TI debe llevar cabo un proceso de administración presupuestaria de TI donde, habiendo identificado los costos propios de cada gerencia, se pueden comparar los costos reales con los presupuestados, identificar en forma oportuna las desviaciones y evaluar el impacto de éstas sobre lo planificado.
La GTP realiza todos los años la formulación presupuestaria del año siguiente pero lo hace en función del costo total de TI de la empresa, con lo cual se imputan presupuestos que no pertenecen a la propia gerencia. El presupuesto de TI en relación al gasto total de la empresa en los años 2014 y 2015 fue de 6,11% y 7,13% respectivamente.
El Directorio de la compañía considera que no es necesario dividir el costo de IT por gerencia. Es una organización pyme cuyo principal costo de TI es el de licenciamiento, y los otros costos de Infraestructura.
Las buenas prácticas aconsejan la separación de los costos de TI por centro de costos, de modo que permita llevar un control de las necesidades y la distribución de recursos de TI entre las distintas áreas (CobiT 4.1 – DS6). Aún si se tratara de una Pyme, por ser el Banco de la Nación Argentina su principal accionista, amerita considerar las
INFORME DE AUDITORÍA
64
Observación Respuesta NAFISA Comentario AGN buenas prácticas para justificar el uso eficiente y transparente de los recursos públicos. No se suministró documentación respaldatoria (acta) que dé cuenta de la opinión del Directorio en el sentido manifestado en la respuesta. Se mantiene la observación.
4.1.6. La comunicación de los objetivos y la dirección de TI está parcialmente informada al personal relevante, lo que condiciona el apoyo a la estrategia de TI y la entrega de valor.
Las máximas autoridades de la empresa deben implantar un programa de comunicación continua para articular la misión, los objetivos de servicio, las políticas y procedimientos aprobados y apoyados por la dirección. La comunicación apoya el logro de los objetivos de TI y asegura la concientización y el entendimiento de los riesgos. El proceso debe garantizar el cumplimiento de las leyes y reglamentos.
La empresa cuenta con la Intranet para facilitar el acceso a parte de la normativa interna sobre diversas temáticas, pero al no estar clasificada, se dificulta la identificación de los
Las políticas, normas y procedimientos de TI de la Empresa son aprobadas por Directorio y puesta a disposición en el Disco Público al cual todos los empleados tienen acceso.
Poner a disposición la información en un disco público es condición necesaria, pero no suficiente para garantizar una comunicación eficaz de los objetivos y la dirección de TI. Se mantiene la observación.
INFORME DE AUDITORÍA
65
Observación Respuesta NAFISA Comentario AGN temas específicos de TI por parte de los usuarios. Asimismo, falta un digesto centralizado de normas por gerencia que incluya las políticas, normas y procedimientos de TI. 4.1.7. Existe dependencia de individuos clave. Esto expone a la organización a que en alguna situación la prestación del servicio de TI pueda verse afectada.
Una buena práctica para incorporar, mantener y motivar una fuerza de trabajo para la creación y entrega de servicios de TI se logra siguiendo prácticas definidas y aprobadas que apoyan el reclutamiento, entrenamiento, la evaluación del desempeño, la promoción y la desafectación.
El reclutamiento de recursos humanos, las políticas de retención del personal, las competencias, la asignación de roles, evaluación de desempeño y la finalización del vínculo laboral, están formalmente definidos en el “Manual de Políticas y Prácticas de Recursos Humanos”. Asimismo, la empresa cuenta con descripciones de cada puesto. De este documento se desprende que el supervisor de calidad tiene asignadas funciones de control y supervisión que no se están cumpliendo por encontrase vacante el puesto. Por otra parte, en la GTP se verifica la dependencia de individuos clave, cuya ausencia no puede ser cubierta por otro recurso humano de similares conocimientos. En particular, la función de supervisión de parametrizaciones lleva éstas a cabo para cada nuevo fideicomiso en el aplicativo administrativo-contable Peoplesoft, sin que el procedimiento de parametrización se encuentre documentado. Esto expone a la empresa a vulnerabilidades frente a errores u omisiones y a que en alguna situación la prestación del servicio de TI pueda verse afectada.
Los puestos claves están cubiertos con empleados con alto perfil en sus funciones cumpliendo satisfactoriamente con las necesidades del negocio teniendo en cuenta la estructura organizacional de NAFISA (dotación 111 personas).
La observación de esta auditoría no hace referencia al desempeño de los empleados, sino a la falta de procedimientos documentados sobre las tareas que realizan, entre otras debilidades, lo que genera dependencia de la compañía sobre éstos individuos. Por otra parte, el auditado no presenta documentación de respaldo que dé cuenta de haber cubierto la función de control operativo (supervisor de calidad), que resulta clave. Se mantiene la
INFORME DE AUDITORÍA
66
Observación Respuesta NAFISA Comentario AGN observación.
4.1.8. No se ha establecido formalmente un Sistema de Aseguramiento de la Calidad, lo que impide identificar desviaciones, aplicar acciones correctivas, informar a los usuarios involucrados y conocer la entrega de valor de TI a los objetivos estratégicos de la empresa.
Las áreas de TI deben elaborar y mantener un sistema de administración de calidad, que incluya procesos y estándares probados de desarrollo y de adquisición. Los requerimientos de calidad se deben manifestar y documentar con indicadores cuantificables y alcanzables. La mejora continua se logra por medio del constante monitoreo, corrección de desviaciones y la comunicación de los resultados a los interesados. La administración de calidad es esencial para garantizar que la TI está dando valor a los objetivos estratégicos de la empresa.
No existen políticas, procedimientos, ni un sistema de aseguramiento de calidad que establezca estándares para medirla y monitorearla.
La empresa a través de los contratos que son firmados en cada caso con los proveedores de TI, establece las pautas a cumplir. Es así que la gerencia de legales en conjunto con la gerencia de compras establece en la firma del mismo el nivel del servicio que se prestara. No existe para cada tipo de categoría una prestación establecida dado que la empresa contrata consultoría de sistemas, Asesores impositivos, desarrollos de proyectos llave en mano, comunicaciones y su principal proveedor es una empresa socia del grupo BNA.
El argumento de la observación no hace referencia a los servicios brindados por terceros sino a los procesos internos de la compañía (“No existen políticas, procedimientos, ni un sistema de aseguramiento de calidad que establezca estándares para medirla y monitorearla”). Los sistemas de aseguramiento de la calidad para la TI apuntan a proporcionar confianza sobre los procesos y la información resultante. Se mantiene la observación.
INFORME DE AUDITORÍA
67
Observación Respuesta NAFISA Comentario AGN 4.1.9. No se han formalizado estudios de riesgos, por lo que ante la presencia de un evento inesperado, no se tienen definidos los cursos de acción a tomar, situación que puede afectar las operaciones de la empresa.
El área de TI debería, de acuerdo a las buenas prácticas en la materia, mantener un marco de trabajo de administración de riesgos que documente un nivel común y acordado de riesgos de TI, estrategias para evitar, mitigar, reducir, compartir, transferir, asumir, aplazar y administrar los riesgos residuales acordados. El resultado de la evaluación debe ser entendible para los participantes, para permitir alinear los riesgos a un nivel aceptable de tolerancia.
De las tareas de campo surge que no existe un marco formal de administración de riesgos que permita identificarlos con el objeto de tomar acciones para prevenirlos, asumirlos, mitigarlos, evitarlos o resolverlos en caso de un incidente, cuantificando costos y probabilidades de ocurrencia.
Si bien los riesgos tecnológicos sobre el hardware y el software se conocen, se limita a un esquema informal. En consecuencia, falta la formalización del contexto de riesgo y su evaluación estructurada de manera tal de contemplar las fortalezas, oportunidades, debilidades y amenazas, con el fin de evitar que se produzcan incidentes que pongan en riesgo las operaciones.
