CONSEJO EJECUTIVO 28 de noviembre de 2000 Tercera reunión
Punto 3.1 del orden del día provisional
Asuntos de auditoría externa
Aplicación de recomendaciones
Informe del Comisario de Cuentas
1. En su segunda reunión, celebrada los días 11 y 12 de mayo de 2000, el Comité de Auditoría pi- dió que se elaborara un inventario tabular de las recomendaciones de la auditoría externa, que incluye- ra un perfil de antigüedad de dichas recomendaciones, su estado de aplicación y las observaciones de la Secretaría, si las hubiera.
2. A tal respecto, se presenta adjunto el primero de esos inventarios tabulares, para el examen del Comité de Auditoría. Como punto de partida se decidió incluir las recomendaciones formuladas en las cartas sobre asuntos de gestión expedidas en la Sede durante el último bienio. Se prevé que, con el tiempo, el inventario tabular se ampliará para incluir el estado de aplicación a nivel regional y de país.
3. Cabe señalar que el estado de aplicación se determinó a mediados de noviembre sobre la base de
las respuestas proporcionadas por la Secretaría. Si bien el procedimiento normal es que Auditoría
Externa se encargue de seguir la aplicación de las recomendaciones formuladas, el calendario de ese
seguimiento está determinado por varios factores. En consecuencia, las observaciones de la Secretaría
que figuran en el inventario tabular no han sido verificadas necesariamente por Auditoría Externa.
DE LA AUDITORÍA EXTERNA
RECOMENDACIÓN OBSERVACIONES DE LA SECRETARÍA ESTADO Auditoría informática complementaria de los controles generales del sistema de Apoyo Informativo en Administración y Finanzas en la OMS, Ginebra, 13 de diciembre de 1999
El personal directivo debería examinar las políticas y procedimientos oficiosos de seguridad para comprobar si son ex- haustivos, e incorporarlos en una política oficial de seguridad.
Como el asesor en tecnología de la información (TI) y el oficial de seguridad debían participar en esa tarea, el plazo se ha prorrogado hasta junio de 2001. Se han tomado varias medidas provisionales. Ya se han elaborado políticas para la seguridad del cortafuegos y del sistema operativo informático. La política de seguridad de la Red Privada Mundial se publicará en octu- bre y la del acceso a distancia en noviembre de 2000.
En curso
El personal directivo debería elaborar, aprobar y aplicar una política oficial para toda la red de la OMS con miras a lograr el debido control de la red.
Se está elaborando una política para la red, que estará lista para diciembre de 2000.
En curso
Debería nombrarse y prepararse a un oficial que vele por la administración eficaz de la seguridad física y lógica.
El plazo para la contratación del oficial de segu- ridad de TI es febrero de 2001.
Aún por tratar
Debería establecerse si existen los cono- cimientos y técnicas necesarios para la gestión del sistema en todo momento, sin perjuicio de la distribución del tra- bajo, a fin de asegurar la continuidad del entorno de TI.
Se contrató a un asesor en TI con efecto a partir de septiembre de 2000. Se contratará a siete funcionarios con nombramiento de plazo fijo, y dos puestos de corta duración se convertirán en contratos de duración limitada.
En curso
Deberían establecerse procedimientos oficiales para asegurar que no pueda acceder al mismo tiempo a la aplicación un número de usuarios mayor que el prescrito. Asimismo, debería centrali- zarse el control de la adquisición e ins- talación de programas informáticos.
Para junio de 2001 se habrá revisado la política existente en materia de informática para el usua- rio final.
Aún por tratar
Deberían establecerse procedimientos para que el programa de protección anti- virus se instale en todos los computado- res personales y «notebooks». Los pro- gramas antivirus deberían actualizarse regularmente.
Está en marcha el proceso de oficializar la polí- tica existente y aplicar los procedimientos de vigilancia del cumplimiento, que estará termi- nado para el final de 2000. Se ha instalado un programa de control antivirus como parte del sistema de correo electrónico y está prevista su ampliación al sistema de cortafuegos.
En curso
Debería establecerse un acuerdo oficial a nivel de servicios entre la OMS y el Centro Internacional de Cálculos Elec- trónicos (CICE) al objeto de definir cla- ramente las responsabilidades.
Esta tarea se estudiará con el CICE en diciem- bre de 2000.
Aún por tratar
El personal directivo debería establecer y aprobar procedimientos y normas para el control de los cambios.
Para septiembre de 2000 se habrá elaborado un procedimiento más oficial de control de los cambios.
En curso
RECOMENDACIÓN OBSERVACIONES DE LA SECRETARÍA ESTADO Deberían establecerse normas y proce-
dimientos oficiales de planificación de los ensayos para los cambios de los pro- gramas. La documentación sobre los ensayos debería conservarse.
