ministerio de agricultura y ganaderÍa servicio … · 2015-04-21 · en el caso del sistema sidex,...

MINISTERIO DE AGRICULTURA Y GANADERÍA

SERVICIO FITOSANITARIO DEL ESTADO

Informe de auditoría

resultados de la evaluación A LOS SISTEMAS

SICA, SAUDE, SICOIN, CONTROL DE FIRMAS PARA FRP y SIDEX

Octubre 2013

Una Firma, Un respaldo Web: www.despachocarvajal.com 2

TABLA DE CONTENIDO

Resumen Ejecutivo____________________________________________4

Introducción _______________________________________________ 9

Origen del Estudio_____________________________________ 9

Objetivos del Estudio___________________________________ 9

Alcance del Estudio ____________________________________ 9

Periodo del Estudio_____________________________________ 10

Limitaciones al Estudio__________________________________ 11

Comunicación de Resultados_____________________________ 11

Normativa Técnica Aplicable al Estudio_____________________ 11

Resultados__________________________________________________ 12

Hallazgos_____________________________________________ 12

Control Interno___________________________________ 12

Marco Estratégico y Alineación Estratégica________________ 18

Política Gestión de Calidad_______________________ ______22

Gestión de la Seguridad_____________________________ 25

Segregación de Funciones___________________________ 28

Analista con Acceso a Producción____________________ 31

Clasificación y Resguardo__________________________ 33

Modelo Arquitectura de Información__________________ 35

Registros Contables_______________________________ 37

Administración de Problemas_______________________ 40

Comisión Informática_______________________________ 42

Administración de Datos___________________________ 45

Bitácoras_______________________________________ 47

Contraseña Compartida____________________________ 49

Pruebas por parte del Usuario_______________________ 51

Acceso sin Contraseña_____________________________ 53

Migración de Base de Datos_________________________ 55

Procedimiento para la atención de requerimientos

del sistema SIVUCE II _____________________________57

Percepción de los Usuarios_________________________ 59

Anexo 1. Nivel de Valoración del Riesgo__________________________ 62

Anexo 2. Evaluación Funcional a los Sistemas______________________ 66

Anexo 3. Opinión jurídica emitida por la Unidad de Asuntos Jurídicos

del SFE____________________________________________ 68


San José, 07 de Octubre del 2013

Licenciado Henry Valerín Sandino

Auditor Interno

Servicio Fitosanitario del Estado

Estimado licenciado:

De acuerdo con los términos de la contratación (2013CD-000226-10100), promovida por la

Auditoría Interna del Servicio Fitosanitario del Estado a través de la Proveeduría

Institucional y denominada "SERVICIO DE AUDITORÍA INTERNA PARA AUDITAR

SISTEMAS DE INFORMACIÓN AUTOMATIZADO DEL SERVICIO

FITOSANITARIO DEL ESTADO", nos permitimos adjuntarle el informe final sobre la

evaluación de los sistemas automatizados SICA, SAUDE, SICOIN, SIDEX, Control de

Firmas para FRP (Formulario Registro de Firmas); así como los correspondientes hallazgos

y recomendaciones que se lograron determinar.

El presente trabajo ha sido realizado con base en los términos especificados en el cartel y de

acuerdo al desarrollo del programa de trabajo presentado por nuestra representada.

El trabajo ejecutado ha sido basado en el cumplimiento de las “Normas técnicas para la

gestión y el control de las tecnologías de información (N-2-2007-CO-DFOE)” de la

Contraloría General de la República, así como en el cumplimiento de las “Normas

Generales de Control Interno Sector Público (N-2-2009-CO-DFOE)” de la Contraloría

General de la República y en general las mejores prácticas en materia de Tecnologías de la

Información.

Las observaciones del presente informe no van dirigidas a funcionarios o colaboradores en

particular, sino únicamente tienden a fortalecer el sistema de control interno y los

procedimientos relacionados con las tecnologías de información.

DESPACHO CARVAJAL & COLEGIADOS

CONTADORES PÚBLICOS AUTORIZADOS

Lic. Ricardo Montenegro Guillén

Contador Público Autorizado No. 5607

Póliza de Fidelidad No. 0016 FIG 7

Vence el 30 de setiembre del 2014

“Exento del timbre de Ley 6663 del Colegio de Contadores Públicos de Costa Rica, por

disposición de su artículo número 8”.


RESUMEN EJECUTIVO

1. El SFE confeccionó desde el año 2010 el modelo de marco de control interno. No

obstante, es posible indicar que en el proceso de autoevaluación anual del Sistema

de Control Interno (SCI) realizada durante el presente año únicamente se

consideraron 3 componentes de los 5 que conforman dicho modelo; situación que

no corresponde a una autoevaluación integral conforme lo dispuesto en el

ordenamiento jurídico y técnico vigente. Ver numeral 2.1, Hallazgo No.1 Control

Interno

2. La Unidad de Tecnologías de Información actualmente cuenta con una planeación

estratégica. Sin embargo, en dicha planeación no se reflejan los proyectos

relacionados con el desarrollo, adquisición, implantación y mantenimiento de

sistemas de información; situación que provoca que no se reflejen las necesidades

de tecnología de información de las diferentes dependencias del SFE. Ver numeral

2.2, Hallazgo No.2 Marco Estratégico e Inadecuada Alineación Estratégica.

3. El SFE cuenta con una Política de Gestión de la Calidad desde el 2011; por tanto

debido a que los sistemas SAUDE, SICA y SICOIN fueron adquiridos en el 2004

no se les aplicó dicha política. En el caso del sistema SIDEX, que fue donado a la

institución en el 2011, no se tuvo participación activa en el desarrollo del mismo

por parte de los funcionarios del SFE. Ver numeral 2.3, Hallazgo No.3 Política de

Gestión de la Calidad

4. Desde el 2012, la Unidad de Tecnologías de Información cuenta con un Manual de

Políticas de Seguridad formalmente aprobado. No obstante, durante el presente

estudio se determinó que se presenta incumplimiento de algunas de las políticas

establecidas. Ver numeral 2.4, Hallazgo No.4 Gestión de la Seguridad

5. Durante la ejecución del presente estudio se determinó que el sistema SAUDE, no

cuenta con una adecuada segregación de funciones, debido a que este sistema no

cuenta con un módulo de seguridad que permita parametrizar la seguridad lógica del

mismo. Ver numeral 2.5, Hallazgo No.5 Segregación de Funciones

6. A nivel del sistema SAUDE, se identificó que dentro de los usuarios con acceso a

este se encuentra la analista a cargo de su administración del citado sistema. Ver

numeral 2.6, Hallazgo No.6 Analista con Acceso a Producción

7. A la fecha de la presente auditoría se evidenció que el SFE, no ha establecido una

política de clasificación de la información y una política para el resguardo de los

datos, generando que la información que es procesada y custodiada en la institución

sea vulnerable a la materialización de riesgos como: fuga de información, pérdida


de información, mal uso de la información, entre otros. Ver numeral 2.7, Hallazgo

No.7 Clasificación y Resguardo

8. El SFE carece de un modelo de arquitectura de la información, de acuerdo con lo

expresado por la Jefatura de la Unidad de Tecnología de la Información y

reafirmado en el hecho de que no existe documentación que lo evidencie. Ver

numeral 2.8, Hallazgo No.8 Modelo Arquitectura de la Información.

