___________________________________________________________________________________

Informe de Auditora a la Gestin de la Tecnologa de Informacin Perodo del 01 de enero del 2010 al 31 de diciembre del 2011
Informe Ejecutivo 22 de octubre de 2012

Lic. Maximo Lugo

Gerente General BID Las tecnologas de la informacin (TI) representan una herramienta cada vez ms importante en los negocios. La necesidad del aseguramiento del valor de TI, la administracin de los riesgos asociados a TI, as como el incremento de requerimientos para controlar la informacin, se entienden ahora como elementos clave del Gobierno Corporativo, estos tres constituyen la esencia del Gobierno de TI. Es por ello que el Banco Institucional Dominicano, a travs del Departamento de Sistemas y Tecnologa, tiene como misin proveer los servicios de TI con calidad, garantizar la disponibilidad y confiabilidad de la informacin, con el propsito de contribuir al logro de la misin y los objetivos de la Institucin, as como de propiciar niveles adecuados de eficiencia en los procesos internos del Banco. En el Plan Anual 2011 de la Subdireccin de Auditora Interna se incluy la Auditora a la Gestin de la Tecnologa de Informacin para verificar que estamos acorde con las mejores prcticas internacionales y revisamos el cumplimiento con las Resoluciones de la Junta Monetaria, Actas del Comit de Sistemas y Organizacin y de la Comisin de Sistemas, Manual Orgnico Funcional, as como los aspectos principales de la gestin, mediante la aplicacin de procedimientos de auditora a las actividades del Departamento de Sistemas y Tecnologa. Durante nuestra revisin, observamos que el citado departamento est involucrado en la implementacin de metodologas como: ITIL (Gestin de servicios de TI), ISO27001 (Seguridad de la informacin) e ISO9001 (Sistemas de calidad de procesos). Dentro de los hallazgos ms significativos de la auditora, se encuentran los siguientes: El Departamento de Sistemas y Tecnologa no ha implementado un marco de referencia para el Gobierno de TI. El Plan Estratgico de TI 2010-2013 presenta debilidades en su estructura y contenido; asimismo comprobamos que entre el Departamento de Sistemas y Tecnologa y las autoridades del BID, existe una falta de alineacin estratgica respecto a las metas y estrategias definidas. En cuanto a la administracin de riesgos de TI, el Departamento de Sistemas y Tecnologa debe hacer un levantamiento de los eventos de prdida, en coordinacin con la Oficina de Gestin de Riesgo y Continuidad.
1

___________________________________________________________________________________

El periodo de esta revisin comprende desde el 1 de enero 2010 hasta el 31 de diciembre 2011; utilizando la metodologa COBIT (marco de referencia internacional - objetivos de control para la informacin y tecnologas relacionadas, por sus siglas en ingls), as como las directrices trazadas por ISACA (organizacin global que establece las pautas para los profesionales del gobierno, control, seguridad y auditora de informacin). Para facilitar la interpretacin de los resultados de los procedimientos aplicados y su potencial impacto sobre la Gestin de la Tecnologa de Informacin en el Banco Institucional Dominicano, hemos resumido los hallazgos encontrados en tres categoras de riesgo: reporte clasificado en AltoRojo, Medio-Amarillo y reporte clasificado en Bajo-Verde. El recuadro en la parte superior derecha indica la clasificacin otorgada al informe. Situaciones Observadas 1. 2. 3. 4. 5. 6. 7. El plan estratgico de TI presenta debilidades en su estructura y contenido. No se ha establecido un marco de gobierno de TI. Incumplimiento con el Manual Orgnico Funcional Departamento de Sistemas y Tecnologa.
Falta de un Sistema de Gestin de la Administracin de la Calidad de TI

Niveles de Riesgo
Alto Medio Bajo

X X X X X X X

Debilidades en el proceso de administracin de riesgos de TI. El Departamento de Sistemas y Tecnologa no ha establecido un marco de referencia o metodologa para la administracin de proyectos de TI. No existe una cultura de divulgacin de marcos de trabajo, herramientas y polticas de TI.

