AUDITORÍA GENERAL DE LA NACIÓN - agn.gov.ar · Evaluación de la Tecnología Informática en . Nación Fideicomisos Sociedad Anónima. ... entre otras carencias de funcionalidades,

Evaluación de la Tecnología Informática en

Nación Fideicomisos Sociedad Anónima

Auditoría General de la Nación

Gerencia de Planificación y Proyectos Especiales

Departamento de Auditoría Informática

INDICE 1. OBJETO DE AUDITORÍA ............................................................................................... 1 2. ALCANCE ......................................................................................................................... 1

2.1. Ejecución del Trabajo de Auditoría ......................................................................................................... 1 2.2. Enfoque del Trabajo de Auditoría ........................................................................................................... 1 2.3. Procedimientos de Auditoría ................................................................................................................... 2

3. ACLARACIONES PREVIAS ........................................................................................... 3 3.1 Marco Normativo e institucional de Nación Fideicomisos ...................................................................... 3 3.2 Contexto de TI del objeto de control ........................................................................................................ 6

4. COMENTARIOS Y OBSERVACIONES ......................................................................... 8 4.1. Cuestión de auditoría 1: Planificación y organización de TI ................................................................... 8 4.2. Cuestión de auditoría 2: Adquisición e implementación ....................................................................... 18 4.3. Cuestión de auditoría 3: Entrega y soporte ............................................................................................ 23 4.4. Cuestión de auditoría 4: Monitoreo y evaluación .................................................................................. 37

5. RECOMENDACIONES .................................................................................................. 40 6. CONCLUSIÓN ................................................................................................................ 46 7. COMUNICACIÓN AL ENTE ......................................................................................... 48 8. LUGAR Y FECHA .......................................................................................................... 48 9. FIRMA ............................................................................................................................. 48 10. ANEXOS ....................................................................................................................... 49

ANEXO I – Comentarios del auditado ......................................................................................................... 49 ANEXO II – Análisis de los comentarios del auditado ................................................................................ 58 ANEXO III – “Análisis de la página Web institucional” ............................................................................. 97 ANEXO IV – Evaluación del cumplimiento de la Res. 48/05 SIGEN “Pautas de control Interno de TI” . 103

INFORME DE AUDITORÍA

1

Al Ing. Marcelo Pedro Blanco

Presidente

Nación Fideicomisos S.A.

En uso de las facultades conferidas por el artículo 118 de la Ley 24.156, la AUDITORÍA

GENERAL DE LA NACIÓN efectuó un examen en el ámbito de Nación Fideicomisos

S.A., con el objeto que se detalla en el apartado 1.

1. OBJETO DE AUDITORÍA

Gestión de la Tecnología Informática en el ámbito de Nación Fideicomisos Sociedad

Anónima.

2. ALCANCE

2.1. Ejecución del Trabajo de Auditoría

El examen fue realizado de conformidad con las Normas de Control Externo

Gubernamental aprobadas por la AUDITORÍA GENERAL DE LA NACIÓN mediante la

Resolución N° 26/15, dictada en virtud de las facultades conferidas por el artículo 119

inciso “d” de la Ley N° 24.156, aplicándose los procedimientos detallados en el punto 2.3.

El período auditado abarca desde el 01-01-2014 al 31-03-2016.

Las tareas de campo se desarrollaron de abril a septiembre de 2016.

2.2. Enfoque del Trabajo de Auditoría


2

La tarea abarcó el nivel de controles aplicados a la Tecnología Informática en Nación

Fideicomisos S.A., en base a la información obtenida, a la identificación de los temas de

mayor exposición al riesgo y a las pruebas sustantivas y de cumplimiento realizadas.

La auditoría se basó en la evaluación de los Objetivos de Control establecidos por el marco

de referencia de buenas prácticas de TI COBIT (Control Objectives in Information

Technologies) versión 4.1. Los Objetivos de Control describen los resultados que debe

alcanzar una Organización implantando sus procedimientos, basados en las mejores

prácticas aplicables a los procesos de TI.

2.3. Procedimientos de Auditoría

• Realización de entrevistas con los responsables de las áreas dependientes de la TI y el

responsable de la Gerencia de Tecnología y Procesos (GTP), con sus niveles

dependientes.

• Inspección del Centro de Procesamiento de Datos utilizado para correo electrónico,

servicio de Internet y diversas aplicaciones de la empresa.

• Verificación de la seguridad lógica en los servidores que prestan diversos servicios.

• Análisis de información recibida.

• Evaluación de los procedimientos de TI de la empresa.

• Evaluación contenido y funcionalidad del sitio http://www.nacionfides.com.ar

• Evaluación contenido y funcionalidad de la Intranet (http://blog/).

• Pruebas Sustantivas

o Red Informática: control de usuarios, directivas y contraseñas, controladores de

dominio y servidores seleccionados controles internos generales.

o Control de tareas funcionales del personal de TI y otros respecto de los roles

asignados dentro del aplicativo financiero PeopleSoft.

o Control de la política de usos aceptables (verificación de firmas).

http://blog/


3

• Control de cumplimiento del siguiente marco normativo:

− Resolución 48/05 de SIGEN.

− Disposición ONTI 3/2013 “Política de Seguridad de la Información Modelo”.

− Ley 25.326 “Protección integral de los datos personales”.

− Ley 25.506 “Ley de Firma Digital”.

− Ley 26.653 “Accesibilidad de la Información de las Páginas Web".

3. ACLARACIONES PREVIAS

3.1 Marco Normativo e institucional de Nación Fideicomisos

De acuerdo a la normativa, hay contrato de fideicomiso cuando una parte llamada

fiduciante trasmite o se compromete a trasmitir la propiedad de ciertos bienes (los “bienes

fideicomitidos”) a otra parte denominada fiduciario, quien se obliga a ejercerla en

beneficio de una tercera llamada beneficiario, todas ellas designadas por contrato. Al

cumplimiento de determinado plazo o condición, la propiedad de los bienes se transmite al

fideicomisario (que puede ser el propio fiduciante). Los bienes fideicomitidos constituyen

un patrimonio separado del patrimonio del fiduciante y del fiduciario, lo que significa que

los acreedores personales de uno y otro no pueden embargarlos ni ejecutarlos.


4

Figura Nº1 Esquema Conceptual de Fideicomisos

Fuente: Presentación Institucional de Nación Fideicomisos S.A.

La figura nace en el sector privado y se rige conforme al Código Civil y Comercial, art.

1.666, que toma la definición del art. 1º (hoy derogado) de la ley 24.441, “Financiamiento

de la Vivienda y la Construcción”. La Administración Pública Nacional adoptó la figura

recurriendo subsidiariamente al marco establecido para el sector privado.

En los fideicomisos públicos el patrimonio se conforma con bienes o con la afectación de

fondos del Estado1 y deben crearse por ley.2 Es de destacar que en algunos fideicomisos

donde el Estado Nacional actúa como fiduciante, el acto jurídico de creación establece

entre otros aspectos la formación de una comisión (o ente administrador) conformada por

1 Existen fondos fiduciarios públicos tanto presupuestarios como extra presupuestarios. 2 Ley 25.565 de Presupuesto 2002, que modifica el art. 5º inc.”a” de la Ley 25.152 de Administración de los Recursos Públicos.


5

representantes de éste, con funciones que generalmente radican en el control del

cumplimiento de los objetivos del fideicomiso.3

En lo que respecta a los riesgos inherentes al negocio de fideicomisos, es dable señalar en

este sentido que desde 1989 el Grupo de Acción Financiera Internacional (GAFI) ha

promovido internacionalmente la implementación de medidas diseñadas para combatir el

uso indebido del sistema financiero internacional. A este respecto, la Ley 25.246 crea la

Unidad de Información Financiera (UIF), encargada del análisis, tratamiento y transmisión

de información a los efectos de prevenir e impedir el delito de lavado de activos (artículo

303 del Código Penal). El art. 20º de dicha ley establece los sujetos obligados a informar a

la UIF cualquier operación sospechosa, entre ellos, “(…) las personas físicas o jurídicas

que actúen como fiduciarios”.

Debido a la especificidad del negocio, el Grupo Nación4 creó a Nación Fideicomisos S.A.

(NAFISA) como empresa integrante especializada en la estructuración y administración de

fideicomisos, por los cuales cobra honorarios. De acuerdo a la Memoria y Estados

Contables al 31/12/15, “el Banco de la Nación Argentina es el accionista controlante de

Nación Fideicomisos S.A., con una participación del 99,4636% en el capital social”.

Según surge del Plan Comercial 2015, desde su creación se ha especializado en fondos

fiduciarios de proyectos de infraestructura.

NAFISA se complementa con el resto de las empresas del Grupo Nación atento a la

especialización de cada una de ellas. El hecho de formar parte de un grupo empresario

3 De acuerdo al Relevamiento de la Actividad Fiduciaria del Sector Público Nacional (Res. AGN 23/05), “Este órgano generalmente es el responsable del cumplimiento de los objetivos específicos del contrato, o bien de la aprobación de las acciones ejecutadas por el fiduciario. (…) Sus facultades, obligaciones y conformación se hallan estipuladas en el contrato de fideicomiso.” 4 Nación Seguros S.A., Nación Reaseguros S.A., Nación Seguros de Retiro S.A., Nación Servicios S.A., Nación Factoring S.A., Nación Leasing S.A., Pellegrini S.A. y Nación Bursátil S.A.


6

implica que ciertas decisiones son tomadas para el conjunto de empresas, debiendo las

sociedades controladas -entre ellas NAFISA- subordinarse a ellas.

3.2 Contexto de TI del objeto de control

La gestión de la compañía se apoyó originalmente en aplicativos disponibles en el

mercado. Al respecto, sucesivos informes de auditoría objetaron la falta de integración

entre la aplicación contable y la de administración propia de los fideicomisos, más algunas

observaciones de seguridad en el software para la detección de operaciones sospechosas de

lavado de activos de origen delictivo, entre otras carencias de funcionalidades, motivo por

el cual la dirección de la empresa resolvió su progresivo reemplazo por otros que suplieran

en parte dichas debilidades.

Con anuencia del Directorio, la Gerencia de Tecnología y Procesos (GTP) adoptó la

política de no llevar a cabo desarrollos con personal propio y adquirir soluciones llave en

mano. Esto es, en la práctica, la compra de sistemas pre-planeados o enlatados tanto para la

administración de la empresa como para los fideicomisos en los que NAFISA actúa como

fiduciario. Los aplicativos elegidos fueron PeopleSoft5 (administrativo de propósitos

generales), Safiro6 (para la administración de los fideicomisos) y Vigía7 (para detección de

operaciones sospechosas de lavado de activos de origen delictivo).

Los sistemas enlatados o genéricos tienen la ventaja de ser de implementación

relativamente inmediata por tener funcionalidades básicas previamente armadas.

Generalmente resultan de costo definido (en los desarrollos con personal propio, el costo y

el tiempo de desarrollo e implementación son inciertos) y de una calidad establecida dados 5De Oracle S.A., que fue adoptada por el Grupo Nación. 6 De Softing S.A. 7 De Systech S.A.


7

los antecedentes en el mercado. Como contrapartida, los usuarios finales no siempre se

sienten satisfechos atento que las facilidades establecidas por éstos no cubren todas sus

necesidades, por ejemplo no permiten consultas o generación de reportes no planeados.

Adicionalmente, como se trata de paquetes adquiridos en forma independiente, se deben

realizar desarrollos adicionales a fin de integrarlos.

Como política, la GTP no modifica los productos originales adquiridos: sólo los

parametriza a las necesidades del negocio. De acuerdo a información provista por el

auditado, “(…) las customizaciones o modificaciones requieren de una inversión

importante, y si se modifica el paquete original no se puede instalar las actualizaciones

sobre el paquete modificado.”8

No obstante, a raíz de la complejidad y heterogeneidad de los diversos fideicomisos que

NAFISA administra, cada uno recibe un tratamiento a medida, lo que implica cierta

adaptación de los sistemas para poder administrar a cada fideicomiso de acuerdo a sus

particularidades. Esto ha puesto en evidencia la dificultad que las soluciones automatizadas

existentes en el mercado tienen para satisfacer las funcionalidades requeridas. Cuestiones

como tratamientos impositivos, cálculo de intereses, moratorias variables y especificidades

sobre el devengamiento, entre otras, no están contempladas en los aplicativos y deben ser

elaboradas y revisadas manualmente.

Cabe aclarar que los aplicativos adquiridos son plataformas multiempresas, lo que en la

práctica implica que cada fideicomiso nuevo debe crearse dentro del ambiente de ese

sistema, en un entorno propio e independiente (o “compartimiento estanco”) de la

administración de NAFISA en sí y del resto de los fideicomisos.

8 Fortalezas y debilidades de Peoplesoft, documento provisto en respuesta a Nota 39/16-A06.


8

Al momento de los trabajos de campo, los fideicomisos que representaban el 86,65% de la

facturación de la compañía habían sido migrados al conjunto de aplicaciones PeopleSoft-

Safiro-Vigía.9

4. COMENTARIOS Y OBSERVACIONES 4.1. Cuestión de auditoría 1: Planificación y organización de TI

4.1.1. La formulación de la Planificación Estratégica de TI no se presenta con los niveles

de claridad y de detalle necesarios, lo que dificulta su seguimiento posterior.

Las mejores prácticas en TI señalan la necesidad de contar con una planeación estratégica

específica para administrar y dirigir los recursos de TI de acuerdo con los objetivos

estratégicos de la empresa y sus prioridades. El plan estratégico debe mejorar el

entendimiento de los interesados clave respecto a las oportunidades y limitaciones de TI,

evaluar el desempeño actual y aclarar el nivel de inversión requerido. La estrategia y las

prioridades se deben reflejar en los proyectos de inversión y deben ser ejecutadas por los

planes tácticos de TI, los cuales establecen objetivos y tareas específicas.

9FF Privado Serie II 15,11%; Fideicomiso Financiero NASA, 14,00%; Fideicomiso Financiero ENARSA Barragán, 9,06 %; Fideicomiso Obra Norte 2006-2008, 6,16%; Fideicomiso Obra Sur 2006-2008, 6,16%; Fid. Financiero ENARSA Brigadier López, 4,67%; Fideicomiso FF FOCEDE Edenor, 3,97%; Fideicomiso FF FOCEDE Edesur,3,86%; FA Fondo Argentino de Hidrocarburos, 3,47%; Fideicomiso Financiero ACSA, 2,99%; Fideicomiso de Gas Ampl. Gasoducto Sur, 2,51%; Fid. Adm. Fondo Turismo Estudiantil, 2,24%; FF NASA Serie III, 2,10%; Fideicomiso de Gas Ampl. Gasoducto Norte, 1,74%; Fideicomiso Financiero NASA Serie II, 1,70%; Fideicomiso FFA FOCEGAS Pampeana, 1,20%; Fideicomiso FFA FOCEGAS METROGAS, 1,18%; FF Loma Blanca Serie I, 1,11%; Fideicomiso FFA FOCEGAS GNBAN, 1,10%; Fideicomiso FFA FOCEGAS Sur, 0,49%; Fideicomiso de Administración Importación Gas Natural, 0,46%; Fideicomiso FFA FOCEGAS Centro, 0,46%; Fideicomiso FFA FOCEGAS CUYANA, 0,41%; Fideicomiso FFA FOCEGAS GASNOR, 0,27%; Fideicomiso FFA FOCEGAS GASENEA, 0,07%; Fideicomiso FFA FOCEGAS DISTRIGAS, 0,07%; Fideicomiso FFA FOCEGAS REDENGAS, 0,05%; y Fideicomiso FFA FOCEGAS BAGSA, 0,04%.


9

Si bien la planeación estratégica y táctica de TI está formalizada, aprobada por la máxima

autoridad de la empresa y en línea con los objetivos estratégicos de ésta, se observa que:

Contiene imprecisiones relativas a tiempos en algunos proyectos, y falta de totales de

inversión proyectada por año.10

Considerando que es un documento que debe ser aprobado por el directorio de la empresa,

el lenguaje en algunos casos es demasiado técnico y se utilizan acrónimos y siglas que no

están aclarados. Su forma de exposición dificulta el seguimiento.

4.1.2. La arquitectura de la información de la empresa no se encuentra totalmente

integrada, lo que genera la necesidad de realizar tareas de composición de datos,

desarrollar interfaces específicas y llevar a cabo controles manuales que afectan la

eficacia y eficiencia de los procesos.

Las mejores prácticas en TI señalan la necesidad de crear y actualizar de forma regular un

modelo de información, lo que incluye el desarrollo de un diccionario de datos de la

organización, el esquema de clasificación de datos y los niveles de seguridad. Este proceso

de TI también es necesario para mejorar la efectividad y control de la información

compartida a lo largo de las aplicaciones.

Debido a que los sistemas clave del negocio que habían sido adquiridos en su oportunidad

fueron objetados por distintos informes de auditoría11, la GTP –que adoptó la política de

10 Por ejemplo en el Plan de Tecnología 2014 no se detalló la duración del proyecto ni los recursos humanos afectados en los desarrollos planeados para el aplicativo Physis o la implementación de Sipre y Safiro; o en el Plan de Tecnología 2016 para la implementación del Vigía que se contemplan 480 horas mensuales de una persona, lo que equivale a 60 días de una jornada de 8 horas. 11 Por ejemplo el informe de Seguimiento de Observaciones de Auditoría de Empresas Controladas al 31-12-2015 a cargo de la Unidad de Auditoría Interna del B.N.A. menciona que “…El sistema para Prevención de Lavado de Activos y Financiamiento del Terrorismo que posee la Sociedad (…) no permite analizar y


10

comprar soluciones llave en mano- adquirió el sistema contable y administrativo

PeopleSoft; Safiro, para la administración de los fideicomisos, y Vigía, para detección de

operaciones sospechosas de lavado de activos de origen delictivo, sistemas que cubrían

tanto las necesidades funcionales como las observaciones mencionadas. Además, adquirió

el Sipre, para operar los fideicomisos de préstamos.

Al momento de los trabajos de campo de esta auditoría, estos aplicativos presentaban

problemas de integración. Por otra parte, no existe un diccionario único de datos de la

organización, ni se ha llevado a cabo un esquema de clasificación de datos basado en la

criticidad y sensibilidad de la información, necesarios para conocer detalles de los datos de

la organización y sus vinculaciones, de modo de prevenir duplicaciones e

incompatibilidades.

4.1.3. En la formulación de la dirección tecnológica no se han explicitado los riesgos

relacionados con la dependencia de la empresa sobre ciertos servicios tercerizados

críticos. Esto genera incertidumbre sobre la calidad del servicio que los proveedores

pueden brindar ante determinadas situaciones.

La GTP debe determinar la dirección tecnológica para dar soporte a los objetivos

estratégicos de la empresa. Esto requiere de la creación de un plan de infraestructura

tecnológica que establezca y administre expectativas realistas y claras de lo que la

tecnología puede ofrecer en términos de productos, servicios y mecanismos de aplicación.

El plan debe actualizarse regularmente y abarcar la arquitectura de sistemas, dirección monitorear distintas variables para identificar ciertos comportamientos…”. En el mismo sentido la firma KPMG sugiere que “….el producto actualmente en uso podría ser reemplazado por otra alternativa.”. El mencionado informe de la UAI del B.N.A. también mencionó debilidades en los aplicativos para la gestión administrativo-contable y para la administración de fideicomisos. “…Como consecuencia de la falta de integración entre los aplicativos, la contabilización de las operaciones de fideicomisos no se realiza de manera automática…”.


11

tecnológica, planes de adquisición, estándares, estrategias de migración y contingencias.

Esto permite mejorar los tiempos de reacción para la toma de decisiones en situaciones de

cambio.

