ministerio de agricultura y ganaderÍa servicio … · 2015-04-21 · en el caso del sistema sidex,...
TRANSCRIPT
MINISTERIO DE AGRICULTURA Y GANADERÍA
SERVICIO FITOSANITARIO DEL ESTADO
Informe de auditoría
resultados de la evaluación A LOS SISTEMAS
SICA, SAUDE, SICOIN, CONTROL DE FIRMAS PARA FRP y SIDEX
Octubre 2013
Una Firma, Un respaldo Web: www.despachocarvajal.com 2
TABLA DE CONTENIDO
Resumen Ejecutivo____________________________________________4
Introducción _______________________________________________ 9
Origen del Estudio_____________________________________ 9
Objetivos del Estudio___________________________________ 9
Alcance del Estudio ____________________________________ 9
Periodo del Estudio_____________________________________ 10
Limitaciones al Estudio__________________________________ 11
Comunicación de Resultados_____________________________ 11
Normativa Técnica Aplicable al Estudio_____________________ 11
Resultados__________________________________________________ 12
Hallazgos_____________________________________________ 12
Control Interno___________________________________ 12
Marco Estratégico y Alineación Estratégica________________ 18
Política Gestión de Calidad_______________________ ______22
Gestión de la Seguridad_____________________________ 25
Segregación de Funciones___________________________ 28
Analista con Acceso a Producción____________________ 31
Clasificación y Resguardo__________________________ 33
Modelo Arquitectura de Información__________________ 35
Registros Contables_______________________________ 37
Administración de Problemas_______________________ 40
Comisión Informática_______________________________ 42
Administración de Datos___________________________ 45
Bitácoras_______________________________________ 47
Contraseña Compartida____________________________ 49
Pruebas por parte del Usuario_______________________ 51
Acceso sin Contraseña_____________________________ 53
Migración de Base de Datos_________________________ 55
Procedimiento para la atención de requerimientos
del sistema SIVUCE II _____________________________57
Percepción de los Usuarios_________________________ 59
Anexo 1. Nivel de Valoración del Riesgo__________________________ 62
Anexo 2. Evaluación Funcional a los Sistemas______________________ 66
Anexo 3. Opinión jurídica emitida por la Unidad de Asuntos Jurídicos
del SFE____________________________________________ 68
Una Firma, Un respaldo Web: www.despachocarvajal.com 3
San José, 07 de Octubre del 2013
Licenciado Henry Valerín Sandino
Auditor Interno
Servicio Fitosanitario del Estado
Estimado licenciado:
De acuerdo con los términos de la contratación (2013CD-000226-10100), promovida por la
Auditoría Interna del Servicio Fitosanitario del Estado a través de la Proveeduría
Institucional y denominada "SERVICIO DE AUDITORÍA INTERNA PARA AUDITAR
SISTEMAS DE INFORMACIÓN AUTOMATIZADO DEL SERVICIO
FITOSANITARIO DEL ESTADO", nos permitimos adjuntarle el informe final sobre la
evaluación de los sistemas automatizados SICA, SAUDE, SICOIN, SIDEX, Control de
Firmas para FRP (Formulario Registro de Firmas); así como los correspondientes hallazgos
y recomendaciones que se lograron determinar.
El presente trabajo ha sido realizado con base en los términos especificados en el cartel y de
acuerdo al desarrollo del programa de trabajo presentado por nuestra representada.
El trabajo ejecutado ha sido basado en el cumplimiento de las “Normas técnicas para la
gestión y el control de las tecnologías de información (N-2-2007-CO-DFOE)” de la
Contraloría General de la República, así como en el cumplimiento de las “Normas
Generales de Control Interno Sector Público (N-2-2009-CO-DFOE)” de la Contraloría
General de la República y en general las mejores prácticas en materia de Tecnologías de la
Información.
Las observaciones del presente informe no van dirigidas a funcionarios o colaboradores en
particular, sino únicamente tienden a fortalecer el sistema de control interno y los
procedimientos relacionados con las tecnologías de información.
DESPACHO CARVAJAL & COLEGIADOS
CONTADORES PÚBLICOS AUTORIZADOS
Lic. Ricardo Montenegro Guillén
Contador Público Autorizado No. 5607
Póliza de Fidelidad No. 0016 FIG 7
Vence el 30 de setiembre del 2014
“Exento del timbre de Ley 6663 del Colegio de Contadores Públicos de Costa Rica, por
disposición de su artículo número 8”.
Una Firma, Un respaldo Web: www.despachocarvajal.com 4
RESUMEN EJECUTIVO
1. El SFE confeccionó desde el año 2010 el modelo de marco de control interno. No
obstante, es posible indicar que en el proceso de autoevaluación anual del Sistema
de Control Interno (SCI) realizada durante el presente año únicamente se
consideraron 3 componentes de los 5 que conforman dicho modelo; situación que
no corresponde a una autoevaluación integral conforme lo dispuesto en el
ordenamiento jurídico y técnico vigente. Ver numeral 2.1, Hallazgo No.1 Control
Interno
2. La Unidad de Tecnologías de Información actualmente cuenta con una planeación
estratégica. Sin embargo, en dicha planeación no se reflejan los proyectos
relacionados con el desarrollo, adquisición, implantación y mantenimiento de
sistemas de información; situación que provoca que no se reflejen las necesidades
de tecnología de información de las diferentes dependencias del SFE. Ver numeral
2.2, Hallazgo No.2 Marco Estratégico e Inadecuada Alineación Estratégica.
3. El SFE cuenta con una Política de Gestión de la Calidad desde el 2011; por tanto
debido a que los sistemas SAUDE, SICA y SICOIN fueron adquiridos en el 2004
no se les aplicó dicha política. En el caso del sistema SIDEX, que fue donado a la
institución en el 2011, no se tuvo participación activa en el desarrollo del mismo
por parte de los funcionarios del SFE. Ver numeral 2.3, Hallazgo No.3 Política de
Gestión de la Calidad
4. Desde el 2012, la Unidad de Tecnologías de Información cuenta con un Manual de
Políticas de Seguridad formalmente aprobado. No obstante, durante el presente
estudio se determinó que se presenta incumplimiento de algunas de las políticas
establecidas. Ver numeral 2.4, Hallazgo No.4 Gestión de la Seguridad
5. Durante la ejecución del presente estudio se determinó que el sistema SAUDE, no
cuenta con una adecuada segregación de funciones, debido a que este sistema no
cuenta con un módulo de seguridad que permita parametrizar la seguridad lógica del
mismo. Ver numeral 2.5, Hallazgo No.5 Segregación de Funciones
6. A nivel del sistema SAUDE, se identificó que dentro de los usuarios con acceso a
este se encuentra la analista a cargo de su administración del citado sistema. Ver
numeral 2.6, Hallazgo No.6 Analista con Acceso a Producción
7. A la fecha de la presente auditoría se evidenció que el SFE, no ha establecido una
política de clasificación de la información y una política para el resguardo de los
datos, generando que la información que es procesada y custodiada en la institución
sea vulnerable a la materialización de riesgos como: fuga de información, pérdida
Una Firma, Un respaldo Web: www.despachocarvajal.com 5
de información, mal uso de la información, entre otros. Ver numeral 2.7, Hallazgo
No.7 Clasificación y Resguardo
8. El SFE carece de un modelo de arquitectura de la información, de acuerdo con lo
expresado por la Jefatura de la Unidad de Tecnología de la Información y
reafirmado en el hecho de que no existe documentación que lo evidencie. Ver
numeral 2.8, Hallazgo No.8 Modelo Arquitectura de la Información.
9. No fue posible verificar los costos en los que incurrió el SFE para la adquisición de
los sistemas SICA, SAUDE, SICOIN y SIDEX; así como el valor económico que
representan estos sistemas, por cuanto los mismos no fueron registrados
contablemente. Ver numeral 2.9, Hallazgo No.9 Registros Contables
10. En enero del 2012, la Unidad de Tecnología de la Información aprobó el
procedimiento TI-ADS-PO-02 Atención de Reportes Sistemas de Información, que
tiene como objeto atender problemas en materia de sistemas de información
mediante el sistema web localizado en la intranet. Es posible indicar que el mismo
está siendo aplicado para las situaciones que se han presentado en los sistemas
incluidos en el presente estudio.
No obstante, como ya se indicó en el párrafo anterior, el procedimiento únicamente
abarca los incidentes relacionados con los sistemas de información y no las
situaciones que puedan presentarse en los diferentes áreas de tecnologías de la
información (hardware, redes, comunicaciones, entre otros).
Se determinó que en el SFE no se ha confeccionado y establecido un procedimiento
o metodología que permita la atención y solución de problemas en materia
tecnológica. Ver numeral 2.10, Hallazgo No.10 Administración de Problemas
11. El SFE cuenta con una Comisión de Informática formalmente integrada y regulada
mediante reglamento interno. No obstante, se evidenció que esta Comisión no está
ejecutando ciertas actividades estratégicas como órgano asesor en materia
tecnológica. Ver numeral 2.11, Hallazgo No.11 Comisión de Informática
12. Con relación a los sistemas SICA, SAUDE, SICOIN y SIDEX, no se entregó
documentación que respalde los siguientes aspectos: estudio de factibilidad,
requerimientos de usuario, pruebas de implementación, manuales técnicos,
operación y usuarios, entre otros. Ver numeral 2.12, Hallazgo No.12
Administración de Datos
13. Durante la evaluación funcional del sistema SAUDE, se determinó que a este
sistema no se le confeccionaron bitácoras de las principales transacciones que
realizan en el mismo. Ver numeral 2.13, Hallazgo No.13 Bitácoras
Una Firma, Un respaldo Web: www.despachocarvajal.com 6
14. En el proceso de evaluación funcional del sistema SICA, se determinó que se viola
el principio de confidencialidad y privacidad de la contraseña. Ver numeral 2.14,
Hallazgo No.14 Contraseña Compartida
15. Al efectuar la evaluación funcional del sistema denominado Control de Firmas para
el FRP, se determinó que este aún no se encuentra en producción y que además se
está a la espera de la finalización del proceso de pruebas por parte de los usuarios
expertos. Ver numeral 2.15, Hallazgo No.15 Pruebas por parte del Usuario
16. Durante el proceso de desarrollo del sistema Control de Firmas para el FRP, no se
solicitó por parte del área usuaria, un requerimiento que permita que los usuarios
externos de dicho sistema necesiten una contraseña para ingresar a este. Ver
numeral 2.16, Hallazgo No.16 Acceso sin Contraseña
17. Dentro de la normativa facilitada como respaldo de la existencia de políticas y
procedimientos actualizados relacionados con la instalación, administración,
migración, mantenimiento y seguridad de las bases de datos, es posible indicar que
la misma fue aprobada en el 2012; por tanto, esta normativa no fue aplicada durante
la creación de las bases de datos de los sistemas SAUDE, SICA, SICOIN y SIDEX,
pues los mismos corresponden al año 2004; además no se evidencia la existencia de
regulaciones en cuanto al proceso de migración de bases de datos. Ver numeral
2.17, Hallazgo No.17 Migración de Base de Datos.
18. Si bien la Unidad de TI viene atendiendo los requerimientos que se vienen
presentando con relación al sistema SIVUCE II; se determinó que dicha
dependencia a la fecha no cuenta con un procedimiento escrito y oficializado, que
regule y guie su accionar con respecto a la atención de las solicitudes que presenta
PROCOMER con respecto a dicho sistema. Ver numeral 2.18, Hallazgo No.18
Procedimiento para la atención de requerimientos del sistema SIVUCE II.
19. Los usuarios manifiestan la necesidad de que los sistemas SAUDE, SICA, SICOIN
y SIDEX sean mejorados en algunos aspectos, situación que les facilitaría la labor
diaria. Ver numeral 2.19, Hallazgo No.19 Debilidades que en apariencia
presentan los sistemas auditados según la percepción de los usuarios internos
20. Según la evidencia obtenida, se procede a informar sobre otros aspectos relevantes,
tales como:
20.1 La metodología para la administración del riesgo institucional fue aprobada en
mayo del 2013, por tanto al momento que fueron adquiridos los sistemas SICA,
SAUDE, SICOIN y SIDEX no existía una metodología de este tipo. No obstante es
importante indicar que de acuerdo a la evidencia suministrada durante el presente
año, está en proceso de aplicación esta metodología en materia tecnológica,
mediante la identificación de áreas, riesgos, controles existentes, impacto entre
Una Firma, Un respaldo Web: www.despachocarvajal.com 7
otros y específicamente en lo referente a los sistemas de información. Uno de los
aspectos que presenta un nivel de riesgo alto corresponde a la donación de
sistemas, como se evidencia con esta metodología que es de reciente aprobación,
por tanto el proceso aún no está finalizado.
20.2 De acuerdo a la documentación suministrada por parte de la Unidad de TI, el SFE
cuenta con un plan de contingencias desde noviembre del 2010 y se evidencia que
el mismo ha sufrido modificaciones y actualizaciones, siendo la última de ellas la
autorizada en el 2012. En el contenido del mismo se ha establecido una estrategia
de recuperación para sistemas de información, la misma incluye los siguientes
aspectos: la estrategia debe ser de conocimiento de los funcionarios de la Unidad de
Informática, definición del equipo de recuperación, detalle de los pasos de la
estrategia de recuperación, definición de los recursos que se necesitan durante y
posterior a la recuperación.
20.3 En cuanto a los respaldos de información de la base de datos de los sistemas
evaluados mediante el presente estudio, es posible indicar que estos siempre se han
realizado informalmente. A nivel normativo como a nivel de implementación del
proceso de respaldo, se evidencia una mejora significativa ya que desde el 02 de
julio del 2013 se aprobó el documento denominado "Estrategias de Respaldo y
Recuperación de Datos", el cual incluye los aspectos básicos a considerar, tales
como:
• Recursos a utilizar.
• Definición de los tipos de respaldos
• Definición de periodicidad de respaldos.
• Proceso a seguir para la recuperación de la información.
• Periodicidad de pruebas a los respaldos.
• Lugar de custodia de los respaldos.
• Evidencia de la ejecución de respaldos y pruebas.
De acuerdo a la evidencia suministrada, y a lo observado a pesar de que la
normativa referente a este tema fue formalizada hasta en julio del presente año, se
facilitó respaldo de la implementación adecuada desde el mes de febrero del 2013.
20.4 De acuerdo a lo indicado por los Analistas encargados de la administración y
mantenimiento de los sistemas SAUDE, SICA y SICOIN, la programación de estos
sistemas fue contratada a un tercero durante el 2004. En ese momento no se habían
confeccionado ni establecido las normativas referentes a la metodología de
proyectos, y además no se cuenta con documentación que respalde la aplicación de
alguna metodología de proyectos, que hayan sido entregados por parte de la
empresa que lo desarrolló. En el caso del Sistema SIDEX, correspondió a una
donación realizada al SFE en el 2011, pero no se tuvo participación activa en el
desarrollo del mismo.
Una Firma, Un respaldo Web: www.despachocarvajal.com 8
20.5 Como ya se ha mencionado el SICA, SAUDE y SICOIN, fueron desarrollados por
un tercero aproximadamente en el 2004. Para ese año la Unidad de TI del SFE no
contaba con normativa formalmente establecida y aprobada referente al ciclo de
vida de los sistemas y estándares de programación, por tanto estos sistemas fueron
desarrollados conforme la metodología de la empresa contratada, de la cual no
existe documentación que respalde y que dé a conocer cuál fue la metodología y
estándares implementados por la misma.
En el caso del sistema SIDEX, este fue una donación realizada en el 2011 al SFE, y
en el mismo tampoco fueron considerados los estándares y metodología de
desarrollo. Al respecto, es importante indicar que la normativa establecida referente
a esta área comenzó a regir en abril del 2012 y la misma se define con el nombre
TI_I_01_Estandares_de_programacion y TI_MT_02_ Metodología de_ desarrollo_
de software. No obstante, es importante indicar que dicha normativa está siendo
aplicada actualmente cuando se presenta la necesidad de realizar mejoras,
correcciones o modificaciones a estos sistemas.
20.6 Respecto a los archivos fuentes de los sistemas evaluados, es posible indicar que
son custodiados y se controla su versionamiento mediante la herramienta
automatizada Visual Sourcesafe 2008. Dicha herramienta y su contenido se
encuentra a cargo de un funcionario de la Unidad de TI.
Una Firma, Un respaldo Web: www.despachocarvajal.com 9
I. INTRODUCCIÓN
1.1. Origen del Estudio
El presente estudio denominado “Servicio de Auditoría Interna para Auditar Sistemas de
Información Automatizados del Servicio Fitosanitario del Estado” (de ahora en adelante
SFE), se llevó a cabo en atención a la contratación directa (2013CD-000226-10100),
realizada por el SFE a partir de la necesidad suscitada por parte de la Auditoría Interna.
Los sistemas automatizados del SFE que se analizaron fueron SICA, SAUDE, SICOIN,
SIDEX y Control de Firmas para FRP.
1.2. Objetivos del Estudio
1.2.1. Determinar para cada sistema de información objeto de estudio si su diseño,
desarrollo, operación y mantenimiento están conformes a lo dispuesto en las
“Normas técnicas para la Gestión y el Control de las Tecnologías de
Información” (N-2-2007-CO-DFOE), emitidas por la Contraloría General de la
República; articulando el citado cumplimiento en lo que corresponda, a lo
dispuesto en el Modelo de Control Interno del SFE (el cual está soportado en
la Ley General de Control Interno N° 8292 y a las “Normas de Control Interno
para el Sector Público”, emitidas por la Contraloría General de la República)
así como, en lo aplicable, con marcos técnicos de referencia internacional.
1.2.2. Verificar si los datos almacenados en esos sistemas de información
automatizados son confiables (responden a las características de seguridad,
confidencialidad e integridad requeridas por la organización) y cumplen con el
ordenamiento jurídico y técnico citado en el numeral 1.2.1 anterior.
