Informe Especial - europarl.europa.eu€¦ · abreviaciones y glosario i–ix resumen 1–16...

ISSN

183

1-08

42

TRIBUNAL DE CUENTAS EUROPEO

2012

ES

Info

rme

Espe

cial

nº 5

EL SISTEMA COMÚN

DE INFORMACIÓN RELEX (CRIS)

EL SISTEMA COMÚN DE INFORMACIÓN RELEX (CRIS)

Informe Especial nº 5 2012

(con arreglo al artículo 287 TFUE, apartado 4, segundo párrafo)


Informe Especial nº 5/2012 – El Sistema Común de Información RELEX (CRIS)

TRIBUNAL DE CUENTAS EUROPEO12, rue Alcide De Gasperi1615 LuxembourgLUXEMBOURG

Tel. +352 4398-1Fax +352 4398-46410E-mail: [email protected]: http://eca.europa.eu

Informe Especial nº 5 2012

Más información sobre la Unión Europea, en el servidor Europa de Internet (http://europa.eu).

Al final de la obra figura una ficha catalográfica.Luxemburgo: Oficina de Publicaciones de la Unión Europea, 2012

ISBN 978-92-9237-604-8doi:10.2865/95424

© Unión Europea, 2012Reproducción autorizada, con indicación de la fuente bibliográfica

Printed in Luxembourg


3

ÍNDICE

Apartados

ABREVIACIONESY GLOSARIO

I–IX RESUMEN

1–16 INTRODUCCIÓN

1–6 ÁMBITODELAFISCALIZACIÓN

7–13 DESCRIPCIÓNDELSISTEMACRIS

14–16 MARCOREGLAMENTARIO

17–23 ALCANCEY ENFOQUEDELAFISCALIZACIÓN

24–74 OBSERVACIONES

24–44 PESEA ALGUNASINSUFICIENCIAS,ACTUALMENTEELSISTEMACRISSEDESARROLLAENFUNCIÓNDE LAS NECESIDADESDELACOMISIÓN

24–29 LOSPROYECTOSDEDESARROLLODELSISTEMARESPONDENHOYA NECESIDADESBIENDEFINIDAS

30–35 NECESIDADDEACTUALIZARLADEFINICIÓNDELAFUNCIÓNDELSISTEMACRIS

36–41 INSUFICIENCIASENLACODIFICACIÓNDELOSDATOS

42–44 PROBLEMASPERSISTENTESDEFACILIDADDEUSO

45–57 LAGESTIÓNDELSISTEMACRISTODAVÍANOGARANTIZAEFICAZMENTELAINTEGRIDADDELOSDATOS

49–52 REGISTROSDEDATOSOMITIDOS

53–56 REGISTROSDEDATOSINVÁLIDOS

57 RETRASOENELREGISTRO


4


58–74 SEGURIDADINSUFICIENTEENELSISTEMAY SUSDATOS

58–62 NOEXISTEUNADEFINICIÓNCLARADELASCOMPETENCIASRELATIVASA LASEGURIDADDELOSDATOS

63–67 INSUFICIENCIASQUEMENOSCABANLACONFIDENCIALIDADE INTEGRIDADDELOSDATOSENELSISTEMA

68–72 DOCUMENTACIÓNINCOMPLETADELSISTEMA

73–74 SUPERVISIÓNINSUFICIENTEDELTRATAMIENTODEDATOSPERSONALES

75–81 CONCLUSIONESY RECOMENDACIONES

RESPUESTASDELACOMISIÓN


5

ABAC: Sistema contable de ejercicio de la Comisión Europea, que sustituyó a Sincom2, anterior sistema de contabilidad de caja.

Datawarehouse ABAC : Sistema de información de la Comisión que proporciona datos contables y f inancieros consolidados.

Códigos(delosdatos): Valores de los datos utilizados en una base de datos para categorizar otros datos.

Confidencialidad(delosdatos): Carácter reservado de una información o de un sistema de información en su totali-dad o en parte (por ejemplo, algoritmos, programas o documentación) cuyo acceso esté limitado a personas, organismos y procedimientos autorizados.

CRIS: Sistema Común de Información RELEX

Datospersonales : Toda información sobre una persona física identificada o identificable. Se entenderá por «persona identificable» aquella que pueda identificarse directa o indirectamente, en particular mediante un número de identifica-ción o a través de una o varias de sus características individuales físicas, fisiológicas, psicológicas, económicas, culturales o sociales.

DG: Dirección general

Disponibilidad(delosdatos): Capacidad de un sistema de información para ejecutar una tarea con arreglo a calenda-rios, plazos y resultados determinados.

EuropeAid: Dirección General de Desarrollo y Cooperación — EuropeAid (anteriormente Oficina de Cooperación Euro-peAid y Dirección General de Desarrollo)

FED: Fondos Europeos de Desarrollo

Gobernanzadelastecnologíasdelainformación: Liderazgo, estructuras organizativas y procesos mediante los cuales la tecnología de la información de la organización mantiene y mejora las estrategias y objetivos de esta.

Integridad(delosdatos): Garantía de que el sistema de información y la información tratada solo pueden ser alterados mediante intervención voluntaria y legítima y que el sistema logrará el resultado previsto de manera precisa y completa.

NCI: Norma de control interno

OCDE: Organización de Cooperación y Desarrollo Económicos

OLAS : On-Line Accounting System (sistema de contabilidad en línea). Sistema de información utilizado por la Comisión hasta 2008 para apoyar las operaciones de los FED.

RELEX: Acrónimo francés de «relations extérieures» (relaciones exteriores).

Responsabledeltratamientodedatos(personales) : Institución, organismo, dirección general, unidad u otra entidad organizativa de la Unión que por sí solo o conjuntamente con otros determine los fines y los medios del tratamiento de datos personales.

ROM: Seguimiento basado en los resultados.

ABREVIACIONES Y GLOSARIO


6


Seguridad(delosdatos): La seguridad de los datos consiste en la capacidad del sistema de información para mantener la confidencialidad, integridad y disponibilidad de los datos.

Sistemadeinformación : Conjunto de material, métodos, procedimientos y, si es necesario, personal, organi-zado de forma que cumpla funciones de tratamiento de la información.

TI: Tecnología de la información

Tratamientodedatospersonales: Cualquier operación o conjunto de operaciones aplicadas a datos perso-nales, efectuadas o no mediante procedimientos automatizados, como la recogida, registro, organización, con-servación, elaboración o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma que facilite el acceso a los mismos, así como su bloqueo, supresión o destrucción.


7

RESUMEN

I.CRIS es el sistema de información creado por la Comi-sión para prestar apoyo a la gestión de las acciones exteriores. Desde su entrada en servicio en 2002, las funciones del sistema se han ido ampliando de manera continua, hasta convertirse en el principal sistema de información y referencia sobre la gestión, notificación y documentación de las acciones exteriores, financiado por el presupuesto general de la Unión Europea (UE) y por los Fondos Europeos de Desarrollo (FED).

II.El sistema CRIS permite trabajar con una base de datos común a todo el personal de la Comisión dedicado a la gestión de las acciones exteriores, tanto en los servicios centrales como en las delegaciones de la UE. Proporciona datos sobre las diferentes fases de la gestión, desde la programación hasta el seguimiento, pasando por la preparación, abarcando aspectos ope-rativos y financieros de dichas acciones. Asimismo pro-porciona datos financieros al sistema informático de contabilidad de la Comisión ABAC.

III.La pregunta general de auditoría planteada era si el sistema CRIS respondía eficazmente a las necesidades de información de la Comisión. Concretamente, el Tri-bunal valoró si el sistema CRIS constituía una respuesta eficaz a las necesidades de la Comisión y si la informa-ción que facilitaba era fiable. Para llevar a cabo la fisca-lización, se efectuó un examen de la documentación del sistema y se realizaron pruebas de confirmación de datos obtenidos del sistema CRIS.

IV.El Tribunal concluye que, en general, CRIS responde eficazmente a las necesidades de información de la Comisión en el ámbito de las acciones exteriores. No obstante, tras diez años de desarrollo, todavía presenta insuficiencias recurrentes que afectan en especial a la definición del papel de CRIS en el sistema contable de la Comisión, deficiencias en la codificación de los datos, eficacia insuficiente en la protección de la integridad de los datos y, con carácter más general, seguridad insuficiente del sistema y de sus datos. Algu-nas de las observaciones formuladas corroboran otras expuestas en anteriores informes del Tribunal.


8


V.La actual evolución del sistema CRIS responde a nece-sidades de información bien definidas y documenta-das, pero, pese a las recientes mejoras introducidas en su gobernanza, todavía no se ha formulado una definición actualizada de la función de CRIS. En parti-cular, no está claro por qué el sistema CRIS tenía que duplicar algunas funciones del sistema contable de la Comisión.

VI.Una sucesión de cambios insuficientemente formaliza-dos durante varios años, entre 2005 y 2008, han dejado los códigos de datos del sistema sin definir de forma adecuada. Por esta razón, la consolidación de los datos resulta y muy compleja y tiende a presentar errores. En particular, no es fiable utilizar CRIS para obtener datos agregados sobre acciones exteriores por países beneficiarios, instrumentos financieros o políticas.

VII.En cuanto a la integridad de los datos de CRIS, el Tribu-nal ha constatado que faltaban algunos registros y que otros no eran válidos o no habían sido actualizados. Esto le resta fiabilidad al sistema y también eficiencia y eficacia como instrumento de gestión.

VIII.La Comisión aún no había protegido suficientemente el sistema y sus datos. Si bien contaba con procedi-mientos para la administración de los derechos de acceso de los usuarios, las competencias en materia de seguridad de los datos del sistema CRIS no estaban claramente definidas. Además, algunas insuficiencias del sistema le restan eficiencia y eficacia para mante-ner la confidencialidad e integridad de los datos. Por otro lado, el Tribunal observó que la supervisión del tratamiento de los datos personales era insuficiente.

IX.Basándose en las anteriores observaciones, el Tribunal formula las siguientes recomendaciones para mejorar la eficacia de la respuesta del sistema CRIS a las nece-sidades de información de la Comisión:

a) Debería establecerse la función asignada a CRIS como sistema de información, principalmente res-pecto del sistema contable ABAC de la Comisión. En particular, esta debería esforzarse por reducir la duplicación de las funciones de ABAC en CRIS.

b) Las listas de códigos de datos de CRIS deberían ra-cionalizarse de forma que sean únicas y que los va-lores de sus datos se excluyan mutuamente. Ade-más deberían revisarse y reforzarse los actuales controles de calidad de los datos (verificaciones y procesos) para salvaguardar eficazmente la fia-bilidad de los datos. El objetivo de estas medidas debería ser garantizar la eficacia y eficiencia del sistema CRIS para suministrar información agre-gada por países beneficiarios, ámbitos políticos e instrumentos financieros.

c) Teniendo en cuenta la amplitud y variedad de la población de usuarios del sistema CRIS, en su de-sarrollo futuro debería prestarse la debida aten-ción a la mejora de la facilidad de uso del sistema.

d) Deberían definirse las competencias de gestión de la seguridad de los datos del sistema CRIS. Habría que realizar asimismo una evaluación de riesgo global de las tecnologías de la información prestando especial atención a la protección de los datos personales y financieros.


9

INTRODUCCIÓN

ÁMBITODELAFISCALIZACIÓN

1. Se entiende por acciones exteriores las intervenciones de la Comisión en países no pertenecientes a la Unión Europea, como, por ejemplo, la am-pliación de la Unión Europea (UE), el desarrollo de los Estados de África, del Caribe y del Pacífico y la política de comercio exterior. La gestión de las acciones exteriores se lleva a cabo tanto en los servicios centrales de la Comisión en Bruselas como en las delegaciones de la UE en numerosos países del mundo. En 2010, los compromisos totales contraídos por la Comisión en concepto de acciones exteriores ascendía a 11 107 millones de euros1.

2. Durante los últimos diez años, la Comisión ha intentado armonizar y sim-plificar sus procedimientos de gestión de las acciones exteriores, y para ello ha tomado medidas encaminadas a unificar los servicios encargados de su ejecución y ha implantado paralelamente un sistema de informa-ción armonizado, el Sistema Común de Información RELEX (CRIS), que integra anteriores sistemas de información heterogéneos. Este sistema debería permitir la obtención de información financiera instantánea so-bre los proyectos y los programas de acciones exteriores.

