recomendaciones de auditor a externa: estado de aplicaci · chos programas depende de un meca-nismo...

ORGANIZACIÓN MUNDIAL DE LA SALUD

COMITÉ DE AUDITORÍA DELCONSEJO EJECUTIVO

EBAC4/218 de abril de 2001

Cuarta reuniónPunto 3.1 del orden del día provisional

Recomendaciones de auditoría externa:estado de aplicación

Informe presentado por el Comisario de Cuentas

1. En su segunda reunión, celebrada los días 11 y 12 de mayo de 2000, el Comité de Auditoría pi-dió que se elaborara un inventario tabular de las recomendaciones de la auditoría externa que abarcaraun perfil de antigüedad de dichas recomendaciones, su estado de aplicación y las observaciones de laSecretaría, si las hubiere. El primero de esos inventarios tabulares se presentó al Comité de Auditoríaen su tercera reunión (10 y 11 de enero de 2001). El Comité pidió que para el futuro se institucionali-zara esa modalidad de notificación, pero que se hiciera extensiva a todas las recomendaciones formu-ladas por el Comisario de Cuentas durante un periodo determinado, con inclusión de los plazos pre-vistos y de las responsabilidades específicas asignadas.

2. El segundo inventario tabular que se somete al examen del Comité de Auditoría figura anexo alpresente documento. La primera parte comprende las recomendaciones formuladas como resultado delas visitas de auditoría efectuadas durante el ejercicio financiero en curso. En la segunda parte se indi-ca el estado de aplicación actualizado de las recomendaciones formuladas durante el bienio pasado eincorporadas en el inventario tabular anterior, pero que no se habían aplicado plenamente.

3. El estado de aplicación se estableció a mediados de marzo de 2001 sobre la base de las res-puestas de la Secretaría. Como ya se ha dicho, aunque es un procedimiento normal que los serviciosde auditoría externa hagan un seguimiento de la aplicación de las recomendaciones formuladas, el ca-lendario de ese seguimiento depende de un número de factores. Por consiguiente, las observacionesde la Secretaría que figuran en el inventario tabular no han sido necesariamente verificadas por losservicios de auditoría externa.

EBAC4/2

2

ANEXO

RECOMENDACIONES DE AUDITORÍA EXTERNA:ESTADO DE APLICACIÓN

PARTE I: RECOMENDACIONES DE AUDITORÍA EXTERNA FORMULADASEN 2000

RECOMENDACIÓN OBSERVACIONESDE LA SECRETARÍA

ESTADO

Carta de 20 de octubre de 2000 sobre asuntos de gestión acerca de los resultados de la auditoría de laOficina Regional para Europa efectuada en septiembre-octubre de 2000

Cuentas bancarias y de adelantos Aplicada

a) Las conciliaciones bancarias deberíanestar firmadas tanto por el preparadorcomo por el revisor y los apuntes sedeberían liquidar puntualmente.

a) Se ha vuelto a hacer hincapié en la re-visión y la firma de todas las concilia-ciones bancarias por los supervisores yprosiguen los esfuerzos encaminados ala liquidación puntual de todos losapuntes conciliados. Se está haciendoun seguimiento mensual de los apuntespendientes de conciliación.

b) Las cuentas de adelantos requieren lafirma de los titulares, conciliación einstrucciones para posibilitar buenasprácticas de gestión de los saldos lí-quidos.

b) Se elaboraron y se dieron a conocer ennoviembre de 2000 a todos los titularesde cuentas de adelantos nuevas direc-trices que comprenden las relativas a lafirma por los titulares y a la confecciónde listas apropiadas de verificación.

Cuentas personales Aplicada

Se deberían revisar activamente lascuentas personales y se deberían desple-gar esfuerzos para liquidar los importespendientes de conciliación durante largotiempo.

Las transacciones de las cuentas persona-les se procesan, y se someten a una revi-sión general mensual, así como a una con-ciliación y a un seguimiento detallados alcierre del ejercicio. Se han adoptado me-didas para liquidar los importes identifica-dos como pendientes de conciliación du-rante largo tiempo.

Oficinas de enlace Se están examinando las funciones, res-ponsabilidades y medidas de responsabili-zación de las oficinas de enlace. Parte delejercicio conllevará una auditoría internadel sistema de las oficinas de enlace, conun mandato amplio de examen de muchascuestiones. Entretanto, se han adoptadolas medidas indicadas a continuación:

Se han abordado lasprincipales esferasde riesgo

a) Se deberían dar a los oficiales de en-lace instrucciones detalladas y capa-citación en materia de controles fi-nancieros y de responsabilización.

a) Se han distribuido a los oficiales deenlace instrucciones detalladas para elregistro de las transacciones y la pre-sentación de la documentación com-plementaria.

Anexo EBAC4/2

3

RECOMENDACIÓNOBSERVACIONES

DE LA SECRETARÍAESTADO

b) Debe formalizarse el proceso de exa-men por la unidad técnica.

b) Finanzas está exigiendo la aprobaciónde todos los estados financieros recibi-dos de los oficiales de enlace.

c) Se debería considerar una contabili-dad más puntual de los anticipos he-chos a las oficinas de enlace.

c) Las notificaciones se realizan ahoratrimestralmente.

d) Se debería evaluar la idoneidad de losarreglos relativos a las medidas deprotección del efectivo que tienen ensu poder.

d) Se han adquirido cajas fuertes cuandoprocedía y se está revisando la cobertu-ra de los seguros.

e) Se deberían formular directrices depolítica relativas a la adquisición debienes y servicios locales en US$.

e) Se presta más atención a la monedautilizada en los pagos.

f) Se debería estudiar la idoneidad deutilizar obligaciones internas paracomprometer o adelantar fondos.

f) Se desalienta la utilización de obliga-ciones internas.

Viajes Aplicada

a) Se debería formular y aplicar una po-lítica de viajes.

a) La Oficina Regional adoptó la políticamundial de viajes el 1 de enero de2001. Se contrató un consultor paranegociar con más flexibilidad los con-tratos con las aerolíneas, y los arreglosse pondrán en práctica durante el pri-mer trimestre de 2001.

b) Los planes de viaje se deberían fijarcon bastante antelación y los admi-nistradores correspondientes deberíanespecificar claramente la cantidad quese autoriza a pagar a quienes haganlas gestiones por sí mismos.

b) Se alienta la planificación anticipada delos viajes. El servicio de viajes deter-minará la cantidad que debe pagar laOMS y se comprometerá una obliga-ción por esa suma. Las subsiguientessolicitudes de reembolso se compara-rán con la suma comprometida para ve-rificar que el pago no supera la obliga-ción contraída por la OMS.

c) Se debería formular una política rela-tiva a la aprobación y la vigilancia delos anticipos fijos para viajes.

c) Los anticipos fijos se incluyen en lapolítica general de viajes.