___________________________________________________________________________________

Resumen Porcentaje de Riesgo

Alto Medio 0% 33% 67% Bajo

GOBIERNO Y ESTRATEGIA DE TI 1. El plan estratgico de TI presenta debilidades en su estructura y contenido. No se observ un anlisis de la situacin actual en comparacin con el estndar del sector. No se observa un anlisis de la situacin deseada a mediano plazo del Departamento de Sistemas y Tecnologa. Falta de elaboracin de los planes tcticos, donde se visualicen las actividades a lograr. El plan de TI no incluye requerimientos de personal, controles e infraestructura para satisfacer las nuevas demandas de informacin del BID. Actualmente el plan estratgico de TI es un documento aislado, ya que no se verifica integracin del plan con otros componentes de gestin.

Riesgos: Un plan estratgico de TI que no est alineado con las necesidades del BID podra implicar inversiones e iniciativas de TI innecesarias, as como falta de inversin en reas importantes, debido a inconsistencias con las expectativas o requerimientos del BID, ya que el Departamento de Sistemas y Tecnologa no estara enfocado en las prioridades correctas.

Recomendaciones: Para la Direccin de la Gerencia Informtica: Elaborar un anlisis de la situacin actual, tomando en cuenta la comparacin con el estndar del sector.
3

___________________________________________________________________________________

Elaborar un anlisis de la situacin deseada a mediano plazo para el Departamento de Sistemas y Tecnologa. Confeccionar los planes tcticos del departamento. Revaluar las prioridades asignadas a los proyectos del plan estratgico, de forma que se realice un anlisis exhaustivo y cuantitativo que arroje las prioridades adecuadas, tomando en cuenta el riesgo y los recursos disponibles para llevarlos a cabo. Definir los requerimientos de personal, controles e infraestructura para cada proyecto y referenciarlos en el plan estratgico del departamento. Integrar el plan estratgico del departamento con los planes tcticos y dems componentes de gestin.

Comentario del Responsable del rea Auditada: Anualmente se elabora un plan para las actividades a realizar, aprobado por la Comisin de Sistemas. No es correcto decir que el 98.4 % de los proyectos fueron priorizados altos. Lo que ocurri fue que los proyectos con prioridades ms bajas no fueron incluidos en el plan. En adicin, esas prioridades no las fija el Departamento, las fija la Comisin de Sistemas, de la cual son miembros el Gerente, Subgerentes y el Contralor. En la planificacin anual se incluyen los requerimientos de personal, en base a un anlisis de das hombre, y de infraestructura. De hecho, producto del plan del 2010, se contrataron cinco desarrolladores, dos administradores de Base de Datos y un administrador de Sistemas. La infraestructura requerida se incluye en el presupuesto de capital del ao. El Plan de sistemas, a nuestro entender, est alineado con las necesidades del Banco, ya que los proyectos y actividades que se incluyen en el mismo son determinados por la Comisin, que incluye los Subgerentes de cada rea. 2. No se ha establecido un marco de gobierno de TI. No observamos evidencia de la adopcin de COBIT como marco de Gobierno de TI, segn se indica en el Plan Estratgico de TI 2010-2013. No observamos evidencia de que el valor entregado por TI se defina antes de implementar estrategias o grandes proyectos, para proveer transparencia y valor medido con el retorno de la inversin (ROI). No existe un mtodo de monitoreo que brinde una visin sucinta, y desde todos los ngulos, del desempeo del Departamento de Sistemas y Tecnologa.

___________________________________________________________________________________

Riesgos: Falta de alineacin del Departamento con los objetivos del BID y las estrategias, las acciones correctivas y procesos de eficiencia podran no ser identificados o ejecutados oportunamente, funcionamiento defectuoso de los controles actuales. Deficiencias repetitivas en la ejecucin de los procesos, prdida de oportunidades de mejora. Buen rendimiento no reconocido, resultando en desmotivacin del personal. Recomendaciones: Disear un plan detallado para la implantacin de un marco de Gobierno de TI, tal como lo indica el plan estratgico del Departamento de Sistemas y Tecnologa. Elaborar un anlisis costo-beneficio, donde se incluya el ROI, antes de aplicar estrategias o implementar proyectos de gran impacto y realizar la comparacin al trmino de los mismos para verificar que se cumpli con la meta establecida. Establecer un mtodo de monitoreo (Por ejemplo: Balanced Scorecard) del desempeo de TI.

