Upload
dangque
View
219
Download
0
Embed Size (px)
Citation preview
Subsecretaría de Pesca y Acuicultura
Aplicaciones informáticas para el control de captura máxima permisible por especie,
derechos de extracción, otorgamiento de permisos de pesca y zonas vedadas.
Auditoría General de la Nación
Gerencia de Planificación y Proyectos Especiales
Departamento de Auditoría Informática
Índice
1. OBJETO DE AUDITORÍA ............................................................................................... 1 2. ALCANCE ........................................................................................................................ 1
2.1. Ejecución del Trabajo de Auditoría ......................................................................................................... 1 2.2. Enfoque del Trabajo de Auditoría ........................................................................................................... 2 2.3. Procedimientos de Auditoría ................................................................................................................... 2
3. ACLARACIONES PREVIAS ........................................................................................... 3 3.1. Marco institucional y presente de la actividad pesquera marítima .......................................................... 3 3.2. Contexto de TI del objeto de control ....................................................................................................... 9
4. COMENTARIOS Y OBSERVACIONES ...................................................................... 10 4.1 Funcionalidades del Sistema .................................................................................................................. 10 4.2 Confiabilidad de los Sistemas ................................................................................................................ 12 4.3 Procesos Críticos de Negocios ............................................................................................................... 24
5. RECOMENDACIONES.................................................................................................. 32 5.1 Funcionalidades del Sistema .................................................................................................................. 32 5.2 Confiabilidad de los Sistemas ................................................................................................................ 32 5.3 Procesos Críticos de Negocios ............................................................................................................... 34
6. CONCLUSIONES ........................................................................................................... 35 7. COMUNICACIÓN AL ENTE ........................................................................................ 38 8. LUGAR Y FECHA.......................................................................................................... 39 9. FIRMA ............................................................................................................................. 39 10. ANEXOS ....................................................................................................................... 40
ANEXO I – Comentarios del auditado ......................................................................................................... 40 ANEXO II – Análisis de los comentarios del auditado ................................................................................ 47
Glosario
CMP: Captura Máxima Permisible.
COBIT: Control Objectives for Information and Related Technologyu Objetivos de Control
para Información y Tecnologías Relacionadas. Se utiliza como marco de referencia
de buenas prácticas en TI.
.DBF: Formato de archivo de base de datos.
DC: Data Center, Centro de Procesamiento de Datos o Centro de Cómputos.
Incidente: de acuerdo con ITIL, es cualquier evento que no forma parte del desarrollo
habitual del servicio y que causa, o puede causar una interrupción del mismo o
una reducción de la calidad de dicho servicio.
ISO 27000: conjunto de estándares desarrollados por ISO (International Organization for
Standardization) e IEC (International Electrotechnical Commission), que
proporcionan un marco de gestión de la seguridad de la información
ITIL: Information Technology Infrastructure Library o Biblioteca de Infraestructura de
Tecnologías de Información. Se utiliza como marco de referencia de buenas
prácticas en TI.
Mar territorial: De acuerdo a la ley 23.968, art. 4º, es aquel que se extiende hasta una
distancia de doce millas marinas a partir de las líneas de base utilizadas para medir
los espacios marítimos.
Pishing: Abuso informático consistente en la captura maliciosa de datos.
PostgreSQL: sistema de gestión de bases de datos objeto-relacional.
Problema: fallo producido en sistema por un mal funcionamiento del software o hardware
que puede producir desde una disminución en su performance hasta la salida de
servicio de todo el sistema afectado.
Script: programas pequeños o simples, para realizar tareas muy específicas.
SISGRAL: Sistema General de Pesca, utilizado por la SSPyA para administrar y controlar
la actividad pesquera.
SSPyA: Subsecretaría de Pesca y Acuicultura, dependiente de la Secretaría de Agricultura,
Ganadería y Pesca.
TI: Tecnologías de la Información.
Visual Fox: Lenguaje de programación.
ZEE: (Zona Económica Exclusiva) De acuerdo a la ley 23.968, la zona económica
exclusiva argentina se extiende, más allá del límite exterior del mar territorial, hasta
una distancia de doscientas millas marinas a partir de las líneas de base utilizadas
para medir los espacios marítimos. En ella, la Nación Argentina ejerce derechos de
soberanía para los fines de la exploración y explotación, conservación y
administración de los recursos naturales, tanto vivos como no vivos
INFORME DE AUDITORÍA
1
Al Señor Subsecretario de Pesca y Acuicultura
Lic. Tomás Gerpe
En uso de las facultades conferidas por el artículo 118 de la Ley 24.156, la AUDITORÍA
GENERAL DE LA NACIÓN procedió a efectuar un examen en la Subsecretaria de Pesca y
Acuicultura, dependiente del Ministerio de Agroindustria, con el objeto que se detalla en el
apartado 1.
1. OBJETO DE AUDITORÍA
Análisis de las aplicaciones informáticas y base de datos utilizadas para el control de captura
máxima permisible por especie, derechos de extracción, otorgamientos de permisos de pesca
y zonas vedadas.
2. ALCANCE
2.1. Ejecución del Trabajo de Auditoría
El examen fue realizado de conformidad con las Normas de Control Externo Gubernamental
aprobadas por la AUDITORÍA GENERAL DE LA NACIÓN mediante la Resolución N°
26/15, dictada en virtud de las facultades conferidas por el artículo 119 inciso “d” de la Ley
N° 24.156, aplicándose los procedimientos detallados en el punto 2.3.
El inicio de las tareas de auditoría se notifican al organismo el 30/06/16 mediante Nota N°
51/16-A06.
En función de estos antecedentes resulta:
Período auditado: 01/06/2015 al 31/05/2016
INFORME DE AUDITORÍA
2
Las tareas de campo se desarrollaron de agosto de 2016 a febrero de 2017.
2.2. Enfoque del Trabajo de Auditoría
La tarea abarcó la verificación de las aplicaciones informáticas para el control de captura
máxima permisible por especie, derechos de extracción, otorgamientos de permisos de pesca
y zonas vedadas en aguas marítimas de jurisdicción nacional. Para ello, y a partir de la
información obtenida, se identificaron los temas de mayor exposición al riesgo, realizándose
pruebas sustantivas y de cumplimiento para el control de los mismos.
La auditoría tuvo en cuenta estándares internacionales establecidos como marco de
referencia para buenas prácticas de TI, tales como COBIT (Control Objectives for
Information Technologies and Related) versión 4.1, normas ISO 27000 y 27001 e ITIL, entre
otras. Estas describen los procedimientos que una organización debe implementar para
obtener resultados óptimos en la gestión de la información.
2.3. Procedimientos de Auditoría En la etapa de análisis se realizaron los siguientes procedimientos:
• Inspección y control del cumplimiento de lo establecido por el Régimen Federal de
Pesca, Ley 24.922, Decreto Reglamentario 748/1999.
• Inspección ocular de la infraestructura de control de los Puertos de Mar del Plata,
Rawson, Puerto Madryn y Puerto Deseado.
• Inspección ocular de los procedimientos relativos al control de la descarga de productos
en los puertos mencionados.
• Inspección ocular de los procedimientos vinculados a la carga de datos en las
aplicaciones utilizadas en los distritos pesqueros para el control de la actividad.
• Recopilación de información mediante entrevistas mantenidas con los responsables y
personal de la Subsecretaria de Pesca, Dirección Registro de la Pesca, Dirección de
Administración Pesquera, Dirección de Control y Fiscalización, Coordinación de
INFORME DE AUDITORÍA
3
Permisos de Pesca, Distrito de Pesca Puerto Deseado, Distrito de Pesca Puerto de
Rawson, Distrito de Pesca de Puerto Madryn, Distrito de Pesca Mar del Plata.
• Entrevistas con personal de la Unidad de Auditoría Interna.
• Entrevistas con el personal encargado del desarrollo y mantenimiento de los aplicativos
utilizados por la Subsecretaria de Pesca y Acuicultura.
• Análisis del funcionamiento de los aplicativos utilizados por la Subsecretaria de Pesca y
Acuicultura en un entorno de pruebas.
• Análisis de la consistencia de los datos almacenados en las bases de datos de las
aplicaciones.
3. ACLARACIONES PREVIAS 3.1. Marco institucional y presente de la actividad pesquera marítima
La República Argentina
posee un litoral marítimo
cuya línea de costa tiene
una longitud aproximada
de 4.800 km. En su Zona
Económica Exclusiva
(ZEE) la Nación ejerce
derechos de soberanía
para los fines de la
exploración, explotación,
conservación y
administración de los
recursos naturales (ley
Perfil del mar territorial argentino”. Fuente: 2011. “Lineamientos para la Incorporación de la Problemática del Mar Argentino en la Planificación Territorial” - Subsecretaria de Planificación Territorial de Inversión Pública - Ministerio de Planificación Federal.
INFORME DE AUDITORÍA
4
23.968, art. 5º), lo que conforma una superficie marítima de 2.809.237 1km2 que recae bajo
su exclusiva jurisdicción. De acuerdo a la ley 23.968, la zona económica exclusiva argentina
se extiende, más allá del límite exterior del mar territorial, hasta una distancia de doscientas
millas marinas a partir de las líneas de base que se establecen en el artículo 1 (art. 5º), siendo
el mar territorial argentino aquel que se extiende hasta una distancia de doce millas marinas
a partir de las mencionadas líneas de base (art. 4º). La citada ley es consistente con la
Convención de las Naciones Unidas sobre el Derecho del Mar.
La fauna ictícola que habita el dominio marítimo constituye un importante recurso
económico para la nación y para las economías regionales de las provincias costeras. De
acuerdo a información publicada por la Subsecretaría de Pesca y Acuicultura,2 el volumen
total de pesca marítima en 2015 alcanzó las 768.010 toneladas. La importancia del sector
también se manifiesta por sus exportaciones: en 2015 se enviaron al exterior 460.485
toneladas por un valor de U$D 1.465.935.000, superando en monto a las de carne vacuna de
ese año. Según información provista por el auditado, el sector pesquero representa un 0,22%
del PBI y ocupa a más de 40.000 trabajadores directos e indirectos.
De la gran variedad de peces que habitan el Mar Argentino, más del 70% del peso extraído
corresponde a merluza, langostino, calamar y corvina blanca,3 cuya explotación se concentra
en los puertos de Mar del Plata, Puerto Madryn, Puerto Deseado, Ushuaia y Rawson, con
más del 90% del tonelaje.
La ley 24.922, “Régimen Federal de Pesca”, determina el marco legal que regula la actividad
pesquera marítima nacional. Conforme a ésta, la Nación Argentina fomentará el ejercicio de
la pesca marítima y adoptará las medidas tendientes a promover la protección de los recursos
1 Fuente: 2011. “Lineamientos para la Incorporación de la Problemática del Mar Argentino en la Planificación Territorial” - Subsecretaria de Planificación Territorial de Inversión Pública - Ministerio de Planificación Federal. 2www.agroindustria.gob.ar/sitio/areas/pesca_maritima/desembarques/lectura.php?imp=1&tabla=especie_puerto_2015 3 Merluza H Sur 41 (29.86%), langostino (18.64%), calamar illex (16.49%), merluza H Norte 41 (4.21%), corvina blanca (4.08%). Información obtenida de www.agroindustria.gob.ar. Fecha de ingreso: 7/09/2016.
INFORME DE AUDITORÍA
5
vivos marinos y la conservación en la Zona Económica Exclusiva. En ese orden, el art. 1º
determina que:
La Nación Argentina fomentará el ejercicio de la pesca marítima en procura del máximo
desarrollo compatible con el aprovechamiento racional de los recursos vivos marinos.
Promoverá la protección efectiva de los intereses nacionales relacionados con la pesca y
promocionará la sustentabilidad de la actividad pesquera, fomentando la conservación a largo
plazo de los recursos, favoreciendo el desarrollo de procesos industriales ambientalmente
apropiados que promuevan la obtención del máximo valor agregado y el mayor empleo de
mano de obra argentina.