Nación Fideicomisos S.A. se encuentra en etapa de implementación del proceso integral de gestión General de Riesgo teniendo en cuenta los lineamientos del Banco de la Nación Argentina. La gerencia de tecnología posee a través del programa PGSI el análisis completo de los servicios que brinda, como así de sus procesos. Adjunto en el CD los documentos.
La respuesta del auditado no contradice lo señalado por esta auditoría. Se mantiene la observación.
4.1.10. No existe un marco de trabajo formalizado para la administración de proyectos. Como consecuencia de esto, se dificulta determinar la coordinación, la correcta asignación de prioridades y de recursos, el cumplimiento de los objetivos tácticos y la
El Directorio considera que nuestra estructura es suficiente para llevar a cabo los
La observación de esta auditoría no hace referencia a la suficiencia
INFORME DE AUDITORÍA
68
Observación Respuesta NAFISA Comentario AGN entrega de valor para el negocio.
El área de TI debería establecer un programa y un marco de control para la administración de todos los proyectos de TI, que garantice la correcta asignación de prioridades y la coordinación de recursos. El marco de trabajo debe incluir un plan maestro, asignación de recursos, definición de entregables, aprobación de los usuarios, un enfoque de entrega por fases, aseguramiento de la calidad, un plan formal de pruebas, revisión de pruebas y revisión post-implantación para garantizar la administración de la ejecución del proyecto y su contribución a los objetivos estratégicos de la empresa.
De las tareas de campo surge que el marco de trabajo para la administración de proyectos es informal y que incluso no se aplica en todos los casos. Asimismo, la empresa carece de una unidad administrativa o función asignada que tenga a cargo la administración y control de los proyectos de TI tercerizados, por lo que esa función recae sobre el Gerente de Tecnología y Procesos y genera una dependencia crítica de este funcionario. Por otra parte, y al haber adoptado como política tercerizar la mayoría de los servicios de TI sin que medien acuerdos de niveles de servicios robustos en todos los casos, se genera una dependencia crítica de los proveedores.
La carencia de un marco formal y estructurado de administración de proyectos de TI dificulta la comunicación y el involucramiento del negocio y de los usuarios finales, no asegura la calidad de la documentación entregable y genera una fuerte dependencia sobre el administrador real de los proyectos.
servicios. El responsable funcional es quien ejecuta los proyectos, mejoras, o administra los requerimientos con terceros.
de la estructura organizacional que gestiona los servicios de TI, sino a la falta de un procedimiento formalizado para gestionar los proyectos de TI. Se mantiene la observación.
INFORME DE AUDITORÍA
69
Observación Respuesta NAFISA Comentario AGN 4.2.1. NAFISA carece de un tratamiento centralizado de los requerimientos funcionales que formulan los usuarios, por lo que existen múltiples plataformas para su seguimiento y debe componerse información para obtener un estado de situación consolidado.
La necesidad de una nueva aplicación o función requiere de un análisis antes de la compra o desarrollo para garantizar que los requisitos del proyecto se satisfacen con un enfoque efectivo y eficiente. Este proceso cubre la definición de las necesidades, considera las fuentes alternativas, realiza una revisión de la factibilidad tecnológica y económica, ejecuta un análisis de riesgo y de costo-beneficio y concluye con una decisión final de desarrollar o comprar. Todos estos pasos permiten a la empresa minimizar el costo para adquirir e implantar soluciones, mientras que al mismo tiempo facilitan el logro de los objetivos.
En NAFISA la solución a los requerimientos funcionales de negocio se abarcan de manera global con la adquisición de soluciones llave en mano. Antes del proceso de compra de la solución integral, se llevan a cabo los estudios de factibilidad, análisis funcional, debilidades y costos. Estas decisiones son aprobadas por el directorio.
La política adoptada por la GTP es no hacer adaptaciones sobre el código fuente a los productos comprados, por lo tanto una vez instalado, las demandas puntuales de los usuarios son satisfechas sólo en la medida en que estos contengan las funcionalidades necesarias para proveerlas. En este sentido, cada producto comprado incluye un servicio de soporte y mantenimiento posterior por una cantidad de horas de consultoría suministrada por los proveedores.
La empresa no posee un software de requerimientos centralizado se están analizando alternativas en el mercado. Cada proveedor tercerizado dueño de las aplicaciones posee un software de requerimientos que es el utilizado para registrar los requerimientos.
La respuesta del auditado no contradice lo señalado por esta auditoría. Se mantiene la observación.
INFORME DE AUDITORÍA
70
Observación Respuesta NAFISA Comentario AGN De este esquema de trabajo se observa la falta de un repositorio común donde almacenar los requerimientos funcionales que realizan los usuarios, un procedimiento formal de administración de requerimientos donde se identifique, de prioridad y analice la factibilidad o los cursos de acción alternativos, la asignación de recursos y su posterior seguimiento. 4.2.2. Las parametrizaciones que se realizan sobre los sistemas de NAFISA no se encuentran documentadas y comunicadas en todos los casos. Ante estas situaciones, las áreas operativas que solicitan una parametrización no pueden verificar adecuadamente que éstas se hayan realizado de acuerdo a las necesidades del negocio, dificultando el control posterior y generando una dependencia crítica sobre el personal que lleva a cabo la tarea.
Se precisa tener un ambiente controlado para la adquisición de aplicativos y su posterior mantenimiento. Esto permite que los cambios producidos por la incorporación de nuevas soluciones automatizadas impacten lo menos posible en la operatividad de la empresa.
En relación a las adquisiciones, se lleva a cabo una evaluación de las ofertas existentes en el mercado donde se analizan aspectos de factibilidad, funcionalidad, cumplimiento de regulaciones, costos y debilidades. Los aplicativos son plataformas multiempresas, lo que en la práctica implica que cada nuevo fideicomiso a administrar requiere de la creación del entorno propio a través de la parametrización que permiten estos productos. En este contexto, el alta de fideicomisos y su parametrización es el único proceso que podría definirse como un cambio. Dependiendo de los valores que se asignen en esta etapa a cada entorno propio de cada fideicomiso a administrar, la aplicación actuará en
Existe parametrización sobre el sistema Vigía y el sistema PeopleSoft y ambas se encuentran documentadas. El sistema Safiro posee los documentos para llevar a cabo los títulos sin necesidad de parametria. En todos los casos existe un ambiente pre producción, que es la copia de producción antes de hacer la liberación de los sistemas, en donde el usuario realiza las pruebas, firma las hojas de trabajo o envía un mail con la conformidad. Posterior a esto se lleva a cabo la seguridad. Considerando que se han
La documentación remitida por el auditado respecto del proceso de parametrización no abarca a todos los fideicomisos o grupos de fideicomisos, ni su aprobación formal por parte de las gerencias usuarias, por lo que no invalida la evidencia recolectada por esta auditoría. Se mantiene la observación.
INFORME DE AUDITORÍA
71
Observación Respuesta NAFISA Comentario AGN consecuencia. La GTP no realiza adaptaciones propias al software.
En este sentido se observa que la documentación de las parametrizaciones no se formaliza en todos los casos, lo cual impide un control concomitante (por parte del usuario) o expost (por parte de la auditoría). A modo de ejemplo, esto sucedió en la segunda etapa de migración de los fideicomisos al PeopleSoft. De este modo la GTP se hace responsable por los resultados de la parametrización (y el posterior comportamiento de la aplicación) cuando debe ser responsabilidad de usuario final interesado.
establecido grupos de fideicomisos con la misma estructura evitando tener que documentar cada uno por separado. Adjunto en el CD los documentos.
4.2.3. El impacto de un cambio en las reglas del negocio, un desarrollo nuevo o una modificación de un aplicativo puede generar una modificación en la infraestructura de TI que no esté formalmente contemplada, lo que implica un riesgo para el nivel de prestación del servicio de TI.
Para la adquisición y mantenimiento de la infraestructura tecnológica, las organizaciones deben contar con procesos para adquirir, implantar y actualizar la infraestructura tecnológica dentro de un enfoque planeado y de acuerdo con las estrategias tecnológicas convenidas.
