contraloría general de la república - direcciÓn ... · web viewtal situación cobra vital...

INFORME No. DFOE-SO-49-200516 de diciembre, 2005

DIVISIÓN DE FISCALIZACIÓN OPERATIVA Y EVALUATIVA

ÁREA DE SERVICIOS SOCIALES

INFORME SOBRE LA GESTIÓN DE TECNOLOGÍAS DE INFORMACIÓN DEL INSTITUTO MIXTO

DE AYUDA SOCIAL (IMAS)

2005

CONTENIDO

No. de página

RESUMEN EJECUTIVO

1. INTRODUCCIÓN. 1

1.1. Origen del estudio. 1

1.2. Objetivo y Alcance del Estudio. 1

1.3. Generalidades. 2

1.4. Comunicación verbal de los resultados. 3

2. RESULTADOS. 3

2.1. Ausencia de una estrategia de desarrollo informático y de un marco de políticas sobre la gestión de tecnologías de información. 3

2.2. Deficiencias de control interno relacionadas con la gestión de tecnologías de Información 6

2.3. Debilidades de control detectadas en la Operación del Sistema de Población Objetivo (SIPO) 10

3. CONCLUSIONES. 17

4. DISPOSICIONES. 18

Al Consejo Directivo del Instituto Mixto de Ayuda Social (IMAS). 18

Anexo No. 1

Anexo No. 2



INFORME SOBRE LA GESTIÓN DE TECNOLOGÍAS DE INFORMACIÓN DEL INSTITUTO MIXTO

DE AYUDA SOCIAL (IMAS)

RESUMEN EJECUTIVOEn cumplimiento del plan de trabajo, se realizó una evaluación de los controles

generales asociado a la gestión integral de las tecnologías de información y específicos en áreas tales como la administración de servicios prestados por terceros y del aseguramiento de la continuidad de esos servicios, así como del control de acceso y la administración de datos del Sistema de Población Objetivo (SIPO).

Al respecto se determinó que la evolución del desarrollo informático del IMAS ha seguido las pautas iniciales de toda organización que incursiona en la automatización de sus procesos y el uso de la herramienta computacional, es decir la creación de una unidad informática, la dotación de equipos, el establecimiento de una red de comunicaciones y la implementación de algunos sistemas transaccionales; sin embargo, tal desarrollo informático se ha caracterizado por carecer de un direccionamiento estratégico coordinado con la estrategia institucional, de tal forma que se carece de una visión integral y sistémica de la gestión de TI, como elemento coadyuvante en el logro de los objetivos institucionales.

En el momento actual, la asimilación de la herramienta computacional para la automatización de sus procesos y la asignación de beneficios requiere de controles internos asociados a esta gestión sólidos y efectivos, sin embargo los resultados del estudio muestran la carencia de un cuerpo centralizado de políticas organizacionales que regulen la gestión de TI aunque esta cubra transversalmente a toda la organización e intervenga en todos sus procesos y niveles administrativos, incluso en la estructura descentralizada regionalmente, vacío que no puede llenar con la normativa dispersa que regula algunos aspectos operativos de los equipos y sistemas informáticos y que incumple con la responsabilidad de la administración por la emisión de políticas en esta materia establecida en la normativa técnica emitida por este órgano contralor, situación motivada por la labor con interrupciones del Comité Gerencial de Informática y la falta de reglamentación de su operación.

La situación anterior es particularmente palpable en la falta de regulaciones específicas de la acción institucional para contratar a proveedores de servicios de TI, en áreas tales como telecomunicaciones, que establezca las bases para la negociación y que den un sustento sobre los términos y condiciones para los acuerdos de niveles de servicio o mantenimiento que deben lograrse para hacer eficiente y efectiva esa gestión, o en la exigencia de contar con un plan de

2

contingencia informático, por lo que no existe una planificación que garantice la continuidad de la operación de servicios ante la materialización de riesgos o eventualidades inesperadas, lo que involucra una desprotección organizacional en este sentido.

La ausencia de tales políticas redunda en debilidades en aspectos operativos de la gestión como la supervisión poco eficaz sobre los servicios contratados de telecomunicaciones y el mantenimiento de la UPS institucional, este último que es uno de los elementos contingentes que protegen el funcionamiento de los equipos y sistemas informáticos en las oficinas centrales del IMAS que es donde se conservan las bases de datos institucionales que respaldan toda la operación de los sistemas de acción social en el territorio nacional.

Además, en los controles asociados al SIPO se determinaron situaciones que afectan la confiabilidad de la información resultante para la toma de decisiones en aspectos tales como los procedimientos de entrada de datos poco seguros, carencia de soporte de la modificaciones realizadas directamente en el sistema a la información original de las familias, las prácticas no estandarizadas para la distribución y entrega de los formularios en blanco de la FIS y la conservación posterior de los formularios llenos en las gerencias regionales, mecanismos de seguridad y acceso a la base de datos que contienen debilidades operativas, la cantidad importante de FIS desactualizadas contenidas en el sistema y los porcentajes de supervisión de las fichas digitadas con base en técnicas poco apropiadas.

Las situaciones descritas, ausencia de un Plan Estratégico de Tecnologías de Información (PETI) y de un marco de políticas y las debilidades en los controles asociados a la gestión y al SIPO muestran que aunque la herramienta computacional ha entrado a formar parte de los procesos institucionales, su gestión requiere fortalecerse con base en estándares internacionales de mejoras prácticas de esta gestión.

INFORME No. DFOE-SO-49-2005



INFORME SOBRE LA GESTIÓN DE TECNOLOGÍAS DE INFORMACIÓN DEL INSTITUTO MIXTO DE

AYUDA SOCIAL (IMAS)

1. INTRODUCCIÓN.

1.1. ORIGEN DEL ESTUDIO.

El presente estudio se realizó en atención al Plan Anual de Trabajo de la División de Fiscalización Operativa y Evaluativa (DFOE).

1.2. OBJETIVO Y ALCANCE DEL ESTUDIO.

El objetivo definido para este estudio fue el de “Evaluar la efectividad del uso de las tecnologías y sistemas de información como soporte de la gestión institucional y su contribución al logro de los objetivos.”

El estudio se enfocó en la evaluación de controles generales en algunas áreas de la gestión de tecnologías de información (TI) tales como la administración de servicios prestados por terceros y del aseguramiento de la continuidad de esos servicios.

El examen cubrió el periodo comprendido entre el 1º de enero y el 30 de setiembre de 2005, ampliándose en los casos que se consideró necesario.

El trabajo se realizó con sujeción a lo indicado en el Manual sobre normas técnicas de auditoría para la Contraloría General de la República y las entidades y órganos sujetos a su fiscalización y en el Manual sobre normas técnicas de control interno relativas a los sistemas de información computadorizados vigente1.

1.3. GENERALIDADES.

1 Publicado en el Alcance No. 7 a La Gaceta No. 24 del 2 de febrero de 1996.

2

El IMAS fue creado para resolver el problema de la pobreza extrema en el país y es en su ley constitutiva y su reglamento, que se establecen las principales regulaciones de la acción institucional.

La estructura organizacional vigente se diseñó con base en el Plan Estratégico Institucional (PEI) de 1996 y la gestión de TI ha sido fundamentalmente desarrollada por el Área de Desarrollo Informático. Dicha unidad tiene como función general, colaborar en el desarrollo y modernización institucional, mediante la dotación y el mantenimiento de herramientas tecnológicas que agilicen los procesos, para lo cual se ocupa de los sistemas de información, del soporte técnico y de la operación del equipo.