Obligaciones pendientes Aplicada

Es necesario revisar de forma más enér-gica las obligaciones pendientes.

El informe sobre las obligaciones pen-dientes se proporcionará a las unidadestécnicas cada seis meses, y se requeriránrazones justificativas para mantener lasobligaciones conexas. Se facilitará al per-sonal de los programas información sobrela necesidad de revisar más a menudo lasobligaciones pendientes y se subrayará elefecto que esas obligaciones tienen en lavigilancia programática y financiera.

EBAC4/2 Anexo

4



Obligaciones En aplicación

a) Las administraciones regionales y dela Sede deberían investigar activa-mente la viabilidad de un plan de pa-gos más favorable en relación con losprogramas de asistencia humanitariafinanciados por la Comisión Europea.

a) Los contratos de la Comisión Europeaestán siendo revisados activamente porla Sede con miras tanto a establecer unmarco viable para la cooperación futuracomo para revisar los procedimientoscontables adecuados para esas asigna-ciones. (Sede, Finanzas y AsuntosJurídicos)

b) Sólo deben establecerse obligacionescon cargo a las asignacionescorrectas.

b) Si bien las obligaciones deberían esta-blecerse con cargo a las asignacionescorrectas, habida cuenta del tiempo quetranscurre hasta la recepción de lasasignaciones la buena marcha de mu-chos programas depende de un meca-nismo de adelantos temporales. Se hanaplicado medidas para mejorar la vigi-lancia de esos adelantos temporales.

c) Las transacciones deberían justificarsecon los documentos apropiados.

c) Se conservarán en archivo los docu-mentos de obligación que proceda.

d) Deben explorarse posibles mejoras enrelación con el sistema de anotaciónde obligaciones con cargo a asigna-ciones de otras oficinas.

d) Se propone que cuando se desarrolle elnuevo sistema de contabilidad se estu-die el modo de mejorar el examen y lavigilancia de las obligaciones que seanotan con cargo a asignaciones deotras oficinas.

Cuenta transitoria Aplicada

Los desembolsos sólo deberían realizarsecon cargo a obligaciones autorizadas.

Se ha revisado el procedimiento para tra-mitar las obligaciones establecidas en Co-penhague y desembolsadas sobre el terrenopara asegurar que las oficinas locales reci-ban los documentos de obligación antes deque se efectúen los desembolsos.

Inventarios En aplicación

Se debería prestar atención urgentementea la aplicación de un sistema de inventa-rio eficiente y a la compilación de regis-tros fiables de las existencias.

Se pondrá en práctica la aplicación de in-ventario utilizada en la Oficina Regionalpara el Pacífico Occidental y se actualiza-rán los registros. Se tratará de una priori-dad para quien ocupe el puesto ahora va-cante en Servicios de Administración, Su-ministros y Conferencias, habiéndose fija-do la meta de aplicación para el final deltercer trimestre de 2001. (ASC)

Recepción de informes En aplicación

Se debería aplicar un sistema de registroy seguimiento de los informes recibidos.

Se abordará cuando se ponga en práctica laaplicación de inventario de la Oficina Re-gional para el Pacífico Occidental (véasesupra).

Anexo EBAC4/2

5



Sistema de adquisiciones En aplicación

Se debería estudiar la viabilidad de apli-car un sistema informatizado de adquisi-ción e inventario, junto con el nivel ade-cuado de recursos humanos.

Se abordará cuando se ponga en práctica laaplicación de inventario de la Oficina Re-gional para el Pacífico Occidental (véasesupra).

Acuerdos para la ejecución de untrabajo (APW)

En aplicación

a) Se deberían proporcionar directricesclaras respecto de los pagos por ade-lantado para proteger a la Organiza-ción de posibles pérdidas.

a) La administración de la Oficina Regio-nal para Europa ha indicado reiterada-mente a todas las unidades el nivelapropiado de los pagos por adelantadode los APW, que asimismo se docu-menta en el manual informatizado deapoyo a los programas. Se revisará elprocedimiento para establecer un nivelestándar razonable de pago inicial má-ximo para los futuros APW en la Re-gión. La revisión estará dirigida por elOficial de Presupuesto y Finanzas, ha-biéndose fijado la meta de aplicaciónpara el final del tercer trimestre de2001. (BFO)

b) Se deberían revisar los procedimien-tos relativos a la presentación de do-cumentos justificativos en apoyo delas solicitudes de reembolso.

b) Se debería revisar el formato de losAPW a nivel mundial y habría que es-tandarizar en el conjunto de la Organi-zación los requisitos aplicables a loscolaboradores con quienes se firmancontratos. La Oficina Regional seguiráexaminando la cuestión con la Sede.

Aplicación del Sistema de Gestión delas Actividades (AMS)

En aplicación

a) La administración debería adoptarmedidas activas para asegurar que seaplica eficazmente el sistema y se ob-tienen de él los máximos beneficiosposibles.

a) Algunos programas utilizan el AMSplenamente, mientras que otros tropie-zan con dificultades en determinadosaspectos. La Oficina Regional ha pro-porcionado a la Sede especificacionesdetalladas para lograr mejoras, así co-mo ideas para perfeccionar la interfazde usuario.

b) La administración debería confeccio-nar una lista de todos los tipos detransacción que no están previstos enel sistema y presentarla a la Sede, pa-ra que el sistema pueda agregar valora la Organización.

b) Se han notificado a la Sede determina-dos tipos de transacciones del SistemaInformativo en Administración y Finan-zas que crean confusión cuando se inte-gran con el AMS, y se están poniendoa punto en aquélla soluciones para es-tandarizar los procedimientos. Lasobligaciones no vinculadas constituyenun problema. Se están realizando es-fuerzos tenaces para reducir su númeroy el nuevo Oficial de Presupuesto y Fi-nanzas ha controlado la situación.

EBAC4/2 Anexo

6



c) Se debería elaborar una política clarade formación sobre el AMS en la quese indiquen, para cada nivel de pues-to, los módulos en que obligatoria-mente deberá haberse recibido forma-ción.

c) Se ofrece formación a intervalos men-suales regulares. La Oficina Regionalno está decidida a vincular la obligato-riedad de una determinada formacióncon puestos específicos, pero seguiráasignando al administrador del pro-grama la responsabilidad de velar porque el programa cuente con la compe-tencia profesional necesaria en el ma-nejo del AMS para salvaguardar elcumplimiento de las directrices.