9. No fue posible verificar los costos en los que incurrió el SFE para la adquisición de

los sistemas SICA, SAUDE, SICOIN y SIDEX; así como el valor económico que

representan estos sistemas, por cuanto los mismos no fueron registrados

contablemente. Ver numeral 2.9, Hallazgo No.9 Registros Contables

10. En enero del 2012, la Unidad de Tecnología de la Información aprobó el

procedimiento TI-ADS-PO-02 Atención de Reportes Sistemas de Información, que

tiene como objeto atender problemas en materia de sistemas de información

mediante el sistema web localizado en la intranet. Es posible indicar que el mismo

está siendo aplicado para las situaciones que se han presentado en los sistemas

incluidos en el presente estudio.

No obstante, como ya se indicó en el párrafo anterior, el procedimiento únicamente

abarca los incidentes relacionados con los sistemas de información y no las

situaciones que puedan presentarse en los diferentes áreas de tecnologías de la

información (hardware, redes, comunicaciones, entre otros).

Se determinó que en el SFE no se ha confeccionado y establecido un procedimiento

o metodología que permita la atención y solución de problemas en materia

tecnológica. Ver numeral 2.10, Hallazgo No.10 Administración de Problemas

11. El SFE cuenta con una Comisión de Informática formalmente integrada y regulada

mediante reglamento interno. No obstante, se evidenció que esta Comisión no está

ejecutando ciertas actividades estratégicas como órgano asesor en materia

tecnológica. Ver numeral 2.11, Hallazgo No.11 Comisión de Informática

12. Con relación a los sistemas SICA, SAUDE, SICOIN y SIDEX, no se entregó

documentación que respalde los siguientes aspectos: estudio de factibilidad,

requerimientos de usuario, pruebas de implementación, manuales técnicos,

operación y usuarios, entre otros. Ver numeral 2.12, Hallazgo No.12

Administración de Datos

13. Durante la evaluación funcional del sistema SAUDE, se determinó que a este

sistema no se le confeccionaron bitácoras de las principales transacciones que

realizan en el mismo. Ver numeral 2.13, Hallazgo No.13 Bitácoras


14. En el proceso de evaluación funcional del sistema SICA, se determinó que se viola

el principio de confidencialidad y privacidad de la contraseña. Ver numeral 2.14,

Hallazgo No.14 Contraseña Compartida

15. Al efectuar la evaluación funcional del sistema denominado Control de Firmas para

el FRP, se determinó que este aún no se encuentra en producción y que además se

está a la espera de la finalización del proceso de pruebas por parte de los usuarios

expertos. Ver numeral 2.15, Hallazgo No.15 Pruebas por parte del Usuario

16. Durante el proceso de desarrollo del sistema Control de Firmas para el FRP, no se

solicitó por parte del área usuaria, un requerimiento que permita que los usuarios

externos de dicho sistema necesiten una contraseña para ingresar a este. Ver

numeral 2.16, Hallazgo No.16 Acceso sin Contraseña

17. Dentro de la normativa facilitada como respaldo de la existencia de políticas y

procedimientos actualizados relacionados con la instalación, administración,

migración, mantenimiento y seguridad de las bases de datos, es posible indicar que

la misma fue aprobada en el 2012; por tanto, esta normativa no fue aplicada durante

la creación de las bases de datos de los sistemas SAUDE, SICA, SICOIN y SIDEX,

pues los mismos corresponden al año 2004; además no se evidencia la existencia de

regulaciones en cuanto al proceso de migración de bases de datos. Ver numeral

2.17, Hallazgo No.17 Migración de Base de Datos.

18. Si bien la Unidad de TI viene atendiendo los requerimientos que se vienen

presentando con relación al sistema SIVUCE II; se determinó que dicha

dependencia a la fecha no cuenta con un procedimiento escrito y oficializado, que

regule y guie su accionar con respecto a la atención de las solicitudes que presenta

PROCOMER con respecto a dicho sistema. Ver numeral 2.18, Hallazgo No.18

Procedimiento para la atención de requerimientos del sistema SIVUCE II.

19. Los usuarios manifiestan la necesidad de que los sistemas SAUDE, SICA, SICOIN

y SIDEX sean mejorados en algunos aspectos, situación que les facilitaría la labor

diaria. Ver numeral 2.19, Hallazgo No.19 Debilidades que en apariencia

presentan los sistemas auditados según la percepción de los usuarios internos

20. Según la evidencia obtenida, se procede a informar sobre otros aspectos relevantes,

tales como:

20.1 La metodología para la administración del riesgo institucional fue aprobada en

mayo del 2013, por tanto al momento que fueron adquiridos los sistemas SICA,

SAUDE, SICOIN y SIDEX no existía una metodología de este tipo. No obstante es

importante indicar que de acuerdo a la evidencia suministrada durante el presente

año, está en proceso de aplicación esta metodología en materia tecnológica,

mediante la identificación de áreas, riesgos, controles existentes, impacto entre


otros y específicamente en lo referente a los sistemas de información. Uno de los

aspectos que presenta un nivel de riesgo alto corresponde a la donación de

sistemas, como se evidencia con esta metodología que es de reciente aprobación,

por tanto el proceso aún no está finalizado.

20.2 De acuerdo a la documentación suministrada por parte de la Unidad de TI, el SFE

cuenta con un plan de contingencias desde noviembre del 2010 y se evidencia que

el mismo ha sufrido modificaciones y actualizaciones, siendo la última de ellas la

autorizada en el 2012. En el contenido del mismo se ha establecido una estrategia

de recuperación para sistemas de información, la misma incluye los siguientes

aspectos: la estrategia debe ser de conocimiento de los funcionarios de la Unidad de

Informática, definición del equipo de recuperación, detalle de los pasos de la

estrategia de recuperación, definición de los recursos que se necesitan durante y

posterior a la recuperación.