De las tareas de campo realizadas se desprende que no está formalmente contemplado el impacto que pueda producir sobre la infraestructura tecnológica un nuevo fideicomiso o la administración del mismo, un desarrollo nuevo, un cambio importante en alguna de las aplicaciones existentes o una modificación de las reglas de negocio.
Complementariamente, los acuerdos de nivel de servicios con la empresa del grupo Nación Servicios S.A. -que suministra los recursos para el procesamiento de la
Existe la planificación de las necesidades de TI en concordancia con el Negocio. Esto ha sido documentado en cada plan de sistemas y sus presupuestos, como la implementación de todos los proyectos. Considerando que es una Pyme no fue necesario realizar mayores análisis dado que la plataforma actual soporta el negocio y su crecimiento.
Tal como se expone en la observación, el proveedor crítico de servicios de TI es Nación Servicios S.A., pero el contrato que lo vincula a NAFISA no cuenta con acuerdos de niveles de servicio que contemplen especificaciones respecto de necesidades de capacidad de procesamiento futura, que permitan atender en tiempo y forma
INFORME DE AUDITORÍA
72
Observación Respuesta NAFISA Comentario AGN aplicación administrativa-contable PeopleSoft- no están determinados. Esto implica un riesgo adicional ya que, por tratarse de un servicio tercerizado, no se tiene control sobre la propia capacidad y riesgos de esta empresa para brindar el servicio.
requerimientos inesperados (como un cambio en las reglas del negocio, o la necesidad de dar de alta grandes proyectos simultáneamente). El riesgo de no contar con capacidad de procesamiento o infraestructura suficiente como para garantizar la adecuada prestación de los servicios de TI en esos casos, debe comunicarse claramente al Directorio de la compañía (por ejemplo, a través de los Planes de TI). Se mantiene la observación.
4.2.4. Los procedimientos administrativos relacionados con las aplicaciones administrativas/contables no se encuentran actualizados en su totalidad, por lo que la
Existen todos los procedimientos que forman
La información provista por el auditado
INFORME DE AUDITORÍA
73
Observación Respuesta NAFISA Comentario AGN operatoria puede presentar ambigüedades.
Los procedimientos formalmente aprobados para la operatoria administrativa deben mencionar y contemplar la interacción con los aplicativos y cómo se debe actuar en cada situación, de modo de minimizar los actos discrecionales o las interpretaciones erróneas por parte de los usuarios.
En ese sentido, al momento de los trabajos de campo de esta auditoría se observó que algunos procedimientos de operatoria administrativa relacionada con los sistemas PeopleSoft y Safiro se encontraban desactualizados.
parte de los desarrollos realizados. Los mismos poseen un nivel de detalle que permiten comprender cada tarea/función. Son revisados y actualizados ante cada cambio. Adjunto en el CD los documentos
corresponde a procedimientos que se encuentran en proceso de validación interna, que podrán ser objeto de evaluación en una futura auditoría. Se mantiene la observación.
4.2.5. No existen controles específicos formales sobre el nivel de servicio de post-venta suministrado por los proveedores.
Las mejores prácticas en materia de adquisición de recursos de TI exigen la definición y ejecución de adecuados procedimientos de adquisición, la selección de proveedores, el ajuste de arreglos contractuales y la adquisición en sí para garantizar que la empresa cuente oportunamente con todos los recursos de TI necesarios.
En el contexto de la política adoptada por la GTP de tercerizar los eventuales cambios sobre los aplicativos también adquiridos a terceros, se verificó que las relaciones contractuales sólo se basan en cantidad de horas trabajadas. No hay determinaciones de parámetros de calidad del servicio.
La empresa a través de los contratos que son firmados en cada caso con los proveedores de TI, establece las pautas a cumplir. Es así que la gerencia de legales en conjunto con la gerencia de compras establece en la firma del mismo el nivel del servicio que se prestara. No existe para cada tipo de categoría una prestación establecida dado que la empresa contrata consultaría de sistemas, Asesores
El auditado no presenta documentación adicional que permita refutar la evidencia recolectada por esta auditoría. Por otra parte, el hecho de que el principal proveedor de NAFISA sea una empresa integrante del grupo BNA, no es un argumento oponible a la necesidad de contar con un acuerdo contractual preciso que permita el
INFORME DE AUDITORÍA
74
Observación Respuesta NAFISA Comentario AGN impositivos, desarrollos de proyectos llave en mano, comunicaciones y su principal proveedor es una empresa socia del grupo BNA.
adecuado control del servicio brindado, del cual depende para su correcto funcionamiento. Se mantiene la observación
4.2.6. No existen procedimientos formales de control de cambios tanto para situaciones normales como de emergencia. Como consecuencia de esto, no se cuenta con la documentación apropiada para evaluar los resultados del cambio.
Todos los cambios, incluyendo el mantenimiento de emergencia y actualizaciones, relacionados con la infraestructura y las aplicaciones dentro del ambiente de producción, deben administrarse formal y controladamente. Los cambios se deben registrar, evaluar y autorizar previo a la implantación y contrastar contra los resultados planeados después de introducidos. Esto garantiza la reducción de riesgos que impactan negativamente en la estabilidad o integridad del ambiente de producción.
La GTP no dispone de un procedimiento formalizado de control de cambios. Estos se solicitan de manera informal a través de distintos medios, como el correo electrónico y otros. La falta de este marco de trabajo (un entorno controlado donde la participación de los usuarios relevantes en el proceso de aprobación del cambio sean responsables de última instancia de los efectos del mismo) transfiere la responsabilidad a la GTP cuyo rol debe ser apoyo técnico.
Existe un procedimiento formal para el control del cambio llamado PGSI- POlO Procedimiento de Control de Cambios en Aplicaciones. Adjunto en el CD los documentos.
La documentación remitida, por tratarse de hechos posteriores, será tenida en cuenta en futuras auditorías. Se mantiene la observación.
INFORME DE AUDITORÍA
75
Observación Respuesta NAFISA Comentario AGN Tampoco está establecido un procedimiento formal para actuar en situaciones de emergencia que contemple tareas a ser cumplidas en forma diferida una vez solucionado el problema y la registración de pistas de auditoría. 4.2.7. Faltan procedimientos formales que aseguren que antes de pasar un aplicativo con cambios a producción, el usuario dé su conformidad de que funciona de acuerdo a sus expectativas y las del negocio. Como consecuencia de esto, puede que este proceso no cubra sus requerimientos.
Se requiere pruebas adecuadas en un ambiente dedicado con datos de prueba relevantes, definir la transición e instrucciones de migración, planear la liberación y la transición en sí al ambiente de producción, y revisar la post-implantación para garantizar el cumplimiento de las expectativas y resultados convenidos.
NAFISA no cuenta con un procedimiento formal para hacer las pruebas, que defina la documentación a generar y que contemple la conformidad final por parte del usuario sobre el resultado satisfactorio de la misma. En el mismo orden, tampoco cuenta con un procedimiento formal de autorización por parte del usuario final para el pasaje de los entornos de prueba a producción.
Existen procedimientos formales llamados PGSI- POll Procedimiento de Testeo de Aplicaciones y PGSI- P012 Procedimiento Implantación de Aplicaciones. Adjunto en el CD los documentos
La documentación remitida, por tratarse de hechos posteriores, será tenida en cuenta en futuras auditorías. Se mantiene la observación.
4.3.1. No se ha formalizado un marco de trabajo para definir los niveles de servicios internos y externos con el usuario final. En consecuencia, algunas prestaciones pueden no satisfacer al usuario final o a las necesidades del negocio.
La GTP debe definir un marco de trabajo que promueva el establecimiento de acuerdos de nivel de servicio externos e internos con cada gerencia operativa, que formalicen los
Se ha considerado para el próximo año 2018 la implementación de un software de requerimientos. En el mismo año se presentara al directorio y a la Auditoría la
La respuesta del auditado no contradice lo señalado por esta auditoría. Se mantiene la observación.
