Recomendaciones de auditoría externa: estado de aplicación

Transcripción

1 ORGANIZACIÓN MUNDIAL DE LA SALUD COMITÉ DE AUDITORÍA DEL CONSEJO EJECUTIVO Cuarta reunión Punto 3.1 del orden del día provisional 18 de abril de 2001 Recomendaciones de auditoría externa: estado de aplicación Informe presentado por el Comisario de Cuentas 1. En su segunda reunión, celebrada los días 11 y 12 de mayo de 2000, el Comité de Auditoría pidió que se elaborara un inventario tabular de las recomendaciones de la auditoría externa que abarcara un perfil de antigüedad de dichas recomendaciones, su estado de aplicación y las observaciones de la Secretaría, si las hubiere. El primero de esos inventarios tabulares se presentó al Comité de Auditoría en su tercera reunión (10 y 11 de enero de 2001). El Comité pidió que para el futuro se institucionalizara esa modalidad de notificación, pero que se hiciera extensiva a todas las recomendaciones formuladas por el Comisario de Cuentas durante un periodo determinado, con inclusión de los plazos previstos y de las responsabilidades específicas asignadas. 2. El segundo inventario tabular que se somete al examen del Comité de Auditoría figura anexo al presente documento. La primera parte comprende las recomendaciones formuladas como resultado de las visitas de auditoría efectuadas durante el ejercicio financiero en curso. En la segunda parte se indica el estado de aplicación actualizado de las recomendaciones formuladas durante el bienio pasado e incorporadas en el inventario tabular anterior, pero que no se habían aplicado plenamente. 3. El estado de aplicación se estableció a mediados de marzo de 2001 sobre la base de las respuestas de la Secretaría. Como ya se ha dicho, aunque es un procedimiento normal que los servicios de auditoría externa hagan un seguimiento de la aplicación de las recomendaciones formuladas, el calendario de ese seguimiento depende de un número de factores. Por consiguiente, las observaciones de la Secretaría que figuran en el inventario tabular no han sido necesariamente verificadas por los servicios de auditoría externa.

2 ANEXO RECOMENDACIONES DE AUDITORÍA EXTERNA: DE APLICACIÓN PARTE I: RECOMENDACIONES DE AUDITORÍA EXTERNA FORMULADAS EN 2000 Carta de 20 de octubre de 2000 sobre asuntos de gestión acerca de los resultados de la auditoría de la Oficina Regional para Europa efectuada en septiembre-octubre de 2000 Cuentas bancarias y de adelantos a) Las conciliaciones bancarias deberían estar firmadas tanto por el preparador como por el revisor y los apuntes se deberían liquidar puntualmente. b) Las cuentas de adelantos requieren la firma de los titulares, conciliación e instrucciones para posibilitar buenas prácticas de gestión de los saldos líquidos. Cuentas personales Se deberían revisar activamente las cuentas personales y se deberían desplegar esfuerzos para liquidar los importes pendientes de conciliación durante largo tiempo. Oficinas de enlace a) Se deberían dar a los oficiales de enlace instrucciones detalladas y capacitación en materia de controles financieros y de responsabilización. a) Se ha vuelto a hacer hincapié en la revisión y la firma de todas las conciliaciones bancarias por los supervisores y prosiguen los esfuerzos encaminados a la liquidación puntual de todos los apuntes conciliados. Se está haciendo un seguimiento mensual de los apuntes pendientes de conciliación. b) Se elaboraron y se dieron a conocer en noviembre de 2000 a todos los titulares de cuentas de adelantos nuevas directrices que comprenden las relativas a la firma por los titulares y a la confección de listas apropiadas de verificación. Las transacciones de las cuentas personales se procesan, y se someten a una revisión general mensual, así como a una conciliación y a un seguimiento detallados al cierre del ejercicio. Se han adoptado medidas para liquidar los importes identificados como pendientes de conciliación durante largo tiempo. Se están examinando las funciones, responsabilidades y medidas de responsabilización de las oficinas de enlace. Parte del ejercicio conllevará una auditoría interna del sistema de las oficinas de enlace, con un mandato amplio de examen de muchas cuestiones. Entretanto, se han adoptado las medidas indicadas a continuación: a) Se han distribuido a los oficiales de enlace instrucciones detalladas para el registro de las transacciones y la presentación de la documentación complementaria. Se han abordado las principales esferas de riesgo 2

3 Anexo b) Debe formalizarse el proceso de examen por la unidad técnica. c) Se debería considerar una contabilidad más puntual de los anticipos hechos a las oficinas de enlace. d) Se debería evaluar la idoneidad de los arreglos relativos a las medidas de protección del efectivo que tienen en su poder. e) Se deberían formular directrices de política relativas a la adquisición de bienes y servicios locales en US$. f) Se debería estudiar la idoneidad de utilizar obligaciones internas para comprometer o adelantar fondos. Viajes a) Se debería formular y aplicar una política de viajes. b) Los planes de viaje se deberían fijar con bastante antelación y los administradores correspondientes deberían especificar claramente la cantidad que se autoriza a pagar a quienes hagan las gestiones por sí mismos. c) Se debería formular una política relativa a la aprobación y la vigilancia de los anticipos fijos para viajes. Obligaciones pendientes Es necesario revisar de forma más enérgica las obligaciones pendientes. b) Finanzas está exigiendo la aprobación de todos los estados financieros recibidos de los oficiales de enlace. c) Las notificaciones se realizan ahora trimestralmente. d) Se han adquirido cajas fuertes cuando procedía y se está revisando la cobertura de los seguros. e) Se presta más atención a la moneda utilizada en los pagos. f) Se desalienta la utilización de obligaciones internas. a) La Oficina Regional adoptó la política mundial de viajes el 1 de enero de Se contrató un consultor para negociar con más flexibilidad los contratos con las aerolíneas, y los arreglos se pondrán en práctica durante el primer trimestre de b) Se alienta la planificación anticipada de los viajes. El servicio de viajes determinará la cantidad que debe pagar la OMS y se comprometerá una obligación por esa suma. Las subsiguientes solicitudes de reembolso se compararán con la suma comprometida para verificar que el pago no supera la obligación contraída por la OMS. c) Los anticipos fijos se incluyen en la política general de viajes. El informe sobre las obligaciones pendientes se proporcionará a las unidades técnicas cada seis meses, y se requerirán razones justificativas para mantener las obligaciones conexas. Se facilitará al personal de los programas información sobre la necesidad de revisar más a menudo las obligaciones pendientes y se subrayará el efecto que esas obligaciones tienen en la vigilancia programática y financiera. 3