20.3 En cuanto a los respaldos de información de la base de datos de los sistemas

evaluados mediante el presente estudio, es posible indicar que estos siempre se han

realizado informalmente. A nivel normativo como a nivel de implementación del

proceso de respaldo, se evidencia una mejora significativa ya que desde el 02 de

julio del 2013 se aprobó el documento denominado "Estrategias de Respaldo y

Recuperación de Datos", el cual incluye los aspectos básicos a considerar, tales

como:

• Recursos a utilizar.

• Definición de los tipos de respaldos

• Definición de periodicidad de respaldos.

• Proceso a seguir para la recuperación de la información.

• Periodicidad de pruebas a los respaldos.

• Lugar de custodia de los respaldos.

• Evidencia de la ejecución de respaldos y pruebas.

De acuerdo a la evidencia suministrada, y a lo observado a pesar de que la

normativa referente a este tema fue formalizada hasta en julio del presente año, se

facilitó respaldo de la implementación adecuada desde el mes de febrero del 2013.

20.4 De acuerdo a lo indicado por los Analistas encargados de la administración y

mantenimiento de los sistemas SAUDE, SICA y SICOIN, la programación de estos

sistemas fue contratada a un tercero durante el 2004. En ese momento no se habían

confeccionado ni establecido las normativas referentes a la metodología de

proyectos, y además no se cuenta con documentación que respalde la aplicación de

alguna metodología de proyectos, que hayan sido entregados por parte de la

empresa que lo desarrolló. En el caso del Sistema SIDEX, correspondió a una

donación realizada al SFE en el 2011, pero no se tuvo participación activa en el

desarrollo del mismo.


20.5 Como ya se ha mencionado el SICA, SAUDE y SICOIN, fueron desarrollados por

un tercero aproximadamente en el 2004. Para ese año la Unidad de TI del SFE no

contaba con normativa formalmente establecida y aprobada referente al ciclo de

vida de los sistemas y estándares de programación, por tanto estos sistemas fueron

desarrollados conforme la metodología de la empresa contratada, de la cual no

existe documentación que respalde y que dé a conocer cuál fue la metodología y

estándares implementados por la misma.

En el caso del sistema SIDEX, este fue una donación realizada en el 2011 al SFE, y

en el mismo tampoco fueron considerados los estándares y metodología de

desarrollo. Al respecto, es importante indicar que la normativa establecida referente

a esta área comenzó a regir en abril del 2012 y la misma se define con el nombre

TI_I_01_Estandares_de_programacion y TI_MT_02_ Metodología de_ desarrollo_

de software. No obstante, es importante indicar que dicha normativa está siendo

aplicada actualmente cuando se presenta la necesidad de realizar mejoras,

correcciones o modificaciones a estos sistemas.

20.6 Respecto a los archivos fuentes de los sistemas evaluados, es posible indicar que

son custodiados y se controla su versionamiento mediante la herramienta

automatizada Visual Sourcesafe 2008. Dicha herramienta y su contenido se

encuentra a cargo de un funcionario de la Unidad de TI.


I. INTRODUCCIÓN

1.1. Origen del Estudio

El presente estudio denominado “Servicio de Auditoría Interna para Auditar Sistemas de

Información Automatizados del Servicio Fitosanitario del Estado” (de ahora en adelante

SFE), se llevó a cabo en atención a la contratación directa (2013CD-000226-10100),

realizada por el SFE a partir de la necesidad suscitada por parte de la Auditoría Interna.

Los sistemas automatizados del SFE que se analizaron fueron SICA, SAUDE, SICOIN,

SIDEX y Control de Firmas para FRP.

1.2. Objetivos del Estudio

1.2.1. Determinar para cada sistema de información objeto de estudio si su diseño,

desarrollo, operación y mantenimiento están conformes a lo dispuesto en las

“Normas técnicas para la Gestión y el Control de las Tecnologías de

Información” (N-2-2007-CO-DFOE), emitidas por la Contraloría General de la

República; articulando el citado cumplimiento en lo que corresponda, a lo

dispuesto en el Modelo de Control Interno del SFE (el cual está soportado en

la Ley General de Control Interno N° 8292 y a las “Normas de Control Interno

para el Sector Público”, emitidas por la Contraloría General de la República)

así como, en lo aplicable, con marcos técnicos de referencia internacional.

1.2.2. Verificar si los datos almacenados en esos sistemas de información

automatizados son confiables (responden a las características de seguridad,

confidencialidad e integridad requeridas por la organización) y cumplen con el

ordenamiento jurídico y técnico citado en el numeral 1.2.1 anterior.

1.2.3. Realizar una encuesta de opinión con relación al grado de satisfacción que

generan los sistemas de información objeto de estudio, en el logro de los

objetivos institucionales.

1.3. Alcance del estudio

Con relación a los sistemas de información objeto de estudio, según los términos de

referencia que regularon la contratación directa (2013CD-000226-10100), el presente

estudio se enfocó en los siguientes aspectos:

Delimitación del marco conceptual, legal, administrativo, organizacional y de

ejecución por medio del cual se efectuará la evaluación.

Aplicación de técnicas y normas de auditoría, aplicables al objeto de esta

contratación.

Identificación y obtención de documentación que resulte relevante para la

evaluación.


Cuestionarios dirigidos a los responsables de la administración y ejecución de las

acciones establecidas en los términos de referencia.

Entrevistas con personal clave, que permita obtener información de los aspectos y

actividades funcionales que no estén documentados.

Pruebas de integridad sobre la configuración, registro de datos, procesamiento y

generación de resultados.

Revisión del esquema de seguridad establecido, para garantizar la confidencialidad,

integridad y disponibilidad de los sistemas de información, los datos e información

que éste procesa.

Revisión y valoración de la documentación e implementación para la administración

de cambios.

Verificación de la implementación de las “Normas técnicas para la Gestión y el

Control de las Tecnologías de Información” (N-2-2007-CO-DFOE), emitidas por la

Contraloría General de la República; articulando el citado cumplimiento en lo que

corresponda, a lo dispuesto en el Modelo de Control Interno del SFE (el cual está

soportado en la Ley General de Control Interno N° 8292 y a las “Normas de Control

Interno para el Sector Público”, emitidas por la Contraloría General de la

República).