La norma citada, en su art. 7º determina cuáles serán las funciones de la autoridad de
aplicación, indicándose a continuación los incisos relevantes para el objeto de auditoria:
• Conducir y ejecutar la política pesquera nacional, regulando la explotación,
fiscalización e investigación; (inc. a)
• Fiscalizar las Capturas Máximas Permisibles por especie, establecidas por el Consejo
Federal Pesquero y emitir las cuotas de captura anual por buques, por especies, por
zonas de pesca y por tipo de flota, conforme las otorgue el Consejo Federal Pesquero;
(inc. c)
• Calcular los excedentes disponibles y establecer, previa aprobación del Consejo
Federal Pesquero las restricciones en cuanto a áreas o épocas de veda; (inc. e)
• Elaborar y/o desarrollar sistemas de estadística de la actividad pesquera; (inc. i)
• Reglamentar el funcionamiento del Registro de pesca creado por esta ley; (inc. k)
• Percibir los derechos de extracción establecidos por el Consejo Federal Pesquero;
(inc. l)
• Establecer e implementar los sistemas de control necesarios y suficientes de modo
de determinar fehacientemente las capturas en el mar territorial y la Zona Económica
Exclusiva y desembarcadas en puertos argentinos habilitados y el cumplimiento y
veracidad de las declaraciones juradas de captura; (inc. o)
INFORME DE AUDITORÍA
6
Con el objeto de propender a una eficaz administración y un adecuado control de los recursos
pesqueros, resulto necesario, conforme la Res. 27/2003, que la Secretaría de Agricultura,
Ganadería, Pesca y Alimentación delegue en la Subsecretaría de Pesca y Acuicultura el
ejercicio de las facultades conferidas por el artículo antes mencionado.
Para ejercer la actividad extractiva es necesario contar con un “permiso de pesca”,
habilitación otorgada por la autoridad de aplicación, previa autorización del Consejo Federal
Pesquero. El permiso sólo será efectivo cuando se complemente con una “Cuota Individual
Transferible de Captura” (para especies cuotificadas) o con una “Autorización de Captura”
(para especies no cuotificadas).4 Dichas cuotas configuran cupos temporales de pesca a favor
de un titular de permiso de pesca y vinculado a un buque determinado, que lo faculta a pescar
un porcentaje de la “Captura Máxima Permisible” (CMP). En este sentido, la cuota
individual se fija en relación al máximo que el Consejo determine en forma anual para la
especie de que se trate. Tanto la Cuota Individual Transferibles de Captura como la
Autorización de Captura están asociadas a una determinada especie y buque, y pueden ser
transferidas entre éstos.5
El Consejo Federal Pesquero creado por el art. 8º de la ley 24.922 debe “establecer la
Captura Máxima Permisible por especie, teniendo en cuenta el rendimiento máximo
sustentable de cada una de ellas, según datos proporcionados por el INIDEP. Además
[debe] establecer las cuotas de captura anual por buque, por especie, por zona de pesca y
por tipo de flota” (art. 9º).
4 En ese sentido, el art. 28 de la ley 24.922 establece que los permisos de pesca, se refieren “a las habilitaciones otorgadas a los buques solamente para acceder al caladero, siendo necesario para ejercer la pesca contar con una cuota de captura asignada o una autorización de captura en el caso que la especie no este cuotificada”. 5 En la actualidad las especies que se administran a través del sistema de cuotas de pesca, por su abundancia, características y con la finalidad de priorizar el valor comercial atento que en ellas se concentra una actividad pesquera importante, son la merluza común (Merluccius hubbsi), merluza de cola (Macruronus magellanicus), merluza polaca (Micromesistius australis), merluza negra (Dissostichus eleginoides) y vieira (Zygochlamys patagónica).
INFORME DE AUDITORÍA
7
Por su parte, el Instituto de Investigación y Desarrollo Pesquero (INIDIEP), organismo
descentralizado del Ministerio de Agroindustria, debe determinar anualmente el rendimiento
máximo sostenible de las especies (art. 12º).
En lo que respecta a la fiscalización de la actividad, de acuerdo a información provista por
el auditado, la Subsecretaría de Pesca y Acuicultura emite un promedio anual de doscientas
disposiciones y resoluciones de infracciones, que suman aproximadamente $17.000.000. A
esto deben sumarse $22.500.000 en concepto de multas labradas a buques de bandera
extranjera que pescan en la ZEE sin los permisos correspondientes, más U$D 599.909 por
decomiso de carga.
Las infracciones más comunes son:
• Pesca en zona de veda.
• No utilizar dispositivos de selectividad para juveniles en las artes de pesca.
• Diferencias entre lo declarado en el Parte de Pesca y el Acta de Descarga.
• Inobservancia de las normas de clasificación y pesaje en el control de las descargas
en puerto.
Dentro del alcance de la auditoria se identificaron como procesos críticos:
• Ingreso de los datos de las Actas de Desembarco.
• Proceso de monitoreo de buques.
Uno de los procesos más relevantes del organismo es el ingreso de datos de las Actas de
Desembarco. Los datos que dan cuenta de las capturas realizadas por un buque habilitado se
ingresan a través de una aplicación Web a la que acceden los agentes de la Subsecretaria de
Pesca y Acuicultura de los distintos distritos pesqueros. Dichos datos se almacenan en
primera instancia en una base de datos, pero luego son convertidos a otro formato para que
puedan ser interpretados por el sistema que genera los reportes y estadísticas de importancia
INFORME DE AUDITORÍA
8
para las funciones de la Subsecretaría. Información como capturas por especie o buque,
permisos de pesca, habilitaciones, entre otras es recopilada y procesada en este sistema.
Otro proceso relevante consiste en el control de la posición de los buques mediante el
monitoreo, a los efectos de verificar que no se encuentren pescando fuera de las zonas
asignadas o en zonas de veda. Para ello se descarga su posición desde distintos proveedores
de servicios de localización satelital, y se las contrasta con las cartas de las zonas
monitoreadas.
La SSPyA lleva a cabo las tareas administrativas asociadas a la fiscalización -recepción de
documentación, solicitud de inspectores, etc.- en oficinas situadas en cercanía de los muelles
de desembarque. En los casos de Puerto Deseado y Puerto Madryn (foto), aproximadamente
a 0,5 y 2 km. de
distancia,
respectivamente. En
cuanto a Rawson, las
tareas administrativas
de la Subsecretaria de
Pesca se realizan en un
contenedor metálico
dentro del predio del
puerto acondicionado
como oficina. En Mar
del Plata las oficinas se
encuentran en
cercanías de los
muelles de descarga, aunque no todas las tareas de control se realizan en la zona portuaria:
a solicitud de los armadores, las empresas pesqueras o las plantas procesadoras, el control
del peso de los productos descargados puede realizarse en donde éstos lo indiquen,
generalmente en las mismas plantas procesadoras. Ocasionalmente se determinan hasta tres
INFORME DE AUDITORÍA
9
lugares para realizar los controles, debiendo la Subsecretaria enviar inspectores a cada uno
de ellos.
3.2. Contexto de TI del objeto de control
La Subsecretaría de Pesca y Acuicultura (SSPyA) administra y controla la actividad
pesquera mediante un único sistema modular denominado Sistema General de Pesca
(SISGRAL). Se encuentra instalado en servidores virtuales alojados en el Data Center del
Ministerio de Agroindustria, quien se encarga de mantenerlos disponibles y proveer la
seguridad física, lógica y los enlaces de comunicaciones necesarios.
La SSPyA cuenta con un área de desarrollo informático compuesta por cinco agentes que se
ocupan del desarrollo de las aplicaciones, su implementación y mantenimiento. Además
administran los servidores donde se encuentran alojadas las mismas.
El SISGRAL es un sistema desarrollado en Visual Fox en la década de los 90, que ha sido
adaptado periódicamente para contemplar las decisiones del Consejo Federal Pesquero. Si
bien se presenta con una interfaz única, está compuesto por un conjunto de módulos, cada
uno de los cuales cumple una finalidad específica en el proceso de control de la información
referida a la actividad pesquera.6
Este sistema administra información tal como permisos de pesca, permisos de zarpada,
registro de buques, registro de pesca, estadísticas y reportes de cupo por buque, entre otras.
El ingreso de datos es realizado desde diferentes ubicaciones, dependiendo del área
responsable de su carga. A modo de ejemplo, el ingreso de datos provenientes de las Actas
de Desembarco se realiza en los distritos pesqueros mediante una interfaz web (SCAPN), a
partir de la transcripción de dichas planillas que fueran confeccionadas a mano en el puerto.
6 Los principales módulos que componen el SISGRAL son i) estadísticas y actas de desembarque, ii) arancelamiento, iii) sumarios, iv) buques y armadores, v) inspectores a bordo, vi) pago tangoneros, vii) embarcos de inspectores; entre otros que facilitan la gestión de documentación del organismo.
INFORME DE AUDITORÍA
10
Esta plataforma web de carga de datos utiliza una base de datos relacional convencional
administrada con un motor de base de datos PostgreSQL, a diferencia del SISGRAL, que
utiliza archivos .DBF. Esta configuración requiere de una interface para ejecutar tareas de
extracción y conversión de datos, y de ese modo abastecer a la base de datos del SISGRAL.
La conectividad de los puertos se realiza a través de servicios ADSL,7 lo que permite la carga
de los datos en un portal publicado en Internet.
4. COMENTARIOS Y OBSERVACIONES 4.1 Funcionalidades del Sistema 4.1.1 La plataforma informática que utiliza la SSPyA no consolida la información hasta que
las actas estén totalmente cargadas, lo que retrasa la actualización de la información en la
base de datos.
El sistema que posibilita la carga de Actas de Desembarco desde los distritos pesqueros exige
que la información ingresada sea completa para poder guardarse, incluyendo el documento
fuente escaneado. Dada la escasa disponibilidad de scanner en los distritos visitados, la carga
suele sufrir demora. Asimismo, ciertos datos relativos al buque deben ser brindados por la
provincia respectiva y cargada en conjunto con el parte. En este sentido y habida cuenta que
provienen de fuentes y momentos distintos, este procedimiento también puede afectar la
carga de datos. No hay ninguna funcionalidad del sistema que permita advertir la falta de
carga de partes presentados.
La falta de: i) un procedimiento automatizado que asegure que todas las Actas de
Desembarco sean cargadas, ii) un diseño de sistema que permita la carga parcial del acta de
pesca y iii) la falta de equipamiento en algunos distritos, impide que el sistema cuente con
7 Tecnología de acceso a Internet de banda ancha, que permite la conexión mediante línea telefónica.
INFORME DE AUDITORÍA
11
información completa en el momento oportuno, lo que eventualmente permitiría otorgar
permisos de pesca a buques sin cuota, entre otros riesgos de control.
4.1.2 El SISGRAL no ha sido desarrollado conforme a buenas prácticas de desarrollo de
software, no cuenta con documentación formal, y su diseño dificulta su operatividad, lo que
genera dependencia crítica de personal.
De acuerdo a las mejores prácticas del mercado (como por ejemplo COBIT), es fundamental
desarrollar documentación formal sobre todas las etapas del proceso de desarrollo, desde la
definición del requerimiento hasta su implementación y puesta en producción.
El SISGRAL es un sistema desarrollado hace más de dos décadas, utilizando tecnologías
adecuadas para la época, pero consideraras obsoletas desde hace varios años. El mismo posee
errores de diseño, mensajes de error confusos y ausencia de documentación técnica formal
alguna, lo que impacta negativamente en la experiencia del usuario.
Para ilustrar esta situación, en las pruebas de campo, se pudo encontrar el siguiente mensaje
de error, haciendo referencia a una persona y su extensión, en lugar de un área:
Por último, el SISGRAL no emite alarmas cuando algunos de los valores -por ejemplo,
captura de especie por buque- supera el máximo permitido de acuerdo a los permisos
otorgados, lo que dificulta las acciones de control.
Ejemplo de mensaje de error del SISGRAL. Fuente: procedimientos de auditoría.
INFORME DE AUDITORÍA
12
4.1.3 El SISGRAL almacena sus datos en bases que no poseen ninguna medida de control
interno que permita asegurar su integridad. El organismo está así expuesto a la alteración
indebida de registros sin que pueda percatarse de ello.
El SISGRAL almacena los datos en una serie de archivos denominados DBF (Database File),
un antiguo formato de archivo en el que los datos no poseen ningún tipo de estructura,
encriptación, protección contra escritura ni registro de modificación.