4 Anexo Obligaciones a) Las administraciones regionales y de la Sede deberían investigar activamente la viabilidad de un plan de pagos más favorable en relación con los programas de asistencia humanitaria financiados por la Comisión Europea. b) Sólo deben establecerse obligaciones con cargo a las asignaciones correctas. c) Las transacciones deberían justificarse con los documentos apropiados. d) Deben explorarse posibles mejoras en relación con el sistema de anotación de obligaciones con cargo a asignaciones de otras oficinas. Cuenta transitoria Los desembolsos sólo deberían realizarse con cargo a obligaciones autorizadas. Inventarios Se debería prestar atención urgentemente a la aplicación de un sistema de inventario eficiente y a la compilación de registros fiables de las existencias. Recepción de informes Se debería aplicar un sistema de registro y seguimiento de los informes recibidos. a) Los contratos de la Comisión Europea están siendo revisados activamente por la Sede con miras tanto a establecer un marco viable para la cooperación futura como para revisar los procedimientos contables adecuados para esas asignaciones. (Sede, Finanzas y Asuntos Jurídicos) b) Si bien las obligaciones deberían establecerse con cargo a las asignaciones correctas, habida cuenta del tiempo que transcurre hasta la recepción de las asignaciones la buena marcha de muchos programas depende de un mecanismo de adelantos temporales. Se han aplicado medidas para mejorar la vigilancia de esos adelantos temporales. c) Se conservarán en archivo los documentos de obligación que proceda. d) Se propone que cuando se desarrolle el nuevo sistema de contabilidad se estudie el modo de mejorar el examen y la vigilancia de las obligaciones que se anotan con cargo a asignaciones de otras oficinas. Se ha revisado el procedimiento para tramitar las obligaciones establecidas en Copenhague y desembolsadas sobre el terreno para asegurar que las oficinas locales reciban los documentos de obligación antes de que se efectúen los desembolsos. Se pondrá en práctica la aplicación de inventario utilizada en la Oficina Regional para el Pacífico Occidental y se actualizarán los registros. Se tratará de una prioridad para quien ocupe el puesto ahora vacante en Servicios de Administración, Suministros y Conferencias, habiéndose fijado la meta de aplicación para el final del tercer trimestre de (ASC) Se abordará cuando se ponga en práctica la aplicación de inventario de la Oficina Regional para el Pacífico Occidental (véase supra). 4

5 Anexo Sistema de adquisiciones Se debería estudiar la viabilidad de aplicar un sistema informatizado de adquisición e inventario, junto con el nivel adecuado de recursos humanos. Acuerdos para la ejecución de un trabajo (APW) a) Se deberían proporcionar directrices claras respecto de los pagos por adelantado para proteger a la Organización de posibles pérdidas. b) Se deberían revisar los procedimientos relativos a la presentación de documentos justificativos en apoyo de las solicitudes de reembolso. Aplicación del Sistema de Gestión de las Actividades (AMS) a) La administración debería adoptar medidas activas para asegurar que se aplica eficazmente el sistema y se obtienen de él los máximos beneficios posibles. b) La administración debería confeccionar una lista de todos los tipos de transacción que no están previstos en el sistema y presentarla a la Sede, para que el sistema pueda agregar valor a la Organización. Se abordará cuando se ponga en práctica la aplicación de inventario de la Oficina Regional para el Pacífico Occidental (véase supra). a) La administración de la Oficina Regional para Europa ha indicado reiteradamente a todas las unidades el nivel apropiado de los pagos por adelantado de los APW, que asimismo se documenta en el manual informatizado de apoyo a los programas. Se revisará el procedimiento para establecer un nivel estándar razonable de pago inicial máximo para los futuros APW en la Región. La revisión estará dirigida por el Oficial de Presupuesto y Finanzas, habiéndose fijado la meta de aplicación para el final del tercer trimestre de (BFO) b) Se debería revisar el formato de los APW a nivel mundial y habría que estandarizar en el conjunto de la Organización los requisitos aplicables a los colaboradores con quienes se firman contratos. La Oficina Regional seguirá examinando la cuestión con la Sede. a) Algunos programas utilizan el AMS plenamente, mientras que otros tropiezan con dificultades en determinados aspectos. La Oficina Regional ha proporcionado a la Sede especificaciones detalladas para lograr mejoras, así como ideas para perfeccionar la interfaz de usuario. b) Se han notificado a la Sede determinados tipos de transacciones del Sistema Informativo en Administración y Finanzas que crean confusión cuando se integran con el AMS, y se están poniendo a punto en aquélla soluciones para estandarizar los procedimientos. Las obligaciones no vinculadas constituyen un problema. Se están realizando esfuerzos tenaces para reducir su número y el nuevo Oficial de Presupuesto y Finanzas ha controlado la situación. 5