3. Un sistema de información es un conjunto de material, métodos, proce-dimientos y, si es necesario, personal, organizado de forma que cumpla funciones de tratamiento de la información2. Normalmente, en las orga-nizaciones, se crean estos sistemas para proporcionar al personal y a la dirección la información que necesitan en el desempeño de sus tareas de planificación, supervisión, control y elaboración de informes.

4. En 2002, año de entrada en servicio del sistema CRIS, sus funciones esta-ban relacionadas con la ejecución financiera de los proyectos, pero pos-teriormente el sistema se ha ampliado de manera continua para abarcar un número creciente de aspectos financieros y operativos de la gestión de las acciones exteriores. Actualmente, CRIS cubre las diferentes fases de las acciones, desde la programación hasta el seguimiento, pasando por la preparación.

1 8 445 millones de euros del presupuesto general de la UE y 2 662 millones de euros de los FED. Fuente: Documento de trabajo de los servicios de la Comisión «Annual report 2011 on the European Union’s development and external assistance policies and their implementation in 2010», SEC(2011) 880 final, documento de acompañamiento del Informe Anual 2011 sobre las políticas de desarrollo y ayuda exterior de la Unión Europea y su aplicación en 2011, COM(2011) 414 final.

2 Decisión de la Comisión C(2006) 3602 de 16 de agosto de 2006 «Security of information systems used by the European Commission» (seguridad de los sistemas de información utilizados por la Comisión Europea).


10


3 El 1 de enero de 2011, los servicios de la antigua Oficina de Cooperación EuropeAid y de la antigua Dirección General de Desarrollo se agruparon en una nueva Dirección General de Desarrollo y Cooperación − EuropeAid; la denominación pública con que se conocía a la antigua Oficina (EuropeAid) ahora se emplea para la nueva Dirección General de Desarrollo y Cooperación – EuropeAid.

4 El 1 de enero de 2011 dejó de existir la antigua Dirección General de Relaciones Exteriores y la mayor parte de sus actividades fueron asumidas por el Servicio Europeo de Acción Exterior (SEAE). Sus actividades financieras fueron asumidas por el Servicio de Instrumentos de Política Exterior (FPIS).

5. El sistema CRIS es utilizado principalmente por la Dirección General de Desarrollo y Cooperación (EuropeAid3), por la Dirección General de Am-pliación y por el Servicio de Instrumentos de Política Exterior4. Estos servicios utilizan el sistema CRIS como interfaz para la introducción de datos financieros relativos a las acciones exteriores en el sistema conta-ble de la Comisión (ABAC). Las operaciones financieras se inician en el sistema CRIS, en el que se introducen y verifican los datos antes de su transferencia automática al sistema ABAC para que no tengan que ser codificados dos veces. Además también se introducen, procesan y alma-cenan en el sistema datos operativos sobre programas y proyectos de acciones exteriores, como los resultados de las acciones de seguimiento y auditoría. Estos datos pueden ser útiles para la gestión y la toma de decisiones, así como para el seguimiento global de la ejecución de las acciones exteriores.

6. Por su función de registro y notificación de los resultados de los controles internos, el sistema CRIS constituye actualmente un componente clave del sistema de control interno de la Comisión para las acciones exteriores.

DESCRIPCIÓNDELSISTEMACRIS

7. CRIS es un sistema de información electrónico que depende en gran medida de tecnología informática y de telecomunicaciones (hardware) y de procedimientos electrónicos (software). Su software consiste esen-cialmente en una base de datos, una interfaz de usuario accesible por Internet para la introducción y consulta de datos y una interfaz o vínculo con el sistema contable ABAC de la Comisión. Al depender de una única base de datos centralizada, todos los usuarios de la Comisión y de las delegaciones de la UE pueden trabajar con los mismos datos.

8. La interfaz de usuario está organizada en distintos módulos, en su ma-yoría correspondientes a diferentes fases de los proyectos y del ciclo de gestión anual, como se muestra en el gráfico 1 . Otros módulos sirven para administrar el sistema.


11

GRÁFICO1

FASESDELOSPROYECTOSY DELCICLODEGESTIÓNANUALABARCADAS PORLOSMÓDULOSDELSISTEMACRIS

Fase del proyecto o del ciclo de gestión Principales módulos de CRIS que intervienen

Establecimiento de estrategiapolítica y por países

Preparación de las acciones

Ejecución e información

Programación

Previsiones �nancieras

Decisiones

Licitaciones /Convocatorias de propuestas

Registro en línea para potencialessolicitantes de subvenciones (PADOR)

Fichero de entidades jurídicas /Fichero de cuentas bancarias

Contratos marco

Proyectos

Contratos

Garantías �nancieras

Facturas / Pagos

Previsiones de ingresos

Órdenes de cobro

Auditorías

Sistema de control orientadoa los resultados (ROM)

Evaluaciones

Fuente: Tribunal de Cuentas Europeo.


12


9. Entre otras funciones, normalmente, un módulo del sistema CRIS permite a los usuarios:

ο crear, modificar y validar registros;

ο buscar registros;

ο consultar registros y sus correspondientes datos, algunos de los cua-les son calculados automáticamente por el sistema;

ο adjuntar documentos a los registros;

ο vincular registros pertenecientes a diferentes módulos.

10. Por ejemplo, el módulo Contratos permite al usuario buscar todos los registros de contratos adjudicados a un determinado beneficiario. Nor-malmente, en los registros de contrato identificadas mediante dicha búsqueda figuran, entre otros datos, el número del contrato, una breve descripción del mismo, su estatus, el tipo al que pertenece, el nombre del servicio y de la persona encargados del mismo, la zona geográfica a la que corresponde, las fechas de firma y finalización del contrato, su importe y las líneas presupuestarias correspondientes. Además lle-va adjunto una copia escaneada del propio contrato y de sus anexos, y probablemente estará vinculado a varios registros del módulo Facturas correspondientes a las facturas remitidas por el beneficiario. Además, desde este mismo registro, el usuario podrá consultar todos los registros relacionados con la acción de que se trate y consultar directamente una versión electrónica de los documentos correspondientes.

11. La interfaz de usuario CRIS se completa con otras dos herramientas:

ο El Datawarehouse de CRIS, sistema de notificación que permite que los usuarios acumulen los datos del sistema CRIS.

ο La Knowledge Base de CRIS, sistema documental que permite a los usuarios acceder a toda la documentación de los usuarios del sistema CRIS.

12. Con los años ha aumentado el número de usuarios del sistema CRIS: en 2010, lo utilizaban 5 000 usuarios individuales, de los cuales más de 3 000 pertenecían a las delegaciones de la UE, como se muestra en el cuadro. El número medio de sesiones individuales durante un día labo-rable normal se situaba en torno a las 3 000.


13

13. El desarrollo y mantenimiento del sistema CRIS se financian mediante créditos del presupuesto general de la UE y de los FED. El presupuesto total solicitado para el desarrollo, mantenimiento y asistencia del sis-tema CRIS aumentó a lo largo de los años hasta alcanzar los 13 millo-nes de euros en 2011. Este presupuesto es administrado por la Dirección General de Desarrollo y Cooperación – EuropeAid, que dirige el desa-rrollo y el mantenimiento del sistema CRIS en colaboración con otras direcciones generales que utilizan el sistema o le prestan apoyo.

Asignación de usuario Usuarios de CRIS en 2010 Número de sesiones en 2010

Delegaciones de la UE 3 095 62 % 562 861 70,5 %

EuropeAid 1 319 26 % 178 993 22,5 %

antigua DG RELEX 164 3 % 7 404 1 %

DG Ampliación 277 6 % 44 373 5,5 %

DG Ayuda Humanitaria y Protección Civil (ECHO)

45 1 % 1 222 0 %

otras DG o servicios 105 2 % 3 683 0,5 %

TOTAL 5 005 100 % 798 536 100 %

CUADRO

NÚMERODEUSUARIOSDELSISTEMACRISEN2010

Fuente: Cifras calculadas por el Tribunal a partir de los datos del sistema CRIS.


14


5 Reglamento (CE, Euratom) nº 1605/2002 del Consejo, de 25 de junio de 2002, por el que se aprueba el Reglamento Financiero aplicable al presupuesto general de las Comunidades Europeas (DO L 248 de 16.9.2002, p. 1).

6 Reglamento (CE, Euratom) nº 2342/2002 de la Comisión, de 23 de diciembre de 2002, sobre normas de desarrollo del Reglamento (CE, Euratom) nº 1605/2002 del Consejo, por el que se aprueba el Reglamento Financiero aplicable al presupuesto general de las Comunidades Europeas (DO L 357 de 31.12.2002, p. 1). En particular, el artículo 48 prevé que los sistemas y procedimientos de gestión y control interno tendrán por finalidad, entre otras cosas, la presentación fidedigna de la información financiera y de gestión.

7 Reglamento (CE) nº 45/2001 del Parlamento Europeo y del Consejo, de 18 de diciembre de 2000, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos (DO L 8 de 12.1.2001, p. 1).

8 Véase la nota a pie de página 2.

MARCOREGLAMENTARIO

14. El Reglamento Financiero de la Unión Europea5 y sus normas de desarro-llo6 establecen los principios fundamentales de ejecución del presupues-to. Concretamente, prevén que los ordenadores deben crear estructuras organizativas y procedimientos de control adecuados e informar a sus instituciones sobre la ejecución de sus tareas, así como disposiciones particulares relativas a los sistemas de información financiera.

15. El Reglamento (CE) nº 45/20017 establece normas sobre la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos de la Unión Europea.

16. La Decisión C(2006) 3602 de la Comisión8 prevé medidas de seguridad para la protección de los sistemas de información de la Comisión y de la información procesada en los mismos frente a las amenazas contra la disponibilidad, integridad o confidencialidad de dicha información.


15

ALCANCE Y ENFOQUE DE LA FISCALIZACIÓN

17. La pregunta general de auditoría planteada era si el sistema CRIS res-ponde eficazmente a las necesidades de información de la Comisión en el ámbito de las acciones exteriores.

18. La pregunta general se divide en tres:

a) ¿Constituye el sistema CRIS una respuesta eficaz a las necesidades de la Comisión? (véanse los apartados 24 a 44)

b) ¿Es fiable la información facilitada por el sistema CRIS? (véanse los apartados 45 a 57)

c) ¿Garantizó suficientemente la Comisión la seguridad de CRIS y de sus datos? (véanse los apartados 58 a 74)

19. Los trabajos correspondientes a las subpreguntas a) y c) consistieron sobre todo en el análisis de la documentación y de las explicaciones faci-litadas por los agentes de la Comisión en las entrevistas de auditoría, y se centraron principalmente en el desarrollo del sistema CRIS desde 2005, aunque también se tuvieron en cuenta acontecimientos que tuvieron lugar entre 2000 y 2005, siempre que se dispusiera de documentación sobre los mismos. Esta parte de la auditoría se centró en la Oficina de Co-operación EuropeAid, que desempeña un papel esencial en el desarrollo del sistema. Además, el Tribunal realizó una encuesta electrónica a los usuarios de CRIS en las delegaciones de la UE durante mayo de 2011.

20. La segunda parte de la fiscalización, basada en la subpregunta b), con-sistió en verificar si la información facilitada por CRIS era fiable. Para ello, se tomaron series de datos del sistema CRIS y se sometieron a pruebas de confirmación. Las pruebas, realizadas sobre datos importados direc-tamente de la base de datos de CRIS al final de marzo de 2011, tenían por objeto comprobar si los registros de datos de CRIS eran completos, válidos, compatibles y actualizados.

21. En cuanto al alcance de la auditoría, esta abarcaba la información sobre todos los créditos gestionados con el apoyo de CRIS, tanto del presu-puesto general de la UE como de los FED.

22. Por motivos de eficiencia, el trabajo de auditoría se centró en ocho de los veintiún módulos del sistema CRIS, seleccionados de manera que estu-vieran representados tanto los módulos financieros como los operativos9. De este modo, el Tribunal pudo someter a los módulos seleccionados a pruebas más detalladas sin perder la visión global del sistema.