El paradigma computacional moderno exige que se asegure la integridad, seguridad y
confidencialidad de los datos, y se mantenga registro de quién modifica los datos
almacenados.
Operar con archivos DBF deja a la organización expuesta a la destrucción o alteración de
datos, sin almacenar rastro alguno de quien realizare la operación.
4.2 Confiabilidad de los Sistemas 4.2.1 El área de desarrollo de la Dirección de Administración Pesquera no aplica un marco
metodológico para la gestión de proyectos de desarrollo de software, incluida la migración
del sistema crítico, lo que dificulta su seguimiento, el control y medición de avances y la
calidad de los entregables de cada etapa.
A partir de los relevamientos realizados con los agentes del área de desarrollo de software
respecto del proyecto de migración del sistema existente desarrollado en Visual FOX, al
sistema actual desarrollado sobre una plataforma web, se ha constatado que no se aplica
ningún enfoque metodológico que permita visualizar la formalización de las etapas del
proyecto, plazos de entrega, esquemas de validación y aceptación de los entregables,
seguimiento, control y medición de la productividad del equipo de desarrollo involucrado en
el proyecto.
INFORME DE AUDITORÍA
13
Según lo indicado por las buenas prácticas (PMBook, ITIL, COBIT, entre otros), la gestión
de proyectos es un enfoque metódico que permite planificar y orientar los procesos del
proyecto de principio a fin, con altos niveles de eficiencia. De acuerdo a estas prácticas, los
procesos de todo proyecto se guían por cinco etapas: iniciación, planificación, ejecución,
control y cierre. La gestión de proyectos es ampliamente utilizada para controlar los procesos
complejos de proyectos de desarrollo de software.
Llevar adelante un proyecto de desarrollo de software sin un marco metodológico concreto,
más aún cuando su objetivo es migrar un sistema que se encuentra actualmente en
producción y que es crítico para la organización, a un sistema de similares características de
criticidad, pero sobre la base de nuevas herramientas y nuevas plataformas tecnológicas,
conlleva un alto riesgo de que éste se torne indefinido en sus plazos, que se pierda el control
sobre el ciclo de vida y que sea poco efectivo para la organización al momento de que se
concreten las implementaciones de los entregables.
4.2.2 El área de desarrollo de sistemas dependiente de la Dirección de Administración
Pesquera no cuenta con procedimientos normalizados de gestión de configuraciones,
cambios y versiones que permitan llevar un eficiente control sobre las modificaciones de los
sistemas de información críticos puestos en producción. Esta debilidad representa un riesgo
para la disponibilidad del sistema y, por lo tanto, para la administración y control de la
actividad pesquera.
De los trabajos de análisis, relevamiento y seguimiento realizados con el personal
involucrado en el desarrollo y mantenimiento de los sistemas aplicativos de la Dirección de
Administración Pesquera se ha detectado que las configuraciones de los activos de TI y los
cambios y mejoras sobre los sistemas de información se gestionan a través de solicitudes
verbales, por correo electrónico, vía telefónica, mediante notas o a través de apuntes internos
del área de desarrollo. Estas solicitudes de las áreas usuarias son distribuidas informalmente
entre los integrantes del equipo de desarrollo, que deriva en la ejecución de un proyecto
INFORME DE AUDITORÍA
14
individual, desde la etapa de desarrollo hasta su implementación definitiva, sin aprobación
por parte del usuario solicitante.
Estos procedimientos aplicados por el área de desarrollo de sistemas no están dentro de un
esquema normalizado de gestión de las configuraciones, cambios y versiones, por lo cual
resultan insuficientes para una correcta administración de los cambios correctivos,
adaptativos y evolutivos que se aplican a las versiones de los sistemas de información que
se ponen en producción, lo que genera dependencia crítica sobre la persona que desarrolló
el cambio en el sistema.
De acuerdo a lo establecido por las mejores prácticas para el desarrollo y despliegue de
software (CMMI e ITIL), la gestión de las configuraciones y el control de cambios son
esenciales para un debido seguimiento de estas actividades, con el objetivo de garantizar
niveles de calidad aceptables para todos los productos generados por los integrantes del
equipo de desarrollo. Dicho control ayuda a eliminar la posibilidad de confusiones que
puedan resultar de alto costo para el proyecto y el organismo, al asegurar que no existan
inconsistencias en el sistema desarrollado generadas por:
• Actualizaciones simultáneas; que ocurren cuando varios integrantes del equipo
trabajan sobre un mismo elemento al mismo tiempo.
• Problemas en la notificación de cambios; cuando un problema fue resuelto para algún
elemento que es compartido por varios desarrolladores, pero alguno de ellos no fue
notificado de dicho cambio.
• Múltiples versiones; en virtud de que usualmente se cuenta con varias versiones del
producto en desarrollo (por ejemplo, una versión de desarrollo y otra de test), pero
un cambio en una no necesariamente se ve reflejado en las otras.
INFORME DE AUDITORÍA
15
4.2.3 Las funciones del área de desarrollo de sistemas de la Dirección de Administración
Pesquera no se encuentran segregadas, lo que puede originar errores no detectados en el
desarrollo del sistema, por falta de controles cruzados.
En los trabajos de campo se detectó que los agentes pertenecientes al área de desarrollo de
sistemas son poli-funcionales y en la asignación de funciones y responsabilidades no se
practica el concepto de segregación de funciones. Si bien cada agente tiene una función
primaria base, todos están habilitados a asumir funciones de desarrolladores, control de
calidad (testing), soporte a usuarios, operaciones de los servicios de TI, administración de
las bases de datos y administración del entorno de producción de los sistemas de
información.
Las buenas prácticas indican que la implementación de un esquema de segregación de
funciones para los recursos de un área de sistemas representa una actividad de control por
oposición de intereses que asegura una adecuada administración de los activos y de los
servicios de tecnología de información, en función del cumplimiento de los objetivos de una
organización.
Una segregación adecuada de funciones reduce la probabilidad de no detectar
modificaciones intencionales o errores involuntarios, lo que resulta funcional a la protección
de los activos de la organización. Por el contrario, una inadecuada segregación de funciones
puede derivar en debilidades materiales y de servicios, y producir deficiencias significativas
en los controles internos.
4.2.4 No se encuentran formalizados los acuerdos de niveles de servicio entre la Dirección
de Administración Pesquera de la Subsecretaría de Pesca y Acuicultura y la Dirección de
Informática del Ministerio de Agroindustria, por lo que resulta imposible asegurar la
calidad del servicio provisto a nivel hardware, software y seguridad física.
INFORME DE AUDITORÍA
16
La infraestructura tecnológica, las telecomunicaciones y los sistemas de información que
brindan servicios al entorno operativo de la Dirección de Administración Pesquera, son
gestionados por la estructura técnica de la Dirección Informática del Ministerio de
Agroindustria. El servicio que brinda la Dirección Informática tiene por objetivo principal
asegurar la disponibilidad de la infraestructura tecnológica y los sistemas de información
que la Dirección de Administración Pesquera utiliza para gestionar eficientemente sus
procesos operativos.
A partir de las entrevistas realizadas con los responsables del soporte y mantenimiento de
los sistemas de información de la Dirección de Administración Pesquera, se pudo constatar
que si bien las condiciones generales del servicio se cumplen razonablemente, no se
encuentran documentados los acuerdos de niveles de servicios ofrecidos por la Dirección de
Informática y los requeridos por la Dirección de Administración Pesquera, que permitan
garantizar la demanda de disponibilidad tecnológica que necesitan los procesos operativos
de dicho organismo.
Esta carencia impide a ambas partes asegurar la calidad del servicio en aspectos tales como
tiempo de respuesta, disponibilidad horaria, documentación disponible, personal asignado al
servicio, etc., lo que indefectiblemente conduce a una administración informal del servicio
de locación de los activos tecnológicos de la Dirección de Administración Pesquera.
4.2.5 La Dirección de Administración Pesquera no exige la implementación de un plan de
contingencia ni de recuperación de desastres (DRP), lo que pone en riesgo la continuidad
del servicio brindado por los sistemas de información utilizados diariamente por esta
dirección.
Frente a la posibilidad de que ocurran eventos que puedan dejar fuera de servicio a los
sistemas de información –como un incendio en las instalaciones del centro de cómputos-,
los organismos deben contar con un plan de recuperación de desastres (DRP) que especifique
los pasos a seguir para asegurar la continuidad del servicio frente a dichos eventos. Los
INFORME DE AUDITORÍA
17
planes deben ponerse a prueba con cierta regularidad para que, ocurrido el desastre, las
funciones estén automatizadas y aprendidas por los responsables.
Las mejores prácticas en materia de continuidad de servicio (COBIT DS4.2) establecen la
necesidad de detallar específicamente los procedimientos de restablecimiento de servicio
ante una eventualidad. Estos planes deben ser detallados, incluyendo responsables asignados
y tiempo de ejecución estimado por cada tarea.
La Dirección de Administración Pesquera no posee un plan formal provisto por la Dirección
de Informática del Ministerio de Agroindustria que asegure la continuidad del servicio ante
incidentes o desastres ocurridos en el centro de procesamiento de datos en el cual se
encuentran alojados los servidores de la Dirección de administración Pesquera.
4.2.6 El área competente de la Subsecretaría de Pesca y Acuicultura no cuenta con
procedimientos de gestión de incidencias y de problemas que permitan llevar un eficiente
control sobre los errores y anomalías que se presentan en los sistemas de información
puestos en producción, considerados críticos para la organización.
El SISGRAL cuenta con una memoria de registro de incidencias que el personal del área de
desarrollo controla diariamente para informarse de errores detectados automáticamente por
el aplicativo. Sin embargo, de acuerdo a lo verificado por el equipo de auditoria, los usuarios
informan los incidentes que se producen y cuya detección no se encuentra automatizada, en
forma verbal, telefónica o por correo electrónico.
Si bien estos procedimientos habilitan a que el área de desarrollo tome las acciones
correctivas necesarias para solucionar las incidencias y problemas8 que se presentan en los
aplicativos en producción, resultan insuficientes para llevar un adecuado y eficiente registro
o historial de incidentes. Un registro de incidentes permitiría realizar análisis y emprender
8 Ver glosario.
INFORME DE AUDITORÍA
18
acciones correctivas orientadas al mejoramiento de la calidad de los aplicativos y a la
disminución de los errores o falencias del software.
De acuerdo a las mejores prácticas en el ámbito del desarrollo de software orientadas a la
gestión de incidencias y problemas (CMMI e ITIL), una adecuada administración y
documentación del ciclo de vida de las anomalías que se presentan en los sistemas
aplicativos permite: i) responder con mayor celeridad a la solución del problema, ii) obtener
una mejor calidad en los resultados de la solución, y iii) disminuir considerablemente la tasa
de anomalías en los sistemas, en definitiva ofreciendo soluciones estructurales más sólidas
que aseguren la estabilidad de los servicios brindados por los sistemas de información.
La inadecuada gestión de incidencias y de problemas conlleva un servicio de TI deficitario
e inestable, lo que conduce inexorablemente a una considerable carencia de confiabilidad
sobre las herramientas informáticas que dan soporte a la operación de la organización.
4.2.7 El área competente de la Subsecretaría de Pesca y Acuicultura no cuenta con un
sistema de seguimiento de pedidos de soporte, lo que limita la calidad del mantenimiento de
la infraestructura de TI.
El área de desarrollo de sistemas dependiente de la Dirección de Administración Pesquera
realiza tareas de soporte al usuario sobre los sistemas aplicativos productivos. Cuando los
usuarios se encuentran con un inconveniente o deben realizar alguna consulta al soporte
técnico, se contactan telefónicamente o vía correo electrónico con el área de desarrollo. Dado
que el número de contacto está asociado a todos los teléfonos del personal asignado a esta
tarea, las llamadas recibidas se derivan a todos ellos en forma simultánea.