Se ha elaborado un procedimiento más oficial de ensayo y se han establecidos dos entornos de pruebas. Los resultados de los ensayos se con- servan ahora en archivo.
Tratada
El personal directivo debería establecer y aprobar oficialmente procedimientos para los cambios urgentes, y debería registrar, examinar y aprobar los cam- bios.
Esta medida se está examinando para su puesta en práctica en enero de 2001.
En curso
Debería incorporarse la garantía de la calidad en el proceso de cambio de los programas.
La garantía de la calidad se confía a cada pro- gramador/analista y al supervisor, lo cual se considera suficiente.
No tratada
Deberían elaborarse instrucciones ofi- ciales y detalladas respecto de las supre- siones.
La Secretaría no está de acuerdo con esta reco- mendación. Si los cambios de los programas han sido debidamente ensayados y aprobados por los usuarios, esta medida es innecesaria, salvo cuando se trate de cambios importantes, como el paso a un nuevo sistema operacional.
En esos casos, siempre se dispone de la adecua- da copia de seguridad, de manera que el sistema antiguo pueda reinstalarse si fuera necesario.
No tratada
El personal directivo debería aplicar procedimientos para que la documenta- ción del sistema se actualice después de cada cambio.
Los sistemas nuevos están adecuadamente do- cumentados, en tanto que los más antiguos con- tienen lagunas en la documentación. Teniendo en cuenta los recursos disponibles, no se ha atri- buido prioridad a esta medida.
No tratada
Deberían aplicarse procedimientos para la recopilación y actualización de la do- cumentación de los usuarios.
Como parte de una distribución del trabajo más clara, esta medida se tratará en diciembre de 2000.
En curso
Deberían aplicarse procedimientos para que la documentación de los programas se actualice después de cada cambio.
Los cambios en los programas se anotan en los recuadros de observaciones de cada programa.
Insuficiente- mente tratada
Un grupo o una persona independientes de la programación debería trasladar los programas cambiados del archivo de ensayo al de producción.
A partir de diciembre de 2000 habrá una mayor distribución del trabajo. Se utilizará como mo- delo el informe de la empresa de auditoría y consultoría KPMG. Ya se han tomado las pri- meras medidas. Se necesitan más recursos hu- manos para aplicar esta medida.
En curso
Deberían establecerse procedimientos oficiales para el control de las versiones, y debería controlarse el acceso al código fuente o su utilización.
Esta medida no es necesaria para las aplicacio- nes de la unidad central porque todas las versio- nes tienen compatibilidad ascendente.
No tratada
Debería establecerse un comité para el control de los cambios.
Esta medida no es necesaria puesto que no se prevén novedades importantes (en el sistema actual de Apoyo Informativo en Administración y Finanzas).
No tratada
Los usuarios deberían suscribir los for- mularios para el control de los cambios.
Ya se hace para los cambios importantes. Tratada en parte
Los funcionarios superiores deberían registrar y revisar los cambios de los programas.
Ya se hace. Tratada
Debería elaborarse una metodología del ciclo vital del desarrollo de sistemas, que debería ser aprobada por el personal directivo y aplicada.
Esta medida no se considera necesaria pues no se están registrando novedades en el sistema de Apoyo Informativo en Administración y Finan- zas.
No tratada
Los programadores no deberían tener acceso a los programas o a los datos del entorno de producción.
El acceso controlado al entorno de producción ha mejorado gracias a la aplicación del nuevo entorno de ensayo, y mejorará aún más con la mayor distribución del trabajo y la puesta en marcha de tres entornos de bases de datos.
En curso
Deberían ultimarse las políticas de segu- ridad para el servicio de control del ac- ceso a los recursos y los sistemas vir- tuales múltiples, que deberían ser apro- badas por el personal directivo y aplica- das.
Se han aplicado medidas de seguridad básica utilizando el servicio de control del acceso a los recursos, de conformidad con las recomenda- ciones del CICE. La persona que ocupe el car- go de oficial de seguridad de TI será responsa- ble de definir la política de seguridad que habrá de aprobar el personal directivo.
Aún por tratar
Deberían ultimarse y ser aprobados por el personal directivo los procedimientos y normas de control de los cambios para los programas del sistema y la base de datos del servicio de control del acceso a los recursos.
Esos procedimientos se examinarán, con miras a mejorarlos, para septiembre de 2000.
Aún por tratar
Deberían establecerse políticas y proce- dimientos oficiales para la rescisión de los contratos.
Un procedimiento en que se utilizará el certifi- cado de baja fortalecerá ese control para di- ciembre de 2000.
Aún por tratar
Deberían establecerse procedimientos oficiales para la inscripción de los usua- rios.
Ese requisito se cumple con el formulario para la inscripción en el CICE.