De la documentación entregada surge que la dirección tecnológica está formalmente

definida, y se contemplan las tecnologías existentes y emergentes para materializar la

estrategia de TI.12 Producto de lo expresado precedentemente, se incorporaron aplicaciones

nuevas en las actividades clave del negocio13 que reemplazaron a las existentes hasta ese

entonces, de modo de adaptar mejor las actividades de la empresa a los requerimientos

funcionales y regulatorios.

Se observa una debilidad relacionada con: i) la falta de explicitación de los riesgos

asociados a la tercerización de servicios críticos (y en consecuencia las acciones que se

deben tomar frente a éstos)14 y ii) la existencia de acuerdos de nivel de servicios poco

precisos;15 lo que genera incertidumbre sobre la eficacia del control de los proveedores

considerados críticos, dada la significativa dependencia de la empresa sobre servicios

tercerizados.

4.1.4. La estructura organizacional de TI actual es insuficiente para llevar a cabo todas

las funcionalidades requeridas con un adecuado control interno por oposición. Además,

falta definir procedimientos formales para procesos relevantes de la organización. Como

resultado de estos dos factores existe una dependencia crítica sobre individuos clave, lo

que conlleva el riesgo que ante su posible ausencia la prestación de algún servicio crítico

se vea afectada.

12 Planes de tecnología 2013, 2014 y 2015, entre otros. 13 Los aplicativos PeopleSoft, Safiro y Vigía. 14 Para más detalles ver punto 4.1.9 Evaluar y administrar los riesgos de TI. 15 Para más detalles ver punto 4.3.2 Administrar servicios de terceros.


12

Una organización de TI se debe definir tomando en cuenta los requerimientos de personal,

funciones, delegación, autoridad, roles, responsabilidades y supervisión. En la

organización debe estar inserto un marco de trabajo de procesos de TI que asegure la

transparencia y control, así como el involucramiento de los altos ejecutivos de nivel

decisorio. Deben existir procesos, políticas administrativas y procedimientos para todas las

funciones, con atención específica en el control, el aseguramiento de la calidad, la

administración de riesgos, la seguridad de la información, la propiedad de datos y de

sistemas y la segregación de tareas.

La actual estructura organizacional de TI16 resulta insuficiente para cubrir todas las tareas

funcionales. Hay tareas relevantes de planificación y control que no se llevan a cabo a

nivel operativo, tales como la administración de proyectos, análisis de riesgo,

aseguramiento de la calidad y monitoreo (tanto de la infraestructura como de los servicios

tercerizados).

Complementariamente, algunas de las funciones existentes no se encuentran desagregadas

o definidas de tal manera que fortalezcan el control interno por oposición de intereses, tales

como las que competen al Supervisor de Tecnología, responsable de “Definir estándares

metodológicos y técnicos que permitan ejercer un adecuado control de calidad, seguridad

y performance de los recursos tecnológicos de [hardware], redes e instalaciones

vinculadas, de la Empresa”, quien debe simultáneamente “Supervisar el correcto

cumplimiento de los proveedores contratados para el desarrollo e implementación de

aplicativos de uso interno de la Empresa, en los aspectos referentes a la seguridad de las

redes, así como de su posterior mantenimiento y la realización de las instalaciones que 16 Establecida desde enero de 2016, con modificaciones en febrero y abril del mismo año. Cabe aclarar que la función de Supervisor de Calidad no se encontraba cubierta al momento de las tareas de campo de esta auditoría.


13

correspondan”17; en conclusión, recae en el mismo funcionario la doble función de fijar

los estándares y controlarlos.

Además, existe dependencia crítica sobre algunos individuos clave18. Faltan

procedimientos de mesa de ayuda, cambios en situaciones de emergencia, control sobre los

proveedores de servicios tercerizados, mantenimiento de hardware, pasaje de software a

producción y pruebas de aplicaciones. Por último, la página web institucional se encuentra

sin mantenimiento de contenidos debido a que no hay un responsable designado para

administrarla.

4.1.5. La GTP presupuesta los costos de TI de toda la organización sin identificar los que

pertenecen a otras gerencias. De este modo asume como propio la totalidad de lo

presupuestado, dificultando así la exposición de la información para la correcta toma de

decisiones por parte de los niveles directivos.

Una organización de TI debe llevar cabo un proceso de administración presupuestaria de

TI donde, habiendo identificado los costos propios de cada gerencia, se pueden comparar

los costos reales con los presupuestados, identificar en forma oportuna las desviaciones y

evaluar el impacto de éstas sobre lo planificado.

La GTP realiza todos los años la formulación presupuestaria del año siguiente pero lo hace

en función del costo total de TI de la empresa, con lo cual se imputan presupuestos que no

pertenecen a la propia gerencia. El presupuesto de TI en relación al gasto total de la

empresa en los años 2014 y 2015 fue de 6,11%19 y 7,13% respectivamente.

17Documento “Descripción de Puesto: Supervisor de Tecnología” suministrado por la GTP de NAFISA. 18 Para más detalles ver punto 4.1.7. 19 De acuerdo con información suministrada por la GTP y la Supervisión de Control Interno los gastos totales de la empresa fueron 81.739.000 (9.170.000 de gastos comerciales más 72.569.000 de gastos operativos) y


14

4.1.6. La comunicación de los objetivos y la dirección de TI está parcialmente informada

al personal relevante, lo que condiciona el apoyo a la estrategia de TI y la entrega de

valor.

Las máximas autoridades de la empresa deben implantar un programa de comunicación

continua para articular la misión, los objetivos de servicio, las políticas y procedimientos

aprobados y apoyados por la dirección. La comunicación apoya el logro de los objetivos de

TI y asegura la concientización y el entendimiento de los riesgos. El proceso debe

garantizar el cumplimiento de las leyes y reglamentos.

La empresa cuenta con la Intranet para facilitar el acceso a parte de la normativa interna

sobre diversas temáticas, pero al no estar clasificada, se dificulta la identificación de los

temas específicos de TI por parte de los usuarios. Asimismo, falta un digesto centralizado

de normas por gerencia que incluya las políticas, normas y procedimientos de TI.

4.1.7. Existe dependencia de individuos clave. Esto expone a la organización a que en

alguna situación la prestación del servicio de TI pueda verse afectada.

Una buena práctica para incorporar, mantener y motivar una fuerza de trabajo para la

creación y entrega de servicios de TI se logra siguiendo prácticas definidas y aprobadas

que apoyan el reclutamiento, entrenamiento, la evaluación del desempeño, la promoción y

la desafectación.

99.056.000 (gastos comerciales 8.763.000 más 90.293.000 de gastos operativos) para los períodos 2014 y 2015; en tanto que el gasto en TI para esos mismos períodos fue de 4.991.580 (3.541.560 pesos y 169.000 dólares) y 7.067.580,00 respectivamente. Los valores sobre los gastos totales fueron suministrados en miles. Se tomó como valor del dólar, la cotización para la venta del día 30-12-2014 (último día hábil).


15

El reclutamiento de recursos humanos, las políticas de retención del personal, las

competencias, la asignación de roles, evaluación de desempeño y la finalización del

vínculo laboral, están formalmente definidos en el “Manual de Políticas y Prácticas de

Recursos Humanos”. Asimismo, la empresa cuenta con descripciones de cada puesto. De

este documento se desprende que el supervisor de calidad tiene asignadas funciones de

control y supervisión que no se están cumpliendo por encontrase vacante el puesto. Por

otra parte, en la GTP se verifica la dependencia de individuos clave, cuya ausencia no

puede ser cubierta por otro recurso humano de similares conocimientos. En particular, la

función de supervisión de parametrizaciones lleva éstas a cabo para cada nuevo

fideicomiso en el aplicativo administrativo-contable Peoplesoft, sin que el procedimiento

de parametrización se encuentre documentado. Esto expone a la empresa a

vulnerabilidades frente a errores u omisiones y a que en alguna situación la prestación del

servicio de TI pueda verse afectada.

4.1.8. No se ha establecido formalmente un Sistema de Aseguramiento de la Calidad, lo

que impide identificar desviaciones, aplicar acciones correctivas, informar a los usuarios

involucrados y conocer la entrega de valor de TI a los objetivos estratégicos de la

empresa.

Las áreas de TI deben elaborar y mantener un sistema de administración de calidad, que

incluya procesos y estándares probados de desarrollo y de adquisición. Los requerimientos

de calidad se deben manifestar y documentar con indicadores cuantificables y alcanzables.

La mejora continua se logra por medio del constante monitoreo, corrección de

desviaciones y la comunicación de los resultados a los interesados. La administración de

calidad es esencial para garantizar que la TI está dando valor a los objetivos estratégicos de

la empresa.


16

No existen políticas, procedimientos, ni un sistema de aseguramiento de calidad que

establezca estándares para medirla y monitorearla.

4.1.9. No se han formalizado estudios de riesgos, por lo que ante la presencia de un evento

inesperado, no se tienen definidos los cursos de acción a tomar, situación que puede

afectar las operaciones de la empresa.

El área de TI debería, de acuerdo a las buenas prácticas en la materia, mantener un marco

de trabajo de administración de riesgos que documente un nivel común y acordado de

riesgos de TI, estrategias para evitar, mitigar, reducir, compartir, transferir, asumir, aplazar

y administrar los riesgos residuales acordados. El resultado de la evaluación debe ser

entendible para los participantes, para permitir alinear los riesgos a un nivel aceptable de

tolerancia.

De las tareas de campo surge que no existe un marco formal de administración de riesgos

que permita identificarlos con el objeto de tomar acciones para prevenirlos, asumirlos,

mitigarlos, evitarlos o resolverlos en caso de un incidente, cuantificando costos y

probabilidades de ocurrencia.

Si bien los riesgos tecnológicos sobre el hardware y el software se conocen, se limita a un

esquema informal. En consecuencia, falta la formalización del contexto de riesgo y su

evaluación estructurada de manera tal de contemplar las fortalezas, oportunidades,

debilidades y amenazas, con el fin de evitar que se produzcan incidentes que pongan en

riesgo las operaciones.

4.1.10. No existe un marco de trabajo formalizado para la administración de proyectos.

Como consecuencia de esto, se dificulta determinar la coordinación, la correcta


17

asignación de prioridades y de recursos, el cumplimiento de los objetivos tácticos y la

entrega de valor para el negocio.

El área de TI debería establecer un programa y un marco de control para la administración

de todos los proyectos de TI, que garantice la correcta asignación de prioridades y la

coordinación de recursos. El marco de trabajo debe incluir un plan maestro, asignación de

recursos, definición de entregables, aprobación de los usuarios, un enfoque de entrega por

fases, aseguramiento de la calidad, un plan formal de pruebas, revisión de pruebas y

revisión post-implantación para garantizar la administración de la ejecución del proyecto y

su contribución a los objetivos estratégicos de la empresa.

De las tareas de campo surge que el marco de trabajo para la administración de proyectos

es informal y que incluso no se aplica en todos los casos. Asimismo, la empresa carece de

una unidad administrativa o función asignada que tenga a cargo la administración y control

de los proyectos de TI tercerizados, por lo que esa función recae sobre el Gerente de

Tecnología y Procesos y genera una dependencia crítica de este funcionario. Por otra parte,

y al haber adoptado como política tercerizar la mayoría de los servicios de TI sin que

medien acuerdos de niveles de servicios robustos en todos los casos,20 se genera una

dependencia crítica de los proveedores.

La carencia de un marco formal y estructurado de administración de proyectos de TI

dificulta la comunicación y el involucramiento del negocio y de los usuarios finales, no

asegura la calidad de la documentación entregable y genera una fuerte dependencia sobre

el administrador real de los proyectos.

20 Para más detalles ver punto 4.3.2 Administrar servicios de terceros.


18

4.2. Cuestión de auditoría 2: Adquisición e implementación

4.2.1. NAFISA carece de un tratamiento centralizado de los requerimientos funcionales

que formulan los usuarios, por lo que existen múltiples plataformas para su seguimiento y

debe componerse información para obtener un estado de situación consolidado.

La necesidad de una nueva aplicación o función requiere de un análisis antes de la compra

o desarrollo para garantizar que los requisitos del proyecto se satisfacen con un enfoque

efectivo y eficiente. Este proceso cubre la definición de las necesidades, considera las

fuentes alternativas, realiza una revisión de la factibilidad tecnológica y económica, ejecuta

un análisis de riesgo y de costo-beneficio y concluye con una decisión final de desarrollar

o comprar. Todos estos pasos permiten a la empresa minimizar el costo para adquirir e

implantar soluciones, mientras que al mismo tiempo facilitan el logro de los objetivos.

En NAFISA la solución a los requerimientos funcionales de negocio se abarcan de manera

global con la adquisición de soluciones llave en mano. Antes del proceso de compra de la

solución integral, se llevan a cabo los estudios de factibilidad, análisis funcional,

debilidades y costos. Estas decisiones son aprobadas por el directorio.

La política adoptada por la GTP es no hacer adaptaciones sobre el código fuente a los

productos comprados, por lo tanto una vez instalado, las demandas puntuales de los

usuarios son satisfechas sólo en la medida en que estos contengan las funcionalidades

necesarias para proveerlas. En este sentido, cada producto comprado incluye un servicio de

soporte y mantenimiento posterior por una cantidad de horas de consultoría suministrada

por los proveedores.

De este esquema de trabajo se observa la falta de un repositorio común donde almacenar


19

los requerimientos funcionales que realizan los usuarios, un procedimiento formal de

administración de requerimientos donde se identifique, de prioridad y analice la

factibilidad o los cursos de acción alternativos, la asignación de recursos y su posterior

seguimiento.

4.2.2. Las parametrizaciones que se realizan sobre los sistemas de NAFISA no se

encuentran comunicadas formalmente a las gerencias usuarias por la falta de un

procedimiento aprobado y específico. Ante estas situaciones, las áreas operativas que

solicitan una parametrización no pueden verificar adecuadamente que éstas se hayan

realizado de acuerdo a las necesidades del negocio, dificultando el control posterior y

generando una dependencia crítica sobre el personal que lleva a cabo la tarea.

Se precisa tener un ambiente controlado para la adquisición de aplicativos y su posterior

mantenimiento. Esto permite que los cambios producidos por la incorporación de nuevas

soluciones automatizadas impacten lo menos posible en la operatividad de la empresa.

En relación a las adquisiciones, se lleva a cabo una evaluación de las ofertas existentes en

el mercado donde se analizan aspectos de factibilidad, funcionalidad, cumplimiento de

regulaciones, costos y debilidades. Los aplicativos son plataformas multiempresas,21 lo que

en la práctica implica que cada nuevo fideicomiso a administrar requiere de la creación del

entorno propio a través de la parametrización que permiten estos productos. En este

contexto, el alta de fideicomisos y su parametrización es el único proceso que podría

definirse como un cambio. Dependiendo de los valores que se asignen en esta etapa a cada

entorno propio de cada fideicomiso a administrar, la aplicación actuará en consecuencia.

La GTP no realiza adaptaciones propias al software.22

21 Para más detalles ver punto 4.2. ADQUIRIR E IMPLEMENTAR 22 Para más detalles ver punto “3.3 Contexto de TI del objeto de control”.


20

En este sentido se observa que las documentaciones de las parametrizaciones no se

encuentran comunicadas formalmente a las gerencias usuarias por la falta de un

procedimiento aprobado y específico, lo cual impide un control concomitante (por parte

del usuario) o expost (por parte de la auditoría). A modo de ejemplo, esto sucedió en la

segunda etapa de migración de los fideicomisos al PeopleSoft. De este modo la GTP se

hace responsable por los resultados de la parametrización (y el posterior comportamiento

de la aplicación) cuando debe ser responsabilidad de usuario final interesado.

4.2.3. El impacto de un cambio en las reglas del negocio, un desarrollo nuevo o una

modificación de un aplicativo puede generar una modificación en la infraestructura de TI

que no esté formalmente contemplada, lo que implica un riesgo para el nivel de prestación

del servicio de TI.

Para la adquisición y mantenimiento de la infraestructura tecnológica, las organizaciones

deben contar con procesos para adquirir, implantar y actualizar la infraestructura

tecnológica dentro de un enfoque planeado y de acuerdo con las estrategias tecnológicas

convenidas.

De las tareas de campo realizadas se desprende que no está formalmente contemplado el

impacto que pueda producir sobre la infraestructura tecnológica un nuevo fideicomiso o la

administración del mismo, un desarrollo nuevo, un cambio importante en alguna de las

aplicaciones existentes o una modificación de las reglas de negocio.

Complementariamente, los acuerdos de nivel de servicios con la empresa del grupo Nación

Servicios S.A. -que suministra los recursos para el procesamiento de la aplicación

administrativa-contable PeopleSoft- no están determinados. Esto implica un riesgo

adicional ya que, por tratarse de un servicio tercerizado, no se tiene control sobre la propia


21

capacidad y riesgos de esta empresa para brindar el servicio.

4.2.4. Los procedimientos administrativos relacionados con las aplicaciones

administrativas/contables no se encuentran actualizados en su totalidad, por lo que la

operatoria puede presentar ambigüedades.

Los procedimientos formalmente aprobados para la operatoria administrativa deben

mencionar y contemplar la interacción con los aplicativos y cómo se debe actuar en cada

situación, de modo de minimizar los actos discrecionales o las interpretaciones erróneas

por parte de los usuarios.

En ese sentido, al momento de los trabajos de campo de esta auditoría se observó que

algunos procedimientos de operatoria administrativa relacionada con los sistemas

PeopleSoft y Safiro se encontraban desactualizados23.

4.2.5. No existen controles específicos formales sobre el nivel de servicio de post-venta

suministrado por los proveedores.

Las mejores prácticas en materia de adquisición de recursos de TI exigen la definición y

ejecución de adecuados procedimientos de adquisición, la selección de proveedores, el

ajuste de arreglos contractuales y la adquisición en sí para garantizar que la empresa cuente

oportunamente con todos los recursos de TI necesarios.

En el contexto de la política adoptada por la GTP de tercerizar los eventuales cambios

sobre los aplicativos también adquiridos a terceros, se verificó que las relaciones

23 Por ejemplo los procedimientos PADM – 15 Facturación de Honorarios, PADM – 11 Pagos, PADM – 27 Análisis Legal y Fiscal.


22

contractuales sólo se basan en cantidad de horas trabajadas. No hay determinaciones de

parámetros de calidad del servicio.24

4.2.6. No existen procedimientos formales de control de cambios tanto para situaciones

normales como de emergencia. Como consecuencia de esto, no se cuenta con la

documentación apropiada para evaluar los resultados del cambio.

Todos los cambios, incluyendo el mantenimiento de emergencia y actualizaciones,

relacionados con la infraestructura y las aplicaciones dentro del ambiente de producción,

deben administrarse formal y controladamente. Los cambios se deben registrar, evaluar y

autorizar previo a la implantación y contrastar contra los resultados planeados después de

introducidos. Esto garantiza la reducción de riesgos que impactan negativamente en la

estabilidad o integridad del ambiente de producción.

La GTP no dispone de un procedimiento formalizado de control de cambios. Estos se

solicitan de manera informal a través de distintos medios, como el correo electrónico y

otros. La falta de este marco de trabajo (un entorno controlado donde la participación de

los usuarios relevantes en el proceso de aprobación del cambio sean responsables de última

instancia de los efectos del mismo) transfiere la responsabilidad a la GTP cuyo rol debe ser

apoyo técnico.

Tampoco está establecido un procedimiento formal para actuar en situaciones de

emergencia que contemple tareas a ser cumplidas en forma diferida una vez solucionado el

problema y la registración de pistas de auditoría.

4.2.7. Faltan procedimientos formales que aseguren que antes de pasar un aplicativo con 24Para más detalles ver punto 4.3.2 Administrar servicios de terceros.


23

cambios a producción, el usuario dé su conformidad de que funciona de acuerdo a sus

expectativas y las del negocio. Como consecuencia de esto, puede que este proceso no

cubra sus requerimientos.