Como parte de la gestión de TI se encuentra la plataforma de “Sistemas de Información para la Acción Social (SIPAS)”, la cual está orientada a cubrir las necesidades de información para cumplir la finalidad institucional, así como para la gestión y control de los recursos disponibles. Para su operación se cuenta con una plataforma tecnológica para comunicar las bases de datos y las fuentes de información mediante, una infraestructura de red a nivel local (edificio central) con conexiones a las 10 gerencias regionales y además a varios Centros de Desarrollo Social (CEDES).

La conexión de red entre el nivel central y las oficinas regionales opera a través de un esquema de Frame-Relay2 y se hace por medio de un enlace dedicado, ubicado entre cada nodo principal de los lugares destinados por la estructura geográfica de comunicación que brinda el ICE y el nodo principal en San Pedro y este a su vez con las oficinas centrales del IMAS. El enlace descrito esta contratado con el ICE, pero últimamente también se han realizado algunos contratos con RACSA como proveedores externos del servicio. También existe una conexión a través de un RAS (Remote Access Server) utilizando línea telefónica conmutada para conectar los CEDES con las oficinas centrales, contratado también con el ICE.

Esta interconexión entre oficinas centrales y las 10 gerencias regionales es necesaria para transferir datos e información, ya que los datos que alimentan los principales sistemas de información se encuentran almacenados en servidores de bases de datos centralizados en la sede principal. Además, se brindan otros servicios adicionales a los sistemas de información que soportan los procesos sustantivos -SIPO-SABEN- y de apoyo –SAP R/3- como son el correo electrónico e Internet que pueden utilizar todos los funcionarios con acceso a un computador, por medio del uso

2 La tecnología Frame Relay o de conmutación rápida de tramas, permite establecer conexiones permanentes del tipo “punto-multipunto” entre empresas o entre puntos descentralizados de una organización. Este protocolo se adapta dinámicamente al tráfico en ráfagas que se generan en las redes de área local (LAN) y al ofrecer los enlaces citados permite al cliente comunicación con múltiples sitios utilizando un único punto de conexión mediante el establecimiento de canales virtuales permanentes (PVC).

3

de líneas dedicadas o conmutadas contratadas también a proveedores externos –ICE y RACSA.

1.4. COMUNICACIÓN VERBAL DE LOS RESULTADOS.

En reunión celebrada el 13 de diciembre de 2005, en las oficinas centrales del IMAS, se comunicaron verbalmente los resultados del estudio a los siguientes funcionarios: Lic. Rodrigo Campos Hidalgo, Gerente General, Lic. Edgardo Herrera Ramírez, Auditor Interno, Lic. Luis Adolfo González Alguera, Coordinador del Área de Desarrollo Informático, Licda. Betzaida Benavides Rivas y Lic. Paúl Soto Zúñiga, funcionarios del Área de Sistemas de Información Social (ASIS).

2. RESULTADOS.

El estudio se enfocó hacia la efectividad del uso de la TI como soporte de la gestión institucional, por medio de la valoración de la suficiencia del control interno asociado a algunos componentes de esta gestión. Sin embargo, en los aspectos estudiados se determinaron debilidades importantes que pueden afectar la contribución de esta gestión en la consecución de los objetivos institucionales. Tales debilidades se exponen seguidamente:

2.1. AUSENCIA DE UNA ESTRATEGIA DE DESARROLLO INFORMÁTICO Y DE UN MARCO DE POLÍTICAS SOBRE LA GESTIÓN DE TECNOLOGÍAS DE INFORMACIÓN.

La relevancia de la gestión de TI como apoyo para la consecución de los objetivos institucionales demanda una planificación estratégica y la existencia de un cuerpo centralizado de políticas que la regule; sin embargo, la administración del IMAS no ha desarrollado ninguno de esos dos elementos, lo cual incide en la calidad de los servicios prestados a los usuarios. Al respecto se determinaron las siguientes situaciones:

a) El IMAS no cuenta con un Plan Estratégico de Tecnologías de Información (PETI) que guíe su desarrollo informático3, el cual debió elaborarse con base en el Plan Estratégico Institucional (PEI), y oficializarse y aprobarse por el Comité Gerencial de Informática (CGI) y por el Consejo Directivo.

Debe acotarse que el Área de Desarrollo Informático preparó un plan tecnológico para el periodo 1999-2001, cuyo objetivo era dotar a la organización de hardware y software básico, así como la implementación de la red institucional y de la

3 Tal situación es contraria a lo que señala la norma 302.03.02 del Manual sobre normas técnicas de control interno relativas a los sistemas de información computadorizados vigente.

4

plataforma tecnológica y de comunicaciones dado que la institución se encontraba en etapas incipientes del desarrollo informático.

La preparación del plan tecnológico en forma independiente del proceso de planeamiento institucional, refleja la descoordinación existente entre la estrategia de desarrollo informático y la estrategia institucional. Además, dicho plan ya sobrepasó el horizonte de planificación bajo el cual fue preparado, por lo que la administración ha recurrido a la inclusión de acciones específicas en el plan anual operativo institucional para cada período presupuestario.

Al respecto se consultó sobre las razones por las cuales no existe un PETI y la principal razón esgrimida fue que la planificación estratégica no ha sido una práctica institucional consolidada4, además de que la inmediatez del fenómeno de la pobreza requiere de una atención urgente, lo cual señalan que se ha traducido en una cultura institucional de programación de corto plazo y que los esfuerzos efectuados en el pasado obedecen a situaciones coyunturales, como es el caso del PEI del año 1996.

Ahora bien, la ausencia del PETI provoca que el desarrollo de los sistemas de información haya obedecido a las ideas y cambios impulsados por diferentes jerarcas, dada la alta movilidad de los funcionarios que han ocupado los puestos gerenciales superiores en la actual administración5, lo cual le ha restado continuidad a las líneas de acción fijadas como prioritarias. Tal situación no contribuye a consolidar un ambiente propicio para la planeación estratégica y para la articulación de estrategias y políticas.

Asimismo, tal ausencia impide contar con un instrumento que defina las prioridades a resolver y la jerarquía de proyectos a desarrollar, lo cual ha posibilitado la importación de sistemas desarrollados en otras latitudes en función de la moda en materia de desarrollo social, o también a las preferencias por la contratación externa o por el desarrollo interno, dependiendo de la administración de turno.

b) La gestión de TI no está fundamentada en un marco de políticas organizacionales que la regulen, pese a tratarse de una gestión que cubre transversalmente a la organización, interviniendo en todos sus procesos y niveles administrativos, además de que tiene un alcance descentralizado por cubrir tanto las oficinas centrales como la estructura regional del IMAS.

4 Según señala el Dr. Pedro Solís Sánchez, Coordinador del Área de Planeamiento y Desarrollo Institucional, mediante oficio No. APDI-068-2005 del 28 de junio de 2005.5 En la presente administración el puesto de Presidente Ejecutivo ha sido ocupado por cinco personas diferentes y el de Gerente General por otros tres funcionarios.

5

Al respecto, existe alguna normativa desperdigada como la introducida para regular el uso de la herramienta computacional en los procesos del negocio6, algunas directrices sobre cuestiones específicas referentes al uso del correo electrónico y la “palabra clave (password)” para accesar los sistemas informáticos institucionales, uso de Internet y otras que obedecen a un enfoque reactivo a los incidentes detectados para evitar que se presenten y no a un desarrollo de un marco de políticas para brindar un soporte y un marco de acción a la gestión de TI.