Los pedidos de asistencia no se registran en ningún medio o sistema, ya sea por parte del
agente que recibió el pedido inicialmente o por quien lo reemplace, lo que dificulta su
seguimiento, imposibilita la realización de análisis históricos sobre problemas frecuentes y
reduce la eficiencia de la tarea de mantenimiento. Entre los inconvenientes detectados
INFORME DE AUDITORÍA
19
también se menciona la falta de conformidad explicita por parte del usuario sobre la solución
del problema.
Tal y como indican las buenas prácticas, cada pedido de soporte debería registrarse en un
sistema que permita identificar en forma unívoca cada solicitud, tanto para hacer un
seguimiento del estado de los pendientes, como para servir de base de conocimiento y
acelerar así la tarea de los agentes. Podría también ser abierta al usuario con el fin de
disminuir la cantidad de contactos entrantes (llamadas y correos electrónicos), para medir el
nivel de servicio o conocer los pedidos activos y dar la conformidad sobre la tarea realizada
una vez solucionado el incidente.
El no contar con un sistema de estas características conlleva el riesgo de no resolver el
inconveniente de algunos usuarios, o no darle la prioridad adecuada. Asimismo, su falta
imposibilita o dificulta la distribución correcta de las tareas entre los agentes que
corresponda, e impide la identificación de problemas recurrentes a los fines de brindar
soluciones más eficientes. Tampoco deja constancia de quien fue el agente responsable de
resolver el incidente.
4.2.8 Se encuentran desactualizados los procedimientos y guías técnicas sobre los sistemas
aplicativos (SISGRAL e interfaces) mantenidos por el personal del área de desarrollo de la
Dirección de Administración Pesquera, lo que genera dependencia de personal clave.
Los documentos que describen los procedimientos técnicos de los sistemas aplicativos
fueron generados simultáneamente con la puesta en producción, y no se cuenta con versiones
actualizadas ni con una política formal de actualización de dichos documentos.
De acuerdo con las buenas prácticas establecidas para TI, como por ejemplo COBIT, todos
los procedimientos y guías técnicas deben ser mantenidos y actualizados para permitir al
personal mantener la aplicación y la infraestructura asociada de manera efectiva y eficiente
de acuerdo a los niveles de servicio requeridos.
INFORME DE AUDITORÍA
20
A partir de entrevistas realizadas y del análisis y revisión de la documentación provista por
el área de desarrollo de aplicaciones del organismo auditado, se concluye que los
documentos son efectivamente concordantes con los aplicativos en producción y cuentan
con un alcance adecuado en relación a los aspectos que conforman la plataforma e
infraestructura tecnológica que da soporte a la Dirección. No obstante, la brecha existente
entre la documentación vigente y la infraestructura actualmente instalada no permite dar un
adecuado soporte al personal técnico a cargo de la administración de la plataforma
tecnológica del organismo. Esto genera una dependencia de personal clave para la
realización de ciertas tareas, dificultando que las mismas sean llevadas a cabo en su ausencia,
o ante la incorporación de nuevo personal.
4.2.9 El área de desarrollo de la Dirección de Administración Pesquera no provee manuales
de uso de los aplicativos a los agentes de las áreas usuarias, lo que dificulta la transmisión
de conocimiento a los usuarios nuevos.
En los trabajos de campo se ha podido verificar que los sistemas de información de la
organización no cuentan con manuales de usuario como herramienta de apoyo para la
capacitación y operación de estos sistemas por parte de los usuarios.
Las buenas prácticas indican que los sistemas de información utilizados por las áreas
operativas de una organización deben estar acompañados por manuales que constituyen
guías prácticas básicas para operar estos sistemas.
No contar con manuales de usuarios implica que los usuarios carezcan de documentación
oficial que indique el objetivo de los sistemas, cómo funcionan y cómo deben interactuar los
usuarios con los aplicativos. Esto genera incertidumbre en los usuarios y una alta
dependencia sobre el personal técnico que desarrolla y mantiene los sistemas, dificultando,
además, la capacitación de nuevos usuarios.
INFORME DE AUDITORÍA
21
4.2.10 Los agentes del área de desarrollo de la Dirección de Administración Pesquera no
cuentan con un plan de capacitación y actualización técnica sobre las nuevas versiones de
las herramientas y plataformas tecnológicas aplicadas en el entorno de desarrollo de
software sobre el cual trabajan.
En los trabajos de campo realizados en el área de desarrollo se comprobó que los agentes del
área no cuentan con un plan de capacitación y actualización técnica oficial sustentable sobre
las herramientas utilizadas, para el corto y mediano plazo. Cada agente se encarga de
actualizar sus conocimientos y competencias en forma personal.
En la actualidad, debido a los constantes cambios tecnológicos, las mejores prácticas
(COBIT DS7) señalan la necesidad de capacitar en forma permanente al personal de las áreas
de sistemas de cualquier organización, incluso en aspectos metodológicos, estándares,
buenas prácticas y gestión de proyectos.
Establecer planes de capacitación ayuda a definir un rumbo tecnológico y a alinear los planes
de trabajo. Adicionalmente, los planes de capacitación permiten evaluar rendimientos y
calidad de resultados.
4.2.11 El área de desarrollo de sistemas de la Dirección de Administración Pesquera no
cuenta con un adecuado ambiente de control interno.
No se encontró evidencia de la existencia de un efectivo control sobre los procesos y
procedimientos llevados a cabo por el área de desarrollo de sistemas de la Dirección de
Administración Pesquera ni sobre los servicios de TI prestados por los proveedores tanto
internos como externos.
La falta de un adecuado ambiente de control interno expone a la Dirección de Administración
Pesquera a riesgos no detectados, y por lo tanto no mitigados.
INFORME DE AUDITORÍA
22
4.2.12 No existe un procedimiento formal para el control, alta, baja y modificación de
usuarios y permisos de los sistemas de la Subsecretaría de Pesca y Acuicultura, lo que
impide un adecuado control de la seguridad de la información almacenada por los módulos
del sistema.
La Subsecretaría de Pesca y Acuicultura posee diversas aplicaciones, principalmente
orientadas al control de extracción de recursos, licencias e infracciones, entre otras, que
deben ser accedidas por diversos sectores, cada uno con un conjunto de permisos y
atribuciones específicas.
La subsecretaría no cuenta con procedimientos formales de alta y baja de usuarios, ni de
cambio de conjunto de permisos.
La falta de procedimientos formales de administración de usuarios deriva en el riesgo de que
un usuario pueda realizar acciones que no le competen por su función, ya sea por un alta
incorrecta, una baja no realizada, o un cambio de sector no impactado correctamente en el
perfil del usuario.
4.2.13 Las oficinas utilizadas por la Subsecretaria de Pesca en los distintos puertos
pesqueros para llevar a cabo las tareas relacionadas con la recolección de datos y el control
de la actividad pesquera poseen deficiencias que podrían poner en riesgo la continuidad del
servicio.
Durante las tareas de campo pudo comprobarse que la situación de las oficinas utilizadas por
la SSPyA para desarrollar sus actividades de fiscalización, es precaria.
A modo de ejemplo, las oficinas no cuentan con equipos UPS que permitan la continuidad
de las tareas en el caso de interrupción del suministro eléctrico por parte de las empresas
proveedoras. De acuerdo a lo manifestado por el personal entrevistado, ocasionalmente las
oficinas quedan expuestas al corte de servicios públicos y conexión a Internet por falta de
INFORME DE AUDITORÍA
23
pagos. Por su parte, en el distrito pesquero de Puerto Madryn se requiere mensualmente el
envío de la constancia de inscripción en la ART de los agentes de la Subsecretaria, pero de
las entrevistas realizadas surge que cuando dicha documentación no llega en término no es
posible controlar las descargas en el muelle. Entre otras cuestiones también se puede
mencionar que el local utilizado en Puerto Deseado es alquilado y que al momento de
realizarse las tareas de campo había pagos pendientes, mientras que las oficinas de la
delegación pesquera de Puerto Madryn pertenecen a la Provincia de Chubut y no existe
documentación que formalice su uso por parte de la SSPyA.
Las deficiencias mencionadas pueden impedir el cumplimiento de las funciones de control
que debe realizar la Subsecretaria de Pesca y Acuicultura sobre la actividad pesquera, entre
ellas la carga de registros en el SISGRAL.
4.2.14 La infraestructura de telecomunicaciones de los distritos pesqueros no cuenta con
adecuados niveles de servicio, disponibilidad ni redundancia que garantice la posibilidad
de ingresar datos al sistema.
Los distritos pesqueros cargan la información referente a los volúmenes de pesca realizada
por cada buque mediante un sistema web, al cual acceden a través de Internet. Sin embargo,
según se pudo observar en los distritos relevados, la conexión a internet es realizada a través
de proveedores comerciales, brindando conexiones hogareñas o hasta móviles en ciertos
casos. Estas conexiones no proveen ningún tipo de calidad de servicio por lo que su
disponibilidad se define como “Mejor Esfuerzo”, no siendo diferente a la de otro usuario
residencial.
El hecho de no contar con una conexión a Internet confiable pone en riesgo la disponibilidad
de la información proveniente de los distritos, lo que dificulta o impide el control oportuno
de los volúmenes de pesca descargados.
INFORME DE AUDITORÍA
24
4.2.15 RESERVADO - COLEGIO DE AUDITORES GENERALES – SESIÓN DEL ______/______/______
4.3 Procesos Críticos de Negocios
4.3.1 La frecuencia con la cual los buques pesqueros reportan su ubicación es inadecuada
y presenta un riesgo para la protección de zonas de veda.
INFORME DE AUDITORÍA
25
Entre las funciones de la Subsecretaría de Pesca y Acuicultura, se encuentra la de “establecer
e implementar los sistemas de control necesarios y suficientes de modo de determinar
fehacientemente las capturas en el mar territorial y la Zona Económica Exclusiva y
desembarcadas en puertos argentinos habilitados y el cumplimiento y veracidad de las
declaraciones juradas de captura” (Ley 24.922, art. 7º). A los efectos de controlar el no
ingreso a las zonas de veda, la SSPyA cuenta con un centro de monitoreo de posicionamiento
de buques. Los datos de posición, rumbo,
velocidad y hora los obtiene descargando
de las páginas web de los proveedores del
servicio de posicionamiento contratado
por cada empresa pesquera. Estos datos
son procesados en un sistema GIS
(Geographic Information System) que
permite ubicarlos en un mapa y determinar
si los buques se encuentran dentro de las
zonas permitidas.
Con la configuración actual, los sistemas
de monitoreo satelital de buques (VTS por
sus siglas en inglés) reportan su posición,
velocidad y rumbo una vez por hora. De
acuerdo a la Organización Marítima
Internacional (IMO por sus siglas en
inglés), un VTS tiene un desempeño que
varía dependiendo del movimiento del buque, pero bajo las condiciones más adversas, puede
transmitir una vez cada 6 minutos.9
9 Ryszard Wawruch - Telematics in the Transport Environment – 12th International Conference on Transport System Telematics (Selected Papers), TST 2012 Katowice-Ustrón, Polonia, Octubre de 2012 - pp. 320 – ISSN 1865-0929 – ISBN 978-3-642-34049-9
Imagen del sistema de monitoreo satelital de la flota pesquera. Fuente: http://www.agroindustria.gob.ar/sitio/areas/pesca_maritima/monitoreo/ Fecha de ingreso: 15/09/16
INFORME DE AUDITORÍA
26
Durante las tareas de campo se pudo verificar que el capitán del buque tiene control sobre el
dispositivo, pudiendo encenderlo y apagarlo en el momento que lo desee. Por otro lado,
también tiene conocimiento del momento exacto en el que su posición fue transmitida.
En caso de no recibirse los datos de posición, la Prefectura Naval Argentina (PNA) es la que
entra en contacto con el buque para conocer la situación.
El tiempo entre reportes le proporciona así a un buque una ventana no menor a las dos horas
para reportar su ubicación, tiempo suficiente para realizar maniobras de pesca en zonas de
veda sin que ello pueda ser advertido, de no mediar otros controles.
4.3.2 La Subsecretaría de Pesca no cuenta con un sistema de monitoreo automatizado que
permita el seguimiento y la generación de alarmas ante el posicionamiento de un buque en
zona de veda a una velocidad que presuma que está realizando tareas de pesca.