Se requiere pruebas adecuadas en un ambiente dedicado con datos de prueba relevantes,

definir la transición e instrucciones de migración, planear la liberación y la transición en sí

al ambiente de producción, y revisar la post-implantación para garantizar el cumplimiento

de las expectativas y resultados convenidos.

NAFISA no cuenta con un procedimiento formal para hacer las pruebas, que defina la

documentación a generar y que contemple la conformidad final por parte del usuario sobre

el resultado satisfactorio de la misma. En el mismo orden, tampoco cuenta con un

procedimiento formal de autorización por parte del usuario final para el pasaje de los

entornos de prueba a producción.

4.3. Cuestión de auditoría 3: Entrega y soporte

4.3.1. No se ha formalizado un marco de trabajo para definir los niveles de servicios

internos y externos con el usuario final. En consecuencia, algunas prestaciones pueden no

satisfacer al usuario final o a las necesidades del negocio.

La GTP debe definir un marco de trabajo que promueva el establecimiento de acuerdos de

nivel de servicio externos e internos con cada gerencia operativa, que formalicen los

criterios de desempeño en virtud de los cuales se medirá su cantidad y calidad.

Falta formalizar el marco que contemple la creación del requerimiento por parte del

usuario, el almacenamiento centralizado por parte la GTP, los acuerdos de niveles de


24

servicios alcanzado y el proceso de monitoreo. De este modo el usuario final tiene un

estándar de referencia para exigir calidad de prestación del servicio.

4.3.2. No se ha formalizado un marco de trabajo para controlar los servicios de los

proveedores externos. Esto limita la posibilidad de exigir niveles de calidad de las

prestaciones, acordes a las necesidades de la empresa.

El área de TI debe, de acuerdo a lo indicado por las buenas prácticas, implementar medidas

de control orientadas a la revisión y al monitoreo de los contratos y procedimientos

existentes para garantizar la eficacia y la eficiencia de las prestaciones de los proveedores.

Los contratos con terceros proveedores de servicios deben incluir la especificación formal

de acuerdos de nivel de servicio, identificando explícitamente los respectivos a seguridad -

por ejemplo, mediante acuerdos de no divulgación- y al cumplimiento de los requisitos

legales aplicables. Asimismo, en los contratos se debe aclarar expresamente que la

propiedad de los datos corresponde a la organización contratante.

La responsabilidad de coordinar la relación entre los proveedores y los usuarios para

asegurar la calidad y la transparencia recae sobre el gerente de Tecnología y Procesos, en

tanto que el control del cumplimiento de los requerimientos legales y regulatorios está a

cargo de la Subgerencia de Compras, Contrataciones y Servicios Generales.

Los riesgos relacionados con la habilidad de los prestadores para mantener una efectiva

entrega de servicios de forma segura y eficiente se contempla en los estudios previos a la

firma de los contratos. En ese sentido, tanto para los servicios críticos de TI como para las

principales aplicaciones, se optó por proveedores con probados antecedentes en el

mercado. No obstante, los acuerdos de niveles de servicio están débilmente definidos (no

se definen objetivos, penalidades, calidad de la respuesta, respuesta ante crisis, etc.), por lo


25

que se complejiza la medición de la eficacia y la eficiencia de la prestación. Para ciertos

servicios, incluso, tampoco se establecen condiciones de punibilidad por incumplimiento.

Las debilidades mencionadas ponen en riesgo la calidad de los servicios provistos por

terceros.

4.3.3. No se ha formalizado un marco de trabajo para el planeamiento de las necesidades

futuras de capacidad de la infraestructura de TI instalada, por lo que los requerimientos

de ampliación pueden resultar tardíos o ejecutarse a destiempo.

En lo que respecta a la administración del desempeño y la capacidad de la infraestructura

de TI, las mejores prácticas al respecto señalan la necesidad de implementar un proceso

orientado a la recopilación de datos, al análisis y a la generación de informes sobre el

desempeño de los recursos de TI, la dimensión de los sistemas de aplicación y la demanda

de cargas de trabajo. Este proceso debe incluir el pronóstico de las necesidades futuras,

almacenamiento y contingencias, y garantizar que los recursos de información que

soportan los requerimientos de la empresa estén disponibles de manera continua.

En este sentido, de las tareas de campo realizadas surge que la GTP carece de un proceso

de planeación para la revisión regular del desempeño y la capacidad de los recursos de TI.

La situación descripta no permite asegurar la disponibilidad para procesar cargas de trabajo

y minimizar el riesgo de interrupciones del servicio originados por falta de capacidad o

degradación del desempeño, ni determinar las necesidades de capacidades futuras.

4.3.4. NAFISA carece de un proceso formal de revisión y prueba del plan de contingencia

de servicios de TI. Producto de su desactualización, de presentarse una situación no

contemplada, podría afectar la operatoria del negocio.


26

Se requiere desarrollar, mantener y probar planes para asegurar la continuidad de servicio.

Al respecto, se debe almacenar respaldos fuera de las instalaciones y brindar entrenamiento

periódico, de acuerdo a las mejores prácticas.

En ese sentido, la empresa ha desarrollado un marco de trabajo para mantener la

continuidad de los servicios de TI. En efecto, se ha formado un grupo de trabajo integrado

por el Gerente de Tecnología y Procesos, el Supervisor de Procesos y el Supervisor de

Tecnología, que tienen a cargo el desarrollo y el mantenimiento del Plan de Contingencia.

Este quipo ha mantenido reuniones con el objetivo de revisar las prioridades estratégicas,

los procesos de la Empresa, los diferentes incidentes/escenarios y su impacto en el

negocio, la definición de los sistemas críticos, el tablero de contingencias, las estrategias de

recuperación, las acciones definidas, los tiempos de reacción y los errores detectados, de

manera de introducir los cambios adecuados. Se contempla también una revisión en los

casos donde se producen cambios en el negocio, o nuevos eventos o incidentes que lo

impacten.

Dicho plan debería ser revisado periódicamente mediante pruebas de simulación en

escenarios posibles. Sin embargo, no se han llevado a cabo revisiones posteriores al

15/1/2015. De la información entregada a esta auditoría sobre las pruebas realizadas, surge

que no se individualizaron las personas que las llevaron a cabo.

La falta de actualización del plan y de documentación sobre las pruebas realizadas pone en

riesgo la continuidad de las operaciones.

4.3.5. RESERVADO - COLEGIO DE AUDITORES GENERALES – SESIÓN DEL ______/______/______


27

RESERVADO - COLEGIO DE AUDITORES GENERALES – SESIÓN DEL ______/______/______


28



29



30



31


4.3.6. No se conoce la incidencia de los costos de TI que consumen las áreas sustantivas

de la empresa. Esto deriva en eventuales dificultades para determinar la entrega de valor

de TI en cada caso y su contribución a los objetivos del negocio.

La mejores prácticas del sector sugieren implementar un sistema de imputación de costos

que garantice que se los registre, calcule y asigne de acuerdo con el nivel de detalle que

debe incluir la distribución de costos de TI a los usuarios de los servicios.

De acuerdo a la evidencia recolectada, la empresa carece de un enfoque orientado a la

administración por centros de costos de los recursos de TI, que permita el control de los

recursos que consume cada gerencia. En efecto, la asignación presupuestaria de los

recursos de TI no está imputada a las áreas usuarias de los servicios de TI, sino a la GTP.

La falta de información sobre la distribución de costos de TI entre las áreas dificulta la

correcta asignación de recursos y la medición de su contribución a los objetivos

organizacionales.

4.3.7. Faltan acciones articuladas entre la GTP y la Coordinación de RRHH para

asegurar que las políticas y directivas de TI son comprendidas por los miembros de la

empresa. La situación descripta deriva en el riesgo que algunos usuarios finales

desconozcan su importancia para los objetivos organizacionales.


32

Se debe establecer y mantener un plan integral de capacitación y desarrollo. Para ello, se

requieren identificar las necesidades de entrenamiento de cada área de TI. El proceso debe

incluir la definición y ejecución de una estrategia para llevar a cabo un entrenamiento

efectivo y para medir los resultados.

La empresa realiza una actividad sistemática de capacitación de su personal, mediante el

desarrollo de un plan, surgido de las necesidades que se identifiquen en el relevamiento

anual, dentro de una política de formación y desarrollo de su capital humano. La Gerencia

de Recursos Humanos del Grupo Banco Nación es la responsable de elaborar y administrar

el Plan Anual de Capacitación con la colaboración de la Coordinación de RRHH de la

NAFISA la cual reporta funcionalmente a la primera, como así también de llevar a cabo la

comunicación del mismo, su nivel de avance y cumplimiento, a los distintos sectores a

través del Departamento de Capacitación.

Faltan acciones de concientización sobre las políticas de TI tales como la seguridad de la

información, que procuren un entendimiento por parte de los usuarios involucrados de las

necesidades de aplicarlas en función de los objetivos estratégicos del negocio.

4.3.8. El tratamiento de incidentes y problemas no está debidamente formalizado, lo que

dificulta su control, seguimiento y satisfacción del usuario final.

Responder de manera oportuna y efectiva a las consultas de los usuarios de TI requiere de

una mesa de servicio y de un proceso de administración de incidentes que incluya el

registro, escalamiento de incidentes, análisis de tendencia, análisis causa-raíz y resolución.

Los beneficios incluyen el incremento en la productividad gracias a la resolución rápida de

consultas.


33

En NAFISA, ante la presencia de un incidente o problema que deba ser solucionado por la

GTP, el usuario final se comunica telefónicamente o envía un correo electrónico a una

dirección genérica definida a tal fin para el área de Supervisión de Tecnología, quienes se

encargan del requerimiento.

La excepción a la formulación precedente son los casos referidos al aplicativo contable

PeopleSoft que tienen una dirección de correo electrónico especial. En este caso,

dependiendo del incidente o problema, puede resolverse internamente o ser derivado a la

empresa del grupo Nación Servicios S.A. para su resolución.

No existe un procedimiento formal para el tratamiento de incidentes o problemas que

permita su clara identificación, la priorización, escalamientos, seguimiento y medición del

nivel de satisfacción del usuario respecto de la solución final adoptada. Tampoco se ha

creado una base de conocimientos con las resoluciones de los incidentes o problemas más

comunes que permitan responder con una solución estandarizada a estas situaciones.

4.3.9. La administración de los bienes tangibles e intangibles no está debidamente

formalizada ni centralizada, lo que dificulta su identificación, valuación y localización.

De acuerdo a las mejores prácticas, se deben formular y documentar los procedimientos

que identifiquen y registren la totalidad de los bienes tangibles e intangibles de TI –lo que

incluye inventarios de licencias de software adquirido o de propia producción–, con su

ubicación física, la configuración inicial, el establecimiento de normas que prohíban

movimientos y modificaciones no autorizadas, la verificación y auditoría de la información

de la configuración y la actualización del repositorio de configuración conforme se

necesite.


34

De la información recibida surge que no existe un inventario único de los bienes tangibles

e intangibles de TI. Al cierre de tareas de campo, la identificación y mantenimiento de los

elementos de configuración se gestionan de manera informal, y no están integradas a los

procedimientos de gestión de cambios, incidentes y problemas. Consecuentemente, no es

posible rastrear los cambios realizados y dificulta la trazabilidad de la configuración y su

impacto potencial en términos de incidentes ocurridos a partir de cambios que se hayan

realizado.

4.3.10. No se realizan pruebas para asegurar que la restauración de la información

respaldada (backups) funciona adecuadamente. Ello expone a la organización al riesgo de

que los datos no estén disponibles en tiempo y forma ante una situación de contingencia,

lo que pone en riesgo la continuidad del servicio.

Las buenas prácticas indican que el área de TI debe establecer y mantener una

combinación eficaz de controles generales y de aplicación sobre las operaciones de TI para

asegurar que los datos permanezcan durante su entrada, actualización y almacenamiento

completos, precisos y válidos. El proceso de administración de información también

incluye el establecimiento de procedimientos efectivos para administrar la librería de

medios de soporte para el respaldo y la recuperación de datos, así como su eliminación

apropiada.

El marco de trabajo de administración de soportes para respaldo de datos de la empresa

está integrado al Plan de Continuidad de Servicios.25 La organización como integrante del

Grupo Nación cuenta con un sitio de procesamiento alternativo en otra empresa

perteneciente al grupo especializada en servicios informáticos: Nación Servicios S.A.

(NSSA). 25 Para más detalles ver punto 4.3.4 Garantizar la Continuidad del Servicio.


35

Los respaldos de información se llevan a cabo en condiciones totalmente automáticas

(robotizadas), bajo los requerimientos de seguridad física establecidos26y fuera de los

horarios de trabajo, bajo el siguiente esquema:

• Resguardo Total. Se resguardan la totalidad de los datos de la compañía.

• El último día hábil de cada semana (resguardo total semanal).

• El último día hábil del mes (resguardo total mensual).

• En ambos casos se hacen dos copias. Una es conservada en NAFISA y la otra en

NSSA. Los resguardos mensuales se guardan por diez años.

• Resguardo Incremental. Se guardan las novedades producidas desde el último

resguardo total hasta ese momento, en dispositivos ignífugos en el Centro de

Procesamiento de NAFISA.

En este sentido, y en relación a lo observado en el punto 4.3.4 Garantía de Continuidad del

Servicio, se observa la falta de un procedimiento formal de revisión y prueba en intervalos

previamente definidos, para asegurar que los resguardos responden a las necesidades

presentes.

4.3.11. Faltan medidas para asegurar la correcta instalación física del Data Center. Esto

expone a la empresa a no disponer de los elementos suficientes para prevenir, evitar o

subsanar incidentes.

La protección del equipamiento y del personal requiere de instalaciones bien diseñadas y

administradas, con controles ambientales y físicos adecuados cuya revisión se efectúe

periódicamente a fin de determinar su correcto funcionamiento. Sin embargo, se detectaron

las siguientes debilidades en el Data Center: 26 Para más detalles ver punto “4.3.12 Administración del Ambiente Físico”.


36

• La puerta de acceso no es anti pánico.

• Los detectores de humo son

insuficientes: Existe sólo uno, por lo que

si este fallara, no se detectaría un

incidente. Por otra parte, faltan

detectores de humo debajo del piso

técnico.

• Los servidores no están conectados de

forma correcta bajo una nomenclatura

técnica. Los cables no están rotulados ni

organizados lo que dificulta su

mantenimiento.

• Los dos matafuegos con los que cuenta

no son adecuados para componentes

electrónicos y se encontraban en el piso,

lo que dificulta su manipulación para

entrar en operación.

• Faltan: i) luces de emergencia, ii)

planilla de acceso para proveedores y

visitas, iii) cámara de inspección dentro

de la sala de servidores y iv) termómetro

para medir la temperatura ambiente.

• Las UPS no están configuradas para enviar un correo electrónico ante un corte de

energía.

4.3.12. No se ha formalizado el procedimiento de apagado y encendido de los equipos

para un caso de reinicio. Esto puede generar problemas de conectividad con otros


37

equipos activos, y consecuentemente producir errores.

Un procesamiento completo y apropiado de la información requiere su efectiva

administración y el mantenimiento del hardware involucrado que incluya la definición de

políticas y procedimientos de operación para una administración efectiva del

procesamiento programado, protección de datos de salida sensitivos, monitoreo de

infraestructura y mantenimiento preventivo de hardware.

Si bien los procedimientos de operaciones están documentados formalmente, lo que reduce

el riesgo para la continuidad de las operaciones y propende a la independencia de

individuos clave, no se especifica el orden de encendido de los servidores y equipos

restantes de la red para un caso de reinicio.

4.4. Cuestión de auditoría 4: Monitoreo y evaluación

4.4.1. NAFISA carece de un marco de trabajo para el monitoreo de la infraestructura de

TI que permita detectar anomalías y tomar acciones correctivas a tiempo.

Una efectiva administración del desempeño de TI requiere un proceso de monitoreo

definido formalmente que incluya la definición de indicadores de desempeño relevantes,

reportes sistemáticos y oportunos, como así también tomar medidas expeditivas cuando

existan desviaciones. El monitoreo se requiere para garantizar que se haga lo correcto y

que ello esté de acuerdo con el conjunto de direcciones y políticas.

De la evaluación realizada surge que la empresa no cuenta con un marco de trabajo de

monitoreo general que defina los objetivos e indicadores de desempeño, el alcance, qué

datos se van a recolectar, la metodología y el proceso a seguir para medir la solución y la


38

entrega de servicios de TI. La falencia detectada dificulta poder comparar en forma

periódica el desempeño contra las metas, realizar análisis de la causa raíz e iniciar medidas

correctivas para resolver las causas subyacentes ante la existencia de desvíos.

4.4.2. Los controles internos de TI no son lo suficientemente robustos producto de la falta

de personal de TI, de la desagregación de funciones y de la estructura funcional de

Seguridad de la Información. Esto permite acciones discrecionales por parte de

funcionarios clave.

Establecer un proceso de control interno efectivo para TI requiere de un proceso definido

formalmente que incluya el monitoreo y el reporte de las excepciones de control, los

resultados de las auto-evaluaciones y las revisiones realizadas por terceros. Un beneficio

clave del monitoreo del control interno es proporcionar seguridad, eficiencia y eficacia

respecto a las operaciones, así como el cumplimiento de las leyes y regulaciones

aplicables.

En su carácter de empresa controlada del Grupo Nación, el marco de trabajo del ambiente

de control interno de NAFISA se monitorea de forma continua a través de dos auditorías

semestrales que lleva a cabo el Departamento de Auditorías de Empresas Controladas

dependiente de la Subgerencia General de Auditoría General del BNA

(SGAGBNA).También reciben auditorías de la Sindicatura General de la Nación (que le

asignó un nivel de madurez 227 –bueno-) y otras auditorías externas.28Asimismo, la

operatoria de cada fideicomiso es auditada por auditorías externas.

27 “Informe de Seguimiento de Observaciones de Auditoría de Empresas Controladas al 31-12-2015. En relación a los “Niveles de Madurez para el Diagnóstico de Procesos” ver Resolución SIGEN Nº 36/2011 - Programa de Fortalecimiento del Sistema de Control Interno del 1/04/2011. 28 KPMG y Deloitte entre otras.


39

En relación al estado de los controles internos de los proveedores de servicios, y dado que

el más importante es una empresa del propio Grupo (Nación Servicios S.A.), es auditada

también por la SGAGBNA.

No obstante, se verifican debilidades en los controles, algunas de las cuales ya han sido

expuestas en este informe. Entre ellas vale destacar: que la estructura organizacional de la

GTP actual es insuficiente para llevar a cabo todas las funciones requeridas con un

adecuado control interno, existe dependencia de individuos clave29, no se ha establecido un

formalmente un Sistema de Aseguramiento de la Calidad30, no se han formalizado estudios

de riesgos asociados a la TI31, no existe un marco de trabajo formalizado para la

administración de proyectos32, para controlar los niveles de servicios internos y externos33,

para el tratamiento de incidentes y problemas34 y de monitoreo de la infraestructura de

TI.35

Además, no se ha definido un proceso para auto-evaluaciones y revisiones de

aseguramiento del control interno, con roles definidos para los responsables de la

administración del negocio y de TI. Como consecuencia de esto, persisten debilidades

observadas por auditorías externas e internas que al cierre de tareas de campo no habían

sido corregidas, como la implementación de pistas de auditoría en algunas bases de datos

consideradas críticas, entre otras.

Por último, se ha evidenciado que no existen políticas de evaluación de riesgos y por lo

29 Para más detalles ver puntos 4.1.4 y 4.1.7 30 Para más detalles ver punto 4.1.8 31 Para más detalles ver punto 4.1.9 32 Para más detalles ver punto 4.1.10 33 Para más detalles ver punto 4.3.1. y 4.3.2 34 Para más detalles ver punto 4.3.8 35 Para más detalles ver punto 4.4.1


40

tanto no están definidos los procedimientos para el manejo y mitigación de riesgos

específicos de procesos.