23. Al no tratarse de una auditoría de tecnologías de la información, la fisca-lización no pretendía evaluar aspectos más técnicos de CRIS. Tampoco, tenía por objeto evaluar la relación coste-eficacia del mantenimiento y desarrollo del sistema.

9 Los módulos seleccionados para la fiscalización fueron Decisiones, Contratos, Ficheros de entidades jurídicas, Facturas, Previsiones financieras, Auditoría, Evaluaciones y los módulos ROM.


16


PESEA ALGUNASINSUFICIENCIAS,ACTUALMENTEELSISTEMACRISSEDESARROLLAENFUNCIÓN DELASNECESIDADESDELACOMISIÓN

LOSPROYECTOSDEDESARROLLODELSISTEMARESPONDENHOYA NECESIDADESBIENDEFINIDAS

24. Se entiende por gobernanza de las tecnologías de la información el liderazgo, las estructuras organizativas y los procesos en virtud de los cuales la tecnología de la información de una organización mantiene y mejora las estrategias y los objetivos de dicha organización10.

25. Según las normas de control interno de la Comisión deben existir estruc-turas de gobernanza de las tecnologías de la información adecuadas11. En particular:

ο cada dirección general debe definir la organización adecuada para gestionar los sistemas de información que posea;

ο debe elaborarse un schéma directeur (plan maestro de tecnologías de la información) anual, que abarque todos los avances del sistema de información;

ο todo sistema de información perteneciente a una dirección gene-ral debe contar con un business owner claramente identificado que represente los intereses de los usuarios bajo la supervisión de un comité director;

ο todos los nuevos proyectos de sistemas de información deberán ser aprobados basándose en un documento estratégico que describa el proyecto;

ο todos los sistemas de información nuevos se desarrollarán según los métodos normalizados de gestión y desarrollo de proyectos de la Comisión.

26. El objetivo de estas medidas consiste principalmente en garantizar que los proyectos de desarrollo de sistemas de información responden a las necesidades de la organización y están concebidos para ofrecer una respuesta eficaz a dichas necesidades12.

10 Traducción de la definición del IT Governance Institute® citada en el documento SEC(2004) 1267, de 20 de octubre de 2004, «Communication to the Commission on the improvement of information technology governance in the Commission».

11 NCI nº 7. Véase asimismo el documento SEC(2004) 1267.

12 Según el documento SEC(2004) 1267, todo proyecto de desarrollo de sistemas de información debería ir acompañado de un estudio de casos y de viabilidad en el que se explicara por qué se construye el sistema, qué se propone hacer y de qué modo, dónde repercutirá en la organización y cuánto costará.

OBSERVACIONES


17

27. El Tribunal observó que, entre 2005 y 2008, no se había documentado de manera clara y sistemática el reconocimiento de las necesidades en materia de información ni el establecimiento del orden de prioridad de las mismas. Debido a ello, el desarrollo de algunos sistemas no respondía adecuadamente a las necesidades de la Comisión o, incluso en casos extre-mos, los desarrollos eran completamente inútiles (véase el recuadro 1). De manera análoga, la gestión de la mayoría de los proyectos de tecnología de la información era relativamente informal, salvo en el caso de un gran proyecto para la absorción de OLAS, el sistema de información anterior-mente utilizado para el funcionamiento de los FED.

28. Desde 2008, la Comisión ha ido creando una estructura más exhaustiva de gobernanza de las tecnologías de la información para el sistema CRIS: así, las necesidades de información son ahora identificadas y analiza-das sistemáticamente, y todos los nuevos proyectos de desarrollo del sistema de información de EuropeAid deben ser aprobados basándose en un documento estratégico en el que se describen los objetivos, ries-gos y medios del proyecto. Para ello, la dirección general elabora un schéma directeur (plan maestro de tecnologías de la información) anual, que ofrece una relación completa de todos los proyectos de desarrollo del sistema de información previstos. Se designa un business owner que represente los intereses de los usuarios y los grandes proyectos son supervisados por un comité director.

29. Además, EuropeAid cuenta actualmente con una metodología de ges-tión de proyectos y los nuevos proyectos de desarrollo del sistema de información son documentados.

RECUADRO1

NUNCASEHAUTILIZADOELMÓDULOEVALUACIONES

En un documento de trabajo publicado en 2004, la Comisión sugería que el módulo Evaluaciones del sistema CRIS se había concebido para proporcionar una visión global de las evaluaciones intermedias y finales gestionadas por las delegaciones y las unidades operativas. Sin embargo, este módulo nunca se ha utilizado y no contenía registro alguno. La Comisión no disponía de documentos que explicaran esta situación.


18



14 Desde su inicio, el sistema CRIS ha asumido sucesivamente las funciones y los datos de los siguientes sistemas de información: en 2002, Griot (sistema de la antigua Dirección General de Relaciones Exteriores DG IA); en 2002-2003, Désirée (sistema de la antigua Dirección General de Relaciones Exteriores DG IB); en 2003-2004, MIS (sistema de información de la antigua Dirección General de Desarrollo DG VIII), y en 2008, OLAS (sistema de la antigua Dirección General de Desarrollo DG DEV).

NECESIDADDEACTUALIZARLADEFINICIÓNDELAFUNCIÓN DELSISTEMACRIS

30. De acuerdo con las buenas prácticas, es necesario que en todos los proyectos de desarrollo de sistemas de información figuren documentos que expliquen por qué se construye el sistema, qué se propone hacer y de qué modo se llevará a cabo13. El Tribunal controló si existían docu-mentos de este tipo para el desarrollo global del sistema CRIS.

31. El Tribunal halló documentos que demostraban que el objetivo de la Co-misión en 2000, cuando decidió desarrollar el sistema CRIS, era facilitar información financiera instantánea sobre proyectos y programas en el ám-bito de las acciones exteriores y, en particular, una imagen adecuada de la distribución de los compromisos y los pagos por países y sectores en las distintas regiones geográficas. Así pues, el cometido de CRIS era comple-mentar el sistema contable de la Comisión cumpliendo funciones y apor-tando información más específica del ámbito de las acciones exteriores.

32. Así, de 2002 a 2004, los primeros módulos del sistema CRIS se dedicaron sobre todo a algunos aspectos de la gestión financiera de las acciones exteriores, tales como decisiones, contratos y facturas. Después, sin em-bargo, las funciones del sistema fueron ampliándose de forma continua especialmente para abarcar más aspectos operativos de las acciones exte-riores. Se añadieron progresivamente nuevos módulos y se adaptaron los ya existentes (véase el gráfico 2). Asimismo, se absorbieron otros sistemas de información para ampliar el alcance de CRIS en el ámbito de las acciones exteriores14. En 2005 se realizaron grandes cambios con la introducción de las funciones de contabilidad de ejercicio. Otro cambio importante, en 2008, fue la absorción del sistema OLAS (véase el apartado 27).

33. A partir de 2002 el sistema contable de la Comisión también experimen-tó cambios importantes: así, desde que se introdujera la contabilidad de ejercicio en 2005 y se sustituyera el anterior sistema informático de contabilidad Sincom2 por ABAC, ofrece muchas funciones nuevas, como el registro de los contratos.

34. Pese a estos importantes cambios en CRIS y en ABAC, el Tribunal no encontró documento alguno que ofreciera una descripción actualizada de la función asignada a CRIS dentro del conjunto de los sistemas de información de la Comisión, de sus objetivos ni del campo de acción preciso de las operaciones que respalda.


19

GRÁFICO2

EVOLUCIÓNDELSISTEMACRIS

NUEVOS MÓDULOS DE CRISNOVEDADES EN LA INTERFAZ ENTRE

LOS SISTEMAS CRIS Y ABAC

PREVISIONES FINANCIERAS

CONTRATOS MARCO

ROM

FACTURAS(principales cambios)

COBROS

PREVISIONES DE INGRESOS

GARANTÍAS FINANCIERAS

AUDITORÍA

PREVISIONES FINANCIERAS1ª versión

CONTRATOS

FACTURAS

FORMULARIOS CAD

LICITACIONES/CONVOCATORIAS DE PROPUESTAS

PROGRAMACIÓN

DECISIONESCOMPROMISOS

PAGOS

CONTRATOSFACTURAS

COBROSGARANTÍAS

1999-2002

2002

2003

2004

AÑO

2006

2009

2008

2007

2005

2010

CRIS

Fuente: Tribunal de Cuentas Europeo.


20


35. En particular, no se definía adecuadamente la función del sistema CRIS con respecto a ABAC, muchas de cuyas funciones reproducía. No estaba claro el valor añadido de seguir codificando las operaciones financieras en CRIS en lugar de hacerlo directamente en ABAC (véase el recuadro 2). No obstante, debido a esta interdependencia entre CRIS y ABAC, alrede-dor de la tercera parte del personal informático de EuropeAid se dedica a actualizar el sistema CRIS para adaptarlo a la evolución de ABAC en lu-gar de trabajar prestando apoyo a las operaciones de acciones exteriores.

INSUFICIENCIASENLACODIFICACIÓNDELOSDATOS

36. El uso de códigos de datos en un sistema de información permite la fácil recuperación de los registros de datos con herramientas de búsqueda automática y su consolidación para la elaboración de informes. Así pues, la eficiencia y eficacia de un sistema para permitir la fácil recuperación y consolidación de registros de datos dependen mucho de la calidad y compatibilidad de los códigos de datos.

37. En 2000 se fijó para CRIS el objetivo de proporcionar información finan-ciera instantánea y consolidada sobre proyectos y programas de acciones exteriores (véase el apartado 31). El Tribunal comprobó si la definición de los códigos de datos de CRIS contribuía eficazmente a dicho propósito.

RECUADRO2

INEFICACIADELATRANSFERENCIADEDATOSENTRECRISY ABAC

La interfaz entre CRIS y ABAC no facilita el intercambio de datos. Si bien ABAC controla automáticamen-te la exhaustividad y compatibilidad de los datos de las operaciones financieras antes de registrarlos, puesto que los controles efectuados por ABAC no coinciden siempre con los que realiza CRIS, los datos de las operaciones financieras quedan a veces bloqueados al ser transferidos de CRIS a ABAC, es decir, en una de las últimas etapas del procedimiento de validación. Después los datos ser corregidos y validados de nuevo en el sistema CRIS, y transferidos por segunda vez a ABAC.


21

38. El Tribunal observó que, debido a la insuficiente formalización de los cambios sucesivos introducidos en los sistemas (véase el apartado 27), algunas del más de centenar de listas de códigos estaban duplicadas. Las listas de códigos de datos duplicadas pueden divergir con el tiem-po, además de complicar y ralentizar la consolidación y reconciliación de datos y ser causa de errores. Hace unos años se inició un proyecto para racionalizar la organización de los códigos de datos en el sistema CRIS mediante su almacenamiento en un cuadro común. Sin embargo, el proyecto no se completó y el sistema quedó en una situación mixta, pues algunas de las listas de códigos de datos seguían almacenadas en cuadros independientes o duplicados.

39. El Tribunal también halló listas de códigos que contenían valores que no se excluían mutuamente por lo que impedían la consolidación efi-caz de los datos. Por ejemplo, en el módulo Facturas, como en otros muchos módulos del sistema CRIS, figuraban referencias a una lista de códigos que representaban zonas geográficas. Dentro de esta lista, unos códigos indicaban países y otros, grupos de países, de manera que en algunos registros de pagos efectuados en un país figuraba el código de este, mientras que en otros figuraba el código de la región geográfica más amplia a la que pertenecía el país. En consecuencia, CRIS no pue-de utilizarse fácilmente para determinar la lista de los pagos realizados a beneficiarios en un determinado país ni su importe total, como puede verse en el ejemplo presentado en el recuadro 3.

40. Asimismo, el sistema CRIS no puede utilizarse fácilmente para compu-tar el importe total gastado en una política determinada o financiado por un instrumento financiero concreto. En efecto, la lista de dominios empleada para asociar los registros de muchos módulos de CRIS a un determinado dominio mezcla las zonas geográficas (Asia, por ejemplo), los instrumentos financieros ( TACIS15, por ejemplo) y las políticas temá-ticas (seguridad alimentaria, por ejemplo).

