Una gestión de personal de alto riesgo

La Cámara de Cuentas de Andalucía acaba de hacer público un interesante y crítico informe de fiscalización titulado “La gestión de los recursos humanos de la Junta de Andalucía: especial referencia al sistema SIRHUS” que intenta evaluar la eficacia y eficiencia del Sistema de Información de Recursos Humanos (en adelante, SIRHUS) para la gestión de los procedimientos en materia de personal.

Tiene especial interés, para todos los gestores informáticos de personal, el análisis que se efectúa en el informe para valorar los procedimientos de seguridad, tanto física como lógica, y sobre todo, en cuanto al cumplimiento de la normativa sobre protección de datos y la evaluación de sus controles. Es muy posible que usted esté en el mismo caso y deba de tomar medidas.

La aplicación informática se implantó en 1999 como el sistema de información “único para todos los colectivos de personal de la Administración de la Junta de Andalucía”. Sin embargo, en la actualidad aún no están integrados ni el personal docente ni el personal sanitario, que siguen controlados por sus propios sistemas de información y que representan el 75,8% de los 244.624 empleados públicos al 31 de diciembre de 2009. Tampoco se incluye en el aplicativo el personal del sector público empresarial de la Junta de Andalucía.

Entre las conclusiones iniciales del informe destacamos el reproche de la Cámara de Cuentas a la insuficiencia de personal de la Dirección General de la Función Pública para la gestión del sistema de información, cuya plantilla está cubierta solo al 60% por empleados fijos y “tiene que recurrir a la contratación de personal externo para llevar a cabo sus competencias”. Un personal que, para la Cámara, pudiera tener un coste superior al de los créditos presupuestarios necesarios.

Limitaciones

El objetivo principal del informe era analizar la gestión de los recursos humanos de la Junta de Andalucía, a través del sistema de información SIRHUS. Sin embargo, el alcance del trabajo se ha visto limitado al no entregarse evidencia relativa al funcionamiento de dos procedimientos: “administración de sistemas” y “gestión de auditorías y seguridad”. Ello ha impedido evaluar los procesos sobre la vigilancia y monitorización de los servicios y las emergencias, la resolución de incidencias, así como los controles sobre el proceso de datos.

Las conclusiones más importantes, resaltando especialmente los aspectos que deben ser mejorados, se exponen a continuación.

  • Los procedimientos de control sobre las nóminas realizados por el servicio de “Retribuciones y seguridad social” son relevantes en todo el proceso de gestión de personal a través del SIRHUS. El bajo número de incidencias generadas en la corrección y actualización de datos registrales en los procesos selectivos del personal son un indicador de la integridad y fiabilidad de la información disponible en el SIRHUS.
  • La Intervención General de la Junta de Andalucía, si bien ejerce la fiscalización de las tablas de contenido económico y la fiscalización de las incidencias en la nómina, no ejecuta los procedimientos relativos al control posterior de la nómina y el control financiero de la misma, debido a que no se ha completado la implantación de los módulos de SIRHUS relativos a estas tareas. Por ello, debe ultimarse su implantación, aprovechando para elaborar manuales de usuario actualizados y guías de fiscalización para el uso de los interventores.
  • Las posibilidades de valorar la eficacia y eficiencia en la gestión del personal a través del SIRHUS se ciñen a su inclusión en algunas de las actuaciones estratégicas de la Junta de Andalucía o bien a su consideración en los programas presupuestarios. En ninguno de los dos casos es posible evaluarlo.

Política de seguridad

Para los auditores de la Cámara de Cuentas de Andalucía, el nivel de seguridad del sistema de información no cumple con lo previsto en el Real Decreto 1720/ 2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.

El informe opina que la política de seguridad de la Consejería de Hacienda y Administración Pública debe mejorarse para solventar, entre otras, las siguientes incidencias:

  1. No se ha producido un análisis de los riesgos por amenazas y vulnerabilidades en cuanto a la seguridad de los sistemas de información de la consejería.
  2. No está actualizado ni revisado el documento de seguridad, previsto en la normativa sobre protección de datos, desde su implantación en marzo de 2003.
  3. No se han ejecutado los controles periódicos sobre el cumplimiento de lo dispuesto en este documento de seguridad, conforme a lo indicado en la normativa sobre protección de datos.
  4. No se ha revisado ni actualizado semestralmente el plan de contingencias de la Dirección General de la Función Pública, como prevé el propio documento de seguridad.
  5. Varias personas disponen de más de una tarjeta de acceso al centro de proceso de datos. Además, no hay un registro de entradas de las personas a este centro, sobre todo de aquellas que no tienen tarjeta y acompañan a personal autorizado en cuestiones puntuales.
  6. No hay procedimientos para la renovación periódica de claves ni un sistema de generación automática de las mismas. Las copias de seguridad se guardan en una caja fuerte que no se cierra.

En consecuencia, la Cámara destaca que los controles sobre el proceso de datos del SIRHUS, consistentes en validaciones informáticas y procedimientos automáticos, se documentan solamente con los comandos e instrucciones informáticas que los ejecutan. No se documentan de forma clara y comprensible, por lo que no se pueden realizar pruebas sobre su cumplimiento. Por ello, recomienda:

La documentación de un procedimiento de control debe ser entendible por personal que no haya participado en su elaboración, de forma que se garantice su comprensión para una posible revisión o actualización, así como permitir identificar en qué consiste cada control y los efectos que tiene, al objeto de determinar cuáles pueden resultar críticos y, por tanto, realizar pruebas sobre su cumplimiento.

Para terminar con algo de humor, traemos una forma de “documentar” los problemas de la Administración:

Published by

Antonio Arias Rodriguez

Síndico de la Sindicatura de Cuentas del Principado de Asturias

One thought on “Una gestión de personal de alto riesgo”

  1. Leyendo el informe creo que todos estamos “en pelota” en esta materia. Menos mal que las Agencias de Protección de Datos no se dedican a perseguir a las Administraciones Públicas (¿o sí?) porque si así fuese con caería el pelo. La ausencia de planes de salvaguardia o contingencias, la inxistencia de auditorías internas o externas sobre el sistema de control son bastante habituales. Creo que pocas administraciones pasarían un examen de este tipo.
    Gracias por la referencia.

    Me gusta

Gracias por comentar con el fin de mejorar

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s