PLANIFICACIÓN Auditoría Informática DATOS DEL INFORME Aprobado por Resolución AGN Nº: 133/2009 OBJETO DE AUDITORÍA Evaluar la gestión de la Tecnología de la Información (TI) en el Instituto Nacional Central Único Coordinador de Ablación e Implante (INCUCAI), organismo descentralizado en la órbita del Ministerio de Salud, para determinar debilidades y fortalezas de la administración de la información. PERIODO AUDITADO Diciembre 2007 a noviembre 2008. AUTORIDADES AGN Presidente, Dr. Leandro O. Despouy Auditores Generales: Dr. Vicente Brusca Dra. Vilma Castillo Dr. Francisco Fernández Dr. Oscar Lamberto Dr. Alejandro Nieva Dr. Horacio F. Pernasetti AGN Hipólito Irigoyen 1236 (C1086AAV) C.A.B.A. – Argentina Tel.: (54 11) 4124-3700 Fax: (54 11) 4124-3775 información@agn.gov.ar Evaluación de la Gestión de la Tecnología de la Información(TI) Instituto Nacional Central Único Coordinador de Ablación e Implante (INCUCAI) Auditoría de Gestión ACLARACIONES PREVIAS OBSERVACIONES Y CONCLUSIÓN / HALLAZGO Marco legal e institucional El SINTRA es un sistema integrado utilizado ? El Instituto Nacional Central por los centros de ablación e implante de todo Único Coordinador de el país que cumple prácticamente con el 100% Ablación e Implante (INCUCAI) es el organismo de las misiones y funciones que le dicta la que coordina y fiscaliza las normativa al INCUCAI. Su funcionamiento es actividades de donación y eficaz y de acuerdo a la información recibida trasplante de órganos, tejidos tiene mejores prestaciones que similares y células en nuestro país. Con la sanción de la Ley productos, aún de países europeos. 23.855 fue creado sobre la Cabe destacar que si bien es una virtud tener base de entes preexistentes, informatizados los procesos, ya que se asegura pasando a ser un organismo así el cumplimiento de la normativa, los descentralizado con autarquía, dependiente de la inconvenientes que se describen a Secretaría de Políticas, continuación colocan al SINTRA en una Regulación e Institutos del situación de riesgo inaceptable, sobre todo si Ministerio de Salud. se considera que un colapso del mismo pondría El organismo actúa en las provincias argentinas junto a en riesgo el cumplimiento de la misión y la 24 organismos posibilidad de supervivencia de los pacientes jurisdiccionales de ablación e en lista de espera de implantes: implante con el fin de brindar El único personal de planta en el área a la población un acceso transparente y equitativo al informática es la Coordinadora del transplante Departamento de Informática y Sistemas. Tanto Entre las responsabilidades el Coordinador del SINTRA como todo el primarias, debe entre otras: a) personal que lo opera, desarrolla y mantiene es Confeccionar y actualizar permanentemente las listas contratado y con ingresos muy inferiores a los de espera de potenciales equivalentes de mercado, ocasionando que los receptores, b) Coordinar la principales desarrolladores hoy no se distribución de órganos y encuentren trabajando en el Centro. tejidos para trasplante, c) Determinar los La cantidad total de personal subalterno del procedimientos para el Departamento TI es de 4 personas en soporte mantenimiento de potenciales de PC y 5 en administración de datos y donantes y el transporte de desarrollo de sistemas, siendo de alta rotación los órganos, d) Realizar el seguimiento de los pacientes por tratarse de agentes contratados. No trasplantados con f ines resultan suficientes para encarar la generación estadísticos, e) Asesorar al de políticas y procedimientos, modelos de Poder Ejecutivo Nacional en relación a campañas masivas, datos, documentación y actualización. Son f) Proponer normas técnicas a inexistentes: la autoridad sanitaria, g) - La estructura formal del área informática. Llevar los registros respecto - Los planes estratégicos para el Organismo y de personas que manifiestan para Tecnología. su oposición o conformidad a la donación, registro de - Las políticas y procedimientos formales para testimonios de última voluntad abordar los resguardos y objetivos de y del destino de los órganos seguridad e higiene. donados, h) Intercambiar - Las políticas sobre cálculo de costos. información con los países que tengan Registros de - Las políticas de capacitación. Células Progenitoras - El control de datos. Hematopoyéticas para dar La misma persona que realiza la Coordinación cobertura aquellos pacientes del área se ocupa de tareas de programación y que la requieran. El Instituto, ha definido administración de la base de datos haciendo de