15 Asistencia técnica a la Comunidad de Estados Independientes.

RECUADRO3

CÓDIGOSDEZONAGEOGRÁFICAEQUÍVOCOSENLOSREGISTROSDELOSPAGOS

Mientras que un registro de pago de CRIS puede referirse a Tanzania, otro puede referirse a una zona geográfica denominada «Sahara meridional». En una lista de pagos relativa a Tanzania figuraría el pri-mer registro, pero no el segundo, pese a que una parte del segundo pago podría haberse destinado a Tanzania.


22


16 En su Informe Anual sobre los FED relativo al ejercicio 2005, el Tribunal observaba: «Sin embargo, los servicios centrales de la Comisión no pueden garantizar una supervisión global eficiente de los programas de microproyectos debido a las debilidades en el sistema informático de información (CRIS), en particular en su sistema de codificación. Por ejemplo, sigue siendo difícil presentar una lista fiable de los programas de microproyectos que han sido ejecutados o se encuentran en curso de ejecución. De hecho, se trata de un problema más general, que no se circunscribe a los programas de microproyectos [...]».En su Informe Anual relativo al ejercicio 2006, el Tribunal señala asimismo: «El Sistema Común de Información RELEX (CRIS) proporciona datos de la gestión cotidiana de los proyectos. Debido en gran parte a las limitaciones existentes en cuanto a la definición de datos, el sistema no permite llevar a cabo algunos análisis de información financiera que serían deseables».En su Informe Especial nº 4/2009 sobre la gestión por la Comisión de la participación de agentes no estatales en la cooperación comunitaria al desarrollo, el Tribunal señalaba: «Actualmente EuropeAid no cuenta con una fuente de datos fácilmente disponible sobre la financiación de los ANE [...] los datos contenidos en el Sistema Común de Información RELEX (CRIS) son incompletos y la identificación de los operadores no es fiable».


18 En su Informe Anual relativo al ejercicio 2008, el Tribunal señala: «Los usuarios del sistema se veían confrontados frecuentemente a dificultades técnicas que pueden afectar a la regularidad de las operaciones procesadas (es habitual encontrar casos en que los pagos se abonaron fuera de los plazos establecidos debido a la indisponibilidad del sistema)».

41. En consecuencia, la consolidación de los datos (sobre todos financieros) registrados en CRIS con fines de elaboración de informes resulta espe-cialmente compleja, lo cual menoscaba la eficiencia y la eficacia del sistema CRIS como herramienta de información y gestión16.

PROBLEMASPERSISTENTESDEFACILIDADDEUSO

42. Según la Comunicación a la Comisión relativa a la mejora de la gober-nanza de las tecnologías de la información en la Comisión17, los sistemas de información han de orientarse al usuario y satisfacer sus necesidades. Por ello, los usuarios están en condiciones de indicar si un sistema de información responde eficazmente a sus necesidades.

43. En mayo de 2011, el Tribunal realizó una encuesta entre los usuarios de CRIS en las delegaciones de la UE, para valorar cómo afectaban deter-minadas cuestiones a la población de usuarios de CRIS. Respondieron 44 de las 92 delegaciones a las que se enviaron los cuestionarios. Las principales conclusiones que pueden extraerse del análisis de las res-puestas son las siguientes:

ο los usuarios del sistema CRIS se veían confrontados a periodos lar-gos y frecuentes de indisponibilidad del sistema (14 delegaciones de 44 sufrieron indisponibilidad durante un periodo superior a una semana);

ο en 2010, casi todas las delegaciones encuestadas (41 de 44) se en-frentaron a retrasos en la codificación o validación de las operaciones debido a deficiencias en el diseño del sistema CRIS18;

ο Veintiuno de los 44 encuestados consideraban que, debido a las di-ficultades de su interpretación o traducción, en ocasiones los datos se codificaban de manera aproximativa;

ο Seis de las 44 delegaciones manifestaron que los retrasos provocados por el sistema CRIS representan un gasto para la Comisión: dos de las delegaciones aportaron estimaciones de las sanciones o pérdidas por valor de 300 euros en un caso y de 3 000 euros en el otro.

44. Los resultados de la encuesta realizada por el Tribunal quedan corrobo-rados por dos encuestas que la Comisión llevó a cabo en 2008 y 2010 en las que participaron usuarios de CRIS de los servicios centrales de la Comisión y de las delegaciones de la UE. Estas encuestas demostraban que las opiniones de los usuarios sobre el sistema habían mejorado pero seguían siendo divergentes, como puede apreciarse en el gráfico 3.


23

LAGESTIÓNDELSISTEMACRISTODAVÍA NOGARANTIZAEFICAZMENTELAINTEGRIDAD DELOS DATOS

45. Para que un sistema de información sea eficaz, no basta con que facilite datos, sino que también debe garantizar la integridad de los mismos. Por integridad de los datos se entiende la capacidad de un sistema de información para conseguir los resultados esperados correctos y com-pletos, de modo fiable19.

46. Desde el punto de vista de la seguridad, la Comisión considera que CRIS es un sistema de información clave, lo cual significa que la pérdida de su integridad o disponibilidad puede poner en peligro la posición de la Comisión frente a otras instituciones, Estados miembros o terceros20.

19 Decisión de la Comisión C(2006) 3602.

20 Según la Decisión de la Comisión C(2006) 3602, los sistemas de información clave son sistemas cuya pérdida de integridad o disponibilidad puede poner en peligro la situación de la Comisión frente a otras instituciones, Estados miembros o terceros, dando lugar, por ejemplo, al menoscabo de la imagen de la Comisión o de otras instituciones frente a los Estados miembros o a los ciudadanos; a un perjuicio grave para personas físicas o jurídicas, a un rebasamiento del presupuesto o a pérdidas económicas sustanciales con consecuencias graves para las finanzas de la Comisión.

GRÁFICO3

EVOLUCIÓNDELASOPINIONESDELOSUSUARIOSDECRISSOBREVARIOSASPECTOSDELSISTEMAENTRE2008Y 2010ENUNAESCALADE1(MALA)A 5(EXCELENTE)

1 2 3 4 5

Cali�cación global

Información de losmanuales

Acceso a los manuales

Seguridad

Respuesta

Disponibilidad

Facilidad de uso

Funcionalidades

Fiabilidad

Búsqueda

2010 2008

Fuente: Documento de trabajo de la Comisión – Resultados de la encuesta de 2010 «The CRIS system – your opinion», febrero de 2011.


24


47. La Comisión creó varios mecanismos de protección para contribuir a la integridad de los datos del sistema CRIS:

ο se han incorporado controles automáticos al software de CRIS;

ο todas las operaciones financieras codificadas en CRIS han de ser va-lidadas por varios funcionarios diferentes;

ο dentro de EuropeAid, un grupo reducido de funcionarios, el equipo de calidad de datos, realiza comprobaciones de la calidad de los datos y coordina la corrección de gran número de datos incorrectos u omitidos21;

ο los informes de auditor ía interna y externa señalan per iódica-mente problemas sistémicos de calidad de los datos y formulan recomendaciones;

ο los controles ex post practicados a muestras de operaciones financie-ras también presentan problemas de calidad de los datos.

48. El Tribunal practicó pruebas de confirmación en conjuntos de registros de datos del sistema CRIS para comprobar si el sistema de información garantizaba con eficacia la integridad de los datos: verificó si estos re-gistros de datos eran completos, válidos y estaban actualizados:

Completos Se han registrado todas las operaciones y se han cumplimentado todos los campos de datos correspondientes.

VálidosTodos los datos del sistema de información son compatibles (los registros no se contradicen entre sí) y los registros de datos reflejan la situación con arreglo a lo observado sobre el terreno.

Actualizados La información se obtiene a su debido tiempo.

REGISTROSDEDATOSOMITIDOS

49. El Tribunal encontró registros de facturas que se habían codificado di-rectamente en ABAC en lugar de hacerlo en CRIS. Por ello, en algunas ocasiones hubo que crear en CRIS registros de pagos a tanto alzado para equilibrar los importes totales en CRIS y ABAC. El Tribunal halló 118 de estos registros de conciliación (31 registros en 2009 por un importe total de 65 millones de euros, y 87 registros en 2010 por un importe total de 175 millones de euros). Estos registros de pagos a tanto alzado no com-pensaban la falta de información detallada sobre los registros en CRIS. En particular, no se atribuían a una zona geográfica determinada (véase el apartado 39). La codificación directa de los registros de facturas en ABAC reduce la capacidad de CRIS para proporcionar información consolidada.

21 Según documentos de gestión de la Comisión, en 2010, el equipo de calidad de datos identificó 80 000 anomalías en los datos y coordinó la corrección de más de 70 000 de ellos.


25

50. Aún no se ha utilizado sistemáticamente la posibilidad de adjuntar do-cumentos a los registros de datos. Por ejemplo, una tercera parte de los registros de decisiones actualizados en 2010 (cerrados o todavía en cur-so) no adjuntaban documentos, como tampoco los adjuntaban el 14 % de los registros de contratos cerrados o en curso con fecha de firma de 2009 o 2010. Todo ello limita la eficiencia y eficacia del sistema para la gestión de proyectos y el acceso a los documentos.

51. Además, el Tribunal halló casos en los que no se utilizaba la posibilidad brindada por el sistema CRIS de vincular registros de módulos diferen-tes relacionados con el mismo proyecto para que los usuarios pudieran consultar todos los registros relativos a una acción determinada (véase el apartado 10). Por ejemplo, 9 000 de los 105 000 registros de contra-tos (9 %) no estaban vinculados a ninguna decisión de financiación. De modo análogo, más de 300 de los 3 000 registros de auditoría cerrados o aún en curso22 (10 %) no estaban vinculados a ningún registro de con-tratos o de decisiones23. Esto resta eficiencia a CRIS como herramienta de gestión de proyectos.

52. En su calidad de miembro del Comité de Asistencia para el Desarrollo (CAD) de la OCDE, la Comisión informa periódicamente a la OCDE sobre sus actividades de ayuda exterior, para lo cual clasifica dichas actividades con arreglo a una clasificación estándar (códigos sectoriales CAD). En el sistema CRIS, los registros de contratos y proyectos pueden ir asociados a un código sectorial CAD. Estaban vinculados a dicho código la práctica totalidad de los registros de contratos, pero solo un 30 % de los registros de proyectos, lo cual imposibilitaba el uso de los datos del sistema CRIS para elaborar estadísticas fiables con arreglo a la codificación del CAD de la OCDE (véase el recuadro 4).

22 Se trata de registros de auditorías de operaciones externas llevadas a cabo generalmente por empresas de auditoría externas contratadas por la Comisión.

23 En su Informe Anual relativo al ejercicio 2004, el Tribunal ya señalaba: «la información relativa a todas las auditorías, incluidas las contratadas externamente por los organismos de ejecución, se registren en CRIS y se vinculen a la información correspondiente sobre la gestión de los proyectos». En el Informe Anual del Tribunal relativo al ejercicio 2005 también se formulaba una observación semejante.

RECUADRO4

LOSPROYECTOSNOPUEDENCLASIFICARSECONARREGLOA LOSCÓDIGOSSECTORIALESCAD

Puesto que solo el 30 % de los registros de proyectos del sistema CRIS llevan un código sectorial CAD, la búsqueda, por ejemplo, de todos los registros de proyectos relacionados con la «protección de los recursos hídricos» obtendría una lista de proyectos probablemente incompleta y sin ninguna fiabilidad.


26


24 En su Informe Anual relativo al ejercicio 2008, el Tribunal señaló: «Al realizar las pruebas de las operaciones, se constató que la información contenida en CRIS no siempre resulta exacta. Se detectaron errores de codificación de datos sobre pagos y compromisos (por ejemplo, en proyectos y contratos en los que el código CRIS del país era erróneo). Otros errores pueden afectar a la fiabilidad de los estados financieros de la Comisión (por ejemplo, en las fechas de expiración de la garantía bancaria y las modalidades de gestión de los contratos)».