6 Anexo c) Se debería elaborar una política clara de formación sobre el AMS en la que se indiquen, para cada nivel de puesto, los módulos en que obligatoriamente deberá haberse recibido formación. Directrices sobre planificación operacional a) Se debería vigilar estrechamente el cumplimiento de las directrices sobre planificación operacional. b) Cuando se hayan fijado plazos, debería hacerse todo lo posible por cumplirlos. c) Se ofrece formación a intervalos mensuales regulares. La Oficina Regional no está decidida a vincular la obligatoriedad de una determinada formación con puestos específicos, pero seguirá asignando al administrador del programa la responsabilidad de velar por que el programa cuente con la competencia profesional necesaria en el manejo del AMS para salvaguardar el cumplimiento de las directrices. a) El cumplimiento de las directrices se puede y se debe mejorar. Se prestará más atención a la terminación de los planes de trabajo. Los directores de división así lo han reconocido y los analistas operacionales recién nombrados se ocuparán de vigilar la terminación y la integridad de los datos de todos los planes de trabajo de sus divisiones respectivas. b) Se dispone ahora de un funcionario de planificación y se ha delegado al nivel de director de división la aprobación de los planes de trabajo. Auditoría informática de los mecanismos de control general en el Sistema de Administración y Finanzas, el Sistema de Gestión de las Actividades, el Sistema de Personal y el Sistema de Viajes, Reuniones y Administración de la Oficina Regional: Oficina Regional para Europa con fecha 24 de noviembre de 2000 Planificación, políticas, procedimientos y normas a) Se debería establecer una política de seguridad en materia de técnicas de la información (IT), aprobada y actualizada regularmente de forma oficial con el fin de formalizar directrices de obligado cumplimiento por los miembros del personal en el conjunto de la OMS. b) Se debería compilar un plan autorizado y ensayado de recuperación en caso de desastre y de continuidad de las operaciones. El plan debería ensayarse regularmente, debería actualizarse cuando fuera preciso y se debería guardar una copia del mismo en un lugar externo. a) Se está preparando un documento exhaustivo sobre política de seguridad en materia de IT. Se coordinará con una iniciativa similar en la Sede y se prevé ultimarlo para diciembre de (Asesor Regional, Servicios de Apoyo a la Información - RA/ISS) b) Se está preparando un plan de recuperación en caso de desastre y de continuidad de las operaciones, que se habrá ultimado y cuyo costo se habrá estimado para septiembre de (Administrador de la Red) 6

7 Anexo c) Se debería preparar un plan estratégico oficial en materia de IT, que debería ser aprobado por la administración y se debería actualizar de forma continuada. d) En toda la OMS, deberían desarrollarse procedimientos y normas formales de control de la modificación de los programas. e) Deberían desarrollarse y aprobarse procedimientos operativos formales. f) Deberían desarrollarse políticas y procedimientos de desarrollo y mantenimiento de los diccionarios de datos. g) La OMS debería asegurar el desarrollo, la aprobación formal, la distribución en toda la OMS, la aplicación y la observancia de normas y procedimientos formales en materia de IT. Ciclo de vida del desarrollo de sistemas a) Debería idearse una metodología formal para el ciclo de vida del desarrollo de sistemas a fin de controlar el proceso de desarrollo, adquisición, aplicación y mantenimiento de sistemas de información computarizados y otras tecnologías relacionadas en toda la OMS. c) La Oficina Regional sigue de cerca los esfuerzos desplegados por la Organización para adoptar una política en materia de IT. Se ha establecido un Comité de Administración y Política de Información (IPMC) para asesorar al Director Regional en cuestiones técnicas relativas al apoyo a la tecnología y a los sistemas de la información. (Director, Información, Pruebas Científicas y Comunicación - DEC) d) En diciembre de 2001 se habrá puesto en marcha un registro de control de cambios para la introducción de ajustes de software en aplicaciones desarrolladas a nivel mundial. (Administrador de la Base de Datos) e) El servidor SQL (lenguaje de consulta estructurado) permite llevar un registro claro de todos los procesos de fin de jornada. En julio de 2001 se habrán implantado mecanismos adicionales de notificación de las tareas conclusas e inconclusas. (Administrador de la Base de Datos) f) Se procura actualizar el software de definición de los diccionarios de datos y bases de datos electrónicos. En diciembre de 2001 se habrá adoptado una decisión definitiva en colaboración con la Sede. (Administrador de la Base de Datos) g) Intervención en la Sede: véanse más abajo las observaciones de la Secretaría sobre la revisión de los mecanismos de control general realizada en la Sede. a) Se habrá seguido perfeccionando y documentando, en estrecha colaboración con la Sede y con el Comité de Coordinación de la Gestión Informática, los actuales procedimientos de especificación técnica de ensayos de aplicaciones y programas en apoyo del control de la calidad. 7