Lo anterior provoca que aspectos importantes tales como centralización o descentralización de los recursos informáticos, adquisición del hardware y software, prioridades en el desarrollo de los sistemas, la protección de información confidencial, telecomunicaciones, compatibilidad de hardware y software, mantenimiento de equipo, capacitación del personal, así como sobre derechos de autor y propiedad intelectual, documentación de procesos, administración de la configuración, relaciones con terceros proveedores de servicios y otras no tengan un sustento oficial y difundido a toda la organización. Tal situación promueve una falta de vinculación del personal con el desarrollo informático y una ausencia de prácticas que guíen su desempeño, a tal punto que algunos funcionarios han gestado su propia forma de hacer las cosas, por lo que no se da un tratamiento estandarizado que promueva la calidad y la fortaleza del sistema de control interno.

Por lo tanto, el Consejo Directivo y la administración superior del IMAS -Presidencia Ejecutiva y Gerencia General- no han cumplido con su responsabilidad, establecida en la normativa técnica de control interno emitida por esta Contraloría General, sobre la definición y difusión al personal de las políticas relativas a la gestión de TI7, con el auxilio del CGI y de áreas tales como Desarrollo Informático y Planeamiento Institucional, y han sido poco vigilantes en este sentido8.

Otro factor que explica la ausencia de políticas sobre la gestión de TI, lo constituye el funcionamiento con interrupciones que ha venido mostrando el CGI9, debido a que después de su constitución10, dicho comité no ha desarrollado su

6 Reglamento para el uso de PC y sus dispositivos de 1993.7 El jerarca del ente u órgano público con el apoyo del Comité Gerencial de Informática y de la Unidad de Informática, deberá dictar políticas para la administración de los sistemas de conformidad con la norma 302.09 del Manual sobre normas técnicas de control interno relativas a los sistemas de información computadorizados.8 Esta actitud de vigilancia es parte de la responsabilidad del jerarca y los titules subordinados de establecer, mantener, perfeccionar y evaluar el sistema de control interno que señala el artículo 10 de la Ley General de Control Interno.9 La función básica de dicho comité es fungir como grupo asesor en materias tales como adquisición de hardware, asignación y reubicación de recursos informáticos, formulación de políticas, desarrollo del plan estratégico informático, contratación de consultorías, desarrollo de sistemas, capacitación de los funcionarios y elaboración de convenios institucionales.10 Creado mediante acuerdo del Consejo Directivo No. CD-322-98 del 8 de julio de 1998, modificando su integración por acuerdo No. CD-371-98 del 12 de agosto de ese año.

6

trabajo continuamente ya que dejó de funcionar por espacio de casi tres años11, en un periodo en que se estaban dando muchos cambios en materia de TI como fue la instauración y consolidación de la plataforma SIPAS y el desarrollo de consultorías externas importantes, por lo que en algunos momentos la función del CGI fue reemplazada por la administración superior o hasta por consultores externos contratados.

Además el CGI tampoco cuenta con un reglamento que lo respalde aprobado por el Consejo Directivo y comunicado a la Administración. Para efectos de regular su funcionamiento, el CGI preparó un proyecto de reglamento 12, que fue de conocimiento y discusión de ese órgano colegiado13, el cual no fue aprobado en razón de las objeciones hechas en esa sesión y la necesidad de introducir algunos cambios, por lo que se indica en el registro del acta que se votaría en una sesión posterior, sobre lo cual de acuerdo con las indagaciones practicadas en la secretaría de actas de ese órgano y en las actas del CGI, no consta aprobación alguna sobre dicha reglamentación.

Sin embargo, el impacto de no contar con tal soporte reglamentario no inhibe al CGI, de cumplir con las responsabilidades que sobre la emisión de políticas relativas a los sistemas de información le señala la normativa de control interno citada, ya que cuenta con el respaldo de su constitución formal y además, ese proyecto ha funcionado en la práctica como el marco regulador de su acción.

2.2. DEFICIENCIAS DE CONTROL INTERNO RELACIONADAS CON LA GESTIÓN DE TECNOLOGÍAS DE INFORMACIÓN.

a) La gestión de TI del IMAS no cuenta con un plan de contingencias que detalle los procedimientos para la seguridad física y operacional del equipo y de la información que garantice la continuidad de la prestación de los servicios de la plataforma SIPAS ante la materialización de riesgos o eventualidades inesperadas que afecten su funcionamiento.

La elaboración de este plan es función del área de Desarrollo Informático acorde con lo que señala al respecto el PAO 200514, por lo que esta

11 Según consta en los volúmenes de actas oficiales del CGI evidencia que sesionaron casi regularmente desde el 10 de julio de 1998 hasta el 29 de agosto de 2000, interrumpiendo sus labores en esa fecha y reiniciando en fecha 24 de febrero de 2003.12 Denominado “Reglamento Interno del Comité Gerencial de Informática del Instituto Mixto de Ayuda Social”.13 Acta de sesión ordinaria del Consejo Directivo No. 051-2000 celebrada el 5 de julio de 2000 (artículo sétimo).14 El PAO 2005 le asigna a esta área como función lo siguiente: “Formular, ejecutar y supervisar el Plan de Desarrollo Informático Institucional, promoviendo la inclusión de la informática dentro de la cultura institucional, así como elaborar un plan de contingencia y velar porque se cumpla de acuerdo con las necesidades.”

7

unidad incurre en incumplimiento de esta responsabilidad que es de vital importancia para ese Instituto, ya que una interrupción de los servicios de TI no debe afectar los procesos institucionales.

En el momento actual la práctica principal establecida con que se cuenta, es el respaldo de la continuidad del suministro de energía eléctrica ante fallas, por medio de la UPS en oficinas centrales, con el objeto de garantizar el funcionamiento sin interrupciones de los equipos y sistemas informáticos, así como su protección física y de la información; aún así, esta medida de protección, debe formar parte de todo un plan de prevención y recuperación establecido formalmente, por lo que se incumple lo estipulado por la normativa técnica del órgano contralor15 en esta materia.

El no contar con un plan de este tipo que señale claramente los roles y responsabilidades, las actividades relacionadas con el plan de continuidad, la identificación clara de los procesos y recursos críticos y el tiempo requerido para su restauración, entre otros componentes que demanda un plan de esta naturaleza, tiene como consecuencia un riesgo para la institución.

Tal situación cobra vital importancia en el caso de las telecomunicaciones, ya que este servicio lo requiere el IMAS para la interconexión entre oficinas centrales y las oficinas regionales necesaria para la transmisión de los datos que alimentan los principales sistemas (SIPO, SABEN, SAP R/3) que se encuentran almacenados en servidores de bases de datos centralizados en la sede principal, por lo que es necesario que el servicio sea eficiente e ininterrumpido. Sin embargo, las cláusulas que se encuentran en los formatos preimpresos no garantizan el servicio ininterrumpido, en estos casos la administración debe cuestionarse este tipo de cláusulas porque son negociables con el proveedor, sin embargo se aceptan como una característica del servicio que no pueden tener cambios.

b) La supervisión sobre el desempeño de los proveedores en el área de telecomunicaciones y mantenimiento de la UPS institucional es poco eficaz, producto de las siguientes situaciones:

i. La ausencia de regulaciones específicas sobre la administración de estos servicios y el aseguramiento de la continuidad en su prestación, que establezcan los límites de acción institucional para su contratación, negociación de condiciones y para supervisar su desempeño, particularmente en esta última área, consolidados en estándares técnicos que permitan evaluarlo.