REGISTROSDEDATOSINVÁLIDOS

53. El Tribunal no halló en el sistema CRIS caso alguno de duplicación de registros financieros, es decir, de operaciones registradas más de una vez.

54. Sin embargo, el Tribunal detectó registros que no se basaban en ninguna operación financiera o movimiento real. En ocasiones, estos registros, comúnmente denominados «ficticios» por los usuarios de CRIS, se crea-ban para remediar limitaciones técnicas del sistema. En particular, 100 de los 15 000 registros de contratos cerrados en CRIS en 2009 y 2010 resultaron ser «ficticios». La presencia de estos registros puede causar desviaciones en los datos consolidados y confusión en los usuarios, además de errores e ineficiencias.

55. El Tribunal observó que en algunos registros del sistema CRIS los valores de los datos no eran coherentes. Por ejemplo:

ο el 2 % de los 6 000 registros de auditoría figuraban como provisio-nales cuando anteriormente indicaban la fecha de recepción del informe final;

ο en el 7 % de los 2 300 registros de contratos cerrados con fecha de fir-ma en 2009 o 2010 dicha fecha era posterior a la de inicio de ejecución;

ο el 1 % de los 5 000 registros de decisiones figuraban como todavía en curso aunque presentaban una fecha de cierre ya vencida.

Estas incoherencias suelen indicar la presencia de registros de datos incorrectos o de errores administrativos24.

56. El Tribunal detectó registros que presentaban diferencias entre el siste-ma CRIS y el Datawarehouse ABAC, sistema central de la Comisión que proporciona datos contables y financieros a la gestión.


27


26 En su artículo 61, el Reglamento Financiero establece: «Cada institución nombrará un contable, a quien corresponderá en la institución respectiva las siguientes competencias: [...] definir y validar los sistemas contables, y, en su caso, de validar los sistemas definidos por el ordenador y destinados a suministrar o justificar datos contables [...]».

27 Con arreglo al artículo 57 de las Normas de Desarrollo del Reglamento Financiero «Cuando los sistemas de gestión financiera definidos por el ordenador proporcionen datos a la contabilidad de la Institución o cuando deban justificar datos de esta, el contable deberá dar el visto bueno tanto a la introducción como a la modificación de los mismos».

RETRASOENELREGISTRO

57. En cuanto a la puntualidad del registro de los datos en el sistema CRIS, el Tribunal halló registros en los que habían transcurrido un tiempo excesi-vo entre una operación y su introducción en el sistema. Por ejemplo, pese a que la Comisión tiene como norma registrar las facturas en el plazo de cinco días a partir de su recepción, en 2010, solo la mitad de las facturas se registraron en CRIS dentro de dicho plazo, y un 13 % de las facturas todavía no había sido registradas un mes después de su recepción. Asi-mismo, en 2010, el tiempo medio transcurrido entre la recepción de un informe de auditoría por la Comisión y su inclusión en el correspondiente registro de auditoría del sistema CRIS era de seis semanas.

SEGURIDADINSUFICIENTEENELSISTEMAY SUS DATOS

NOEXISTEUNADEFINICIÓNCLARADELASCOMPETENCIASRELATIVASA LASEGURIDADDELOSDATOS

58. En su Decisión C(2006) 3602 sobre la seguridad de sus sistemas de infor-mación la Comisión25 establece que cada director general debe nombrar al menos un responsable local de seguridad informática que garantice que los prestadores de servicios informáticos y los suministradores de sistemas introduzcan medidas de seguridad adecuadas. También dispo-ne que las direcciones generales podrán delegar total o parcialmente la aplicación y gestión de sus planes de seguridad a servicios transversales como la Dirección General de Informática. No obstante, en dichos casos, las direcciones generales han de garantizar que el servicio en cuestión aplica las medidas de seguridad necesarias. Para formalizar las condi-ciones de la delegación, deberá celebrarse un acuerdo sobre los niveles de servicio entre las partes en el que queden definidas en concreto las medidas de supervisión de la aplicación.

59. Por otra parte, con arreglo al Reglamento Financiero, corresponde al contable de la institución validar los sistemas de información definidos para suministrar o justificar datos contables26. En las normas de desarro-llo del Reglamento Financiero se dispone que el contable deberá dar el visto bueno a la modificación de dichos sistemas27.

60. El Tribunal observó que los procedimientos y competencias necesarios para la concesión, mantenimiento y retirada de los derechos de acceso de los usuarios de CRIS estaban documentados. No obstante, en un ámbito más general, las competencias para la gestión del sistema CRIS no estaban claramente establecidas. Concretamente el sistema CRIS no entraba dentro de las competencias del responsable local de seguridad informática de EuropeAid.


28


28 En el momento de la fiscalización del Tribunal, el sistema CRIS todavía no se había validado para los datos contables de las operaciones financiadas por los FED.

29 NCI nº 12.


61. No se había concluido ningún acuerdo del nivel de los servicios entre EuropeAid, propietaria del sistema CRIS, y la Dirección General de Infor-mática, en la que la primera delega competencias, concretamente res-pecto de la seguridad de los servidores que contienen software y datos de CRIS. En ausencia de este acuerdo, las competencias respectivas de los directores generales interesados no están claras.

62. En julio de 2008, el contable de la Comisión validó CRIS como sistema local para suministrar y justificar datos contables de operaciones finan-ciadas por el presupuesto general de la UE28. Sin embargo, pese a haber sido modificado considerablemente en 2010, CRIS no figuraba en la lista de los cambios notificados al contable de la Comisión durante el ejercicio, en contra de lo dispuesto en las normas de desarrollo del Re-glamento Financiero (véase el apartado 59).

INSUFICIENCIASQUEMENOSCABANLACONFIDENCIALIDADE INTEGRIDADDELOSDATOSENELSISTEMA

63. Las normas de control interno de la Comisión establecen que los sistemas informáticos utilizados por las direcciones generales deben estar prote-gidos frente a las amenazas contra su confidencialidad e integridad29.

64. El Tribunal detectó dos cuestiones problemáticas en la capacidad de CRIS para mantener la confidencialidad (véase el apartado 65) e integridad (véase el apartado 67) de los datos.

65. Por confidencialidad de los datos se entiende principalmente el carácter reservado de los datos con acceso limitado a personas autorizadas30. En el sistema CRIS, el acceso es concedido automáticamente a los usua-rios del personal estatutario y externo de la DG Desarrollo y Coopera-ción – EuropeAid, de la DG Ampliación, de la DG Ayuda Humanitaria y Protección Civil, del Servicio de Instrumentos de Política Exterior, y las delegaciones de la UE de la Comisión. Se concede asimismo acceso previa solicitud a los usuarios del personal externo temporal de dichos servicios, al perteneciente a otros servicios y al del Tribunal de Cuentas Europeo. En algunos casos, también se permite el acceso al sistema de usuarios ajenos a las instituciones.


29

66. Sin embargo, el sistema CRIS no cuenta con un mecanismo estándar que limite los derechos de acceso de los usuarios a determinadas categorías de datos. En dos casos concretos fue necesario crear mecanismos técnicos ad hoc para que la documentación confidencial no fuera accesible a todos los usuarios31, pero aparte de estas dos excepciones, todos los usuarios de CRIS tienen acceso automático a todos los datos contenidos en el sistema. Esta situación pone en tela de juicio la confidencialidad de los datos de CRIS, especialmente para los escasos usuarios externos del sistema.

67. La salvaguardia de la integridad de los datos requiere medidas que ga-ranticen que el sistema de información y la información tratada solo pueden ser alterados mediante intervención voluntaria y legítima32. Entre otras funciones, CRIS está dotado de un mecanismo para permitir a los agentes financieros validar operaciones en el sistema33. El Tribunal halló registros de validaciones financieras ejecutadas por usuarios autorizados que habían sido modificados por otra persona.

DOCUMENTACIÓNINCOMPLETADELSISTEMA

68. La documentación del sistema es una herramienta importante para los programadores informáticos y los usuarios que garantiza la seguridad y, en especial, la integridad de los datos. Gracias a esta documentación es posible comprender cómo procesa los datos el sistema y cómo deben interpretarse los datos y códigos. Concretamente, permite a los pro-gramadores adaptar el sistema de manera coherente y a los usuarios introducir correctamente los datos adecuados. Según lo dispuesto en las normas de desarrollo del Reglamento Financiero, cuando se utilicen sistemas y subsistemas informáticos para la tramitación de las operacio-nes de ejecución presupuestaria, se requerirá una descripción completa y actualizada de cada sistema o subsistema34. En dicha descripción de-berá definirse el contenido de todos los campos de datos y especificarse cómo procesa el sistema cada una de las operaciones. Asimismo, mos-trará con todo detalle de qué modo garantiza el sistema la existencia de una pista de auditoría de cada operación.

69. El Tribunal observó que en dos de los ocho módulos del sistema CRIS seleccionados para la fiscalización faltaba la documentación del conte-nido de los campos de datos (glosario de datos) (véase el apartado 22). En los seis restantes, el glosario de datos estaba completo y actualizado.

31 En el módulo de licitaciones y en los registros de contratos clasificados como confidenciales se crearon restricciones de acceso a los usuarios ad hoc.


33 Según el artículo 84 del Reglamento Financiero «En caso de que los ingresos y gastos sean gestionados por sistemas informáticos, las firmas podrán efectuarse por procedimiento informatizado o electrónico».

34 Artículo 107 del Reglamento (CE, Euratom) nº 2342/2002.


30


70. Todos los módulos seleccionados para la fiscalización contaban con do-cumentación del análisis funcional en el que se describe el tratamiento de cada operación en el sistema. Sin embargo, en un plano más general, la arquitectura técnica del sistema estaba mal documentada, como en el caso de las relaciones de integridad entre los diferentes cuadros de datos del sistema CRIS35.

71. Con excepción del módulo Evaluaciones, que no se utilizaba (véase el recuadro 1), el Tribunal observó que todos los módulos examinados contaban con un manual del usuario. No obstante, en tres de los siete, este estaba parcialmente desfasado o incompleto.

72. El sistema CRIS cuenta con un sistema de pista de auditoría que en principio permite la reconstrucción del historial de las modificaciones introducidas en los datos, es decir, las acciones realizadas en un registro determinado, por qué usuario y cuándo. Sin embargo, los usuarios no podían acceder a los datos de la pista de auditoría a través de la inter-faz de usuario de CRIS, ya su acceso estaba reservado exclusivamente al personal informático y se precisaba un profundo conocimiento de la arquitectura informática del sistema para interpretarlos. En consecuen-cia, la posible utilidad de la pista de auditoría queda limitada a casos especiales y previa solicitud extraordinaria.

SUPERVISIÓNINSUFICIENTEDELTRATAMIENTODELOSDATOSPERSONALES

73. El Reglamento (CE) nº 45/2001 establece normas sobre el tratamiento de datos personales y establece, en concreto, que el responsable del tratamiento notificará previamente al responsable de la protección de datos de la Comisión36.

74. El responsable del tratamiento de datos remitió cuatro notificaciones al responsable de la protección de datos de la Comisión sobre el tratamien-to de datos personales en el sistema CRIS, una referida al conjunto del sistema y las otras tres, a módulos específicos. Sin embargo, el Tribunal identificó documentos que contenían datos personales adjuntos a los registros de CRIS y que no figuraban en ninguna de las notificaciones, como por ejemplo más de 2 000 currículos adjuntos a los registros en varios módulos de CRIS que eran accesibles a todos los usuarios del sistema (véanse los apartados 65 y 66).

35 Un ejemplo de relación de integridad sería, por ejemplo, que un registro del módulo de contratos no pueda eliminarse del sistema mientras exista un registro del módulo de pagos que haga referencia a él, ya que esta relación garantiza que un pago pueda siempre relacionarse con un contrato, de modo que no queden pagos «huérfanos».

36 Con arreglo al artículo 25 del Reglamento (CE) nº 45/2001: «El responsable del tratamiento notificará previamente al responsable de la protección de datos toda operación de tratamiento o serie de tales operaciones previstas para un objetivo único o para varios objetivos relacionados entre sí».