El proceso de monitoreo de posición geográfica se realiza una vez por hora de forma manual,
descargando 4 archivos formateados especialmente desde cada uno de los proveedores de
posicionamiento. Posteriormente se los consolida y transforma en un formato legible por un
sistema de información geográfica, en el cuál se instalaron una serie de filtros que deben ser
inspeccionados manualmente y analizados de forma individual para verificar si un buque
está cometiendo una maniobra ilícita.
Este proceso no deja de ser un proceso de recolección de eventos y análisis de alarmas, por
lo que debería existir una solución que permita la descarga automática de los archivos de
posicionamiento satelital, y genere una alarma visual y sonora cuando un buque se encuentre
en una posición irregular. Dicha solución debería incluir un registro que indique que
operador del sistema analizó la alarma y las medidas tomadas.
INFORME DE AUDITORÍA
27
La falta de automatización y trazabilidad de la operatoria del área de monitoreo satelital
conduce a problemas de eficiencia, y la imposibilidad de aumentar la frecuencia de refresco
de toma de posición.
4.3.3 La infraestructura que da apoyo a las distintas operatorias de control de las artes de
pesca y de descarga de buques en los muelles es inadecuada para desarrollar las actividades
de fiscalización y registrar datos en el sistema, poniendo en riesgo la confiabilidad de la
información.
A partir de la inspección ocular de los procesos de control ejecutados en los puertos visitados,
se ha podido constatar que las operatorias que se llevan a cabo en los muelles sobre los
buques arribados a puerto se desarrollan sobre condiciones de infraestructura inadecuadas.
La infraestructura de servicio eléctrico que abastece a las balanzas de control de peso
utilizadas por los inspectores del ministerio,10 llega a los muelles a través de cables montados
a la intemperie y muchos de ellos con empalmes precarios. Estos cables expuestos a las
diferentes temperaturas y condiciones climáticas cruzan las calles del muelle por donde
transitan camiones de carga y descarga de mercancía, camiones de combustible y otros
vehículos particulares. Además, los tableros de abastecimiento eléctricos son insuficientes,
lo que habilita a los operarios a apelar a alternativas rudimentarias de suministro como, por
ejemplo, conectar una balanza de control de peso para la descarga de un buque a la batería
de un vehículo particular (ver fotos).
10 Que también alimenta a las grúas que descargan los productos de los buques y a las baterías de estos.
INFORME DE AUDITORÍA
28
Las condiciones descritas, además de poner en riesgo la seguridad física de los agentes de la
SSPyA que desarrollan actividades en puerto, condicionan la disponibilidad de las balanzas
que se utilizan para controlar.
Existe numerosa normativa nacional e internacional que se aplica a las tareas que se efectúan
en puertos, tales como las establecidas por las distintas provincias para las instalaciones
eléctricas industriales, las reglamentaciones sobre la carga de combustibles líquidos que
emite la Secretaria de Energía, o las recomendaciones de la OIT en su documento “Seguridad
y Salud en Puertos”.
4.3.4 El equipamiento utilizado para el control del peso de la mercadería a descargar de
los buques es insuficiente o es propiedad de terceros (armadores, empresas pesqueras, entre
otros), y no se pudo constatar que posean una certificación sobre su correcto
funcionamiento. Esta situación pone en riesgo la confiabilidad de los datos registrados en
el sistema.
En las visitas realizadas a los puertos pesqueros de Mar del Plata, Puerto Madryn y Puerto
Deseado se pudo verificar que las balanzas utilizadas para el control de la captura no
pertenecen a la Subsecretaria de Pesca y Acuicultura, ni están homologadas por autoridad
Balanza de control de peso utilizada en el puerto de Mar del Plata, 23 de febrero de 2017. Fuente Procedimientos de auditoría.
Conexión de la alimentación eléctrica de la balanza, 23 de febrero de 2017. Fuente Procedimientos de auditoría.
INFORME DE AUDITORÍA
29
competente. En los puertos mencionados, en el caso de que la mercadería se descargue
congelada (buques congeladores), el peso se obtiene de la pantalla de la balanza que utiliza
la planta procesadora a la que se enviará el producto, debiendo el inspector de la SSPyA
copiar a mano los valores en una planilla.
En el caso de los buques fresqueros (el pescado se mantiene en frio, pero no congelado) el
control puede realizarse en distintas plantas procesadores, donde el inspector copia
manualmente los valores de las balanza de la planta; o bien en el muelle, donde también se
capturan los datos en forma manual durante la descarga, observando balanzas que son
propiedad de los armadores o de las empresas que adquieren el producto.
En el puerto de Rawson, si bien la balanza utilizada es propiedad de la Subsecretaria de
Pesca, la dependencia dispone de solo una, motivo por el cual no puede controlarse la
totalidad de los buques pesqueros que operan en dicho puerto.
Las Actas de Desembarco de los buques no controlados se confeccionan con los datos que
se extraen de las Actas de Pesca presentadas por los armadores o los capitanes de los mismos,
que tienen carácter de declaración jurada, sin ninguna otra verificación posterior.
Sistema de control de peso en planta procesadora. Fuente Procedimientos de auditoría.
Registro manual de peso en una planta procesadora por personal de la Subsecretaria de Pesca. Fuente Procedimientos de auditoría.
INFORME DE AUDITORÍA
30
Para un eficaz control de los productos desembarcados, se debe contar con equipamiento
adecuado que permita verificar su peso, ya sea mediante balanzas de propia Subsecretaría, o
por balanzas homologadas por organizaciones
reconocidas (como el INTA u otras).
La falta de estos elementos pone en riesgo la confiabilidad de los datos almacenados en los
sistemas impidiendo que los mismos reflejen con exactitud la cantidad de producto
desembarcado.
4.3.5 El proceso de captura de datos provenientes de la fiscalización de carga, es manual,
lo que tiene por consecuencia el riesgo de errores en la transcripción de los datos en las
distintas etapas hasta su registro final en el sistema.
Tal como se menciona en la observación anterior (ver Ilustración N° 9) todos los procesos
de captura de datos en todos los puertos relevados se realizan en forma manual, a pesar que,
por ejemplo en las plantas pesqueras, las empresas disponen de balanzas electrónicas que
registran los pesos y los almacenan en sus sistemas informáticos.
Los registros manuales son proclives a errores de lectura, interpretación e imputación, por
cada vez que en un procedimiento se recurra a ellos. En el caso de los procedimientos de
Balanza de control Puerto de Mar del Plata. Fuente Procedimientos de auditoría.
Balanza de control Puerto de Rawson. Fuente Procedimientos de auditoría.
INFORME DE AUDITORÍA
31
fiscalización de carga de la SSPyA, el proceso manual interviene entre el Acta de Pesca
(elaborada a mano) y el Acta de Desembarque (también elaborada a mano), y entre esta y la
imputación manual en el SISGRAL. La imputación manual permite que se presenten errores
que al propagarse en las siguientes etapas, no puedan ser detectados sin mediar elevados
costos de control.
La situación descripta atenta contra la confiabilidad de los datos registrados en los sistemas
informáticos, lo que debilita el efectivo control del cumplimiento de la normativa existente
por parte de la Autoridad de Aplicación.
4.3.6 La cantidad de inspectores que dispone la Subsecretaria de Pesca es inferior a la
necesaria para cubrir la demanda operativa existente, lo que redunda en riesgos para la
confiabilidad de la información volcada al SISGRAL.
De las visitas realizadas a los principales puertos pesqueros del país surge que la cantidad de
inspectores es insuficiente para cumplir con las funciones de control. Este inconveniente se
agudiza en el puerto de Rawson, donde solo tres personas se ocupan de controlar el peso del
producto descargado (los tres inspectores deben dedicarse simultáneamente a un buque por
vez). Se verificó que solo se puede controlar un buque pesquero a la vez, mientras en plena
operación se descargan 7 buques simultáneamente.
En esta situación las Actas de Descarga se confeccionan con los datos que se extraen de las
Actas de Pesca que entregan los capitanes de los buques o los armadores, sin hacer ningún
control sobre la veracidad de la información suministrada.
Para obtener datos que puedan transformarse en información útil, los mismos deben ser
exactos, característica que no se puede asegurar si no son controlados adecuadamente.
La falta de control en una gran cantidad de actas de desembarco tiene como consecuencia la
ausencia de confiabilidad en la información almacenada en los sistemas de la Subsecretaria.
INFORME DE AUDITORÍA
32
5. RECOMENDACIONES
Las recomendaciones aquí expuestas siguen la misma secuencia de las observaciones.
5.1 Funcionalidades del Sistema
5.1.1 Modificar el sistema a fin de no retrasar la carga de las Actas de Desembarco y dotar
a las oficinas de los Distritos Pesqueros del equipamiento necesario para permitir una carga
oportuna y segura de la información en el sistema.
5.1.2 Realizar un proceso de reingeniería completo e implementar un sistema que cumpla
con las necesidades actuales del organismo, conforme a las mejores prácticas de ingeniería
y desarrollo de software.
5.1.3 Migrar con urgencia el almacenamiento de datos a un sistema de bases de datos
relacionales, que permita garantizar la seguridad, integridad, confidencialidad y trazabilidad
de los datos almacenados.
5.2 Confiabilidad de los Sistemas
5.2.1 Implementar una metodología para la gestión integral de los proyectos de desarrollo
de software.
5.2.2 Implementar un modelo de gestión de las configuraciones y de control de cambios
dentro de los proyectos de desarrollo de software que permita obtener una adecuada y
eficiente planificación, evaluación, seguimiento y control de los procesos evolutivos de los
sistemas aplicativos de la organización.
INFORME DE AUDITORÍA
33
5.2.3 Re organizar el área de desarrollo de sistemas conforme a un esquema de segregación
de funciones consistente con incentivos que propendan al control por oposición de intereses.
5.2.4 Formalizar acuerdos de niveles de servicio con la Dirección Informática del Ministerio
de Agroindustria, en cuanto a los servicios de gestión integral de las tecnologías de
información que dan soporte a la operatoria de la Dirección de Administración Pesquera.
5.2.5 La Dirección de Administración Pesquera debe exigir que se arbitren los medios
necesarios para desarrollar y probar un plan de recuperación de desastres que pueda ser
implementado.
5.2.6 Implementar un modelo de gestión de incidencias y de problemas dentro de los
procedimientos de soporte y mantenimiento que permita asegurar una adecuada y eficiente
disponibilidad de servicios en los sistemas aplicativos de la organización.
5.2.7 Gestionar la implementación de un sistema de tipo CRM con el fin de poder dar
seguimiento, priorización y registro a los pedidos de asistencia técnica de los usuarios.
5.2.8 Actualizar la documentación de los sistemas aplicativos y sus respectivos
procedimientos técnicos de soporte para los sistemas de información utilizados por la
SSPyA.
5.2.9 Redactar los manuales de usuarios de los sistemas de información de la organización.
Asimismo, implementar una política de actualización continua de los manuales por cada
nueva versión del software que se pone en producción, en caso de que esta nueva versión
incorpore funcionalidades o cambios sustanciales.
5.2.10 Definir e implementar planes de capacitación y actualización técnica anuales para los
agentes del área de desarrollo.
INFORME DE AUDITORÍA
34
5.2.11 Adaptar un mecanismo de control interno que permita un efectivo control sobre los
procesos y procedimientos utilizados para el desarrollo de sistemas informáticos.
5.2.12 Desarrollar y formalizar un procedimiento para la gestión de usuarios.
5.2.13 La Subsecretaria deberá implementar procedimientos administrativos que aseguren el
normal funcionamiento de las oficinas de los Distritos Pesqueros evitando los riesgos de
interrupción del servicio.
5.2.14 Arbitrar los medios necesarios para que las oficinas de la SSPyA en los distritos
pesqueros cuenten con un nivel de servicio que asegure una disponibilidad no menor al 99%.
5.2.15 RESERVADO - COLEGIO DE AUDITORES GENERALES – SESIÓN DEL ______/______/______
5.3 Procesos Críticos de Negocios
5.3.1 Reducir al mínimo posible el tiempo entre reportes de ubicación o rediseñar el
procedimiento de control de modo de disminuir el impacto que puede tener una falla puntual
de transmisión. Eventualmente, endurecer los procedimientos de retorno a puerto de los
buques con problemas de transmisión de posición.