15 Ver norma No. 305.07 del Manual sobre normas técnicas de control interno relativas a los sistemas de información computadorizados.

8

ii. La posición de la administración al asumir como políticas sobre la prestación de estos servicios16, lo que estipulan los contratos de los proveedores17. Al respecto, esas son las condiciones del servicio que establece el proveedor y en varios casos se determinó que se trata de contratos de adhesión, sobre los cuales aceptan las condiciones como fijas y sin posibilidad de negociación, previamente a la firma del contrato, lo cual afecta la supervisión ya que se asume que cualquier desperfecto, avería o interrupción, es parte de las condiciones de servicio y sobre las cuales la administración no tiene mayor injerencia.

Ahora bien, aunque la administración esgrime esta tesis. al tomar lo indicado en tales contratos como marco regulatorio, aún así, quedan vacíos en materia de sanciones por bajo desempeño del proveedor, el tipo de reportes de servicio que deben prepararse para monitorear el desempeño de los proveedores, y aspectos medulares sobre requerimientos de seguridad y garantías de confidencialidad, así como el derecho a acceso y a auditar, asuntos que deben estar normados vía políticas específicas.

iii. La inexistencia de un registro centralizado de contratos vigentes en el Área de Desarrollo Informático que sirva de bitácora para efectos de supervisión técnica de su desempeño con apego a las cláusulas que amparan el servicio, dado que dicha área solo interviene bajo un enfoque reactivo ante interrupción en el servicio o ante quejas de los usuarios.

Tal situación se comprueba en que no se mantiene un archivo de reportes de averías en telecomunicaciones18, lo cual induce a que la administración no realice un análisis de lo que ocasionó tales averías o analizar el comportamiento de la ejecución del servicio para la toma de decisiones sobre cambio de proveedor o efectuar reclamos por incumplimiento, ante la ausencia de un control pormenorizado de dichas averías, lo cual va en contraposición de un adecuado monitoreo de los contratos y que también se verifica en el caso del contrato de mantenimiento de la UPS institucional. Para este contrato es particularmente riesgoso el tipo de supervisión que se realiza en virtud de que este dispositivo garantiza el funcionamiento sin interrupciones de los equipos y sistemas informáticos, ya que aunque existe un funcionario en la unidad informática encargado de la

16 Los servicios contratados a proveedores se refieren básicamente al arrendamiento de líneas de telecomunicaciones para la conexión tipo frame relay entre el edificio central y las oficinas regionales, otros servicios de comunicación a través del sistema “Red Digital de Servicios Integrados (RDSI), accesos a Internet con líneas dedicadas para toda la red institucional en el territorio nacional y también mediante acceso conmutado; así como el mantenimiento de la UPS institucional (fuente de poder).17 Según se indica en nota No. ADI-163-2005 del 30 de agosto de 2005 suscrita por el Lic. Luis Adolfo González Alguera, Coordinador del Área de Desarrollo Informático.18 Ante solicitud de los reportes de averías, el Lic. González Alguera, Jefe del Área de Desarrollo Informático, indicó en oficio No. ADI-167-2005 del 8 de setiembre de 2005 lo siguiente: “Por su parte los servicios de reportes de averías en telecomunicaciones son atendidos por parte de los proveedores en sus equipos centrales y los reportes de dichas averías se llevan por parte del proveedor y por su naturaleza no son remitidos a la Institución.”

9

responsabilidad técnica por la ejecución del servicio contratado, se desprende de la revisión de los informes de visita técnica de la empresa Electrotécnica, S.A.19, realizados entre el mes de enero y agosto de 2005, que la misma ha venido realizando recomendaciones como mantener la capacidad en un 80% por que la han encontrado con cargas que oscilan entre un 85% y un 97% y como medida urgente cambiar las baterías para evitar un fallo total de las mismas, lo cual no se ha implementado.

iv. La custodia de los contratos por los servicios citados no se encuentra centralizada en ninguna dependencia administrativa del IMAS, lo cual también afecta la supervisión de ejecución y el desempeño del proveedor.

Sobre el particular, se determinó que la responsabilidad sobre la custodia de los contratos que brindan tanto el ICE como RACSA se encuentra diluida producto de que no está asignada a la Asesoría Jurídica General, ni a la Gestión Administrativa ni en el Área de Desarrollo Informático, razón por la cual para poder tener una certeza de los contratos vigentes hubo necesidad de solicitarlos directamente a los proveedores y con base en la información proporcionada por ellos pedir su búsqueda a la Gerencia General, dado que las tres unidades citadas en el párrafo anterior indicaron que no era su función tal custodia.

Las situaciones anteriores redundan, como se indicó al inicio de este punto en una supervisión poco eficaz sobre la ejecución de contratos y el desempeño de los proveedores, lo cual incide en que no se retroalimente la administración de servicios prestados por terceros y se incluyan condiciones relacionadas sobre acuerdos de niveles de servicio o mantenimiento, solución de problemas, sanciones por bajo desempeño, procesos de disolución y modificación, reportes de servicios, asignación de funciones para las partes, aseguramiento de la continuidad del servicio, duración del contrato, requerimientos de seguridad, garantías de confidencialidad y derecho a acceso y a auditar.

c) Los contratos firmados con RACSA y el ICE para la prestación de servicios de telecomunicaciones no fueron revisados ni aprobados por ninguna dependencia del IMAS.

Tales contratos, citados en el Anexo a este informe, se caracterizan por tratarse de contratos de adhesión por cuantía inestimable20, en donde la administración del IMAS actúa como un usuario más del servicio que prestan esos proveedores, los cuales son parte también de la Administración Pública y actúan bajo

19 Contrato No. 055-2002 STP del 10 de mayo de 2002 y addendum posterior de fecha 26 de marzo de 2003, vigentes al periodo de estudio.20 Son contratos que no puede estimarse de antemano a cuánto ascenderá el monto, ya que por la naturaleza de su objeto o por la forma de pago, se hace imposible para la administración tener claramente definido previo a la ejecución contractual, el precio del contrato.

10

condiciones de monopolio, por lo que casi no se ejercita un poder de negociación sobre las condiciones de servicio y están sujetos al pago de una tarifa periódica.

En relación con esos contratos no existe en los archivos de la Asesoría Jurídica del IMAS, documentos en los que consten criterios o análisis jurídicos que se hayan realizado sobre ellos, para determinar que estos contratos se ajustan al ordenamiento jurídico vigente en esta materia21 por considerar que no estaban sujetos a revisión y aprobación por la Asesoría Jurídica u otra dependencia interna nombrada al efecto, según lo establecido en el artículo 8 del Reglamento sobre el Refrendo de las contrataciones de la Administración Pública, dado que no son sujetos a refrendo contralor.

Al respecto, de acuerdo con criterio externado por la Unidad de Autorizaciones y Aprobaciones del órgano contralor22, tales contratos constituyen una excepción dentro del Reglamento citado. Con base en lo anterior podría interpretarse que como no están sujetos al refrendo contralor, no deben cumplir con lo que estipula el artículo 8 de ese reglamento, de contar con un visto bueno de la asesoría jurídica o en su defecto de otra unidad asignada al efecto por el jerarca para hacer constar la conformidad del contrato con el ordenamiento jurídico, o del artículo 9 de que aquellos contratos no sujetos a refrendo en las condiciones establecidas en el artículo 2 aparte 1, que al menos deben contar con la aprobación de la unidad interna nombrada al efecto.