Directrices sobre planificaciónoperacional

Aplicada

a) Se debería vigilar estrechamente elcumplimiento de las directrices sobreplanificación operacional.

a) El cumplimiento de las directrices sepuede y se debe mejorar. Se prestarámás atención a la terminación de losplanes de trabajo. Los directores dedivisión así lo han reconocido y losanalistas operacionales recién nombra-dos se ocuparán de vigilar la termina-ción y la integridad de los datos de to-dos los planes de trabajo de sus divi-siones respectivas.

b) Cuando se hayan fijado plazos, debe-ría hacerse todo lo posible por cum-plirlos.

b) Se dispone ahora de un funcionario deplanificación y se ha delegado al nivelde director de división la aprobación delos planes de trabajo.

Auditoría informática de los mecanismos de control general en el Sistema de Administración y Finanzas,el Sistema de Gestión de las Actividades, el Sistema de Personal y el Sistema de Viajes, Reuniones yAdministración de la Oficina Regional: Oficina Regional para Europa con fecha 24 de noviembrede 2000

Planificación, políticas, procedimientosy normas

En aplicación

a) Se debería establecer una política deseguridad en materia de técnicas de lainformación (IT), aprobada y actuali-zada regularmente de forma oficialcon el fin de formalizar directrices deobligado cumplimiento por los miem-bros del personal en el conjunto de laOMS.

a) Se está preparando un documento ex-haustivo sobre política de seguridad enmateria de IT. Se coordinará con unainiciativa similar en la Sede y se prevéultimarlo para diciembre de 2001.(Asesor Regional, Servicios de Apoyoa la Información - RA/ISS)

b) Se debería compilar un plan autoriza-do y ensayado de recuperación en ca-so de desastre y de continuidad de lasoperaciones. El plan debería ensayar-se regularmente, debería actualizarsecuando fuera preciso y se deberíaguardar una copia del mismo en unlugar externo.

b) Se está preparando un plan de recupe-ración en caso de desastre y de conti-nuidad de las operaciones, que se habráultimado y cuyo costo se habrá estima-do para septiembre de 2001. (Admi-nistrador de la Red)

Anexo EBAC4/2

7



c) Se debería preparar un plan estratégi-co oficial en materia de IT, que debe-ría ser aprobado por la administracióny se debería actualizar de forma con-tinuada.

c) La Oficina Regional sigue de cerca losesfuerzos desplegados por la Organiza-ción para adoptar una política en mate-ria de IT. Se ha establecido un Comitéde Administración y Política de Infor-mación (IPMC) para asesorar al Di-rector Regional en cuestiones técnicasrelativas al apoyo a la tecnología y alos sistemas de la información. (Direc-tor, Información, Pruebas Científi-cas y Comunicación - DEC)

d) En toda la OMS, deberían desarrollar-se procedimientos y normas formalesde control de la modificación de losprogramas.

d) En diciembre de 2001 se habrá puestoen marcha un registro de control decambios para la introducción de ajustesde software en aplicaciones desarrolla-das a nivel mundial. (Administradorde la Base de Datos)

e) Deberían desarrollarse y aprobarseprocedimientos operativos formales.

e) El servidor SQL (lenguaje de consultaestructurado) permite llevar un registroclaro de todos los procesos de fin dejornada. En julio de 2001 se habránimplantado mecanismos adicionales denotificación de las tareas conclusas einconclusas. (Administrador de laBase de Datos)

f) Deberían desarrollarse políticas yprocedimientos de desarrollo y man-tenimiento de los diccionarios dedatos.

f) Se procura actualizar el software dedefinición de los diccionarios de datosy bases de datos electrónicos. En di-ciembre de 2001 se habrá adoptadouna decisión definitiva en colaboracióncon la Sede. (Administrador de laBase de Datos)

g) La OMS debería asegurar el desarro-llo, la aprobación formal, la distribu-ción en toda la OMS, la aplicación yla observancia de normas y procedi-mientos formales en materia de IT.

g) Intervención en la Sede: véanse másabajo las observaciones de la Secretaríasobre la revisión de los mecanismos decontrol general realizada en la Sede.

Ciclo de vida del desarrollo de sistemas En aplicación

a) Debería idearse una metodología for-mal para el ciclo de vida del desarro-llo de sistemas a fin de controlar elproceso de desarrollo, adquisición,aplicación y mantenimiento de siste-mas de información computarizados yotras tecnologías relacionadas en todala OMS.

a) Se habrá seguido perfeccionando ydocumentando, en estrecha colabora-ción con la Sede y con el Comité deCoordinación de la Gestión Informáti-ca, los actuales procedimientos de es-pecificación técnica de ensayos deaplicaciones y programas en apoyo delcontrol de la calidad.

EBAC4/2 Anexo

8



b) La OMS debería desarrollar una polí-tica oficial, en particular procedi-mientos y normas, para controlar ygestionar el desarrollo de sistemas deaplicaciones en toda la OMS.

b) Intervención en la Sede: véanse másabajo las observaciones de la Secretaríasobre la revisión de los mecanismos decontrol general realizada en la Sede.

Seguridad física En aplicación

a) Deberían implantarse medidas ade-cuadas de seguridad física.

a) En las áreas en que los servicios deapoyo a la información (ISS) tienen uncontrol absoluto, se han adoptado me-didas adicionales de seguridad física.Otras áreas no están bajo el control delos ISS. (Administrador de la Red)

b) Deberían establecerse condicionesambientales y de seguridad adecuadasen relación con las cintas de salva-guardia.

b) Se están estudiando diversas opcionesde salvaguardia externa en otras orga-nizaciones del sistema de las NacionesUnidas en Copenhague. Plazo: abrilde 2001 (Administrador de la Red)

Redes En aplicación

a) Los administradores deberían estudiarla posibilidad de examinar los infor-mes de vigilancia en el entorno de lared.

a) Se fomentará más activamente la parti-cipación de los administradores en elanálisis de los informes de vigilancia,entre otras cosas mediante informesadicionales. Plazo: mayo de 2001(Administrador de la Red).

b) Debería considerarse el posible uso defunciones de llamada de respuesta(dial-back) para asegurar que el accesoremoto quede restringido únicamenteal personal de apoyo autorizado.

b) Por razones económicas, se ha decididono utilizar el servicio de devolución dellamadas (call-back) de la opción deconexión (dial-up).