5.3.2 Desarrollar e implementar un sistema que recolecte automáticamente los datos de
posición, velocidad y dirección de los buques, filtre los resultados de acuerdo a criterios fijos
(zonas de veda, tipo de artes de pesca, etc.) y genere alarmas cuando se cumplan condiciones
que se contrapongan con la reglamentación. Dichas alarmas deben permanecer en el sistema
con su estado (pendiente, resuelto), el nombre del operador que las observó, y un campo de
texto donde registrar la acción tomada. Adicionalmente, estas alarmas podrían contar con
una clasificación (Advertencia, Menor, Mayor, Crítica) e integrarse con el sistema de
infracciones.
INFORME DE AUDITORÍA
35
5.3.3 Reacondicionar las instalaciones y la infraestructura que da soporte a la operatoria de
control en los muelles en cumplimiento de las normas específicas al respecto, de manera de
garantizar la seguridad física de los operarios y agentes de control que allí trabajan y
propender a la plena disponibilidad de las tareas de control y registro de datos.
5.3.4 La Subsecretaria de Pesca debe implementar procedimientos que permitan disponer de
las balanzas necesarias propias -o bien de terceros, pero certificadas-, a fin de controlar la
totalidad de la producción pesquera.
5.3.5 Implementar procedimientos y tecnologías que reemplacen la captura manual de datos
con el fin de disminuir los posibles errores de carga al sistema.
5.3.6 Adecuar la cantidad de inspectores disponibles en cada uno de los distritos pesqueros
para mejorar la eficacia del control de las operaciones de descarga y, consecuentemente,
contribuir con la confiabilidad de los datos registrados en el sistema.
6. CONCLUSIONES
La Argentina cuenta con un importante espacio marítimo poblado con gran diversidad de
especies de interés comercial, tanto a nivel nacional como internacional. La autoridad de
aplicación de la legislación vigente es la Subsecretaría de Pesca y Acuicultura del Ministerio
de Agroindustria (SSPyA), responsable de velar por el desarrollo sustentable de la actividad.
Se trata de una industria con un volumen de operaciones significativo, que explota uno de
los recursos naturales renovables más importantes de la Argentina. De acuerdo a información
publicada por la SSPyA sobre la actividad pesquera marítima, en 2015 el peso total extraído
superó las 760.000 toneladas, de las cuales el 60% fue destinado a exportaciones por valor
INFORME DE AUDITORÍA
36
aproximado de 1.500 millones de dólares (superando a las de carne vacuna para el mismo
período). 11
Entre las funciones de fiscalización de la SSPyA se encuentran las de i) conducir y ejecutar
la política pesquera nacional regulando la explotación, fiscalización e investigación, ii)
fiscalizar las Capturas Máximas Permisibles por especie establecidas por el Consejo Federal
Pesquero (CFP), y emitir las cuotas de captura anual por buque, por especie, por zona de
pesca y por tipo de flota conforme las otorgue el CFP, iii) calcular los excedentes disponibles
y establecer, previa aprobación del CFP, las áreas o épocas de veda, y iv) elaborar y/o
desarrollar sistemas de estadística de la actividad pesquera, entre otras.
Para ello se sirve de un sistema de información constituido por balanzas para el pesaje de las
capturas, más una plataforma informática no integrada y compuesta por una interface web
(para el ingreso de datos desde los distritos pesqueros), bases en las que quedan registrados
los datos y una aplicación denominada SISGRAL para gestionar y obtener información.
Cuenta también con inspectores para fiscalizar los partes de pesca y tomar los datos
provenientes de las descargas, además de personal para ingresarlos al sistema, entre otros.
La auditoría corroboró que la actividad de captura de datos resulta inadecuada debido a la
escasez de recursos humanos y materiales aplicados a ella, y a la generalizada presencia de
procesos e interfaces manuales. La carencia de inspectores en cantidad necesaria genera una
fuerte dependencia sobre la credibilidad de los partes de pesca que no pueden ser
fiscalizados. Lo propio ocurre ante la escasez de balanzas, que conduce a que los inspectores
tomen los datos directamente de instrumentos no homologados, propiedad de empresas
pesqueras o comercializadoras. A modo de ejemplo, la SSPyA cuenta con solamente dos
balanzas en el puerto de Mar del Plata (que concentra más del 50% del tonelaje
desembarcado en el país), con sólo una de ellas operativa al momento de las tareas de campo.
11http://www.agroindustria.gob.ar/sitio/areas/pesca_maritima/index.php?accion=noticia&id_info=160321173111. Entrada 9/05/17.
INFORME DE AUDITORÍA
37
Los datos que efectivamente pueden ser corroborados por un inspector son apuntados a mano
en hojas en blanco y deben nuevamente volcarse en forma manual al sistema web. Finalizada
la imputación al sistema, los datos quedan registrados en una base que, en virtud de su
obsolescencia, no presenta las menores garantías para asegurar su integridad ni la
confiabilidad de la información generada.
Por otra parte, el proceso de monitoreo satelital orientado a controlar las zonas de veda se
realiza a partir de reportes cuya periodicidad es horaria y nuevamente recurriendo a
procedimientos manuales para convertir los datos en información de utilidad. Debido a la
reducida frecuencia del reporte y por carecer de un sistema de alarmas, la protección de estas
zonas queda sujeta a la pericia y proactividad del personal interviniente.
El propósito de la gestión de TI es poner a disposición de los decisores información íntegra,
confiable y oportuna, con el fin de contribuir con el logro de los objetivos organizacionales.
Sin embargo, la eficacia de la gestión de TI en términos de la información producida en el
ámbito de la Subsecretaría se encuentra comprometida por un sistema de limitada
confiabilidad. Dicha información es de importancia para la percepción de tasas, el diseño de
las políticas pesqueras y la protección del recurso.12 La manifiesta debilidad del sistema
condiciona su efectividad para contribuir con el objetivo de velar por el desarrollo
sustentable de la actividad.
En vistas de lo anterior, resulta aconsejable que las máximas autoridades del organismo
evalúen la posibilidad de realizar inversiones tendientes a: i) formalizar el área de sistemas
de la SSPyA, ii) equipar tecnológicamente a los distritos pesqueros y iii) desarrollar un
sistema de control y gestión que cubra completamente la actividad pesquera desde una única
plataforma actualizada.
12 Incide sobre el logro del ODS 14, Conservar y utilizar en forma sostenible los océanos, los mares y los recursos marinos para el desarrollo sostenible, meta 14.4., y sobre el ODS 16, meta 16.6, Crear a todos los niveles instituciones eficaces y transparentes que rindan cuentas.
INFORME DE AUDITORÍA
38
7. COMUNICACIÓN AL ENTE
Por nota N° 542/17-P la AGN remite el proyecto de informe a la Subsecretaria de Pesca y
Acuicultura, quien lo recibe con fecha 2 de junio de 2017. El 21 de junio de 2017, el
organismo a través de su nota SSPyA N° 058 solicita una prórroga de 10 días para presentar
la respuesta. La misma es aceptada y comunicada a la Subsecretaria por medio de nota
651/17-P recibida 30 de junio de 2017. El 10 de julio de 2017 dicho Organismo hace llegar
sus comentarios, que ingresan a la AGN el 12 de julio del corriente.
Como resultado del análisis de los comentarios del auditado:
• Se reemplaza en la foja 4 el valor de las exportaciones en 2015 de U$D 1.465.935
por U$D 1.465.935.000.
• Se reemplaza en la foja 9 el texto “A modo de ejemplo, el ingreso de datos
provenientes de las Actas de Desembarco se realiza en los distritos pesqueros
mediante una interfaz web, a partir de la transcripción de dichas planillas que
fueran confeccionadas a mano en el puerto.// Esta plataforma web de carga de
datos utiliza una base de datos relacional convencional, a diferencia del
SISGRAL, que utiliza archivos .DBF.”, por el siguiente: “A modo de ejemplo, el
ingreso de datos provenientes de las Actas de Desembarco se realiza en los
distritos pesqueros mediante una interfaz web (SCAPN), a partir de la
transcripción de dichas planillas que fueran confeccionadas a mano en el
puerto.// Esta plataforma web de carga de datos utiliza una base de datos
relacional convencional administrada con un motor de base de datos
PostgreSQL, a diferencia del SISGRAL, que utiliza archivos .DBF.
• En el punto 4.1.1 se reemplaza en la foja 10 “El SISGRAL posee un diseño que
impide cargas parciales de Actas de Desembarco, lo que retrasa la actualización
de la información en la base de datos.”, por “La plataforma informática que
utiliza la SSPyA no consolida la información hasta que las actas estén totalmente
cargadas, lo que retrasa la actualización de la información en la base de datos.”,
y “i) un procedimiento de ingreso de datos que asegure que todas las Actas de
INFORME DE AUDITORÍA
39
Desembarco sean cargadas”, por “i) un procedimiento automatizado que
asegure que todas las Actas de Desembarco sean cargadas”.
En los ANEXOS I y II al presente informe, en orden simultaneo, se presentan tanto la
respuesta del organismo auditado como los comentarios de la AGN.
8. LUGAR Y FECHA
BUENOS AIRES, setiembre de 2017
9. FIRMA
INFORME DE AUDITORÍA
40
10. ANEXOS
ANEXO I – Comentarios del auditado
A continuación, se exponen los comentarios del auditado sobre cada una de las
observaciones señaladas.
INFORME DE AUDITORÍA
47
ANEXO II – Análisis de los comentarios del auditado A continuación se presenta el análisis realizado por esta AGN para cada uno de los comentarios del auditado.
Sección del Informe Respuesta SSPyA Comentario AGN 3.1. La importancia del sector también se manifiesta por sus exportaciones: en 2015 se enviaron al exterior 460.485 toneladas por un valor de U$D 1.465.935, superando en monto a las de carne vacuna de ese año. Según información provista por el auditado, el sector pesquero representa un 0,22% del PBI y ocupa a más de 40.000 trabajadores directos e indirectos.
3.1. El valor de exportaciones 2015 indicado en foja 4 es incorrecto. Corresponde: U$D 1.465.935.000.-
Se procede a corregir el monto de acuerdo a lo informado.
3.2. A modo de ejemplo, el ingreso de datos provenientes de las Actas de Desembarco se realiza en los distritos pesqueros mediante una interfaz web, a partir de la transcripción de dichas planillas que fueran confeccionadas a mano en el puerto. Esta plataforma web de carga de datos utiliza una base de datos relacional convencional, a diferencia del SISGRAL, que utiliza archivos .DBF.
3.2. - La Subsecretaría de pesca y Acuicultura administra y controla la actividad pesquera mediante tres sistemas informáticos, el SCAPN desarrollado en plataforma web, mediante el cual acceden todas las delegaciones portuarias y dos sistemas internos, El Sisgral y el SIIP. La información que se administra en el Sisgral, se encuentra en un 80 % en Motor de Base de Datos Relacional Postgresql.
Esta auditoría verificó que la gestión interna utiliza los datos almacenados por el SISGRAL. El sistema SCAPN es un desarrollo en plataforma web, tal como se menciona en el anteúltimo párrafo de dicho punto, que se utiliza para la carga de datos en los distritos pesqueros. Estos datos se almacenan en una base de datos relacional administrada por un motor de base de datos PostgreSQL para posteriormente ser convertidos en archivos DBF. A fin de brindar mayor claridad al texto del informe se reemplaza el texto citado por el siguiente: “A modo de ejemplo, el ingreso de datos provenientes de las Actas de Desembarco se realiza en los distritos pesqueros mediante una
INFORME DE AUDITORÍA
48
interfaz web (SCAPN), a partir de la transcripción de dichas planillas que fueran confeccionadas a mano en el puerto. Esta plataforma web de carga de datos utiliza una base de datos relacional convencional administrada con un motor de base de datos PostgreSQL, a diferencia del SISGRAL, que utiliza archivos .DBF.”