4.4.3. No se cumple con algunas de las regulaciones externas obligatorias.

Una supervisión efectiva del cumplimiento regulatorio requiere del establecimiento de un

proceso independiente de revisión para garantizar el cumplimiento de las leyes y

regulaciones.

Se observaron debilidades en el cumplimiento de los siguientes marcos normativos:

• Resolución 48/05 de SIGEN "Normas de Control Interno para Tecnología de la

Información para el Sector Público Nacional”. Ver detalles en ANEXO I – Evaluación

del cumplimiento de la Res. 48/05 SIGEN “Pautas de control Interno de TI”

• Ley 26.653 “Accesibilidad de la Información de las Páginas Web". Para más detalles

ver ANEXO II “Análisis de página Web institucional”

5. RECOMENDACIONES La secuencia de las recomendaciones aquí expuestas sigue el mismo orden que las

observaciones del capítulo precedente. 5.1. Cuestión de auditoría 1: Planificación y organización de TI

5.1.1. Elaborar los próximos Planes de Tecnologías de la Información de manera que sea lo

suficientemente detallado como para permitir el entendimiento y seguimiento de la

definición de los planes tácticos de TI.

5.1.2. Desarrollar y mantener un diccionario de datos completo de la empresa.


41

5.1.3. Mejorar los acuerdos de servicios a los efectos de minimizar los riesgos y establecer

un plan de contingencia sobre los servicios tercerizados, al menos de los sistemas

considerados críticos.

5.1.4. Designar responsabilidades y tareas con adecuadas separación de funciones a los

efectos de minimizar el riesgo de control, como así también desarrollar los procedimientos

faltantes y cubrir las funciones y tareas operativas.

5.1.5. Realizar un presupuesto de TI por gerencia, incluida la GTP.

5.1.6. Compilar y facilitar el acceso a la información de todas las políticas, normas y

procedimientos de TI de la empresa.

5.1.7. Realizar una descripción de los procesos y procedimientos que realiza el personal

clave. Designar personal de supervisión de calidad, con funciones y tareas independientes

de las de supervisión de procesos.

5.1.8. Establecer un Sistema de Administración de la Calidad (SAC) con políticas y

procedimientos que recurra a estándares y certificaciones para medirla y monitorearla.

5.1.9. Establecer un marco formal de administración de riesgos de la TI, vinculado al Plan

de TI anual.

5.1.10. Formalizar un procedimiento para el marco de trabajo de administración de

proyectos propios o de terceros.


42

5.2. Cuestión de auditoría 2: Administración e implementación

5.2.1. Desarrollar un repositorio común donde almacenar los requerimientos funcionales

que realizan los usuarios y formalizar un procedimiento para administrarlos.

5.2.2. Integrar toda la información de control y seguimiento de las parametrizaciones

realizadas en el PeopleSoft en un repositorio común y de fácil acceso.

5.2.3. Perfeccionar los acuerdos de niveles de servicio para que permitan conocer la

infraestructura de Nación Servicios y su capacidad para responder ante cambios en las

reglas del negocio, un desarrollo nuevo o una modificación de un aplicativo.

5.2.4. Verificar y actualizar los procedimientos de la operatoria administrativa relacionada

con los sistemas.

5.2.5. Determinar pautas de control de calidad de los servicios contratados.

5.2.6. Formalizar un procedimiento de control de cambios para situaciones normales o de

emergencia.

5.2.7. Formalizar un procedimiento para la parametrización, prueba y puesta en producción

del aplicativo administrativo-contable PeopleSoft u otros.

5.3. Cuestión de auditoría 3: Entrega y Soporte

5.3.1. Desarrollar acuerdos de niveles de servicio entre la GTP y las gerencias operativas.


43

5.3.2. Implementar medidas de control orientadas a la revisión y monitoreo de los contratos

con terceros. Designar un responsable del control y seguimiento de dichas medidas.

5.3.3. Desarrollar un marco de trabajo para el planeamiento de las necesidades futuras de la

capacidad de la infraestructura de TI instalada.

5.3.4. Actualizar y poner a prueba un plan de contingencias de TI. Contar con un

procedimiento regular de actualizaciones.


5.3.6. Implementar la imputación por centros de costos a los efectos de conocer el costo e

inversión de TI por gerencia.

5.3.7. Adecuar, articular e incorporar a los planes de capacitación de la empresa, las

necesidades de la GTP, las Gerencias Operativas y el OSI. Concientizar a los usuarios

sobre seguridad de la información.


44

5.3.8. Implementar un sistema centralizado para la recepción, administración y

seguimiento de incidentes o problemas.

5.3.9. Se recomienda:

• Identificar y registrar todos los activos de TI, sean tangibles (equipos HW y sus

repuestos) o intangibles (licencias de software y aplicaciones de producción propia o de

terceros con detalles tecnológicos que permitan apreciar el paso del tiempo).

• Mantener un repositorio central con toda la información relevante sobre los elementos

de configuración tangibles (hardware) e intangibles (por ejemplo, licencias de

software). Monitorear y registrar las modificaciones introducidas al equipamiento y sus

movimientos a otras oficinas o ámbitos de trabajo.

5.3.10. Elaborar un procedimiento para el proceso de revisión y pruebas de los resguardos

de información (backup).

5.3.11. Resolver las deficiencias señaladas sobre el entorno físico del Data Center a los

efectos de reducir los riesgos relevantes señalados.

5.3.12. Elaborar un procedimiento de apagado y encendido de los equipos para un caso de

reinicio.

5.4. Cuestión de Auditoría 4: Monitoreo y evaluación

5.4.1. Realizar un marco de trabajo (procedimientos, sistemas de información, etc.) para el

monitoreo de la infraestructura de TI,

5.4.2. Respecto de los controles internos se recomienda:


45

• procurar asignar los recursos necesarios para ejecutar los controles internos de las

actividades de TI, de modo de hacer seguimientos más abarcativos.

• monitorear de forma continua, comparar y mejorar el ambiente de control de TI y el

marco de trabajo de control de TI para satisfacer los objetivos de la empresa.

• monitorear y evaluar la eficiencia y efectividad de los controles internos.

• identificar las excepciones de control, y analizar e identificar sus causas raíz

subyacentes. Escalar las excepciones de control y reportar a los interesados

apropiadamente. Establecer acciones correctivas necesarias.

• evaluar el estado de los controles internos de los proveedores de servicios externos.

Confirmar que los proveedores de servicios externos cumplen con los requerimientos

legales y regulatorios y obligaciones contractuales.

• identificar, iniciar, rastrear e implementar acciones correctivas derivadas de los

controles de evaluación y los informes.

5.4.3. A los efectos de propender al cumplimiento de los requerimientos externos, se

recomienda:

• rediseñar la página web de la empresa para cumplir con las Ley 26.653 “Accesibilidad

de la Información de las Páginas Web"36.

• identificar, sobre una base continua, leyes, regulaciones, y otros requerimientos

externos que se deben cumplir para incorporar en las políticas, estándares,

procedimientos y metodologías de TI de la empresa.

• revisar y ajustar las políticas, estándares, procedimientos y metodologías de TI para

garantizar que los requisitos legales, regulatorios y contractuales son direccionados y

comunicados.

36Para más detalles ver ANEXO II


46

• confirmar el cumplimiento de políticas, estándares, procedimientos y metodologías de

TI con requerimientos legales y regulatorios.

• adecuar la Política de Seguridad para cumplir con el Modelo de Política de Seguridad de

la ONTI, disposición 3/13.

• avanzar en la implementación de la Firma Digital para procedimientos administrativos

internos conforme a la Ley 25.506 de Firma Digital y el Decreto 378/2005 de Gobierno

Electrónico.

6. CONCLUSIÓN

El gobierno de TI es una parte integral del gobierno corporativo que debe contribuir con el

cumplimiento de los objetivos organizacionales. La necesidad de asegurar el valor de TI, la

administración de los riesgos asociados y el control de la información deben priorizarse y

considerarse elementos clave del gobierno de la empresa. Producto de la evaluación de esta

auditoría, se han identificado algunos aspectos que atentan contra la eficacia de la gestión

de TI.

Uno de los aspectos concierne a la estructura organizacional de la Gerencia de Tecnología

y Procesos (GTP) de Nación Fideicomisos S.A., que resulta insuficiente en cantidad de

posiciones y en su nivel de desagregación como para permitir el control por oposición y

reducir la dependencia sobre individuos clave. En algunos casos las posiciones funcionales

actualmente definidas concentran una cantidad de responsabilidades que, en la práctica, no

pueden ser asumidas por un único funcionario sin debilitar unas en detrimento de otras.

Complementariamente, el nivel de informatización también resulta insuficiente para la

gestión por falta de incorporación de procesos automatizados, lo que genera que tanto los

niveles decisorios como el resto de los usuarios finales se vean obligados a componer


47

información a partir de datos de las aplicaciones existentes. Esta problemática trae como

consecuencia que se llevan a cabo tareas administrativas con fuertes componentes

manuales que no están integradas en una plataforma tecnológica común, con lo que,

además, se dificulta su seguimiento posterior. En el mismo sentido, faltan herramientas

tecnológicas comunes que permitan a la GTP hacer seguimientos de los requerimientos

funcionales y técnicos de los usuarios finales.

Un aspecto relevante es la dependencia crítica sobre proveedores de servicios cuyos

niveles de prestación están débilmente establecidos y controlados, ya que los acuerdos de

niveles de prestaciones no han sido estipulados en todos los casos y no existe una posición

funcional que los monitoree y verifique.


La función actualmente definida para aspectos de seguridad informática no tiene autoridad

suficiente para dar directrices, imponer directivas y políticas a toda la organización ya que

depende de una gerencia sustantiva. Esta subordinación no garantiza su independencia

funcional y operativa, tanto respecto de dicha dirección como del resto de las áreas

usuarias, lo que limita su control en aspectos tales como alcance, independencia, capacidad

operativa y control por oposición. Esta función no sólo debe ser una responsabilidad

compartida entre el Directorio y las gerencias sustantivas sino también jerarquizada de

acuerdo a su importancia relativa para el conjunto organizacional.


48

Como consecuencia de lo expuesto precedentemente, las máximas autoridades de la

empresa deben resignificar la importancia de la TI como entrega de valor para la

consecución de los objetivos estratégicos de la organización, dotando a las áreas

competentes de los recursos materiales y humanos necesarios para conseguirlos.

Complementariamente área de TI debe informar oportuna, íntegra y formalmente al

Directorio de la compañía sobre los riesgos a los que la organización se enfrenta en la

actualidad que pueden atentar contra la efectividad de la gestión de TI.

7. COMUNICACIÓN AL ENTE

Por nota N° 348/17-P la AGN remite el proyecto de informe a Nación Fideicomisos S.A.

(NAFISA), quien lo recibe con fecha 24 de abril de 2017. El 16 de mayo de 2017 NAFISA

envía el descargo a AGN, el cual es recepcionado el mismo día.

En los ANEXOS I y II al presente informe, en orden simultaneo, se presentan tanto la

respuesta del organismo auditado como los comentarios de la AGN.

Como resultado del análisis realizado, se mantienen todas las observaciones.

8. LUGAR Y FECHA

BUENOS AIRES, julio de 2017

9. FIRMA


49

10. ANEXOS

ANEXO I – Comentarios del auditado


50


51

Respuestas a las observaciones del Proyecto de Informe de Auditoría Informática37

4.1.1 La formulación de la Planificación Estratégica de TI no se presenta con los niveles de claridad y de detalle necesarios, lo que dificulta su seguimiento posterior.

Existe un Plan y un Presupuesto de Sistemas, dividido en Inversiones y Gastos, y Aplicaciones e Infraestructura, aprobado por el Directorio de NAFISA.

El mismo es entregado a la Gerencia de Planificación Estratégica y Control de Gestión en el mes de septiembre, y es incluido dentro del presupuesto global de la compañía.

Es enviado a la Gerencia de Administración, área Compras para que incluya dentro del plan anual todos los ítems por categoría para su posterior ejecución.

Adjunto Acta de Directorio W 1449 del 22 de febrero de 2017 en donde se presenta el control presupuestario, el plan de sistemas y documentos de soporte de lo enunciado.

Adjunto en el CD los documentos.

4.1.2 La arquitectura de la información de la empresa no se encuentra totalmente integrada, lo que genera la necesidad de realizar tareas de composición de datos, desarrollar interfaces específicas y llevar a cabo controles manuales que afectan la eficacia y eficiencia de los procesos.

Considerando que disponemos de 3 aplicaciones para llevar a cabo nuestro negocio, y los mismos no son del mismo proveedor, se hace imposible el obtener un diccionario único de datos. Dado que son paquetes tercerizados, y los mismos los obtenemos a través del licenciamiento; el proveedor dispone y nos entrega el diccionario de datos. La integración de datos se realiza a través de procesos externos considerando las necesidades de cada área.

4.1.3 En la formulación de la dirección tecnológica no se han explicitado los riesgos relacionados con la dependencia de la empresa sobre ciertos servicios tercerizados críticos. Esto genera incertidumbre sobre la calidad del servicio que los proveedores pueden brindar ante determinadas situaciones.

No es un riesgo la administración de terceros considerando que cada proveedor estratégico posee un contrato formal con la compañía, llevado a cabo por la Gerencia de Legales y administrado por el área de compras. Los contratos indican el nivel de servicio acordado y el servicio es analizado por cada solicitante una vez recibido el mismo.

4.1.4 La estructura organizacional de TI actual es insuficiente para llevar a cabo todas las funcionalidades requeridas con un adecuado control interno por oposición. Además, falta definir procedimientos formales para procesos relevantes de la organización. Como resultado de estos dos factores existe una dependencia crítica sobre individuos clave, lo que conlleva el riesgo que ante su posible ausencia la prestación de algún servicio crítico se vea afectada.

El Directorio de Nación Fideicomisos S.A. considera que la estructura organizacional de TI es Suficiente para llevar a cabo todas las tareas requeridas. La auditoría formulo comentarios sobre el administrador de base de datos, y acepto 37 Transcripción textual del original.


52

que las funciones sean llevadas a cabo por el jefe de tecnología cuando se refiere a sistemas pequeños y en el ambiente PeopleSoft por el DBA de Nación Servicios.

4.1.5 La GTP presupuesta los costos de TI de toda la organización sin identificar los que pertenecen a otras gerencias. De este modo asume como propio la totalidad de lo presupuestado, dificultando así la exposición de la información para la correcta toma de decisiones por parte de los niveles directivos.

El Directorio de la compañía considera que no es necesario dividir el costo de IT por gerencia. Es una organización pyme cuyo principal costo de TI es el de licenciamiento, y los otros costos de Infraestructura.

4.1.6 La comunicación de los objetivos y la dirección de TI está parcialmente informada al personal relevante, lo que condiciona el apoyo a la estrategia de TI y la entrega de valor.

Las políticas, normas y procedimientos de TI de la Empresa son aprobadas por Directorio y puesta a disposición en el Disco Público al cual todos los empleados tienen acceso.

4.1.7 Existe dependencia de individuos clave. Esto expone a la organización a que en alguna situación la prestación del servicio de TI pueda verse afectada.

Los puestos claves están cubiertos con empleados con alto perfil en sus funciones cumpliendo satisfactoriamente con las necesidades del negocio teniendo en cuenta la estructura organizacional de NAFISA (dotación 111 personas).

4.1.8. No se ha establecido formalmente un Sistema de Aseguramiento de la Calidad, lo que impide identificar desviaciones, aplicar acciones correctivas, informar a los usuarios involucrados y conocer la entrega de valor de TI a los objetivos estratégicos de la empresa.

La empresa a través de los contratos que son firmados en cada caso con los proveedores de TI, establece las pautas a cumplir.

Es así que la gerencia de legales en conjunto con la gerencia de compras establece en la firma del mismo el nivel del servicio que se prestara.

No existe para cada tipo de categoría una prestación establecida dado que la empresa contrata consultoría de sistemas, Asesores impositivos, desarrollos de proyectos llave en mano, comunicaciones y su principal proveedor es una empresa socia del grupo BNA.

4.1.9. No se han formalizado estudios de riesgos, por lo que ante la presencia de un evento inesperado, no se tienen definidos los cursos de acción a tomar, situación que puede afectar las operaciones de la empresa.

Nación Fideicomisos S.A. se encuentra en etapa de implementación del proceso integral de gestión General de Riesgo teniendo en cuenta los lineamientos del Banco de la Nación Argentina. La Gerencia de Tecnología posee a través del programa PGSI el análisis completo de los servicios que brinda, como así de sus procesos. Adjunto en el CD los documentos.

4.1.10. No existe un marco de trabajo formalizado para la administración de proyectos. Como consecuencia de esto, se dificulta determinar la coordinación, la correcta asignación de prioridades y de recursos, el cumplimiento de los objetivos tácticos y la entrega de valor para el negocio.

El Directorio considera que nuestra estructura es suficiente para llevar a cabo los servicios. El responsable funcional es quien ejecuta los proyectos, mejoras, o administra los requerimientos con terceros.


53

4.2.1 NAFISA carece de un tratamiento centralizado de los requerimientos funcionales que formulan los usuarios, por lo que existen múltiples plataformas para su seguimiento y debe componerse información para obtener un estado de situación consolidado.

La empresa no posee un software de requerimientos centralizado se están analizando alternativas en el mercado. Cada proveedor tercerizado dueño de las aplicaciones posee un software de requerimientos, que es el utilizado para registrar los requerimientos.

4.2.2 Las parametrizaciones que se realizan sobre los sistemas de NAFISA no se encuentran documentadas y comunicadas en todos los casos. Ante estas situaciones, las áreas operativas que solicitan una parametrización no pueden verificar adecuadamente que éstas se hayan realizado de acuerdo a las necesidades del negocio, dificultando el control posterior y generando una dependencia crítica sobre el personal que lleva a cabo la tarea.

Existe parametrización sobre el sistema Vigía y el sistema PeopleSoft y ambas se encuentran documentadas. El sistema Safiro posee los documentos para llevar a cabo los títulos sin necesidad de parametría. En todos los casos existe un ambiente pre producción, que es la copia de producción antes de hacer la liberación de los sistemas, en donde el usuario realiza las pruebas, firma las hojas de trabajo o envía un mail con la conformidad. Posterior a esto se lleva a cabo la seguridad. Considerando que se han establecido grupos de fideicomisos con la misma estructura evitando tener que documentar cada uno por separado. Adjunto en el CD los documentos.

4.2.3 El impacto de un cambio en las reglas del negocio, un desarrollo nuevo o una modificación de un aplicativo puede generar una modificación en la infraestructura de TI que no esté formalmente contemplada, lo que implica un riesgo para el nivel de prestación del servicio de TI.

Existe la planificación de las necesidades de TI en concordancia con el Negocio. Esto ha sido documentado en cada plan de sistemas y sus presupuestos, como la implementación de todos los proyectos.

4.2.4. Los procedimientos administrativos relacionados con las aplicaciones administrativas/contables no se encuentran actualizados en su totalidad, por lo que la operatoria puede presentar ambigüedades.

Existen todos los procedimientos que forman parte de los desarrollos realizados. Los mismos poseen un nivel de detalle que permiten comprender cada tarea/función. Son revisados y actualizados ante cada cambio. Adjunto en el CD los documentos.

4.2.5 No existen controles específicos formales sobre el nivel de servicio de post-venta suministrado por los proveedores.

La empresa a través de los contratos que son firmados en cada caso con los proveedores de TI, establece las pautas a cumplir. Es así que la gerencia de legales en conjunto con la gerencia de compras establece en la firma del mismo el nivel del servicio que se prestara. No existe para cada tipo de categoría una prestación establecida dado que la empresa contrata consultaría de sistemas, Asesores impositivos, desarrollos de proyectos llave en mano, comunicaciones y su principal proveedor es una empresa socia del grupo BNA.