Operaciones En aplicación

a) Deberían desarrollarse procedimien-tos formales de salvaguardia y recu-peración. Dichos procedimientos de-berían ser aprobados por los adminis-tradores y ensayados regularmente.

a) Se ha preparado documentación paralos procedimientos de salvaguardia yrecuperación, y se están llevando a ca-bo diversos ensayos.

b) La dirección debería considerar laposibilidad de revisar los informes devigilancia del funcionamiento en elentorno del servidor.

b) Se pondrá a disposición de los admi-nistradores el informe de vigilancia delfuncionamiento. Plazo: abril de 2001(Administrador de la Red)

c) Deberían documentarse formalmentelos mecanismos de salvaguardia ex-terna, y ensayarlos con regularidad.

c) Se están estudiando diversas opcionesde salvaguardia externa en otras orga-nizaciones del sistema de las NacionesUnidas en Copenhague. Plazo: abrilde 2001 (Administrador de la Red)

Anexo EBAC4/2

9



d) Los registros de salvaguardia deberíanatenerse a las normas y los procedi-mientos de seguridad y deberían serfirmados por el supervisor después decada operación de salvaguardia.

d) En un registro de seguridad quedandocumentados diversos detalles, porejemplo las salvaguardias fallidas.

e) Los informes de salvaguardia genera-dos después de cada operación de co-pia de seguridad deberían ser impre-sos, controlados por el supervisor yalmacenados durante un cierto tiempo.

e) Control diario del registro electrónicodel software de salvaguardia a fin deasegurar la correcta copia de los datos.

f) Se deberían recuperar y ensayar pe-riódicamente las copias de seguridada fin de asegurar la integridad y recu-perabilidad de los datos.

f) Dos veces al mes como media se llevana cabo recuperaciones limitadas. Unavez al año se harán ensayos de recupe-raciones generales.

g) Los planes de tareas deberían seraprobados al nivel de administraciónadecuado, y las tareas efectuadas de-berían compararse con esos planes.

g) No pertinentes para las aplicacionesempleadas actualmente en un entornode cliente-servidor.

h) Debería compilarse un libro del ope-rador para asegurar que éste conozcalos pormenores sobre las instruccio-nes para la configuración de tareas,los mensajes de consola, las respues-tas correctas y las medidas que debentomarse cuando falla una tarea.

h) Se han establecido registros propios decada servidor, que son utilizados confines de información y mensajería.

i) Deberían implantarse los procedi-mientos necesarios para asegurar quelos informes sobre incidentes sean te-nidos en cuenta eficazmente y en elmomento oportuno.

i) Los incidentes se consignan en los re-gistros del servidor.

Sistema de operación y seguridadlógica

En aplicación

a) Los administradores deberían impri-mir y analizar regularmente los regis-tros de actividad y los registros deviolación del acceso.

a) Se han implantado funciones de audito-ría para el sistema operativo informáti-co. El archivo electrónico diario seráimpreso y examinado por el Adminis-trador de la Red, y trimestralmente sepresentará un informe al IPMC. Plazo:septiembre de 2001. (Administradorde la Red)

b) Deberían abordarse las deficienciasidentificadas en relación con los con-troles de acceso lógico y la configura-ción de los parámetros de seguridad.

b) Se ha adoptado ya una serie de medi-das. Se están revisando otras medidasde seguridad adicionales; su aplicaciónestá prevista para diciembre de 2001.La redenominación de la cuenta deladministrador ha de tener lugar en ju-nio de 2001. (Administrador de laRed)

EBAC4/2 Anexo

10



c) Debería revisarse regularmente todoel software empleado por la OficinaRegional, y debería educarse a losusuarios acerca de las posibles reper-cusiones del software ilegal.

c) Se ha desarrollado una aplicación quecoteja el software del disco duro de lasestaciones de trabajo con la configura-ción de software registrada. Dichaaplicación está siendo ensayada y seprevé que estará en funcionamiento pa-ra agosto de 2001. (Administradorde las Bases de Datos)

d) Deberían desarrollarse y aplicarseprocedimientos para asegurar que to-do cese en el servicio de un funciona-rio se ponga prontamente en conoci-miento del administrador de IT.

d) Las cuentas de usuario se configuranen función de la duración de los con-tratos: la cuenta queda bloqueadacuando el contrato finaliza o el usuariocesa en el servicio.

e) Deberían implantarse procedimientosformales de registro de los usuariospara asegurar que cada uno de ellosdisponga de su propia identificación ycontraseña, las cuales han de facilitar-se formalmente.

e) Se pedirá a los nuevos usuarios quereconozcan oficialmente su identifica-ción de usuario firmando los informesde tareas de ISS al recibir ayuda paraconectarse por primera vez.

f) Debería estudiarse la posibilidad deejecutar un programa antivirus en to-dos los servidores y de implementaruna política al respecto a la descargade juegos y programas en los ordena-dores.

f) Se ha instalado un programa de protec-ción contra los virus en el servidorSQL a fin de estudiar sus efectos en elfuncionamiento del sistema; en funciónde los resultados se considerará la ins-talación en los otros servidores. Plazo:mayo de 2001. (Administrador de laRed)

Datos En aplicación

a) La OMS debería velar por que todoslos sistemas utilicen la última versióndel software del sistema, a fin de ase-gurar la continuidad y disponibilidadde los sistemas de aplicación.

a) Está prevista la migración a SQL 7.0en todas las oficinas regionales paraoctubre de 2001. (AFI, Sede)

b) Debería implantarse una política for-mal de archivación para la OMS, a finde que ese proceso se realice regular-mente en la base de datos, y se obten-ga así un buen tiempo de respuesta.

b) Se ha implantado ya la archivación dela información de administración y fi-nanzas en la Oficina Regional con pe-riodicidad bienal, conforme a lo soli-citado por la Sede.

c) Deberían implantarse controles ade-cuados, por ejemplo totales de con-trol, para asegurar que los volcados deAFI creados por la Oficina Regionalsean exactos y estén completos al en-viarlos a la Sede; los resultados deesos controles deberían compararsetambién con los totales de control dela Sede.

c) La Oficina Regional recomendará quese cree un nuevo informe de controlque refleje los totales de control para suenvío por fax a la Sede junto con elvolcado de la base de datos. La im-plantación de ese mecanismo se haráen coordinación con la Sede. Plazo:junio de 2001.