Otras técnicas, herramientas o métodos que resulten necesarias para mejorar la

comprensión o el análisis de la información obtenida, a utilizar según criterio

profesional de los auditores asignados a este proyecto.

Verificar si los datos almacenados en los sistemas de información sujetos a este

estudio son confiables (responden a las características de seguridad,

confidencialidad e integridad requeridas por la organización) y cumplen con el

ordenamiento jurídico y técnico citado en el numeral anterior. En este sentido se

consideró el estado de la documentación (física y electrónica) que respalda tales

sistemas de información; la correcta ejecución funcional de cada uno de los

módulos, la segregación de funciones con relación al acceso, ingreso, proceso,

autorización y monitoreo de las actividades asociadas con los respectivos sistemas;

procesamiento oportuno de la información; revisión de los controles relevantes

sobre el procesamiento de la información; procedimientos operativos relacionados

con los respaldos; valor de los sistemas de información automatizados; estado de los

archivos fuentes; comprobación de controles claves; diseño lógico de los sistemas;

evaluación de medidas de seguridad implantadas en los sistemas.

Realizar una encuesta de opinión con relación al grado de satisfacción que generan

los sistemas de información objeto de estudio, en el logro de los objetivos

institucionales.

1.4. Periodo del estudio

El estudio fue efectuado durante los meses de agosto y setiembre del año 2013.


1.5. Limitaciones del estudio

No se presentaron limitaciones al estudio realizado.

1.6. Comunicación de Resultados

El resultado del presente estudio fue discutido de forma verbal con la administración activa,

específicamente con los siguientes funcionarios:

El día 07/10/2013, con el Lic. Didier Suárez Chaves, Lic. Andy Jiménez Álvarez,

Lic. Gerardo Quesada Alvarado, Técnica Marcela Umaña Méndez (todos de la

Unidad de Tecnología de la Información).

El día 10/10/2013, con el Lic. Adrián Gómez Díaz, Jefe PCCI.

El día 11/10/2013, con el Lic. Henry Vega Vega, Jefe del Departamento

Administrativo y Financiero y la Licda. Gladys Rodríguez López, Encargada del

Archivo Central.

El día 15/10/2013, con la Ing. Magda González Arroyo, Directora, Ing. Carlos

Padilla Bonilla, Subdirector, Lic. Didier Suárez Chaves, Jefe Unidad TI y el

Lic. Adrián Gómez Díaz, Jefe PCCI.

El día 1710/2013, con el Ing. Marco Alfaro Cortés, Jefe del Departamento de

Control Fitosanitario.

El día 21/10/2013, con el Lic. Didier Suárez Chaves, Jefe de la Unidad de

Tecnología de la Información).

1.7. Normativa técnica aplicada al estudio

En la ejecución de la presente auditoría se observó en lo aplicable, lo establecido en las

regulaciones para las Auditorías Internas en la Ley General de Control Interno Nº 8292,

normas técnicas emitidas por la Contraloría General de la República y los estándares

establecidos según los Objetivos de Control para Información y Tecnología Relacionada –

CobiT®.


II. RESULTADOS

HALLAZGOS

2.1 CONTROL INTERNO

2.1.1 HALLAZGO No.1: LA EVALUACIÓN ANUAL DEL SISTEMA DE

CONTROL INTERNO DE TECNOLOGÍAS DE INFORMACIÓN

CONSIDERÓ ÚNICAMENTE 3 COMPONENTES FUNCIONALES DE

LOS 5 ESTABLECIDOS

2.1.1.1 CRITERIO

Las Normas Técnicas para la Gestión y el Control de las Tecnologías de Información

emitidas por la Contraloría General de la República (CGR), establecen en el punto 5.2

Seguimiento y evaluación del control interno en TI que "El jerarca debe establecer y

mantener el sistema de control interno asociado con la gestión de las TI, evaluar su

efectividad y cumplimiento y mantener un registro de las excepciones que se presenten y de

las medidas correctivas implementadas."

Además las Normas de Control Interno para el Sector Público, establecen en el punto 1.1

Sistema de Control Interno (SCI) que " El jerarca y los titulares subordinados, según sus

competencias, deben emprender las medidas pertinentes para contar con un SCI,

conformado por una serie de acciones diseñadas y ejecutadas por la administración activa

para proporcionar una seguridad razonable en la consecución de los objetivos

organizacionales. El SCI tiene como componentes orgánicos a la administración activa y a

la auditoría interna; igualmente, comprende los siguientes componentes funcionales:

ambiente de control, valoración del riesgo, actividades de control, sistemas de información

y seguimiento, los cuales se interrelacionan y se integran al proceso de gestión

institucional.

Los responsables por el SCI deben procurar condiciones idóneas para que los componentes

orgánicos y funcionales del sistema operen de manera organizada, uniforme y consistente.".

También se establece en las Normas de Control Interno del Sector Público, en el punto

6.3.2 Autoevaluación periódica del SCI que "El jerarca y los titulares subordinados, según

sus competencias, deben disponer la realización, por lo menos una vez al año, de una

autoevaluación del SCI, que permita identificar oportunidades de mejora del sistema, así

como detectar cualquier desvío que aleje a la institución del cumplimiento de sus objetivos.


Las estrategias y los mecanismos para la autoevaluación periódica, deben estar definidos

como parte de las orientaciones a que se refiere la norma 6.2. En todo caso, se debe

procurar que sea ejecutada sistemáticamente y que sus resultados se comuniquen a las

instancias idóneas para la correspondiente toma de acciones y seguimiento de

implementación.

El jerarca y los titulares subordinados, según sus competencias, deben constituirse en parte

activa del proceso que al efecto se instaure."

2.1.1.2 CONDICIÓN

A partir del 07 de diciembre del 2010, comenzó a regir el Modelo de Control Interno del

SFE el cual se encuentra conformado por 3 subsistemas que corresponden a Control

Estratégico, Control de la Gestión y Control de la Evaluación; en los cuales se integran los

5 componentes funcionales, (Ambiente de Control, Valoración del Riesgo, Actividades de

Control, Sistemas de Información y Seguimiento).