INFORME DE AUDITORÍA
76
Observación Respuesta NAFISA Comentario AGN criterios de desempeño en virtud de los cuales se medirá su cantidad y calidad.
Falta formalizar el marco que contemple la creación del requerimiento por parte del usuario, el almacenamiento centralizado por parte la GTP, los acuerdos de niveles de servicios alcanzado y el proceso de monitoreo. De este modo el usuario final tiene un estándar de referencia para exigir calidad de prestación del servicio.
política y el procedimiento para su aprobación.
4.3.2. No se ha formalizado un marco de trabajo para controlar los servicios de los proveedores externos. Esto limita la posibilidad de exigir niveles de calidad de las prestaciones, acordes a las necesidades de la empresa.
El área de TI debe, de acuerdo a lo indicado por las buenas prácticas, implementar medidas de control orientadas a la revisión y al monitoreo de los contratos y procedimientos existentes para garantizar la eficacia y la eficiencia de las prestaciones de los proveedores. Los contratos con terceros proveedores de servicios deben incluir la especificación formal de acuerdos de nivel de servicio, identificando explícitamente los respectivos a seguridad -por ejemplo, mediante acuerdos de no divulgación- y al cumplimiento de los requisitos legales aplicables. Asimismo, en los contratos se debe aclarar expresamente que la propiedad de los datos corresponde a la organización contratante.
La responsabilidad de coordinar la relación entre los proveedores y los usuarios para asegurar la calidad y la transparencia recae sobre el gerente de Tecnología y Procesos, en tanto que el control del cumplimiento de los requerimientos legales y regulatorios está a
Como se ha detallado en punto 4.2.5: "La empresa a través de los contratos que son firmados en cada caso con los proveedores de TI, establece las pautas a cumplir. Es así que la gerencia de legales en conjunto con la gerencia de compras establece en la firma del mismo el nivel del servicio que se prestara. No existe para cada tipo de categoría una prestación establecida dado que la empresa contrata consultoría de sistemas, Asesores impositivos, desarrollos de proyectos llave
Ver comentario AGN a observación 4.2.5.
INFORME DE AUDITORÍA
77
Observación Respuesta NAFISA Comentario AGN cargo de la Subgerencia de Compras, Contrataciones y Servicios Generales.
Los riesgos relacionados con la habilidad de los prestadores para mantener una efectiva entrega de servicios de forma segura y eficiente se contempla en los estudios previos a la firma de los contratos. En ese sentido, tanto para los servicios críticos de TI como para las principales aplicaciones, se optó por proveedores con probados antecedentes en el mercado. No obstante, los acuerdos de niveles de servicio están débilmente definidos (no se definen objetivos, penalidades, calidad de la respuesta, respuesta ante crisis, etc.), por lo que se complejiza la medición de la eficacia y la eficiencia de la prestación. Para ciertos servicios, incluso, tampoco se establecen condiciones de punibilidad por incumplimiento.
Las debilidades mencionadas ponen en riesgo la calidad de los servicios provistos por terceros.
en mano, comunicaciones y su principal proveedor es una empresa socia del grupo BNA".
4.3.3. No se ha formalizado un marco de trabajo para el planeamiento de las necesidades futuras de capacidad de la infraestructura de TI instalada, por lo que los requerimientos de ampliación pueden resultar tardíos o ejecutarse a destiempo.
En lo que respecta a la administración del desempeño y la capacidad de la infraestructura de TI, las mejores prácticas al respecto señalan la necesidad de implementar un proceso orientado a la recopilación de datos, al análisis y a la generación de informes sobre el
Se realiza antes de presentar el plan de sistemas y tecnología. Es así que si se sigue el plan de inversiones de infraestructura ha mejora en los últimos 3 años de manera considerable. No es necesario
El auditado no presenta documentación adicional que permita refutar la evidencia recolectada por esta auditoría. Se mantiene la observación.
INFORME DE AUDITORÍA
78
Observación Respuesta NAFISA Comentario AGN desempeño de los recursos de TI, la dimensión de los sistemas de aplicación y la demanda de cargas de trabajo. Este proceso debe incluir el pronóstico de las necesidades futuras, almacenamiento y contingencias, y garantizar que los recursos de información que soportan los requerimientos de la empresa estén disponibles de manera continua.
En este sentido, de las tareas de campo realizadas surge que la GTP carece de un proceso de planeación para la revisión regular del desempeño y la capacidad de los recursos de TI. La situación descripta no permite asegurar la disponibilidad para procesar cargas de trabajo y minimizar el riesgo de interrupciones del servicio originados por falta de capacidad o degradación del desempeño, ni determinar las necesidades de capacidades futuras.
hacer un análisis de capacidad de la plataforma dado que poseemos infraestructura para el crecimiento del negocio sin tener ningún riesgo. Como ejemplo este año estamos analizando para el próximo presupuesto la adquisición de nuevas librerías de backup. Se ha solicitado a los proveedores alternativas de solución.
4.3.4. NAFISA carece de un proceso formal de revisión y prueba del plan de contingencia de servicios de TI. Producto de su desactualización, de presentarse una situación no contemplada, podría afectar la operatoria del negocio.
Se requiere desarrollar, mantener y probar planes para asegurar la continuidad de servicio. Al respecto, se debe almacenar respaldos fuera de las instalaciones y brindar entrenamiento periódico, de acuerdo a las mejores prácticas.
En ese sentido, la empresa ha desarrollado un marco de trabajo para mantener la continuidad de los servicios de TI. En efecto, se ha formado un grupo de trabajo integrado por el Gerente de Tecnología y Procesos, el Supervisor de Procesos y el Supervisor de Tecnología, que tienen a cargo el desarrollo y el mantenimiento del Plan de Contingencia. Este quipo ha mantenido reuniones con el objetivo de revisar las
Adjunto el plan de contingencia y las pruebas realizadas. Adjunto en el CD los documentos.
La documentación remitida, por tratarse de hechos posteriores, será tenida en cuenta en futuras auditorías. Se mantiene la observación.
INFORME DE AUDITORÍA
79
Observación Respuesta NAFISA Comentario AGN prioridades estratégicas, los procesos de la Empresa, los diferentes incidentes/escenarios y su impacto en el negocio, la definición de los sistemas críticos, el tablero de contingencias, las estrategias de recuperación, las acciones definidas, los tiempos de reacción y los errores detectados, de manera de introducir los cambios adecuados. Se contempla también una revisión en los casos donde se producen cambios en el negocio, o nuevos eventos o incidentes que lo impacten.
Dicho plan debería ser revisado periódicamente mediante pruebas de simulación en escenarios posibles. Sin embargo, no se han llevado a cabo revisiones posteriores al 15/1/2015. De la información entregada a esta auditoría sobre las pruebas realizadas, surge que no se individualizaron las personas que las llevaron a cabo.
La falta de actualización del plan y de documentación sobre las pruebas realizadas pone en riesgo la continuidad de las operaciones. 4.3.5 RESERVADO - COLEGIO DE AUDITORES GENERALES – SESIÓN DEL ______/______/______
INFORME DE AUDITORÍA
80
Observación Respuesta NAFISA Comentario AGN
RESERVADO - COLEGIO DE AUDITORES GENERALES – SESIÓN DEL ______/______/______
INFORME DE AUDITORÍA
81
Observación Respuesta NAFISA Comentario AGN
RESERVADO - COLEGIO DE AUDITORES GENERALES – SESIÓN DEL ______/______/______
INFORME DE AUDITORÍA
82
Observación Respuesta NAFISA Comentario AGN
RESERVADO - COLEGIO DE AUDITORES GENERALES – SESIÓN DEL ______/______/______
INFORME DE AUDITORÍA
83
Observación Respuesta NAFISA Comentario AGN
RESERVADO - COLEGIO DE AUDITORES GENERALES – SESIÓN DEL ______/______/______
INFORME DE AUDITORÍA
84
Observación Respuesta NAFISA Comentario AGN
RESERVADO - COLEGIO DE AUDITORES GENERALES – SESIÓN DEL ______/______/______ 4.3.6. No se conoce la incidencia de los costos de TI que consumen las áreas sustantivas de la empresa. Esto deriva en eventuales dificultades para determinar la entrega de valor de TI en cada caso y su contribución a los objetivos del negocio.