Comentario del Responsable del rea Auditada: La mayora de los proyectos de TI del Banco son iniciativa de los departamentos, quienes formulan, presentan y justifican los mismos ante las instancias de aprobacin, que son la Comisin de Sistemas, el Comit de Presupuesto y la Junta Monetaria. El rol del Departamento de Sistemas y Tecnologa es de apoyo a los mismos. Entendemos que el Departamento de Planificacin y Presupuesto es el que debe incluir dentro de su metodologa el anlisis de ROI de los proyectos presentados. Hay que recordar que el Banco Institucional Dominicano no es una entidad con fines de lucro y que el retorno de los proyectos no siempre se puede medir en trminos de dinero. 3. Incumplimiento con el Manual Orgnico Funcional Departamento de Sistemas y Tecnologa. Observamos en el Manual Orgnico Funcional del Departamento de Sistemas y Tecnologa, que la Direccin debe: Presentar al Comit de Sistemas y Organizacin informes mensuales acerca del avance de los sistemas en desarrollo y en produccin, incluyendo los cronogramas de trabajo elaborados por las diferentes reas. En ese sentido, no observamos evidencia de que la Direccin de TI presente los citados informes, en violacin a las normas establecidas en el BID. Riesgos: Toma de decisiones que no apoyan las necesidades y problemas del BID, por falta de informacin. Desconexin entre la Gerencia y TI, falta de alineacin con los objetivos y comunicacin ineficiente debido a que no entregan los informes mensuales de avance.
5

___________________________________________________________________________________

Incongruencia en la direccin y control de actividades claves de TI, situacin que podra generar insatisfaccin en la Gerencia con el desempeo de TI.

Recomendaciones: Para la Direccin del Departamento Sistemas y Tecnologa: Elaborar mensualmente un informe con los avances del Departamento, segn se indica en el Manual Orgnico Funcional (MOF) del rea y enviar mensualmente al Comit de Sistemas y Organizacin. De igual modo, presentar un resumen ejecutivo en cada reunin del citado Comit.

Comentario del Responsable del rea Auditada: Mensualmente se elabora un informe de avance de los proyectos que desarrolla el Departamento y se enva al Departamento de Planificacin y Presupuesto, que a su vez informa a la Gerencia. ADMINISTRACIN DE LA CALIDAD Y RIESGOS DE TI 4. Falta de un Sistema de Gestin de la Administracin de la Calidad de TI. Durante la auditora realizada al Depto. de Sistemas y Tecnologa no se evidenci un Sistema de Gestin de la Administracin de la Calidad que identifique los requerimientos y los criterios de calidad, los procesos claves de TI, as como la documentacin necesaria para definir, detectar, corregir y prever las no conformidades relativas a la calidad de las tecnologas de informacin, incluyendo los procesos relativos a ITIL, utilizados para la gestin de servicios. Riesgos: Tardanza en la entrega de proyectos, re-trabajo en la prestacin de servicios y soluciones, insatisfaccin con los procesos relacionados a TI, usuarios finales sin una oferta real de acuerdo a la solicitud, acciones preventivas/correctivas no detectadas.

