GERENCIA PLANIFICACIÓN Y PROYECTOS ESPECIALES Dto. Auditoría Informática Informe aprobado por Resolución AGN 193/13 OBJETO DE AUDITORÍA Gestión informática realizada en la DGI de la AFIP. AUTORIDADES AGN Presidente Dr. Leandro O. Despouy Auditores Generales Dr. Vicente Brusca Dra. Vilma Castillo Dr. Francisco Fernández CPN Oscar Lamberto Dr. Alejandro Nieva Dr. Horacio F. Pernasetti AGN Hipólito Yrigoyen 1236 (C1086AAV) CABA – Argentina Tel.: (54 11) 4124-3700 Fax: (54 11) 4124-3775 informacion@agn.gov.ar GESTIÓN DE LA TECNOLOGÍA DE LA INFORMACIÓN (TI) Dirección General Impositiva (DGI)ADMINISTRACIÓN FEDERAL DE INGRESOS PÚBLICOS (AFIP) ACLARACIONES PREVIAS CONCLUSIONES La Administración Nacional de Aduanas (ANA) y la Dirección General Impositiva (DGI) fueron fusionadas en la Administración Federal de Ingresos Públicos (AFIP), que pasó a ser un ente autárquico en el ámbito del entonces Ministerio de Economía y Obras y Servicios Públicos, con las competencias, facultades, derechos y obligaciones de las entidades que se fusionaron por ese acto (Dto. 1156/96, art. 1º). El proyecto de auditoría estuvo enfocado en el área correspondiente a la Dirección General Impositiva, no fue una auditoría de seguimiento al aprobado por Res. AGN 165/04. La Dirección General de los Recursos de la Seguridad Social (DGRSS) integra también la AFIP, y se encarga de recaudar y fiscalizar los fondos que financian las prestaciones de la Seguridad Social en la República Argentina. La DGI tiene a su cargo la aplicación, percepción, recaudación y fiscalización de tributos interiores. De todas maneras, dados los sectores que proveen servicios informáticos tanto a la DGI como a la Dirección General de Aduanas y a la Dirección Nacional de Seguridad Social, fueron relevadas casi todas las áreas. En este contexto, pudo observarse una evolución del Organismo en lo atinente a TI en sintonía con las recomendaciones que figuran en el informe de 2004. Para el estudio realizado, la madurez de la TI en el Organismo se encuentra entre los niveles “Repetible” y “Proceso definido” (ver “Niveles del Modelo Genérico de Madurez”, abajo). El proceso de integración de las tres Direcciones Generales sustantivas (Impositiva, Aduanas y Seguridad Social) está inconcluso, por lo que se presentan los siguientes inconvenientes: • Conviven distintas modalidades de contratación y convenios colectivos de trabajo, lo cual causa inconvenientes administrativos y funcionales en las áreas de TI que prestan servicios a distintas Direcciones Generales. • Hay casos en que se depende de individuos clave en tareas sensitivas. • Variedad de plataformas de hardware y software que producen redundancia de información y exceso de carga para su mantenimiento y actualización. Además, la gestión de TI carece de una visión general e integradora, que se evidencia con la ausencia de: • Un plan estratégico de TI, con sus correspondientes planes tácticos, alineados con el Plan Estratégico de la Organización. • Un plan de Aseguramiento de la Calidad, que permita medir la eficacia y la eficiencia de los servicios brindados por TI a los objetivos estratégicos del Organismo. • Un marco de trabajo de Administración de Proyectos centralizado que permita administrar el conjunto de proyectos vigentes y futuros en un ambiente controlado. • Un marco de trabajo de Administración de Riesgos que permita gestionarlos con su correspondiente formalización del curso de acción a tomar en caso de presencia de cada evento, el riesgo residual o el riesgo asumido, si lo hubiere. • Integración entre las Direcciones de Capacitación y las Direcciones de TI. • Un Plan de Contingencia que garantice la continuidad del servicio. Es necesario que existan alternativas de procesamiento para el caso de colapso del centro de cómputos principal. • Un diccionario de datos único para todo el Organismo. • Acuerdos de nivel de servicio definidos para los convenios que implican intercambio de datos con otros organismos. -Hay un problema funcional con áreas que prestan servicios de TI en forma transversal a distintas direcciones y que tienen el mismo nivel que las áreas usuarias; esto dificulta la aplicación de las directivas de TI. Niveles del Modelo Genérico de Madurez 0 – No conforma. Falta total de procesos reconocibles. La organización no reconoce que existe un tema a ser tenido en cuenta. 1 – Inicial. El organismo reconoce la existencia del tema y la necesidad de atenderlo. Sin embargo, no hay procesos estandarizados sino aproximaciones ad hoc que suelen ser aplicadas sobre una base individual o caso por caso. La administración aparece como desorganizada. 2 – Repetible. Los procesos han evolucionado hasta la etapa en la cual procedimientos similares son ejecutados por distintas personas que desarrollan las mismas tareas. No hay entrenamiento formal ni comunicación de procedimientos estándar y la responsabilidad es asumida por cada individuo. Hay un alto grado de confianza en el conocimiento de los individuos y los errores son probables. 3 – Proceso definido. Los procedimientos han sido estandarizados, documentados y comunicados vía entrenamiento. Sin embargo, es responsabilidad de los individuos cumplir con estos procesos y es improbable que se detecten las desviaciones. Los procedimientos en sí mismos no son sofisticados, pero son la formalización de prácticas existentes. 4 – Administrado. Es posible monitorear y medir el cumplimiento de los procedimientos y accionar cuando los procesos parecen no estar trabajando adecuadamente. Los procesos están bajo mejora constante y proveen una práctica correcta. El uso de herramientas y de automatización es limitado o fragmentario. 5 – Optimizado. Los procesos han sido corregidos al nivel de la mejor práctica, con base en los resultados de la mejora continua y de la movilización con otros organismos. La TI es usada de forma integrada para automatizar el flujo de trabajo, proveer herramientas para mejorar la calidad y la eficacia y hacer que la organización se adapte rápidamente a los cambios.