Sin embargo, de conformidad con lo establecido por el numeral 8, literal a) de la Ley General de Control Interno, aún así la administración del IMAS está en la obligación de establecer controles de legalidad en las obligaciones asumidas por la institución, ya sea mediante aprobación interna u otros mecanismos.

2.3. DEBILIDADES DE CONTROL DETECTADAS EN LA OPERACIÓN DEL SISTEMA DE POBLACIÓN OBJETIVO (SIPO).

El SIPO está concebido como un registro social de la población en situación de pobreza y pobreza extrema, tiene cobertura nacional y opera en forma desconcentrada en las gerencias regionales y para el IMAS constituye la base informativa más importante para la implementación de programas en beneficio de esa población. En relación con la operación de este sistema se detectaron las siguientes debilidades:

a) El diseño de algunos controles en los procedimientos de entrada de datos al sistema presenta debilidades que van en detrimento de la confiabilidad en la información resultante.

21 Según se evidencia en nota No. AJ-1480-2005 del 18 de octubre de 2005.22 Mediante oficio No. DI-AA-2573 del 15 de noviembre de 2005.

11

i. Se detectó una concentración de funciones incompatibles en el procedimiento de ingreso de datos cuando se permite que un digitador asuma la función de revisor en situaciones especiales que no se encuentran debidamente especificadas en el “Manual de revisión de la FIS/FISI”.

Los datos que ingresan al SIPO se recolectan a través del formulario denominado “Ficha de Información Social (FIS)”, el cual se encuentra estructurado en cincuenta y seis variables y con base en ellas se obtiene una descripción general de la situación socioeconómica de las personas y familias registradas.

En forma previa al ingreso de los datos se ejecuta un proceso de revisión manual de la ficha llenada por el entrevistador en el campo, por un “revisor” nombrado para esta tarea, el cual ante errores detectados y en razón de su importancia, puede requerir su devolución al entrevistador para que los corrija en el campo o simplemente lo hace sobre el documento y una vez corregidos firma la ficha para aprobarla.

Al respecto, el procedimiento permite que un digitador revise, autorice y digite una ficha, incurriendo así en pérdida de confiabilidad por esa concentración de funciones incompatibles, debido a que el digitador podría estar autorizando información errónea o irregular en su rol de revisor. Además, puede digitar el código del revisor, por lo que estaría en capacidad de ocultar su rastro por medio de la inclusión del código asignado a otro funcionario.

Es importante considerar la posibilidad de que un error o una irregularidad cometida bajo estas condiciones puede no ser detectada en función de que las revisiones posteriores, contempladas en los procedimientos denominados “evaluación de la digitación” y “supervisión”, se llevan a cabo por muestreo, por lo que el riesgo está determinado por los porcentajes establecidos para la revisión de las fichas en los procedimientos citados. Tal posibilidad, que una ficha adulterada o conteniendo información errónea o irregular sea digitada y no se detecte va en detrimento de la fortaleza de los controles de preparación de entrada de datos al sistema y en la confiabilidad de la información resultante.

ii. El número preimpreso de la FIS no se utiliza como base de registro e identificación para la referencia cruzada entre el documento fuente y el registro electrónico de los datos.

No obstante que los formularios tienen numeración consecutiva preimpresa, dicho número no tiene asignado un campo en la base de datos ya que el número que se digita es el denominado “folio nacional” que es la numeración consecutiva asignada por el sistema a un registro; sin embargo, dicho folio no

12

posibilita la búsqueda del documento físico al no existir cruce entre este folio y el número preimpreso. Este último se utiliza únicamente para el control de documentos en blanco en la distribución de formularios entre las diferentes gerencias regionales en oficinas centrales.

b) Los controles diseñados para soportar las modificaciones posteriores directamente realizadas en el SIPO sobre los datos de la FIS originalmente digitada carecen de puntos esenciales como la documentación de procesos y el rastreo en la bitácora del sistema.

Al respecto, se verificó que la ficha original incorporada en el sistema está soportada con base en el documento físico archivado en la gerencia regional respectiva, pero a esta primera información se le pueden realizar modificaciones parciales que conllevan una actualización de algunas variables, que inclusive pueden impactar el puntaje asignado por el sistema a la familia, o modificaciones menores. Sobre el particular, algunas actualizaciones parciales requieren documentos que avalen los cambios como constancias o certificaciones pero el diseño del control no contempla un documento físico en donde consten los cambios que se introducirán al sistema como soporte de esas modificaciones y el nombre o firma del responsable que los autoriza, como si se hace para la FIS original.

Por otra parte, es hasta el mes de marzo de 2004 que se incorpora al SIPO una bitácora que lleva un registro automático de los movimientos que se efectúan sobre la información de una ficha directamente en el sistema, pero para todas aquellas fichas digitadas que se le han introducido cambios antes de ese mes no es posible rastrearlos. No obstante la existencia de este punto de control, su diseño no contempla un procedimiento de revisión, lo que le resta efectividad, dado que la existencia de un mecanismo automático debe complementarse con la revisión y análisis de la información proveída por ese mecanismo para determinar incongruencias.

Asimismo, el sistema únicamente puede brindar un “reporte de imagen” de la ficha original y de la última, es decir la versión actualizada que contiene cualquier cambio o la suma de cambios realizados y la bitácora mencionada brinda un listado de los cambios indicando variable, operación efectuada, resultado, usuario que realizó la operación y fecha pero no se está en posibilidad de solicitar al sistema un reporte de imagen intermedio a una fecha específica, tal reporte no está en capacidad de procesarlo.

Lo anterior, no permite dar un seguimiento en el tiempo a los diferentes cambios en la condición de la familia registrada en el sistema a raíz de las modificaciones introducidas, que reflejen la situación familiar en diferentes momentos en el tiempo, con el objeto de realizar estudios del impacto de los subsidios o ayudas otorgadas sobre la condición familiar, dado que el sistema lo que brinda en un reporte

13

de imagen es el último valor actualizado o mediante la información que brinda la bitácora realizar una reconstrucción de datos manual a una fecha específica.

c) Las prácticas para el control de la entrega de los formularios FIS y los periodos de conservación de las fichas llenas no son uniformes en todas las gerencias regionales ni se encuentran estandarizadas.

No obstante la existencia en oficinas centrales de medidas de control tales como distribución contra pedido con anotación de los bloques de numeración consecutiva entregados a cada gerencia, estas han optado ante la ausencia de mecanismos oficiales y difundidos, por implementar sus propias medidas para la custodia de los formularios en blanco, su entrega a los profesionales ejecutores y la devolución de los formularios llenos, inutilizados o anulados.

La falta de estandarización conlleva a que los riesgos asociados de pérdida de formularios o su utilización para propósitos irregulares no estén cubiertos de la misma forma en todas las gerencias regionales, en casos tales como la existencia o no de inventarios periódicos de los formularios existentes en custodia en la gerencia, CEDES y profesionales del área de atracción de cada regional, que la entrega de formularios en blanco y la recepción de los llenos se controle utilizando diferentes métodos y formularios no uniformes, situaciones que debilitan la efectividad del control.