Recomendaciones: Para la Gerencia Informtica: Proceder a establecer y mantener un Sistema de Administracin de Calidad que est alineado con los objetivos estratgicos del BID (criterios de calidad, polticas, procesos claves de TI, entre otros), de manera que se garantice la operatividad de los procesos; el sistema debe medir la efectividad de los planes de calidad ya definidos en diferentes reas, por ejemplo, el rea de calidad de servicios (ITIL), calidad en el desarrollo de aplicaciones u otros.
6

___________________________________________________________________________________

Comentario del Responsable del rea Auditada: No existe un Sistema de Gestin exclusivo para calidad de TI, si se adaptan normas como las ISO 9001 a los procesos de TI, puede decirse que existe un Sistema de Gestin para la calidad de TI y aunque es la intencin de la Institucin aplicarlo a todos los procesos, la decisin fue que se iniciara con Instrumentos de Inversin. Sin embargo, todos los procedimientos de TI aprobados a partir de junio 2010 en adelante, estn siguiendo Control de Documentos y Registros (exigidos por la Norma), se considera los requerimientos institucionales y su interaccin con otros documentos y las polticas emanadas de la alta Gerencia. Adicionalmente, se realizan esfuerzos para implementar el marco ITIL que apuntala a la calidad a travs de la gestin de servicios, basada en procesos y enfocada en alinear los servicios de TI a la satisfaccin de clientes/usuarios. 5. Debilidades en el proceso de administracin de riesgos de TI. El Departamento de Sistemas y Tecnologa realiz un levantamiento de riesgos para el proceso de Certificados de Inversin, con relacin a este levantamiento se observ lo siguiente: Los riesgos levantados no son evaluados de forma peridica para verificar si el impacto y/o la probabilidad debe ser modificada, o si es necesario incluir otros riesgos. Los riesgos documentados para este proceso slo contienen descripciones cualitativas, no se han realizado investigaciones cuantitativas por medio de las cuales se pueda conocer el impacto a nivel financiero. No se utilizaron mtodos estadsticos y de probabilidad para medir la posibilidad cualitativa y/o cuantitativa de ocurrencia de los eventos levantados para este proceso.

En cuanto a la gestin de riesgos del Departamento de Sistemas y Tecnologa, observamos lo siguiente: Slo se ha evaluado el proceso de Certificados de Inversin, por lo tanto, no se ha realizado un levantamiento de riesgos para la mayora de los procesos del Departamento Sistemas y Tecnologa que apoyan las operaciones diarias de la Institucin. Slo se han identificado los propietarios de los activos de informacin Certificados de Inversin, los dems no han sido identificados. El Departamento Sistemas y Tecnologa no ha coordinado con la Oficina de Gestin de Riesgo y Continuidad para la evaluacin general de los riesgos de TI, por lo tanto, no se ha ejecutado el levantamiento de los riesgos de TI. No existe personal a cargo de administrar los riesgos de TI en el Departamento Sistemas y Tecnologa que sirva de enlace con la Oficina de Gestin de Riesgo y Continuidad, en violacin
7

___________________________________________________________________________________

a la poltica de Gestin de Riesgo, acpite 6.6.; no existen funciones definidas para este puesto. No hay criterios definidos para la identificacin de eventos de prdida No existe un procedimiento para recolectar los eventos de prdida. No existe un reporte del seguimiento a los eventos de prdida de TI. No se lleva un control de los eventos asociados a riesgos de TI.

Riesgos: Impacto de riesgo no detectado, riesgos irrelevantes considerados importantes, atencin no apropiada a los riesgos significativos, prdida de los activos de TI, falta de alineacin con los riesgos del BID, brecha de confidencialidad e integridad en los activos de TI, respuesta deficiente para tratar los riesgos y exceso de confianza en controles deficientes.

Recomendaciones: Para la Direccin del Departamento Sistemas y Tecnologa: Coordinar con la Oficina de Gestin de Riesgo y Continuidad para identificar y evaluar los riesgos de TI, identificar los propietarios de los activos de informacin y crear los planes de tratamiento del Departamento. En coordinacin con el Departamento de Recursos Humanos, capacitar y asignar responsabilidades al personal necesario, con la finalidad de que se administren los riesgos de TI y de que exista un enlace con la Oficina de Gestin de Riesgo y Continuidad, de acuerdo al acpite 6.6 de la Poltica de Gestin de Riesgo. En coordinacin con la Subdireccin de Organizacin, Normas y Procedimientos: o Definir los criterios para identificar los eventos de prdida. o Crear el procedimiento de recoleccin de eventos de prdida para ser utilizado en todas las Divisiones del Departamento Sistemas y Tecnologa. o Elaborar un reporte de seguimiento para los riesgos de TI. Establecer en las polticas y/o procedimientos, la frecuencia de revisin de los riesgos levantados. Realizar anlisis cuantitativo de los riesgos para cuantificar financieramente las posibles prdidas. Utilizar mtodos estadsticos para establecer la probabilidad de ocurrencia de los riesgos levantados.