31

CONCLUSIONES Y RECOMENDACIONES

75. El Tribunal concluye que, en general, CRIS responde eficazmente a las necesidades de información de la Comisión en el ámbito de las acciones exteriores. No obstante, tras diez años de desarrollo, todavía presenta deficiencias persistentes, como la definición de su función en el sistema contable de la Comisión, insuficiencias en la codificación de los datos, eficacia insuficiente en la protección de la integridad de los datos y, con carácter más general, seguridad insuficiente del sistema y de sus datos. Algunas de las observaciones suscitadas corroboran otras formuladas en anteriores informes del Tribunal.

76. Cuando en 2002 puso en marcha el sistema CRIS, el objetivo de la Comi-sión era proporcionar información financiera instantánea y consolidada sobre proyectos y programas de acciones exteriores. Desde entonces, el sistema se ha ampliado de manera continua para responder a nuevas necesidades de información específicas, y esta evolución lo ha modi-ficado sustancialmente: actualmente CRIS no sólo abarca los aspectos financieros de las acciones exteriores, sino también muchos de sus as-pectos operativos. Entretanto, en el sistema de información contable de la Comisión también se introdujeron muchas funciones nuevas. Pero, pese a los numerosos cambios, nunca se redefinieron la función y los objetivos del sistema CRIS, y por eso no es adecuada la definición de la función de CRIS con respecto a la del sistema contable de la Comisión, ya que CRIS duplica muchas de las funciones de este último sistema.

Debería establecerse la función asignada a CRIS como sistema de in-formación, principalmente respecto del sistema contable ABAC de la Comisión. En particular, la Comisión debería esforzarse por reducir la duplicación de las funciones de ABAC en CRIS.

RECOMENDACIÓN1

77. Desde 2008, la Comisión ha adoptado medidas para garantizar que el sistema CRIS evoluciona en función de necesidades de información bien definidas. En la actualidad, todos los proyectos de desarrollo de CRIS deben ser aprobados basándose en un documento estratégico en el que se describan los objetivos, los riesgos y los medios. Además, actualmente se aplica una metodología de gestión de proyectos.


32


78. Entre 2005 y 2008, debido a una sucesión de cambios insuficientemente formalizados, los códigos de datos del sistema no estaban bien defini-dos. El Tribunal observó que varias listas de códigos estaban duplicadas, mientras que otras contenían códigos que no se excluían mutuamen-te. Por esta razón, la consolidación de los datos resulta muy compleja y tiende a presentar errores. En particular, no es fácil utilizar CRIS para obtener datos agregados sobre acciones exteriores por países benefi-ciarios, instrumentos financieros o políticas.

79. En cuanto a la integridad de los datos del sistema CRIS, el Tribunal halló registros en los cuales la información faltaba, no era válida o no había sido actualizada. Esto le restaba fiabilidad al sistema y mermaba su efi-ciencia y eficacia como instrumento de gestión.

Las listas de códigos de datos de CRIS deberían racionalizarse de forma que sean únicas y que los valores de sus datos se excluyan mutuamente. Además deberían revisarse y reforzarse los actuales controles de cali-dad de los datos (verif icaciones y procesos) para salvaguardar eficaz-mente la f iabilidad de los datos. El objetivo de estas medidas debería ser garantizar la eficacia y eficiencia del sistema CRIS para suministrar información agregada por países beneficiarios, ámbitos políticos e ins-trumentos financieros.

RECOMENDACIÓN2

80. Una encuesta electrónica a los usuarios de CRIS que el Tribunal realizó en las delegaciones de la UE reveló que el sistema les planteaba dificultades, concretamente periodos largos y frecuentes de indisponibilidad del siste-ma, retrasos en el registro de las operaciones debido a deficiencias en el diseño del sistema y dificultades de interpretación de los códigos de datos.

Teniendo cuenta la amplitud y variedad de la población de usuarios del sistema CRIS, en su desarrollo futuro debería prestarse la debida atención a la mejora de la facilidad de uso del sistema.

RECOMENDACIÓN3


33

81. El Tribunal observó que la Comisión aún no protegía suficientemente el sistema y sus datos. Si bien contaba con procedimientos para la adminis-tración de los derechos de acceso de los usuarios, las competencias rela-tivas a la seguridad de los datos del sistema CRIS no estaban claramente definidas. Además, algunas insuficiencias del sistema le restan eficiencia y eficacia para mantener la confidencialidad e integridad de los datos. Por otro lado, el Tribunal observó que la supervisión del tratamiento de los datos personales era insuficiente.

Deberían definirse las competencias de gestión de la seguridad de los datos del sistema CRIS. Habría que realizar asimismo una evaluación de riesgo global de las tecnologías de la información prestando especial atención a la protección de los datos personales y f inancieros.

RECOMENDACIÓN4

El presente informe ha sido aprobado por la Sala III, presidida por Karel PINX TEN, Miembro del Tribunal de Cuentas, en Luxemburgo, en su reunión del día 6 de marzo de 2012.

Po r e l Tr i b u n a l d e Cu e ntas

Vítor Manuel da SILVA CALDEIRAPresidente


34


RESPUESTAS DE LA COMISIÓN

RESUMEN

IV.Véase la respuesta de la Comisión al apartado 75.

V.En cuanto al papel del CRIS, véanse también las respuestas de la Comisión al apartado 76 y a la Recomendación 1.

En relación con la duplicación de las funciones, véanse las respuestas de la Comisión a los apartados 35 y 76 y a la Recomendación 1.

VI.Véase la respuesta de la Comisión al apartado 78.

VII.Véase la respuesta de la Comisión al apartado 79.

VIII.Véase la respuesta de la Comisión al apartado 81.

IX.a)CRIS es el sistema de información de la gestión de las direcciones generales de relaciones exteriores de la Comi-sión1. Es un sistema integrado que incluye una inter faz directa con el sistema contable de la Comisión (ABAC) y que permite racionalizar el número de herramientas que el personal de cooperación exterior utiliza en su trabajo diario. Sus objetivos se definieron en el documento «Stra-tégie des systèmes d ‘Information de la DG EuropeAid jus-que 2016», de diciembre de 2011.

En el marco del proceso de racionalización de su paisaje informático, la Comisión está trabajando actualmente en una mejor integración de todos sus sistemas. El objetivo de reducir la duplicación de las funciones de ABAC se con-seguirá mediante la utilización directa de las funciones de ABAC a partir de CRIS a través de los servicios web ABAC. EuropeAid forma parte de un proyecto piloto puesto en marcha al respecto en toda la Comisión.

1 Sólo parcialmente, por lo que se refiere a ECHO.


35


INTRODUCCIÓN

2.Véase la definición de la Comisión de CRIS en el apartado IX a).

CRIS se concibió desde el principio, en 2002, para la ges-tión operativa, así como para la gestión f inanciera. En aquel momento, los aspectos de la gestión operativa (pro-cesos vinculados a las actividades esenciales) eran tratados en los módulos Acciones y proyectos y Programación.

OBSERVACIONES

27.La situación que describe el Tribunal es la que prevalecía antes de 2009, cuando se estableció una nueva gober-nanza y se reorganizó la unidad de tecnologías de la información. Todos los cambios en los sistemas van ahora precedidos de un proceso documentado completo (iden-tif icación, aprobación, establecimiento de prioridades, análisis, desarrollo y pruebas). La Comisión llevó también a cabo la modelización de sus procesos operativos, desti-nadas a ajustar mejor con ellos las especificaciones funcio-nales del sistema.

Recuadro1El módulo de evaluación limitada de que dispone CRIS se creó con el fin de constituir una base de datos muy sim-ple de las evaluaciones para la elaboración de los infor-mes. Cuando posteriormente se puso de manifiesto que las necesidades habían evolucionado y resultaban más com-plejas de lo inicialmente previsto, se decidió finalmente desarrollar un proyecto más ambicioso, denominado «eva-luación de la gestión del ciclo del proyecto (GCP)» capaz de respaldar todo el proceso de evaluación en una arqui-tectura técnica nueva y completa. Está previsto que este proyecto esté operativo en 2013 y, sin duda, aportará más valor añadido a todo el proceso de evaluación.

31.Uno de los principales objetivos de la creación y el desa-rrollo de CRIS era también la necesidad de racionalizar los tres sistemas de las antiguas DG IA, DG IB y DG VIII tras la fusión de esos tres servicios. La Comisión no deseaba seguir manteniendo tres sistemas distintos con diferentes interfaces con ABAC.

IX.b)La Comisión proseguirá sus actuales esfuerzos de segui-miento de los datos y de mejora de los procesos de vali-dación de los datos en CRIS. Ya se han adoptado diferentes medidas en este ámbito, como, por ejemplo, la designa-ción de los propietarios de los datos a partir de principios de 2009, con el fin de gestionar los códigos de datos y de definir las normas que deben aplicarse.

IX.c)La complejidad del entorno operativo y la diversidad de funciones y responsabilidades de los usuarios da lugar, inevitablemente, a una cierta complejidad en dicho sis-tema integrado. No obstante, la Comisión acepta esta recomendación. La mejora de la facilidad de uso consti-tuye un objetivo importante, entre otros, en los siguientes proyectos:

— el proyecto multicompromiso en los módulos Contratos y Decisiones;

— el proyecto de racionalización de la facturación, y

— los cambios en la configuración del módulo Auditoría.

IX.d)En el transcurso de 2012 se pondrá en marcha una evalua-ción de los riesgos informáticos y la Comisión nombrará a un responsable local de la seguridad de la información de CRIS.



36


34.En lo que respecta a la definición de la función de CRIS, consúltese la respuesta al apartado IX a).

Sus objetivos se definieron en el documento «Stratégie des systèmes d ‘Information de la DG EuropeAid jusque 2016», de diciembre de 2011.

35.CRIS ofrece a los usuarios la posibilidad de gestionar los datos operativos y financieros relacionados con sus pro-yectos a través de una herramienta integrada.

Por lo que respecta a la duplicación de funciones, en el momento en que se creó CRIS era inevitable un cier to grado de duplicación, ya que resultaba difícil de utilizar directamente el sistema central (en aquel momento, Sin-com II no estaba basado en la web) en las distintas delega-ciones de la UE recién instaladas en el transcurso del pro-ceso de descentralización. Tras la introducción de un nuevo sistema contable (ABAC Workflow) en 2005 y la adopción de las grandes prioridades de los años siguientes (integra-ción del FED, nuevos módulos), la Comisión empezó a tra-bajar en la mejora de esta situación en consonancia con la racionalización de su paisaje informático. Este proceso, iniciado en 2010, aclarará, en caso necesario, la función de cada aplicación de la Comisión y llevará a la absorción o a la integración de los sistemas, de modo que la duplicación de funciones se reducirá de forma significativa.

La duplicación de funciones no implica duplicación alguna en el proceso de introducción de los datos.

Por lo que se refiere a la interdependencia de CRIS y ABAC, la incidencia en términos de recursos se refinó en diciem-bre de 2011, calculándose la nueva cifra en una sexta parte de los recursos informáticos.

Recuadro2La nueva arquitectura de ABAC pondrá a disposición de todos los sistemas locales su servicio de validación. Por consiguiente, antes de enviar una operación a ABAC para su registro, CRIS hará uso de esos servicios de validación, bien para informar a los usuarios finales de los errores de codificación, de modo que puedan llevar a cabo las correc-ciones necesarias o, cuando los datos sean correctos, para poner en marcha automáticamente los servicios de regis-tro de ABAC. En la actual arquitectura, ABAC no ofrece funciones para evaluar operaciones sin almacenarlas pre-viamente en la base de datos. Como consecuencia, CRIS pone en marcha controles concebidos a nivel local antes de enviarlos a ABAC a través de la interfaz. Esto explica por qué la validación debe realizarse, de momento, en CRIS.

38.Hay actualmente dos proyectos en curso para la gestión de los códigos, a fin de solucionar la duplicación de las listas de códigos de datos. El primero pretende centralizar y consolidar los datos de referencia, y ofrecer servicios de copiado a los sistemas informáticos. El segundo es la con-tinuación del primero y pretende reorganizar el modo en que se almacenan en CRIS las listas de códigos.