Por otra parte, aunque existe normativa legal que define el periodo de conservación en archivo de los documentos, en el nivel regional existe confusión acerca del periodo que deben conservarse las fichas en el archivo de cada gerencia regional y cuando deben trasladarse al archivo pasivo institucional. En consecuencia, algunas regionales mantienen todas las fichas digitadas y otras hacen traslados parciales con base en prácticas establecidas por ellas al archivo central, sin que medie coordinación entre el nivel central y regional para administrar el flujo de documentos y planear las necesidades de espacio físico para archivo. La situación descrita obedece a la falta de una definición de una política para el manejo y conservación de los formularios que soportan la información en el sistema, que sea aplicada uniformemente por las gerencias regionales.

d) Los mecanismo de seguridad y acceso a la información de la base de datos del SIPO contienen debilidades tales como las que se citan a continuación:

i. El no registro de la hora y fecha en que un usuario ingresa o sale de la aplicación, lo cual no permite tener información acerca de patrones irregulares en el comportamiento de los usuarios como ingresos en horas o días no hábiles, por lo tanto su ausencia impide mostrar transacciones de origen irregular o hasta la suplantación de usuarios lo cual posibilita accesos no autorizados o la divulgación de información no autorizada.

14

ii. La no desactivación automáticamente de una cuenta de usuario luego de un determinado número consecutivo de intentos fallidos de acceso. Dicha situación posibilita que personas no autorizadas que conozcan un código de usuario traten, mediante prueba y error de posibles claves, de acceder al sistema en múltiples intentos, sin que este lo desactive al no existir ese mecanismo.

iii. No se encuentra activa una bitácora donde se registren tanto los accesos exitosos como fallidos al sistema, por lo que no existe un registro que permita mostrar si se ha tratado de vulnerarlo por medio de la prueba de claves de acceso genéricas o personas que intentan acceder al suplantar usuarios reales.

iv. La inexistencia de regulaciones específicas sobre la creación de perfiles de usuario produjo que tres funcionarios23, programadores del Área de Desarrollo Informático, tienen a su vez asignado el perfil de usuario denominado “Gerentes_SAB”, el cual tiene privilegios de inserción y modificación sobre las principales tablas de la base de datos en producción de SIPO, lo cual debilita al control al no contar con una segregación de funciones incompatibles basada en la práctica de que los programadores no deben tener este tipo de accesos para evitar cualquier manipulación de datos.

e) Existe una cantidad importante de fichas FIS que no están vigentes en el sistema y que requieren ser actualizadas y con base en las cuales se toman decisiones sobre el otorgamiento de beneficios.

De conformidad con la información suministrada por la Subgerencia de Desarrollo Social24, la cual se encuentra resumida en el Anexo No. 2, a junio de 2005 existía un total de 150.261 FIS no vigentes, que representan un 53% del total de fichas incluidas en el SIPO, 81.349 que tenían entre 1 y 3 años de aplicadas (29%) y 52.323 con menos de 1 año de aplicadas (18%) del gran total de 283.933 incluidas en el SIPO.

Del total de fichas no vigentes, 26.173 corresponden a familias ubicadas como prioritarias por localización geográfica las cuales se verían afectadas pues de acuerdo con la normativa interna25 no podrían recibir beneficios. Además, debe tomarse en cuenta que un 37% de las FIS se encuentran entre 1 y 3 años de aplicadas, lo cual las convierte en un grupo que tiene un vigencia más o menos próxima a su vencimiento.

23 De acuerdo con las pruebas realizadas los siguientes tres funcionarios tienen perfil Gerentes_SAB: Carlos Barberena Gálvez, Carlos Chavarría Rodríguez y Marcos Solís Castillo.24 Mediante oficio No. SGDS-1022-07-05 del 11 de julio de 2005.25 Reglamento para la prestación de servicios y el otorgamiento de beneficios del IMAS.

15

La situación descrita afecta el cumplimiento de los objetivos institucionales de combate a la pobreza debido a la importancia que tiene la base de datos del SIPO como elemento para la toma de decisiones y por su naturaleza de elemento básico para el otorgamiento de beneficios.

f) El fundamento técnico para la escogencia de la muestra del 10% de las fichas para la validación de los datos del SIPO, mediante el procedimiento de supervisión, es incorrecto pues se fundamenta en el porcentaje utilizados para encuestas.

Como parte de los procedimientos establecidos en el Manual de revisión, supervisión y evaluación de la digitación de la FIS/FISI de agosto de 2004, se establecieron los porcentajes de formularios que son seleccionados del total que están siendo digitados y sobre los cuales se aplican los procedimientos descritos en dicho manual. Al respecto se consultó sobre las razones técnicas que fundamentan la definición de estos porcentajes, sobre lo que se indicó lo siguiente26:

“Respecto al punto a) y en lo que respecta al fundamento técnico que respalda el porcentaje de supervisión establecido, este fue definido en consenso con las coordinadoras de los equipos de Planeamiento e Información Social (EPIS), que son las responsables de efectuar la supervisión de las FIS aplicadas en el área de cobertura de la Gerencia Regional. El citado porcentaje se estableció tomando en cuenta los siguientes aspectos:/1. Según consulta realizada al personal encargado de la encuesta de Hogares de Propósitos Múltiples, el Instituto Nacional de Estadística y Censos de Costa Rica, determina un 5% de supervisión en terreno para las entrevistas realizadas. Por otro lado según informa este mismo instituto, el Instituto Nacional de Estadística de España, define un 2.5% se supervisión para la Encuesta Nacional de la Población Económicamente Activa. Como se puede observar, el IMAS supera el porcentaje de supervisión requerido (según el criterio de las instituciones expertas en el tema), por lo que es factible garantizar un adecuado nivel de confianza con el porcentaje de 10% ya establecido. /2. La supervisión debe ser oportuna y efectuarse en un corto plazo luego de aplicada la FIS (al respecto se establece un plazo máximo de dos meses), con el fin de poder detectar posibles errores de aplicación y retroalimentar a los entrevistadores, sobre todo si éstos son nuevos. Idealmente, para un mejor aprovechamiento de la supervisión, esta debería realizarse entre una y dos semanas después de aplicadas las fichas. Lo anterior fue remitido por el MSc. Juan Carlos Laclé, Sub Gerente de Desarrollo Social a.i. al Consejo Directivo el día 3 de mayo del presente (sic), mediante oficio SGDS-633-05-05.”

26 Oficio ASIS- 198-10-05 del Área de Sistemas de Información Social.

16

En relación con la transcrito, no debe perderse de vista que la encuesta es un procedimiento utilizado para obtener información mediante preguntas dirigidas a una muestra de individuos representativa de la población o universo, de forma que las conclusiones que se obtengan puedan generalizarse al conjunto de la población siguiendo los principios básicos de la inferencia estadística, pero en el caso del SIPO la base de datos no es alimentada por medio de encuestas, sino a través de fichas que contienen información sobre familias e individuos específicos, dado que conceptualmente el SIPO está definido como un registro de la población potencialmente beneficiaria de los programas y proyectos sociales que ejecuta el IMAS, mediante el cual es posible su identificación, ubicación y caracterización, así como su calificación por niveles de pobreza y puntaje27, por lo tanto, el objetivo o naturaleza del SIPO es distinto al de una encuesta sobre la población pobre del país, y entonces es cuestionable la pertinencia de emplear porcentajes de supervisión de fichas con base en la validación de información obtenida utilizando la técnica de encuesta.

En concordancia con lo anterior, algunos miembros del Consejo Directivo expresaron dudas sobre el porcentaje de supervisión de fichas cuando se procedió a analizar la recomendación de la Subgerencia de Desarrollo Social28

referente al cambio del porcentaje de un 20% a un 10%, ante lo cual se solicitó un informe sobre SIPO que contemplara aspectos de interés tales como la situación actual del proceso de supervisión y los controles existentes y del proceso de digitación incluyendo la revisión y validación.