1.2.3. Realizar una encuesta de opinión con relación al grado de satisfacción que
generan los sistemas de información objeto de estudio, en el logro de los
objetivos institucionales.
1.3. Alcance del estudio
Con relación a los sistemas de información objeto de estudio, según los términos de
referencia que regularon la contratación directa (2013CD-000226-10100), el presente
estudio se enfocó en los siguientes aspectos:
Delimitación del marco conceptual, legal, administrativo, organizacional y de
ejecución por medio del cual se efectuará la evaluación.
Aplicación de técnicas y normas de auditoría, aplicables al objeto de esta
contratación.
Identificación y obtención de documentación que resulte relevante para la
evaluación.
Una Firma, Un respaldo Web: www.despachocarvajal.com 10
Cuestionarios dirigidos a los responsables de la administración y ejecución de las
acciones establecidas en los términos de referencia.
Entrevistas con personal clave, que permita obtener información de los aspectos y
actividades funcionales que no estén documentados.
Pruebas de integridad sobre la configuración, registro de datos, procesamiento y
generación de resultados.
Revisión del esquema de seguridad establecido, para garantizar la confidencialidad,
integridad y disponibilidad de los sistemas de información, los datos e información
que éste procesa.
Revisión y valoración de la documentación e implementación para la administración
de cambios.
Verificación de la implementación de las “Normas técnicas para la Gestión y el
Control de las Tecnologías de Información” (N-2-2007-CO-DFOE), emitidas por la
Contraloría General de la República; articulando el citado cumplimiento en lo que
corresponda, a lo dispuesto en el Modelo de Control Interno del SFE (el cual está
soportado en la Ley General de Control Interno N° 8292 y a las “Normas de Control
Interno para el Sector Público”, emitidas por la Contraloría General de la
República).
Otras técnicas, herramientas o métodos que resulten necesarias para mejorar la
comprensión o el análisis de la información obtenida, a utilizar según criterio
profesional de los auditores asignados a este proyecto.
Verificar si los datos almacenados en los sistemas de información sujetos a este
estudio son confiables (responden a las características de seguridad,
confidencialidad e integridad requeridas por la organización) y cumplen con el
ordenamiento jurídico y técnico citado en el numeral anterior. En este sentido se
consideró el estado de la documentación (física y electrónica) que respalda tales
sistemas de información; la correcta ejecución funcional de cada uno de los
módulos, la segregación de funciones con relación al acceso, ingreso, proceso,
autorización y monitoreo de las actividades asociadas con los respectivos sistemas;
procesamiento oportuno de la información; revisión de los controles relevantes
sobre el procesamiento de la información; procedimientos operativos relacionados
con los respaldos; valor de los sistemas de información automatizados; estado de los
archivos fuentes; comprobación de controles claves; diseño lógico de los sistemas;
evaluación de medidas de seguridad implantadas en los sistemas.
Realizar una encuesta de opinión con relación al grado de satisfacción que generan
los sistemas de información objeto de estudio, en el logro de los objetivos
institucionales.
1.4. Periodo del estudio
El estudio fue efectuado durante los meses de agosto y setiembre del año 2013.
Una Firma, Un respaldo Web: www.despachocarvajal.com 11
1.5. Limitaciones del estudio
No se presentaron limitaciones al estudio realizado.
1.6. Comunicación de Resultados
El resultado del presente estudio fue discutido de forma verbal con la administración activa,
específicamente con los siguientes funcionarios:
El día 07/10/2013, con el Lic. Didier Suárez Chaves, Lic. Andy Jiménez Álvarez,
Lic. Gerardo Quesada Alvarado, Técnica Marcela Umaña Méndez (todos de la
Unidad de Tecnología de la Información).
El día 10/10/2013, con el Lic. Adrián Gómez Díaz, Jefe PCCI.
El día 11/10/2013, con el Lic. Henry Vega Vega, Jefe del Departamento
Administrativo y Financiero y la Licda. Gladys Rodríguez López, Encargada del
Archivo Central.
El día 15/10/2013, con la Ing. Magda González Arroyo, Directora, Ing. Carlos
Padilla Bonilla, Subdirector, Lic. Didier Suárez Chaves, Jefe Unidad TI y el
Lic. Adrián Gómez Díaz, Jefe PCCI.
El día 1710/2013, con el Ing. Marco Alfaro Cortés, Jefe del Departamento de
Control Fitosanitario.
El día 21/10/2013, con el Lic. Didier Suárez Chaves, Jefe de la Unidad de
Tecnología de la Información).
1.7. Normativa técnica aplicada al estudio
En la ejecución de la presente auditoría se observó en lo aplicable, lo establecido en las
regulaciones para las Auditorías Internas en la Ley General de Control Interno Nº 8292,
normas técnicas emitidas por la Contraloría General de la República y los estándares
establecidos según los Objetivos de Control para Información y Tecnología Relacionada –
CobiT®.
Una Firma, Un respaldo Web: www.despachocarvajal.com 12
II. RESULTADOS
HALLAZGOS
2.1 CONTROL INTERNO
2.1.1 HALLAZGO No.1: LA EVALUACIÓN ANUAL DEL SISTEMA DE
CONTROL INTERNO DE TECNOLOGÍAS DE INFORMACIÓN
CONSIDERÓ ÚNICAMENTE 3 COMPONENTES FUNCIONALES DE
LOS 5 ESTABLECIDOS
2.1.1.1 CRITERIO
Las Normas Técnicas para la Gestión y el Control de las Tecnologías de Información
emitidas por la Contraloría General de la República (CGR), establecen en el punto 5.2
Seguimiento y evaluación del control interno en TI que "El jerarca debe establecer y
mantener el sistema de control interno asociado con la gestión de las TI, evaluar su
efectividad y cumplimiento y mantener un registro de las excepciones que se presenten y de
las medidas correctivas implementadas."
Además las Normas de Control Interno para el Sector Público, establecen en el punto 1.1
Sistema de Control Interno (SCI) que " El jerarca y los titulares subordinados, según sus
competencias, deben emprender las medidas pertinentes para contar con un SCI,
conformado por una serie de acciones diseñadas y ejecutadas por la administración activa
para proporcionar una seguridad razonable en la consecución de los objetivos
organizacionales. El SCI tiene como componentes orgánicos a la administración activa y a
la auditoría interna; igualmente, comprende los siguientes componentes funcionales:
ambiente de control, valoración del riesgo, actividades de control, sistemas de información
y seguimiento, los cuales se interrelacionan y se integran al proceso de gestión
institucional.
Los responsables por el SCI deben procurar condiciones idóneas para que los componentes
orgánicos y funcionales del sistema operen de manera organizada, uniforme y consistente.".
También se establece en las Normas de Control Interno del Sector Público, en el punto
6.3.2 Autoevaluación periódica del SCI que "El jerarca y los titulares subordinados, según
sus competencias, deben disponer la realización, por lo menos una vez al año, de una
autoevaluación del SCI, que permita identificar oportunidades de mejora del sistema, así
como detectar cualquier desvío que aleje a la institución del cumplimiento de sus objetivos.
Una Firma, Un respaldo Web: www.despachocarvajal.com 13
Las estrategias y los mecanismos para la autoevaluación periódica, deben estar definidos
como parte de las orientaciones a que se refiere la norma 6.2. En todo caso, se debe
procurar que sea ejecutada sistemáticamente y que sus resultados se comuniquen a las
instancias idóneas para la correspondiente toma de acciones y seguimiento de
implementación.
El jerarca y los titulares subordinados, según sus competencias, deben constituirse en parte
activa del proceso que al efecto se instaure."
2.1.1.2 CONDICIÓN
A partir del 07 de diciembre del 2010, comenzó a regir el Modelo de Control Interno del
SFE el cual se encuentra conformado por 3 subsistemas que corresponden a Control
Estratégico, Control de la Gestión y Control de la Evaluación; en los cuales se integran los
5 componentes funcionales, (Ambiente de Control, Valoración del Riesgo, Actividades de
Control, Sistemas de Información y Seguimiento).
La Unidad de PCCI, estableció en junio del 2012 la "Metodología de Seguimiento Control
Interno", en la cual se detalla el cronograma de implementación 2012-2015 para la
aplicación de la autoevaluación anual del sistema de control interno institucional. En el
mismo se definió que para el 2013 se aplicaría el instrumento de autoevaluación solamente
a los componentes funcionales denominados Ambiente de Control, Valoración de Riesgos
y Seguimiento y en el 2014 se aplicará el instrumento para los componentes Actividades
de Control, Sistemas de Información y Seguimiento.
Consecuente con lo anterior, durante el periodo 2013 únicamente se evaluaron a nivel
institucional (Incluye Unidad de Tecnología de la Información) 3 de los citados 5
componentes (Ambiente de Control, Valoración del Riesgo y Seguimiento), dejando sin
evaluar los componentes Sistemas de Información y Actividades de Control.
Al respecto, es necesario señalar que lo relativo al Sistema de Control Interno se desarrolla
esencialmente en dos normas:
La primera es la Ley Orgánica de la Contraloría General de la República N° 7428,
que es sus artículos 8, 10 y 11 lo define como un sistema para percibir, administrar,
custodiar, conservar, manejar, gastar e invertir la hacienda pública a través de
normas, que regulan la competencia, la estructura, la actividad, las relaciones, los
procedimientos, las responsabilidades y las sanciones, con el fin de garantizar la
legalidad y la eficiencia de los controles internos y del manejo de los fondos
públicos.
La segunda es la Ley General de Control Interno N° 8292, que conceptualiza al
sistema de control interno como una serie de acciones ejecutadas por la
administración activa que busca proteger y conservar el patrimonio público,
fiabilidad y oportunidad de información, eficiencia y eficacia de las operaciones y el
Una Firma, Un respaldo Web: www.despachocarvajal.com 14
cumplimiento del ordenamiento jurídico y técnico (Art. 8), sistema que debe ser
completo y que asegure el cumplimiento de los fines (Art. 7).
Ante consulta de esta Auditoría Interna, la Unidad de Asuntos Jurídicos del SFE, señaló lo
siguiente:
(…)
Es importante resaltar que la “Normas de control interno para el Sector Público”
(N-2-2009-CO-DFOE) (en adelante Normas), en su parte considerativa explica que el
sistema tiene un enfoque integral para el fortalecimiento del desempeño de las
actividades desde el punto de vista de control interno, el artículo 1 de las Normas
dispone que sus componentes se interrelacionan y se integran al proceso de gestión
institucional para que el sistema opere de manera organizada, uniforme y consistente.
(…)
Con base en la normativa indicada y lo expuesto, tratándose del sistema de control
interno, la autoevaluación debe ser integral, como indica el artículo 7 de la Ley N°
8292, este necesariamente debe ser “completo”, porque se ha de integrar con
competencias legales de la Administración Pública. La estrecha vinculación con las
competencias legales, refuerza la exigencia de una revisión global de la conducta
administrativa, porque de lo contrario sería suponer que el funcionamiento de la
Administración Pública dado por ley debería ejecutarse por partes, lo cual sería una
violación al ordenamiento público.
Un proceso trascendental para la operatividad de la Administración Pública, que esta
fraccionado, no garantiza el cumplimiento del fin público.
(…)
¿se ajusta el cronograma de implementación 2012-2015 que forma parte integral de la
Metodología de Seguimiento Control Interno (PCCI-CI-MT-04 / Versión 01 del
15/06/2012); a lo regulado en la Ley General de Control Interno N° 8292 y las Normas
Técnicas de Control Interno para el Sector Público emitidas por la Contraloría
General de la República, con respecto a la autoevaluación anual del sistema de control
interno?
(…)
No. La normativa de control interno, de servicio y función pública no autoriza ni
visualiza una autoevaluación del sistema de control interno como el cronograma de
implementación 2012-2015.
(…)
¿se estaría violentado el mismo respecto a lo que se persigue con relación a efectuar
una autoevaluación anual del SCI institucional, al disponer el SFE que a partir del año
2015 (en el cronograma de implementación 2012-2015 que forma parte integral de la
Metodología de Seguimiento Control Interno), delegue en cada titular subordinado la
obligación de diseñar y aplicar su propia autoevaluación; procediendo la Unidad de
Planificación, Gestión de la Calidad y Control Interno únicamente a ejercer
supervisión sobre el proceso; o si por el contrario, la organización debe disponer de
una metodología institucional que a través de los criterios que sean definidos,
autoevalúe en forma técnica y estandarizada el sistema de control interno institucional?
(…)
Una Firma, Un respaldo Web: www.despachocarvajal.com 15
La norma es reiterativa de que el sistema es para los jerarcas y titulares subordinados,
mediante la ordenación de una escala de funciones y competencias según la estructura
organizativa. La metodología de autoevaluación es casuística, definida por las
funciones distribuidas a lo interno, por lo que puede haber una estructura básica para
el SFE pero que incluya las variables particulares de cada área. El control interno es
para la Administración Pública, como un todo, siendo la función del jerarca revisar,
modificar, direccionar, rechazar y aprobar lo realizado por sus inferiores, como
máximo representante de la institución, por lo que, debe existir una metodología
institucional con criterios definidos.
(…)
2.1.1.3 CAUSA
En apariencia, la falta de claridad o la ausencia de criterios provenientes de instancias
competentes, no le están permitiendo al SFE fundamentar desde el punto de vista legal y
técnico la implementación de su metodología de autoevaluación anual del sistema de
control interno institucional.
2.1.1.4 EFECTO
No es posible obtener un resultado integral del nivel de implantación y expertiz del modelo
del sistema de control interno establecido por el SFE y determinar por consiguiente las
acciones a seguir para lograr un nivel adecuado respecto al grado de madurez del mismo.
2.1.1.5 CONCLUSIÓN
Si bien la organización viene realizando esfuerzos para autoevaluar su sistema de control
interno a efecto de implementar su modelo y dar cumplimiento al ordenamiento jurídico y
técnico vigente; somos del criterio de que la interpretación por parte de la Administración
del SFE, de las normas existentes a nivel del Sector Público referente a la autoevaluación
del sistema de control interno no es la adecuada; posición que es coincidente con la opinión
jurídica emitida por la Unidad de Asuntos Jurídicos del SFE. Lo anterior debido a que la
implementación de la metodología establecida por el SFE no le está permitiendo contar con
una autoevaluación anual completa referente a los componentes funcionales que conforman
el sistema de control interno, y por ende no existe un panorama integral sobre el nivel de
implantación en la institución; situación que no estaría suministrando información
suficiente y pertinente para medir el grado de madurez del mismo y cuyo resultado estaría
generando un debilitamiento en el sistema de control interno.
Una Firma, Un respaldo Web: www.despachocarvajal.com 16
2.1.1.6 RECOMENDACIONES
A la Jefatura de la Unidad de Planificación, Gestión de la Calidad y Control Interno;
instancia que deberá coordinar lo que corresponda con la Dirección del SFE:
2.1.1.6.1 Analizar la opinión jurídica emitida por la Unidad de Asuntos Jurídicos del
SFE (Anexo 3), con el propósito de valorar los aspectos que deberían ser
tomados en cuenta para depurar el documento denominado “Metodología de
Seguimiento Control Interno” (PCCI-CI-MT-04 del 15/06/2012 – Versión
01); situación que debe alinearse a lo establecido en las normas 1,1 y 6.3 de
las Normas de Control Interno para el Sector Público emitidas por la
Contraloría General de la República. Lo anterior a efecto de que a través de
su implementación se obtengan resultados sobre los cinco componentes
funcionales que conforman el modelo del sistema de control interno del
SFE,
Dicha acción deberá permitir gestionar ante la Dirección del SFE la
aprobación de la nueva versión debidamente ajustada.
En la eventualidad de que la administración del SFE no comparta dicha
opinión jurídica, deberá gestionar la obtención de criterio adicionales (a
nivel interno y/o externo) ante las instancias que considere conveniente; lo
anterior con el fin de obtener la seguridad jurídica y técnica suficiente que le
permita soporte la toma de decisiones con relación a la citada metodología
de autoevaluación del sistema de control interno.
La decisión que se adopte deberá quedar fundamentada y documentada.
A la Jefatura de la Unidad de Tecnología de la Información:
2.1.1.6.2 Realizar la autoevaluación anual del sistema de control interno de la Unidad
de Tecnología de la Información; la cual debe considerar los cinco
componentes funcionales; lo anterior tomando en cuenta la "Metodología de
Seguimiento Control Interno" ajustada, según lo señalado en la
recomendación 2.1.1.6.1 anterior.
La presente recomendación se hace extensiva para el resto de la
organización.
Una Firma, Un respaldo Web: www.despachocarvajal.com 17
Comentario de la Administración (Jefatura de la PCCI)
En el artículo 17 –inciso b- de la Ley General de Control Interno Nro. 8292
(LCI) establece la obligación a los entes y órganos sujetos a la fiscalización de la
Contraloría General de la República de realizar, por lo menos una vez al año, las
autoevaluaciones que conduzcan al perfeccionamiento de sus propios sistemas de control
interno; asimismo, ese artículo señala la importancia de aplicar ese mecanismo de análisis
con el fin de que la administración pueda detectar cualquier desvío que aleje a la
organización del cumplimiento de sus objetivos y de formular e implantar las mejoras
necesarias.
Como se cita en el artículo anterior la obligación es realizarla al menos 1 vez al año pero no
se menciona sobre la obligación de realizar la autoevaluación sobre todo el Sistema de
Control Interno. Incluso en las Normas de Control Interno tampoco hacen mención al
respecto. Así que es potestad de la Administración Activa la decisión de cómo aplica la
autoevaluación en la institución, ya sea a la totalidad de los componentes o solo algunos de
ellos.
Incluso se realizaron consultas a consultoras vinculadas con el tema del control interno y
coinciden con este criterio.