4.2.6 No existen procedimientos formales de control de cambios tanto para situaciones normales como de emergencia. Como consecuencia de esto, no se cuenta con la documentación apropiada para evaluar los resultados del cambio.

Existe un procedimiento formal para el control del cambio llamado PGSI- POlO Procedimiento de Control de Cambios en Aplicaciones. Adjunto en el CD los documentos.


54

4.2.7 Faltan procedimientos formales que aseguren que antes de pasar un aplicativo con cambios a producción, el usuario dé su conformidad de que funciona de acuerdo a sus expectativas y las del negocio. Como consecuencia de esto, puede que este proceso no cubra sus requerimientos.

Existen procedimientos formales llamados PGSI- POll Procedimiento de Testeo de Aplicaciones y PGSI- P012 Procedimiento Implantación de Aplicaciones. Adjunto en el CD los documentos.

4.3.1. No se ha formalizado un marco de trabajo para definir los niveles de servicios internos y externos con el usuario final. En consecuencia, algunas prestaciones pueden no satisfacer al usuario final o a las necesidades del negocio.

Se ha considerado para el próximo año 2018 la implementación de un software de requerimientos. En el mismo año se presentara al directorio y a la Auditoría la política y el procedimiento para su aprobación.

4.3.2. No se ha formalizado un marco de trabajo para controlar los servicios de los proveedores externos. Esto limita la posibilidad de exigir niveles de calidad de las prestaciones, acordes a las necesidades de la empresa.

Como se ha detallado en punto 4.2.5: La empresa a través de los contratos que son firmados en cada caso con los proveedores de TI, establece las pautas a cumplir. Es así que la gerencia de legales en conjunto con la gerencia de compras establece en la firma del mismo el nivel del servicio que se prestara. No existe para cada tipo de categoría una prestación establecida dado que la empresa contrata consultoría de sistemas, Asesores impositivos, desarrollos de proyectos llave en mano, comunicaciones y su principal proveedor es una empresa socia del grupo BNA.

4.3.3. No se ha formalizado un marco de trabajo para el planeamiento de las necesidades futuras de capacidad de la infraestructura de TI instalada, por lo que los requerimientos de ampliación pueden resultar tardíos o ejecutarse a destiempo.

Se realiza antes de presentar el plan de sistemas y tecnología. Es así que si se sigue el plan de inversiones de infraestructura ha mejora en los últimos 3 años de manera considerable. No es necesario hacer un análisis de capacidad de la plataforma dado que poseemos infraestructura para el crecimiento del negocio sin tener ningún riesgo.

Como ejemplo este año estamos analizando para el próximo presupuesto la adquisición de nuevas librerías de backup. Se ha solicitado a los proveedores alternativas de solución.

4.3.4 NAFISA carece de un proceso formal de revisión y prueba del plan de contingencia de servicios de TI. Producto de su desactualización, de presentarse una situación no contemplada, podría afectar la operatoria del negocio.

El Oficial de Seguridad de la Información posee un perfil del puesto que ha sido auditado por la auditoría del Banco Nación. Todas las funciones y tareas están descriptas en concordancia con las prácticas que ellos desarrollan. Adjunto en el CD los documentos con la evidencia. Existe una revisión de las políticas anual, la misma se ha llevado a cabo en diciembre 2016. Adjunto en CD el Acta de Directorio con el tratamiento de la revisión anual de las políticas. No existen accesos genéricos ni en la red, ni en los aplicativos. No existen usuarios que no formen parte de la compañía. La política de seguridad no permite reactivar cuentas como está manifestado en el Informe de Auditoría Informática (AGN). Es así que KPMG como auditor externo durante el mes de febrero 2017 y la Auditoría del BNA en su Informe Integral 2016 no encontró evidencia de lo enunciado.

Para la administración de usuarios los permisos a GTP y Seguridad de la información son los acordados. No se han realizado test de penetración ni se cuenta con dispositivos IPS /IDS debido a que la empresa no posee servicios expuestos. Las pistas de auditoría están configuradas para la base de datos, son de 90 días en concordancia con la Auditoría. Los firewall están en clúster. El switch principal de la empresa posee redundancia. Se encuentra equipo con


55

capacidad para poder soportar los servicios críticos. No está en cluster. Los servidores del centro de datos tienen actualizados los parches de seguridad a la fecha.


4.3.6. No se conoce la incidencia de los costos de TI que consumen las áreas sustantivas de la empresa. Esto deriva en eventuales dificultades para determinar la entrega de valor de TI en cada caso y su contribución a los objetivos del negocio.

El Directorio de la compañía considera que no es necesario dividir el costo de IT por gerencia/área.

4.3.7. Faltan acciones articuladas entre la GTP y la Coordinación de RRHH para asegurar que las políticas y directivas de TI son comprendidas por los miembros de la empresa. La situación descripta deriva en el riesgo que algunos usuarios finales desconozcan su importancia para los objetivos organizacionales.

En función del relevamiento de las necesidades de capacitación de cada área de Nación

Fideicomisos que se encuentra realizando esta Subgerencia de Recursos Humanos para el año2017, procedimos a recopilar los requerimientos realizados por la Gerencia de Tecnología y Procesos y la Gerencia de Planificación Estratégica y Control de Gestión, en relación al Oficial de Seguridad de la Información para programar actividades con el fin de llevarlos a cabo. Asimismo, en un trabajo en conjunto con el Oficial de Seguridad de la Información hemos decidido llevar a cabo un plan de concientización sobre las políticas de Tecnología Informática para el personal de Nación Fideicomisos S.A. El mismo se desarrollará en su totalidad de manera presencial y se estima finalizar con la capacitación del 100% de la nómina al 30/09/2017.

4.3.8. El tratamiento de incidentes y problemas no está debidamente formalizado, lo que dificulta su control, seguimiento y satisfacción del usuario final.


56

La compañía no posee una herramienta de incidentes. Nos encontramos en proceso de análisis de alternativas provistas por el mercado.

4.3.9. La administración de los bienes tangibles e intangibles no está debidamente formalizada ni centralizada, lo que dificulta su identificación, valuación y localización.

Existe un inventario de hardware y software administrado por la GT.

4.3.10. No se realizan pruebas para asegurar que la restauración de la información respaldada (backups) funciona adecuadamente. Ello expone a la organización al riesgo de que los datos no estén disponibles en tiempo y forma ante una situación de contingencia, lo que pone en riesgo la continuidad del servicio.

Existe un plan de pruebas de recupero aprobado por el Directorio de NAFISA. Se llevó a cabo la primera tanda de pruebas en el mes de abril de 2017. Adjunto documentación y evidencia.

4.3.11. Faltan medidas para asegurar la correcta instalación física del Data Center. Esto expone a la empresa a no disponer de los elementos suficientes para prevenir, evitar o subsanar incidentes.

Los cables han sido ordenados y se presenta la evidencia. Los mismos se encontraban sin su orden debido a que la organización presento durante los meses de enero 2016 hasta junio 2016 nuevos esquemas de organización y los mismos han afectado el orden de las VLAN. Se ha realizado el trabajo de mejora de calidad del producto en los matafuegos (Halon) y en su instalación. Se ha instalado el producto netbozt (la cámara de inspección interna, planilla de acceso a proveedores y visitas, termómetro de temperatura, Ups configurada en red con monitoreo y envió de mail.).

4.3.12. No se ha formalizado el procedimiento de apagado y encendido de los equipos para un caso de reinicio. Esto puede generar problemas de conectividad con otros equipos activos, y consecuentemente producir errores.

Se procederá a desarrollarlo teniendo en cuenta el siguiente esquema:

Procedimiento de apagado y encendido general del CPO. Procedimiento de apagado y encendido de los servicios. Procedimiento de apagado y encendido de las UPS. Procedimiento de apagado y encendido del sistema de Aire acondicionado. Procedimiento de apagado y encendido del sistema de monitoreo. OBJETIVO: Establecer un instructivo para el desarrollo de la secuencia de apagado y encendido de los servicios del centro de datos. Teniendo en cuanta los parámetros para realizar estas operaciones de forma correcta y eficiente, optimizando la vida útil de los mismos. ALCANCE: El instructivo comprende las actividades desarrolladas en la secuencia de apagado y encendido de los servicios del centro de datos. El documento estará enfocado al eficaz desarrollo de actividades mediante una descripción clara y sencilla de la forma correcta de ejecutarlas.

4.4. MONITOREO

4.4.1. NAFISA carece de un marco de trabajo para el monitoreo de la infraestructura de TI que permita detectar anomalías y tomar acciones correctivas a tiempo.

Se ha adquirido e instalado el producto Solard Winds. Existen otros productos instalados para la medición de eventos (event manager, lanware).

4.4.2. Los controles internos de TI no son lo suficientemente robustos producto de la falta de personal de TI, de la desagregación de funciones y de la estructura funcional de Seguridad de la Información. Esto permite acciones discrecionales por parte de funcionarios clave.


57

El Directorio de NAFISA considera adecuada estructura y suficiente para llevar a cabo los servicios.

4.4.3. No se cumple con algunas de las regulaciones externas obligatorias.

En función de la observación efectuada con relación al análisis de la página web institucional de Nación Fideicomisos S.A., procedimos a realizar la contratación de la firma "Ferraro Camacho y Asociados" a los fines de que analice las debilidades de la página actualmente en uso, las no conformidades indicadas por esa Auditoría General de la Nación, las observaciones de la Auditoría Interna y todos los requerimientos de Directorio y de los diferentes sectores de la Empresa. Se estima recibir el informe final el día 02 de junio que será elevado a conocimiento del Directorio a los fines de que adopte las medidas pertinentes.


58

ANEXO II – Análisis de los comentarios del auditado

A continuación se presenta el análisis realizado por esta AGN para cada uno de los comentarios del auditado

Observación Respuesta NAFISA Comentario AGN 4.1.1. La formulación de la Planificación Estratégica de TI no se presenta con los niveles de claridad y de detalle necesarios, lo que dificulta su seguimiento posterior.

Las mejores prácticas en TI señalan la necesidad de contar con una planeación estratégica específica para administrar y dirigir los recursos de TI de acuerdo con los objetivos estratégicos de la empresa y sus prioridades. El plan estratégico debe mejorar el entendimiento de los interesados clave respecto a las oportunidades y limitaciones de TI, evaluar el desempeño actual y aclarar el nivel de inversión requerido. La estrategia y las prioridades se deben reflejar en los proyectos de inversión y deben ser ejecutadas por los planes tácticos de TI, los cuales establecen objetivos y tareas específicas.

Si bien la planeación estratégica y táctica de TI está formalizada, aprobada por la máxima autoridad de la empresa y en línea con los objetivos estratégicos de ésta, se observa que:

Contiene imprecisiones relativas a tiempos en algunos proyectos, y falta de totales de inversión proyectada por año.

Considerando que es un documento que debe ser aprobado por el directorio de la empresa, el lenguaje en algunos casos es demasiado técnico y se utilizan acrónimos y

Existe un Plan y un Presupuesto de Sistemas, dividido en Inversiones y Gastos, y Aplicaciones e Infraestructura, aprobado por el Directorio de NAFISA. El mismo es entregado a la Gerencia de Planificación Estratégica y Control de Gestión en el mes de Septiembre, y es incluido dentro del presupuesto global de la compañía. Es enviado a la Gerencia de Administración, área Compras para que incluya dentro del plan anual todos los ítems por categoría para su posterior

Vista la documentación provista por el auditado, por tratarse de hechos posteriores, serán objeto de evaluación en futuras auditorías. Se mantiene la observación.


59

Observación Respuesta NAFISA Comentario AGN siglas que no están aclarados.

Su forma de exposición dificulta el seguimiento.

ejecución. Adjunto Acta de Directorio W 1449 del 22 de febrero de 2017 en donde se presenta el control presupuestario, el plan de sistemas y documentos de soporte de lo enunciado. Adjunto en el CD los documentos.

4.1.2. La arquitectura de la información de la empresa no se encuentra totalmente integrada, lo que genera la necesidad de realizar tareas de composición de datos, desarrollar interfaces específicas y llevar a cabo controles manuales que afectan la eficacia y eficiencia de los procesos.

Las mejores prácticas en TI señalan la necesidad de crear y actualizar de forma regular un modelo de información, lo que incluye el desarrollo de un diccionario de datos de la organización, el esquema de clasificación de datos y los niveles de seguridad. Este proceso de TI también es necesario para mejorar la efectividad y control de la información compartida a lo largo de las aplicaciones.

Debido a que los sistemas clave del negocio que habían sido adquiridos en su oportunidad fueron objetados por distintos informes de auditoría , la GTP –que adoptó la política de comprar soluciones llave en mano- adquirió el sistema contable y

Considerando que disponemos de 3 aplicaciones para llevar a cabo nuestro negocio, y los mismos no son del mismo proveedor, se hace imposible el obtener un diccionario único de datos. Dado que son paquetes tercerizados, y los mismos los obtenemos a través del licenciamiento; el proveedor dispone y nos entrega el diccionario de datos. La integración de datos se realiza a través de procesos

Un diccionario de datos empresarial registra el nombre, tipo, rango de valores, fuente, sistema de registro, y autorización de acceso para cada elemento de datos utilizado en la empresa. Indica cuáles programas aplicativos usan esos datos, de tal forma que cuando se contemple una estructura de datos, se pueda


60

Observación Respuesta NAFISA Comentario AGN administrativo PeopleSoft; Safiro, para la administración de los fideicomisos, y Vigía, para detección de operaciones sospechosas de lavado de activos de origen delictivo, sistemas que cubrían tanto las necesidades funcionales como las observaciones mencionadas. Además, adquirió el Sipre, para operar los fideicomisos de préstamos.

Al momento de los trabajos de campo de esta auditoría, estos aplicativos presentaban problemas de integración. Por otra parte, no existe un diccionario único de datos de la organización, ni se ha llevado a cabo un esquema de clasificación de datos basado en la criticidad y sensibilidad de la información, necesarios para conocer detalles de los datos de la organización y sus vinculaciones, de modo de prevenir duplicaciones e incompatibilidades.

externos considerando las necesidades de cada área.

generar una lista de los programas afectados. Contar con diccionarios de datos de cada producto tercerizado, independientes entre sí, no brinda la funcionalidad mencionada. Se mantiene la observación.

4.1.3. En la formulación de la dirección tecnológica no se han explicitado los riesgos relacionados con la dependencia de la empresa sobre ciertos servicios tercerizados críticos. Esto genera incertidumbre sobre la calidad del servicio que los proveedores pueden brindar ante determinadas situaciones.

La GTP debe determinar la dirección tecnológica para dar soporte a los objetivos estratégicos de la empresa. Esto requiere de la creación de un plan de infraestructura tecnológica que establezca y administre expectativas realistas y claras de lo que la tecnología puede ofrecer en términos de productos, servicios y mecanismos de aplicación. El plan debe actualizarse regularmente y abarcar la arquitectura de sistemas, dirección tecnológica, planes de adquisición, estándares, estrategias de migración y

No es un riesgo la administración de terceros considerando que cada proveedor estratégico posee un contrato formal con la compañía, llevado a cabo por la Gerencia de Legales y administrado por el área de compras. Los contratos indican el nivel de servicio acordado y el servicio

Tal como se manifiesta en la observación, se han identificado dos variables relevantes que aumentan el riesgo de degradación o interrupción del servicio: i) la significativa dependencia de la empresa sobre servicios tercerizados, y ii)


61

Observación Respuesta NAFISA Comentario AGN contingencias. Esto permite mejorar los tiempos de reacción para la toma de decisiones en situaciones de cambio.

De la documentación entregada surge que la dirección tecnológica está formalmente definida, y se contemplan las tecnologías existentes y emergentes para materializar la estrategia de TI. Producto de lo expresado precedentemente, se incorporaron aplicaciones nuevas en las actividades clave del negocio que reemplazaron a las existentes hasta ese entonces, de modo de adaptar mejor las actividades de la empresa a los requerimientos funcionales y regulatorios.

Se observa una debilidad relacionada con: i) la falta de explicitación de los riesgos asociados a la tercerización de servicios críticos (y en consecuencia las acciones que se deben tomar frente a éstos) y ii) la existencia de acuerdos de nivel de servicios poco precisos; lo que genera incertidumbre sobre la eficacia del control de los proveedores considerados críticos, dada la significativa dependencia de la empresa sobre servicios tercerizados.

es analizado por cada solicitante una vez recibido el mismo.

acuerdos de niveles de servicios poco precisos en cuanto al control que sobre ellos es posible ejercer. Dicho riesgo debe ser medido e informado al Directorio, mencionando las medidas a tomar frente a la eventualidad de que se materialice. Se mantiene la observación

4.1.4. La estructura organizacional de TI actual es insuficiente para llevar a cabo todas las funcionalidades requeridas con un adecuado control interno por oposición. Además, falta definir procedimientos formales para procesos relevantes de la organización. Como resultado de estos dos factores existe una dependencia crítica sobre individuos clave, lo que conlleva el riesgo que ante su posible ausencia la prestación de algún servicio crítico se vea afectada.

Una organización de TI se debe definir tomando en cuenta los requerimientos de

El Directorio de Nación Fideicomisos S.A. considera que la estructura organizacional de TI es suficiente para llevar a cabo todas las tareas requeridas. La auditoría formulo comentarios sobre el administrador de base

Las mejores prácticas recomiendan la segregación de funciones de ejecución y control para prevenir errores involuntarios u otros factores de riesgo. Se aclara que esta es una


62

Observación Respuesta NAFISA Comentario AGN personal, funciones, delegación, autoridad, roles, responsabilidades y supervisión. En la organización debe estar inserto un marco de trabajo de procesos de TI que asegure la transparencia y control, así como el involucramiento de los altos ejecutivos de nivel decisorio. Deben existir procesos, políticas administrativas y procedimientos para todas las funciones, con atención específica en el control, el aseguramiento de la calidad, la administración de riesgos, la seguridad de la información, la propiedad de datos y de sistemas y la segregación de tareas.

La actual estructura organizacional de TI resulta insuficiente para cubrir todas las tareas funcionales. Hay tareas relevantes de planificación y control que no se llevan a cabo a nivel operativo, tales como la administración de proyectos, análisis de riesgo, aseguramiento de la calidad y monitoreo (tanto de la infraestructura como de los servicios tercerizados).

Complementariamente, algunas de las funciones existentes no se encuentran desagregadas o definidas de tal manera que fortalezcan el control interno por oposición de intereses, tales como las que competen al Supervisor de Tecnología, responsable de “Definir estándares metodológicos y técnicos que permitan ejercer un adecuado control de calidad, seguridad y performance de los recursos tecnológicos de [hardware], redes e instalaciones vinculadas, de la Empresa”, quien debe simultáneamente “Supervisar el correcto cumplimiento de los proveedores contratados para el desarrollo e implementación de aplicativos de uso interno de la Empresa, en los aspectos referentes a la seguridad de las redes, así como de su posterior mantenimiento y la realización de las instalaciones que correspondan” ; en conclusión, recae en el mismo funcionario la doble

de datos, y acepto que las funciones sean llevadas a cabo por el jefe de tecnología cuando se refiere a sistemas pequeños y en el ambiente PeopleSoft por el DBA de Nación Servicios.

auditoría externa, independiente de otras que pudieran ejercer la función de control sobre la empresa. Se mantiene la observación


63

Observación Respuesta NAFISA Comentario AGN función de fijar los estándares y controlarlos.

Además, existe dependencia crítica sobre algunos individuos clave . Faltan procedimientos de mesa de ayuda, cambios en situaciones de emergencia, control sobre los proveedores de servicios tercerizados, mantenimiento de hardware, pasaje de software a producción y pruebas de aplicaciones. Por último, la página web institucional se encuentra sin mantenimiento de contenidos debido a que no hay un responsable designado para administrarla. 4.1.5. La GTP presupuesta los costos de TI de toda la organización sin identificar los que pertenecen a otras gerencias. De este modo asume como propio la totalidad de lo presupuestado, dificultando así la exposición de la información para la correcta toma de decisiones por parte de los niveles directivos.

