Un examen del Tribunal de Cuentas revela múltiples deficiencias en la gestión del IS en la AMF (Autoridad de los Mercados Financieros).
Un departamento informático insuficientemente implicado, trabajos de especificación subestimados, múltiples aplazamientos, deficiencias en la adjudicación de contratos públicos… ROSA habrá conservado la atención del Tribunal de Cuentas.
La AMF (Autoridad de los Mercados Financieros) lanzó este proyecto informático en 2017. Objetivo: sustituir la interfaz con los gestores de activos para su aprobación y seguimiento. A finales de 2023 aún no se había completado.
ROSA es sólo un ejemplo de las disfunciones que afectan la gestión informática de la AMF, señala el Tribunal de Cuentas.
Una gestión “demasiado relajada” a pesar de un comité de gobernanza estratégica
Durante mucho tiempo, los proyectos de TI se gestionaron de forma aislada, ya sea por el departamento de TI o por las líneas de negocio. En respuesta, en 2016 se creó un comité de gobernanza estratégica para gestionar los principales acontecimientos. Estaba integrado por los directores operativos, el secretario general y el director de funciones de apoyo. El DSI proporcionó secretaría permanente.
En octubre de 2017, el comité constató un número importante de proyectos lanzados y la baja capacidad para ejecutarlos internamente. Observó un alto nivel de subcontratación (3,4 proveedores de servicios externos por 1 interno). Posteriormente se dedicó principalmente al seguimiento del presupuesto del departamento de TI y parte de los proyectos en curso. Ya no abordó cuestiones más generales relacionadas con la estrategia, la multiplicidad de usos y la gestión de los proveedores de servicios .
En octubre de 2019, una auditoría de una consultora recomendó reforzar la dirección de los proyectos por parte del comité. Ahora es responsable de todos los proyectos por valor de más de 200.000 euros (gerente definido en una carta de misión validada en abril de 2020).
Sin embargo , la supervisión sólo cubrió los programas que el DSI gestionaba directamente . La visión se limitó aún más al costo de los proveedores de servicios externos. Y la atención del comité se centró en el lanzamiento de proyectos más que en su ejecución operativa.
En marzo de 2022, una nueva auditoría concluyó que la información necesaria para la selección de proyectos estaba incompleta. Así como informar debilidades que podrían limitar la visibilidad de los órganos de toma de decisiones.
La AMF, en una situación financiera delicada
En el seno de la AMF, la dirección de los emisores utiliza la extranet de la ONDE para sus interacciones con los distintos stakeholders. Encargado en 2011, fue diagnosticado como tecnológicamente obsoleto en 2020. Siguió un proyecto de rediseño (ADELE).
La DSI optó por un desarrollo específico, en el que un proveedor de servicios debía realizar las especificaciones con el equipo de gestión del proyecto de la dirección de los emisores. Fue la responsable de contratación y gestión. El mercado público elegido (por órdenes de compra) provocó excesos de costes , hasta el punto de que el DSI acabó pasando a un sistema de precio fijo.
A estos sobrecostos se sumó un aplazamiento del proyecto, ligado a restricciones presupuestarias. Durante el período 2017-2023, los límites máximos de recursos asignados al FMA en realidad no aumentaron lo suficiente para cubrir los gastos de inversión . Consecuencia: deducciones del capital circulante y reducción del flujo de caja… que un proyecto inmobiliario acabó consumiendo, dejando a la autoridad en una posición de no poder cumplir sus compromisos, incluso en el ámbito informático.
Los efectos negativos de la organización en la función CISO
Todas las funciones de soporte de la AMF, excepto el departamento de asuntos jurídicos, se agrupan dentro del DRST (departamento de recursos, soporte y transformación). El CISO también está adscrito a él. Es el jefe de un departamento de “ciberseguridad, protección y riesgos” con tres empleados.
Adjuntar al CISO y al CIO al mismo director tuvo efectos negativos . Contribuyó en particular a retrasar la aplicación de las recomendaciones del interesado. Como los –derivados de la auditoría de 2019– sobre la internalización de determinadas funciones, sobre la gestión de los proveedores de servicios informáticos y sobre el control de sus derechos de acceso.
Fue necesaria una reunión, en mayo de 2023, entre el CISO y el director de auditoría interna, por un lado, y el responsable de ética y el asesor jurídico de la AMF, por el otro. La clave son las reglas escritas para gestionar los derechos de acceso de los empleados y proveedores de servicios. A mediados de 2023 se estaba considerando una posible vinculación del CISO al presidente de la AMF.
Un departamento de TI insuficientemente asociado a grandes proyectos
En 2017, debido a una gestión insuficientemente colaborativa del departamento de TI en proyectos anteriores, incluido ONDE, se decidió asignar a algunos de sus empleados a otras direcciones.
Desde entonces, el departamento de TI no siempre tiene autoridad sobre estos empleados, que son una veintena. Sobre todo, se vio marginada en la gestión de proyectos cruciales y en el liderazgo de equipos.
Esto puede haber contribuido al desarrollo de una cartera de proyectos que era “demasiado grande y no priorizada”, sin una consideración suficiente de la capacidad para hacerlo. De ahí un uso muy significativo de proveedores de servicios externos. Su número no disminuyó durante el período 2017-2023: aproximadamente 95 personas, frente a 43 personas que trabajan en el DSI.
Incluso hoy en día, ni el departamento de TI ni el DAF tienen una visión general de toda la nómina de agentes que trabajan en TI. En cuanto a los proveedores de servicios externos, su influencia es tal que parece difícil plantearse separarse de ellos. Su implicación se extiende a la gestión del presupuesto de DSI (coste: 220.000 € en 2023). NetMedia-Francia(CB), traducido al español
Contacto