Una Firma, Un respaldo Web: www.despachocarvajal.com 18
2.2 MARCO ESTRATÉGICO Y ALINEACIÓN ESTRATÉGICA
2.2.1 HALLAZGO No.2: FALTA DE ALINEACIÓN ESTRATÉGICA ENTRE
LA UNIDAD DE TI Y LAS DEMAS DEPENDENCIAS DEL SFE CON
RESPECTO AL DESARROLLO, ADQUISICIÓN, IMPLEMENTACIÓN
Y MANTENIMIENTO DE LOS SISTEMAS QUE SON REQUERIDOS
POR LA ORGANIZACIÓN, POR CUANTO NO SE VEN REFLEJADOS
DENTRO DE LA PLANEACIÓN ESTRATÉGICA DE LA UNIDAD DE
T.I.
2.2.1.1 CRITERIO:
De acuerdo a lo establecido en las Normas Técnicas para la Gestión y el Control de las
Tecnologías de Información emitidas por la Contraloría General de la República, definen
en el punto 1.1 Marco estratégico de TI, lo siguiente "El jerarca debe traducir sus
aspiraciones en materia de TI en prácticas cotidianas de la organización, mediante un
proceso continuo de promulgación y divulgación de un marco estratégico constituido por
políticas organizacionales que el personal comprenda y con las que esté comprometido.".
Asimismo, el punto 2.1 Planificación de las tecnologías de información indica, “La
organización debe lograr que las TI apoyen su misión, visión y objetivos estratégicos
mediante procesos de planificación que logren el balance óptimo entre sus requerimientos,
su capacidad presupuestaria y las oportunidades que brindan las tecnologías existentes y
emergentes.”
2.2.1.2 CONDICIÓN:
Se evidencia una deficiencia en el proceso de planificación estratégica a nivel institucional,
por lo siguiente:
El Plan Estratégico 2010-2021 del SFE no refleja información detallada de los
proyectos vinculados con el desarrollo o adquisición de sistemas automatizados.
El Plan Estratégico 2010-2021 de la Unidad de Tecnología de la Información
(versión diciembre 2011) no refleja información detallada de los proyectos de TI
vinculados con el desarrollo o adquisición de sistemas automatizados, referentes a
los procesos de apoyo y sustantivos, bajo la responsabilidad de las diferentes
dependencias del SFE.
Considerando que la versión vigente del Plan Estratégico 2010-2021 de la Unidad de
Tecnología de la Información corresponde al mes de diciembre del 2011; los proyectos de
adquisición de los sistemas SICA, SAUDE y SICOIN, así como la donación del sistema
SIDEX, no se ven reflejados en la citada planeación estratégica, por cuanto la gestión que
permitió su adquisición fue anterior a la entrada en vigencia de la citada planificación.
Una Firma, Un respaldo Web: www.despachocarvajal.com 19
2.2.1.3 CAUSA:
El modelo de planificación estratégica establecido por el SFE, dificulta respaldar las
necesidades de implantar, desarrollar o adquirir los sistemas que son requeridos por la
organización.
2.2.1.4 EFECTO:
a) No existe una alineación estratégica adecuada e integral de la Unidad de Tecnología de
la Información con respecto a la estrategia institucional, originando ausencia de un
portafolio de proyectos informáticos para el SFE.
b) Debido a la condición indicada se pueden generar situaciones perjudiciales tanto para
el SFE como para la Unidad de TI, tales como:
Desviaciones en los objetivos de los proyectos.
Utilización inadecuada de los recursos, tanto económicos como humanos.
Sistemas que no satisfacen los requerimientos de los usuarios, ni de la institución.
Inadecuada asignación de responsabilidades.
2.2.1.5 CONCLUSIÓN:
Se evidencia que no existe la cultura de que cada una de las dependencias orgánicas del
SFE, ejecuten su labor anual (PAO) sobre su propia planificación estratégica y que con
base a esta estrategia, la Unidad de T.I. pueda depurar su planificación estratégica y
elaborar su portafolio de proyectos.
2.2.1.6 RECOMENDACIÓN:
A la Jefatura de la Unidad de Planificación, Gestión de la Calidad y Control Interno;
quien deberá coordinar lo que corresponda con la Unidad de Tecnologías de la
Información:
2.2.1.6.1 Ajustar el modelo de planificación estratégica del SFE relativo a la Unidad
de Tecnología de la Información, de manera que los proyectos relacionados
tanto con el desarrollo como con la adquisición de sistemas de información
se reflejen en la misma; con el propósito de que exista evidencia sólida de la
necesidad de su implantación en el SFE y además lograr que el resultado
obtenido genere el mayor beneficio y éxito posible para la institución.
Consecuente con lo anterior, el SFE deberá, entre otros aspectos, considerar
lo siguiente:
Una Firma, Un respaldo Web: www.despachocarvajal.com 20
a) Ajustar la planificación estratégica de la Unidad de Tecnología de
Información, a efecto de que la misma informe sobre los proyectos
vinculados con el desarrollo y adquisición de sistemas de información
requeridos por la organización; ejecución que se deberá ver reflejada
conforme a los planes anuales operativos respectivos; situación que
deberá permitir un alineamiento con la planificación estratégica
institucional.
b) Confeccionar un portafolio de proyectos a partir de la planificación
generada por las diferentes dependencias del SFE; aspecto que deberá
estar alineado a la planificación estratégica y anual de la Unidad TI.
c) Valorar la confección por parte de las diferentes dependencias del SFE,
su propia planificación estratégica, misma que debe estar alineada con el
plan estratégico organizacional.
Las decisiones que se adopten con relación a la presente recomendación
deberán quedar fundamentadas y documentadas.
Comentario de la Administración (Jefatura de la PCCI)
La planificación del SFE parte del modelo de planificación establecido, que tiene como
base fundamental la planificación estratégica; la cual es el insumo para el desarrollo de la
planificación a corto plazo, por lo que la elaboración de la planificación estratégica por
instancia no se hace necesaria ya que de lo contrario se perdería por un lado la
funcionalidad de la planificación y la institucionalidad del mismo SFE al contar con varias
planificaciones estratégicas y su seguimiento sería poco asertiva y oportuna por no contar
con suficiente recurso humano para desarrollar esa acción.
Además la planificación estratégica es un instrumento para llegar a cumplir con la misión y
visión de la institución, y donde se debe de concentrar es en él COMO se va a cumplir y lo
hacemos a través de los PAO’s y la definición de proyectos que se puede visualizar en el
modelo de planificación del SFE, obviamente que se definen no en el modelo sino en los
PAO’s.
Dentro de este contexto se puede definir La Planificación Estratégica, como una
herramienta de gestión institucional que permite apoyar la toma de decisiones de la
organización en torno al quehacer actual y al camino que deben recorrer en el futuro para
adecuarse a los cambios y a las demandas que les impone el entorno y lograr la mayor
eficiencia, eficacia, calidad en los bienes y servicios que se proveen. La Planificación
Estratégica consiste en un ejercicio de formulación y establecimiento de objetivos de
carácter prioritario institucionales, cuya característica principal es el establecimiento de los
cursos de acción (estrategias) para alcanzar dichos objetivos.
Una Firma, Un respaldo Web: www.despachocarvajal.com 21
Por otra parte, TI dentro de su PAO y su Plan informático, establece los proyectos y el
seguimiento de los mismos, según lo que definieron en su planificación estratégica y esta a
su vez responde a un objetivo estratégico y una prioridad estratégica definida en el Plan
Estratégico 2010-2021.
Por otro lado, según mi apreciación los puntos a y b del Hallazgo 2 se están realizando por
medio de la Comisión de TI ya que es por medio de esta que se aprueban los presupuestos
para la partidas relacionadas con TI, y se definen los proyectos que se deben ejecutar, en
esta misma línea de acción si la comisión es la que aprueba esta misma debe tener los
portafolios de proyectos a ejecutar.
Una Firma, Un respaldo Web: www.despachocarvajal.com 22
2.3 POLÍTICA GESTION DE CALIDAD
2.3.1 HALLAZGO No.03: A LA FECHA DE LA ADQUISICIÓN DE LOS
SISTEMAS SICA, SICOIN, SAUDE Y LA DONACIÓN DEL SIDEX NO
SE CONTABA CON UNA POLÍTICA DE GESTIÓN DE LA CALIDAD
2.3.1.1 CRITERIO:
Las Normas Técnicas para la Gestión y el Control de las Tecnologías de Información
emitidas por la Contraloría General de la República menciona en su apartado1.2 Gestión de
la calidad, lo siguiente: La organización debe generar los productos y servicios de TI de
conformidad con los requerimientos de sus usuarios con base en un enfoque de eficiencia y
mejoramiento continuo.
El proceso P08. Administrar la Calidad, del COBIT menciona: Se debe elaborar y mantener
un sistema de administración de calidad, el cual incluya procesos y estándares probados de
desarrollo y de adquisición. Esto se facilita por medio de la planeación, implantación y
mantenimiento del sistema de administración de la calidad, proporcionando requerimientos,
procedimientos y políticas claras de calidad. Los requerimientos de calidad se deben
manifestar y documentar con indicadores cuantificables y alcanzables. La mejora continua
se logra por medio del constante monitoreo, corrección de desviaciones y la comunicación
de los resultados a los interesados. La administración de calidad es esencial para garantizar
que TI está dando valor al negocio, mejora continua y transparencia para los interesados.
2.3.1.2 CONDICIÓN:
Durante el proceso de auditoría se facilitó el documento TI-P-01 Política de Calidad
Tecnologías de Información, el cual respalda la existencia de una metodología de gestión
de la calidad para Tecnologías de la Información. No obstante es importante resaltar que
esta fue aprobada en Julio del 2011, razón por la cual los sistemas SAUDE, SICA y
SICOIN, que fueron adquiridos durante el 2004, no se les aplicó esta metodología; lo cual
ha generado problemas en la ejecución de las tareas que se realizan en los mismos, tales
como: inexistencia de manuales de usuario, técnicos y de operación, debilidades en la
seguridad lógica de los sistemas, entre otros.
En el caso de SIDEX corresponde a una donación realizada al SFE en el 2011. Sin embargo
no se aplicó los aspectos que incluye esta metodología, como lo son:
a) Analizar, diseñar, desarrollar, implementar, mantener y documentar sistemas de
información institucionales integrales y consistentes, de apoyo a la toma de decisiones
de la Dirección General.
b) Velar por el cumplimiento de estándares, normas y leyes sobre el uso de las
tecnologías de información.
Una Firma, Un respaldo Web: www.despachocarvajal.com 23
c) Además no se evidencia la ejecución de las fases de Análisis, Diseño, Desarrollo,
Prueba, Implementación y Adendum.
Por otra parte dentro de la política de calidad actual, no se incluye el requerimiento o
lineamiento referente a la confección de manuales de procesos, para los sistemas en
producción del SFE.
2.3.1.3 CAUSA:
Al momento de la implementación de los sistemas SICA, SICOIN y SAUDE, el SFE no
contaba con una política para la gestión de la calidad. En el caso del sistema SIDEX, por
ser una donación, no se participó en el desarrollo del mismo y tampoco se verificó la
implementación y pruebas de este sistema formalmente.
2.3.1.4 EFECTO:
Al no implementar los aspectos contenidos en una metodología de gestión de la calidad,
durante el desarrollo, adquisición, implantación y pruebas de sistemas de información, se
podrían generar situaciones como:
Insuficiente calidad de los servicios y soluciones, resultando en fallas, reprocesos y
aumento de los costos.
Poca fiabilidad de la calidad de las actividades de control.
La desalineación con la industria, en cuanto a las buenas prácticas y objetivos del
negocio.
Responsabilidades no definidas en proyectos y servicios.
Fallas en la calidad en los procesos claves de TI.
Incumplimiento de normas y procedimientos.
Estimaciones inexactas de plazos y presupuestos para proyectos.
Falta de claridad en las responsabilidades proyectos.
Desarrollo e implementación con errores, que causan retrasos, retrabajo y aumento
de los costes.
Problemas de interoperabilidad e integración.
Problemas para brindar soporte técnico y de mantenimiento.
Errores no identificados que se reflejan en producción
2.3.1.5 CONCLUSIÓN:
Durante el proceso de implementación de los sistemas SICA, SAUDE, SICOIN y SIDEX,
no se aplicó una política de gestión de la calidad propia del SFE; situación que no garantiza
en forma razonable que dichos proyectos se hayan gestionado conforme a la técnica y sanas
prácticas administrativas.
Una Firma, Un respaldo Web: www.despachocarvajal.com 24
2.3.1.6 RECOMENDACIONES:
A la Jefatura de la Unidad de Tecnología de la Información:
2.3.1.6.1 Gestionar a efecto de que se incluya como parte de la política de gestión de la
calidad, la confección, publicación e implementación de un manual de procesos
para cada uno de los sistemas de información que actualmente se encuentran en
producción y que se implanten en el SFE (de existir imposibilidad de la
creación de este tipo de manual para los sistemas en producción, se deberá
justificar y documentar dicha decisión). En el caso de ser viable dicha
documentación, se deben considerar, entre otros aspectos, los siguientes:
Los procedimientos operativos que hacen referencia a la organización de los
procesos. En su redacción deben colaborar los mandos intermedios (jefes de
área, responsables de departamentos) o equipos interdepartamentales.
Se debe evitar terminologías ambiguas, escribir las frases en presente y en
orden cronológico.
Deben ser exactos.
Plantear los objetivos que se pretende cubrir con el procedimiento y una vez
redactado, comprobar que el documento los cumple.
Utilizar diagramas de flujo, que permitan obtener una visión global del
procedimiento.
Deben responder a las siguientes interrogantes: para qué, cómo, cuándo y
quién.
2.3.1.6.2 Verificar que todo sistema, ya sea desarrollado a lo interno, adquirido o donado,
cumpla con la metodología de calidad. Dicho aspecto debe ser comunicado a
nivel institucional.
Una Firma, Un respaldo Web: www.despachocarvajal.com 25
2.4 GESTIÓN DE LA SEGURIDAD
2.4.1 HALLAZGO No. 4: INCUMPLIMIENTO DEL MANUAL DE
POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN DEL SFE
2.4.1.1 CRITERIO
De acuerdo a lo establecido en las Normas Técnicas para la Gestión y el Control de las
Tecnologías de Información emitidas por la Contraloría General de la República, en el
punto 1.4 Gestión de la seguridad de la información, se señala " La organización debe
garantizar, de manera razonable, la confidencialidad, integridad y disponibilidad de la
información, lo que implica protegerla contra uso, divulgación o modificación no
autorizados, daño o pérdida u otros factores disfuncionales.
Para ello debe documentar e implementar una política de seguridad de la información y los
procedimientos correspondientes, asignar los recursos necesarios para lograr los niveles de
seguridad requeridos y considerar lo que establece la presente normativa en relación con los
siguientes aspectos:
- La implementación de un marco de seguridad de la información.
- El compromiso del personal con la seguridad de la información.
- La seguridad física y ambiental.
- La seguridad en las operaciones y comunicaciones.
- El control de acceso.
- La seguridad en la implementación y mantenimiento de software e infraestructura
tecnológica.
- La continuidad de los servicios de TI.
Además debe establecer las medidas de seguridad relacionadas con:
- El acceso a la información por parte de terceros y la contratación de servicios prestados
por éstos.
- El manejo de la documentación.
- La terminación normal de contratos, su rescisión o resolución.
- La salud y seguridad del personal.
Las medidas o mecanismos de protección que se establezcan deben mantener una
proporción razonable entre su costo y los riesgos asociados."
2.4.1.2 CONDICIÓN
El documento denominado TI-M-02 Manual de políticas de seguridad, rige desde el mes de
abril del 2012; en el mismo se establecen aspectos como: uso de la contraseña y cambio de
la misma tanto para sistemas como a nivel de la red, características de la contraseña,
periodicidad del cambio de contraseña, administración y control de equipos de cómputo
(inventario de equipo actualizado), manipulación de contraseña para administrar estaciones
Una Firma, Un respaldo Web: www.despachocarvajal.com 26
de trabajo (responsabilidades del funcionario de TI y usuario), respaldos de la información
de aplicaciones (plan recuperación y respaldo, ejecución periódica de pruebas de los
respaldos, entre otros), navegación en internet (usos permitidos y no autorizados,
responsabilidades), uso del correo electrónico (usos permitidos y usos no autorizados),
confidencialidad de la información institucional y trato con terceros (uso de la información,
personal responsable del manejo de la información, definición de confidencialidad, entre
otros), creación o mejoramiento de un espacio físico en los centros de cómputo, políticas
para el uso adecuado de estaciones de trabajo, uso de equipo portátiles, uso de medios de
almacenamiento externo, instalación de software y mantenimiento de equipo.
Sin embargo, se evidencia incumplimiento de algunas políticas como por ejemplo: uso de
contraseñas compartidas, periodicidad del cambio de contraseña, características de la
conformación de la contraseña, entre otros. Es importante indicar que los incumplimientos
de seguridad mencionados se presentan en los sistemas: SICA (Contraseña Compartida),
SAUDE (Analista con acceso a producción y no hay definición de roles y perfiles) y
SIDEX (Contraseña no se vence automáticamente y no está parametrizada su
conformación). Además, otros aspectos que están en contraposición con las citadas
políticas, es el hecho vinculado con el consumo de alimentos en las estaciones de trabajo.
2.4.1.3 CAUSA
La condición señalada se presenta debido a que parte de la infraestructura tecnológica del
SFE, no cuenta con las medidas de seguridad lógica adecuadas y por otra parte existe
debilidad a nivel de cultura organizacional sobre este tema.
2.4.1.4 EFECTO
El incumplimiento del manual de políticas de seguridad, genera que la información
procesada y custodiada en las bases de datos del SFE, presente mayor riesgo de: pérdida
información, modificaciones sin autorización y fuga de información.
2.4.1.5 CONCLUSIÓN
Se evidencia incumplimiento del manual de políticas de seguridad del SFE, principalmente
en lo referente a seguridad lógica; situación que debilita el sistema de control interno.