Una organización de TI debe llevar cabo un proceso de administración presupuestaria de TI donde, habiendo identificado los costos propios de cada gerencia, se pueden comparar los costos reales con los presupuestados, identificar en forma oportuna las desviaciones y evaluar el impacto de éstas sobre lo planificado.

La GTP realiza todos los años la formulación presupuestaria del año siguiente pero lo hace en función del costo total de TI de la empresa, con lo cual se imputan presupuestos que no pertenecen a la propia gerencia. El presupuesto de TI en relación al gasto total de la empresa en los años 2014 y 2015 fue de 6,11% y 7,13% respectivamente.

El Directorio de la compañía considera que no es necesario dividir el costo de IT por gerencia. Es una organización pyme cuyo principal costo de TI es el de licenciamiento, y los otros costos de Infraestructura.

Las buenas prácticas aconsejan la separación de los costos de TI por centro de costos, de modo que permita llevar un control de las necesidades y la distribución de recursos de TI entre las distintas áreas (CobiT 4.1 – DS6). Aún si se tratara de una Pyme, por ser el Banco de la Nación Argentina su principal accionista, amerita considerar las


64

Observación Respuesta NAFISA Comentario AGN buenas prácticas para justificar el uso eficiente y transparente de los recursos públicos. No se suministró documentación respaldatoria (acta) que dé cuenta de la opinión del Directorio en el sentido manifestado en la respuesta. Se mantiene la observación.

4.1.6. La comunicación de los objetivos y la dirección de TI está parcialmente informada al personal relevante, lo que condiciona el apoyo a la estrategia de TI y la entrega de valor.

Las máximas autoridades de la empresa deben implantar un programa de comunicación continua para articular la misión, los objetivos de servicio, las políticas y procedimientos aprobados y apoyados por la dirección. La comunicación apoya el logro de los objetivos de TI y asegura la concientización y el entendimiento de los riesgos. El proceso debe garantizar el cumplimiento de las leyes y reglamentos.

La empresa cuenta con la Intranet para facilitar el acceso a parte de la normativa interna sobre diversas temáticas, pero al no estar clasificada, se dificulta la identificación de los

Las políticas, normas y procedimientos de TI de la Empresa son aprobadas por Directorio y puesta a disposición en el Disco Público al cual todos los empleados tienen acceso.

Poner a disposición la información en un disco público es condición necesaria, pero no suficiente para garantizar una comunicación eficaz de los objetivos y la dirección de TI. Se mantiene la observación.


65

Observación Respuesta NAFISA Comentario AGN temas específicos de TI por parte de los usuarios. Asimismo, falta un digesto centralizado de normas por gerencia que incluya las políticas, normas y procedimientos de TI. 4.1.7. Existe dependencia de individuos clave. Esto expone a la organización a que en alguna situación la prestación del servicio de TI pueda verse afectada.

Una buena práctica para incorporar, mantener y motivar una fuerza de trabajo para la creación y entrega de servicios de TI se logra siguiendo prácticas definidas y aprobadas que apoyan el reclutamiento, entrenamiento, la evaluación del desempeño, la promoción y la desafectación.

El reclutamiento de recursos humanos, las políticas de retención del personal, las competencias, la asignación de roles, evaluación de desempeño y la finalización del vínculo laboral, están formalmente definidos en el “Manual de Políticas y Prácticas de Recursos Humanos”. Asimismo, la empresa cuenta con descripciones de cada puesto. De este documento se desprende que el supervisor de calidad tiene asignadas funciones de control y supervisión que no se están cumpliendo por encontrase vacante el puesto. Por otra parte, en la GTP se verifica la dependencia de individuos clave, cuya ausencia no puede ser cubierta por otro recurso humano de similares conocimientos. En particular, la función de supervisión de parametrizaciones lleva éstas a cabo para cada nuevo fideicomiso en el aplicativo administrativo-contable Peoplesoft, sin que el procedimiento de parametrización se encuentre documentado. Esto expone a la empresa a vulnerabilidades frente a errores u omisiones y a que en alguna situación la prestación del servicio de TI pueda verse afectada.

Los puestos claves están cubiertos con empleados con alto perfil en sus funciones cumpliendo satisfactoriamente con las necesidades del negocio teniendo en cuenta la estructura organizacional de NAFISA (dotación 111 personas).

La observación de esta auditoría no hace referencia al desempeño de los empleados, sino a la falta de procedimientos documentados sobre las tareas que realizan, entre otras debilidades, lo que genera dependencia de la compañía sobre éstos individuos. Por otra parte, el auditado no presenta documentación de respaldo que dé cuenta de haber cubierto la función de control operativo (supervisor de calidad), que resulta clave. Se mantiene la


66

Observación Respuesta NAFISA Comentario AGN observación.

4.1.8. No se ha establecido formalmente un Sistema de Aseguramiento de la Calidad, lo que impide identificar desviaciones, aplicar acciones correctivas, informar a los usuarios involucrados y conocer la entrega de valor de TI a los objetivos estratégicos de la empresa.

Las áreas de TI deben elaborar y mantener un sistema de administración de calidad, que incluya procesos y estándares probados de desarrollo y de adquisición. Los requerimientos de calidad se deben manifestar y documentar con indicadores cuantificables y alcanzables. La mejora continua se logra por medio del constante monitoreo, corrección de desviaciones y la comunicación de los resultados a los interesados. La administración de calidad es esencial para garantizar que la TI está dando valor a los objetivos estratégicos de la empresa.

No existen políticas, procedimientos, ni un sistema de aseguramiento de calidad que establezca estándares para medirla y monitorearla.

La empresa a través de los contratos que son firmados en cada caso con los proveedores de TI, establece las pautas a cumplir. Es así que la gerencia de legales en conjunto con la gerencia de compras establece en la firma del mismo el nivel del servicio que se prestara. No existe para cada tipo de categoría una prestación establecida dado que la empresa contrata consultoría de sistemas, Asesores impositivos, desarrollos de proyectos llave en mano, comunicaciones y su principal proveedor es una empresa socia del grupo BNA.

El argumento de la observación no hace referencia a los servicios brindados por terceros sino a los procesos internos de la compañía (“No existen políticas, procedimientos, ni un sistema de aseguramiento de calidad que establezca estándares para medirla y monitorearla”). Los sistemas de aseguramiento de la calidad para la TI apuntan a proporcionar confianza sobre los procesos y la información resultante. Se mantiene la observación.


67

Observación Respuesta NAFISA Comentario AGN 4.1.9. No se han formalizado estudios de riesgos, por lo que ante la presencia de un evento inesperado, no se tienen definidos los cursos de acción a tomar, situación que puede afectar las operaciones de la empresa.

El área de TI debería, de acuerdo a las buenas prácticas en la materia, mantener un marco de trabajo de administración de riesgos que documente un nivel común y acordado de riesgos de TI, estrategias para evitar, mitigar, reducir, compartir, transferir, asumir, aplazar y administrar los riesgos residuales acordados. El resultado de la evaluación debe ser entendible para los participantes, para permitir alinear los riesgos a un nivel aceptable de tolerancia.

De las tareas de campo surge que no existe un marco formal de administración de riesgos que permita identificarlos con el objeto de tomar acciones para prevenirlos, asumirlos, mitigarlos, evitarlos o resolverlos en caso de un incidente, cuantificando costos y probabilidades de ocurrencia.

Si bien los riesgos tecnológicos sobre el hardware y el software se conocen, se limita a un esquema informal. En consecuencia, falta la formalización del contexto de riesgo y su evaluación estructurada de manera tal de contemplar las fortalezas, oportunidades, debilidades y amenazas, con el fin de evitar que se produzcan incidentes que pongan en riesgo las operaciones.

Nación Fideicomisos S.A. se encuentra en etapa de implementación del proceso integral de gestión General de Riesgo teniendo en cuenta los lineamientos del Banco de la Nación Argentina. La gerencia de tecnología posee a través del programa PGSI el análisis completo de los servicios que brinda, como así de sus procesos. Adjunto en el CD los documentos.

La respuesta del auditado no contradice lo señalado por esta auditoría. Se mantiene la observación.

4.1.10. No existe un marco de trabajo formalizado para la administración de proyectos. Como consecuencia de esto, se dificulta determinar la coordinación, la correcta asignación de prioridades y de recursos, el cumplimiento de los objetivos tácticos y la

El Directorio considera que nuestra estructura es suficiente para llevar a cabo los

La observación de esta auditoría no hace referencia a la suficiencia


68

Observación Respuesta NAFISA Comentario AGN entrega de valor para el negocio.

El área de TI debería establecer un programa y un marco de control para la administración de todos los proyectos de TI, que garantice la correcta asignación de prioridades y la coordinación de recursos. El marco de trabajo debe incluir un plan maestro, asignación de recursos, definición de entregables, aprobación de los usuarios, un enfoque de entrega por fases, aseguramiento de la calidad, un plan formal de pruebas, revisión de pruebas y revisión post-implantación para garantizar la administración de la ejecución del proyecto y su contribución a los objetivos estratégicos de la empresa.

De las tareas de campo surge que el marco de trabajo para la administración de proyectos es informal y que incluso no se aplica en todos los casos. Asimismo, la empresa carece de una unidad administrativa o función asignada que tenga a cargo la administración y control de los proyectos de TI tercerizados, por lo que esa función recae sobre el Gerente de Tecnología y Procesos y genera una dependencia crítica de este funcionario. Por otra parte, y al haber adoptado como política tercerizar la mayoría de los servicios de TI sin que medien acuerdos de niveles de servicios robustos en todos los casos, se genera una dependencia crítica de los proveedores.

La carencia de un marco formal y estructurado de administración de proyectos de TI dificulta la comunicación y el involucramiento del negocio y de los usuarios finales, no asegura la calidad de la documentación entregable y genera una fuerte dependencia sobre el administrador real de los proyectos.

servicios. El responsable funcional es quien ejecuta los proyectos, mejoras, o administra los requerimientos con terceros.

de la estructura organizacional que gestiona los servicios de TI, sino a la falta de un procedimiento formalizado para gestionar los proyectos de TI. Se mantiene la observación.


69

Observación Respuesta NAFISA Comentario AGN 4.2.1. NAFISA carece de un tratamiento centralizado de los requerimientos funcionales que formulan los usuarios, por lo que existen múltiples plataformas para su seguimiento y debe componerse información para obtener un estado de situación consolidado.

La necesidad de una nueva aplicación o función requiere de un análisis antes de la compra o desarrollo para garantizar que los requisitos del proyecto se satisfacen con un enfoque efectivo y eficiente. Este proceso cubre la definición de las necesidades, considera las fuentes alternativas, realiza una revisión de la factibilidad tecnológica y económica, ejecuta un análisis de riesgo y de costo-beneficio y concluye con una decisión final de desarrollar o comprar. Todos estos pasos permiten a la empresa minimizar el costo para adquirir e implantar soluciones, mientras que al mismo tiempo facilitan el logro de los objetivos.

En NAFISA la solución a los requerimientos funcionales de negocio se abarcan de manera global con la adquisición de soluciones llave en mano. Antes del proceso de compra de la solución integral, se llevan a cabo los estudios de factibilidad, análisis funcional, debilidades y costos. Estas decisiones son aprobadas por el directorio.

La política adoptada por la GTP es no hacer adaptaciones sobre el código fuente a los productos comprados, por lo tanto una vez instalado, las demandas puntuales de los usuarios son satisfechas sólo en la medida en que estos contengan las funcionalidades necesarias para proveerlas. En este sentido, cada producto comprado incluye un servicio de soporte y mantenimiento posterior por una cantidad de horas de consultoría suministrada por los proveedores.

La empresa no posee un software de requerimientos centralizado se están analizando alternativas en el mercado. Cada proveedor tercerizado dueño de las aplicaciones posee un software de requerimientos que es el utilizado para registrar los requerimientos.



70

Observación Respuesta NAFISA Comentario AGN De este esquema de trabajo se observa la falta de un repositorio común donde almacenar los requerimientos funcionales que realizan los usuarios, un procedimiento formal de administración de requerimientos donde se identifique, de prioridad y analice la factibilidad o los cursos de acción alternativos, la asignación de recursos y su posterior seguimiento. 4.2.2. Las parametrizaciones que se realizan sobre los sistemas de NAFISA no se encuentran documentadas y comunicadas en todos los casos. Ante estas situaciones, las áreas operativas que solicitan una parametrización no pueden verificar adecuadamente que éstas se hayan realizado de acuerdo a las necesidades del negocio, dificultando el control posterior y generando una dependencia crítica sobre el personal que lleva a cabo la tarea.

Se precisa tener un ambiente controlado para la adquisición de aplicativos y su posterior mantenimiento. Esto permite que los cambios producidos por la incorporación de nuevas soluciones automatizadas impacten lo menos posible en la operatividad de la empresa.

En relación a las adquisiciones, se lleva a cabo una evaluación de las ofertas existentes en el mercado donde se analizan aspectos de factibilidad, funcionalidad, cumplimiento de regulaciones, costos y debilidades. Los aplicativos son plataformas multiempresas, lo que en la práctica implica que cada nuevo fideicomiso a administrar requiere de la creación del entorno propio a través de la parametrización que permiten estos productos. En este contexto, el alta de fideicomisos y su parametrización es el único proceso que podría definirse como un cambio. Dependiendo de los valores que se asignen en esta etapa a cada entorno propio de cada fideicomiso a administrar, la aplicación actuará en

Existe parametrización sobre el sistema Vigía y el sistema PeopleSoft y ambas se encuentran documentadas. El sistema Safiro posee los documentos para llevar a cabo los títulos sin necesidad de parametria. En todos los casos existe un ambiente pre producción, que es la copia de producción antes de hacer la liberación de los sistemas, en donde el usuario realiza las pruebas, firma las hojas de trabajo o envía un mail con la conformidad. Posterior a esto se lleva a cabo la seguridad. Considerando que se han

La documentación remitida por el auditado respecto del proceso de parametrización no abarca a todos los fideicomisos o grupos de fideicomisos, ni su aprobación formal por parte de las gerencias usuarias, por lo que no invalida la evidencia recolectada por esta auditoría. Se mantiene la observación.


71

Observación Respuesta NAFISA Comentario AGN consecuencia. La GTP no realiza adaptaciones propias al software.

En este sentido se observa que la documentación de las parametrizaciones no se formaliza en todos los casos, lo cual impide un control concomitante (por parte del usuario) o expost (por parte de la auditoría). A modo de ejemplo, esto sucedió en la segunda etapa de migración de los fideicomisos al PeopleSoft. De este modo la GTP se hace responsable por los resultados de la parametrización (y el posterior comportamiento de la aplicación) cuando debe ser responsabilidad de usuario final interesado.

establecido grupos de fideicomisos con la misma estructura evitando tener que documentar cada uno por separado. Adjunto en el CD los documentos.

4.2.3. El impacto de un cambio en las reglas del negocio, un desarrollo nuevo o una modificación de un aplicativo puede generar una modificación en la infraestructura de TI que no esté formalmente contemplada, lo que implica un riesgo para el nivel de prestación del servicio de TI.

Para la adquisición y mantenimiento de la infraestructura tecnológica, las organizaciones deben contar con procesos para adquirir, implantar y actualizar la infraestructura tecnológica dentro de un enfoque planeado y de acuerdo con las estrategias tecnológicas convenidas.

De las tareas de campo realizadas se desprende que no está formalmente contemplado el impacto que pueda producir sobre la infraestructura tecnológica un nuevo fideicomiso o la administración del mismo, un desarrollo nuevo, un cambio importante en alguna de las aplicaciones existentes o una modificación de las reglas de negocio.

Complementariamente, los acuerdos de nivel de servicios con la empresa del grupo Nación Servicios S.A. -que suministra los recursos para el procesamiento de la

Existe la planificación de las necesidades de TI en concordancia con el Negocio. Esto ha sido documentado en cada plan de sistemas y sus presupuestos, como la implementación de todos los proyectos. Considerando que es una Pyme no fue necesario realizar mayores análisis dado que la plataforma actual soporta el negocio y su crecimiento.

Tal como se expone en la observación, el proveedor crítico de servicios de TI es Nación Servicios S.A., pero el contrato que lo vincula a NAFISA no cuenta con acuerdos de niveles de servicio que contemplen especificaciones respecto de necesidades de capacidad de procesamiento futura, que permitan atender en tiempo y forma


72

Observación Respuesta NAFISA Comentario AGN aplicación administrativa-contable PeopleSoft- no están determinados. Esto implica un riesgo adicional ya que, por tratarse de un servicio tercerizado, no se tiene control sobre la propia capacidad y riesgos de esta empresa para brindar el servicio.

requerimientos inesperados (como un cambio en las reglas del negocio, o la necesidad de dar de alta grandes proyectos simultáneamente). El riesgo de no contar con capacidad de procesamiento o infraestructura suficiente como para garantizar la adecuada prestación de los servicios de TI en esos casos, debe comunicarse claramente al Directorio de la compañía (por ejemplo, a través de los Planes de TI). Se mantiene la observación.

4.2.4. Los procedimientos administrativos relacionados con las aplicaciones administrativas/contables no se encuentran actualizados en su totalidad, por lo que la

Existen todos los procedimientos que forman

La información provista por el auditado


73

Observación Respuesta NAFISA Comentario AGN operatoria puede presentar ambigüedades.

Los procedimientos formalmente aprobados para la operatoria administrativa deben mencionar y contemplar la interacción con los aplicativos y cómo se debe actuar en cada situación, de modo de minimizar los actos discrecionales o las interpretaciones erróneas por parte de los usuarios.

En ese sentido, al momento de los trabajos de campo de esta auditoría se observó que algunos procedimientos de operatoria administrativa relacionada con los sistemas PeopleSoft y Safiro se encontraban desactualizados.

parte de los desarrollos realizados. Los mismos poseen un nivel de detalle que permiten comprender cada tarea/función. Son revisados y actualizados ante cada cambio. Adjunto en el CD los documentos

corresponde a procedimientos que se encuentran en proceso de validación interna, que podrán ser objeto de evaluación en una futura auditoría. Se mantiene la observación.

4.2.5. No existen controles específicos formales sobre el nivel de servicio de post-venta suministrado por los proveedores.

Las mejores prácticas en materia de adquisición de recursos de TI exigen la definición y ejecución de adecuados procedimientos de adquisición, la selección de proveedores, el ajuste de arreglos contractuales y la adquisición en sí para garantizar que la empresa cuente oportunamente con todos los recursos de TI necesarios.

En el contexto de la política adoptada por la GTP de tercerizar los eventuales cambios sobre los aplicativos también adquiridos a terceros, se verificó que las relaciones contractuales sólo se basan en cantidad de horas trabajadas. No hay determinaciones de parámetros de calidad del servicio.

La empresa a través de los contratos que son firmados en cada caso con los proveedores de TI, establece las pautas a cumplir. Es así que la gerencia de legales en conjunto con la gerencia de compras establece en la firma del mismo el nivel del servicio que se prestara. No existe para cada tipo de categoría una prestación establecida dado que la empresa contrata consultaría de sistemas, Asesores

El auditado no presenta documentación adicional que permita refutar la evidencia recolectada por esta auditoría. Por otra parte, el hecho de que el principal proveedor de NAFISA sea una empresa integrante del grupo BNA, no es un argumento oponible a la necesidad de contar con un acuerdo contractual preciso que permita el


74

Observación Respuesta NAFISA Comentario AGN impositivos, desarrollos de proyectos llave en mano, comunicaciones y su principal proveedor es una empresa socia del grupo BNA.

adecuado control del servicio brindado, del cual depende para su correcto funcionamiento. Se mantiene la observación

4.2.6. No existen procedimientos formales de control de cambios tanto para situaciones normales como de emergencia. Como consecuencia de esto, no se cuenta con la documentación apropiada para evaluar los resultados del cambio.