Anexo EBAC4/2

11



Organización En aplicación

a) A fin de evitar la introducción de mo-dificaciones no autorizadas en losdatos de producción y/o los progra-mas, los programadores no deberíantener acceso a los programas y datosen el entorno de producción.

a) Se están estableciendo dominios deservidor separados para ensayo y desa-rrollo. La separación de funciones en-tre programadores y administradores delas bases de datos resulta imposible da-do lo reducido de la plantilla. Se con-fía a las mismas personas la introduc-ción de cambios en los entornos deproducción y el registro de esos cam-bios. El acceso por red a los entornosde producción ha sido revisado y estáestrictamente controlado. Las tareas ylos entornos de desarrollo y ensayo es-tán claramente separados. Se implanta-rán procedimientos para documentar ycontrolar los pasos a producción. Pla-zo: diciembre de 2001. (Adminis-trador de la Base de Datos)

b) Deberían implantarse procedimientospara asegurar una separación idóneade las funciones entre los administra-dores de las bases de datos y los pro-gramadores de aplicaciones.

b) Véanse las observaciones supra.

c) Debería estudiarse la posibilidad deestablecer un comité directivo de IT anivel de administración para supervi-sar la función de IT.

c) Se ha creado el IPMC para asesorar alDirector Regional en asuntos técnicosrelativos al apoyo a los sistemas y tec-nologías de información.

d) En las descripciones de puesto y losmandatos se deberían documentarformalmente las responsabilidades detodos los funcionarios de IT.

d) Todos los contratos de personal de ITse tramitan a través de ISS para obtenersu visto bueno técnico. Lo mismo sehará con los mandatos para el personalcontratado por corto plazo.

e) Debería disponerse siempre de copiasde seguridad cuando haya funciona-rios clave de IT que no puedan de-sempeñar sus funciones habituales.

e) Un Administrador de la Red ha asumi-do ya sus funciones. Aunque el sola-pamiento es ahora mayor, el personalde ISS sigue trabajando al máximo.

Aplicaciones En aplicación

a) A fin de asegurar que en los progra-mas sólo se introduzcan cambios auto-rizados, debería establecerse un comitéde control de las modificaciones.

a) Se ha creado el IPMC para asesorar alDirector Regional en asuntos técnicosrelativos al apoyo a los sistemas y tec-nologías de información.

b) En toda la OMS deberían implantarseprocedimientos tendentes a asegurarque se administre eficazmente el pro-ceso de modificación de los progra-mas y que esas modificaciones se ul-timen en el plazo previsto.

b) La introducción de modificaciones enlos programas del sistema informativoen administración y finanzas de la Ofi-cina Regional son responsabilidad delequipo de desarrollo de la Sede. Estacuestión será abordada por la Sede a lahora de mejorar el proceso de controlde las modificaciones.

EBAC4/2 Anexo

12



c) Deberían establecerse en toda la OMSnormas y procedimientos formales deprotocolos de ensayos para la modifi-cación de los programas.

c) En abril de 2001 se habrán ultimadoen la Sede normas para protocolos deensayo.

d) Habría que mantener documentadoslos ensayos para registrar la naturale-za y el alcance de todas las pruebasrealizadas en la OMS.

d) La Sede recibe retroinformación sobrelos ensayos relacionados con el sistemainformativo en administración y finan-zas de la Oficina Regional. La Sedearchiva la documentación de losensayos.

e) Los administradores deberían im-plantar procedimientos que asegurenque exista documentación sobre elsistema y que esa documentación seaactualizada tras cada modificación delsistema en toda la OMS.

e) Se mantendrán los modelos de bases dedatos y de procesos en una próximamejora del software de descripción deldiccionario de datos/base de datos.Plazo: diciembre de 2001.

f) En toda la OMS deberían implantarseprocedimientos para asegurar que seactualice la documentación de losprogramas cada vez que resulten mo-dificados.

f) Se preparará documentación adicionalpara las aplicaciones de la Oficina Re-gional coincidiendo con la mejora delsoftware de descripción del diccionariode datos/base de datos.

g) En toda la OMS deberían implantarseprocedimientos que garanticen lacompilación y actualización periódicade la documentación para el usuario.

g) ISS pedirá a los propietarios de losdatos que nombren un punto focal queactualice la documentación de usuariocorrespondiente a las aplicaciones de-sarrolladas en la oficina. Plazo: mar-zo de 2001 (OR/ISS).

h) En toda la OMS deberían establecer-se, tras su aprobación formal por losadministradores, procedimientos for-males para la introducción de modifi-caciones de emergencia.

h) Las modificaciones de emergencia seintroducen y registran de la misma ma-nera que los cambios ordinarios. Seestá creando un registro de control delas modificaciones para la introducciónde ajustes de software en las aplicacio-nes desarrolladas a nivel mundial; laimplantación de dicho registro estáprevista para diciembre de 2001.(Administrador de la Base de Datos)

i) Deberían establecerse mecanismos deaseguramiento de la calidad en el pro-ceso de modificación de los progra-mas.

i) Está previsto que el IPMC de la Ofici-na Regional establezca normas y di-rectrices de aseguramiento de la cali-dad.

j) En toda la OMS deberían aplicarseinstrucciones formales y detalladaspara la reversión.

j) Las modificaciones introducidas en losprogramas no son objeto de reversión.Cuando es necesario, se recuperan lascopias de seguridad de los datos y elsoftware.

Anexo EBAC4/2

13



k) Los cambios introducidos en los pro-gramas deberían registrarse y serexaminados por funcionarios de altonivel para asegurar que en los pro-gramas sólo se introduzcan cambiosautorizados.

k) El Administrador de la Base de Datos,en colaboración con los propietarios delos datos, velará por que en los pro-gramas sólo se introduzcan y se regis-tren cambios autorizados. Se elaboraráun formulario para la aprobación decambios por los propietarios de datos.Plazo: diciembre de 2001 (Adminis-trador de la Base de Datos)

l) Deberían establecerse en toda la OMSprocedimientos formales de gestiónde las diversas versiones, o bien pro-gramas informáticos de gestión de bi-bliotecas, para asegurar que se regis-tren los números de las diversas ver-siones junto con los cambios introdu-cidos en los programas y que semantenga el mismo código fuente.

l) En la Oficina Regional existe un con-trol de las diversas versiones de losprogramas informáticos de las bases dedatos y de sus respectivos usuarios paracerciorarse de que estén utilizando lasmismas versiones.

m) Debería establecerse una documenta-ción oficial de los cambios introduci-dos en los programas en toda la OMS.

m) Dadas las limitaciones de personal, seconsidera que la teneduría de una do-cumentación formal de los cambiosde los programas constituiría unautilización ineficaz de los recursosdisponibles.

PARTE II: ESTADO DE APLICACIÓN DE LAS RECOMENDACIONES DEAUDITORÍA EXTERNA FORMULADAS EN EL BIENIO DE 1998-1999



Auditoría informática complementaria de los controles generales del Sistema de Apoyo Informativo enAdministración y Finanzas en la OMS, Ginebra, 13 de diciembre de 1999

El personal directivo debería examinar laspolíticas y procedimientos oficiosos deseguridad para comprobar si son exhaus-tivos, e incorporarlos en una política ofi-cial de seguridad.