2.4.1.6 RECOMENDACIONES
A la Jefatura de la Unidad de Tecnología de la Información:
2.4.1.6.1 Realizar campañas de concientización a nivel organizacional, sobre la
importancia del cumplimiento del manual de políticas de seguridad del SFE;
aspecto que deberá reflejarse en el programa de trabajo anual de la Unidad de
TI.
Una Firma, Un respaldo Web: www.despachocarvajal.com 27
2.4.1.6.2 Analizar la posibilidad de realizar el cambio o los ajustes necesarios a los
sistemas SICA, SAUDE y SIDEX que no cuentan con las medidas de seguridad
adecuadas para contribuir y lograr el cumplimiento de lo establecido en el
manual de políticas; lo anterior considerando el presente hallazgo y hallazgos
complementarios del presente informe. De presentarse inconvenientes para la
implementación de la recomendación, se deberán fundamentar y documentar
los mismos. En el caso que la administración considere que no es conveniente
invertir recursos en realizar los ajustes necesarios a los sistemas SICA y
SAUDE, que saldrán de producción con el sistema SIVUCE II dicha decisión
debe quedar fundamentada y documentada.
2.4.1.6.3 Establecer las regulaciones necesarias que permitan formalmente establecer las
responsabilidades del usuario en el cumplimiento de las políticas de seguridad
de la información del SFE. Dicha gestión debe considerar el mecanismo que se
utilizará para documentar y comunicar esos incidentes a las dependencias
competentes que deberán analizar dicho incumplimiento y la eventual
determinación de responsabilidades bajo los términos del debido proceso.
Una Firma, Un respaldo Web: www.despachocarvajal.com 28
2.5 SEGREGACIÓN DE FUNCIONES
2.5.1 HALLAZGO No. 5: NO SE CUENTA CON UNA ADECUADA
SEGREGACIÓN DE FUNCIONES A NIVEL DE ACCESOS AL
SISTEMA SAUDE
2.5.1.1 CRITERIO:
En las Normas Técnicas para la Gestión y el Control de las Tecnologías de Información
emitidas por la Contraloría General de la República, punto 1.4.5 Control de acceso, se
establece que: La organización debe proteger la información de accesos no autorizados.
Para dicho propósito debe:
a. Establecer un conjunto de políticas, reglas y procedimientos relacionados con el acceso a
la información, al software de base y de aplicación, a las bases de datos y a las terminales y
otros recursos de comunicación.
b. Clasificar los recursos de TI en forma explícita, formal y uniforme de acuerdo con
términos de sensibilidad.
c. Definir la propiedad, custodia y responsabilidad sobre los recursos de TI.
d. Establecer procedimientos para la definición de perfiles, roles y niveles de privilegio, y
para la identificación y autenticación para el acceso a la información, tanto para usuarios
como para recursos de TI.
e. Asignar los derechos de acceso a los usuarios de los recursos de TI, de conformidad con
las políticas de la organización bajo el principio de necesidad de saber o menor privilegio.
Los propietarios de la información son responsables de definir quiénes tienen acceso a la
información y con qué limitaciones o restricciones.
f. Implementar el uso y control de medios de autenticación (identificación de usuario,
contraseñas y otros medios) que permitan identificar y responsabilizar a quienes utilizan los
recursos de TI. Ello debe acompañarse de un procedimiento que contemple la requisición,
aprobación, establecimiento, suspensión y desactivación de tales medios de autenticación,
así como para su revisión y actualización periódica y atención de usos irregulares.
i. Establecer controles de acceso a la información impresa, visible en pantallas o
almacenada en medios físicos y proteger adecuadamente dichos medios.
j. Establecer los mecanismos necesarios (pistas de auditoría) que permitan un adecuado y
periódico seguimiento al acceso a las TI.
k. Manejar de manera restringida y controlada la información sobre la seguridad de las TI.
2.5.1.2 CONDICIÓN:
Durante el presente proceso de auditoría se evidenció que al Sistema SAUDE, tienen
acceso actualmente 7 funcionarios del SFE. El acceso a dicho Sistema se administra
mediante Active Directory, ya que este sistema no cuenta con un Módulo de Seguridad, por
tanto todos los usuarios incluidos tienen acceso a realizar las opciones que permite el
sistema (registrar, consultar e imprimir). Un aspecto a recalcar sobre la información
Una Firma, Un respaldo Web: www.despachocarvajal.com 29
facilitada, corresponde a que de acuerdo a lo expresado por la Jefatura de Ventanilla Única
este Sistema es solo utilizado por 4 funcionarios; no obstante como se evidencian existen
dos funcionarios de la Unidad de Fiscalización de Agroquímicos que tienen acceso al
SAUDE y además tiene acceso la Analista de Sistemas a cargo del mismo. Por otra parte no
existe documentación que evidencie que la Jefatura dueña del proceso haya realizado la
solicitud de que a los funcionarios detallados anteriormente se les diera acceso a SAUDE,
con la respectiva justificación, tal como se regula en el documento TI-ADS-PO-01
Creación de perfiles y Roles, que entró a regir el 02 de enero del 2012.
2.5.1.3 CAUSA:
El sistema SAUDE fue adquirido en el 2004, y de acuerdo a la normativa facilitada
referente a la creación y asignación de roles y perfiles fue confeccionada y empezó a regir
en el 2012 y a la fecha no se ha implementado para este sistema.
2.5.1.4 EFECTO:
La condición indicada puede generar que se presenten con mayor facilidad situaciones
como:
Incumplimiento de lo dispuesto en el documento TI-ADS-PO-01 Creación de
perfiles y Roles.
Fuga de información.
Errores voluntarios e involuntarios.
Debilidades en el control interno.
2.5.1.5 CONCLUSIÓN:
Se evidenció que no se ha valorado la importancia que tiene validar y estudiar la
conveniencia y necesidad de que los usuarios actuales del sistema SAUDE, tengan acceso a
éste; lo que también conlleva a una adecuada definición de roles.
2.5.1.6 RECOMENDACIONES:
A la Jefatura de la Unidad de Tecnología de la Información:
2.5.1.6.1 Analizar por parte de la Unidad de Tecnologías de la Información, la
posibilidad de confeccionar un Módulo de Seguridad para el sistema SAUDE,
que permita definir roles y perfiles. Considerando que SAUDE saldrá de
producción una vez que SIVUCE II se utilice la decisión que se adopte deberá
fundamentarse y documentarse.
Una Firma, Un respaldo Web: www.despachocarvajal.com 30
A la Jefatura del Departamento de Control Fitosanitario y a la Encargada de la
Ventanilla Única, coordinar lo que corresponda con el Departamento de
Agroquímicos y Equipos y la Unidad de TI:
2.5.1.6.2 Definir roles y perfiles por parte de la Jefatura dueña de la información que se
procesa y consulta mediante el sistema SAUDE, que permita mantener un
mayor control de las personas que accesan a éste. Además de estudiar y
justificar la necesidad y conveniencia de que los usuarios que actualmente
tienen acceso a SAUDE se mantengan.
A la Jefatura de la Unidad de Tecnología de la Información:
2.5.1.6.3 Analizar si para el resto de los sistemas automatizados que operan en el SFE, se
está atendiendo lo dispuesto en el documento TI-ADS-PO-01 Creación de
perfiles y Roles (versión enero 2012); resultados que deberán quedar
documentados.
Una Firma, Un respaldo Web: www.despachocarvajal.com 31
2.6 ANALISTA CON ACCESO A PRODUCCIÓN
2.6.1 HALLAZGO No. 6: LA ANALISTA A CARGO DE LA
ADMINISTRACIÓN DEL SISTEMA SAUDE, TIENE ACCESO AL
SISTEMA EN PRODUCCIÓN
2.6.1.1 CRITERIO:
En las Normas Técnicas para la Gestión y el Control de las Tecnologías de Información
emitidas por la Contraloría General de la República, punto 1.4.6 Seguridad en la
implementación y mantenimiento de software e infraestructura tecnológica, se establece
que: La organización debe mantener la integridad de los procesos de implementación y
mantenimiento de software e infraestructura tecnológica y evitar el acceso no autorizado,
daño o pérdida de información. Para ello debe:
a. Definir previamente los requerimientos de seguridad que deben ser considerados en la
implementación y mantenimiento de software e infraestructura.
b. Contar con procedimientos claramente definidos para el mantenimiento y puesta en
producción del software e infraestructura.
c. Mantener un acceso restringido y los controles necesarios sobre los ambientes de
desarrollo, mantenimiento y producción.
d. Controlar el acceso a los programas fuente y a los datos de prueba.
2.6.1.2 CONDICIÓN
De acuerdo al detalle de usuarios que tienen acceso al sistema SAUDE facilitados por parte
de la Unidad de TI, se determinó que la funcionaria Marcela Umaña, Analista a cargo de la
administración de este sistema, posee acceso al mismo como cualquier otro funcionario del
área usuaria.
Por otra parte, no se realizan estudios periódicos para determinar si los accesos asignados a
los sistemas de la institución están acorde con las funciones de cada colaborador.
2.6.1.3 CAUSA:
No ha sido considerado y valorado el riesgo que representa que un funcionario con
conocimientos tecnológicos mantenga acceso al ambiente de producción del sistema
SAUDE.
Una Firma, Un respaldo Web: www.despachocarvajal.com 32
2.6.1.4 EFECTO:
Incumplimiento a la normativa de seguridad establecida y además existe un riesgo
potencial, ya que puede generar que personal ajeno a la Unidad de Ventanilla Única
"dueños de la información" registre o imprima información, o realice funciones que no les
corresponden, ya sea por error o bien en forma voluntaria.
2.6.1.5 CONCLUSIÓN:
Se evidencia que un funcionario de la Unidad de TI mantiene acceso al sistema SAUDE
que se encuentra en producción, lo que incumple con lo establecido en las Normas
N-2-2007-CO-DFOE; situación que genera un debilitamiento al sistema de control interno.
2.6.1.6 RECOMENDACIÓN:
A la Jefatura de la Unidad de Tecnología de la Información:
2.6.1.6.1 Realizar las gestiones necesarias, con el fin de que se proceda a:
a) Eliminar el acceso al sistema SAUDE que tiene la funcionaria de la Unidad
de Tecnologías de la Información; con el propósito de que la información del
citado sistema sea accesada solo por personal autorizado de acuerdo con las
funciones que desempeñan.
b) Analizar que dicha situación no se esté presentando en otros sistemas
automatizados del SFE que se encuentran en producción; gestión que deberá
quedar debidamente documentada.
Una Firma, Un respaldo Web: www.despachocarvajal.com 33
2.7 CLASIFICACIÓN Y RESGUARDO
2.7.1 HALLAZGO No. 7: NO SE CUENTA CON UNA POLITICA DE
CLASIFICACION DE LA INFORMACION, NI CON UNA
POLITICA PARA EL REGUARDO DE LOS DATOS EN EL SFE
2.7.1.1 CRITERIO:
De acuerdo con las Normas Técnicas para la Gestión y el Control de las Tecnologías de
Información emitidas por la Contraloría General de la República, en el punto 1.4.1
Implementación de un marco de seguridad de la información, se establece que: La
organización debe implementar un marco de seguridad de la información, para lo cual debe:
a. Establecer un marco metodológico que incluya la clasificación de los recursos de TI,
según su criticidad, la identificación y evaluación de riesgos, la elaboración e
implementación de un plan para el establecimiento de medidas de seguridad, la evaluación
periódica del impacto de esas medidas y la ejecución de procesos de concienciación y
capacitación del personal.
b. Mantener una vigilancia constante sobre todo el marco de seguridad y definir y ejecutar
periódicamente acciones para su actualización.
c. Documentar y mantener actualizadas las responsabilidades tanto del personal de la
organización como de terceros relacionados.
PO2.3 Esquema de Clasificación de Datos, del COBIT menciona: Establecer un esquema
de clasificación que aplique a toda la empresa, basado en que tan crítica y sensible es la
información (esto es, pública, confidencial, secreta) de la empresa. Este esquema incluye
detalles acerca de la propiedad de datos, la definición de niveles apropiados de seguridad y
de controles de protección, y una breve descripción de los requerimientos de retención y
destrucción de datos, además de qué tan críticos y sensibles son. Se usa como base para
aplicar controles como el control de acceso, archivo o cifrado.
2.7.1.2 CONDICIÓN:
Se determinó que el SFE no cuenta con políticas de clasificación de la información y para
el reguardo de los datos en el SFE; cuya implementación permita lograr un nivel aceptable
de seguridad de la información.
2.7.1.3 CAUSA:
No se ha visualizado a nivel institucional la importancia de contar con las políticas
referentes a la clasificación y el reguardo de los datos del SFE.
Una Firma, Un respaldo Web: www.despachocarvajal.com 34
2.7.1.4 EFECTO:
No contar con políticas formalmente establecidas en materia de clasificación y resguardo de
los datos, trae consigo la eventual materialización de conductores de riesgos, tales como:
Requisitos de seguridad inadecuados.
Las inversiones inadecuadas o excesivas en controles de seguridad.
El incumplimiento de normativa o requerimientos de terceros.
Información ineficaz o incoherente para la toma de decisiones.
2.7.1.5 CONCLUSIÓN:
El SFE no se ha dado a la tarea de confeccionar e implementar las políticas de clasificación
de la información y resguardo de los datos, lo cual propicia un riesgo potencial respecto a la
seguridad de la información custodiada en la institución.
2.7.1.6 RECOMENDACIONES:
A la Jefatura del Archivo Institucional en coordinación con las jefaturas de la Unidad
de Asuntos Jurídicos y la Unidad de Tecnología de la Información:
2.7.1.6.1 Confeccionar tanto la política de clasificación de la información como la
correspondiente al resguardo de los datos (documentos físicos o electrónicos).
Lo anterior considerando entre otros los siguientes aspectos:
Definir los atributos de clasificación de datos, tales como la propiedad de los datos, la
definición de los niveles de seguridad (confidencialidad, integridad y disponibilidad),
una breve descripción de los requisitos de retención de datos y destrucción.
Definir los niveles de clasificación de datos para cada uno de los atributos definidos
(por ejemplo, a la confidencialidad: público interno, confidencial).
Identificar los dueños responsables de la información.
Asegurar que los dueños de la información la clasifican utilizando el esquema y los
niveles definidos. La clasificación cubre todo el ciclo de vida de la información desde
la creación hasta disposición.
Hacer que los dueños de información comprendan las consecuencias de la
clasificación, y las necesidades de seguridad en contra de las consideraciones de costo
y otros requisitos de negocio teniendo en cuenta el valor de los activos que poseen.
Asegurar que la información y los datos están etiquetados, manejados, protegidos y
asegurados de una manera consistente con las categorías de clasificación de datos.
Establecer los recursos mediante los cuales se va a custodiar la información.
Para esta labor la administración puede tomar como referencia la ISO 27001 referente a
la seguridad de la información.
Una Firma, Un respaldo Web: www.despachocarvajal.com 35
2.8 MODELO ARQUITECTURA DE INFORMACIÓN
2.8.1 HALLAZGO No. 8: NO SE HA ESTABLECIDO UN MODELO DE
ARQUITECTURA DE LA INFORMACIÓN PARA EL SFE
2.8.1.1 CRITERIO:
P02. (COBIT) Definir la Arquitectura de la Información, la función de sistemas de
información debe crear y actualizar de forma regular un modelo de información del negocio
y definir los sistemas apropiados para optimizar el uso de esta información. Esto incluye el
desarrollo de un diccionario corporativo de datos que contiene las reglas de sintaxis de los
datos de la organización, el esquema de clasificación de los datos y los niveles de
seguridad. Este proceso mejora la calidad de la toma de decisiones gerenciales
asegurándose que se proporciona información confiable y segura, y permite racionalizar los
recursos de los sistemas de información para igualarse con las estrategias del negocio. Este
proceso de TI también es necesario para incrementar la responsabilidad sobre la integridad
y seguridad de los datos y para mejorar la efectividad y control de la información
compartida a lo largo de las aplicaciones y de las entidades.
2.8.1.2 CONDICIÓN:
Durante la ejecución de este estudio se evidenció que la Unidad de Tecnologías de
Información del SFE, no ha confeccionado y establecido formalmente un modelo de
arquitectura de la información.
2.8.1.3 CAUSA:
La implementación de un modelo de arquitectura de la información del SFE, no ha sido
considerado como un aspecto relevante para lograr una adecuada gestión de las TI.
2.8.1.4 EFECTO:
Las consecuencias de no contar con un modelo de arquitectura de la información
formalmente establecido, podrían verse materializadas de la siguiente manera:
Información insuficiente para las funciones o actividades que se realizan en la
institución.
La inconsistencia entre la información y requisitos de aplicación desarrollos.
Inconsistencia de datos entre la organización y los sistemas.
Gran esfuerzo requerido o la imposibilidad de cumplir con las obligaciones (por
ejemplo, los informes de cumplimiento, seguridad, privacidad).
Planificación ineficaz de los programas de inversión de TI, debido a la falta de la
información.
Una Firma, Un respaldo Web: www.despachocarvajal.com 36
La acumulación de datos que no es relevante, consistente o utilizable de una
manera económica.
2.8.1.5 CONCLUSIÓN:
No se cuenta con un modelo de arquitectura de la información en el SFE, impidiendo
generar beneficios para la gestión tanto de la organización como para la gestión de TI, entre
las cuales se encuentran:
Mejora de la toma de decisión basada en información relevante, fiable y utilizable.
Mejora la agilidad de TI y la capacidad de respuesta a los requisitos de la
institución.
Soporte para funciones de la organización a través de datos exactos, completos y
válidos.
Gestión de datos y eficiente reducción de la redundancia y la duplicación.
Integridad de datos mejorada.
Cumplir con los requisitos internos y externos, referentes a
seguridad y privacidad de los datos.