8 Anexo b) La OMS debería desarrollar una política oficial, en particular procedimientos y normas, para controlar y gestionar el desarrollo de sistemas de aplicaciones en toda la OMS. Seguridad física a) Deberían implantarse medidas adecuadas de seguridad física. b) Deberían establecerse condiciones ambientales y de seguridad adecuadas en relación con las cintas de salvaguardia. Redes a) Los administradores deberían estudiar la posibilidad de examinar los informes de vigilancia en el entorno de la red. b) Debería considerarse el posible uso de funciones de llamada de respuesta (dial-back) para asegurar que el acceso remoto quede restringido únicamente al personal de apoyo autorizado. Operaciones a) Deberían desarrollarse procedimientos formales de salvaguardia y recuperación. Dichos procedimientos deberían ser aprobados por los administradores y ensayados regularmente. b) La dirección debería considerar la posibilidad de revisar los informes de vigilancia del funcionamiento en el entorno del servidor. c) Deberían documentarse formalmente los mecanismos de salvaguardia externa, y ensayarlos con regularidad. b) Intervención en la Sede: véanse más abajo las observaciones de la Secretaría sobre la revisión de los mecanismos de control general realizada en la Sede. a) En las áreas en que los servicios de apoyo a la información (ISS) tienen un control absoluto, se han adoptado medidas adicionales de seguridad física. Otras áreas no están bajo el control de los ISS. (Administrador de la Red) b) Se están estudiando diversas opciones de salvaguardia externa en otras organizaciones del sistema de las Naciones Unidas en Copenhague. Plazo: abril de 2001 (Administrador de la Red) a) Se fomentará más activamente la participación de los administradores en el análisis de los informes de vigilancia, entre otras cosas mediante informes adicionales. Plazo: mayo de 2001 (Administrador de la Red). b) Por razones económicas, se ha decidido no utilizar el servicio de devolución de llamadas (call-back) de la opción de conexión (dial-up). a) Se ha preparado documentación para los procedimientos de salvaguardia y recuperación, y se están llevando a cabo diversos ensayos. b) Se pondrá a disposición de los administradores el informe de vigilancia del funcionamiento. Plazo: abril de 2001 (Administrador de la Red) c) Se están estudiando diversas opciones de salvaguardia externa en otras organizaciones del sistema de las Naciones Unidas en Copenhague. Plazo: abril de 2001 (Administrador de la Red) 8

9 Anexo d) Los registros de salvaguardia deberían atenerse a las normas y los procedimientos de seguridad y deberían ser firmados por el supervisor después de cada operación de salvaguardia. e) Los informes de salvaguardia generados después de cada operación de copia de seguridad deberían ser impresos, controlados por el supervisor y almacenados durante un cierto tiempo. f) Se deberían recuperar y ensayar periódicamente las copias de seguridad a fin de asegurar la integridad y recuperabilidad de los datos. g) Los planes de tareas deberían ser aprobados al nivel de administración adecuado, y las tareas efectuadas deberían compararse con esos planes. h) Debería compilarse un libro del operador para asegurar que éste conozca los pormenores sobre las instrucciones para la configuración de tareas, los mensajes de consola, las respuestas correctas y las medidas que deben tomarse cuando falla una tarea. i) Deberían implantarse los procedimientos necesarios para asegurar que los informes sobre incidentes sean tenidos en cuenta eficazmente y en el momento oportuno. Sistema de operación y seguridad lógica a) Los administradores deberían imprimir y analizar regularmente los registros de actividad y los registros de violación del acceso. b) Deberían abordarse las deficiencias identificadas en relación con los controles de acceso lógico y la configuración de los parámetros de seguridad. d) En un registro de seguridad quedan documentados diversos detalles, por ejemplo las salvaguardias fallidas. e) Control diario del registro electrónico del software de salvaguardia a fin de asegurar la correcta copia de los datos. f) Dos veces al mes como media se llevan a cabo recuperaciones limitadas. Una vez al año se harán ensayos de recuperaciones generales. g) No pertinentes para las aplicaciones empleadas actualmente en un entorno de cliente-servidor. h) Se han establecido registros propios de cada servidor, que son utilizados con fines de información y mensajería. i) Los incidentes se consignan en los registros del servidor. a) Se han implantado funciones de auditoría para el sistema operativo informático. El archivo electrónico diario será impreso y examinado por el Administrador de la Red, y trimestralmente se presentará un informe al IPMC. Plazo: septiembre de (Administrador de la Red) b) Se ha adoptado ya una serie de medidas. Se están revisando otras medidas de seguridad adicionales; su aplicación está prevista para diciembre de La redenominación de la cuenta del administrador ha de tener lugar en junio de (Administrador de la Red) 9

10 Anexo c) Debería revisarse regularmente todo el software empleado por la Oficina Regional, y debería educarse a los usuarios acerca de las posibles repercusiones del software ilegal. d) Deberían desarrollarse y aplicarse procedimientos para asegurar que todo cese en el servicio de un funcionario se ponga prontamente en conocimiento del administrador de IT. e) Deberían implantarse procedimientos formales de registro de los usuarios para asegurar que cada uno de ellos disponga de su propia identificación y contraseña, las cuales han de facilitarse formalmente. f) Debería estudiarse la posibilidad de ejecutar un programa antivirus en todos los servidores y de implementar una política al respecto a la descarga de juegos y programas en los ordenadores. Datos a) La OMS debería velar por que todos los sistemas utilicen la última versión del software del sistema, a fin de asegurar la continuidad y disponibilidad de los sistemas de aplicación. b) Debería implantarse una política formal de archivación para la OMS, a fin de que ese proceso se realice regularmente en la base de datos, y se obtenga así un buen tiempo de respuesta. c) Deberían implantarse controles adecuados, por ejemplo totales de control, para asegurar que los volcados de AFI creados por la Oficina Regional sean exactos y estén completos al enviarlos a la Sede; los resultados de esos controles deberían compararse también con los totales de control de la Sede. c) Se ha desarrollado una aplicación que coteja el software del disco duro de las estaciones de trabajo con la configuración de software registrada. Dicha aplicación está siendo ensayada y se prevé que estará en funcionamiento para agosto de (Administrador de las Bases de Datos) d) Las cuentas de usuario se configuran en función de la duración de los contratos: la cuenta queda bloqueada cuando el contrato finaliza o el usuario cesa en el servicio. e) Se pedirá a los nuevos usuarios que reconozcan oficialmente su identificación de usuario firmando los informes de tareas de ISS al recibir ayuda para conectarse por primera vez. f) Se ha instalado un programa de protección contra los virus en el servidor SQL a fin de estudiar sus efectos en el funcionamiento del sistema; en función de los resultados se considerará la instalación en los otros servidores. Plazo: mayo de (Administrador de la Red) a) Está prevista la migración a SQL 7.0 en todas las oficinas regionales para octubre de (AFI, Sede) b) Se ha implantado ya la archivación de la información de administración y finanzas en la Oficina Regional con periodicidad bienal, conforme a lo solicitado por la Sede. c) La Oficina Regional recomendará que se cree un nuevo informe de control que refleje los totales de control para su envío por fax a la Sede junto con el volcado de la base de datos. La implantación de ese mecanismo se hará en coordinación con la Sede. Plazo: junio de