Sin embargo, el cuestionamiento sobre los porcentajes de supervisión y la presencia o ausencia de elementos de control interno en el denominado “Reglamento para regular la administración, el funcionamiento y el uso de la información del sistema de información de la población objetivo (SIPO)”, ha continuado y no se ha llegado a una conclusión sobre los cambios a los porcentajes de supervisión.

Lo expuesto cobra significativa importancia, en el tanto la información recopilada por el instrumento FIS y su calificación mediante el método del puntaje, a través de los algoritmos programados en SIPO, pueden eventualmente ser utilizados como herramienta de decisión para autorizar la erogación de fondos del erario público. En virtud de lo anterior, los mecanismos de validación de la información recopilada, son fundamentales para asegurar la veracidad y confiabilidad de los datos

27 En el Reglamento para regular la administración, el funcionamiento y el uso de la información del Sistema de Información de la Población Objetivo (SIPO) se indica que permite focalizar la población pobre que habita en el territorio nacional, con el fin de apoyar a las instituciones públicas y privadas a orientar la inversión social y disminuir la pobreza, logrando así una visión homologada entre las diferentes instituciones que administran programas de índole social.28 Recomendación incluida en el oficio No. SGDS 633-05-05 del 3 de mayo de 2005 (acta No. 038-05 del 19 de mayo de 2005).

17

recabados, situación que no parece cumplirse dado los cuestionamiento al fundamento técnico de la escogencia del porcentaje y a la dudas esgrimidas por el Consejo Directivo.

3. CONCLUSIONES.

El estudio realizado sobre la gestión de tecnologías de información permitió mostrar que el desarrollo informático del IMAS siguió una tendencia evolutiva similar a la de otras instituciones públicas, que se caracterizó por el uso incipiente de las tecnologías de información mediante la dotación básica de hardware y software y la implementación de una plataforma para la interconexión entre las oficinas centrales y el nivel regional debido a que las bases de datos institucionales se encuentran físicamente alojadas en servidores ubicados en la sede central de la institución pero que se alimentan de la operación regional; además conforme la cultura de la organización se ha impregnado del uso de la tecnología, esta soporta cada vez más procesos institucionales

En tal sentido, el desarrollo de la TI a partir de 1996 se ha caracterizado por la inexistencia de un plan estratégico coordinado con la estrategia institucional por lo que se ha guiado bajo un enfoque reactivo a las circunstancias del entorno y tampoco se ha consolidado con el desarrollo de un cuerpo centralizado de políticas que regule su accionar cotidiano, lo cual ha afectado las manifestaciones operativas de esta gestión en campos como la supervisión de los servicios contratados a proveedores y el papel tanto del Área de Desarrollo Informático como del Comité Gerencial de Informática en la promulgación y difusión de políticas y regulaciones específicas y el fortalecimiento de controles.

Por consiguiente, los resultados de este estudio evidencian la necesidad de fortalecer controles para evitar un detrimento de la efectividad del uso de las TI en la gestión institucional y como esta es integral y transversal a toda la institución, el impacto de las debilidades encontradas en esa gestión en forma integral y en la

18

operación del Sistema de Población Objetivo (SIPO) tiene implicaciones que afectan su contribución al logro de los objetivos.

Entonces, para efectos de contribuir a fortalecer esta gestión es imprescindible que el IMAS implemente medidas y prácticas de control que lo fortalezcan en campos como la planeación para la prevención de contingencias y la supervisión del desempeño de los servicios contratados a proveedores, y sobre todo al SIPO como sistema crucial para el otorgamiento de beneficios a la población en condición de pobreza y pobreza extrema en aspectos como los procedimientos para la entrada de datos, soporte de las modificaciones a la condición de las familias en el sistema, prácticas estandarizadas para la distribución de los formularios FIS y la conservación y archivo de los documentos fuente en las gerencias regionales, dotación de mecanismos de seguridad y acceso a la base de datos, actualización de las fichas no vigentes y los porcentajes establecidos para la supervisión de las fichas digitadas, todo con miras a fortalecer la confiabilidad de la información y el proceso de toma de decisiones con base en la información generada por esta gestión.

Por lo tanto, de la ejecución de este estudio se concluye que se ha venido incrementando la utilización de las TI en el IMAS pero que estas requieren de toda una normativa técnica estandarizada con base en las mejores prácticas internacionales que soporte su utilización y desarrollo a futuro y fortalezca el control interno de esta gestión para que continúe apoyando a la administración en forma creciente y efectiva.,

4. DISPOSICIONES.

Esta Contraloría General, como órgano de control superior de la Hacienda Pública, emite las siguientes disposiciones, las cuales, de acuerdo con los artículos 4 y 12 de su Ley Orgánica, No. 7428, y 10 y 12 de la Ley General de Control Interno, No. 8292, son de acatamiento obligatorio para los entes y órganos a los cuales van dirigidas.

Esta oficina se reserva la posibilidad de verificar, mediante los medios que considere pertinentes, la efectiva implementación de las disposiciones emitidas, así como de valorar la aplicación de los procedimientos administrativos que correspondan, en caso de incumplimiento injustificado de tales disposiciones.

AL CONSEJO DIRECTIVO DEL INSTITUTO MIXTO DE AYUDA SOCIAL (IMAS).

Ordenar que se cumpla lo siguiente:

a) Elaborar en un plazo de seis meses, un Plan Estratégico de Tecnologías de Información (PETI) con base en el análisis y replanteamiento que se está

19

realizando del Plan Estratégico Institucional (PEI), que aborde componentes tales como la visión y misión, objetivos estratégicos del desarrollo informático y los proyectos informáticos a desarrollar ubicados por jerarquía y prioridad, tanto aquellos relacionados con el hardware como en el contexto de la arquitectura de sistemas y soluciones tecnológicas a necesidades institucionales . Ver punto 2.1 a).

b) Confeccionar en un plazo de seis meses, una propuesta de políticas en materia informática que se refieran al menos, a la gestión de calidad de los servicios, riesgo y seguridad, implementación y mantenimiento de hardware, software e infraestructura, administración de proyectos, configuración e instalaciones y otros componentes de la gestión de TI . Asimismo, se debe revisar y actualizar el reglamento propuesto del CGI, para que ambos documentos sean discutidos y aprobados por ese Consejo Directivo en procura de que el IMAS cuente con políticas oficiales difundidas al personal y el CGI disponga de un instrumento que regule su funcionamiento,. Ver punto 2.1 b).

c) Preparar en un plazo de seis meses, un plan de contingencias que detalle los procedimientos para la seguridad física y lógica de los equipos y de la información, que garantice la continuidad en la prestación de servicios de la plataforma SIPAS, el cual debe ser analizado por el CGI y aprobado por ese Consejo Directivo, a fin de que la administración cuente con un plan de prevención y recuperación. Ver punto 2.2 a).

d) Establecer en un plazo de seis meses, regulaciones específicas sobre la administración de los servicios y el aseguramiento de su continuidad, en el área de telecomunicaciones y mantenimiento de la UPS institucional, para su contratación, negociación de condiciones y evaluación de su desempeño mediante estándares técnicos, y que además contemplen sanciones por bajo desempeño del proveedor, reportes de servicio y garantías de seguridad y confidencialidad. Asimismo, que se abandone la práctica de asumir las condiciones de los contratos de los proveedores como políticas específicas, todo lo anterior con el objeto de fortalecer la supervisión que debe ejercerse sobre el desempeño de los proveedores contratados. Ver incisos i. y ii. del punto 2.2 b).

e) Diseñar e implementar en un plazo de tres meses, un registro que sirva para supervisar el desempeño de los proveedores mediante el seguimiento de los reportes de servicio y sus recomendaciones y las acciones de seguimiento por el personal que los monitorea a fin de documentar la supervisión efectuada sobre la ejecución de los contratos. Asimismo que la custodia de los originales de los contratos se centralice en una sola dependencia para fortalecer su control. Ver incisos iii y iv del punto 2.2 b).