La mejores prácticas del sector sugieren implementar un sistema de imputación de costos que garantice que se los registre, calcule y asigne de acuerdo con el nivel de detalle que debe incluir la distribución de costos de TI a los usuarios de los servicios.
De acuerdo a la evidencia recolectada, la empresa carece de un enfoque orientado a la
El Directorio de la compañía considera que no es necesario dividir el costo de IT por gerencia/área.
Ver comentario a observación 4.1.5.
INFORME DE AUDITORÍA
85
Observación Respuesta NAFISA Comentario AGN administración por centros de costos de los recursos de TI, que permita el control de los recursos que consume cada gerencia. En efecto, la asignación presupuestaria de los recursos de TI no está imputada a las áreas usuarias de los servicios de TI, sino a la GTP.
La falta de información sobre la distribución de costos de TI entre las áreas dificulta la correcta asignación de recursos y la medición de su contribución a los objetivos organizacionales. 4.3.7. Faltan acciones articuladas entre la GTP y la Coordinación de RRHH para asegurar que las políticas y directivas de TI son comprendidas por los miembros de la empresa. La situación descripta deriva en el riesgo que algunos usuarios finales desconozcan su importancia para los objetivos organizacionales.
Se debe establecer y mantener un plan integral de capacitación y desarrollo. Para ello, se requieren identificar las necesidades de entrenamiento de cada área de TI. El proceso debe incluir la definición y ejecución de una estrategia para llevar a cabo un entrenamiento efectivo y para medir los resultados.
La empresa realiza una actividad sistemática de capacitación de su personal, mediante el desarrollo de un plan, surgido de las necesidades que se identifiquen en el relevamiento anual, dentro de una política de formación y desarrollo de su capital humano. La Gerencia de Recursos Humanos del Grupo Banco Nación es la responsable de elaborar y administrar el Plan Anual de Capacitación con la colaboración de la Coordinación de RRHH de la NAFISA la cual reporta funcionalmente a la primera, como así también de llevar a cabo la comunicación del mismo, su nivel de avance y cumplimiento, a los
En función del relevamiento de las necesidades de capacitación de cada área de Nación Fideicomisos que se encuentra realizando esta Subgerencia de Recursos Humanos para el año 2017, procedimos a recopilar los requerimientos realizados por la Gerencia de Tecnología y Procesos y la Gerencia de Planificación Estratégica y Control de Gestión, en relación al Oficial de Seguridad de la Información para programar actividades
La respuesta del auditado no contradice lo señalado por esta auditoría. Se mantiene la observación.
INFORME DE AUDITORÍA
86
Observación Respuesta NAFISA Comentario AGN distintos sectores a través del Departamento de Capacitación.
Faltan acciones de concientización sobre las políticas de TI tales como la seguridad de la información, que procuren un entendimiento por parte de los usuarios involucrados de las necesidades de aplicarlas en función de los objetivos estratégicos del negocio.
con el fin de llevarlos a cabo. Asimismo, en un trabajo en conjunto con el Oficial de Seguridad de la Información hemos decidido llevar a cabo un plan de concientización sobre las políticas de Tecnología Informática para el personal de Nación Fideicomisos S.A. El mismo se desarrollará en su totalidad de manera presencial y se estima finalizar con la capacitación del 100% de la nómina al 30/09/2017.
4.3.8. El tratamiento de incidentes y problemas no está debidamente formalizado, lo que dificulta su control, seguimiento y satisfacción del usuario final.
Responder de manera oportuna y efectiva a las consultas de los usuarios de TI requiere de una mesa de servicio y de un proceso de administración de incidentes que incluya el registro, escalamiento de incidentes, análisis de tendencia, análisis causa-raíz y resolución. Los beneficios incluyen el incremento en la productividad gracias a la resolución rápida de consultas.
La compañía no posee una herramienta de incidentes. Nos encontramos en proceso de análisis de alternativas provistas por el mercado.
La respuesta del auditado no contradice lo señalado por esta auditoría. Se mantiene la observación.
INFORME DE AUDITORÍA
87
Observación Respuesta NAFISA Comentario AGN En NAFISA, ante la presencia de un incidente o problema que deba ser solucionado por la GTP, el usuario final se comunica telefónicamente o envía un correo electrónico a una dirección genérica definida a tal fin para el área de Supervisión de Tecnología, quienes se encargan del requerimiento.
La excepción a la formulación precedente son los casos referidos al aplicativo contable PeopleSoft que tienen una dirección de correo electrónico especial. En este caso, dependiendo del incidente o problema, puede resolverse internamente o ser derivado a la empresa del grupo Nación Servicios S.A. para su resolución.
No existe un procedimiento formal para el tratamiento de incidentes o problemas que permita su clara identificación, la priorización, escalamientos, seguimiento y medición del nivel de satisfacción del usuario respecto de la solución final adoptada. Tampoco se ha creado una base de conocimientos con las resoluciones de los incidentes o problemas más comunes que permitan responder con una solución estandarizada a estas situaciones. 4.3.9. La administración de los bienes tangibles e intangibles no está debidamente formalizada ni centralizada, lo que dificulta su identificación, valuación y localización.
De acuerdo a las mejores prácticas, se deben formular y documentar los procedimientos que identifiquen y registren la totalidad de los bienes tangibles e intangibles de TI –lo que incluye inventarios de licencias de software adquirido o de propia producción–, con su ubicación física, la configuración inicial, el establecimiento de normas que prohíban movimientos y modificaciones no autorizadas, la verificación y auditoría de la información de la configuración y la actualización del repositorio de configuración
Existe un inventario de hardware y software administrado por la GT.
El auditado no brinda evidencia que contradiga lo manifestado por esta auditoría (para mayores datos, se aclara que el auditado cuenta con diez archivos de inventario). Se mantiene la observación.
INFORME DE AUDITORÍA
88
Observación Respuesta NAFISA Comentario AGN conforme se necesite.
De la información recibida surge que no existe un inventario único de los bienes tangibles e intangibles de TI. Al cierre de tareas de campo, la identificación y mantenimiento de los elementos de configuración se gestionan de manera informal, y no están integradas a los procedimientos de gestión de cambios, incidentes y problemas. Consecuentemente, no es posible rastrear los cambios realizados y dificulta la trazabilidad de la configuración y su impacto potencial en términos de incidentes ocurridos a partir de cambios que se hayan realizado. 4.3.10. No se realizan pruebas para asegurar que la restauración de la información respaldada (backups) funciona adecuadamente. Ello expone a la organización al riesgo de que los datos no estén disponibles en tiempo y forma ante una situación de contingencia, lo que pone en riesgo la continuidad del servicio.
Las buenas prácticas indican que el área de TI debe establecer y mantener una combinación eficaz de controles generales y de aplicación sobre las operaciones de TI para asegurar que los datos permanezcan durante su entrada, actualización y almacenamiento completos, precisos y válidos. El proceso de administración de información también incluye el establecimiento de procedimientos efectivos para administrar la librería de medios de soporte para el respaldo y la recuperación de datos, así como su eliminación apropiada.
El marco de trabajo de administración de soportes para respaldo de datos de la empresa está integrado al Plan de Continuidad de Servicios. La organización como integrante del
Existe un plan de pruebas de recupero aprobado por el Directorio de NAFISA. Se llevó a cabo la primera tanda de pruebas en el mes de abril de 2017. Adjunto documentación y evidencia.