diseñado e implementado un ese agente un elemento indispensable para la Sistema Nacional de continuidad del sistema e impidiendo el control Información sobre transplantes (SINTRA), herramienta de interacción con los organismos jurisdiccionales en el tema, integrado a nivel nacional, que permite el registro en tiempo real de la gestión de las listas de espera, obtención de órganos y tejidos y su asignación con fines de implante, posibilitando en este sentido múltiples consultas flexibles de acuerdo a requerimientos personales. El SINTRA esta integrado por seis Módulos de acceso independiente: a) Registro Nacional de Insuficiencia Renal Crónica Terminal IRCT-, b) Listas de Espera de Órganos y Tejidos. c) Registro Nacional de Procuración y Trasplante, d)Registro Nacional de Expresiones de Voluntad para la Donación y e) Registro Nacional de Donantes de Células Progenitoras Hematopoyéticas (CPH). Cada Módulo tiene su propio grupo de usuarios y su funcionalidad particular, no obstante ello están integrados e interrelacionados internamente.- por oposición y el monitoreo interno. En síntesis: existen riesgos altos de falta de eficiencia y aun de falta de eficacia en la concreción de los objetivos; en general, la información está sometida a riesgos que superan los valores aceptables; y por último, si consideramos el prestigio del Organismo como un activo importante, sería grave que un error del SINTRA pudiera echar por tierra lo conquistado en varios años de gestión. Para superar el actual estado de situación, es necesario darle prioridad a: - la definición de la estructura de Tecnología de Información, de sus misiones y funciones, de las políticas y procedimientos a cumplir y el nombramiento del personal idóneo, responsable de cumplirlas satisfactoriamente, - tender a que la madurez de la calidad de la gestión se aproxime, cuanto menos, al nivel de “Procesos definidos” (ver Anexo IV, “Niveles del Modelo Genérico de Madurez”), - superar a la brevedad las limitaciones de los procesos ponderados en niveles “No conforma” e “Inicial”, particularmente en los casos en que la estimación del riesgo es alta, - superar los inconvenientes detallados en el Anexo VI. La evaluación realizada con el Modelo Genérico de Madurez indica que el 78,1 % de los objetivos de control se encuentran en los niveles más bajos del modelo: “No conforma” e “Inicial”, y ninguno alcanza el valor mínimo recomendable de “Proceso Definido” (ver Anexo IV). Para corregir las falencias detectadas, es imprescindible un fuerte compromiso de las máximas autoridades del INCUCAI para organizar los servicios de TI y de las autoridades del Ministerio para proveer los recursos necesarios. Niveles del Modelo Genérico de Madurez 0 – No conforma. Falta total de procesos reconocibles. La organización no reconoce que existe un tema a ser tenido en cuenta. 1 – Inicial. La organización reconoce la existencia del tema y la necesidad de atenderlo. Sin embargo, no existen procesos estandarizados sino aproximaciones ad hoc que suelen ser aplicadas sobre una base individual o caso por caso. La administración aparece como desorganizada. 2 – Repetible. Los procesos han evolucionado hasta la etapa en la cual procedimientos similares son ejecutados por distintas personas que desarrollan las mismas tareas. No hay entrenamiento formal ni comunicación de procedimientos estándar y la responsabilidad es asumida por cada individuo. Hay un alto grado de confianza en el conocimiento de los individuos y los errores son probables. 3 – Proceso Definido. Los procedimientos han sido estandarizados, documentados y comunicados vía entrenamiento. Sin embargo, es responsabilidad de los individuos cumplir con estos procesos y es improbable que se detecten las desviaciones. Los procedimientos en sí mismos no son sofisticados pero son la formalización de prácticas existentes. 4 – Administrado. Es posible monitorear y medir el cumplimiento de los procedimientos y accionar cuando los procesos parecen no estar trabajando adecuadamente. Los procesos están bajo mejora constante y proveen una práctica correcta. El uso de herramientas y de automatización es limitado o fragmentario. 5 – Optimizado. Los procesos han sido corregidos al nivel de la mejor práctica, en base a los resultados de la mejora continua y de la movilización con otras organizaciones. La TI es usada de forma integrada para automatizar el flujo de trabajo, proveer herramientas para mejorar la calidad y la eficacia y hacer que la organización se adapte rápidamente a los cambios.