Informe de Auditoría TI-21-06, Administración para el Desarrollo de Empresas Agropecuarias Oficina de Sistemas Informáticos
La Contraloría de Puerto Rico emitió una opinión cualificada de las operaciones de la Oficina de Sistemas Informáticos (OSI) y de los sistemas de la Administración para el Desarrollo de Empresas Agropecuarias (ADEA). Una opinión cualificada se emite cuando los incumplimientos individuales o en conjunto son significativos, pero no generalizados.
El Informe revela que luego de tres años y una inversión de $253,651, no se ha completado el Programa Piloto para la Implementación de un Sistema de Identificación Electrónica de Ganado Vacuno y la Aplicación de la Base de Datos en la ADEA. Esta tecnología de identificación electrónica consiste en alojar un bolo ruminal en el estómago del animal, que sirve para identificarlo, evitar su robo, y como medida de control del inventario perpetuo. El bolo es un dispositivo que registra información que se transfiere a la base de datos de la ADEA.
Los auditores de la Contraloría detectaron que, en el inventario de los 40,000 bolos ruminales en el 2018, no se localizaron 352 bolos asignados a las oficinas regionales de Arecibo, Mayagüez, Ponce y Utuado, y no se encontró evidencia de autorizaciones de transferencia de bolos a la Oficina Regional de Lares, Utuado y Arecibo, entre otros. Al respecto, se recomienda a la Administración que evalúe el Procedimiento para la Requisición y Manejo de Programa de Bolos Ruminales, para asegurar que incluya instrucciones detalladas y formularios uniformes.
La auditoría de nueve hallazgos señala múltiples deficiencias en la base de datos del registro de ganado por agricultor del Programa Piloto; por ejemplo, se hallaron 107 números de bolos duplicados, registros incorrectos o en blanco del seguro social del agricultor, o direcciones del agricultor en blanco. Esta situación priva a la Administración de información confiable necesaria para cumplir con los objetivos del Programa Piloto.
Contrario a las políticas de seguridad de los sistemas y de continuidad gubernamental, la ADEA no había preparado un informe del análisis de riesgo de los sistemas de información computadorizados, ni un procedimiento para el manejo de incidentes de seguridad. Además, carecía de un plan de continuidad de negocios, así como de un centro alterno para operar después de una emergencia.
El Informe indica múltiples deficiencias con las cuentas de acceso en el sistema operativo de los servidores ya que no se habían definido las políticas de contraseñas. Además, el coordinador de informática no examinaba periódicamente, ni realizaba respaldos de los registros de seguridad para detectar posibles violaciones que pudieran ocurrir en el servidor principal. El hecho de que la OSI no pudo proveer los registros del monitoreo de siete cuentas de acceso con privilegios de conexión remota, dificultó el alcance del examen de la Contraloría. Una situación similar ya se había comentado en el Informe de Auditoria CPED-96-5 del 1996.
Con respecto a las cuentas de acceso, la ADEA no pudo identificar 17 cuentas de las 306 activas, 10 cuentas asignadas carecían del documento de solicitud y autorización, y dos cuentas estaban asignadas a dos exempleados que habían cesado sus funciones en el 2013. Además, de una muestra de los empleados que habían cesado de trabajar en la ADEA, se encontró que el 60% de sus cuentas no se habían desactivado a pesar de haber transcurrido hasta más de cinco años desde su separación del empleo.
La auditoría devela que en la Autoridad tampoco se realizaban respaldos periódicos en la información para el manejo de la nómina de empleados en la aplicación CDI Premium. Esta situación se atribuye a la falta de procedimientos claros y a la falta de capacidad de memoria en el disco duro según indicó el coordinador de informática. El informe cubre el periodo del 16 de febrero de 2017 al 15 de mayo de 2018.
Vea el Informe de Auditoría TI-21-06.
Para ver otros informes publicados, visite nuestra sección de Informes de Auditoría.