Adecuadamente tratada
Los responsables de la seguridad de los datos deberían elaborar normas y proce- dimientos para el examen y seguimiento de las infracciones en materia de seguri- dad. La oficina de seguridad debería examinar regularmente las conexiones del sistema. Distintas recomendaciones relativas al acceso lógico y la definición de atributos en el servicio de control del acceso a los recursos.
Este asunto incumbe al CICE y, en algunos ca- sos, excede de sus recomendaciones actuales.
El grado y la política de seguridad para el servi- cio de control del acceso a los recursos se exa- minarán como parte integrante de un acuerdo a nivel de servicios con el CICE.
Aún por tratar
Distintas recomendaciones relativas a los parámetros de seguridad y a los contro- les del acceso lógico en el servidor del sistema operativo informático.
Se ha preparado una política de seguridad para el sistema operativo informático, que se halla en la fase de revisión final.
En curso
El personal directivo debería documentar y llevar a efecto normas y procedimien- tos de seguridad física.
De esta medida se ocupará el oficial de seguri- dad de TI cuando sea nombrado. Mientras tan- to, se han propuesto nuevas medidas de seguri- dad física para el centro de la LAN y el servi- dor.
En curso
RECOMENDACIÓN OBSERVACIONES DE LA SECRETARÍA ESTADO Deberían adoptarse medidas de control
de la seguridad física.
Véase supra. En curso
Debería establecerse, documentarse y ensayarse regularmente un plan oficial- mente aprobado de recuperación en caso de desastre.
Dicho plan existe para el CICE y, por consi- guiente, también para las instalaciones centrales del sistema de Apoyo Informativo en Adminis- tración y Finanzas.
No tratada
Informe de la administración respecto de una auditoría sobre la gestión de tesorería y de caja, Sede, 3 de marzo de 2000
Estrategia, política y estructura
• Debería evaluarse y actualizarse el mandato del Comité Asesor de Inver- siones
• El Comité debería reunirse regular- mente
• Debería estudiarse su composición
• Deberían reexaminarse la función y el mandato del Grupo de estudios sobre inversiones internas
• Deberían definirse oficialmente el mandato y las responsabilidades del Comité y del Grupo
• Debería actualizarse con más frecuen- cia la política de inversiones
Se ha actualizado el mandato del Comité Asesor de Inversiones. Su composición actual se ha modificado para asegurar una representación adecuada. Se está reelaborando completamente la política de inversiones teniendo en cuenta las aportaciones recibidas de varias fuentes. Estará ultimada para septiembre de 2000. El Grupo de estudio sobre inversiones internas se sustituirá en el futuro por una representación más amplia en el Comité. Se están presentando informes mensuales de tesorería. Se ha pedido a los ges- tores de las inversiones que presenten informes en un formato normalizado para facilitar las comparaciones.
En curso
Medidas para la gestión de los riesgos
• Presentación regular de informes sobre la identificación de riesgos, la proba- bilidad de que ocurran, su probable magnitud y las medidas previstas
• Debería examinarse la política sobre los límites de exposición
• Deberían realizarse análisis de sensi- bilidad
Ya se están presentando informes periódicos de tesorería, que incluyen el análisis de los riesgos.
Se han modificado los límites de la parte con- tratante. Sin embargo, se están examinando los mandatos de los asesores en materia de inver- siones, pues la OMS tiene la intención de revi- sar su estrategia respecto de los fondos en ges- tión. El análisis de sensibilidad figurará en los informes ordinarios de tesorería.
En curso
Vigilancia de los riesgos
• Deberían presentarse informes sobre los saldos de caja efectivos y otro tipo de información clave
El recién iniciado proceso de presentación de informes de tesorería incorporará la mayoría de las medidas recomendadas; la notificación de los saldos de caja se está modificando para que refleje los saldos efectivos.
En curso
Criterio y límites de los riesgos
• Debería examinarse la exposición al riesgo
• Debería estudiarse la posibilidad de ampliar los productos autorizados
• Debería estudiarse la puesta en prácti- ca de la gestión de caja global
Se está actualizando la política de inversión, que ampliará la gama de productos de inversión permitidos sobre la base de una clara identifica- ción del riesgo al que la OMS se vaya a expo- ner. Se halla en fase de ejecución un nuevo sistema de gestión del efectivo regional/por paí- ses.
En curso
Gestión de los recursos humanos
• Debería abordarse la inadecuada dis- tribución del trabajo
• Debería aplicarse un código de con- ducta
El nuevo Tesorero entró en funciones en mayo de 2000. Se ha previsto una revisión de las des- cripciones de los puestos para fines de 2000, cuando se estudie la distribución del trabajo. Se abordará el asunto de un código de conducta.