La Unidad de PCCI, estableció en junio del 2012 la "Metodología de Seguimiento Control

Interno", en la cual se detalla el cronograma de implementación 2012-2015 para la

aplicación de la autoevaluación anual del sistema de control interno institucional. En el

mismo se definió que para el 2013 se aplicaría el instrumento de autoevaluación solamente

a los componentes funcionales denominados Ambiente de Control, Valoración de Riesgos

y Seguimiento y en el 2014 se aplicará el instrumento para los componentes Actividades

de Control, Sistemas de Información y Seguimiento.

Consecuente con lo anterior, durante el periodo 2013 únicamente se evaluaron a nivel

institucional (Incluye Unidad de Tecnología de la Información) 3 de los citados 5

componentes (Ambiente de Control, Valoración del Riesgo y Seguimiento), dejando sin

evaluar los componentes Sistemas de Información y Actividades de Control.

Al respecto, es necesario señalar que lo relativo al Sistema de Control Interno se desarrolla

esencialmente en dos normas:

La primera es la Ley Orgánica de la Contraloría General de la República N° 7428,

que es sus artículos 8, 10 y 11 lo define como un sistema para percibir, administrar,

custodiar, conservar, manejar, gastar e invertir la hacienda pública a través de

normas, que regulan la competencia, la estructura, la actividad, las relaciones, los

procedimientos, las responsabilidades y las sanciones, con el fin de garantizar la

legalidad y la eficiencia de los controles internos y del manejo de los fondos

públicos.

La segunda es la Ley General de Control Interno N° 8292, que conceptualiza al

sistema de control interno como una serie de acciones ejecutadas por la

administración activa que busca proteger y conservar el patrimonio público,

fiabilidad y oportunidad de información, eficiencia y eficacia de las operaciones y el


cumplimiento del ordenamiento jurídico y técnico (Art. 8), sistema que debe ser

completo y que asegure el cumplimiento de los fines (Art. 7).

Ante consulta de esta Auditoría Interna, la Unidad de Asuntos Jurídicos del SFE, señaló lo

siguiente:

(…)

Es importante resaltar que la “Normas de control interno para el Sector Público”

(N-2-2009-CO-DFOE) (en adelante Normas), en su parte considerativa explica que el

sistema tiene un enfoque integral para el fortalecimiento del desempeño de las

actividades desde el punto de vista de control interno, el artículo 1 de las Normas

dispone que sus componentes se interrelacionan y se integran al proceso de gestión

institucional para que el sistema opere de manera organizada, uniforme y consistente.

(…)

Con base en la normativa indicada y lo expuesto, tratándose del sistema de control

interno, la autoevaluación debe ser integral, como indica el artículo 7 de la Ley N°

8292, este necesariamente debe ser “completo”, porque se ha de integrar con

competencias legales de la Administración Pública. La estrecha vinculación con las

competencias legales, refuerza la exigencia de una revisión global de la conducta

administrativa, porque de lo contrario sería suponer que el funcionamiento de la

Administración Pública dado por ley debería ejecutarse por partes, lo cual sería una

violación al ordenamiento público.

Un proceso trascendental para la operatividad de la Administración Pública, que esta

fraccionado, no garantiza el cumplimiento del fin público.

(…)

¿se ajusta el cronograma de implementación 2012-2015 que forma parte integral de la

Metodología de Seguimiento Control Interno (PCCI-CI-MT-04 / Versión 01 del

15/06/2012); a lo regulado en la Ley General de Control Interno N° 8292 y las Normas

Técnicas de Control Interno para el Sector Público emitidas por la Contraloría

General de la República, con respecto a la autoevaluación anual del sistema de control

interno?

(…)

No. La normativa de control interno, de servicio y función pública no autoriza ni

visualiza una autoevaluación del sistema de control interno como el cronograma de

implementación 2012-2015.

(…)

¿se estaría violentado el mismo respecto a lo que se persigue con relación a efectuar

una autoevaluación anual del SCI institucional, al disponer el SFE que a partir del año

2015 (en el cronograma de implementación 2012-2015 que forma parte integral de la

Metodología de Seguimiento Control Interno), delegue en cada titular subordinado la

obligación de diseñar y aplicar su propia autoevaluación; procediendo la Unidad de

Planificación, Gestión de la Calidad y Control Interno únicamente a ejercer

supervisión sobre el proceso; o si por el contrario, la organización debe disponer de

una metodología institucional que a través de los criterios que sean definidos,

autoevalúe en forma técnica y estandarizada el sistema de control interno institucional?

(…)


La norma es reiterativa de que el sistema es para los jerarcas y titulares subordinados,

mediante la ordenación de una escala de funciones y competencias según la estructura

organizativa. La metodología de autoevaluación es casuística, definida por las

funciones distribuidas a lo interno, por lo que puede haber una estructura básica para

el SFE pero que incluya las variables particulares de cada área. El control interno es

para la Administración Pública, como un todo, siendo la función del jerarca revisar,

modificar, direccionar, rechazar y aprobar lo realizado por sus inferiores, como

máximo representante de la institución, por lo que, debe existir una metodología

institucional con criterios definidos.

(…)

2.1.1.3 CAUSA

En apariencia, la falta de claridad o la ausencia de criterios provenientes de instancias

competentes, no le están permitiendo al SFE fundamentar desde el punto de vista legal y

técnico la implementación de su metodología de autoevaluación anual del sistema de

control interno institucional.

2.1.1.4 EFECTO

No es posible obtener un resultado integral del nivel de implantación y expertiz del modelo

del sistema de control interno establecido por el SFE y determinar por consiguiente las

acciones a seguir para lograr un nivel adecuado respecto al grado de madurez del mismo.

2.1.1.5 CONCLUSIÓN

Si bien la organización viene realizando esfuerzos para autoevaluar su sistema de control

interno a efecto de implementar su modelo y dar cumplimiento al ordenamiento jurídico y

técnico vigente; somos del criterio de que la interpretación por parte de la Administración

del SFE, de las normas existentes a nivel del Sector Público referente a la autoevaluación

del sistema de control interno no es la adecuada; posición que es coincidente con la opinión

jurídica emitida por la Unidad de Asuntos Jurídicos del SFE. Lo anterior debido a que la

implementación de la metodología establecida por el SFE no le está permitiendo contar con

una autoevaluación anual completa referente a los componentes funcionales que conforman

el sistema de control interno, y por ende no existe un panorama integral sobre el nivel de

implantación en la institución; situación que no estaría suministrando información

suficiente y pertinente para medir el grado de madurez del mismo y cuyo resultado estaría

generando un debilitamiento en el sistema de control interno.