2.8.1.6 RECOMENDACIÓN:
A la Jefatura de la Unidad de Tecnología de la Información:
2.8.1.6.1 Confeccionar, implementar y mantener actualizado un modelo de arquitectura
de información, que considere los siguientes aspectos:
Implementación de un diccionario de datos.
Definición de lenguaje o lenguajes de programación a utilizar en el SFE.
Definición de base de datos a utilizar en el SFE.
Establecimiento de reglas de sintaxis.
Establecimiento de un modelo de entidad relación.
Definición de un esquema de clasificación de los datos.
Documentación del contexto en que se desarrolla toda la organización, de una manera
comprensible para la institución y la gestión de TI. (flujos de procesos)
El modelo de arquitectura de la información debe ser consistente con la estrategia de la
organización y sus planes tácticos.
Se debe comprobar el modelo de arquitectura de la información periódicamente para
verificar su adecuación con respecto a la flexibilidad, funcionalidad, rentabilidad,
seguridad, el cumplimiento y satisfacción del usuario.
También se debe analizar la posibilidad de estandarizar la arquitectura de la información
del SFE, y caso contrario se deben detallar claramente las excepciones.
Una Firma, Un respaldo Web: www.despachocarvajal.com 37
2.9 REGISTROS CONTABLES
2.9.1 HALLAZGO No. 9: NO EXISTEN REGISTROS CONTABLES QUE
PERMITAN REFLEJAR EN LOS ESTADOS FINANCIEROS LOS
SISTEMAS SICA, SAUDE, SICOIN Y SIDEX.
2.9.1.1 CRITERIO:
Las Normas de Control Interno para el Sector Público establecen que "4.5.5 Control sobre
bienes y servicios provenientes de donantes externos, El jerarca y los titulares
subordinados, según sus competencias, deben establecer, mantener, perfeccionar y evaluar
las actividades de control necesarias en relación con los bienes y servicios provenientes de
donantes externos, sean estos obtenidos bajo la modalidad de donación, cooperación
técnica o cooperación financiera no reembolsable. Lo anterior, de manera que sobre esos
bienes o servicios se ejerzan los controles de legalidad, contables, financieros y de
eficiencia que determina el bloque de legalidad.
Como parte del control ejercido, deben velar porque tales bienes y servicios cumplan con la
condición de satisfacer fines públicos y estén conformes con los principios de
transparencia, rendición de cuentas, utilidad, razonabilidad y buena gestión administrativa."
También se establece en dicho marco normativo, lo siguiente "4.3.1 Regulaciones para la
administración de activos. El jerarca y los titulares subordinados, según sus competencias,
deben establecer, actualizar y comunicar las regulaciones pertinentes con respecto al uso,
conservación y custodia de los activos pertenecientes a la institución. Deben considerarse al
menos los siguientes asuntos:
a. La programación de las necesidades de determinados activos, tanto para efectos de
coordinación con las instancias usuarias, como para la previsión de sustituciones,
reparaciones y otros eventos.
b. La asignación de responsables por el uso, control y mantenimiento de los activos,
incluyendo la definición de los deberes, las funciones y las líneas de autoridad y
responsabilidad pertinentes.
c. El control, registro y custodia de la documentación asociada a la adquisición, la
inscripción, el uso, el control y el mantenimiento de los activos.
d. El control de los activos asignados a dependencias desconcentradas o descentralizadas.
e. El cumplimiento de requerimientos legales asociados a determinados activos, tales como
inscripción, placas y distintivos.
f. Los convenios interinstitucionales para préstamo de activos, así como su justificación y
autorización, las cuales deben constar por escrito.
g. El tratamiento de activos obsoletos, en desuso o que requieran reparaciones costosas."
De acuerdo a lo establecido en la Norma Internacional de Contabilidad para el Sector
Público 31, “Un activo intangible se reconocerá si, y solo si:
Una Firma, Un respaldo Web: www.despachocarvajal.com 38
(a) es probable que los beneficios económicos futuros o potencial de servicio que se han
atribuido al mismo fluyan a la entidad; y (b) el valor razonable o el costo del activo puedan
ser medidos de forma fiable.”
Los Principios de Contabilidad Generalmente Aceptados, establecidos como requeridos a
aplicar en el sector Público, establecen lo siguiente "Revelación Suficiente: Los estados
contables y financieros deben contener toda la información necesaria que exprese
adecuadamente la situación económica-financiera y de los recursos y gastos del Ente y, de
esta manera, sean la base para la toma de decisiones.
Dicha información en consecuencia, debe ser pertinente, comprensible, imparcial,
verificable, oportuna, confiable, comparable y suficiente.
Cuando ocurran eventos o transacciones en términos monetarios extraordinarios o que
ameriten algún tipo de explicación para que la información sea transparente, se deberán
poner notas explicativas al pie de los estados financieros y otros cuadros."
2.9.1.2 CONDICIÓN:
No existe evidencia que demuestre que los sistemas SAUDE, SICA, SICOIN Y SIDEX se
registraran a nivel contable como un Activo propiedad del SFE, así como los costos que la
Institución incurrió para su adquisición; situación que no permite su revelación (valor
monetario) en los Estados Financieros de la institución.
Consecuente con lo anterior, a la fecha no es posible conocer el costo en los que incurrió el
SFE en la adquisición de los sistemas SICA, SICOIN y SAUDE; así como la puesta en
producción del sistema SIDEX.
Es importante indicar que se informó que los tres primeros sistemas mencionados fueron
adquiridos aproximadamente en el 2004 y en el caso de SIDEX su donación se realizó en el
2011.
2.9.1.3 CAUSA:
Los sistemas SICA, SAUDE, SICOIN y SIDEX, al momento de implantarlos en el SFE no
fueron considerados como un activo intangible.
2.9.1.4 EFECTO:
En cuanto a los SICA, SAUDE, SICOIN y SIDEX, los estados financieros no reflejan
exactitud respecto a su situación financiera; situación que no estaría conforme al
cumplimiento de la normativa técnica contable aplicable al SFE.
Una Firma, Un respaldo Web: www.despachocarvajal.com 39
2.9.1.5 CONCLUSIÓN:
Se evidencia que para la puesta en marcha de los sistemas SICA, SAUDE, SICOIN y
SIDEX no se realizó el tratamiento contable correspondiente de acuerdo a la naturaleza de
este tipo de activos; situación que debilita el sistema de control interno y propicia un
incumplimiento a la aplicación de la normativa técnica contable aplicable al SFE.
2.9.1.6 RECOMENDACIÓN:
A la Jefatura del Departamento Administrativo y Financiero con el apoyo de la
Unidad de Tecnología de la Información:
2.9.1.6.1 Asignar el valor económico razonable a los sistemas SICA, SAUDE, SICOIN y
SIDEX (haciendo extensiva la presente recomendación para todos los
sistemas que se encuentran en producción en el SFE y que presentan la
misma condición), para posteriormente registrarlos contablemente como un
activo intangible conforme con la naturaleza de este tipo de activo; situación
que debe propiciar su revelación en los estados financieros del SFE. Este avalúo
debe ser realizado por un profesional calificado.
En los casos en que la administración activa considere que no es conveniente
asignarle valor a los sistemas, deberá fundamentarlo y documentarlo.
Una Firma, Un respaldo Web: www.despachocarvajal.com 40
2.10 ADMINISTRACIÓN DE PROBLEMAS
2.10.1 HALLAZGO No. 10: NO SE CUENTA CON UNA METODOLOGIA
PARA LA ADMINISTRACION DE PROBLEMAS EN LA UNIDAD
DE T.I. DEL SFE.
2.10.1.1 CRITERIO:
COBIT establece mediante el objetivo de control DS10 Administración de Problemas, que
"Una efectiva administración de problemas requiere la identificación y clasificación de
problemas, el análisis de las causas desde su raíz, y la resolución de problemas. El proceso
de administración de problemas también incluye la identificación de recomendaciones para
la mejora, el mantenimiento de registros de problemas y la revisión del estatus de las
acciones correctivas. Un efectivo proceso de administración de problemas mejora los
niveles de servicio, reduce costos y mejora la conveniencia y satisfacción del usuario."
Incidente: Cualquier evento que no sea parte de la operación estándar de un servicio que
ocasione, o pueda ocasionar, una interrupción o una reducción de la calidad de ese servicio.
Problema: Causa subyacente desconocida de uno o más incidentes
2.10.1.2 CONDICIÓN:
A la fecha de la presente auditoría, la Unidad de Tecnología de la Información, no ha
confeccionado e implementado una metodología para la administración de problemas
informáticos, que abarque los aspectos relacionados con la plataforma tecnológica del SFE.
2.10.1.3 CAUSA:
La Unidad de TI no ha establecido una metodología para la administración de problemas,
debido a que no se diferenció en su momento el concepto de incidente y de problema.
2.10.1.4 EFECTO:
La ausencia de una metodología de problemas, puede generar que se presenten con mayor
facilidad las siguientes situaciones:
La interrupción de los servicios de TI.
Aumento de la probabilidad de la reaparición de un problema.
Los problemas y los incidentes no resueltos de manera oportuna.
La falta de pistas de auditoría de los problemas, incidentes y sus soluciones, como
información proactiva para la administración de problemas.
Una Firma, Un respaldo Web: www.despachocarvajal.com 41
La recurrencia de incidentes.
2.10.1.5 CONCLUSIÓN:
No se cuenta con una metodología de administración de problemas, impidiendo visualizar y
establecer en forma clara cuando un incidente se convierte en un problema; lo anterior
considerando que su incidencia es constante. Se genera además, que no se identifiquen e
implementen acciones a problemas que permitan minimizar la ocurrencia y su efecto en la
gestión diaria de la organización.
2.10.1.6 RECOMENDACIÓN
A la Jefatura de la Unidad de Tecnología de la Información:
2.10.1.6.1 Confeccionar, aprobar y mantener actualizada una metodología para la
administración de problemas informáticos, considerando durante su elaboración
los siguientes elementos:
Identificar los problemas a través de la correlación de los informes de incidentes, los registros de error y otros recursos de la identificación del
problema.
Determinar los niveles de prioridad y la categorización de abordar los
problemas de manera oportuna.
Definir e implementar un proceso de solución que tenga acceso a todos los
datos, incluyendo la información del sistema de gestión del cambio y de la
configuración de activos y detalles del incidente, para abordar con eficacia
la causa.
Definir los grupos de apoyo necesarios para facilitar la identificación de
problemas, análisis de causa raíz y la determinación de la solución para
apoyar la gestión de problemas.
Definir grupos de apoyo basados en categorías predefinidas, como hardware,
software, redes, aplicaciones y software de apoyo.
Definir los niveles de prioridad a través de consultas con la organización
para asegurar que la identificación de problemas y análisis de causa raíz se
manejen de una manera oportuna, de acuerdo a los niveles de prioridad con
base de impacto en el negocio y la urgencia.
Informar sobre el estado de atención de los problemas identificados en el
mostrador de servicio, para que los clientes y la gestión de TI puedan
mantenerse informados.
Una Firma, Un respaldo Web: www.despachocarvajal.com 42
2.11 COMISIÓN DE INFORMÁTICA
2.11.1 HALLAZGO No.11: NO SE EVIDENCIA QUE EL COMITÉ DE
INFORMÁTICA DEL SFE HAYA TRATADO EL TEMA DEL
PROYECTO CON PROCOMER.
2.11.1.1 CRITERIO:
De acuerdo a lo establecido en el objetivo de control PO4.2 Comité Estratégico de TI, de
COBIT es necesario “Establecer un comité estratégico de TI. Este Comité deberá asegurar
que el gobierno de TI, como parte del gobierno corporativo, se maneja de forma adecuada,
asesora sobre la dirección estratégica y revisa las inversiones a nombre del consejo
completo.”
2.11.1.2 CONDICIÓN:
Producto de la revisión del contenido de las actas que respaldan las sesiones realizadas por
la Comisión de Informática durante el 2012 y los meses transcurridos del 2013, no se
evidencia que el tema del proyecto de implementación del sistema SIVUCE II de
PROCOMER se esté considerando como un tema institucional que afecta al SFE; aun
cuando para dicho proyecto la información registrada mediante los sistemas SICA,
SAUDE, SICOIN y SIDEX es relevante.
2.11.1.3 CAUSA:
La Comisión Informática del SFE no ha visualizado el proyecto SIVUCE II, como un
asunto de impacto institucional, lo cual se ve reflejado en el resultado de las entrevistas
realizadas a diferentes funcionarios del SFE, que intervienen en el desarrollo del proyecto.
2.11.1.4 EFECTO:
Debido a que este proyecto no ha sido visualizado a nivel institucional, podría provocar que
el SFE no cumpla con su papel y sus responsabilidades; situación que podría generar
retrasos en la implantación de SIVUCE II.
2.11.1.5 CONCLUSIÓN:
El Proyecto SIVUCE II de PROCOMER, fue concebido para generar un beneficio a nivel
nacional una vez finalizada su implementación. El SFE juega un papel importante en el
éxito de este, debido a que sus bases de datos alimentarán las transacciones o procesos que
se realicen mediante este sistema.
Una Firma, Un respaldo Web: www.despachocarvajal.com 43
Por otra parte se observa que la Comisión de Informática no está cumpliendo con un papel
regulador y asesor de la planificación estratégica en materia de Tecnologías de la
Información, lo cual puede originar planificación insuficiente a nivel organizacional y el
desaprovechamiento de recursos relacionados con las T.I.
2.11.1.6 RECOMENDACIONES:
A la Directora del SFE, a efecto de que gire instrucciones a la Comisión de
Informática:
2.11.1.6.1 Adoptar las medidas que sean necesarias, cuya implementación le permita al
SFE cumplir en forma efectiva con los compromisos asumidos con relación al
proyecto PROCOMER relativo al sistema SIVUCE II. Lo anterior con el
objetivo de que la organización responda de manera oportuna a la atención de
cada una de las actividades requeridas para facilitar la entrada en producción
del mencionado sistema; según el papel que le corresponde emprender al SFE
dentro de los términos del citado proyecto. En ese sentido, el SFE deberá
valorar la necesidad de elaborar e emitir un cronograma específico de
actividades (o documento similar) cuya implementación guíe y facilite la
gestión del SFE sobre este particular, manteniendo un continuo seguimiento de
las acciones establecidas y ajustando dicho cronograma, según corresponda.
Las acciones que se adopten con relación a la elaboración e implementación
del citado cronograma, deberán alinearse a la recomendación N° 2.18.6.1
contenida en el Hallazgo 18 del presente informe (numeral 2.18.1).
2.11.1.6.2 Adoptar las medidas necesarias a efecto de que cada uno de los aspectos
vinculados con las necesidades tecnologías de información (en forma previa a
gestionar y cubrir las mismas) sean conocidas, analizadas y resueltas por la
Comisión de Informática; lo anterior con el fin de que ese órgano colegiado
emita la asesoría y los acuerdos respectivos que deben ir dirigidos al órgano
competente responsable de la toma de decisiones. Dicha gestión debe permitir
establecer la estructura básica y/o el formato mediante el cual se deberá reportar
el incidente que informe sobre la adquisición de tecnología de la información,
cuyo trámite no fue conocido en forma previa por la citada Comisión; lo
anterior con el fin de que se efectúe la investigación respectiva y se resuelva
según corresponda.
2.11.1.6.3 Realizar las acciones necesarias para que se analice y se proceda según
corresponda con la aprobación e implementación de la nueva versión del
Reglamento de la Comisión de Informática (el mismo debe considerar lo
señalado en la recomendación 2.11.1.6.4 anterior)
Una Firma, Un respaldo Web: www.despachocarvajal.com 44
2.11.1.6.4 Ampliar el reglamento del Comité de Informática, de manera que incluya las
funciones de:
Proponer las políticas generales sobre TI.
Revisar periódicamente el marco para la gestión de TI.
Presentar al menos semestralmente o cuando las circunstancias así lo
ameriten, un reporte sobre el impacto de los riesgos asociados a TI.
Monitorear que la alta gerencia tome medidas para gestionar el riesgo de
TI en forma consistente con las estrategias y políticas y que cuenta con
los recursos necesarios para esos efectos.
Una Firma, Un respaldo Web: www.despachocarvajal.com 45
2.12 ADMINISTRACIÓN DE DATOS
2.12.1 HALLAZGO No.12: NO EXISTE DOCUMENTACIÓN QUE
RESPALDE LA ADQUISICIÓN DE LOS SISTEMAS SICA, SAUDE Y
SICOIN Y LA DONACIÓN DEL SISTEMA SIDEX.
2.12.1.1 CRITERIO:
Las Normas Técnicas para la Gestión y el Control de las Tecnologías de Información
emitidas por la Contraloría General de la República, establecen en el punto 3.2
Implementación de software, que “La organización debe implementar el software que
satisfaga los requerimientos de sus usuarios y soporte efectivamente sus procesos, para lo
cual debe:
a. Observar lo que resulte aplicable de la norma 3.1anterior.
b. Desarrollar y aplicar un marco metodológico que guíe los procesos de implementación y
considere la definición de requerimientos, los estudios de factibilidad, la elaboración de
diseños, la programación y pruebas, el desarrollo de la documentación, la conversión de
datos y la puesta en producción, así como también la evaluación postimplantación de la
satisfacción de los requerimientos.
c. Establecer los controles y asignar las funciones, responsabilidades y permisos de acceso
al personal a cargo de las labores de implementación y mantenimiento de software.
d. Controlar la implementación del software en el ambiente de producción y garantizar la
integridad de datos y programas en los procesos de conversión y migración.
e. Definir los criterios para determinar la procedencia de cambios y accesos de emergencia
al software y datos, y los procedimientos de autorización, registro, supervisión y evaluación
técnica, operativa y administrativa de los resultados de esos cambios y accesos.
f. Controlar las distintas versiones de los programas que se generen como parte de su
mantenimiento.”