Se espera que ambos proyectos, que se iniciaron en 2010 e irán desarrollándose progresivamente hasta 2014, den lugar a mejoras importantes al respecto.

39.En el caso mencionado por el Tribunal, las zonas geográ-ficas pueden ser, por sí mismas, no excluyentes entre sí: un determinado país es siempre parte de una o más zonas geográficas determinadas. Ello puede dar lugar a algún solapamiento inevitable.

La complejidad de la consolidación, tal como la describe el Tribunal, se deriva más bien de la gran diversidad de pro-gramas y procedimientos con los que trata la Comisión en el marco de las acciones exteriores. Por lo tanto, ello no es necesariamente atribuible a CRIS.

Recuadro3La situación a la que se refiere el Tribunal es inevitable habida cuenta de la diversidad de programas gestiona-dos en un país determinado. Efectivamente, la ayuda exterior puede atribuirse a una región beneficiaria que se extienda por varios países. No obstante, en muchos casos, esto puede resolverse fácilmente gracias a un buen segui-miento operativo y combinando diferentes códigos CRIS.

40.En CRIS pueden utilizarse otros criterios disponibles para perfeccionar la consolidación del importe total gastado en un determinado instrumento financiero. Por ejemplo, pue-den utilizarse las correspondientes líneas presupuestarias para identificar el importe gastado en un determinado ins-trumento financiero. Del mismo modo, el campo «zona que se beneficia de la acción» puede utilizarse para identificar el importe gastado en un país determinado.


37


41.La complejidad de consolidar los datos financieros está directamente relacionada con la naturaleza de las acciones de la Comisión en el marco de las acciones exteriores, no con las deficiencias de CRIS.

43.PrimerpuntoEn enero de 2011, CRIS no estuvo disponible durante más de una semana como consecuencia de la fusión de Euro-peAid y la DG de Desarrollo y de la creación del Servicio Europeo de Acción Exterior (SEAE) y del Servicio de los Ins-trumentos de Política Exterior (FPIS).

No obstante, se trató de una circunstancia excepcional. En general, los periodos de inactividad son supervisados de cerca por la Comisión. En 2011, aparte de la situación ante-riormente mencionada, CRIS ha estado operativo más del 99 % del tiempo.

Dado que se trata de una aplicación basada en la web, la disponibilidad del sistema en las delegaciones depende también de la disponibilidad de otros elementos técnicos (redes, servidores locales, …).

43.SegundopuntoA pr incipios de 2011, se l levaron a cabo impor tantes esfuerzos, que se repetirán, para hacer frente a estas defi-ciencias de diseño. La reorganización de las tareas de apoyo ha incrementado también la calidad del servicio. Como consecuencia de ello, el número de incidentes regis-trados en 2011 ha disminuido estructuralmente en compa-ración con 2010.

43.TercerpuntoLa complejidad de la codificación refleja la complejidad y la variedad de los procedimientos operativos y de los propios reglamentos.

Debido a este complejo entorno operativo, CRIS añade una codificación específica a los códigos de clasificación impuestos por el sistema financiero central. Cuando se prevé una revisión de las funciones operativas (por ejem-plo, nuevo Reglamento Financiero o nuevas normas de desarrollo) se prestará especial atención a fin de garantizar una revisión transversal armonizada de esos «datos maes-tros». Además, los flujos de información han mejorado sig-nificativamente en los últimos años (base de conocimien-tos, notas de versión sistemáticas, cuenta Twitter de apoyo a CRIS, redes de USM, etc.).

49.El objetivo de las facturas de conci l iación consiste en actualizar los importes consumidos de los módulos Deci-siones (compromisos de nivel 1) y Contratos (compromisos de nivel 2) de CRIS cuando alguna transacción no puede procesarse a través de CRIS debido a las limitaciones fun-cionales o porque la ejecución la realizan servicios que no pueden utilizar CRIS. Debido a esta limitación técnica, estas transacciones deben procesarse directamente en ABAC o mediante un sistema local diferente. Como consecuencia de ello, es necesario un proceso de conciliación posterior.

La conciliación no pretende reproducir toda la información estadística que podría obtenerse de otras fuentes, sino simplemente ajustar los importes CRIS y ABAC consumidos en los respectivos compromisos durante un periodo de tiempo determinado (generalmente, la totalidad del ejer-cicio presupuestario).

Comparado con el número total de transacciones ges-tionadas a través de CRIS, el número de casos en los que es necesaria la conciliación es muy limitado. Incluso en esos casos, todas las estadísticas relativas a las decisiones o contratos están siempre disponibles mediante el código del país. No obstante, en estos casos, las estadísticas sobre facturas y pagos por país beneficiario deben obtenerse directamente del Datawarehouse ABAC.

50.A raíz de una nota de instrucciones de 8 de octubre de 2009, es obligatorio adjuntar documentos a los registros de datos de los contratos y las decisiones. Dicha nota de instrucciones se ha completado posteriormente con varias novedades específicas en CRIS que han ampliado la posibi-lidad de bloquear la validación de las operaciones en caso de que los documentos necesarios no se hayan adjuntado debidamente. Estas nuevas características se aplicaron en noviembre de 2010.

51.Desde septiembre de 2011, los registros de contratos detectados por el Tribunal están ya automáticamente vin-culados al registro de una decisión de financiación. Por lo que se refiere a los registros de auditoría, la mayoría de los casos (96 %) son anteriores a 2009, en un momento en que aún era posible que cualquier usuario cerrara un registro de auditoría CRIS sin vincularla a un contrato audi-tado. Desde entonces, excepto en casos muy especiales, el sistema ya no lo permite. Esos casos muy concretos (el res-tante 4 % de casos indicado por el Tribunal) incluye audito-rías de fondos de Stabex (Sistema de estabilización de los ingresos de exportación) o evaluaciones de conformidad de las organizaciones internacionales, que, por definición, no están relacionadas con ningún contrato auditado.



38


52.Hasta 2009, CRIS se utilizó como una de las fuentes de infor-mación para los informes CAD si bien era preciso revisar los datos y realizar verificaciones manuales antes de enviar los informes a la Organización de Cooperación y Desarrollo Esconómicos (OCDE) por razones de la calidad de los datos.

Desde entonces, se han realizado importantes esfuerzos para mejorar el proceso de codificación de los formularios CAD y, por lo tanto, todos los formularios CAD se adjuntan ya debidamente a todos los nuevos registros de proyectos. Se realiza de forma centralizada una comprobación previa de los códigos CAD de todos los proyectos (visado Respcad).

Según las últ imas estadíst icas de CRIS disponibles, al menos el 84 % de los proyectos y el 95 % de los contratos de 2009 en adelante tienen un formulario CAD asociado a cada uno de ellos, teniendo en cuenta que no todas las direcciones generales que utilizan CRIS usan el formulario CAD.

Además, en 2010, se puso en marcha un ejercicio, que se aplicará en 2012, destinado a actualizar datos históricos sobre las transacciones que datan de 2003 en adelante (y proyectos abiertos anteriores a 2003).

Recuadro4Véase la respuesta de la Comisión al apartado 52.

54.La terminología formal de la Comisión para los registros «ficticios» es registros de «compromisos técnicos». A fin de abordar este problema, en 2010 se puso en marcha un proyecto denominado «proyecto multicompromiso», que permite vincular el registro de un contrato único a varios tipos diferentes de compromiso presupuestario. Cuando ese proyecto esté plenamente en aplicación, ya no tendrá que crearse ningún registro de «compromiso técnico».

55.PrimerpuntoLa Comisión reconoce que los registros de auditoría men-cionados por el Tribunal deberían haber estado ya cerrados en el momento de la auditoría del Tribunal. Ello se debe en parte a algunas «normas operativas» que impiden a los usuarios finales dar su visado definitivo y, por consiguiente, cerrar el registro. Desde entonces, más de la mitad de estos casos han sido cerrados. En la próxima versión del módulo Auditoría de CRIS, los procedimientos relacionados con el cierre de los registros de auditoría se simplificarán y adap-tarán a fin de permitir el cierre sin demora de los registros.

55.SegundopuntoAproximadamente un tercio de los casos mencionados por el Tribunal se refiere a una situación normal [contratos de subvención celebrados en una fecha de inicio de las acti-vidades anterior a la fecha de la firma, o a intervenciones de apoyo presupuestario u otros compromisos técnicos (registros pro forma)] cuya fecha de firma puede codifi-carse, pero no es pertinente u obligatoria.

55.TercerpuntoEsta situación es consecuencia de una omisión en la fase de desarrollo que se ha corregido hace mucho tiempo (la decisión más reciente de la muestra se remonta a 2005). En aquel momento, cuando se reabría una decisión, la fecha de clausura no se suprimía automáticamente.

La posibilidad de cometer un error de este tipo o ya no existe, debido a las continuas mejoras de CRIS durante los últimos años, o está siendo tratada en los proyectos de desarrollo en curso.

56.A veces puede haber d i fe renc ias de datos ent re e l Datawarehouse ABAC (fuente de los datos: ABAC Workflow) y CRIS, como consecuencia de fallos u operaciones excep-cionales llevadas a cabo directamente en ABAC, pero tales diferencias son controladas, corregidas y reconciliadas. La manera en que se tratan los datos financieros en CRIS es periódicamente validada por el contable de la Comisión.


39


57.Respecto al registro de las facturas, en 2012 se pondrá en marcha un proyecto informático destinado a examinar todas las posibilidades de simplificar el proceso de codificación, en especial la codificación del importe bruto, que requiere un cálculo complejo por el agente que introduce los datos.

Por lo que se refiere a los documentos adjuntos a los regis-tros de auditoría, la Comisión ha reducido recientemente de modo considerable el tiempo medio transcurrido entre la recepción del informe final de auditoría y su introduc-ción en CRIS como documento adjunto a un registro de auditoría. No obstante, la velocidad a la que los registros de auditoría se registran en CRIS no tiene implicaciones contables y tiene pocas repercusiones en la gestión de la información siempre que los registros se introduzcan a tiempo para la elaboración del informe preceptivo.

60.El problema de la insuficiente definición de responsabili-dades en la gestión de la seguridad de CRIS a nivel general se abordará con el nombramiento de un responsable local de seguridad de la información específicamente dedicado a CRIS.

61.La Dirección General de Informática (DG DIGIT ) ha firmado un memorando de acuerdo (MA) para cada sistema de información de EuropeAid. Uno de ellos está relacionado con CRIS. CRIS ha sido también definido como «crítico», razón por la cual la DG DIGIT ha puesto en marcha un sis-tema de copia de seguridad de los datos.

62.CRIS es periódicamente validado por el contable de la Comisión como sistema local; la última validación tuvo lugar en diciembre de 2011. En el futuro, mejorarán los procedimientos internos referentes a la comunicación a su debido tiempo al contable de la Comisión de los cambios significativos en CRIS.

65.El procedimiento de acceso a CRIS utiliza tanto el sistema de autenticación ECAS como el sistema de autorización basado en la pertenencia al grupo «Commission Enterprise Directory».

Todas las demás autorizaciones de acceso se conceden siguiendo procedimientos de autorización de acceso cla-ramente definidos con arreglo a los cuales son necesarios los visados y autorizaciones adecuados.

66.La Comisión abordará esta obser vación en su trabajo plurianual de reingeniería de CRIS y revisará las normas de seguridad en 2014, en especial a través del proyecto para la gestión de la seguridad para los usuarios externos e internos.

67.Para garantizar la calidad de los datos, es preciso dispo-ner de un procedimiento que permita corregir los datos cuando se haya efectuado una notificación formal de que existen datos erróneos. Tales modificaciones se producen sólo cuando la unidad detecnologías de la información efectúa las necesarias correcciones de datos, tras un fallo en CRIS o de un postratamiento. Tales correcciones las lle-van a cabo los equipos de apoyo, de desarrollo o de cali-dad de los datos. Se han puesto en marcha procedimientos para garantizar que tales acciones se inician mediante un impreso de solicitud, que deberá ser validado por el direc-tor operativo del módulo en cuestión. Las modificaciones se ejecutan en primer lugar en un entorno de preproduc-ción, a continuación las valida el director operativo y, por último, se llevan realmente a cabo.