Vista la documentación provista por el auditado, por tratarse de hechos posteriores, serán objeto de evaluación en futuras auditorías. Se mantiene la observación.
INFORME DE AUDITORÍA
89
Observación Respuesta NAFISA Comentario AGN Grupo Nación cuenta con un sitio de procesamiento alternativo en otra empresa perteneciente al grupo especializada en servicios informáticos: Nación Servicios S.A. (NSSA).
Los respaldos de información se llevan a cabo en condiciones totalmente automáticas (robotizadas), bajo los requerimientos de seguridad física establecidos y fuera de los horarios de trabajo, bajo el siguiente esquema:
Resguardo Total. Se resguardan la totalidad de los datos de la compañía.
El último día hábil de cada semana (resguardo total semanal).
El último día hábil del mes (resguardo total mensual).
En ambos casos se hacen dos copias. Una es conservada en NAFISA y la otra en NSSA. Los resguardos mensuales se guardan por diez años.
Resguardo Incremental. Se guardan las novedades producidas desde el último resguardo total hasta ese momento, en dispositivos ignífugos en el Centro de Procesamiento de NAFISA.
En este sentido, y en relación a lo observado en el punto 4.3.4 Garantía de Continuidad del Servicio, se observa la falta de un procedimiento formal de revisión y prueba en intervalos previamente definidos, para asegurar que los resguardos responden a las necesidades presentes.
INFORME DE AUDITORÍA
90
Observación Respuesta NAFISA Comentario AGN 4.3.11. Faltan medidas para asegurar la correcta instalación física del Data Center. Esto expone a la empresa a no disponer de los elementos suficientes para prevenir, evitar o subsanar incidentes.
La protección del equipamiento y del personal requiere de instalaciones bien diseñadas y administradas, con controles ambientales y físicos adecuados cuya revisión se efectúe periódicamente a fin de determinar su correcto funcionamiento. Sin embargo, se detectaron las siguientes debilidades en el Data Center:
• La puerta de acceso no es anti pánico.
• Los detectores de humo son insuficientes: Existe sólo uno, por lo que si este fallara, no se detectaría un incidente. Por otra parte, faltan detectores de humo debajo del piso técnico.
• Los servidores no están conectados de forma correcta bajo una nomenclatura técnica. Los cables no están rotulados ni organizados lo que dificulta su mantenimiento.
• Los dos matafuegos con los que cuenta no son adecuados para componentes electrónicos y se encontraban en el piso, lo que dificulta su manipulación para entrar en operación.
• Faltan: i) luces de emergencia, ii) planilla de acceso para proveedores y visitas, iii) cámara de inspección dentro de la sala de servidores y iv) termómetro para medir la temperatura ambiente.
Los cables han sido ordenados y se presenta la evidencia. Los mismos se encontraban sin su orden debido a que la organización presento durante los meses de enero 2016 hasta junio 2016 nuevos esquemas de organización y los mismos han afectado el orden de las VLAN. Se ha realizado el trabajo de mejora de calidad del producto en los matafuegos (Halon) y en su instalación. Se ha instalado el producto netbozt (la cámara de inspección interna, planilla de acceso a proveedores y visitas, termómetro de temperatura, Ups configurada en red con monitoreo y envió de mail).
Vista la documentación provista por el auditado, por tratarse de hechos posteriores, serán objeto de evaluación en futuras auditoría. Se mantiene la observación.
INFORME DE AUDITORÍA
91
Observación Respuesta NAFISA Comentario AGN • Las UPS no están configuradas para enviar un correo electrónico ante un corte de energía. 4.3.12. No se ha formalizado el procedimiento de apagado y encendido de los equipos para un caso de reinicio. Esto puede generar problemas de conectividad con otros equipos activos, y consecuentemente producir errores.
Un procesamiento completo y apropiado de la información requiere su efectiva administración y el mantenimiento del hardware involucrado que incluya la definición de políticas y procedimientos de operación para una administración efectiva del procesamiento programado, protección de datos de salida sensitivos, monitoreo de infraestructura y mantenimiento preventivo de hardware.
Si bien los procedimientos de operaciones están documentados formalmente, lo que reduce el riesgo para la continuidad de las operaciones y propende a la independencia de individuos clave, no se especifica el orden de encendido de los servidores y equipos restantes de la red para un caso de reinicio.
Se procederá a desarrollarlo teniendo en cuenta el siguiente esquema: Procedimiento de apagado y encendido general del CPO. Procedimiento de apagado y encendido de los servicios. Procedimiento de apagado y encendido de las UPS. Procedimiento de apagado y encendido del sistema de Aire acondicionado Procedimiento de apagado y encendido del sistema de monitoreo. OBJETIVO: Establecer un instructivo para el desarrollo de la secuencia de apagado y encendido de los servicios del centro de datos. Teniendo en cuanta los parámetros para realizar estas
La respuesta del auditado no contradice lo señalado por esta auditoría. Se mantiene la observación.
INFORME DE AUDITORÍA
92
Observación Respuesta NAFISA Comentario AGN operaciones de forma correcta y eficiente, optimizando la vida útil de los mismos. ALCANCE: El instructivo comprende las actividades desarrolladas en la secuencia de apagado y encendido de los servicios del centro de datos. El documento estará enfocado al eficaz desarrollo de actividades mediante una descripción clara y sencilla de la forma correcta de ejecutarlas.
4.4.1. NAFISA carece de un marco de trabajo para el monitoreo de la infraestructura de TI que permita detectar anomalías y tomar acciones correctivas a tiempo.
Una efectiva administración del desempeño de TI requiere un proceso de monitoreo definido formalmente que incluya la definición de indicadores de desempeño relevantes, reportes sistemáticos y oportunos, como así también tomar medidas expeditivas cuando existan desviaciones. El monitoreo se requiere para garantizar que se haga lo correcto y que ello esté de acuerdo con el conjunto de direcciones y políticas.
De la evaluación realizada surge que la empresa no cuenta con un marco de trabajo de
Se ha adquirido e instalado el producto Solard Winds. Existen otros productos instalados para la medición de eventos (event manager, lanware).
La respuesta del auditado no contradice lo señalado por esta auditoría. Se mantiene la observación.
INFORME DE AUDITORÍA
93
Observación Respuesta NAFISA Comentario AGN monitoreo general que defina los objetivos e indicadores de desempeño, el alcance, qué datos se van a recolectar, la metodología y el proceso a seguir para medir la solución y la entrega de servicios de TI. La falencia detectada dificulta poder comparar en forma periódica el desempeño contra las metas, realizar análisis de la causa raíz e iniciar medidas correctivas para resolver las causas subyacentes ante la existencia de desvíos. 4.4.2. Los controles internos de TI no son lo suficientemente robustos producto de la falta de personal de TI, de la desagregación de funciones y de la estructura funcional de Seguridad de la Información. Esto permite acciones discrecionales por parte de funcionarios clave.
Establecer un proceso de control interno efectivo para TI requiere de un proceso definido formalmente que incluya el monitoreo y el reporte de las excepciones de control, los resultados de las auto-evaluaciones y las revisiones realizadas por terceros. Un beneficio clave del monitoreo del control interno es proporcionar seguridad, eficiencia y eficacia respecto a las operaciones, así como el cumplimiento de las leyes y regulaciones aplicables.
En su carácter de empresa controlada del Grupo Nación, el marco de trabajo del ambiente de control interno de NAFISA se monitorea de forma continua a través de dos auditorías semestrales que lleva a cabo el Departamento de Auditorías de Empresas Controladas dependiente de la Subgerencia General de Auditoría General del BNA (SGAGBNA).También reciben auditorías de la Sindicatura General de la Nación (que le asignó un nivel de madurez 2 –bueno-) y otras auditorías externas. Asimismo, la
El Directorio de NAFISA considera adecuada estructura y suficiente para llevar a cabo los servicios.