Por otra parte, las Normas de Control Interno para el Sector Público, en el punto 5.4
Gestión documental, establecen que “El jerarca y los titulares subordinados, según sus
competencias, deben asegurar razonablemente que los sistemas de información propicien
una debida gestión documental institucional, mediante la que se ejerza control, se almacene
y se recupere la información en la organización, de manera oportuna y eficiente, y de
conformidad con las necesidades institucionales.”
Una Firma, Un respaldo Web: www.despachocarvajal.com 46
2.12.1.2 CONDICIÓN:
Al solicitar la documentación (estudio de factibilidad, requerimientos del usuario, pruebas
de implementación, entre otros) tanto electrónica como física que respalde el estudio,
desarrollo, implementación y mantenimiento de los sistemas SICA, SAUDE, SICOIN y
SIDEX, mismos que actualmente se encuentran en producción en el SFE, se indicó por
parte de los analistas a cargo de la administración de los mismos, que la documentación
solicitada no existe.
2.12.1.3 CAUSA:
Al momento de la adquisición de los sistemas SICA, SAUDE, SICOIN y de la donación del
sistema SIDEX, no se documentaron los aspectos mínimos requeridos para lograr una
administración adecuada de los sistemas.
2.12.1.4 EFECTO:
Se dificulta el mantenimiento y administración de los sistemas SICA, SAUDE, SIDEX y
SICOIN.
2.12.1.5 CONCLUSIÓN:
La ausencia de documentación, genera que no exista la información necesaria para que los
analistas de sistemas brinden un adecuado mantenimiento de estos o bien la posibilidad de
corregir algún tipo de error en su funcionamiento. Lo cual generaría costos extras para el
SFE, ya que el tiempo que debe dedicar el analista podría ser no razonable. Además, se
podría incurrir en costos elevados para la implementación a nivel institucional de Software
de una baja calidad y que no cumple con las necesidades reales de la organización.
2.12.1.6 RECOMENDACIÓN:
A la jefatura de la Unidad de Tecnología de la Información:
2.12.1.6.1 Realizar las gestiones necesarias para contar con la documentación tanto a nivel
técnico como a nivel de usuario de los sistemas SICA, SAUDE, SICOIN y
SIDEX; situación que además debe garantizar en forma razonable que en
futuras implementaciones de software los sistemas cuenten con este
requerimiento. La gestión y decisiones que se adopten con relación a la
presente recomendación, deberán quedar fundamentadas y documentadas.
Una Firma, Un respaldo Web: www.despachocarvajal.com 47
2.13 BITÁCORAS
2.13.1 HALLAZGO No.13: EL SISTEMA SAUDE NO CUENTA CON
BITÁCORAS DE TRANSACCIONES
2.13.1.1 CRITERIO:
En las Normas Técnicas para la Gestión y el Control de las Tecnologías de Información de
la Contraloría General de la Republica, se establece lo siguiente 1.4.5 Control de acceso, La
organización debe proteger la información de accesos no autorizados. Para dicho propósito
debe:
a. Establecer un conjunto de políticas, reglas y procedimientos relacionados con el acceso a
la información, al software de base y de aplicación, a las bases de datos y a las terminales y
otros recursos de comunicación.
b. Clasificar los recursos de TI en forma explícita, formal y uniforme de acuerdo con
términos de sensibilidad.
c. Definir la propiedad, custodia y responsabilidad sobre los recursos de TI.
d. Establecer procedimientos para la definición de perfiles, roles y niveles de privilegio, y
para la identificación y autenticación para el acceso a la información, tanto para usuarios
como para recursos de TI.
e. Asignar los derechos de acceso a los usuarios de los recursos de TI, de conformidad con
las políticas de la organización bajo el principio de necesidad de saber o menor privilegio.
Los propietarios de la información son responsables de definir quiénes tienen acceso a la
información y con qué limitaciones o restricciones.
f. Implementar el uso y control de medios de autenticación (identificación de usuario,
contraseñas y otros medios) que permitan identificar y responsabilizar a quienes utilizan los
recursos de TI. Ello debe acompañarse de un procedimiento que contemple la requisición,
aprobación, establecimiento, suspensión y desactivación de tales medios de autenticación,
así como para su revisión y actualización periódica y atención de usos irregulares.
i. Establecer controles de acceso a la información impresa, visible en pantallas o
almacenada en medios físicos y proteger adecuadamente dichos medios.
j. Establecer los mecanismos necesarios (pistas de auditoría) que permitan un adecuado y
periódico seguimiento al acceso a las TI.
k. Manejar de manera restringida y controlada la información sobre la seguridad de las TI.
2.13.1.2 CONDICIÓN:
Durante la evaluación funcional del sistema SAUDE, el cual fue desarrollado por un tercero
y adquirido por el SFE en el 2004, se determinó que dicho sistema no cuenta con bitácoras
de las principales transacciones que se realizan mediante éste; lo cual quedó confirmado
con lo indicado por parte de la Analista a cargo de la Administración de SAUDE.
Una Firma, Un respaldo Web: www.despachocarvajal.com 48
2.13.1.3 CAUSA:
Desde la puesta en marcha el sistema SAUDE careció de bitácoras. Actualmente es
administrado por una funcionaria de la Unidad de TI; sin embargo a la fecha no se han
confeccionado las bitácoras de las principales transacciones que se realizan en este sistema.
2.13.1.4 EFECTO
La ausencia de bitácoras puede generar que se materialicen con mayor facilidad, las
siguientes situaciones:
Imposibilidad de establecer responsabilidad de las transacciones realizadas.
No existe posibilidad de auditar las transacciones realizadas.
2.13.1.5 CONCLUSIÓN:
Se evidencia la ausencia de la confección e implantación de bitácoras, que permitan
conocer los movimientos básicos de las principales transacciones que se realizan en el
sistema SAUDE.
2.13.1.6 RECOMENDACIONES:
A la Jefatura de la Unidad de Tecnología de la Información:
2.13.1.6.1 Valorar la necesidad de elaborar las bitácoras para las principales transacciones
que se realizan mediante SAUDE; lo anterior lo relacionado con el sistema
SIVUCE II (la decisión que se adopte deberá quedar fundamentada y
documentada). Las mismas de incluir al menos los siguientes datos:
Fecha y hora
Terminal origen
Usuario
Actividad realizada
2.13.1.6.2 Incorporar como parte de los procedimientos, la obligación de que se debe
asignar un responsable por parte de la Unidad dueña de la información, para
que se realicen revisiones o seguimientos periódicos de los datos almacenados
en las bitácoras; gestión que deberá quedar documentada.
Una Firma, Un respaldo Web: www.despachocarvajal.com 49
2.14 CONTRASEÑA COMPARTIDA
2.14.1 HALLAZGO No.14: NO SE CUMPLE CON EL PRINCIPIO DE
CONFIDENCIALIDAD Y PRIVACIDAD EN CONTRASEÑA
2.14.1.1 CRITERIO:
De acuerdo a lo normado en las Normas Técnicas para la Gestión y el Control de las
Tecnologías de Información de las Contraloría General de la Republica en el punto 1.4.5
Control de acceso, se establece que "La organización debe proteger la información de
accesos no autorizados. Para dicho propósito debe:
a. Establecer un conjunto de políticas, reglas y procedimientos relacionados con el acceso a
la información, al software de base y de aplicación, a las bases de datos y a las terminales y
otros recursos de comunicación.
b. Clasificar los recursos de TI en forma explícita, formal y uniforme de acuerdo con
términos de sensibilidad.
c. Definir la propiedad, custodia y responsabilidad sobre los recursos de TI.
d. Establecer procedimientos para la definición de perfiles, roles y niveles de privilegio, y
para la identificación y autenticación para el acceso a la información, tanto para usuarios
como para recursos de TI.
e. Asignar los derechos de acceso a los usuarios de los recursos de TI, de conformidad con
las políticas de la organización bajo el principio de necesidad de saber o menor privilegio.
Los propietarios de la información son responsables de definir quiénes tienen acceso a la
información y con qué limitaciones o restricciones.
f. Implementar el uso y control de medios de autenticación (identificación de usuario,
contraseñas y otros medios) que permitan identificar y responsabilizar a quienes utilizan los
recursos de TI. Ello debe acompañarse de un procedimiento que contemple la requisición,
aprobación, establecimiento, suspensión y desactivación de tales medios de autenticación,
así como para su revisión y actualización periódica y atención de usos irregulares.
i. Establecer controles de acceso a la información impresa, visible en pantallas o
almacenada en medios físicos y proteger adecuadamente dichos medios.
j. Establecer los mecanismos necesarios (pistas de auditoría) que permitan un adecuado y
periódico seguimiento al acceso a las TI.
k. Manejar de manera restringida y controlada la información sobre la seguridad de las TI."
El Manual de Políticas de Seguridad del SFE, establece en el apartado 4.3.5 lo siguiente:
"Sin importar las circunstancias, las contraseñas nunca se deben compartir o revelar. Hacer
esto responsabiliza al usuario que prestó su contraseña de todas las acciones que se realicen
con la misma."
Una Firma, Un respaldo Web: www.despachocarvajal.com 50
2.14.1.2 CONDICIÓN:
Al momento de realizar la evaluación funcional del sistema SICA, la funcionaria experta
del mismo se encontraba de vacaciones, por tanto otro funcionario ingresó a dicho sistema
utilizando para ello el usuario y contraseña de la funcionaria en vacaciones que corresponde
a LMORA.
2.14.1.3 CAUSA:
Falta de concientización en los funcionarios respecto a la importancia de no revelar y
compartir su contraseña a terceros.
2.14.1.4 EFECTO:
a) Incumplimiento a la normativa interna establecida en materia de seguridad de la
información para el SFE.
b) Posible fuga de información, pérdida de información.
c) Imposibilidad de asentar responsabilidades de manera clara ante un mal uso de la
información.
2.14.1.5 CONCLUSIÓN:
Se evidencia un debilitamiento en la cultura organizacional en materia de seguridad de la
información; situación que incide negativamente en el sistema de control interno.
2.14.1.6 RECOMENDACIONES:
A la Jefatura de la Unidad de Tecnología de la Información:
2.14.1.6.1 Realizar capacitaciones continuas de concientización para el personal del SFE,
referente a la importancia y las consecuencias que puede generar, tanto a la
institución como en el plano personal, el uso de contraseñas de terceras
personas; situación que debe responder al plan anual de trabajo de la Unidad de
TI.
2.14.1.6.2 Incorporar como parte de los procedimientos, la regulación de realizar
revisiones periódicas sobre el cumplimiento de lo establecido en el Manual de
Políticas de Seguridad del SFE; resultados que deberán documentarse y
gestionarse según corresponda.
2.14.1.6.3 Establecer un mecanismo de comunicación continuo y efectivo entre la Unidad
de Recursos Humanos y la Unidad de TI, en donde se informe del personal que
se encuentra de vacaciones y que solamente tienen la posibilidad de acceder al
sistema en una terminal del SFE, con el fin de controlar el uso del usuario y
contraseña.
Una Firma, Un respaldo Web: www.despachocarvajal.com 51
2.15 PRUEBAS POR PARTE DEL USUARIO
2.15.1 HALLAZGO No.15: EL SISTEMA DE CONTROL DE FIRMAS
PARA EL FRP (FORMULARIO REGISTRO DE FIRMAS), SE
ENCUENTRA A LA ESPERA DE LAS PRUEBAS POR PARTE DEL
USUARIO DESDE MAYO 2013.
2.15.1.1 CRITERIO
Las Normas Técnicas para la Gestión y el Control de las Tecnologías de Información de la
Contraloría General de la República, establecen en el punto 3.1 Consideraciones generales
de la implementación de TI, que "La organización debe implementar y mantener las TI
requeridas en concordancia con su marco estratégico, planificación, modelo de arquitectura
de información e infraestructura tecnológica. Para esa implementación y mantenimiento
debe:
a. Adoptar políticas sobre la justificación, autorización y documentación de solicitudes de
implementación o mantenimiento de TI.
b. Establecer el respaldo claro y explícito para los proyectos de TI tanto del jerarca como de
las áreas usuarias.
c. Garantizar la participación activa de las unidades o áreas usuarias, las cuales deben tener
una asignación clara de responsabilidades y aprobar formalmente las implementaciones
realizadas.
d. Instaurar líderes de proyecto con una asignación clara, detallada y documentada de su
autoridad y responsabilidad.
e. Analizar alternativas de solución de acuerdo con criterios técnicos, económicos,
operativos y jurídicos, y lineamientos previamente establecidos.
f. Contar con una definición clara, completa y oportuna de los requerimientos, como parte
de los cuales debe incorporar aspectos de control, seguridad y auditoría bajo un contexto de
costo –beneficio.
g. Tomar las previsiones correspondientes para garantizar la disponibilidad de los recursos
económicos, técnicos y humanos requeridos.
h. Formular y ejecutar estrategias de implementación que incluyan todas las medidas para
minimizar el riesgo de que los proyectos no logren sus objetivos, no satisfagan los
requerimientos o no cumplan con los términos de tiempo y costo preestablecidos.
i. Promover su independencia de proveedores de hardware, software, instalaciones y
servicios."
Una Firma, Un respaldo Web: www.despachocarvajal.com 52
2.15.1.2 CONDICIÓN
Al momento de efectuar la evaluación del sistema de Control de Firmas para el FRP, en
conjunto con los usuarios expertos se determinó que el mismo aún se encuentra en proceso
de pruebas. Por otra parte la funcionaria de la Unidad de TI encargada de la Administración
de este sistema informó mediante correo electrónico que este sistema se encuentra en
espera de las pruebas por parte de los usuarios finales desde mayo del 2013.
De acuerdo a lo expresado por los usuarios expertos del sistema de Control de Firmas para
el FRP, el proceso de pruebas no ha sido finalizado debido a la falta de tiempo,
considerando las funciones y actividades que se realizan en el Departamento de Control
Fitosanitario.
2.15.1.3 CAUSA
No se visualiza que la entrada en producción del sistema de Control de Firmas para el FRP
responda a una prioridad institucional o cuando menos al propósito que dio origen a su
diseño y desarrollo.
2.15.1.4 EFECTO
Posible desaprovechamiento de recursos tecnológicos y humanos.
2.15.1.5 CONCLUSIÓN
Se evidencia que no han sido asignado los recursos humanos y tiempo necesarios para
poner en producción de una manera adecuada el sistema para el Control del Firmas para el
FRP; situación que no propicia condiciones favorables para fortalecer el sistema de control
interno.
2.15.1.6 RECOMENDACIÓN
A la Jefatura del Departamento de Control Fitosanitario:
2.15.1.6.1 Realizar las gestiones necesarias, para finalizar el periodo de pruebas del
sistema de Control de Firmas para el FRP y en caso de ser necesario solicitar a
la Unidad de Tecnología de la Información realizar las modificaciones y
correcciones correspondientes. Dicha gestión deberá quedar documentada.
Una Firma, Un respaldo Web: www.despachocarvajal.com 53
2.16 ACCESO SIN CONTRASEÑA
2.16.1 HALLAZGO No.16: LOS USUARIOS EXTERNOS DEL SISTEMA
CONTROL DE FIRMAS PARA EL FRP NO NECESITARAN
CONTRASEÑA PARA INGRESAR
2.16.1.1 CRITERIO
De acuerdo a lo normado en las Normas Técnicas para la Gestión y el Control de las
Tecnologías de Información de las Contraloría General de la Republica en el punto 1.4.5
Control de acceso, que "La organización debe proteger la información de accesos no
autorizados. Para dicho propósito debe:
a. Establecer un conjunto de políticas, reglas y procedimientos relacionados con el acceso a
la información, al software de base y de aplicación, a las bases de datos y a las terminales y
otros recursos de comunicación.
b. Clasificar los recursos de TI en forma explícita, formal y uniforme de acuerdo con
términos de sensibilidad.
c. Definir la propiedad, custodia y responsabilidad sobre los recursos de TI.
d. Establecer procedimientos para la definición de perfiles, roles y niveles de privilegio, y
para la identificación y autenticación para el acceso a la información, tanto para usuarios
como para recursos de TI.
e. Asignar los derechos de acceso a los usuarios de los recursos de TI, de conformidad con
las políticas de la organización bajo el principio de necesidad de saber o menor privilegio.
Los propietarios de la información son responsables de definir quiénes tienen acceso a la
información y con qué limitaciones o restricciones.
f. Implementar el uso y control de medios de autenticación (identificación de usuario,
contraseñas y otros medios) que permitan identificar y responsabilizar a quienes utilizan los
recursos de TI. Ello debe acompañarse de un procedimiento que contemple la requisición,
aprobación, establecimiento, suspensión y desactivación de tales medios de autenticación,
así como para su revisión y actualización periódica y atención de usos irregulares.
i. Establecer controles de acceso a la información impresa, visible en pantallas o
almacenada en medios físicos y proteger adecuadamente dichos medios.
j. Establecer los mecanismos necesarios (pistas de auditoría) que permitan un adecuado y
periódico seguimiento al acceso a las TI.
k. Manejar de manera restringida y controlada la información sobre la seguridad de las TI."
2.16.1.2 CONDICIÓN
De acuerdo a lo expresado el usuario experto y así como lo evidenciado durante la
evaluación del sistema Control de Firmas para el FRP, es posible indicar que los usuarios
externos de este sistema no necesitarán contraseña para acceder a este.
Una Firma, Un respaldo Web: www.despachocarvajal.com 54
La información que será procesada mediante el sistema de Control de Firmas para el FRP,
corresponde a autorizaciones de personas por parte de las empresas importadoras
(mensajeros, entre otros) para retirar documentación oficial sobre permisos o
autorizaciones.
2.16.1.3 CAUSA
No se consideró necesario por parte del área usuaria asignar un usuario y contraseña a los
usuarios externos del sistema Control de Firmas para el FRP y por tanto este requerimiento
no fue solicitado a la Unidad de TI.
2.16.1.4 EFECTO:
No existiría la posibilidad de identificar la identidad del usuario que solicita el trámite y
que además esta corresponda al representante legal, que sería el único con potestad de
solicitar las autorizaciones.