11 Anexo Organización a) A fin de evitar la introducción de modificaciones no autorizadas en los datos de producción y/o los programas, los programadores no deberían tener acceso a los programas y datos en el entorno de producción. b) Deberían implantarse procedimientos para asegurar una separación idónea de las funciones entre los administradores de las bases de datos y los programadores de aplicaciones. c) Debería estudiarse la posibilidad de establecer un comité directivo de IT a nivel de administración para supervisar la función de IT. d) En las descripciones de puesto y los mandatos se deberían documentar formalmente las responsabilidades de todos los funcionarios de IT. e) Debería disponerse siempre de copias de seguridad cuando haya funcionarios clave de IT que no puedan desempeñar sus funciones habituales. Aplicaciones a) A fin de asegurar que en los programas sólo se introduzcan cambios autorizados, debería establecerse un comité de control de las modificaciones. b) En toda la OMS deberían implantarse procedimientos tendentes a asegurar que se administre eficazmente el proceso de modificación de los programas y que esas modificaciones se ultimen en el plazo previsto. a) Se están estableciendo dominios de servidor separados para ensayo y desarrollo. La separación de funciones entre programadores y administradores de las bases de datos resulta imposible dado lo reducido de la plantilla. Se confía a las mismas personas la introducción de cambios en los entornos de producción y el registro de esos cambios. El acceso por red a los entornos de producción ha sido revisado y está estrictamente controlado. Las tareas y los entornos de desarrollo y ensayo están claramente separados. Se implantarán procedimientos para documentar y controlar los pasos a producción. Plazo: diciembre de (Administrador de la Base de Datos) b) Véanse las observaciones supra. c) Se ha creado el IPMC para asesorar al Director Regional en asuntos técnicos relativos al apoyo a los sistemas y tecnologías de información. d) Todos los contratos de personal de IT se tramitan a través de ISS para obtener su visto bueno técnico. Lo mismo se hará con los mandatos para el personal contratado por corto plazo. e) Un Administrador de la Red ha asumido ya sus funciones. Aunque el solapamiento es ahora mayor, el personal de ISS sigue trabajando al máximo. a) Se ha creado el IPMC para asesorar al Director Regional en asuntos técnicos relativos al apoyo a los sistemas y tecnologías de información. b) La introducción de modificaciones en los programas del sistema informativo en administración y finanzas de la Oficina Regional son responsabilidad del equipo de desarrollo de la Sede. Esta cuestión será abordada por la Sede a la hora de mejorar el proceso de control de las modificaciones. 11

12 Anexo c) Deberían establecerse en toda la OMS normas y procedimientos formales de protocolos de ensayos para la modificación de los programas. d) Habría que mantener documentados los ensayos para registrar la naturaleza y el alcance de todas las pruebas realizadas en la OMS. e) Los administradores deberían implantar procedimientos que aseguren que exista documentación sobre el sistema y que esa documentación sea actualizada tras cada modificación del sistema en toda la OMS. f) En toda la OMS deberían implantarse procedimientos para asegurar que se actualice la documentación de los programas cada vez que resulten modificados. g) En toda la OMS deberían implantarse procedimientos que garanticen la compilación y actualización periódica de la documentación para el usuario. h) En toda la OMS deberían establecerse, tras su aprobación formal por los administradores, procedimientos formales para la introducción de modificaciones de emergencia. i) Deberían establecerse mecanismos de aseguramiento de la calidad en el proceso de modificación de los programas. j) En toda la OMS deberían aplicarse instrucciones formales y detalladas para la reversión. c) En abril de 2001 se habrán ultimado en la Sede normas para protocolos de ensayo. d) La Sede recibe retroinformación sobre los ensayos relacionados con el sistema informativo en administración y finanzas de la Oficina Regional. La Sede archiva la documentación de los ensayos. e) Se mantendrán los modelos de bases de datos y de procesos en una próxima mejora del software de descripción del diccionario de datos/base de datos. Plazo: diciembre de f) Se preparará documentación adicional para las aplicaciones de la Oficina Regional coincidiendo con la mejora del software de descripción del diccionario de datos/base de datos. g) ISS pedirá a los propietarios de los datos que nombren un punto focal que actualice la documentación de usuario correspondiente a las aplicaciones desarrolladas en la oficina. Plazo: marzo de 2001 (OR/ISS). h) Las modificaciones de emergencia se introducen y registran de la misma manera que los cambios ordinarios. Se está creando un registro de control de las modificaciones para la introducción de ajustes de software en las aplicaciones desarrolladas a nivel mundial; la implantación de dicho registro está prevista para diciembre de (Administrador de la Base de Datos) i) Está previsto que el IPMC de la Oficina Regional establezca normas y directrices de aseguramiento de la calidad. j) Las modificaciones introducidas en los programas no son objeto de reversión. Cuando es necesario, se recuperan las copias de seguridad de los datos y el software. 12