___________________________________________________________________________________

Comentario del Responsable del rea Auditada: La evaluacin de los riesgos levantados est programada para el mes de julio. En adicin, se realiz una revisin producto de la mudanza del Centro de Cmputos, que era una de las acciones previstas para minimizar algunos riesgos. Con relacin a las investigaciones cuantitativas para determinar el impacto a nivel financiero, la Oficina de Gestin de Riesgos y Continuidad todava no ha definido los procedimientos para clculo de riesgos financieros. La posibilidad de ocurrencia de eventos ser definida en el levantamiento de riesgos de TI. El proceso de Instrumentos de Inversin se evalu para cumplir con los requisitos de la norma ISO 27001 para el alcance definido en la Institucin. El levantamiento de los riesgos de los dems procesos de TI se realizar en coordinacin con la Oficina de Gestin de Riesgos y Continuidad, y de acuerdo a la metodologa establecida por dicha Oficina para los dems departamentos del Banco. Est pautado para iniciar en la segunda quincena de febrero. Con respecto a la identificacin de los propietarios de activos de informacin, el proceso de Certificados de Inversin se evalu para cumplir con los requisitos de la norma ISO 27001 para el alcance definido en la Institucin, con la visin de que posteriormente se aplicara a los dems procesos, pero en la sesin del 27 de diciembre de 2011 en el Comit de Seguridad se formaliz la implementacin del sistema con el alcance citado, por lo que ser a partir del presente ao cuando se extienda la implementacin a los activos de informacin de los dems procesos. Gran parte de los activos (hardware y software) estn identificados con sus propietarios en la aplicacin de activos fijos y posteriormente estarn cargados en la CMDB del nuevo sistema que recin en diciembre se termin de implementar. El personal a cargo de administrar los riesgos de TI ser definido antes de que se realicen los trabajos del levantamiento de los riesgos. En relacin a la falta de criterios para la identificacin, procedimiento y reporte de seguimiento a los eventos de prdida, si se refieren a eventos de prdida financiera, entendemos que la Oficina de Gestin de Riesgos y Continuidad todava no ha definido los procesos para el clculo de riesgos financieros.

___________________________________________________________________________________

Para el control de los eventos asociados a riesgos de TI, se llena el formulario Reporte de Evento de Riesgo cada vez que se identifica un evento de riesgo de TI y se enva a la Oficina de Gestin de Riesgos y Continuidad. 6. El Departamento de Sistemas y Tecnologa no ha establecido un marco de referencia o metodologa para la administracin de proyectos de TI. No existe una metodologa documentada para la gestin de proyectos informticos. La planificacin y seguimiento de los proyectos ejecutados por el Departamento Sistemas y Tecnologa no es suficiente para designarse como una metodologa definida para la gestin de proyectos. No existe un procedimiento formal de control de cambios para administrar, evaluar, justificar y aprobar los cambios de un proyecto. Durante la revisin de los formularios para la reclasificacin de Fondos Presupuestarios (conversiones o modificaciones), observamos que stos no incluyen una descripcin de los riesgos y beneficios esperados a partir de los cambios solicitados. Riesgos: La falta de una metodologa para la gestin de proyectos puede provocar que se produzcan diferentes enfoques para la gestin de proyectos e inconsistencia en el uso de herramientas para la administracin de los mismos. Falta de control sobre el alcance y calendarizacin de los proyectos informticos y sus actividades e incapacidad para administrar los recursos disponibles debido a la falta de un marco de referencia. La falta de un procedimiento para gestionar los cambios en los proyectos puede crear debilidades de control sobre el alcance, costos y cronogramas de un proyecto. El enfoque global de la gestin de proyectos, puede verse comprometido. La ausencia de justificacin de los cambios en los proyectos (a partir de una revisin de los riesgos y los beneficios resultantes) puede implicar falta de planificacin e incapacidad para manejar los recursos y traer como resultado cambios no optimizados.