2.16.1.5 CONCLUSIÓN:
Se evidencia que no se valoró por parte del área usuaria la importancia de la información
que se procesará mediante el Sistema de Control de Firmas.
2.16.1.6 RECOMENDACIÓN:
A las Jefaturas de la Unidad de Tecnologías de la Información y del Departamento de
Control Fitosanitario.
2.16.1.6.1 Valorar los aspectos indicados en el desarrollo del presente hallazgo y realizar
las gestiones necesarias, para implementar el mecanismo que mejor se ajuste
para que, los usuarios externos del sistema Control de Firmas para el FRP,
ingresen pudiendo ser identificadas las transacciones que cada uno realice. Las
decisiones que se adopten deberán quedar fundamentas y documentadas.
Una Firma, Un respaldo Web: www.despachocarvajal.com 55
2.17 MIGRACIÓN DE BASES DE DATOS
2.17.1 HALLAZGO No.17: AUSENCIA DE UN PROCEDIMIENTO QUE
REGULE LOS ASPECTOS A SEGUIR PARA EL PROCESO DE
MIGRACIÓN DE BASE DE DATOS.
2.17.1.1 CRITERIO:
Las Normas Técnicas para la Gestión y el Control de las Tecnologías de Información
emitidas por la Contraloría General de la República, establecen en el numeral 3.2
Implementación de software, que: La organización debe implementar el software que
satisfaga los requerimientos de sus usuarios y soporte efectivamente sus procesos, para lo
cual debe:
a. Observar lo que resulte aplicable de la norma 3.1anterior.
b. Desarrollar y aplicar un marco metodológico que guíe los procesos de implementación y
considere la definición de requerimientos, los estudios de factibilidad, la elaboración de
diseños, la programación y pruebas, el desarrollo de la documentación, la conversión de
datos y la puesta en producción, así como también la evaluación postimplantación de la
satisfacción de los requerimientos.
c. Establecer los controles y asignar las funciones, responsabilidades y permisos de acceso
al personal a cargo de las labores de implementación y mantenimiento de software.
d. Controlar la implementación del software en el ambiente de producción y garantizar la
integridad de datos y programas en los procesos de conversión y migración.
e. Definir los criterios para determinar la procedencia de cambios y accesos de emergencia
al software y datos, y los procedimientos de autorización, registro, supervisión y evaluación
técnica, operativa y administrativa de los resultados de esos cambios y accesos.
f. Controlar las distintas versiones de los programas que se generen como parte de su
mantenimiento.
2.17.1.2 CONDICIÓN
Dentro de la normativa interna implementada por la Unidad de TI (TI-BD-M-01 Manual
para la Administración de Bases de Datos, TI-BD-PO-01 Creación de Base de Datos por
nuevo sistema de información, TI-BD-PO-02 Modificación de Base de Datos por
modificación en sistema de información existente, TI-BD-PO-03 Solicitud de paquetes de
información de administración de bases de datos y TI-I-02 Estándares de bases de datos);
relacionada con procesos o actividades de la base de datos, no se incluyen los pasos o
aspectos a considerar durante una migración de base de datos.
Una Firma, Un respaldo Web: www.despachocarvajal.com 56
2.17.1.3 CAUSA
No se consideró durante el desarrollo de la normativa relacionada con las bases de datos,
las regulaciones relacionadas con la migración de las mismas.
2.17.1.4 EFECTO
Debido a la condición indicada se pueden generar situaciones perjudiciales para la
institución, tales como: datos incorrectos, confusión entre campos, la plataforma no
soporta los datos, procesos de escritura ineficientes, entre otros.
2.17.1.5 CONCLUSIÓN
Se evidencia la ausencia de regulaciones a nivel interno referente a la migración de las
bases de datos; situación que podría generar inconvenientes significativos para la
organización al propiciar un debilitamiento en el sistema de control interno.
2.17.1.6 RECOMENDACIÓN
A las Jefaturas de la Unidad de Tecnología de la Información
2.17.1.6.1 Confeccionar y mantener un procedimiento actualizado que regule los pasos a
seguir al momento de migrar bases de datos. Al respecto, se deben considerar
los siguientes elementos:
Incluir un proceso de planeación y análisis del trabajo a realizar.
Realizar un mapeo de los campos en la nueva base de datos.
Incluir un contador por cada registro migrado con éxito.
Identificar la codificación de caracteres que la BD destino.
Deshabilitar los Trigers y/o restricciones que puedan generar error al
momento que el DBMS ejecute el proceso de escritura de los datos.
Una Firma, Un respaldo Web: www.despachocarvajal.com 57
2.18 PROCEDIMIENTO PARA LA ATENCIÓN DE REQUERIMIENTOS
DEL SISTEMA SIVUCE II
2.18.1 HALLAZGO No.18: NO SE CUENTA CON UN PROCEDIMIENTO
QUE REGULE Y GUÍE LA ATENCIÓN DE LOS
REQUERIMIENTOS PLANTEADOS POR PROCOMER CON
RELACIÓN AL SIVUCE II
2.18.2 CRITERIO
Las Normas Técnicas para la Gestión y Control de las T.I. emitidas por la CGR mencionan
en su apartado 3.1. Consideraciones Generales de la Implementación de T.I. lo siguiente:
"La organización debe implementar y mantener las TI requeridas en concordancia con su
marco estratégico, planificación, modelo de arquitectura de información e infraestructura
tecnológica. Para esa implementación y mantenimiento debe:
a. Adoptar políticas sobre la justificación, autorización y documentación de solicitudes de
implementación o mantenimiento de TI.
b. Establecer el respaldo claro y explícito para los proyectos de TI tanto del jerarca como de
las áreas usuarias.
c. Garantizar la participación activa de las unidades o áreas usuarias, las cuales deben tener
una asignación clara de responsabilidades y aprobar formalmente las implementaciones
realizadas.
d. Instaurar líderes de proyecto con una asignación clara, detallada y documentada de su
autoridad y responsabilidad.
e. Analizar alternativas de solución de acuerdo con criterios técnicos, económicos,
operativos y jurídicos, y lineamientos previamente establecidos.
f. Contar con una definición clara, completa y oportuna de los requerimientos, como parte
de los cuales debe incorporar aspectos de control, seguridad y auditoría bajo un contexto de
costo – beneficio.
g. Tomar las previsiones correspondientes para garantizar la disponibilidad de los recursos
económicos, técnicos y humanos requeridos.
h. Formular y ejecutar estrategias de implementación que incluyan todas las medidas para
minimizar el riesgo de que los proyectos no logren sus objetivos, no satisfagan los
requerimientos o no cumplan con los términos de tiempo y costo preestablecidos.
i. Promover su independencia de proveedores de hardware, software, instalaciones y
servicios."
2.18.3 CONDICIÓN
Si bien la Unidad de TI viene atendiendo los requerimientos que se vienen presentando con
relación al sistema SIVUCE II; se determinó que dicha dependencia a la fecha no cuenta
con un procedimiento escrito y oficializado, que regule y guie su accionar con respecto a la
atención de las solicitudes que presenta PROCOMER con respecto a dicho sistema.
Una Firma, Un respaldo Web: www.despachocarvajal.com 58
2.18.4 CAUSA
No se ha visualizado la necesidad de contar con un procedimiento como el citado en el
apartado de “Condición” del presente hallazgo.
2.18.5 EFECTO
La ausencia de un procedimiento como el señalado, eventualmente podría generar algunos
inconvenientes a la entrada en producción del sistema SIVUCE II; con las consecuencias
negativas que eso podría conllevar.
2.18.6 CONCLUSIÓN
Uno de los aspectos relevantes del sistema de control interno, es el hecho de contar con
actividades de control suficientes y pertinentes; que mediante su aplicación generen
condiciones propicias para la prevención, detección y corrección de debilidades que podría
presentar el SCI y que eviten que se pueda materializar un riesgo importante. En ese
sentido, el SFE con relación a todo lo que representa el sistema SIVUCE II, debe contar
como parte de su sistema de control interno, con las actividades de control que sean
necesarias para cumplir en forma efectiva con los compromisos asumidos.
2.18.7 RECOMENDACIÓN
A la Unidad de TI del SFE
2.18.8 Gestionar la elaboración y aprobación del procedimiento, cuya
implementación permita ejercer control (incluye, supervisión,
documentación, etc) y atender en forma efectiva los requerimientos
planteados por PROCOMER, con relación al sistema SIVUCE II (lo que
incluye, entre otros aspectos, lo relativo al tema de los web services).
Una Firma, Un respaldo Web: www.despachocarvajal.com 59
2.19 PERCEPCIÓN DE LOS USUARIOS
2.19.1 HALLAZGO No.19: DEBILIDADES QUE EN APARIENCIA
PRESENTAN LOS SISTEMAS AUDITADOS SEGÚN LA
PERCEPCIÓN DE LOS USUARIOS INTERNOS.
2.19.1.1 CRITERIO:
Las Normas Técnicas para la Gestión y el Control de las Tecnologías de Información
emitidas por la Contraloría General de la República, establecen en el numeral 5.2
Flexibilidad de los Sistemas de Información, que: Los sistemas de información deben ser lo
suficientemente flexibles, de modo que sean susceptibles de modificaciones que permitan
dar respuesta oportuna a necesidades cambiantes de la institución.
2.19.1.2 CONDICIÓN
Como parte del estudio realizado, se aplicó una encuesta conocer la percepción de los
usuarios internos con relación a los sistemas SAUDE, SICA, SICOIN y SIDEX (ver anexo
2). Al respecto, los usuarios manifestaron lo siguiente:
Sobre el sistema SAUDE:
Un sistema de comunicación interna entre los Departamentos de Agroquímicos y
Equipos Control Fitosanitario (incluyendo todos los puntos de ingreso),
Administrativo Financiero y la Unidad de TI. El producto final de todos los
sistemas es un servicio ágil y oportuno al usuario interno y externo, debido a esto
desde que inicia un trámite alguien tiene que verificar en qué punto está el atraso.
Si el producto no está registrado o se va hacer una anotación marginal, es
importante que todos los funcionarios involucrados en el proceso puedan ver el
desarrollo del mismo en línea desde su inicio hasta el final, con su debida
transparencia.
En algunos casos en la casilla de la cantidad no hay separación de dígitos (miles,
decimales), si lo separa en la pantalla pero a la hora de imprimir no lo hace.
Se debe mejorar el módulo de reportes.
Incluir los controladores biológicos en el sistema, ya que son productos
registrados, pero cada vez que hay una solicitud, la información se debe incluir con
el registro 99999.
Me parece que la información incluida en el sistema debe salir directamente del
expediente electrónico de cada registro; sé que es información confidencial y debe
ser restringida, pero en algunos casos necesitamos más información técnica, pero
tenemos que conformarnos con lo que está disponible.
Creo importante incluir un registro de firmas electrónicas, no solamente nombres
de las personas autorizadas.
Una Firma, Un respaldo Web: www.despachocarvajal.com 60
Sobre el sistema SICOIN:
Actualmente se desarrolla un sistema actualizado SIVUCE 2.0 el cual contempla
incluir las funciones de SICOIN, por lo que no se considera hacer mejoras al
SICOIN.
Sobre el sistema SICA:
Actualmente está en desarrollo un versión mejorada de un sistema informático
desarrollado por PROCOMER; el cual incluye entre otros aspectos, todas las
aplicaciones del SICA por lo que este sistema dejará de operar para el próximo
año, por lo que toda mejora se estaría realizando en el sistema de SIVUCE 2.0
Sobre el sistema SIDEX:
Que no se trabe al pedir un reporte cuando el expediente es “enorme”.
Que podamos imprimir el Certificado de Operación desde el Sistema, sería más
fácil
Poder ver las observaciones en las resoluciones.
Que se puedan ver los productos de los empacadores y ambos, en el módulo de
usuarios del SFE, ya dieron con la clave, pero aún falta.
2.19.1.3 CAUSA
No se acostumbra aplicar en forma periódica encuestas de opinión a efecto de valorar la
percepción de los usuarios internos con relación a los sistemas en producción; lo anterior
con el fin de visualizar acciones de mejora en los casos en que corresponda.
2.19.1.4 EFECTO
Se presenta un riesgo potencial de que existan sistemas en producción que no satisfagan las
necesidades integrales de la organización; situación que podría incidir negativamente en el
cumplimiento de objetivos.
2.19.1.5 CONCLUSIÓN
El SFE como parte de las prácticas administrativas que ha venido adoptando para fortalecer
su sistema de control interno, deberá incorporar aquellas que le posibiliten el monitoreo
periódico de la condición de sus sistemas de información, a efecto de obtener y atender las
observaciones de los usuarios de esos sistemas en forma oportuna. Dicha situación le debe
permitir a la organización fortalecer su sistema de control interno, especialmente con
respecto al componente función denominado “sistemas de información”.
Una Firma, Un respaldo Web: www.despachocarvajal.com 61
2.19.1.6 RECOMENDACIONES
A las Jefaturas de la Unidad de Tecnología de la Información, Departamento de
Control Fitosanitario, Departamento de Certificación Fitosanitaria y Departamento
de Agroquímicos y Equipos
2.19.1.6.1 Valorar los aspectos señalados por los usuarios en el presente hallazgo
(apartado de condición), con relación a los sistemas SAUDE, SICA, SICOIN y
SIDEX; situación que deberá permitir validar la posibilidad de que se gestione
según los procedimientos existentes, los ajustes y/o adiciones que sean
requeridos; caso contrario se fundamente y documente la imposibilidad de
llevar a cabo los mismos.
2.19.1.6.2 Realizar capacitaciones a los usuarios sobre los sistemas que estos manipulan y
dejar evidencia de dichas capacitaciones.
Una Firma, Un respaldo Web: www.despachocarvajal.com 62
ANEXO No.1 NIVEL DE VALORACIÓN DE RIESGO
Condición
Vulnerabilidad
Comentarios Observaciones Tipo
Riesgo Sí No
Marco de Control Interno
Se cuenta con un modelo de control interno formalmente establecido para el SFE.
No obstante durante el 2013, no se valoraron los 5 componentes que integran la metodología.
Planeación Estratégica
Existe una planeación estratégica para la Unidad de TI, formalmente aprobada.
Sin embargo, en la planeación estratégica de la Unidad de TI no se evidencia la inclusión de los proyectos relacionados con automatización de los sistemas. Y además no se evidencia una adecuada alineación estratégica con las demás dependencias del SFE.
Gestión de la Calidad
La política de gestión de la calidad fue aprobada en el 2011.
Debido a que la mayoría de sistemas fueron adquiridos antes de la confección de esta política, no se les aplicó.
Política de Clasificación de la Información y Resguardo de los Datos
A la fecha de la presente auditoria no se cuenta con este tipo de políticas.
Contingencias
El SFE cuenta con un plan de contingencias y continuidad y en el mismo se incluye los aspectos a considerar respecto a los sistemas
A
Una Firma, Un respaldo Web: www.despachocarvajal.com 63
de información.
Metodología de Proyectos
Actualmente el SFE, cuenta con una metodología de administración de proyectos informáticos, pero la misma es de reciente aprobación (Enero 2013).
No obstante, al momento de la adquisición y desarrollo de los sistemas incluidos en el presente estudio que se llevó a cabo no existía dicha metodología.
Seguridad de la Información
A la fecha de la presente auditoría, se evidenció la existencia de un manual de Políticas de Seguridad de la Información, formalmente aprobado.
No obstante, en el desarrollo del presente estudio se determinó incumplimiento de algunas de las políticas.
Gestión de Riesgos
En el momento de la adquisición y desarrollo de los sistemas sistemas incluidos en el presente estudio el SFE no contaba con una metodología de administración de riesgo institucional.
No obstante, en la metodología aprobada en el 2013, se considera las tecnologías de la información.
Políticas de Respaldo y Recuperación
Se determinó que se cuenta con políticas y procedimientos para la ejecución de respaldos y además estos se implementan adecuadamente
Modelo de Arquitectura de la Información
A la fecha del presente estudio la Unidad de TI, no ha establecido un modelo de arquitectura de la información.
Registros contables
Durante el presente proceso de auditoría se determinó que no existen registros a nivel contable de los costos en que incurrió el SFE para la adquisición de estos sistemas, así como el registro del valor como activo
Políticas y Estándares de Desarrollo
No se cuenta con documentación o información electrónica que respalde la existencia de los manuales o documentos sobre políticas, estándares y procedimientos para el desarrollo de sistemas y su aplicación durante el desarrollo o adquisición de estos sistemas. Sin embargo, es importante indicar
A
A
A
Una Firma, Un respaldo Web: www.despachocarvajal.com 64
Con respecto al impacto de cada una de las condiciones expuestas, la escala de calificación utilizada es la siguiente: alto, medio y bajo, su
respectiva explicación se muestra a continuación:
que actualmente se encuentra establecida la normativa referente a este tema.
Metodología de Cambios
Actualmente se cuenta con una metodología para la administración de cambios a nivel de sistemas; misma que está siendo implementada.
Metodología para la Administración de Incidentes.
Se cuenta con un procedimiento para la atención de incidentes relacionados con sistemas de información; pero no incluye las demás áreas de tecnologías
Metodología para la Administración de Problemas
No se cuenta con una metodología de este tipo.
Manuales de Usuario, Operativos y Técnicos
Los sistemas SAUDE, SICA, SICOIN, no cuenta con este tipo de manuales.
Herramienta Automatizada Control de Versionamiento de Licencias
Se cuenta con la herramienta automatizada, donde se custodia y controla las versiones de los diferentes sistemas del SFE.
Políticas y procedimientos actualizados para la instalación, administración, migración, mantenimiento y seguridad de la base de datos
No se ha establecido normativa referente al proceso de migración de base de datos.