13 Anexo k) Los cambios introducidos en los programas deberían registrarse y ser examinados por funcionarios de alto nivel para asegurar que en los programas sólo se introduzcan cambios autorizados. l) Deberían establecerse en toda la OMS procedimientos formales de gestión de las diversas versiones, o bien programas informáticos de gestión de bibliotecas, para asegurar que se registren los números de las diversas versiones junto con los cambios introducidos en los programas y que se mantenga el mismo código fuente. m) Debería establecerse una documentación oficial de los cambios introducidos en los programas en toda la OMS. k) El Administrador de la Base de Datos, en colaboración con los propietarios de los datos, velará por que en los programas sólo se introduzcan y se registren cambios autorizados. Se elaborará un formulario para la aprobación de cambios por los propietarios de datos. Plazo: diciembre de 2001 (Administrador de la Base de Datos) l) En la Oficina Regional existe un control de las diversas versiones de los programas informáticos de las bases de datos y de sus respectivos usuarios para cerciorarse de que estén utilizando las mismas versiones. m) Dadas las limitaciones de personal, se considera que la teneduría de una documentación formal de los cambios de los programas constituiría una utilización ineficaz de los recursos disponibles. PARTE II: DE APLICACIÓN DE LAS RECOMENDACIONES DE AUDITORÍA EXTERNA FORMULADAS EN EL BIENIO DE Auditoría informática complementaria de los controles generales del Sistema de Apoyo Informativo en Administración y Finanzas en la OMS, Ginebra, 13 de diciembre de 1999 El personal directivo debería examinar las políticas y procedimientos oficiosos de seguridad para comprobar si son exhaustivos, e incorporarlos en una política oficial de seguridad. Como el asesor en IT y el oficial de seguridad debían participar en esa tarea, el plazo se ha prorrogado hasta junio de Se han tomado varias medidas provisionales. Ya se han elaborado políticas para la seguridad del cortafuegos y del sistema operativo informático. Se ha emprendido un proyecto sobre la política de seguridad para la red privada mundial; las fechas de notificación se determinarán más adelante. Se ha establecido una política de seguridad del acceso a distancia. (Servicios de Informática y de Telecomunicaciones - ITS) 13

14 Anexo El personal directivo debería elaborar, aprobar y aplicar una política oficial para toda la red de la OMS con miras a lograr el debido control de la red. Debería nombrarse y prepararse a un oficial que vele por la administración eficaz de la seguridad física y lógica. Debería establecerse si existen los conocimientos y técnicas necesarios para la gestión del sistema en todo momento, sin perjuicio de la distribución del trabajo, a fin de asegurar la continuidad del entorno de IT. Deberían establecerse procedimientos oficiales para asegurar que no pueda acceder al mismo tiempo a la aplicación un número de usuarios mayor que el prescrito. Asimismo, debería centralizarse el control de la adquisición e instalación de programas informáticos. Deberían establecerse procedimientos para que el programa de protección antivirus se instale en todos los computadores personales y «notebooks». Los programas antivirus deberían actualizarse regularmente. Debería establecerse un acuerdo oficial a nivel de servicios entre la OMS y el Centro Internacional de Cálculo Electrónico (CICE) al objeto de definir claramente las responsabilidades. El personal directivo debería establecer y aprobar procedimientos y normas para el control de los cambios. Deberían establecerse normas y procedimientos oficiales de planificación de los ensayos para los cambios de los programas. Se está elaborando una política para la red. La fecha de ultimación dependerá de la contratación de un funcionario encargado de la seguridad de las tecnologías de la información. (ITS) Se ha identificado un oficial de seguridad. (ITS) Se contrató a un asesor en IT con efecto a partir de septiembre de Se contratará a siete funcionarios con nombramientos de plazo fijo, y dos puestos de corta duración se convertirán en contratos de duración limitada. La contratación está en marcha. (ITS) Para junio de 2001 se habrá revisado la vigente política informática aplicable al usuario final. (ITS) La política vigente se ha oficializado y los procedimientos de vigilancia del cumplimiento se aplican desde el final de Se ha instalado un programa de control antivirus como parte del sistema de correo electrónico y está prevista su ampliación al sistema de cortafuegos. (ITS) Desde octubre de 2000 se halla en vigor un acuerdo a nivel de servicios con el CICE. Una empresa de auditoría y consultoría (KPMG) revisó la política y los procedimientos de la OMS en materia de información administrativa y financiera. En diciembre de 2000 se elaboró un plan de aplicación. Para el final de julio de 2001 se habrán ultimado los trabajos de definición. (AFI) Los planes de los ensayos de los entornos nuevos se habrán ultimado para el final de abril de Los entornos actuales se sustituirán por cuatro nuevos, a saber: pruebas e instalación para el administrador de la base de datos; desarrollo; prueba y garantía de la calidad, y producción. (AFI) Por aplicar 14

