El cuidado de los datos vinculados al Presupuesto depende de la “pericia de personal clave”
La AGN analizó el mecanismo en el que se vuelcan todos los gastos del Estado nacional -el Sistema Integrado de Información Financiera-. En su informe se alerta sobre “riesgos superiores a los recomendables”, especialmente en materia de control interno. Hacienda está centralizando los números; y mientras tanto, coexisten 243 registros. Además, no cuenta con estadísticas de incidentes de seguridad.
Cada uno de los gastos que realiza el Estado nacional, desde insumos, viáticos y sueldos, hasta la ejecución de todos los programas, quedan registrados en lo que se conoce como Sistema Integrado de Información Financiera (SIDIF), un mecanismo que funciona bajo la órbita de la Secretaría de Hacienda del Ministerio de Economía, y que permite el seguimiento de la contabilidad general a nivel transaccional, es decir, movimientos de fondos, generación de órdenes de pago y conciliaciones bancarias.
El SIDIF fue analizado por la Auditoría General de la Nación (AGN). El informe aprobado a fines del año pasado -a partir de datos de 2009- alerta sobre “riesgos superiores a los recomendables” en varios aspectos, principalmente, en materia de control interno y de seguridad.
Según la AGN, el Sistema debía establecer mecanismos para identificar los riesgos que pudieran surgir en el manejo de las Tecnologías de la Información (TI), y medir sus impactos, pero los métodos de evaluación que se alcanzaron a crear “no fueron aplicados en todas las áreas” del SIDIF. La investigación añade que “las decisiones se toman en base a la pericia de personal clave”, y no se observan procedimientos formales para la elaboración de informes internos que den cuenta de cómo se usan los recursos informáticos (empleados, instalaciones, sistemas, etc.).
Esta característica, la de hacer descansar factores estratégicos del área en la “habilidad de personal clave”, también se observa en la generación de los indicadores de calidad y de desempeño, terrenos en donde la AGN tampoco pudo detectar la existencia de procedimientos formales para medir la eficiencia del SIDIF en forma periódica.
Asimismo, el organismo de control remarcó que “no se chequea la capacidad de los proveedores externos” del Sistema, pese a que “prácticamente todo el personal de Tecnologías de la Información es contratado”, y, en ese sentido, los análisis que realizan la Sindicatura General de la Nación (SIGEN) y la propia Unidad de Auditoría Interna (UAI) del Ministerio de Economía “son eventuales”.
Funcionamiento
El Sistema Integrado de Información Financiera comenzó a usarse en 1993. Cada jurisdicción del Estado dispone de un Servicio de Administración Financiera (SAF) y de un mecanismo propio para el seguimiento de sus gastos. En un principio, la mayoría de las áreas contaba con un SIDIF Local Unificado (SLU). Aunque estos sistemas funcionaban de manera independiente, permitían realizar transacciones en conexión con el SIDIF Central, mediante un modo de transmisión de datos denominado TRANSAF.
A partir de 2003 comenzó un proceso de actualización tecnológica del SIDIF. El informe de la Auditoría explica que se buscaba lograr un sistema que cubriera la funcionalidad de la administración financiera del Estado, tanto a nivel central como para los organismos descentralizados, utilizando tecnologías de entorno web.
Al momento del análisis del organismo de control, el SIDIF aún se encontraba en “etapa de transición” desde su primitiva forma de trabajo hacia una nueva modalidad web, denominada “e-SIDIF”. Para la AGN, esta situación provocó que los riesgos en el tratamiento de los datos financieros se ubicaran por encima de los niveles recomendables, encontrándose, por un lado, la convivencia de los mecanismos aplicados en distintas épocas y, por el otro, la coexistencia de “varias bases de datos con su duplicación y/o triplicación”. Los técnicos puntualizaron que durante su investigación hallaron “243 bases de datos en producción”.
Dice la conclusión de la Auditoría Nacional: “Para mitigar este inconveniente se desarrollaron una serie de procedimientos, automáticos y manuales, que verifican que un dato tenga el mismo valor en todas sus apariciones. La solución a este problema solo existirá cuando se termine el desarrollo de los módulos faltantes (en referencia al e-SIDIF), y se migre la totalidad de los organismos usuarios al nuevo sistema, permitiendo abandonar definitivamente los anteriores, y con ello unificar los datos en una única base”. Además, recomienda que “deben realizarse todos los esfuerzos disponibles para terminar con ésta situación que pone en riesgo la confiabilidad e integridad de los datos”.
Seguridad
En su relevamiento, la Auditoría sostiene que “es necesario mantener la integridad de la información (del SIDIF) y proteger los activos de TI, lo que requiere un proceso de administración de seguridad”. En este sentido, el organismo de control detectó que el riesgo es “alto”, porque “no se llevan estadísticas, ni realizan informes periódicos sobre incidentes de seguridad”.