4.1.1 El SISGRAL posee un diseño que impide cargas parciales de Actas de Desembarco, lo que retrasa la actualización de la información en la base de datos. El sistema que posibilita la carga de Actas de Desembarco desde los distritos pesqueros exige que la información ingresada sea completa para poder guardarse, incluyendo el documento fuente escaneado. Dada la escasa disponibilidad de scanner en los distritos visitados, la carga suele sufrir demora. Asimismo, ciertos datos relativos al buque deben ser brindados por la provincia respectiva y cargada en conjunto con el parte. En este sentido y habida cuenta que provienen de fuentes y momentos distintos, este procedimiento también puede afectar la carga de datos. No hay ninguna funcionalidad del sistema que permita advertir la falta de carga de partes presentados. La falta de: i) un procedimiento de ingreso de datos que asegure que todas las Actas de Desembarco sean cargadas, ii) un diseño de sistema que permita la carga parcial del acta de pesca y iii) la falta de equipamiento en algunos distritos, impide que el sistema cuente con información completa en el momento
Las actas de descarga no son cargadas en el Sisgral, sino en el sistema Web SCAPN, y pueden cargarse de forma parcial pero la información se consolida cuando el acta está cargada en su totalidad. Es una validación que se ha realizado con el propósito de que cuando el parte de pesca se ajusta con el acta no genere errores que podrían ser de una magnitud considerable, ya que ajustar un parte de pesca con la información parcial de un acta haría bajar las capturas haciendo que el control de las CITC, los cupos de los permisos y el control de la CMP sea totalmente erróneo. La carga de actas contempla se le adjunte el documento escaneado por el data entry luego de la carga de los datos, la no existencia de este adjunto no impide que la información se consolide en el sistema interno de control. El Sisgral tiene un proceso mediante el cual se obtiene listados de los presuntos partes faltantes, cruzando la información de Arribos y Zarpadas de Prefectura Naval Argentina.
Respecto del fundamento de la validación de actas parciales, debido a los problemas de infraestructura general de los distritos y la alta probabilidad de que no se cuente con actas completas, el SISGRAL requeriría que los datos puedan ser consolidados para contar con información completa que permita el control, lo que debería incluir un mecanismo automatizado para identificar las que se encuentran con datos pendientes de carga. Por otra parte, esta auditoría cuenta con evidencia de que las actas no pueden cargarse hasta no contar con la documentación respaldatoria. A los efectos de brindar mayor precisión al hallazgo, se reemplaza
INFORME DE AUDITORÍA
49
oportuno, lo que eventualmente permitiría otorgar permisos de pesca a buques sin cuota, entre otros riesgos de control.
“El SISGRAL posee un diseño que impide cargas parciales de Actas de Desembarco, lo que retrasa la actualización de la información en la base de datos.”, por “La plataforma informática que utiliza la SSPyA no consolida la información hasta que las actas estén totalmente cargadas, lo que retrasa la actualización de la información en la base de datos.”, y “i) un procedimiento de ingreso de datos que asegure que todas las Actas de Desembarco sean cargadas”, por “i) un procedimiento automatizado que asegure que todas las Actas de Desembarco sean cargadas”, lo que no altera el espíritu del hallazgo, por lo cual se mantiene.
4.1.2 El SISGRAL no ha sido desarrollado conforme a buenas prácticas de desarrollo de software, no cuenta con documentación formal, y su diseño dificulta su operatividad, lo que genera dependencia crítica de personal.
Se toma debida nota de la observación. Vale la pena mencionar que a la Fecha Mayo de 2017, se están comenzando a utilizar modelos de desarrollo (metodologías ágiles), metodologías y procedimientos para la gestión de Peticiones (Requerimiento de Modificaciones y/o nuevas funcionalidades) y para ABM de usuarios. Se han mantenido reuniones con el área de seguridad de la DI, para unificar criterios de SGSI en el desarrollo. Teniendo como objetivo documentar los procesos y disponer de Manuales de Operación y Configuración.
La respuesta del auditado no contradice lo expuesto en el hallazgo. Los hechos posteriores serán tenidos en cuenta en futuras auditorías. Se mantiene el hallazgo.
4.1.3 El SISGRAL almacena sus datos en bases que no poseen ninguna medida de control interno que permita asegurar su integridad. El organismo está así expuesto a la alteración indebida de registros sin que pueda percatarse de ello.
Como se detalló en el punto 3.2:
El 80 % de los datos se encuentra en el Motor de Base de Datos Relacional PostgreSQL, para ser administrado por el sistema que está en desarrollo y al cual se emigran los datos de acuerdo al avance (Sistema denominado SIIP). La información se espeja en archivos de
El organismo reconoce que solo una parte de la información se encuentra en una base de datos relacional (PostgreSQL), y que los datos se traducen en archivos del tipo DBF de los cuales se alimenta el SISGRAL,
INFORME DE AUDITORÍA
50
El SISGRAL almacena los datos en una serie de archivos denominados DBF (Database File), un antiguo formato de archivo en el que los datos no poseen ningún tipo de estructura, encriptación, protección contra escritura ni registro de modificación. El paradigma computacional moderno exige que se asegure la integridad, seguridad y confidencialidad de los datos, y se mantenga registro de quién modifica los datos almacenados. Operar con archivos DBF deja a la organización expuesta a la destrucción o alteración de datos, sin almacenar rastro alguno de quien realizare la operación.
tipo DBF para que el Sisgral siga funcionando durante la migración que se está realizando, pero la seguridad, la integridad del dato y las validaciones son administradas por el motor de datos anteriormente mencionado y se encuentra en los servidores del Data Center de la Dirección Informática de esta Cartera de Estado, quien aplica sus políticas de seguridad de la Información.
que es el sistema que utiliza la Dirección de Administración Pesquera para realizar los controles. La falta de seguridad que poseen estos últimos permite su alteración sin dejar rastros. Como no existe un acuerdo de niveles de servicio, o de directivas de seguridad entre el Data Center del Ministerio de Agroindustría y la SSPyA (ver hallazgo 4.2.4), no existen garantías que la información almacenada no pueda ser alterada. Por lo tanto se mantiene el hallazgo.
4.2.1 El área de desarrollo de la Dirección de Administración Pesquera no aplica un marco metodológico para la gestión de proyectos de desarrollo de software, incluida la migración del sistema crítico, lo que dificulta su seguimiento, el control y medición de avances y la calidad de los entregables de cada etapa.
Se toma debida nota de la observación.
Asimismo, vale la pena mencionar que esta área ha presentado formalmente en el mes de febrero de 2017 el proyecto de migración, con sus correspondientes etapas, fechas y responsables. Por otra parte, para el planeamiento de los nuevos proyectos se están utilizando metodologías Agiles (XP y RUP para documentación) y OpenProject para administrar las tareas de migración.
La respuesta del auditado no contradice lo expuesto en el hallazgo. Los hechos posteriores serán tenidos en cuenta en futuras auditorías. Se mantiene el hallazgo.
4.2.2 El área de desarrollo de sistemas dependiente de la Dirección de Administración Pesquera no cuenta con procedimientos normalizados de gestión de configuraciones, cambios y versiones que permitan llevar un eficiente control sobre las modificaciones de los sistemas de información críticos puestos en producción. Esta debilidad representa un riesgo para la disponibilidad del sistema y, por lo tanto, para la administración y control de la actividad pesquera.
Se toma debida nota de lo observado.
Vale pena mencionar que ésta área utiliza hace muchos años GIT:
Git es un software de control de versiones diseñado por Linus Torvalds, pensando en la eficiencia y la confiabilidad del mantenimiento de versiones de aplicaciones cuando éstas tienen un gran número de archivos de código fuente. Git se ha convertido desde entonces en un sistema de control de versiones con funcionalidad
La respuesta del auditado no contradice lo expuesto por esta auditoría. En cuanto al uso del GIT, el argumento ofrecido no fue observado por esta auditoría. Se mantiene el hallazgo.
INFORME DE AUDITORÍA
51
plena. Hay algunos proyectos de mucha relevancia que ya usan Git, en particular, el grupo de programación del núcleo Linux. (Extraído de Wikipedia)
4.2.3 Las funciones del área de desarrollo de sistemas de la Dirección de Administración Pesquera no se encuentran segregadas, lo que puede originar errores no detectados en el desarrollo del sistema, por falta de controles cruzados.
Funciones del área de desarrollo No están segregadas. Se toma debida Nota.
La respuesta del auditado no contradice lo expuesto por esta auditoría. Se mantiene el hallazgo.
4.2.4 No se encuentran formalizados los acuerdos de niveles de servicio entre la Dirección de Administración Pesquera de la Subsecretaría de Pesca y Acuicultura y la Dirección de Informática del Ministerio de Agroindustria, por lo que resulta imposible asegurar la calidad del servicio provisto a nivel hardware, software y seguridad física.
La Dirección de Administración Pesquera no cuenta con contrato de acuerdo de niveles de servicio con la Dirección de Informática del Ministerio de Agroindustria. Se toma debida nota.
La respuesta del auditado no contradice lo expuesto por esta auditoría. Se mantiene el hallazgo.
4.2.5 La Dirección de Administración Pesquera no exige la implementación de un plan de contingencia ni de recuperación de desastres (DRP), lo que pone en riesgo la continuidad del servicio brindado por los sistemas de información utilizados diariamente por esta dirección.
Se toma debida nota.
Vale la pena mencionar que los servidores de la SSP residen en el datacenter de la Dirección de Informática de Agroindustria. El Plan de Recuperación de desastres (llamado DRP) debe ser responsabilidad de la D.I., con Alta participación del área de desarrollo de Pesca, las áreas usuarias del sistema y el compromiso de las máximas autoridades de Pesca y es necesario acordar con la D.I. la generación de un PLAN DRP o BCP y realizar las pruebas pertinentes (Este último debería ser exigido por la UAI y el Ministro). Pero así mismo realizamos nuestros propios respaldos diarios de la información almacenada en los sistemas de la SSP encriptada con mecanismos OpenSSL SHA-2 512 bits realizando pruebas de restauración cada cierto tiempo.
La respuesta del auditado no contradice lo expuesto por esta auditoría. Como se mencionó en otros puntos del informe, el auditado no cuenta con un acuerdo de nivel de servicio con la Dirección de Informática del Ministerio de Agroindustria que permita asegurar la continuidad de los servicios ante fallas. Las pruebas que realiza el auditado solo aseguran que la información almacenada no se pierda, pero no asegura cómo o cuándo podría restablecerse el servicio ante un desastre. Se mantiene el hallazgo.
4.2.6 El área competente de la Subsecretaría de Pesca y Acuicultura no cuenta con procedimientos de gestión de
Si bien no se cuenta con personal de Soporte a Usuarios para la gestión de incidencias, desde Mayo 2017, se están desarrollando
La respuesta del auditado no contradice lo expuesto en el
INFORME DE AUDITORÍA
52
incidencias y de problemas que permitan llevar un eficiente control sobre los errores y anomalías que se presentan en los sistemas de información puestos en producción, considerados críticos para la organización.
metodologías y procedimientos para la gestión de Peticiones (Requerimiento de Modificaciones y/o nuevas funcionalidades) y para ABM de usuarios.
hallazgo. Los hechos posteriores serán tenidos en cuenta en futuras auditorías. Se mantiene el hallazgo.
4.2.7 El área competente de la Subsecretaría de Pesca y Acuicultura no cuenta con un sistema de seguimiento de pedidos de soporte, lo que limita la calidad del mantenimiento de la infraestructura de TI.
ldem 4.2.6 La respuesta del auditado no contradice lo expuesto en el hallazgo. Los hechos posteriores serán tenidos en cuenta en futuras auditorías. Se mantiene el hallazgo.
4.2.8 Se encuentran desactualizados los procedimientos y guías técnicas sobre los sistemas aplicativos (SISGRAL e interfaces) mantenidos por el personal del área de desarrollo de la Dirección de Administración Pesquera, lo que genera dependencia de personal clave.
Se toma debida nota de lo observado. La respuesta del auditado no contradice lo expuesto por esta auditoría. Se mantiene el hallazgo.
4.2.9 El área de desarrollo de la Dirección de Administración Pesquera no provee manuales de uso de los aplicativos a los agentes de las áreas usuarias, lo que dificulta la transmisión de conocimiento a los usuarios nuevos.
Se toma debida nota de lo observado.