2.1.1.6 RECOMENDACIONES

A la Jefatura de la Unidad de Planificación, Gestión de la Calidad y Control Interno;

instancia que deberá coordinar lo que corresponda con la Dirección del SFE:

2.1.1.6.1 Analizar la opinión jurídica emitida por la Unidad de Asuntos Jurídicos del

SFE (Anexo 3), con el propósito de valorar los aspectos que deberían ser

tomados en cuenta para depurar el documento denominado “Metodología de

Seguimiento Control Interno” (PCCI-CI-MT-04 del 15/06/2012 – Versión

01); situación que debe alinearse a lo establecido en las normas 1,1 y 6.3 de

las Normas de Control Interno para el Sector Público emitidas por la

Contraloría General de la República. Lo anterior a efecto de que a través de

su implementación se obtengan resultados sobre los cinco componentes

funcionales que conforman el modelo del sistema de control interno del

SFE,

Dicha acción deberá permitir gestionar ante la Dirección del SFE la

aprobación de la nueva versión debidamente ajustada.

En la eventualidad de que la administración del SFE no comparta dicha

opinión jurídica, deberá gestionar la obtención de criterio adicionales (a

nivel interno y/o externo) ante las instancias que considere conveniente; lo

anterior con el fin de obtener la seguridad jurídica y técnica suficiente que le

permita soporte la toma de decisiones con relación a la citada metodología

de autoevaluación del sistema de control interno.

La decisión que se adopte deberá quedar fundamentada y documentada.

A la Jefatura de la Unidad de Tecnología de la Información:

2.1.1.6.2 Realizar la autoevaluación anual del sistema de control interno de la Unidad

de Tecnología de la Información; la cual debe considerar los cinco

componentes funcionales; lo anterior tomando en cuenta la "Metodología de

Seguimiento Control Interno" ajustada, según lo señalado en la

recomendación 2.1.1.6.1 anterior.

La presente recomendación se hace extensiva para el resto de la

organización.


Comentario de la Administración (Jefatura de la PCCI)

En el artículo 17 –inciso b- de la Ley General de Control Interno Nro. 8292

(LCI) establece la obligación a los entes y órganos sujetos a la fiscalización de la

Contraloría General de la República de realizar, por lo menos una vez al año, las

autoevaluaciones que conduzcan al perfeccionamiento de sus propios sistemas de control

interno; asimismo, ese artículo señala la importancia de aplicar ese mecanismo de análisis

con el fin de que la administración pueda detectar cualquier desvío que aleje a la

organización del cumplimiento de sus objetivos y de formular e implantar las mejoras

necesarias.

Como se cita en el artículo anterior la obligación es realizarla al menos 1 vez al año pero no

se menciona sobre la obligación de realizar la autoevaluación sobre todo el Sistema de

Control Interno. Incluso en las Normas de Control Interno tampoco hacen mención al

respecto. Así que es potestad de la Administración Activa la decisión de cómo aplica la

autoevaluación en la institución, ya sea a la totalidad de los componentes o solo algunos de

ellos.

Incluso se realizaron consultas a consultoras vinculadas con el tema del control interno y

coinciden con este criterio.


2.2 MARCO ESTRATÉGICO Y ALINEACIÓN ESTRATÉGICA

2.2.1 HALLAZGO No.2: FALTA DE ALINEACIÓN ESTRATÉGICA ENTRE

LA UNIDAD DE TI Y LAS DEMAS DEPENDENCIAS DEL SFE CON

RESPECTO AL DESARROLLO, ADQUISICIÓN, IMPLEMENTACIÓN

Y MANTENIMIENTO DE LOS SISTEMAS QUE SON REQUERIDOS

POR LA ORGANIZACIÓN, POR CUANTO NO SE VEN REFLEJADOS

DENTRO DE LA PLANEACIÓN ESTRATÉGICA DE LA UNIDAD DE

T.I.

2.2.1.1 CRITERIO:

De acuerdo a lo establecido en las Normas Técnicas para la Gestión y el Control de las

Tecnologías de Información emitidas por la Contraloría General de la República, definen

en el punto 1.1 Marco estratégico de TI, lo siguiente "El jerarca debe traducir sus

aspiraciones en materia de TI en prácticas cotidianas de la organización, mediante un

proceso continuo de promulgación y divulgación de un marco estratégico constituido por

políticas organizacionales que el personal comprenda y con las que esté comprometido.".

Asimismo, el punto 2.1 Planificación de las tecnologías de información indica, “La

organización debe lograr que las TI apoyen su misión, visión y objetivos estratégicos

mediante procesos de planificación que logren el balance óptimo entre sus requerimientos,

su capacidad presupuestaria y las oportunidades que brindan las tecnologías existentes y

emergentes.”

2.2.1.2 CONDICIÓN:

Se evidencia una deficiencia en el proceso de planificación estratégica a nivel institucional,

por lo siguiente:

El Plan Estratégico 2010-2021 del SFE no refleja información detallada de los

proyectos vinculados con el desarrollo o adquisición de sistemas automatizados.

El Plan Estratégico 2010-2021 de la Unidad de Tecnología de la Información

(versión diciembre 2011) no refleja información detallada de los proyectos de TI

vinculados con el desarrollo o adquisición de sistemas automatizados, referentes a

los procesos de apoyo y sustantivos, bajo la responsabilidad de las diferentes

dependencias del SFE.

Considerando que la versión vigente del Plan Estratégico 2010-2021 de la Unidad de

Tecnología de la Información corresponde al mes de diciembre del 2011; los proyectos de

adquisición de los sistemas SICA, SAUDE y SICOIN, así como la donación del sistema

SIDEX, no se ven reflejados en la citada planeación estratégica, por cuanto la gestión que

permitió su adquisición fue anterior a la entrada en vigencia de la citada planificación.


2.2.1.3 CAUSA:

El modelo de planificación estratégica establecido por el SFE, dificulta respaldar las

necesidades de implantar, desarrollar o adquirir los sistemas que son requeridos por la

organización.

2.2.1.4 EFECTO:

a) No existe una alineación estratégica adecuada e integral de la Unidad de Tecnología de

la Información con respecto a la estrategia institucional, originando ausencia de un

portafolio de proyectos informáticos para el SFE.

b) Debido a la condición indicada se pueden generar situaciones perjudiciales tanto para

el SFE como para la Unidad de TI, tales como:

Desviaciones en los objetivos de los proyectos.

Utilización inadecuada de los recursos, tanto económicos como humanos.