Como el asesor en IT y el oficial de segu-ridad debían participar en esa tarea, el pla-zo se ha prorrogado hasta junio de 2001.Se han tomado varias medidas provisio-nales. Ya se han elaborado políticas parala seguridad del cortafuegos y del sistemaoperativo informático. Se ha emprendidoun proyecto sobre la política de seguridadpara la red privada mundial; las fechas denotificación se determinarán más adelante.Se ha establecido una política de seguridaddel acceso a distancia. (Servicios deInformática y de Telecomunicaciones -ITS)

En aplicación

EBAC4/2 Anexo

14



El personal directivo debería elaborar,aprobar y aplicar una política oficial paratoda la red de la OMS con miras a lograrel debido control de la red.

Se está elaborando una política para la red.La fecha de ultimación dependerá de lacontratación de un funcionario encargadode la seguridad de las tecnologías de lainformación. (ITS)

En aplicación

Debería nombrarse y prepararse a un ofi-cial que vele por la administración eficazde la seguridad física y lógica.

Se ha identificado un oficial de seguridad.(ITS)

En aplicación

Debería establecerse si existen los cono-cimientos y técnicas necesarios para lagestión del sistema en todo momento, sinperjuicio de la distribución del trabajo, afin de asegurar la continuidad del entornode IT.

Se contrató a un asesor en IT con efecto apartir de septiembre de 2000. Se contrata-rá a siete funcionarios con nombramientosde plazo fijo, y dos puestos de corta dura-ción se convertirán en contratos de dura-ción limitada. La contratación está enmarcha. (ITS)

En aplicación

Deberían establecerse procedimientosoficiales para asegurar que no pueda ac-ceder al mismo tiempo a la aplicación unnúmero de usuarios mayor que el pres-crito. Asimismo, debería centralizarse elcontrol de la adquisición e instalación deprogramas informáticos.

Para junio de 2001 se habrá revisado lavigente política informática aplicable alusuario final. (ITS)

Por aplicar

Deberían establecerse procedimientospara que el programa de protección anti-virus se instale en todos los computadorespersonales y «notebooks». Los progra-mas antivirus deberían actualizarse regu-larmente.

La política vigente se ha oficializado y losprocedimientos de vigilancia del cumpli-miento se aplican desde el final de 2000.Se ha instalado un programa de controlantivirus como parte del sistema de correoelectrónico y está prevista su ampliación alsistema de cortafuegos. (ITS)

En aplicación

Debería establecerse un acuerdo oficial anivel de servicios entre la OMS y el Cen-tro Internacional de Cálculo Electrónico(CICE) al objeto de definir claramente lasresponsabilidades.

Desde octubre de 2000 se halla en vigor unacuerdo a nivel de servicios con el CICE.

Aplicada

El personal directivo debería establecer yaprobar procedimientos y normas para elcontrol de los cambios.

Una empresa de auditoría y consultoría(KPMG) revisó la política y los procedi-mientos de la OMS en materia de informa-ción administrativa y financiera. En di-ciembre de 2000 se elaboró un plan deaplicación. Para el final de julio de 2001se habrán ultimado los trabajos de defini-ción. (AFI)

En aplicación

Deberían establecerse normas y procedi-mientos oficiales de planificación de losensayos para los cambios de los progra-mas.

Los planes de los ensayos de los entornosnuevos se habrán ultimado para el final deabril de 2001. Los entornos actuales sesustituirán por cuatro nuevos, a saber:pruebas e instalación para el administradorde la base de datos; desarrollo; prueba ygarantía de la calidad, y producción.(AFI)

En aplicación

Anexo EBAC4/2

15



El personal directivo debería establecer yaprobar oficialmente procedimientos paralos cambios urgentes, y debería registrar,examinar y aprobar los cambios.

Los procedimientos de cambio oficial ycambio urgente se habrán definido para elfinal de julio de 2001. Éstos se pondrán aprueba y se validarán mediante una migra-ción del nuevo entorno de desarrollo alnuevo entorno de prueba a comienzos deagosto de 2001. Asimismo, los procedi-mientos se utilizarán para migrar del nuevoentorno de prueba al nuevo entorno deproducción al final de agosto de 2001.Los procedimientos se hallarán en plenofuncionamiento cuando todos los entornosnuevos se introduzcan en el trabajo coti-diano a mediados de octubre de 2001(véase más arriba). (AFI)

En aplicación

Debería incorporarse la garantía de lacalidad en el proceso de cambio de losprogramas.

La garantía de la calidad se confía a cadaprogramador/analista y al supervisor, locual se considera suficiente.

No aplicada

Deberían elaborarse instrucciones oficia-les y detalladas respecto de lassupresiones.

Se han incorporado instrucciones en losantedichos procedimientos de control delos cambios.

En aplicación

El personal directivo debería aplicar pro-cedimientos para que la documentacióndel sistema se actualice después de cadacambio.

Ya se han instalado programas de docu-mentación técnica. Los sistemas más anti-guos contienen lagunas de documentación.Teniendo en cuenta los recursos disponi-bles, no se ha atribuido prioridad a estamedida.

Aplicada en parte

Deberían aplicarse procedimientos para larecopilación y actualización de la docu-mentación de los usuarios.

Los propietarios de las aplicaciones for-mularán planes para julio de 2001.

En aplicación

Deberían aplicarse procedimientos paraque la documentación de los programas seactualice después de cada cambio.

Los cambios en los programas se anotanen los recuadros de observaciones de cadaprograma.

Aplicada en parte

Un grupo o una persona independientesde la programación deberían trasladar losprogramas cambiados del archivo de en-sayo al de producción.

La definición de funciones se aplicará paramediados de octubre de 2001 (habrá nue-vas identificaciones de usuario para diver-sas funciones, pero se seguirá ocupando deello la misma persona hasta que se asignenmás recursos humanos). (AFI)

En aplicación

Deberían establecerse procedimientosoficiales para el control de las versiones,y debería controlarse el acceso al códigofuente o su utilización.

Esta medida se aplicará mediante los pro-cedimientos de control de los cambios,mencionados más arriba. (AFI)

En aplicación

Debería establecerse un comité para elcontrol de los cambios.

Esta medida se definirá en relación con losantedichos procedimientos de cambio y decambio de emergencia. (AFI)

En aplicación

Los usuarios deberían suscribir los for-mularios para el control de los cambios.