15 Anexo El personal directivo debería establecer y aprobar oficialmente procedimientos para los cambios urgentes, y debería registrar, examinar y aprobar los cambios. Debería incorporarse la garantía de la calidad en el proceso de cambio de los programas. Deberían elaborarse instrucciones oficiales y detalladas respecto de las supresiones. El personal directivo debería aplicar procedimientos para que la documentación del sistema se actualice después de cada cambio. Deberían aplicarse procedimientos para la recopilación y actualización de la documentación de los usuarios. Deberían aplicarse procedimientos para que la documentación de los programas se actualice después de cada cambio. Un grupo o una persona independientes de la programación deberían trasladar los programas cambiados del archivo de ensayo al de producción. Deberían establecerse procedimientos oficiales para el control de las versiones, y debería controlarse el acceso al código fuente o su utilización. Debería establecerse un comité para el control de los cambios. Los usuarios deberían suscribir los formularios para el control de los cambios. Los procedimientos de cambio oficial y cambio urgente se habrán definido para el final de julio de Éstos se pondrán a prueba y se validarán mediante una migración del nuevo entorno de desarrollo al nuevo entorno de prueba a comienzos de agosto de Asimismo, los procedimientos se utilizarán para migrar del nuevo entorno de prueba al nuevo entorno de producción al final de agosto de Los procedimientos se hallarán en pleno funcionamiento cuando todos los entornos nuevos se introduzcan en el trabajo cotidiano a mediados de octubre de 2001 (véase más arriba). (AFI) La garantía de la calidad se confía a cada programador/analista y al supervisor, lo cual se considera suficiente. Se han incorporado instrucciones en los antedichos procedimientos de control de los cambios. Ya se han instalado programas de documentación técnica. Los sistemas más antiguos contienen lagunas de documentación. Teniendo en cuenta los recursos disponibles, no se ha atribuido prioridad a esta medida. Los propietarios de las aplicaciones formularán planes para julio de Los cambios en los programas se anotan en los recuadros de observaciones de cada programa. La definición de funciones se aplicará para mediados de octubre de 2001 (habrá nuevas identificaciones de usuario para diversas funciones, pero se seguirá ocupando de ello la misma persona hasta que se asignen más recursos humanos). (AFI) Esta medida se aplicará mediante los procedimientos de control de los cambios, mencionados más arriba. (AFI) Esta medida se definirá en relación con los antedichos procedimientos de cambio y de cambio de emergencia. (AFI) Ya se hace para los cambios importantes. No aplicada en parte en parte en parte 15

16 Anexo Debería elaborarse una metodología del ciclo vital del desarrollo de sistemas, que debería ser aprobada por el personal directivo y aplicada. Los programadores no deberían tener acceso a los programas ni a los datos del entorno de producción. Deberían ultimarse las políticas de seguridad para el servicio de control del acceso a los recursos y el sistema virtual múltiple, que deberían ser aprobadas por el personal directivo y aplicadas. Deberían ultimarse y ser aprobados por el personal directivo los procedimientos y normas de control de los cambios para los programas del sistema virtual múltiple y la base de datos del servicio de control del acceso a los recursos. Deberían establecerse políticas y procedimientos oficiales para la rescisión de los contratos. Deberían establecerse procedimientos oficiales para la inscripción de los usuarios. Los responsables de la seguridad de los datos deberían elaborar normas y procedimientos para el examen y seguimiento de las infracciones en materia de seguridad. La oficina de seguridad debería examinar regularmente los registros del sistema. Distintas recomendaciones relativas al acceso lógico y a la definición de atributos en el servicio de control del acceso a los recursos. Distintas recomendaciones relativas a los parámetros de seguridad y a los controles del acceso lógico en el servidor del sistema operativo informático. Esta medida no se considera necesaria pues no se están registrando novedades en el Sistema de Apoyo Informativo en Administración y Finanzas. A partir de mediados de octubre de 2001 los programadores dejarán de tener acceso a la base de datos de producción. El administrador de la base de datos trasladará los programas de uno a otro entorno siguiendo instrucciones del auxiliar administrativo que seguirá de cerca todas las actualizaciones. (AFI) Se han aplicado medidas básicas de seguridad utilizando el servicio de control del acceso a los recursos, de conformidad con las recomendaciones del CICE. El oficial de seguridad de IT será responsable de definir la política de seguridad que habrá de aprobar el personal directivo. (ITS) a mediados de octubre de a mediados de octubre de a mediados de octubre de Este asunto incumbe al CICE y, en algunos casos, excede de sus recomendaciones actuales. El grado y la política de seguridad para el servicio de control del acceso a los recursos han sido definidos y acordados por el CICE y la oficina de seguridad de la OMS; se examinarán como parte integrante de un acuerdo a nivel de servicios con el CICE. (ITS) Se ha preparado una política de seguridad para el sistema operativo informático, que se halla en la fase de revisión final. (ITS) No aplicada Por aplicar Por aplicar 16

17 Anexo El personal directivo debería documentar y llevar a efecto normas y procedimientos de seguridad física. Deberían adoptarse medidas de control de la seguridad física. Debería establecerse, documentarse y ensayarse regularmente un plan oficialmente aprobado de recuperación en caso de desastre. De esta medida se ocupará el oficial de seguridad de IT cuando sea nombrado. Mientras tanto, se han propuesto nuevas medidas de seguridad física para el centro y los servidores de la LAN. (ITS) Véase supra. Dicho plan existe para el CICE y, por consiguiente, también para las instalaciones centrales del sistema de Apoyo Informativo en Administración y Finanzas. Hay en marcha un proyecto encaminado a determinar la viabilidad técnica y los costos de un plan de recuperación en caso de desastre del conjunto de servidores de la OMS. (ITS) Informe de la administración, de 3 de marzo de 2000, respecto de una auditoría de la gestión de tesorería y de caja de la OMS en la Sede Estrategia, política y estructura a) Debería evaluarse y actualizarse el mandato del Comité Asesor de Inversiones. b) El Comité debería reunirse regularmente. a) Se ha actualizado el mandato del Comité Asesor de Inversiones. b) El Comité se reunirá dos veces al año. c) Debería estudiarse su composición. c) Su composición actual se ha modificado para asegurar una representación adecuada. d) Deberían reexaminarse la función y el mandato del Grupo de estudio sobre inversiones internas. e) Deberían definirse oficialmente el mandato y las responsabilidades del Comité y del Grupo. f) Debería actualizarse con más frecuencia la política de inversiones. d) El Grupo en cuestión ha sido sustituido por una representación más amplia en el Comité. e) Se ha actualizado el mandato del Comité. f) Las políticas de inversiones de la Caja del Seguro de Enfermedad del Personal y de los fondos de la OMS han sido ultimadas y aprobadas por la Directora General. Se están presentando informes mensuales de tesorería. Se ha pedido a los gestores de las inversiones que presenten informes en un formato normalizado para facilitar las comparaciones. 17