Las buenas prácticas en la materia (CobIt 4.1 – PO7 y ME2) indican que el control interno debe ser robusto para proteger el logro de los objetivos de TI y cumplir las leyes y reglamentos relacionados con TI. Para ello debe contar con personal capacitado y suficiente. Por otra parte, el auditado no suministra documentación respaldatoria (acta) que dé cuenta de la opinión del Directorio en el sentido manifestado en la
INFORME DE AUDITORÍA
94
Observación Respuesta NAFISA Comentario AGN operatoria de cada fideicomiso es auditada por auditorías externas.
En relación al estado de los controles internos de los proveedores de servicios, y dado que el más importante es una empresa del propio Grupo (Nación Servicios S.A.), es auditada también por la SGAGBNA.
No obstante, se verifican debilidades en los controles, algunas de las cuales ya han sido expuestas en este informe. Entre ellas vale destacar: que la estructura organizacional de la GTP actual es insuficiente para llevar a cabo todas las funciones requeridas con un adecuado control interno, existe dependencia de individuos clave , no se ha establecido un formalmente un Sistema de Aseguramiento de la Calidad , no se han formalizado estudios de riesgos asociados a la TI , no existe un marco de trabajo formalizado para la administración de proyectos , para controlar los niveles de servicios internos y externos , para el tratamiento de incidentes y problemas y de monitoreo de la infraestructura de TI.
Además, no se ha definido un proceso para auto-evaluaciones y revisiones de aseguramiento del control interno, con roles definidos para los responsables de la administración del negocio y de TI. Como consecuencia de esto, persisten debilidades observadas por auditorías externas e internas que al cierre de tareas de campo no habían sido corregidas, como la implementación de pistas de auditoría en algunas bases de datos consideradas críticas, entre otras.
Por último, se ha evidenciado que no existen políticas de evaluación de riesgos y por lo tanto no están definidos los procedimientos para el manejo y mitigación de riesgos específicos de procesos.
respuesta. Se mantiene la observación.
INFORME DE AUDITORÍA
95
Observación Respuesta NAFISA Comentario AGN 4.4.3. Se observaron debilidades en el cumplimiento de los siguientes marcos normativos: • Resolución 48/05 de SIGEN "Normas de Control Interno para Tecnología de la
Información para el Sector Público Nacional”. Ver detalles en ANEXO I – Evaluación del cumplimiento de la Res. 48/05 SIGEN “Pautas de control Interno de TI”
• Ley 26.653 “Accesibilidad de la Información de las Páginas Web". Para más detalles ver ANEXO II “Análisis de página Web institucional”
En función de la observación efectuada con relación al análisis de la página web institucional de Nación Fideicomisos S.A., procedimos a realizar la contratación de la firma "Ferraro Camacho y Asociados" a los fines de que analice las debilidades de la página actualmente en uso, las no conformidades indicadas por esa Auditoría General de la Nación, las observaciones de la Auditoría Interna y todos los requerimientos de Directorio y de los diferentes sectores de la Empresa. Se estima recibir el informe final el día 02 de junio que será elevado a conocimiento del Directorio a los fines de que adopte las medidas
La respuesta del auditado no contradice lo señalado por esta auditoría. Se mantiene la observación.
INFORME DE AUDITORÍA
96
Observación Respuesta NAFISA Comentario AGN pertinentes.
INFORME DE AUDITORÍA
97
ANEXO III – “Análisis de la página Web institucional”
El análisis de la página web institucional se realizó en base a dos documentos rectores para
la programación, diseño y contenido de sitios web de organismos y empresas estatales.
Los documentos utilizados son:
1) ONTI, Estándares Tecnológicos para la Administración Pública (ETAP).
Modelo 53 – Pautas para Sitios y Portales de Internet para la Administración
Pública Nacional.
2) Disposición Nº 2/2014 de la ONTI en cumplimiento de la Ley 26.653 - de acceso a
la información pública - Ley De Accesibilidad De La Información En Las Páginas
Web.
Observaciones: (Incumplimientos a la Disposición Nº 2/2014 ONTI)
• En ningún lugar de la página web se encuentra disponible la posibilidad de
modificar los colores de primer plano y fondo.
• En muchos casos el ancho de línea excede los 80 caracteres.
• El espacio entre líneas no es de al menos 1.5 y tampoco permite al usuario la
posibilidad de configurarlo.
• Si bien el texto es escalable hasta un 200 por ciento sin que el usuario necesite barra
de scroll utilizando las funciones de zoom de los navegadores, la página no
presenta la posibilidad al usuario de escalar el texto sin ayuda técnica.
• La página no proporciona al usuario información sobre la ubicación en la que se
encuentra.
• No se proporcionan en la página web del organismo ningún mecanismo para
identificar definiciones específicas de palabras o frases empleadas de manera
inusual (incluyendo modismos y jerga).
INFORME DE AUDITORÍA
98
• No se proporcionan en el sitio web del organismo ningún mecanismo para
identificar el significado de las abreviaturas.
Observaciones: (Incumplimientos Modelo 53 – ETAPS - ONTI)
• Ni en el organigrama entregado por la empresa, ni en la sección de autoridades de
la página web del organismo aparece definido un “Administrador Web” o similar.
• En la página no se resaltan las palabras importantes ni se establecen enlaces a
palabras que requieran de una adenda explicativa.
• No se explicitan los diferentes modos en que se puede acceder a un documento o se
lo puede descargar.
• Desde la página no se propicia la interacción con los usuarios ni se pone a
disposición de los mismos un libro de quejas ni de sugerencias
• En el encabezado del Sitio no está presente el nombre del país ni los símbolos
oficiales.
• En el menú principal, enlace “¿Quiénes Somos?”, no figuran todas las autoridades
principales. De las autoridades que figuran no se han cargado los curriculum vitae.
• No se ha publicado el organigrama completo de la estructura jerárquica, ni las
misiones y funciones. Tampoco se ha publicado la normativa vigente que se asocia
a la institución.
• No se presentan en la página web los informes de gestión.
• Los enlaces a la reglamentación y legislación que encuadra su accionar se
encuentran caídos o mal vinculados.
• No se indica el estado y cronograma de compras y contrataciones consignando a
qué sitio se podrá remitir para conocer la normativa de contrataciones del Estado.
• No se publica la política de ingreso de personal y vacantes disponibles.
• No se ha incorporado el listado completo de los proyectos y programas en curso en
la institución.
INFORME DE AUDITORÍA
99
• No se han publicado las publicaciones y/o la documentación pública referidas a las
áreas del organismo.
• No se han publicado las políticas de Estado vigentes y de dominio público en las
que el organismo sea parte.
• No se han publicado el marco normativo vigente, incluyendo leyes, decretos,
resoluciones, códigos, etc., de interés para los ciudadanos, empresas u otras
instituciones, o aquellos en los cuales el organismo tenga alguna incumbencia.
• No se ha publicado un apartado o sección donde se indiquen las novedades.
• No está publicado el presupuesto del ente.
• No se han publicado las direcciones de correo electrónico de: responsable del sitio
y cuentas específicas de responsables de áreas relativas a los temas publicados,
tampoco se ha publicado el contacto con webmaster para temas técnicos.
• Son insuficientes los datos de contacto, como por ejemplo los horarios de atención.
• No se han configurado barras de navegación adicionales para cada sección con sus
ítems principales.
• La página no dispone de un buscador de contenido.
• No hay publicado en la web un mapa del sitio.
• No se presenta en el Sitio la política de privacidad de uso de la información y
marco legal.
• El sitio de Internet no presenta versiones parciales ni globales en lenguas
extranjeras.
• No se ha explicitado la responsabilidad que el organismo tiene sobre los
documentos o contenidos publicados ni las cuestiones asociadas con el empleo de
información del sitio por los usuarios, como así también la utilización de
información generada por terceras partes (este caso corresponde a enlaces hacia
documentación proporcionada por otros organismos o terceras partes).