La respuesta del auditado no contradice lo expuesto por esta auditoría. Se mantiene el hallazgo.
4.2.10 Los agentes del área de desarrollo de la Dirección de Administración Pesquera no cuentan con un plan de capacitación y actualización técnica sobre las nuevas versiones de las herramientas y plataformas tecnológicas aplicadas en el entorno de desarrollo de software sobre el cual trabajan.
Se toma debida nota de lo observado.
La respuesta del auditado no contradice lo expuesto por esta auditoría. Se mantiene el hallazgo.
4.2.11 El área de desarrollo de sistemas de la Dirección de Administración Pesquera no cuenta con un adecuado ambiente de control interno.
Se toma debida nota de lo observado.
La respuesta del auditado no contradice lo expuesto por esta auditoría. Se mantiene el hallazgo.
INFORME DE AUDITORÍA
53
4.2.12 No existe un procedimiento formal para el control, alta, baja y modificación de usuarios y permisos de los sistemas de la Subsecretaría de Pesca y Acuicultura, lo que impide un adecuado control de la seguridad de la información almacenada por los módulos del sistema.
A la fecha Mayo 2017, para ABM de usuarios o ABM de nuevas aplicaciones y/o módulos a un usuario se utiliza un documento especialmente diseñado para estos fines, que deben llenar los solicitantes, aclarando la acción a llevarse a cabo y debe estar autorizado por el director del área que corresponda.
La respuesta del auditado no contradice lo expuesto en el hallazgo. Los hechos posteriores serán tenidos en cuenta en futuras auditorías. Se mantiene el hallazgo.
4.2.13 Las oficinas utilizadas por la Subsecretaria de Pesca en los distintos puertos pesqueros para llevar a cabo las tareas relacionadas con la recolección de datos y el control de la actividad pesquera poseen deficiencias que podrían poner en riesgo la continuidad del servicio.
La falta de infraestructura adecuada y de recursos económicos implica serios problemas edilicios en las delegaciones de pesca del interior (instalaciones precarias y falta de pago de alquileres). Retraso en el pago de los seguros de riesgos del trabajo del personal de inspección. Falta de equipamiento de trabajo. Restricciones presupuestarias en comisiones, traslados y viaticos que limitan operativos de control. Se solicitó incremento de crédito presupuestario en el ámbito del Programa 36- Formulación de Políticas del Sector Primario, Fuente de Financiamiento 13- Recursos con Afectación Específica, Actividad 5- Actividad Pesca y Acuicultura y afectación directa a las necesidades detalladas.
La respuesta del auditado no contradice lo expuesto en el hallazgo. Los hechos posteriores serán tenidos en cuenta en futuras auditorías. Se mantiene el hallazgo.
4.2.14 La infraestructura de telecomunicaciones de los distritos pesqueros no cuenta con adecuados niveles de servicio, disponibilidad ni redundancia que garantice la posibilidad de ingresar datos al sistema.
Las deficiencias en infraestructura de telecomunicaciones en los distritos de pesqueros responden en general a las mismas razones indicadas en 4.2.13, y para la región patagónica en buena medida a la falta de alternativas de conexión disponibles, sobre todo en zonas portuarias.
La respuesta del auditado no contradice lo expuesto por esta auditoría. Se mantiene el hallazgo.
4.2.15 RESERVADO
- COLEGIO DE AUDITORES GENERALES –SESIÓN DEL
_____/______/______
INFORME DE AUDITORÍA
54
RESERVADO
- COLEGIO DE AUDITORES GENERALES –SESIÓN DEL
_____/______/______
4.3.1 La frecuencia con la cual los buques pesqueros reportan su ubicación es inadecuada y presenta un riesgo para la protección de zonas de veda.
Resultaría importante aumentar la frecuencia de emisiones, se está trabajando para hacerlo con el consenso de los armadores (titulares del vínculo contractual con las empresas proveedoras de servicio de posicionamiento y a quienes se les incrementaría el costo del mismo), y al mismo tiempo, está bajo análisis la conveniencia implementación por estratos de flota.
La respuesta del auditado no contradice lo expuesto en el hallazgo. Los hechos posteriores serán tenidos en cuenta en futuras auditorías. Se mantiene el hallazgo
4.3.2 La Subsecretaría de Pesca no cuenta con un sistema de monitoreo automatizado que permita el seguimiento y la
Las empresas prestadoras del servicio satelital son las encargadas de brindar los registros de posicionamientos satelital a los organismos
Respecto de la descarga de datos manual, la respuesta del auditado no
INFORME DE AUDITORÍA
55
generación de alarmas ante el posicionamiento de un buque en zona de veda a una velocidad que presuma que está realizando tareas de pesca.
estatales (PNA, SSPyA, Armada Argentina, INIDEP). Según la Disposición SAGPyA NO 2/2013, las empresas servidoras debían suministrar una infraestructura WEB en la que se pudieran descargar los datos de la flota y que estuvieran disponibles en cada momento. Dicho procedimiento no se encuentra automatizado, de manera que los operadores del sistema deben descargar los registros de manera manual.
A partir de los datos descargados de las distintas páginas WEB de las empresas servidoras se filtra automáticamente la información mediante procesos geoespaciales desarrollados por el personal del área, en plataformas de sistemas de información geográficos, que permiten realizar consultas (SQL automatizados que se adaptan a la modificación constante de datos) para identificar buques en posible situación de infracción. Entre estas verificaciones se encuentran la del control de la operatoria en las áreas de veda, que su habilitación / permiso estuviera vigente, como así también validar la integridad de los datos del registro satelital. Para todo esto el sistema tiene desarrollado una serie de alarmas automatizadas que le informan al operador de turno de cualquier anomalía.
Una herramienta adicional que las empresas servidoras les brindan a los usuarios tanto la SSPyA como la PNA es la realización de polling o interrogaciones instantáneas que nos permiten conocer la posición actual de los buques sin la necesidad de esperar que se completen los 60 minutos hasta el próximo reporte. A su vez, los operadores del área cuentan con permisos que les permiten modificar los períodos de tiempo que ocurren entre un reporte y otro.
De manera que si un buque está operando en los bordes de un área de veda o jurisdiccional, podemos cambiar la configuración de la repetición de los reportes para recibirlos cada 10 ó 20 o los minutos según se crea pertinente.
contradice lo expuesto en el hallazgo. Respecto de la generación automática de alarmas, el auditado no brinda documentación que contradiga lo expuesto por esta auditoría. Se mantiene el hallazgo.
INFORME DE AUDITORÍA
56
4.3.3 La infraestructura que da apoyo a las distintas operatorias de control de las artes de pesca y de descarga de buques en los muelles es inadecuada para desarrollar las actividades de fiscalización y registrar datos en el sistema, poniendo en riesgo la confiabilidad de la información. A partir de la inspección ocular de los procesos de control ejecutados en los puertos visitados, se ha podido constatar que las operatorias que se llevan a cabo en los muelles sobre los buques arribados a puerto se desarrollan sobre condiciones de infraestructura inadecuadas. La infraestructura de servicio eléctrico que abastece a las balanzas de control de peso utilizadas por los inspectores del ministerio, llega a los muelles a través de cables montados a la intemperie y muchos de ellos con empalmes precarios. Estos cables expuestos a las diferentes temperaturas y condiciones climáticas cruzan las calles del muelle por donde transitan camiones de carga y descarga de mercancía, camiones de combustible y otros vehículos particulares. Además, los tableros de abastecimiento eléctricos son insuficientes, lo que habilita a los operarios a apelar a alternativas rudimentarias de suministro como, por ejemplo, conectar una balanza de control de peso para la descarga de un buque a la batería de un vehículo particular (ver fotos). Las condiciones descritas, además de poner en riesgo la seguridad física de los agentes de la SSPyA que desarrollan actividades en puerto, condicionan la disponibilidad de las balanzas que se utilizan para controlar. Existe numerosa normativa nacional e internacional que se aplica a las tareas que se efectúan en puertos, tales como las
Las condiciones de infraestructura inadecuada y recursos materiales insuficientes han sido destacadas en cada oportunidad posible por la Dirección de Control y Fiscalización y la Dirección Nacional de Coordinación Pesquera.
Las balanzas con las que cuentan las delegaciones no tienen cables, sino que tienen batería y se cargan, por lo tanto no existe ningún tipo de riesgo. En todo caso es responsabilidad del consorcio portuario que la infraestructura sea la correcta para que puedan trabajar tanto inspectores como armadores y compradores.
Las balanzas de los armadores se enchufan de donde ellos pueden.
La respuesta del auditado no contradice lo expuesto por esta auditoría. Se mantiene el hallazgo.
INFORME DE AUDITORÍA
57
establecidas por las distintas provincias para las instalaciones eléctricas industriales, las reglamentaciones sobre la carga de combustibles líquidos que emite la Secretaria de Energía, o las recomendaciones de la OIT en su documento “Seguridad y Salud en Puertos”. 4.3.4 El equipamiento utilizado para el control del peso de la mercadería a descargar de los buques es insuficiente o es propiedad de terceros (armadores, empresas pesqueras, entre otros), y no se pudo constatar que posean una certificación sobre su correcto funcionamiento. Esta situación pone en riesgo la confiabilidad de los datos registrados en el sistema.
El equipamiento utilizado para el control de peso de la mercadería a descargar es insuficiente ya que, por ejemplo, el distrito de Mar del Plata cuenta sólo con dos balanzas homologadas, de las cuales una está en arreglo. En el caso de las balanzas de terceros, obviamente no están certificadas por nosotros, pero aparte de los inspectores que toman los valores de las pesadas, se encuentran generalmente los compradores de pescado, que certifican la cantidad y el peso de los cajones aproximado. El armador se encarga de pesar una de cada diez lingadas, obteniendo así el peso promedio del cajón.
Durante el año 2011 se dio inicio un nuevo proceso de compras bajo el Expte. SOI: 0153092, que culminó con la provisión de 7 (SIETE) balanzas para las Delegaciones del Interior que estaban necesitando tales herramientas, previéndose 3 (TRES) para la Delegación Mar del Plata y una para cada una de las restantes. De esos equipos muchos fueron sufriendo desperfectos que no pudieron reparase y desde entonces se han reiterado los pedidos de compra de equipamiento en general donde se incluyen balanzas, sin resultado alguno hasta la fecha.
La respuesta del auditado no contradice lo expuesto en el hallazgo. Los hechos posteriores serán tenidos en cuenta en futuras auditorías. Se mantiene el hallazgo.
4.3.5 El proceso de captura de datos provenientes de la fiscalización de carga, es manual, lo que tiene por consecuencia el riesgo de errores en la transcripción de los datos en las distintas etapas hasta su registro final en el sistema.
Se emplean los sistemas disponibles desarrollados por el grupo ad hoc de la SSPyA.
La respuesta del auditado no contradice lo expuesto por esta auditoría. Se mantiene el hallazgo.
INFORME DE AUDITORÍA
58
Dadas las condiciones climáticas y del lugar donde se realizan las descargas, además de la falta de los elementos adecuados en cantidad y calidad para desarrollar el trabajo, se realiza todo en forma manual.
4.3.6 La cantidad de inspectores que dispone la Subsecretaria de Pesca es inferior a la necesaria para cubrir la demanda operativa existente, lo que redunda en riesgos para la confiabilidad de la información volcada al SISGRAL.
La falta de recursos humanos ha sido puesta de relieve en diversos informes.
Respecto a la observación vinculada a que las actas de desembarco de los buques no controlados se confeccionan con los datos que se extraen de los partes de pesca presentados por los armadores, cabe aclarar que en todas las delegaciones se intenta controlar todos los barcos, y en función de la cantidad que arriban juntos y la disponibilidad de personal se establece un orden de prioridades, donde prevalecen sobre los demás los barcos que traen merluza hubbsi ya que esta especie está cuotificada. En caso de no contar con inspectores, cosa que generalmente no sucede, se liberan los barcos costeros. Al liberar un barco (no controlarlo) no se realiza el acta de descarga correspondiente, sino que el parte de pesca presentado por el armador, es la única documentación que se cargara del buque (obviamente sin acta de descarga).
La respuesta del auditado no contradice lo expuesto por esta auditoría. Se mantiene el hallazgo.