20

f)Girar instrucciones para que a partir de la fecha de este informe todo contrato relacionado con la prestación de servicios en la gestión de tecnologías de información, en particular los de telecomunicaciones, sean revisados y aprobados por la Asesoría Jurídica General, aunque no sean sujetos al trámite de refrendo contralor. Ver punto 2.2 c).

g) Fortalecer el control en los procedimientos de entrada de datos al sistema, mediante la implementación de las siguientes medidas en un plazo de tres meses: evitar la concentración de funciones incompatibles entre la revisión manual y la digitación y establecer esa incompatibilidad en los manuales respectivos. Asimismo, utilizar el número preimpreso de la FIS como referencia cruzada entre el documento físico y el registro electrónico. Ver punto 2.3 a).

h) Analizar el diseño de los controles para que se fortalezcan mediante las siguientes medidas en un plazo de seis meses: documentar las modificaciones parciales a la información original de la FIS en el SIPO mediante algún documento físico en el que conste la autorización y firma del funcionario autorizado ya que este tipo de modificaciones requiere estudio o verificación en el campo y presentación de documentos, contemplar un procedimiento de revisión asociado a la bitácora, introducir la posibilidad de que se puedan solicitar reportes de imagen de las FIS a fechas específicas. Ver punto 2.3 b).

i)Estandarizar en un plazo de tres meses, las prácticas para el control y distribución de las FIS en blanco y los periodos de conservación de la documentación fuente en las gerencias regionales. Ver punto 2.3 c).

j)Fortalecer los mecanismos de seguridad y acceso a la información de la base de datos de SIPO mediante la implementación de las siguientes medidas en un plazo de tres meses: registro de hora y fecha de ingreso y salida al sistema, desactivación automática de una cuenta de usuario ante varios intentos fallidos, activación de una bitácora que registre los accesos exitosos y fallidos al sistema, definir regulaciones específicas para la autorización de perfiles de usuario y quitar los privilegios de modificación de tablas a los programadores que detentan el perfil denominado “Gerentes_SAB”. Ver punto 2.3 d).

k) Realizar en un plazo de tres meses, un estudio técnico que permita tomar una decisión sobre la actualización del porcentaje de las FIS no vigentes a junio de 2005, a efectos de contar con información actualizada sobre la población objetivo de los programas institucionales. Ver punto 2.3 e).

l)Fundamentar técnicamente en un plazo de tres meses, el porcentaje de FIS que debe verificarse como parte del proceso de supervisión, para efectos de mejorar la calidad de la información. Ver punto 2.3 f).

21

m) Comunicar a esta Contraloría General, en los próximos 15 días hábiles, las medidas adoptadas por ese Consejo Directivo para cumplir las disposiciones anteriores. Además, informar en un plazo de tres meses, los avances en el cumplimiento efectivo de las disposiciones emitidas.

ANEXO No. 1



DETALLE SOBRE CONTRATOS Y ADENDA POR CONTRATOS POR SERVICIOS DE TELECOMUNICACIONES ENTRE

EL ICE – RACSA E IMAS

a) Radiográfica Costarricense S.A. (RACSA):

Identificación Número Clase del Servicio UbicaciónContrato 16976 Internet ConmutadoContrato 27878 Internet ConmutadoContrato 27879 Internet ConmutadoContrato 10062 RacsanetAdenda 19039 RacsanetAdenda C-CC-14-10-04-3430 Puerto Racsanet Oficinas

CentralesAdenda C-CC-07-03-05-3855 Incremento del enlace de

RacsanetOficinas Centrales

Adenda C-CC-14-10-04-3431 Puerto Racsanet y PVC adicional al circuito

Heredia


Aeropuerto Juan Santamaría


Barrio Amón


Oficinas Centrales

b) Instituto Costarricense de Electricidad (ICE):

Número de contrato No. línea dedicada Clase del Servicio700609 194-0105 FRAME RELAY700610 194-0107 FRAME RELAY700611 194-0108 FRAME RELAY700612 194-0109 FRAME RELAY700616 194-0110 FRAME RELAY700606 194-0111 FRAME RELAY700614 194-0113 FRAME RELAY700607 194-0114 FRAME RELAY700618 194-0115 FRAME RELAY700648 194-0120 FRAME RELAY700641 194-0124 FRAME RELAY700643 194-0125 FRAME RELAY

2

Número de contrato No. línea dedicada Clase del Servicio700603 194-0167 FRAME RELAY700640 194-0292 FRAME RELAY700644 194-0293 FRAME RELAY

86504694 194-1218 FRAME RELAY700647 194-2192 FRAME RELAY

86500858 194-4001 FRAME RELAY86224454 195-1830 LINEAS DEDICADAS86223434 202-4000 R.D.S.I

ANEXO No. 2



VIGENCIA DE FIS POR GERENCIA REGIONAL(términos absolutos)

GERENCIA REGIONAL

FIS NO VIGENTES

ENTRE 1 Y 3 AÑOS

MENOS DE 1 AÑO

TOTAL FIS VIGENTES

TOTAL FIS

NORESTE 21659 9632 5709 15341 37000SUROESTE 15415 8227 5186 13413 28828ALAJUELA 15845 6476 3714 10190 26035CARTAGO 18854 8543 5855 14398 33252HEREDIA 11031 4690 4290 8980 20011GUANACASTE 13817 8323 5259 13582 27399PUNTARENAS 10108 9607 5224 14831 24939LIMÓN 17496 7877 5610 13487 30983BRUNCA 18227 11597 7029 18626 36853HUETAR NORTE 7809 6377 4447 10824 18633TOTAL GENERAL 150261 81349 52323 133672 283933

VIGENCIA DE FIS POR GERENCIA REGIONAL(términos relativos)

GERENCIA REGIONAL

FIS NO VIGENTES

ENTRE 1 Y 3 AÑOS

MENOS DE 1 AÑO

TOTAL FIS VIGENTES

TOTAL FIS

NORESTE 58,54% 62,79% 37,21% 41,46% 100,00%SUROESTE 53,47% 61,34% 38,66% 46,53% 100,00%ALAJUELA 60,86% 63,55% 36,45% 39,14% 100,00%CARTAGO 56,70% 59,33% 40,67% 43,30% 100,00%HEREDIA 55,12% 52,23% 47,77% 44,88% 100,00%GUANACASTE 50,43% 61,28% 38,72% 49,57% 100,00%PUNTARENAS 40,53% 64,78% 35,22% 59,47% 100,00%LIMÓN 56,47% 58,40% 41,60% 43,53% 100,00%BRUNCA 49,46% 62,26% 37,74% 50,54% 100,00%HUETAR NORTE

41,91% 58,92% 41,08% 58,09% 100,00%

TOTAL GENERAL

52,92% 60,86% 39,14% 47,08% 100,00%

contraloría general de la república - direcciÓn ... · web viewtal situación cobra vital...

Documents