Ya se hace para los cambios importantes. Aplicada en parte

EBAC4/2 Anexo

16



Debería elaborarse una metodología delciclo vital del desarrollo de sistemas, quedebería ser aprobada por el personal di-rectivo y aplicada.

Esta medida no se considera necesariapues no se están registrando novedades enel Sistema de Apoyo Informativo enAdministración y Finanzas.

No aplicada

Los programadores no deberían teneracceso a los programas ni a los datos delentorno de producción.

A partir de mediados de octubre de 2001los programadores dejarán de tener accesoa la base de datos de producción. El admi-nistrador de la base de datos trasladará losprogramas de uno a otro entorno siguiendoinstrucciones del auxiliar administrativoque seguirá de cerca todas las actualiza-ciones. (AFI)

En aplicación

Deberían ultimarse las políticas de segu-ridad para el servicio de control del acce-so a los recursos y el sistema virtual múl-tiple, que deberían ser aprobadas por elpersonal directivo y aplicadas.

Se han aplicado medidas básicas de segu-ridad utilizando el servicio de control delacceso a los recursos, de conformidad conlas recomendaciones del CICE. El oficialde seguridad de IT será responsable dedefinir la política de seguridad que habráde aprobar el personal directivo. (ITS)

Por aplicar

Deberían ultimarse y ser aprobados por elpersonal directivo los procedimientos ynormas de control de los cambios para losprogramas del sistema virtual múltiple yla base de datos del servicio de control delacceso a los recursos.

Aplicada a mediados de octubre de 2000. Aplicada

Deberían establecerse políticas y proce-dimientos oficiales para la rescisión de loscontratos.


Deberían establecerse procedimientosoficiales para la inscripción de los usua-rios.


Los responsables de la seguridad de losdatos deberían elaborar normas y proce-dimientos para el examen y seguimientode las infracciones en materia de seguri-dad. La oficina de seguridad deberíaexaminar regularmente los registros delsistema. Distintas recomendaciones rela-tivas al acceso lógico y a la definición deatributos en el servicio de control del ac-ceso a los recursos.

Este asunto incumbe al CICE y, en algunoscasos, excede de sus recomendacionesactuales. El grado y la política de seguri-dad para el servicio de control del acceso alos recursos han sido definidos y acorda-dos por el CICE y la oficina de seguridadde la OMS; se examinarán como parteintegrante de un acuerdo a nivel de servi-cios con el CICE. (ITS)

Por aplicar

Distintas recomendaciones relativas a losparámetros de seguridad y a los controlesdel acceso lógico en el servidor del siste-ma operativo informático.

Se ha preparado una política de seguridadpara el sistema operativo informático, quese halla en la fase de revisión final. (ITS)

En aplicación

Anexo EBAC4/2

17



El personal directivo debería documentary llevar a efecto normas y procedimientosde seguridad física.

De esta medida se ocupará el oficial deseguridad de IT cuando sea nombrado.Mientras tanto, se han propuesto nuevasmedidas de seguridad física para el centroy los servidores de la LAN. (ITS)

En aplicación

Deberían adoptarse medidas de control dela seguridad física.

Véase supra. En aplicación

Debería establecerse, documentarse yensayarse regularmente un plan oficial-mente aprobado de recuperación en casode desastre.

Dicho plan existe para el CICE y, por con-siguiente, también para las instalacionescentrales del sistema de Apoyo Informati-vo en Administración y Finanzas. Hay enmarcha un proyecto encaminado a deter-minar la viabilidad técnica y los costos deun plan de recuperación en caso de desas-tre del conjunto de servidores de la OMS.(ITS)

En aplicación

Informe de la administración, de 3 de marzo de 2000, respecto de una auditoría de la gestión de tesoreríay de caja de la OMS en la Sede

Estrategia, política y estructura Aplicada

a) Debería evaluarse y actualizarse elmandato del Comité Asesor de Inver-siones.

a) Se ha actualizado el mandato del Co-mité Asesor de Inversiones.

b) El Comité debería reunirse regular-mente.

b) El Comité se reunirá dos veces al año.

c) Debería estudiarse su composición. c) Su composición actual se ha modifica-do para asegurar una representaciónadecuada.

d) Deberían reexaminarse la función y elmandato del Grupo de estudio sobreinversiones internas.

d) El Grupo en cuestión ha sido sustituidopor una representación más amplia enel Comité.

e) Deberían definirse oficialmente elmandato y las responsabilidades delComité y del Grupo.

e) Se ha actualizado el mandato del Co-mité.

f) Debería actualizarse con más frecuen-cia la política de inversiones.

f) Las políticas de inversiones de la Cajadel Seguro de Enfermedad del Personaly de los fondos de la OMS han sido ul-timadas y aprobadas por la DirectoraGeneral. Se están presentando infor-mes mensuales de tesorería. Se ha pe-dido a los gestores de las inversionesque presenten informes en un formatonormalizado para facilitar las compara-ciones.

EBAC4/2 Anexo

18



Medidas para la gestión de los riesgos Aplicada en su mayorparte

a) Deberían presentarse regularmenteinformes sobre la identificación deriesgos, la probabilidad de que ocu-rran, su probable magnitud y las me-didas previstas.

a) Se ha iniciado la presentación de in-formes mensuales resumidos sobre lagestión de los riesgos; los informes delos administradores de fondos se hanmejorado con la incorporación de aná-lisis de los riesgos significativos.

b) Debería examinarse la política sobrelos límites de exposición.

b) El Comité Asesor de Inversiones haconfirmado los nuevos límites de expo-sición. Se ha iniciado el ejercicio de li-citación para seleccionar a los nuevosadministradores de los fondos y la pri-mera fase se ultimará para junio de2001. Se prevé que la segunda fase(fondos de la OMS) se habrá ultimadopara septiembre de 2001.

c) Deberían realizarse análisis de sensi-bilidad.

c) El análisis de sensibilidad figura en losinformes ordinarios de tesorería. (Te-sorería y Gestión de Riesgos - TSY)

Vigilancia de los riesgos Aplicada en su mayorparte

a) Deberían presentarse informes sobrelos saldos de caja efectivos y otro tipode información clave.

a) El proceso de presentación de informesde tesorería comprende la mayoría delas medidas recomendadas. Se perfec-cionará cuando se haya iniciado el pro-ceso de selección y aplicación de unnuevo sistema de gestión de tesorería.(TSY)

Criterio y límites de los riesgos Aplicada en su mayorparte

a) Debería examinarse la exposición alriesgo.

a) Se ha actualizado la política de inver-siones.

b) Debería estudiarse la posibilidad deaumentar el número de productosautorizados.

b) La política revisada comprende un ma-yor número de productos de inversión.