En curso
Sistema de información para la gestión
• Debería abordarse la ineficiencia en la obtención de información y en el acce- so a ella
La evaluación de un nuevo sistema de tesorería está prevista para cuando se conozcan todos los requisitos.
Aún por tratar
Evaluación del rendimiento
• Establecer objetivos y una evaluación oficiales del rendimiento
• Debería examinarse la vigilancia del desempeño de los gestores de activos externos
Se incluirán medidas ordinarias del rendimiento en los informes de tesorería. La presentación de informes normalizados por los gestores de acti- vos externos facilitará la comparación. Se exa- minarán los puntos de referencia y se establece- rán objetivos de rendimiento.
En curso
Inicio de transacciones
• Es necesario actualizar las listas de signatarios
• Las cotizaciones telefónicas para los depósitos a corto plazo deberían do- cumentarse
Se han examinado y actualizado las listas de signatarios. Las cotizaciones obtenidas cuando se ingresan los depósitos están documentadas.
Tratada
Gestión de caja
• Debería estudiarse la posibilidad de la mancomunación de fondos
• Mejora de la gestión de caja
El examen de la política de inversión abordará la división adecuada de las inversiones y la es- trategia apropiada para la inversión de los saldos de efectivo a corto plazo. La gestión del efecti- vo a corto plazo se modificará, y se utilizará el sistema de notificación electrónica del saldo bancario para aquilatar el proceso. Se harán pronósticos en cooperación con las oficinas re- gionales.
En curso
Conciliaciones
• Debería racionalizarse el número de cuentas bancarias
Las conciliaciones bancarias en la Sede están ya al día. Se está reduciendo el número de cuentas bancarias.
En curso
Contabilidad y consignación de informa- ción
• Deberían estudiarse los asuntos relati- vos a la contabilidad y la consignación de información
Se ha tomado nota de los asuntos planteados, que se tratarán según sea necesario al final del año 2000 a los efectos de la presentación de informes.
Aún por tratar
RECOMENDACIÓN OBSERVACIONES DE LA SECRETARÍA ESTADO Carta sobre asuntos de gestión acerca de los resultados de la auditoría final del bienio 1998-1999 realizada en la Sede, 7 de marzo de 2000
Contribuciones señaladas, obligaciones establecidas y desembolsos efectuados
• Deberán adoptarse medidas, con inclu- sión de una posible revisión del Re- glamento Financiero, para lograr una recaudación más oportuna de las con- tribuciones señaladas
Se está efectuando un seguimiento más activo.
La presentación regular de informes financieros permite ahora examinar la relación existente entre la tasa de recaudación y la ejecución del presupuesto, con miras a adoptar las medidas procedentes.
En curso
Transacciones presupuestarias, financie- ras y conexas
• Debería mejorarse el control de los créditos librados
• Debería obtenerse una prueba de la recepción de las mercancías antes del pago
• Debería llevarse una contabilidad más oportuna de las cuentas de adelantos
• Las obligaciones pendientes deberían ser pasivos válidos
• Debería reevaluarse la política de compensar íntegramente las contribu- ciones pendientes de los Miembros
• Se ha recordado a las unidades de apoyo ad- ministrativo y a las oficinas regionales la im- portancia de no excederse de los créditos
• Se está estudiando la manera eficiente de abordar la recomendación sobre los docu- mentos de recepción
• Se están examinando los niveles de las cuen- tas de adelantos
• Con la introducción del nuevo Reglamento Financiero y las nuevas Normas de Gestión Financiera se abordará la cuestión de las obli- gaciones pendientes
• La política contable se examinará antes del cierre del próximo ejercicio
En curso
Registro y valoración de las existencias de inventario
• Debería examinarse si el método de valoración actual es el más apropiado
• La política debería comunicarse cla- ramente
• La política se volverá a comunicar a las ofici- nas regionales y en los países
• Se está examinando el proceso en la Sede con miras a simplificarlo
En curso
Política de gestión ambiental
• Debería elaborarse una política de gestión ambiental de la OMS a nivel mundial
La OMS actúa sobre la base de la observancia voluntaria de la legislación del país o los países en los que opera. Se están sosteniendo consul- tas sobre el programa ambiental con miras a la formulación de una política que pueda ser aceptada por todas las operaciones/oficinas de la OMS.
En curso
Revisión del Manual de la OMS
• La revisión del Manual de la OMS debería recibir la debida atención
El contenido del Manual de la OMS se ha ac- tualizado para que refleje las políticas y los pro- cedimientos de la Organización. Se ha hecho hincapié en que las secciones sobre los recursos humanos y la administración de los servicios financieros estén actualizadas. Asimismo, se está procediendo a un examen de las opciones para revisar el contenido y el formato del Ma- nual.
En curso