Sistemas que no satisfacen los requerimientos de los usuarios, ni de la institución.

Inadecuada asignación de responsabilidades.

2.2.1.5 CONCLUSIÓN:

Se evidencia que no existe la cultura de que cada una de las dependencias orgánicas del

SFE, ejecuten su labor anual (PAO) sobre su propia planificación estratégica y que con

base a esta estrategia, la Unidad de T.I. pueda depurar su planificación estratégica y

elaborar su portafolio de proyectos.

2.2.1.6 RECOMENDACIÓN:

A la Jefatura de la Unidad de Planificación, Gestión de la Calidad y Control Interno;

quien deberá coordinar lo que corresponda con la Unidad de Tecnologías de la

Información:

2.2.1.6.1 Ajustar el modelo de planificación estratégica del SFE relativo a la Unidad

de Tecnología de la Información, de manera que los proyectos relacionados

tanto con el desarrollo como con la adquisición de sistemas de información

se reflejen en la misma; con el propósito de que exista evidencia sólida de la

necesidad de su implantación en el SFE y además lograr que el resultado

obtenido genere el mayor beneficio y éxito posible para la institución.

Consecuente con lo anterior, el SFE deberá, entre otros aspectos, considerar

lo siguiente:


a) Ajustar la planificación estratégica de la Unidad de Tecnología de

Información, a efecto de que la misma informe sobre los proyectos

vinculados con el desarrollo y adquisición de sistemas de información

requeridos por la organización; ejecución que se deberá ver reflejada

conforme a los planes anuales operativos respectivos; situación que

deberá permitir un alineamiento con la planificación estratégica

institucional.

b) Confeccionar un portafolio de proyectos a partir de la planificación

generada por las diferentes dependencias del SFE; aspecto que deberá

estar alineado a la planificación estratégica y anual de la Unidad TI.

c) Valorar la confección por parte de las diferentes dependencias del SFE,

su propia planificación estratégica, misma que debe estar alineada con el

plan estratégico organizacional.

Las decisiones que se adopten con relación a la presente recomendación

deberán quedar fundamentadas y documentadas.

Comentario de la Administración (Jefatura de la PCCI)

La planificación del SFE parte del modelo de planificación establecido, que tiene como

base fundamental la planificación estratégica; la cual es el insumo para el desarrollo de la

planificación a corto plazo, por lo que la elaboración de la planificación estratégica por

instancia no se hace necesaria ya que de lo contrario se perdería por un lado la

funcionalidad de la planificación y la institucionalidad del mismo SFE al contar con varias

planificaciones estratégicas y su seguimiento sería poco asertiva y oportuna por no contar

con suficiente recurso humano para desarrollar esa acción.

Además la planificación estratégica es un instrumento para llegar a cumplir con la misión y

visión de la institución, y donde se debe de concentrar es en él COMO se va a cumplir y lo

hacemos a través de los PAO’s y la definición de proyectos que se puede visualizar en el

modelo de planificación del SFE, obviamente que se definen no en el modelo sino en los

PAO’s.

Dentro de este contexto se puede definir La Planificación Estratégica, como una

herramienta de gestión institucional que permite apoyar la toma de decisiones de la

organización en torno al quehacer actual y al camino que deben recorrer en el futuro para

adecuarse a los cambios y a las demandas que les impone el entorno y lograr la mayor

eficiencia, eficacia, calidad en los bienes y servicios que se proveen. La Planificación

Estratégica consiste en un ejercicio de formulación y establecimiento de objetivos de

carácter prioritario institucionales, cuya característica principal es el establecimiento de los

cursos de acción (estrategias) para alcanzar dichos objetivos.


Por otra parte, TI dentro de su PAO y su Plan informático, establece los proyectos y el

seguimiento de los mismos, según lo que definieron en su planificación estratégica y esta a

su vez responde a un objetivo estratégico y una prioridad estratégica definida en el Plan

Estratégico 2010-2021.

Por otro lado, según mi apreciación los puntos a y b del Hallazgo 2 se están realizando por

medio de la Comisión de TI ya que es por medio de esta que se aprueban los presupuestos

para la partidas relacionadas con TI, y se definen los proyectos que se deben ejecutar, en

esta misma línea de acción si la comisión es la que aprueba esta misma debe tener los

portafolios de proyectos a ejecutar.


2.3 POLÍTICA GESTION DE CALIDAD

2.3.1 HALLAZGO No.03: A LA FECHA DE LA ADQUISICIÓN DE LOS

SISTEMAS SICA, SICOIN, SAUDE Y LA DONACIÓN DEL SIDEX NO

SE CONTABA CON UNA POLÍTICA DE GESTIÓN DE LA CALIDAD

2.3.1.1 CRITERIO:


emitidas por la Contraloría General de la República menciona en su apartado1.2 Gestión de

la calidad, lo siguiente: La organización debe generar los productos y servicios de TI de

conformidad con los requerimientos de sus usuarios con base en un enfoque de eficiencia y

mejoramiento continuo.

El proceso P08. Administrar la Calidad, del COBIT menciona: Se debe elaborar y mantener

un sistema de administración de calidad, el cual incluya procesos y estándares probados de

desarrollo y de adquisición. Esto se facilita por medio de la planeación, implantación y

mantenimiento del sistema de administración de la calidad, proporcionando requerimientos,

procedimientos y políticas claras de calidad. Los requerimientos de calidad se deben

manifestar y documentar con indicadores cuantificables y alcanzables. La mejora continua

se logra por medio del constante monitoreo, corrección de desviaciones y la comunicación

de los resultados a los interesados. La administración de calidad es esencial para garantizar

que TI está dando valor al negocio, mejora continua y transparencia para los interesados.

2.3.1.2 CONDICIÓN:

Durante el proceso de auditoría se facilitó el documento TI-P-01 Política de Calidad

Tecnologías de Información, el cual respalda la existencia de una metodología de gestión

de la calidad para Tecnologías de la Información. No obstante es importante resaltar que

esta fue aprobada en Julio del 2011, razón por la cual los sistemas SAUDE, SICA y

SICOIN, que fueron adquiridos durante el 2004, no se les aplicó esta metodología; lo cual

ha generado problemas en la ejecución de las tareas que se realizan en los mismos, tales

como: inexistencia de manuales de usuario, técnicos y de operación, debilidades en la

seguridad lógica de los sistemas, entre otros.