c) Debería estudiarse la puesta en prácti-ca de la gestión de caja global.

c) En las tres regiones que tienen el ma-yor saldo en efectivo y mayores riesgoseconómicos y políticos se ha introduci-do un nuevo sistema de gestión delefectivo regional/por países. (TSY)

Anexo EBAC4/2

19



Gestión de los recursos humanos En aplicación

a) Debería abordarse la inadecuada dis-tribución del trabajo.

a) La reformulación de las descripcionesde puestos, que definirán mejor la dis-tinción entre las funciones de tesoreríay gestión de fondos que conllevan uncontacto con el exterior y las que noconllevan ese contacto, se habrá ulti-mado para el verano de 2001. La re-partición del trabajo relacionado conlas funciones de tesorería no se ultima-rá antes de que se haya instalado unnuevo sistema de gestión de tesorería.Se prevé que el sistema aportará consi-derables mejoras de eficiencia en lamanera de efectuar, confirmar, conta-bilizar y notificar las transacciones detesorería y mejores controles de esosprocesos. Hasta el próximo bienio nose aplicará un nuevo sistema integradode gestión de tesorería. En los próxi-mos meses comenzará el trabajo deevaluación de los sistemas y las nece-sidades. La instalación no se realizaráantes del verano de 2002. (TSY)

b) Debería aplicarse un código de con-ducta.

b) Tras haber examinado esta recomenda-ción en el contexto de Tesorería, seconsidera que no es necesario desarro-llar procedimientos específicos paraésta y que las vigentes disposicionesdel Estatuto del Personal y del Regla-mento de Personal prevén una protec-ción suficiente. El Jefe de Tesorería esresponsable de velar por que toda si-tuación que pudiera dar lugar a un con-flicto de intereses se remita al Directorde Servicios Financieros.

Sistema de información para la gestión Por aplicar

Debería abordarse la ineficiencia en laobtención de información y en el acceso aella.

La evaluación de un nuevo sistema degestión de tesorería y de las necesidades detesorería de la OMS está prevista para fi-nales del año en curso. No se aplicará an-tes del verano de 2002. (TSY)

Evaluación del rendimiento Aplicada

Se deberían introducir objetivos y unaevaluación oficiales del rendimiento y sedebería examinar la vigilancia del desem-peño de los gestores de activos externos.

Se han aplicado medidas relacionadas conel rendimiento tanto de los fondos admi-nistrados por la OMS como de los admi-nistrados por instancias externas.

EBAC4/2 Anexo

20



Gestión de caja En aplicación

a) Debería estudiarse la posibilidad demancomunación de fondos.

a) Se ha ultimado el examen de la políticade inversiones, que comprende una di-visión adecuada de las inversiones yuna estrategia apropiada para la inver-sión de los saldos de efectivo a cortoplazo.

b) Debería mejorar la gestión de caja. b) Se modificarán los procedimientos degestión del efectivo a corto plazo y seutilizará el sistema de notificaciónelectrónica del saldo bancario paraaquilatar el proceso. Se harán pronós-ticos en cooperación con las oficinasregionales. (TSY)

Conciliaciones En aplicación

Debería racionalizarse el número decuentas bancarias.

Se está reduciendo el número de cuentasbancarias. (TSY)

Contabilidad y consignación deinformación

Por aplicar

Deberían estudiarse los asuntos relativosa la contabilidad y la consignación deinformación.

Para diciembre de 2001 se habrán exami-nado las vigentes políticas financieras re-lativas a la valoración y la contabilidad devalores e instrumentos financieros. Esteexamen tomará en consideración todocambio de las normas de contabilidad delas Naciones Unidas respecto de los ins-trumentos financieros a la luz de la docu-mentación reciente de la Comisión deNormas Internacionales de Contabilidad.(TSY)

Carta de 7 de marzo de 2000 sobre asuntos de gestión acerca de los resultados de la auditoría final delbienio 1998-1999 realizada en la Sede

Contribuciones señaladas, obligacionesestablecidas y desembolsos efectuados

Aplicada

Deberán adoptarse medidas, con inclusiónde una posible revisión del ReglamentoFinanciero, para lograr una recaudaciónmás oportuna de las contribuciones seña-ladas.

Se han revisado el Reglamento Financieroy las Normas de Gestión Financiera. Se hapropuesto a la 54ª Asamblea Mundial de laSalud un procedimiento de tramitación desolicitudes de arreglos especiales.

Anexo EBAC4/2

21



Transacciones presupuestarias,financieras y conexas

En aplicación

a) Debería obtenerse una prueba de larecepción de las mercancías antes delpago.

a) Como la OMS adquiere títulos de pro-piedad sobre la base de los documentosde expedición, no se necesitan pruebasde recepción previa al pago. Los segu-ros cubren los bienes perdidos entre elmomento en que la OMS adquiere eltítulo y el momento previsto para laentrega física.

b) Debería llevarse una contabilidad másoportuna de las cuentas de adelantos.

b) Los niveles de las cuentas de adelantosse están examinando como parte de lareestructuración de tesorería. (TSY)

c) Debería reevaluarse la política decompensar íntegramente las contribu-ciones pendientes de los Miembros.

c) La política contable se examinará antesdel cierre del próximo ejercicio. (Con-tabilidad)

Registro y valoración de las existenciasde inventario

Aplicada

Debería examinarse si el método de valo-ración actual es el más apropiado y debe-ría darse a conocer claramente la política.

La política se ha vuelto a comunicar a lasoficinas regionales y a las de los países.

Política de gestión ambiental En aplicación

Debería elaborarse una política de gestiónambiental de la OMS a nivel mundial.

La OMS actúa sobre la base de la obser-vancia voluntaria de la legislación de lospaíses en los que opera. IIS está en con-sulta con la unidad de la OMS encargadade asuntos ambientales con miras a la for-mulación de una política que pueda seraceptada por todas las actividades/oficinasde la OMS. (Servicios de Informática yde Infraestructura - IIS)

Revisión del Manual de la OMS Aplicada

La revisión del Manual de la OMS debe-ría recibir la debida atención.

El contenido del Manual de la OMS se haactualizado para que refleje las políticas ylos procedimientos de la Organización. Seha hecho hincapié en que las seccionessobre la administración de los recursoshumanos y de los servicios financierosestén actualizadas. Se ha establecido unproceso encaminado a mejorar la actuali-zación continua para que refleje los cam-bios de política y de procedimiento. Laversión electrónica del Manual es actual-mente la oficial y se actualiza todos losmeses.

= = =

recomendaciones de auditor a externa: estado de aplicaci · chos programas depende de un meca-nismo...

Documents