Todos los cambios, incluyendo el mantenimiento de emergencia y actualizaciones, relacionados con la infraestructura y las aplicaciones dentro del ambiente de producción, deben administrarse formal y controladamente. Los cambios se deben registrar, evaluar y autorizar previo a la implantación y contrastar contra los resultados planeados después de introducidos. Esto garantiza la reducción de riesgos que impactan negativamente en la estabilidad o integridad del ambiente de producción.

La GTP no dispone de un procedimiento formalizado de control de cambios. Estos se solicitan de manera informal a través de distintos medios, como el correo electrónico y otros. La falta de este marco de trabajo (un entorno controlado donde la participación de los usuarios relevantes en el proceso de aprobación del cambio sean responsables de última instancia de los efectos del mismo) transfiere la responsabilidad a la GTP cuyo rol debe ser apoyo técnico.

Existe un procedimiento formal para el control del cambio llamado PGSI- POlO Procedimiento de Control de Cambios en Aplicaciones. Adjunto en el CD los documentos.

La documentación remitida, por tratarse de hechos posteriores, será tenida en cuenta en futuras auditorías. Se mantiene la observación.


75

Observación Respuesta NAFISA Comentario AGN Tampoco está establecido un procedimiento formal para actuar en situaciones de emergencia que contemple tareas a ser cumplidas en forma diferida una vez solucionado el problema y la registración de pistas de auditoría. 4.2.7. Faltan procedimientos formales que aseguren que antes de pasar un aplicativo con cambios a producción, el usuario dé su conformidad de que funciona de acuerdo a sus expectativas y las del negocio. Como consecuencia de esto, puede que este proceso no cubra sus requerimientos.

Se requiere pruebas adecuadas en un ambiente dedicado con datos de prueba relevantes, definir la transición e instrucciones de migración, planear la liberación y la transición en sí al ambiente de producción, y revisar la post-implantación para garantizar el cumplimiento de las expectativas y resultados convenidos.

NAFISA no cuenta con un procedimiento formal para hacer las pruebas, que defina la documentación a generar y que contemple la conformidad final por parte del usuario sobre el resultado satisfactorio de la misma. En el mismo orden, tampoco cuenta con un procedimiento formal de autorización por parte del usuario final para el pasaje de los entornos de prueba a producción.

Existen procedimientos formales llamados PGSI- POll Procedimiento de Testeo de Aplicaciones y PGSI- P012 Procedimiento Implantación de Aplicaciones. Adjunto en el CD los documentos


4.3.1. No se ha formalizado un marco de trabajo para definir los niveles de servicios internos y externos con el usuario final. En consecuencia, algunas prestaciones pueden no satisfacer al usuario final o a las necesidades del negocio.

La GTP debe definir un marco de trabajo que promueva el establecimiento de acuerdos de nivel de servicio externos e internos con cada gerencia operativa, que formalicen los

Se ha considerado para el próximo año 2018 la implementación de un software de requerimientos. En el mismo año se presentara al directorio y a la Auditoría la



76

Observación Respuesta NAFISA Comentario AGN criterios de desempeño en virtud de los cuales se medirá su cantidad y calidad.

Falta formalizar el marco que contemple la creación del requerimiento por parte del usuario, el almacenamiento centralizado por parte la GTP, los acuerdos de niveles de servicios alcanzado y el proceso de monitoreo. De este modo el usuario final tiene un estándar de referencia para exigir calidad de prestación del servicio.

política y el procedimiento para su aprobación.

4.3.2. No se ha formalizado un marco de trabajo para controlar los servicios de los proveedores externos. Esto limita la posibilidad de exigir niveles de calidad de las prestaciones, acordes a las necesidades de la empresa.

El área de TI debe, de acuerdo a lo indicado por las buenas prácticas, implementar medidas de control orientadas a la revisión y al monitoreo de los contratos y procedimientos existentes para garantizar la eficacia y la eficiencia de las prestaciones de los proveedores. Los contratos con terceros proveedores de servicios deben incluir la especificación formal de acuerdos de nivel de servicio, identificando explícitamente los respectivos a seguridad -por ejemplo, mediante acuerdos de no divulgación- y al cumplimiento de los requisitos legales aplicables. Asimismo, en los contratos se debe aclarar expresamente que la propiedad de los datos corresponde a la organización contratante.

La responsabilidad de coordinar la relación entre los proveedores y los usuarios para asegurar la calidad y la transparencia recae sobre el gerente de Tecnología y Procesos, en tanto que el control del cumplimiento de los requerimientos legales y regulatorios está a

Como se ha detallado en punto 4.2.5: "La empresa a través de los contratos que son firmados en cada caso con los proveedores de TI, establece las pautas a cumplir. Es así que la gerencia de legales en conjunto con la gerencia de compras establece en la firma del mismo el nivel del servicio que se prestara. No existe para cada tipo de categoría una prestación establecida dado que la empresa contrata consultoría de sistemas, Asesores impositivos, desarrollos de proyectos llave

Ver comentario AGN a observación 4.2.5.


77

Observación Respuesta NAFISA Comentario AGN cargo de la Subgerencia de Compras, Contrataciones y Servicios Generales.

Los riesgos relacionados con la habilidad de los prestadores para mantener una efectiva entrega de servicios de forma segura y eficiente se contempla en los estudios previos a la firma de los contratos. En ese sentido, tanto para los servicios críticos de TI como para las principales aplicaciones, se optó por proveedores con probados antecedentes en el mercado. No obstante, los acuerdos de niveles de servicio están débilmente definidos (no se definen objetivos, penalidades, calidad de la respuesta, respuesta ante crisis, etc.), por lo que se complejiza la medición de la eficacia y la eficiencia de la prestación. Para ciertos servicios, incluso, tampoco se establecen condiciones de punibilidad por incumplimiento.

Las debilidades mencionadas ponen en riesgo la calidad de los servicios provistos por terceros.

en mano, comunicaciones y su principal proveedor es una empresa socia del grupo BNA".

4.3.3. No se ha formalizado un marco de trabajo para el planeamiento de las necesidades futuras de capacidad de la infraestructura de TI instalada, por lo que los requerimientos de ampliación pueden resultar tardíos o ejecutarse a destiempo.

En lo que respecta a la administración del desempeño y la capacidad de la infraestructura de TI, las mejores prácticas al respecto señalan la necesidad de implementar un proceso orientado a la recopilación de datos, al análisis y a la generación de informes sobre el

Se realiza antes de presentar el plan de sistemas y tecnología. Es así que si se sigue el plan de inversiones de infraestructura ha mejora en los últimos 3 años de manera considerable. No es necesario

El auditado no presenta documentación adicional que permita refutar la evidencia recolectada por esta auditoría. Se mantiene la observación.


78

Observación Respuesta NAFISA Comentario AGN desempeño de los recursos de TI, la dimensión de los sistemas de aplicación y la demanda de cargas de trabajo. Este proceso debe incluir el pronóstico de las necesidades futuras, almacenamiento y contingencias, y garantizar que los recursos de información que soportan los requerimientos de la empresa estén disponibles de manera continua.

En este sentido, de las tareas de campo realizadas surge que la GTP carece de un proceso de planeación para la revisión regular del desempeño y la capacidad de los recursos de TI. La situación descripta no permite asegurar la disponibilidad para procesar cargas de trabajo y minimizar el riesgo de interrupciones del servicio originados por falta de capacidad o degradación del desempeño, ni determinar las necesidades de capacidades futuras.

hacer un análisis de capacidad de la plataforma dado que poseemos infraestructura para el crecimiento del negocio sin tener ningún riesgo. Como ejemplo este año estamos analizando para el próximo presupuesto la adquisición de nuevas librerías de backup. Se ha solicitado a los proveedores alternativas de solución.

4.3.4. NAFISA carece de un proceso formal de revisión y prueba del plan de contingencia de servicios de TI. Producto de su desactualización, de presentarse una situación no contemplada, podría afectar la operatoria del negocio.

Se requiere desarrollar, mantener y probar planes para asegurar la continuidad de servicio. Al respecto, se debe almacenar respaldos fuera de las instalaciones y brindar entrenamiento periódico, de acuerdo a las mejores prácticas.

En ese sentido, la empresa ha desarrollado un marco de trabajo para mantener la continuidad de los servicios de TI. En efecto, se ha formado un grupo de trabajo integrado por el Gerente de Tecnología y Procesos, el Supervisor de Procesos y el Supervisor de Tecnología, que tienen a cargo el desarrollo y el mantenimiento del Plan de Contingencia. Este quipo ha mantenido reuniones con el objetivo de revisar las

Adjunto el plan de contingencia y las pruebas realizadas. Adjunto en el CD los documentos.



79

Observación Respuesta NAFISA Comentario AGN prioridades estratégicas, los procesos de la Empresa, los diferentes incidentes/escenarios y su impacto en el negocio, la definición de los sistemas críticos, el tablero de contingencias, las estrategias de recuperación, las acciones definidas, los tiempos de reacción y los errores detectados, de manera de introducir los cambios adecuados. Se contempla también una revisión en los casos donde se producen cambios en el negocio, o nuevos eventos o incidentes que lo impacten.

Dicho plan debería ser revisado periódicamente mediante pruebas de simulación en escenarios posibles. Sin embargo, no se han llevado a cabo revisiones posteriores al 15/1/2015. De la información entregada a esta auditoría sobre las pruebas realizadas, surge que no se individualizaron las personas que las llevaron a cabo.

La falta de actualización del plan y de documentación sobre las pruebas realizadas pone en riesgo la continuidad de las operaciones. 4.3.5 RESERVADO - COLEGIO DE AUDITORES GENERALES – SESIÓN DEL ______/______/______


80

Observación Respuesta NAFISA Comentario AGN



81




82




83




84


RESERVADO - COLEGIO DE AUDITORES GENERALES – SESIÓN DEL ______/______/______ 4.3.6. No se conoce la incidencia de los costos de TI que consumen las áreas sustantivas de la empresa. Esto deriva en eventuales dificultades para determinar la entrega de valor de TI en cada caso y su contribución a los objetivos del negocio.

La mejores prácticas del sector sugieren implementar un sistema de imputación de costos que garantice que se los registre, calcule y asigne de acuerdo con el nivel de detalle que debe incluir la distribución de costos de TI a los usuarios de los servicios.

De acuerdo a la evidencia recolectada, la empresa carece de un enfoque orientado a la

El Directorio de la compañía considera que no es necesario dividir el costo de IT por gerencia/área.

Ver comentario a observación 4.1.5.


85

Observación Respuesta NAFISA Comentario AGN administración por centros de costos de los recursos de TI, que permita el control de los recursos que consume cada gerencia. En efecto, la asignación presupuestaria de los recursos de TI no está imputada a las áreas usuarias de los servicios de TI, sino a la GTP.

La falta de información sobre la distribución de costos de TI entre las áreas dificulta la correcta asignación de recursos y la medición de su contribución a los objetivos organizacionales. 4.3.7. Faltan acciones articuladas entre la GTP y la Coordinación de RRHH para asegurar que las políticas y directivas de TI son comprendidas por los miembros de la empresa. La situación descripta deriva en el riesgo que algunos usuarios finales desconozcan su importancia para los objetivos organizacionales.

Se debe establecer y mantener un plan integral de capacitación y desarrollo. Para ello, se requieren identificar las necesidades de entrenamiento de cada área de TI. El proceso debe incluir la definición y ejecución de una estrategia para llevar a cabo un entrenamiento efectivo y para medir los resultados.

La empresa realiza una actividad sistemática de capacitación de su personal, mediante el desarrollo de un plan, surgido de las necesidades que se identifiquen en el relevamiento anual, dentro de una política de formación y desarrollo de su capital humano. La Gerencia de Recursos Humanos del Grupo Banco Nación es la responsable de elaborar y administrar el Plan Anual de Capacitación con la colaboración de la Coordinación de RRHH de la NAFISA la cual reporta funcionalmente a la primera, como así también de llevar a cabo la comunicación del mismo, su nivel de avance y cumplimiento, a los

En función del relevamiento de las necesidades de capacitación de cada área de Nación Fideicomisos que se encuentra realizando esta Subgerencia de Recursos Humanos para el año 2017, procedimos a recopilar los requerimientos realizados por la Gerencia de Tecnología y Procesos y la Gerencia de Planificación Estratégica y Control de Gestión, en relación al Oficial de Seguridad de la Información para programar actividades



86

Observación Respuesta NAFISA Comentario AGN distintos sectores a través del Departamento de Capacitación.

Faltan acciones de concientización sobre las políticas de TI tales como la seguridad de la información, que procuren un entendimiento por parte de los usuarios involucrados de las necesidades de aplicarlas en función de los objetivos estratégicos del negocio.

con el fin de llevarlos a cabo. Asimismo, en un trabajo en conjunto con el Oficial de Seguridad de la Información hemos decidido llevar a cabo un plan de concientización sobre las políticas de Tecnología Informática para el personal de Nación Fideicomisos S.A. El mismo se desarrollará en su totalidad de manera presencial y se estima finalizar con la capacitación del 100% de la nómina al 30/09/2017.

4.3.8. El tratamiento de incidentes y problemas no está debidamente formalizado, lo que dificulta su control, seguimiento y satisfacción del usuario final.

Responder de manera oportuna y efectiva a las consultas de los usuarios de TI requiere de una mesa de servicio y de un proceso de administración de incidentes que incluya el registro, escalamiento de incidentes, análisis de tendencia, análisis causa-raíz y resolución. Los beneficios incluyen el incremento en la productividad gracias a la resolución rápida de consultas.

La compañía no posee una herramienta de incidentes. Nos encontramos en proceso de análisis de alternativas provistas por el mercado.



87

Observación Respuesta NAFISA Comentario AGN En NAFISA, ante la presencia de un incidente o problema que deba ser solucionado por la GTP, el usuario final se comunica telefónicamente o envía un correo electrónico a una dirección genérica definida a tal fin para el área de Supervisión de Tecnología, quienes se encargan del requerimiento.

La excepción a la formulación precedente son los casos referidos al aplicativo contable PeopleSoft que tienen una dirección de correo electrónico especial. En este caso, dependiendo del incidente o problema, puede resolverse internamente o ser derivado a la empresa del grupo Nación Servicios S.A. para su resolución.

No existe un procedimiento formal para el tratamiento de incidentes o problemas que permita su clara identificación, la priorización, escalamientos, seguimiento y medición del nivel de satisfacción del usuario respecto de la solución final adoptada. Tampoco se ha creado una base de conocimientos con las resoluciones de los incidentes o problemas más comunes que permitan responder con una solución estandarizada a estas situaciones. 4.3.9. La administración de los bienes tangibles e intangibles no está debidamente formalizada ni centralizada, lo que dificulta su identificación, valuación y localización.

De acuerdo a las mejores prácticas, se deben formular y documentar los procedimientos que identifiquen y registren la totalidad de los bienes tangibles e intangibles de TI –lo que incluye inventarios de licencias de software adquirido o de propia producción–, con su ubicación física, la configuración inicial, el establecimiento de normas que prohíban movimientos y modificaciones no autorizadas, la verificación y auditoría de la información de la configuración y la actualización del repositorio de configuración

Existe un inventario de hardware y software administrado por la GT.

El auditado no brinda evidencia que contradiga lo manifestado por esta auditoría (para mayores datos, se aclara que el auditado cuenta con diez archivos de inventario). Se mantiene la observación.


88

Observación Respuesta NAFISA Comentario AGN conforme se necesite.

De la información recibida surge que no existe un inventario único de los bienes tangibles e intangibles de TI. Al cierre de tareas de campo, la identificación y mantenimiento de los elementos de configuración se gestionan de manera informal, y no están integradas a los procedimientos de gestión de cambios, incidentes y problemas. Consecuentemente, no es posible rastrear los cambios realizados y dificulta la trazabilidad de la configuración y su impacto potencial en términos de incidentes ocurridos a partir de cambios que se hayan realizado. 4.3.10. No se realizan pruebas para asegurar que la restauración de la información respaldada (backups) funciona adecuadamente. Ello expone a la organización al riesgo de que los datos no estén disponibles en tiempo y forma ante una situación de contingencia, lo que pone en riesgo la continuidad del servicio.

Las buenas prácticas indican que el área de TI debe establecer y mantener una combinación eficaz de controles generales y de aplicación sobre las operaciones de TI para asegurar que los datos permanezcan durante su entrada, actualización y almacenamiento completos, precisos y válidos. El proceso de administración de información también incluye el establecimiento de procedimientos efectivos para administrar la librería de medios de soporte para el respaldo y la recuperación de datos, así como su eliminación apropiada.

El marco de trabajo de administración de soportes para respaldo de datos de la empresa está integrado al Plan de Continuidad de Servicios. La organización como integrante del

Existe un plan de pruebas de recupero aprobado por el Directorio de NAFISA. Se llevó a cabo la primera tanda de pruebas en el mes de abril de 2017. Adjunto documentación y evidencia.

Vista la documentación provista por el auditado, por tratarse de hechos posteriores, serán objeto de evaluación en futuras auditorías. Se mantiene la observación.


89

Observación Respuesta NAFISA Comentario AGN Grupo Nación cuenta con un sitio de procesamiento alternativo en otra empresa perteneciente al grupo especializada en servicios informáticos: Nación Servicios S.A. (NSSA).

Los respaldos de información se llevan a cabo en condiciones totalmente automáticas (robotizadas), bajo los requerimientos de seguridad física establecidos y fuera de los horarios de trabajo, bajo el siguiente esquema:

Resguardo Total. Se resguardan la totalidad de los datos de la compañía.

El último día hábil de cada semana (resguardo total semanal).

El último día hábil del mes (resguardo total mensual).

En ambos casos se hacen dos copias. Una es conservada en NAFISA y la otra en NSSA. Los resguardos mensuales se guardan por diez años.

Resguardo Incremental. Se guardan las novedades producidas desde el último resguardo total hasta ese momento, en dispositivos ignífugos en el Centro de Procesamiento de NAFISA.

En este sentido, y en relación a lo observado en el punto 4.3.4 Garantía de Continuidad del Servicio, se observa la falta de un procedimiento formal de revisión y prueba en intervalos previamente definidos, para asegurar que los resguardos responden a las necesidades presentes.


90

Observación Respuesta NAFISA Comentario AGN 4.3.11. Faltan medidas para asegurar la correcta instalación física del Data Center. Esto expone a la empresa a no disponer de los elementos suficientes para prevenir, evitar o subsanar incidentes.

La protección del equipamiento y del personal requiere de instalaciones bien diseñadas y administradas, con controles ambientales y físicos adecuados cuya revisión se efectúe periódicamente a fin de determinar su correcto funcionamiento. Sin embargo, se detectaron las siguientes debilidades en el Data Center:

• La puerta de acceso no es anti pánico.

• Los detectores de humo son insuficientes: Existe sólo uno, por lo que si este fallara, no se detectaría un incidente. Por otra parte, faltan detectores de humo debajo del piso técnico.

• Los servidores no están conectados de forma correcta bajo una nomenclatura técnica. Los cables no están rotulados ni organizados lo que dificulta su mantenimiento.

• Los dos matafuegos con los que cuenta no son adecuados para componentes electrónicos y se encontraban en el piso, lo que dificulta su manipulación para entrar en operación.

• Faltan: i) luces de emergencia, ii) planilla de acceso para proveedores y visitas, iii) cámara de inspección dentro de la sala de servidores y iv) termómetro para medir la temperatura ambiente.