Procedimiento establecido para la contratación y adquisición de recursos de TI
A
Una Firma, Un respaldo Web: www.despachocarvajal.com 65
Escala Descripción del nivel
Alto
Requiere una atención inmediata por su impacto en seguridad,
integridad, efectividad, eficiencia, confidencialidad,
confiabilidad, disponibilidad y continuidad de la plataforma
tecnológica. No se han establecido controles en este nivel de
riesgo.
Medio
Requiere una atención intermedia ya que su impacto
representaría riesgos sobre seguridad, integridad, efectividad,
eficiencia, confidencialidad, confiabilidad, disponibilidad y
continuidad de la plataforma tecnológica. Se han establecido
controles insuficientes en este nivel de riesgo.
Bajo
Requiere una atención no prioritaria ya que su impacto no es
directamente sobre seguridad, integridad, efectividad,
eficiencia, confidencialidad, confiabilidad, disponibilidad y
continuidad de la plataforma tecnológica. Se han establecido
controles adecuados en este nivel de riesgo.
Una Firma, Un respaldo Web: www.despachocarvajal.com 66
ANEXO No. 2
EVALUACIÓN FUNCIONAL A LOS SISTEMAS SICA, SAUDE, SICOIN, SIDEX Y
CONTROL DE FIRMAS PARA EL FRP
En este apartado se muestra el resultado de la evaluación realizada, respecto a la calidad
funcional de los sistemas de información incluidos en el presente estudio y que se encuentran en
producción; así como la percepción de los servicios brindados por la Unidad de Tecnologías de
Información según la percepción de los usuarios finales. Los módulos evaluados, referente a la
calidad funcional se muestran en la siguiente tabla:
NOMBRE DEL SISTEMA
SAUDE
SICA
SICOIN
SIDEX
CONTROL DE FIRMAS PARA EL FRP
a. El resultado obtenido en la evaluación de la calidad funcional de los sistemas incluidos en
el estudio, de acuerdo a lo indicado por los usuarios, se muestran en el siguiente gráfico:
1
1
1
1
1
3
4 2
3 3 3
2
2
1 1 1 1 1
2
1 1
No Sé Pésimo Malo Regular Bueno Excelente
Una Firma, Un respaldo Web: www.despachocarvajal.com 67
b. Percepción de los usuarios finales respecto al servicio brindado por parte de la Unidad de
Tecnología de la Información del SFE
3
1
4
2
4
2
No responde Nunca Insuficiente Rara vez
Siempre Regular Ocasionalmente Generalmente
Aceptable Satisfactorio Excelente
Una Firma, Un respaldo Web: www.despachocarvajal.com 68
ANEXO No. 3
OPINIÓN JURÍDICA EMITIDA POR LA UNIDAD DE ASUNTOS JURÍDICOS DEL SFE
HOJA DE TRABAJO Dependencia: Unidad de Asuntos Jurídicos SFE H/T Nº: 01 Fecha: 10/10/2013 Auditor: RCJ Funcionario entrevistado: Lic. Gerardo Castro Salazar Cédula 106520589 Cargo: Jefe de Unidad Asunto: Consulta sobre aspectos relacionados con la Autoevaluación Anual del Sistema de Control Interno, según lo dispuesto en la Ley General de Control Interno N° 8292 y las Normas de Control Interno para el Sector Público emitidas por la Contraloría General de la República.
Antecedentes normativos:
1. LEY GENERAL DE CONTROL INTERNO N° 8292
Artículo 3º—Facultad de promulgar normativa técnica sobre control interno. La Contraloría
General de la República dictará la normativa técnica de control interno, necesaria para el
funcionamiento efectivo del sistema de control interno de los entes y de los órganos sujetos a esta Ley. Dicha normativa será de acatamiento obligatorio y su incumplimiento será causal de
responsabilidad administrativa. La normativa sobre control interno que otras instituciones emitan en el ejercicio de competencias
de control o fiscalización legalmente atribuidas, no deberá contraponerse a la dictada por la
Contraloría General de la República y, en caso de duda, prevalecerá la del órgano contralor.
Artículo 7º—Obligatoriedad de disponer de un sistema de control interno. Los entes y órganos sujetos a esta Ley dispondrán de sistemas de control interno, los cuales deberán ser
aplicables, completos, razonables, integrados y congruentes con sus competencias y atribuciones
institucionales. Además, deberán proporcionar seguridad en el cumplimiento de esas atribuciones y competencias; todo conforme al primer párrafo del artículo 3 de la presente Ley.
Artículo 10.—Responsabilidad por el sistema de control interno. Serán responsabilidad del
jerarca y del titular subordinado establecer, mantener, perfeccionar y evaluar el sistema de control interno institucional. Asimismo, será responsabilidad de la administración activa realizar las acciones
necesarias para garantizar su efectivo funcionamiento.
Artículo 17.—Seguimiento del sistema de control interno.
Entiéndese por seguimiento del sistema de control interno las actividades que se realizan para valorar la calidad del funcionamiento del sistema de control interno, a lo largo del tiempo;
asimismo, para asegurar que los hallazgos de la auditoría y los resultados de otras revisiones se
atiendan con prontitud. En cuanto al seguimiento del sistema de control interno, serán deberes del jerarca y los titulares
subordinados, los siguientes: (…)
Una Firma, Un respaldo Web: www.despachocarvajal.com 69
*b) Que la administración activa realice, por lo menos una vez al año, las autoevaluaciones que
conduzcan al perfeccionamiento del sistema de control interno del cual es responsable. Asimismo, que pueda detectar cualquier desvío que aleje a la organización del cumplimiento de sus
objetivos. (…)
2. NORMAS DE CONTROL INTERNO PARA EL SECTOR PÚBLICO
1.1 Sistema de control interno (SCI) El jerarca y los titulares subordinados, según sus competencias, deben emprender las medidas
pertinentes para contar con un SCI, conformado por una serie de acciones diseñadas y ejecutadas por la administración activa para proporcionar una seguridad razonable en la consecución de los
objetivos organizacionales. El SCI tiene como componentes orgánicos a la administración
activa y a la auditoría interna; igualmente, comprende los siguientes componentes funcionales: ambiente de control, valoración del riesgo, actividades de control,
sistemas de información y seguimiento, los cuales se interrelacionan y se integran al proceso de gestión institucional.
Los responsables por el SCI deben procurar condiciones idóneas para que los componentes
orgánicos y funcionales del sistema operen de manera organizada, uniforme y consistente.
6.3 Actividades de seguimiento del SCI Las actividades de seguimiento del SCI, deben incluir:
a) La comprobación durante el curso normal de las operaciones, de que se estén cumpliendo las actividades de control incorporadas en los procesos y ordenadas por la jerarquía correspondiente.
b) Autoevaluaciones periódicas en las que se verifiquen el cumplimiento, validez y suficiencia del
SCI.
6.3.1 Seguimiento continuo del SCI Los funcionarios en el curso de su labor cotidiana, deben observar el funcionamiento del SCI, con el
fin de determinar desviaciones en su efectividad, e informarlas oportunamente a las instancias
correspondientes.
6.3.2 Autoevaluación periódica del SCI El jerarca y los titulares subordinados, según sus competencias, deben disponer la realización, por
lo menos una vez al año, de una autoevaluación del SCI, que permita identificar
oportunidades de mejora del sistema, así como detectar cualquier desvío que aleje a la institución del cumplimiento de sus objetivos.
Las estrategias y los mecanismos para la autoevaluación periódica, deben estar definidos como
parte de las orientaciones a que se refiere la norma 6.2. En todo caso, se debe procurar que sea ejecutada sistemáticamente y que sus resultados se comuniquen a las instancias idóneas para la
correspondiente toma de acciones y seguimiento de implementación.
El jerarca y los titulares subordinados, según sus competencias, deben constituirse en parte activa
del proceso que al efecto se instaure.
(Lo resaltado no es del original)
Una Firma, Un respaldo Web: www.despachocarvajal.com 70
3. Metodología de Seguimiento Control Interno (PCCI-CI-MT-04 / Versión 01 del
15/06/2012) –se adjunta impresión del documento obtenida de la web del SFE-
2. OBJETIVO 2.1. Valorar la calidad del funcionamiento del Sistema de Control Interno en el Servicio Fitosanitario
del Estado.
2.2. Proponer acciones para fortalecer el Sistema de Control Interno, de conformidad con los
objetivos y recursos institucionales.
(…)
4. JUSTIFICACION En el Artículo 17 de la Ley General de Control Interno se establece la obligación del jerarca y los
titulares subordinados de valorar la calidad del funcionamiento del sistema de control interno, a lo
largo del tiempo. (…)
6.5. Período de Ejecución
Con la finalidad de ser congruentes con el proceso de planificación institucional, la autoevaluación
debe de planificarse en el I trimestre para ser implementada en el mes de mayo, para que las actividades de mejora identificadas puedan ser incorporadas en el Plan Anual Operativo y el
presupuesto de cada una de las instancias técnicas y administrativas del SFE. Posteriormente, se hará un seguimiento al plan de mejora en el mes de diciembre. El cronograma de implementación
para la aplicación de la autoevaluación se detalla a continuación. (…)
Cuadro #3 Cronograma de implementación 2012-2015
Año 2012 Aplicar el instrumento de autoevaluación a todos los componentes funcionales
Año 2013 Aplica el instrumento de autoevaluación solamente a los componentes Ambiente de
Control, Valoración de Riesgos y Seguimiento
Año 2014 Aplica el instrumento de autoevaluación solamente a los componentes Actividades de
Control , Sistemas de Información y
Seguimiento
A partir del año 2015 Cada titular subordinado diseñará y aplicará su
propia autoevaluación y la UPCCI supervisará el proceso.
Una Firma, Un respaldo Web: www.despachocarvajal.com 71
Consultas:
1- Considerando los términos de la Ley General de Control Interno N° 8292 y las Normas Técnicas de Control Interno para el Sector Público emitidas por la Contraloría General de la República, ¿debe entenderse que la autoevaluación anual del sistema de control interno debe integrar cada uno de los componentes funcionales (ambiente de control, valoración del riesgo, actividades de control, sistemas de información y seguimiento; o es legalmente posible interpretar que la administración activa cumpliría con lo dispuesto en el citado ordenamiento, si dicha autoevaluación anual incluye únicamente algunos de esos componentes funcionales?
Respuesta:
El Control Interno es parte esencial en la función pública, que nace del precepto constitucional del artículo 11 de la Carta Magna, que dispone que “(…) La Administración Pública (…) estará sometida a un procedimiento de evaluación de resultados y rendición de cuentas (…) para que este control de resultados y rendición de cuentas opere como un sistema (…)” (el resaltado no corresponde al original). La norma fundamental conlleva a la existencia de un sistema de control que abarque los Principios de Legalidad, Responsabilidad, Transparencia y Rendición de Cuentas. El Sistema de Control Interno se desarrolla esencialmente en dos normas, la primera es la Ley Orgánica de la Contraloría General de la República N° 7428, que es sus artículos 8, 10 y 11 lo presenta como un sistema para percibir, administrar, custodiar, conservar, manejar, gastar e invertir la hacienda pública a través de normas, que regulan la competencia, la estructura, la actividad, las relaciones, los procedimientos, las responsabilidades y las sanciones, con el fin de garantizar la legalidad y la eficiencia de los controles internos y del manejo de los fondos públicos. La segunda es la Ley General de Control Interno N° 8292, que conceptualiza al sistema de control interno como una serie de acciones ejecutadas por la administración activa que busca proteger y conservar el patrimonio público, fiabilidad y oportunidad de información, eficiencia y eficacia de las operaciones y el cumplimiento del ordenamiento jurídico y técnico (Art. 8), sistema que debe ser completo y que asegure el cumplimiento de los fines (Art. 7). La norma concibe el sistema de control interno como “completo”, esa universalidad de mecanismos están direccionados a una gestión eficiente e integral, planificado, para la congruente consecución de objetivos, y la disminución de riesgos. El control interno en la Administración Pública, esta obligado a regirse por los Principios de Eficacia, Eficiencia, Simplicidad y Celeridad que norman la Organización y Función Administrativas, así como los de Continuidad, Regularidad y Adaptabilidad de los Servicios Públicos, porque la Administración Pública está concebida para dirigir y servir. Bajo esta tesis, se potenciada más el artículo 10 de la Ley General de la Administración Pública al decir: “Artículo 10.- 1. La norma administrativa deberá ser interpretada en la forma que mejor garantice la realización del fin público a que se dirige, dentro del respeto debido a los derechos e intereses del particular.
Una Firma, Un respaldo Web: www.despachocarvajal.com 72
2. Deberá interpretarse e integrarse tomando en cuenta las otras normas conexas y la naturaleza y valor de la conducta y hechos a que se refiere.” Lo expuesto tiene un solo motivo, la consecución del fin público (Art. 113, 130, 131, 132 y 214 de la LGAP). Ahora bien, frente a la interrogante, se ha de concluir que, si hay una división de la autoevaluación, esta requiere una justificación motivada y proyectada que permita valorar el efecto negativo o positivo de su aplicación, no obstante, esta Unidad no visualiza la vialidad de esta decisión jurídicamente, no solo desde el punto normativo, sino de servicio público. Los componentes del sistema de control interno puntualizan los procesos indispensables para la planificación y eficiencia del Estado, como lo establece la Constitución Política en los artículos 139 inciso 4) al instituir “la buena marcha del Gobierno, y el progreso y bienestar de la Nación” y el artículo 140 inciso 8) referente a “vigilar el buen funcionamiento de los servicios y dependencias administrativas”. Es importante resaltar que la “Normas de control interno para el Sector Público” (N-2-2009-CO-DFOE) (en adelante Normas), en su parte considerativa explica que el sistema tiene un enfoque integral para el fortalecimiento del desempeño de las actividades desde el punto de vista de control interno, el artículo 1 de las Normas dispone que sus componentes se interrelacionan y se integran al proceso de gestión institucional para que el sistema opere de manera organizada, uniforme y consistente. El artículo 1.3 sub incisos b) y d) del mismo cuerpo legal, detalla como características imperativas del SCI que: sea completo, que “(…) debe considerar la totalidad de la gestión institucional, y en él deben estar presentes los componentes orgánicos y funcionales.”, e integrado para “(….) interrelacionarse adecuadamente e incorporarse en la gestión institucional.”. Téngase presente que el sistema de control es integral para minimizar el riesgo, pero la revisión de estos mecanismos de manera parcial resultaría en que habría siempre un factor que, lejos de disminuir, podría mantener un estado negativo, de exposición, e incluso aumentar, véase incluso que el artículo 1.4 de las Normas resalta que la Administración debe “(…) dar especial énfasis a áreas consideradas relevantes (…)”, no autoriza una exclusión de componentes, sino el abordaje completo de todas las áreas, aplicando criterios de vulnerabilidad y trascendencia para la priorización, lo que sería concordante con los artículos citados en la presente hoja de trabajo de la Auditoría Interna. Con base en la normativa indicada y lo expuesto, tratándose del sistema de control interno, la autoevaluación debe ser integral, como indica el artículo 7 de la Ley N° 8292, este necesariamente debe ser “completo”, porque se ha de integrar con competencias legales de la Administración Pública. La estrecha vinculación con las competencias legales, refuerza la exigencia de una revisión global de la conducta administrativa, porque de lo contrario sería suponer que el funcionamiento de la Administración Pública dado por ley debería ejecutarse por partes, lo cual sería una violación al ordenamiento público. Un proceso trascendental para la operatividad de la Administración Pública, que esta fraccionado, no garantiza el cumplimiento del fin público.
Una Firma, Un respaldo Web: www.despachocarvajal.com 73
2- Tomando en cuenta la consulta anterior, ¿se ajusta el cronograma de implementación 2012-2015 que forma parte integral de la Metodología de Seguimiento Control Interno (PCCI-CI-MT-04 / Versión 01 del 15/06/2012); a lo regulado en la Ley General de Control Interno N° 8292 y las Normas Técnicas de Control Interno para el Sector Público emitidas por la Contraloría General de la República, con respecto a la autoevaluación anual del sistema de control interno?
Respuesta:
No. La normativa de control interno, de servicio y función pública no autoriza ni visualiza una autoevaluación del sistema de control interno como el cronograma de implementación 2012-2015.
3- De acuerdo con la Ley General de Control Interno N° 8292, el establecimiento,
mantenimiento, perfeccionamiento y evaluación el sistema de control interno
institucional es responsabilidad de la administración activa; quien está conformada por el Jerarca y los titulares subordinados. En forma consecuente, dicha ley establece la obligación de que la administración activa como parte del cita sistema de control interno debe realizar las autoevaluaciones que conduzcan al perfeccionamiento del SCI del cual es responsable por lo menos una vez al año; considerando lo dispuesto en el citado ordenamiento, ¿se estaría violentado el mismo respecto a lo que se persigue con relación a efectuar una autoevaluación anual del SCI institucional, al disponer el SFE que a partir del año 2015 (en el cronograma de implementación 2012-2015 que forma parte integral de la Metodología de Seguimiento Control Interno), delegue en cada titular subordinado la obligación de diseñar y aplicar su propia autoevaluación; procediendo la Unidad de Planificación, Gestión de la Calidad y Control Interno únicamente a ejercer supervisión sobre el proceso; o si por el contrario, la organización debe disponer de una metodología institucional que a través de los criterios que sean definidos, autoevalúe en forma técnica y estandarizada el sistema de control interno institucional?
Respuesta:
La norma es reiterativa de que el sistema es para los jerarcas y titulares subordinados, mediante la ordenación de una escala de funciones y competencias según la estructura organizativa. La metodología de autoevaluación es casuística, definida por las funciones distribuidas a lo interno, por lo que puede haber una estructura básica para el SFE pero que incluya las variables particulares de cada área. El control interno es para la Administración Pública, como un todo, siendo la función del jerarca revisar, modificar, direccionar, rechazar y aprobar lo realizado por sus inferiores, como máximo representante de la institución, por lo que, debe existir una metodología institucional con criterios definidos.