Recomendaciones: Para la Direccin del Departamento Sistemas y Tecnologa, en coordinacin con la Direccin del Departamento Planificacin y Presupuesto: Establecer formalmente y mantener un marco de trabajo para la administracin de proyectos que defina el alcance y los lmites de la administracin de proyectos, as como las metodologas
10

___________________________________________________________________________________

a ser adoptadas y aplicadas, incluyendo la ejecucin presupuestal de cada proyecto emprendido. Debe definirse una metodologa a seguir en los proyectos de menor envergadura que exija lineamientos especficos para la gestin de fases, alcance, cronogramas, recursos, costos, riesgos y entregables. Crear un procedimiento para controlar los cambios a los proyectos del Departamento de Sistemas y Tecnologa. Agregar la descripcin de los riesgos y beneficios esperados, como justificacin los cambios efectuados a los proyectos.

Comentario del Responsable del rea Auditada: En el Banco Central existe una PMO, en el Departamento de Planificacin y Presupuesto. El Departamento de Sistemas sigue la metodologa establecida por ellos para la gestin de proyectos. Entendemos que estas recomendaciones deben ser canalizadas a la PMO, y aplicar a todos los proyectos. 7. No existe una cultura de divulgacin de marcos de trabajo, herramientas y polticas de TI. No existe una estrategia formal de la Direccin del Departamento de Sistemas y Tecnologa para divulgar y dar a conocer a todo el personal de la institucin los marcos de trabajo adoptados en TI, las nuevas herramientas adquiridas para ser utilizadas y/o los cambios significativos realizados a las aplicaciones, as como su uso, a travs de documentos, boletines, folletos, Intranet y/o charlas. No observamos esfuerzos para la formacin de conciencia sobre las polticas y prcticas de TI para todo el personal del BCRD, para asegurarse de que el ambiente de control y los riesgos de TI estn alineados con los de la institucin. Dentro de los casos que pueden considerarse en la estrategia se encuentran los siguientes: Divulgacin del estado de implementacin de mejores prcticas (ITIL, CobiT u otros); Notificacin de cambios a las polticas principales del Departamento de Sistemas y Tecnologa; Boletines o correos electrnicos sobre la importancia de cumplir con los procedimientos Actualizacin anual del acuse de recibo de las polticas de seguridad de la informacin.

Riesgos: Problemas de incumplimiento y brechas de seguridad debido a un esfuerzo deficiente en la divulgacin de las polticas de TI. Desconocimiento de las herramientas que posee el personal para aumentar la productividad; errores o incidentes no previstos y degradacin de los servicios.
11

___________________________________________________________________________________

Mala interpretacin de la filosofa y la misin del BCRD y falta de alineacin con los objetivos de la Institucin.

Recomendaciones: Para la Direccin del Departamento de Sistemas y Tecnologa: Elaborar un procedimiento donde se defina y disee un mecanismo de comunicacin de los riesgos, nuevas herramientas adquiridas, cambios significativos en las aplicaciones, ambiente de control y polticas de TI a travs de herramientas como: documentos, boletines, Intranet y/o, charlas obligatorias y correos electrnicos al personal del BCRD, para asegurar la concienciacin y entendimiento de los riesgos y garantizar el cumplimiento de los reglamentos. Realizar una actualizacin peridica (por lo menos anual) y entrega de las polticas principales de TI al personal del BCRD, con acuse de recibo.

Comentario del Responsable del rea Auditada: No entendemos como los riesgos planteados se relacionan con los hallazgos. Entendemos que existe una poltica de divulgacin a travs del intranet.

12