Los cables han sido ordenados y se presenta la evidencia. Los mismos se encontraban sin su orden debido a que la organización presento durante los meses de enero 2016 hasta junio 2016 nuevos esquemas de organización y los mismos han afectado el orden de las VLAN. Se ha realizado el trabajo de mejora de calidad del producto en los matafuegos (Halon) y en su instalación. Se ha instalado el producto netbozt (la cámara de inspección interna, planilla de acceso a proveedores y visitas, termómetro de temperatura, Ups configurada en red con monitoreo y envió de mail).

Vista la documentación provista por el auditado, por tratarse de hechos posteriores, serán objeto de evaluación en futuras auditoría. Se mantiene la observación.


91

Observación Respuesta NAFISA Comentario AGN • Las UPS no están configuradas para enviar un correo electrónico ante un corte de energía. 4.3.12. No se ha formalizado el procedimiento de apagado y encendido de los equipos para un caso de reinicio. Esto puede generar problemas de conectividad con otros equipos activos, y consecuentemente producir errores.

Un procesamiento completo y apropiado de la información requiere su efectiva administración y el mantenimiento del hardware involucrado que incluya la definición de políticas y procedimientos de operación para una administración efectiva del procesamiento programado, protección de datos de salida sensitivos, monitoreo de infraestructura y mantenimiento preventivo de hardware.

Si bien los procedimientos de operaciones están documentados formalmente, lo que reduce el riesgo para la continuidad de las operaciones y propende a la independencia de individuos clave, no se especifica el orden de encendido de los servidores y equipos restantes de la red para un caso de reinicio.

Se procederá a desarrollarlo teniendo en cuenta el siguiente esquema: Procedimiento de apagado y encendido general del CPO. Procedimiento de apagado y encendido de los servicios. Procedimiento de apagado y encendido de las UPS. Procedimiento de apagado y encendido del sistema de Aire acondicionado Procedimiento de apagado y encendido del sistema de monitoreo. OBJETIVO: Establecer un instructivo para el desarrollo de la secuencia de apagado y encendido de los servicios del centro de datos. Teniendo en cuanta los parámetros para realizar estas



92

Observación Respuesta NAFISA Comentario AGN operaciones de forma correcta y eficiente, optimizando la vida útil de los mismos. ALCANCE: El instructivo comprende las actividades desarrolladas en la secuencia de apagado y encendido de los servicios del centro de datos. El documento estará enfocado al eficaz desarrollo de actividades mediante una descripción clara y sencilla de la forma correcta de ejecutarlas.

4.4.1. NAFISA carece de un marco de trabajo para el monitoreo de la infraestructura de TI que permita detectar anomalías y tomar acciones correctivas a tiempo.

Una efectiva administración del desempeño de TI requiere un proceso de monitoreo definido formalmente que incluya la definición de indicadores de desempeño relevantes, reportes sistemáticos y oportunos, como así también tomar medidas expeditivas cuando existan desviaciones. El monitoreo se requiere para garantizar que se haga lo correcto y que ello esté de acuerdo con el conjunto de direcciones y políticas.

De la evaluación realizada surge que la empresa no cuenta con un marco de trabajo de

Se ha adquirido e instalado el producto Solard Winds. Existen otros productos instalados para la medición de eventos (event manager, lanware).



93

Observación Respuesta NAFISA Comentario AGN monitoreo general que defina los objetivos e indicadores de desempeño, el alcance, qué datos se van a recolectar, la metodología y el proceso a seguir para medir la solución y la entrega de servicios de TI. La falencia detectada dificulta poder comparar en forma periódica el desempeño contra las metas, realizar análisis de la causa raíz e iniciar medidas correctivas para resolver las causas subyacentes ante la existencia de desvíos. 4.4.2. Los controles internos de TI no son lo suficientemente robustos producto de la falta de personal de TI, de la desagregación de funciones y de la estructura funcional de Seguridad de la Información. Esto permite acciones discrecionales por parte de funcionarios clave.

Establecer un proceso de control interno efectivo para TI requiere de un proceso definido formalmente que incluya el monitoreo y el reporte de las excepciones de control, los resultados de las auto-evaluaciones y las revisiones realizadas por terceros. Un beneficio clave del monitoreo del control interno es proporcionar seguridad, eficiencia y eficacia respecto a las operaciones, así como el cumplimiento de las leyes y regulaciones aplicables.

En su carácter de empresa controlada del Grupo Nación, el marco de trabajo del ambiente de control interno de NAFISA se monitorea de forma continua a través de dos auditorías semestrales que lleva a cabo el Departamento de Auditorías de Empresas Controladas dependiente de la Subgerencia General de Auditoría General del BNA (SGAGBNA).También reciben auditorías de la Sindicatura General de la Nación (que le asignó un nivel de madurez 2 –bueno-) y otras auditorías externas. Asimismo, la

El Directorio de NAFISA considera adecuada estructura y suficiente para llevar a cabo los servicios.

Las buenas prácticas en la materia (CobIt 4.1 – PO7 y ME2) indican que el control interno debe ser robusto para proteger el logro de los objetivos de TI y cumplir las leyes y reglamentos relacionados con TI. Para ello debe contar con personal capacitado y suficiente. Por otra parte, el auditado no suministra documentación respaldatoria (acta) que dé cuenta de la opinión del Directorio en el sentido manifestado en la


94

Observación Respuesta NAFISA Comentario AGN operatoria de cada fideicomiso es auditada por auditorías externas.

En relación al estado de los controles internos de los proveedores de servicios, y dado que el más importante es una empresa del propio Grupo (Nación Servicios S.A.), es auditada también por la SGAGBNA.

No obstante, se verifican debilidades en los controles, algunas de las cuales ya han sido expuestas en este informe. Entre ellas vale destacar: que la estructura organizacional de la GTP actual es insuficiente para llevar a cabo todas las funciones requeridas con un adecuado control interno, existe dependencia de individuos clave , no se ha establecido un formalmente un Sistema de Aseguramiento de la Calidad , no se han formalizado estudios de riesgos asociados a la TI , no existe un marco de trabajo formalizado para la administración de proyectos , para controlar los niveles de servicios internos y externos , para el tratamiento de incidentes y problemas y de monitoreo de la infraestructura de TI.

Además, no se ha definido un proceso para auto-evaluaciones y revisiones de aseguramiento del control interno, con roles definidos para los responsables de la administración del negocio y de TI. Como consecuencia de esto, persisten debilidades observadas por auditorías externas e internas que al cierre de tareas de campo no habían sido corregidas, como la implementación de pistas de auditoría en algunas bases de datos consideradas críticas, entre otras.

Por último, se ha evidenciado que no existen políticas de evaluación de riesgos y por lo tanto no están definidos los procedimientos para el manejo y mitigación de riesgos específicos de procesos.

respuesta. Se mantiene la observación.


95

Observación Respuesta NAFISA Comentario AGN 4.4.3. Se observaron debilidades en el cumplimiento de los siguientes marcos normativos: • Resolución 48/05 de SIGEN "Normas de Control Interno para Tecnología de la

Información para el Sector Público Nacional”. Ver detalles en ANEXO I – Evaluación del cumplimiento de la Res. 48/05 SIGEN “Pautas de control Interno de TI”

• Ley 26.653 “Accesibilidad de la Información de las Páginas Web". Para más detalles ver ANEXO II “Análisis de página Web institucional”

En función de la observación efectuada con relación al análisis de la página web institucional de Nación Fideicomisos S.A., procedimos a realizar la contratación de la firma "Ferraro Camacho y Asociados" a los fines de que analice las debilidades de la página actualmente en uso, las no conformidades indicadas por esa Auditoría General de la Nación, las observaciones de la Auditoría Interna y todos los requerimientos de Directorio y de los diferentes sectores de la Empresa. Se estima recibir el informe final el día 02 de junio que será elevado a conocimiento del Directorio a los fines de que adopte las medidas



96

Observación Respuesta NAFISA Comentario AGN pertinentes.


97

ANEXO III – “Análisis de la página Web institucional”

El análisis de la página web institucional se realizó en base a dos documentos rectores para

la programación, diseño y contenido de sitios web de organismos y empresas estatales.

Los documentos utilizados son:

1) ONTI, Estándares Tecnológicos para la Administración Pública (ETAP).

Modelo 53 – Pautas para Sitios y Portales de Internet para la Administración

Pública Nacional.

2) Disposición Nº 2/2014 de la ONTI en cumplimiento de la Ley 26.653 - de acceso a

la información pública - Ley De Accesibilidad De La Información En Las Páginas

Web.

Observaciones: (Incumplimientos a la Disposición Nº 2/2014 ONTI)

• En ningún lugar de la página web se encuentra disponible la posibilidad de

modificar los colores de primer plano y fondo.

• En muchos casos el ancho de línea excede los 80 caracteres.

• El espacio entre líneas no es de al menos 1.5 y tampoco permite al usuario la

posibilidad de configurarlo.

• Si bien el texto es escalable hasta un 200 por ciento sin que el usuario necesite barra

de scroll utilizando las funciones de zoom de los navegadores, la página no

presenta la posibilidad al usuario de escalar el texto sin ayuda técnica.

• La página no proporciona al usuario información sobre la ubicación en la que se

encuentra.

• No se proporcionan en la página web del organismo ningún mecanismo para

identificar definiciones específicas de palabras o frases empleadas de manera

inusual (incluyendo modismos y jerga).


98

• No se proporcionan en el sitio web del organismo ningún mecanismo para

identificar el significado de las abreviaturas.

Observaciones: (Incumplimientos Modelo 53 – ETAPS - ONTI)

• Ni en el organigrama entregado por la empresa, ni en la sección de autoridades de

la página web del organismo aparece definido un “Administrador Web” o similar.

• En la página no se resaltan las palabras importantes ni se establecen enlaces a

palabras que requieran de una adenda explicativa.

• No se explicitan los diferentes modos en que se puede acceder a un documento o se

lo puede descargar.

• Desde la página no se propicia la interacción con los usuarios ni se pone a

disposición de los mismos un libro de quejas ni de sugerencias

• En el encabezado del Sitio no está presente el nombre del país ni los símbolos

oficiales.

• En el menú principal, enlace “¿Quiénes Somos?”, no figuran todas las autoridades

principales. De las autoridades que figuran no se han cargado los curriculum vitae.

• No se ha publicado el organigrama completo de la estructura jerárquica, ni las

misiones y funciones. Tampoco se ha publicado la normativa vigente que se asocia

a la institución.

• No se presentan en la página web los informes de gestión.

• Los enlaces a la reglamentación y legislación que encuadra su accionar se

encuentran caídos o mal vinculados.

• No se indica el estado y cronograma de compras y contrataciones consignando a

qué sitio se podrá remitir para conocer la normativa de contrataciones del Estado.

• No se publica la política de ingreso de personal y vacantes disponibles.

• No se ha incorporado el listado completo de los proyectos y programas en curso en

la institución.


99

• No se han publicado las publicaciones y/o la documentación pública referidas a las

áreas del organismo.

• No se han publicado las políticas de Estado vigentes y de dominio público en las

que el organismo sea parte.

• No se han publicado el marco normativo vigente, incluyendo leyes, decretos,

resoluciones, códigos, etc., de interés para los ciudadanos, empresas u otras

instituciones, o aquellos en los cuales el organismo tenga alguna incumbencia.

• No se ha publicado un apartado o sección donde se indiquen las novedades.

• No está publicado el presupuesto del ente.

• No se han publicado las direcciones de correo electrónico de: responsable del sitio

y cuentas específicas de responsables de áreas relativas a los temas publicados,

tampoco se ha publicado el contacto con webmaster para temas técnicos.

• Son insuficientes los datos de contacto, como por ejemplo los horarios de atención.

• No se han configurado barras de navegación adicionales para cada sección con sus

ítems principales.

• La página no dispone de un buscador de contenido.

• No hay publicado en la web un mapa del sitio.

• No se presenta en el Sitio la política de privacidad de uso de la información y

marco legal.

• El sitio de Internet no presenta versiones parciales ni globales en lenguas

extranjeras.

• No se ha explicitado la responsabilidad que el organismo tiene sobre los

documentos o contenidos publicados ni las cuestiones asociadas con el empleo de

información del sitio por los usuarios, como así también la utilización de

información generada por terceras partes (este caso corresponde a enlaces hacia

documentación proporcionada por otros organismos o terceras partes).

• La página no brinda un servicio de Newsletter.


100

Recomendaciones:

• Incorporar y definir en el organigrama del organismo y en la página web al

“Administrador Web” o similar, haciendo referencia a la persona responsable de la

administración de la página web.

• Resaltar en la página las palabras importantes y establecer enlaces para las palabras

que necesitan una adenda explicativa.

• Explicitar los diferentes modos en los que se puede acceder a un documento o se lo

puede descargar.

• Propiciar la interacción con los usuarios mediante mecanismos como encuestas,

chats, foros, etc.

• Poner a disposición de los usuarios un libro de quejas y sugerencias.

• Incorporar en el encabezado del Sitio el nombre del país y los símbolos oficiales.

• Publicar todas las autoridades principales (alcanzando Secretarías, Subsecretarías y

Direcciones Nacionales, o equivalentes del mismo nivel jerárquico) con su C.V.

actualizado.

• Presentar el organigrama con toda la estructura jerárquica del organismo

(alcanzando Secretarías, Subsecretarías y Direcciones Nacionales, o equivalentes

del mismo nivel jerárquico), incluyendo misiones y funciones, y la normativa

vigente a ellas asociada, con enlace a cada área, que incluya las autoridades,

teléfono, y dirección electrónica del contacto designado.

• Agregar al Sitio Web los informes de gestión de la institución.

• Reparar o incluir (según sea el caso) los enlaces a la reglamentación y legislación

que encuadra su accionar.

• En caso de poseer acuerdos con otros organismos (nacionales e internacionales):

deberá contener un enlace hacia la información sobre los acuerdos con otros

organismos.


101

• Indicar el estado y cronograma de compras y contrataciones consignando a qué sitio

se podrá remitir para conocer la normativa de contrataciones del Estado.

• Publicar la política de ingreso de personal y vacantes disponibles.

• Incorporar el listado completo de los proyectos y programas en curso en la

institución.

• Incorporar a la web de la empresa las publicaciones y/o la documentación pública

referidas a las áreas del organismo.

• Publicar las políticas de Estado vigentes y de dominio público en las que el

organismo sea parte.

• Publicar el marco normativo vigente, incluyendo leyes, decretos, resoluciones,

códigos, etc., de interés para los ciudadanos, empresas u otras instituciones, o

aquellos en los cuales el organismo tenga alguna incumbencia.

• Generar un espacio en la página donde se indiquen las novedades.

• Publicar el presupuesto del ente.

• Publicar las direcciones de correo electrónico de: responsable del sitio y cuentas

específicas de responsables de áreas relativas a los temas publicados, tampoco se ha

publicado el contacto con webmaster para temas técnicos.

• Incorporar en la página de contactos los horarios de atención y todo otro dato que

facilite el acceso físico del usuario. En el caso de la localización geográfica, pueden

realizarse acuerdos para que sitios de software proporcionen mapas de localización

• Incorporar barras de navegación adicionales para cada sección que contengan sus

ítems principales. Un buscador de contenido y un mapa del sitio.

• Publicar la política de privacidad de uso de la información y el marco legal.

• El sitio de Internet debe presentar versiones parciales o globales en lenguas

extranjeras, por ejemplo: inglés/portugués según el tipo de información y las

características de los usuarios (frecuentes o a los que se pretenda llegar). Las


102

indicaciones sobre la opción de idiomas debe aparecer desde la página principal

para facilitar su acceso.

• La responsabilidad que el organismo tiene sobre los documentos o contenidos

publicados debe estar claramente explicitada en forma apropiada. De igual forma,

se deben explicitar las cuestiones asociadas con el empleo de información del sitio

por los usuarios, como así también la utilización de información generada por

terceras partes (este caso corresponde a enlaces hacia documentación

proporcionada por otros organismos o terceras partes).

• Incorporar un servicio de Newsletter: permite que los usuarios reciban en su casilla

de correo mensajes periódicos con información relevante sobre una temática

especial, por ejemplo: nueva documentación, eventos, etc. Con este sistema el

usuario no necesita visitar periódicamente el sitio ya que las novedades le son

informadas continuamente vía correo electrónico

• Incluir en la página web la posibilidad de que el usuario pueda configurar la escala

del texto para que pueda aumentarse al menos hasta el 200 por ciento sin la

necesidad de barra de scroll y aumentar o disminuir el espaciado entre líneas.

• Dar la opción al usuario de poder modificar los colores de fondo y primer plano.

• Reestructurar el texto en párrafos cuyo ancho de línea no exceda los 80 caracteres

• Incorporar a la colección de páginas información sobre la ubicación (ruta de

navegación) en la que se encuentra el usuario

• Incorporar a la página web algún mecanismo que permita identificar las

definiciones específicas o frases utilizadas de manera inusual, asimismo

proporcionar un mecanismo para identificar el significado de las abreviaturas.


103

ANEXO IV – Evaluación del cumplimiento de la Res. 48/05 SIGEN “Pautas de

control Interno de TI”

Se detectaron incumplimientos parciales o totales en los puntos de la normativa, de

acuerdo al siguiente detalle:

1. Organización Informática

1.4. La asignación de responsabilidades debe garantizar una adecuada separación de

funciones, que fomente el control por oposición de intereses.

4. Políticas y Procedimientos

4.1. La unidad de TI debe desarrollar, documentar y comunicar políticas y

procedimientos respecto de las actividades relacionadas con la TI. Tales políticas y

procedimientos deben mantenerse actualizados. Deben especificar las tareas y

controles a realizar en los distintos procesos, así como los responsables y las sanciones

disciplinarias asociadas con su incumplimiento.

7. Desarrollo, Mantenimiento o Adquisición de Software de Aplicación

7.3. El criterio para el establecimiento de prioridades entre los distintos

requerimientos recibidos por la unidad de TI.

7.4. El tratamiento de solicitudes de emergencia, incluyendo la autorización del

responsable de la unidad de TI, el registro y monitoreo de las tareas realizadas

10. Servicios de Procesamiento y/o Soporte Prestados por Terceros

10.2. La dirección de la organización debe definir procedimientos específicos para

garantizar que cada vez que se implementen relaciones con proveedores externos de

servicios, se defina y se acuerde un contrato formal antes de que comience el trabajo,

el cual debe identificar claramente los objetivos a alcanzar y servicios a proveer, las

obligaciones de ambas partes, los métodos y responsables de las interacciones y las

políticas de la organización que deben ser respetadas por el tercero. Tales

procedimientos deben asegurar el cumplimiento de la normativa para las


104

Contrataciones aplicables.

10.3. Los contratos con terceros proveedores de servicios deben incluir la

especificación formal de acuerdos de nivel de servicio, identificando explícitamente

los respectivos a seguridad -por ejemplo los acuerdos de no divulgación- y al

cumplimiento de los requisitos legales aplicables. Se debe aclarar expresamente que la

propiedad de los datos corresponde a la organización contratante.

11. Servicios de Internet/Extranet/Intranet

11.1. El contenido y la estructura del sitio web de la organización deben basarse en un

modelo aprobado por las autoridades, en el que estén documentados los siguientes

aspectos: contenido y estructura del sitio web, fuentes de ingreso de datos, frecuencia

de las actualizaciones, necesidades de disponibilidad del sitio, recursos afectados,

responsable de los contenidos y todo otro dato atinente al contenido y funcionamiento

del sitio.38

12. Monitoreo de los Procesos

12.1. Se deben definir indicadores de desempeño para monitorear la gestión y las

excepciones de las actividades de TI.

12.2. La unidad de TI debe presentar informes periódicos de gestión a la dirección de

la organización para que esta supervise el cumplimiento de los objetivos planteados.

38Para más detalles ver ANEXO III “Análisis de página Web institucional”

Documents

AUDITORÍA GENERAL DE LA NACIÓN - agn.gov.ar · Evaluación de la Tecnología Informática en . Nación Fideicomisos Sociedad Anónima. ... entre otras carencias de funcionalidades,