• La página no brinda un servicio de Newsletter.
INFORME DE AUDITORÍA
100
Recomendaciones:
• Incorporar y definir en el organigrama del organismo y en la página web al
“Administrador Web” o similar, haciendo referencia a la persona responsable de la
administración de la página web.
• Resaltar en la página las palabras importantes y establecer enlaces para las palabras
que necesitan una adenda explicativa.
• Explicitar los diferentes modos en los que se puede acceder a un documento o se lo
puede descargar.
• Propiciar la interacción con los usuarios mediante mecanismos como encuestas,
chats, foros, etc.
• Poner a disposición de los usuarios un libro de quejas y sugerencias.
• Incorporar en el encabezado del Sitio el nombre del país y los símbolos oficiales.
• Publicar todas las autoridades principales (alcanzando Secretarías, Subsecretarías y
Direcciones Nacionales, o equivalentes del mismo nivel jerárquico) con su C.V.
actualizado.
• Presentar el organigrama con toda la estructura jerárquica del organismo
(alcanzando Secretarías, Subsecretarías y Direcciones Nacionales, o equivalentes
del mismo nivel jerárquico), incluyendo misiones y funciones, y la normativa
vigente a ellas asociada, con enlace a cada área, que incluya las autoridades,
teléfono, y dirección electrónica del contacto designado.
• Agregar al Sitio Web los informes de gestión de la institución.
• Reparar o incluir (según sea el caso) los enlaces a la reglamentación y legislación
que encuadra su accionar.
• En caso de poseer acuerdos con otros organismos (nacionales e internacionales):
deberá contener un enlace hacia la información sobre los acuerdos con otros
organismos.
INFORME DE AUDITORÍA
101
• Indicar el estado y cronograma de compras y contrataciones consignando a qué sitio
se podrá remitir para conocer la normativa de contrataciones del Estado.
• Publicar la política de ingreso de personal y vacantes disponibles.
• Incorporar el listado completo de los proyectos y programas en curso en la
institución.
• Incorporar a la web de la empresa las publicaciones y/o la documentación pública
referidas a las áreas del organismo.
• Publicar las políticas de Estado vigentes y de dominio público en las que el
organismo sea parte.
• Publicar el marco normativo vigente, incluyendo leyes, decretos, resoluciones,
códigos, etc., de interés para los ciudadanos, empresas u otras instituciones, o
aquellos en los cuales el organismo tenga alguna incumbencia.
• Generar un espacio en la página donde se indiquen las novedades.
• Publicar el presupuesto del ente.
• Publicar las direcciones de correo electrónico de: responsable del sitio y cuentas
específicas de responsables de áreas relativas a los temas publicados, tampoco se ha
publicado el contacto con webmaster para temas técnicos.
• Incorporar en la página de contactos los horarios de atención y todo otro dato que
facilite el acceso físico del usuario. En el caso de la localización geográfica, pueden
realizarse acuerdos para que sitios de software proporcionen mapas de localización
• Incorporar barras de navegación adicionales para cada sección que contengan sus
ítems principales. Un buscador de contenido y un mapa del sitio.
• Publicar la política de privacidad de uso de la información y el marco legal.
• El sitio de Internet debe presentar versiones parciales o globales en lenguas
extranjeras, por ejemplo: inglés/portugués según el tipo de información y las
características de los usuarios (frecuentes o a los que se pretenda llegar). Las
INFORME DE AUDITORÍA
102
indicaciones sobre la opción de idiomas debe aparecer desde la página principal
para facilitar su acceso.
• La responsabilidad que el organismo tiene sobre los documentos o contenidos
publicados debe estar claramente explicitada en forma apropiada. De igual forma,
se deben explicitar las cuestiones asociadas con el empleo de información del sitio
por los usuarios, como así también la utilización de información generada por
terceras partes (este caso corresponde a enlaces hacia documentación
proporcionada por otros organismos o terceras partes).
• Incorporar un servicio de Newsletter: permite que los usuarios reciban en su casilla
de correo mensajes periódicos con información relevante sobre una temática
especial, por ejemplo: nueva documentación, eventos, etc. Con este sistema el
usuario no necesita visitar periódicamente el sitio ya que las novedades le son
informadas continuamente vía correo electrónico
• Incluir en la página web la posibilidad de que el usuario pueda configurar la escala
del texto para que pueda aumentarse al menos hasta el 200 por ciento sin la
necesidad de barra de scroll y aumentar o disminuir el espaciado entre líneas.
• Dar la opción al usuario de poder modificar los colores de fondo y primer plano.
• Reestructurar el texto en párrafos cuyo ancho de línea no exceda los 80 caracteres
• Incorporar a la colección de páginas información sobre la ubicación (ruta de
navegación) en la que se encuentra el usuario
• Incorporar a la página web algún mecanismo que permita identificar las
definiciones específicas o frases utilizadas de manera inusual, asimismo
proporcionar un mecanismo para identificar el significado de las abreviaturas.
INFORME DE AUDITORÍA
103
ANEXO IV – Evaluación del cumplimiento de la Res. 48/05 SIGEN “Pautas de
control Interno de TI”
Se detectaron incumplimientos parciales o totales en los puntos de la normativa, de
acuerdo al siguiente detalle:
1. Organización Informática
1.4. La asignación de responsabilidades debe garantizar una adecuada separación de
funciones, que fomente el control por oposición de intereses.
4. Políticas y Procedimientos
4.1. La unidad de TI debe desarrollar, documentar y comunicar políticas y
procedimientos respecto de las actividades relacionadas con la TI. Tales políticas y
procedimientos deben mantenerse actualizados. Deben especificar las tareas y
controles a realizar en los distintos procesos, así como los responsables y las sanciones
disciplinarias asociadas con su incumplimiento.
7. Desarrollo, Mantenimiento o Adquisición de Software de Aplicación
7.3. El criterio para el establecimiento de prioridades entre los distintos
requerimientos recibidos por la unidad de TI.
7.4. El tratamiento de solicitudes de emergencia, incluyendo la autorización del
responsable de la unidad de TI, el registro y monitoreo de las tareas realizadas
10. Servicios de Procesamiento y/o Soporte Prestados por Terceros
10.2. La dirección de la organización debe definir procedimientos específicos para
garantizar que cada vez que se implementen relaciones con proveedores externos de
servicios, se defina y se acuerde un contrato formal antes de que comience el trabajo,
el cual debe identificar claramente los objetivos a alcanzar y servicios a proveer, las
obligaciones de ambas partes, los métodos y responsables de las interacciones y las
políticas de la organización que deben ser respetadas por el tercero. Tales
procedimientos deben asegurar el cumplimiento de la normativa para las
INFORME DE AUDITORÍA
104
Contrataciones aplicables.
10.3. Los contratos con terceros proveedores de servicios deben incluir la
especificación formal de acuerdos de nivel de servicio, identificando explícitamente
los respectivos a seguridad -por ejemplo los acuerdos de no divulgación- y al
cumplimiento de los requisitos legales aplicables. Se debe aclarar expresamente que la
propiedad de los datos corresponde a la organización contratante.
11. Servicios de Internet/Extranet/Intranet
11.1. El contenido y la estructura del sitio web de la organización deben basarse en un
modelo aprobado por las autoridades, en el que estén documentados los siguientes
aspectos: contenido y estructura del sitio web, fuentes de ingreso de datos, frecuencia
de las actualizaciones, necesidades de disponibilidad del sitio, recursos afectados,
responsable de los contenidos y todo otro dato atinente al contenido y funcionamiento
del sitio.38
12. Monitoreo de los Procesos
12.1. Se deben definir indicadores de desempeño para monitorear la gestión y las
excepciones de las actividades de TI.
12.2. La unidad de TI debe presentar informes periódicos de gestión a la dirección de
la organización para que esta supervise el cumplimiento de los objetivos planteados.
38Para más detalles ver ANEXO III “Análisis de página Web institucional”