69.Por lo que se refiere a los dos módulos detectados por el Tribunal y para los que no existía glosario:

— el módulo Evaluación será sustituido por el módulo Evaluación de la GCP (véase también la respuesta al recuadro 1),

— el módulo ROM será progresivamente abandonado en 2012.

70.La Comisión mejorará la documentación en el contexto de su trabajo plurianual de reingeniería de CRIS en curso.

71.En los tres casos en los que el manual estaba anticuado, la situación ha mejorado entre tanto:

— el manual de auditoría se actualizó en septiembre de 2011;

— el manual de previsión financiera se actualizó en di-ciembre de 2011; y

— el manual FEL se actualizará en 2012.



40


72.La reconstitución del historial de la modificación de los datos es posible en el sistema a dos niveles diferentes:

ο a nivel técnico, existe efectivamente un sistema de pista de auditoría al que solo tiene acceso el personal infor-mático ya familiarizado con las complejas operaciones de mantenimiento;

ο a nivel funcional, todos los usuarios pueden

— consultar qué dato ha cambiado, consultando la infor-mación proporcionada en las cláusulas adicionales de los correspondientes registros, y

— visualizar las referencias a posibles correcciones reali-zadas por los servicios informáticos en las operaciones de que se trate, tal como se explica en el primer punto. Esto, a su vez, les permite acceder a la documentación correspondiente sobre esas correcciones (es decir, el informe sobre la limpieza).

74.El currículo y otros datos personales que aparecen en los documentos adjuntos a CRIS son anexos de los contratos y, como tales, se integran implícitamente en la notificación DPO-752 para CRIS («CRIS cuenta también con capacida-des de almacenamiento de los documentos justificativos. Los documentos almacenados por CRIS son principalmente contratos y facturas»). No obstante, la presencia de datos personales en dichos documentos no se menciona explí-citamente en la notificación. Cabe subrayar que los docu-mentos justificativos son objeto de un almacenamiento «pasivo» sin ningún tratamiento posterior por la aplicación. Como consecuencia de ello, no contienen datos consulta-bles, es decir, que no es posible efectuar una búsqueda en CRIS mediante el nombre de una persona determinada que figure en un documento.

CONCLUSIONESY RECOMENDACIONES

75.CRIS es uno de los múltiples sistemas locales existentes en la Comisión y, como tal, apoya las necesidades operativas específicas de las direcciones generales que lo utilizan. Además, dado que también apoya las funciones financie-ras, está en interfaz con el sistema contable central de la Comisión.

Desde la puesta en marcha de CRIS en 2002, la Comisión ha mejorado sensiblemente el sistema. Por ejemplo, en lo que se refiere a la codificación de los datos, la Comisión ha creado clasificaciones comunes a nivel general. Por el momento, estas no están todavía plenamente unificadas, dada la complejidad de la integración debida a la exis-tencia previa de la base de datos de contratos de CRIS. No obstante, en los últimos años se han llevado a cabo importantes esfuerzos en este ámbito, por ejemplo, a tra-vés de la creación de un grupo de trabajo interservicios en CRIS/ABAC Contratos.

Por lo que se refiere a la integridad de los datos, se han puesto en marcha procedimientos de control, seguidos de post-tratamientos y de la aplicación y mejora de las nor-mas operativas del sistema. Además, se han definido en CRIS las responsabilidades de los códigos de datos y están en curso mejoras técnicas a través del proyecto plurianual, que concluirá a finales de 2014.

76.La Comisión ha iniciado un proceso de racionalización de su paisaje informático cuyo principal objetivo consiste en evitar que múltiples sistemas cubran procesos idénticos o similares y en integrar las necesidades específicas de las direcciones generales en soluciones institucionales.

Por lo que se refiere a los aspectos financieros y contables, este proceso de racionalización conducirá a la utilización directa de funciones ABAC a partir de CRIS a través de ser-vicios web ABAC.

Recomendación1CRIS es el sistema de información de la gestión de las direcciones generales de relaciones exteriores de la Comi-sión. Es un sistema integrado que incluye una inter faz directa con el sistema contable de la Comisión (ABAC) y que, por lo tanto, permite racionalizar el número de herramientas que el personal de cooperación exter ior utiliza en su trabajo diario. Sus objetivos se definieron en diciembre de 2011 en el documento «Stratégie des systè-mes d’ Information de la DG EuropeAid jusque 2016».


41


En el proceso de racionalización de su paisaje informático, la Comisión está trabajando actualmente en una mejor inte-gración de todos sus sistemas. El objetivo de reducir la dupli-cación de las funciones de ABAC se conseguirá mediante la utilización directa de las funciones de ABAC a partir de CRIS via los servicios web ABAC. EuropeAid es parte de un pro-yecto piloto iniciado en este sentido en toda la Comisión.

78.La complejidad de la consolidación se deriva de la gran diversidad de programas y procedimientos utilizados por la Comisión en el marco de las acciones exteriores, que no puede imputarse automáticamente a CRIS. Efectivamente, en el ejemplo mencionado por el Tribunal, la ayuda exte-rior puede imputarse globalmente a una región beneficia-ria que abarca varios países.

No obstante, salvo en esos casos, la Comisión está en condi-ciones de ofrecer, a través de CRIS, información fiable y agre-gada por país, por instrumento financiero y por política.

79.Existen algunos retrasos en la introducción de algunos datos y faltan determinados documentos que deberían haberse adjuntado en CRIS, pero en CRIS no falta informa-ción financiera y/o crítica de ningún tipo. Se están reali-zando esfuerzos para reducir el periodo de tiempo en el que se facilita la información a CRIS. Además, por lo que se refiere a la calidad de los datos en general, se han logrado progresos significativos en los últimos tres años:

— Los propietar ios de los datos han sido designados para rendir cuentas por lo que se refiere a los datos correspondientes.

— Se ha creado un equipo de calidad de los datos que lleva a cabo actividades de seguimiento y que aplica medidas correctoras.

— Se ha implantado la gobernanza de la calidad de los datos.

Recomendación2La Comisión proseguirá los esfuerzos en curso de segui-miento de los datos y de mejora de los procesos de valida-ción de los mismos en CRIS. Ya se han adoptado diferentes medidas en este ámbito, como por ejemplo la designación de los propietarios de los datos a partir de principios de 2009, con el fin de gestionar los códigos de datos y de definir las normas que deben aplicarse.

80.Dado que se trata de una aplicación basada en la web, la disponibilidad del sistema en la delegación depende, ante todo, de la disponibilidad de otras elementos técni-cos (redes, servidores locales,…). Algunos de ellos no son responsabilidad de la Comisión, por ejemplo, la red ges-tionada por el SEAE. Por lo que se refiere a la aplicación y a los servidores de la base de datos, la Comisión ha regis-trado un alto nivel de disponibilidad del sistema. Por ejem-plo, en 2011, excepto una indisponibilidad de CRIS de más de una semana, debida a la fusión de EuropeAid y de la DG de Desarrollo, y de la creación del SEAE y del FPIS, CRIS estuvo operativo más del 99 % del tiempo.

Minimizar las deficiencias del sistema tanto generales (sis-tema) como locales (operaciones) es una preocupación constante de la Comisión. Ya está en vigor una gobernanza completa, que da lugar a una rápida detección y correc-ción de las deficiencias que provocan un bloqueo. También se han adoptado varias medidas para mejorar la calidad de las prestaciones, entre ellas la revisión del código, el análi-sis técnico y funcional antes de la ejecución y las pruebas.

La comunicación relativa a los códigos de datos se ha racionalizado mediante el uso de la Knowledge Base de CRIS y, entre otras cosas, ha mejorado la elaboración siste-mática de las notas semanales de versión y la actualización periódica de los manuales.

Recomendación3La complejidad del entorno operativo y la diversidad de fun-ciones y responsabilidades de los usuarios da lugar, inevita-blemente, a cierta complejidad de dicho sistema integrado. No obstante, la Comisión acepta esta recomendación. La mejora de la facilidad de uso constituye un objetivo impor-tante, entre otras cosas, en los siguientes proyectos:

— el proyecto multicompromiso en los módulos Contrato y Decisión;

— el proyecto de racionalización de la facturación; y

— los cambios en la configuración del módulo Auditoría.



42

81.El problema de la insuficiente seguridad del sistema se abordará mediante el nombramiento de un responsa-ble local de la seguridad de la información de CRIS. Para garantizar la confidencialidad, la Comisión ha definido cla-ramente los procedimientos de autorización de acceso. Por otra parte, el acceso a los datos clasificados como confi-denciales en CRIS está restringido. La mejora de la gestión de los derechos de los usuarios externos se tratará en los próximos años, a través de un proyecto específico que se completará en 2014. En lo que respecta a los datos perso-nales en CRIS, la Comisión aplica las normas establecidas en el Reglamento (CE) nº 45/2001, y los procedimientos notificados y validados por el responsable de la protección de datos (RPD) de la Comisión.

Recomendación4En el transcurso de 2012 se pondrá en marcha una eva-luación global de los riesgos informáticos y la Comisión nombrará a un responsable local de la seguridad de la información de CRIS.

Tribunal de Cuentas Europeo

InformeEspecialnº 5/2012ElSistemaComúndeInformaciónRELEX(CRIS)

Luxemburgo: Oficina de Publicaciones de la Unión Europea

2012 — 42 pp. — 21 × 29,7 cm

ISBN 978-92-9237-604-8doi:10.2865/95424

CÓMOOBTENERLASPUBLICACIONESDELAUNIÓNEUROPEA

Publicacionesgratuitas

• A través de EU Bookshop (http://bookshop.europa.eu).

• En las representaciones o delegaciones de la Unión Europea. Para ponerse en contacto con ellas, consulte el sitio http://ec.europa.eu o envíe un fax al número +352 2929-42758.

Publicacionesdepago

• A través de EU Bookshop (http://bookshop.europa.eu).

Suscripcionesdepago(porejemplo,a lasseriesanualesdelDiario Oficial de la Unión Europeao a las recopilacionesdelajurisprudenciadelTribunaldeJusticiadelaUniónEuropea)

• A través de los distribuidores comerciales de la Oficina de Publicaciones de la Unión Europea (http://publications.europa.eu/others/agents/index_es.htm).

QJ-A

B-12-004-ES-C


CRIS ES EL SISTEMA DE INFORMACIÓN CREADO POR LA COMISIÓN PARA

PRESTAR APOYO A LA GESTIÓN DE LAS ACCIONES EXTERIORES. EL SISTEMA

CRIS PERMITE TRABAJAR CON UNA BASE DE DATOS COMÚN A TODO EL

PERSONAL DE LA COMISIÓN DEDICADO A LA GESTIÓN DE LAS ACCIONES

EXTERIORES. PROPORCIONA DATOS SOBRE LAS DIFERENTES FASES DE LA

GESTIÓN Y PROPORCIONA DATOS FINANCIEROS AL SISTEMA CONTABLE

DE EJERCICIO ABAC DE LA COMISIÓN. EL TRIBUNAL CONCLUYE QUE, EN

GENERAL, CRIS RESPONDE EFICAZMENTE A LAS NECESIDADES DE INFOR-

MACIÓN DE LA COMISIÓN EN EL ÁMBITO DE LAS ACCIONES EXTERIORES.

NO OBSTANTE, TRAS DIEZ AÑOS DE DESARROLLO, TODAVÍA PRESENTA IN-

SUFICIENCIAS RECURRENTES QUE AFECTAN EN ESPECIAL A LA DEFINICIÓN

DEL PAPEL DE CRIS EN EL SISTEMA CONTABLE DE LA COMISIÓN, INSUFI-

CIENCIAS EN LA CODIFICACIÓN DE LOS DATOS, EFICACIA INSUFICIENTE

EN LA PROTECCIÓN DE LA INTEGRIDAD DE LOS DATOS Y, CON CARÁCTER

MÁS GENERAL, SEGURIDAD INSUFICIENTE DEL SISTEMA Y DE SUS DATOS.

Informe Especial - europarl.europa.eu€¦ · abreviaciones y glosario i–ix resumen 1–16...

Documents

Transcript of Informe Especial - europarl.europa.eu€¦ · abreviaciones y glosario i–ix resumen 1–16...