18 Anexo Medidas para la gestión de los riesgos a) Deberían presentarse regularmente informes sobre la identificación de riesgos, la probabilidad de que ocurran, su probable magnitud y las medidas previstas. b) Debería examinarse la política sobre los límites de exposición. c) Deberían realizarse análisis de sensibilidad. Vigilancia de los riesgos a) Deberían presentarse informes sobre los saldos de caja efectivos y otro tipo de información clave. Criterio y límites de los riesgos a) Debería examinarse la exposición al riesgo. b) Debería estudiarse la posibilidad de aumentar el número de productos autorizados. c) Debería estudiarse la puesta en práctica de la gestión de caja global. a) Se ha iniciado la presentación de informes mensuales resumidos sobre la gestión de los riesgos; los informes de los administradores de fondos se han mejorado con la incorporación de análisis de los riesgos significativos. b) El Comité Asesor de Inversiones ha confirmado los nuevos límites de exposición. Se ha iniciado el ejercicio de licitación para seleccionar a los nuevos administradores de los fondos y la primera fase se ultimará para junio de Se prevé que la segunda fase (fondos de la OMS) se habrá ultimado para septiembre de c) El análisis de sensibilidad figura en los informes ordinarios de tesorería. (Tesorería y Gestión de Riesgos - TSY) a) El proceso de presentación de informes de tesorería comprende la mayoría de las medidas recomendadas. Se perfeccionará cuando se haya iniciado el proceso de selección y aplicación de un nuevo sistema de gestión de tesorería. (TSY) a) Se ha actualizado la política de inversiones. b) La política revisada comprende un mayor número de productos de inversión. c) En las tres regiones que tienen el mayor saldo en efectivo y mayores riesgos económicos y políticos se ha introducido un nuevo sistema de gestión del efectivo regional/por países. (TSY) en su mayor parte en su mayor parte en su mayor parte 18

19 Anexo Gestión de los recursos humanos a) Debería abordarse la inadecuada distribución del trabajo. b) Debería aplicarse un código de conducta. Sistema de información para la gestión Debería abordarse la ineficiencia en la obtención de información y en el acceso a ella. Evaluación del rendimiento Se deberían introducir objetivos y una evaluación oficiales del rendimiento y se debería examinar la vigilancia del desempeño de los gestores de activos externos. a) La reformulación de las descripciones de puestos, que definirán mejor la distinción entre las funciones de tesorería y gestión de fondos que conllevan un contacto con el exterior y las que no conllevan ese contacto, se habrá ultimado para el verano de La repartición del trabajo relacionado con las funciones de tesorería no se ultimará antes de que se haya instalado un nuevo sistema de gestión de tesorería. Se prevé que el sistema aportará considerables mejoras de eficiencia en la manera de efectuar, confirmar, contabilizar y notificar las transacciones de tesorería y mejores controles de esos procesos. Hasta el próximo bienio no se aplicará un nuevo sistema integrado de gestión de tesorería. En los próximos meses comenzará el trabajo de evaluación de los sistemas y las necesidades. La instalación no se realizará antes del verano de (TSY) b) Tras haber examinado esta recomendación en el contexto de Tesorería, se considera que no es necesario desarrollar procedimientos específicos para ésta y que las vigentes disposiciones del Estatuto del Personal y del Reglamento de Personal prevén una protección suficiente. El Jefe de Tesorería es responsable de velar por que toda situación que pudiera dar lugar a un conflicto de intereses se remita al Director de Servicios Financieros. La evaluación de un nuevo sistema de gestión de tesorería y de las necesidades de tesorería de la OMS está prevista para finales del año en curso. No se aplicará antes del verano de (TSY) Se han aplicado medidas relacionadas con el rendimiento tanto de los fondos administrados por la OMS como de los administrados por instancias externas. Por aplicar 19

20 Anexo Gestión de caja a) Debería estudiarse la posibilidad de mancomunación de fondos. a) Se ha ultimado el examen de la política de inversiones, que comprende una división adecuada de las inversiones y una estrategia apropiada para la inversión de los saldos de efectivo a corto plazo. b) Debería mejorar la gestión de caja. b) Se modificarán los procedimientos de gestión del efectivo a corto plazo y se utilizará el sistema de notificación electrónica del saldo bancario para aquilatar el proceso. Se harán pronósticos en cooperación con las oficinas regionales. (TSY) Conciliaciones Debería racionalizarse el número de cuentas bancarias. Contabilidad y consignación de información Deberían estudiarse los asuntos relativos a la contabilidad y la consignación de información. Se está reduciendo el número de cuentas bancarias. (TSY) Para diciembre de 2001 se habrán examinado las vigentes políticas financieras relativas a la valoración y la contabilidad de valores e instrumentos financieros. Este examen tomará en consideración todo cambio de las normas de contabilidad de las Naciones Unidas respecto de los instrumentos financieros a la luz de la documentación reciente de la Comisión de Normas Internacionales de Contabilidad. (TSY) Por aplicar Carta de 7 de marzo de 2000 sobre asuntos de gestión acerca de los resultados de la auditoría final del bienio realizada en la Sede Contribuciones señaladas, obligaciones establecidas y desembolsos efectuados Deberán adoptarse medidas, con inclusión de una posible revisión del Reglamento Financiero, para lograr una recaudación más oportuna de las contribuciones señaladas. Se han revisado el Reglamento Financiero y las Normas de Gestión Financiera. Se ha propuesto a la 54ª Asamblea Mundial de la Salud un procedimiento de tramitación de solicitudes de arreglos especiales. 20