En el caso de SIDEX corresponde a una donación realizada al SFE en el 2011. Sin embargo

no se aplicó los aspectos que incluye esta metodología, como lo son:

a) Analizar, diseñar, desarrollar, implementar, mantener y documentar sistemas de

información institucionales integrales y consistentes, de apoyo a la toma de decisiones

de la Dirección General.

b) Velar por el cumplimiento de estándares, normas y leyes sobre el uso de las

tecnologías de información.


c) Además no se evidencia la ejecución de las fases de Análisis, Diseño, Desarrollo,

Prueba, Implementación y Adendum.

Por otra parte dentro de la política de calidad actual, no se incluye el requerimiento o

lineamiento referente a la confección de manuales de procesos, para los sistemas en

producción del SFE.

2.3.1.3 CAUSA:

Al momento de la implementación de los sistemas SICA, SICOIN y SAUDE, el SFE no

contaba con una política para la gestión de la calidad. En el caso del sistema SIDEX, por

ser una donación, no se participó en el desarrollo del mismo y tampoco se verificó la

implementación y pruebas de este sistema formalmente.

2.3.1.4 EFECTO:

Al no implementar los aspectos contenidos en una metodología de gestión de la calidad,

durante el desarrollo, adquisición, implantación y pruebas de sistemas de información, se

podrían generar situaciones como:

Insuficiente calidad de los servicios y soluciones, resultando en fallas, reprocesos y

aumento de los costos.

Poca fiabilidad de la calidad de las actividades de control.

La desalineación con la industria, en cuanto a las buenas prácticas y objetivos del

negocio.

Responsabilidades no definidas en proyectos y servicios.

Fallas en la calidad en los procesos claves de TI.

Incumplimiento de normas y procedimientos.

Estimaciones inexactas de plazos y presupuestos para proyectos.

Falta de claridad en las responsabilidades proyectos.

Desarrollo e implementación con errores, que causan retrasos, retrabajo y aumento

de los costes.

Problemas de interoperabilidad e integración.

Problemas para brindar soporte técnico y de mantenimiento.

Errores no identificados que se reflejan en producción


Durante el proceso de implementación de los sistemas SICA, SAUDE, SICOIN y SIDEX,

no se aplicó una política de gestión de la calidad propia del SFE; situación que no garantiza

en forma razonable que dichos proyectos se hayan gestionado conforme a la técnica y sanas

prácticas administrativas.


2.3.1.6 RECOMENDACIONES:


2.3.1.6.1 Gestionar a efecto de que se incluya como parte de la política de gestión de la

calidad, la confección, publicación e implementación de un manual de procesos

para cada uno de los sistemas de información que actualmente se encuentran en

producción y que se implanten en el SFE (de existir imposibilidad de la

creación de este tipo de manual para los sistemas en producción, se deberá

justificar y documentar dicha decisión). En el caso de ser viable dicha

documentación, se deben considerar, entre otros aspectos, los siguientes:

Los procedimientos operativos que hacen referencia a la organización de los

procesos. En su redacción deben colaborar los mandos intermedios (jefes de

área, responsables de departamentos) o equipos interdepartamentales.

Se debe evitar terminologías ambiguas, escribir las frases en presente y en

orden cronológico.

Deben ser exactos.

Plantear los objetivos que se pretende cubrir con el procedimiento y una vez

redactado, comprobar que el documento los cumple.

Utilizar diagramas de flujo, que permitan obtener una visión global del

procedimiento.

Deben responder a las siguientes interrogantes: para qué, cómo, cuándo y

quién.

2.3.1.6.2 Verificar que todo sistema, ya sea desarrollado a lo interno, adquirido o donado,

cumpla con la metodología de calidad. Dicho aspecto debe ser comunicado a

nivel institucional.


2.4 GESTIÓN DE LA SEGURIDAD

2.4.1 HALLAZGO No. 4: INCUMPLIMIENTO DEL MANUAL DE

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN DEL SFE

2.4.1.1 CRITERIO

De acuerdo a lo establecido en las Normas Técnicas para la Gestión y el Control de las

Tecnologías de Información emitidas por la Contraloría General de la República, en el

punto 1.4 Gestión de la seguridad de la información, se señala " La organización debe

garantizar, de manera razonable, la confidencialidad, integridad y disponibilidad de la

información, lo que implica protegerla contra uso, divulgación o modificación no

autorizados, daño o pérdida u otros factores disfuncionales.

Para ello debe documentar e implementar una política de seguridad de la información y los

procedimientos correspondientes, asignar los recursos necesarios para lograr los niveles de

seguridad requeridos y considerar lo que establece la presente normativa en relación con los

siguientes aspectos:

- La implementación de un marco de seguridad de la información.

- El compromiso del personal con la seguridad de la información.

- La seguridad física y ambiental.

- La seguridad en las operaciones y comunicaciones.

- El control de acceso.

- La seguridad en la implementación y mantenimiento de software e infraestructura

tecnológica.

- La continuidad de los servicios de TI.

Además debe establecer las medidas de seguridad relacionadas con:

- El acceso a la información por parte de terceros y la contratación de servicios prestados

por éstos.

- El manejo de la documentación.

- La terminación normal de contratos, su rescisión o resolución.

- La salud y seguridad del personal.

Las medidas o mecanismos de protección que se establezcan deben mantener una

proporción razonable entre su costo y los riesgos asociados."

2.4.1.2 CONDICIÓN

El documento denominado TI-M-02 Manual de políticas de seguridad, rige desde el mes de

abril del 2012; en el mismo se establecen aspectos como: uso de la contraseña y cambio de

la misma tanto para sistemas como a nivel de la red, características de la contraseña,

periodicidad del cambio de contraseña, administración y control de equipos de cómputo

(inventario de equipo actualizado), manipulación de contraseña para administrar estaciones


de trabajo (responsabilidades del funcionario de TI y usuario), respaldos de la información

de aplicaciones (plan recuperación y respaldo, ejecución periódica de pruebas de los

respaldos, entre otros), navegación en internet (usos permitidos y no autorizados,

responsabilidades), uso del correo electrónico (usos permitidos y usos no autorizados),

confidencialidad de la información institucional y trato con terceros (uso de la información,

personal responsable del manejo de la información, definición de confidencialidad, entre

otros), creación o mejoramiento de un espacio físico en los centros de cómputo, políticas

para el uso adecuado de estaciones de trabajo, uso de equipo portátiles, uso de medios de

almacenamiento externo, instalación de software y mantenimiento de equipo.

Sin embargo, se evidencia incumplimiento de algunas políticas como por ejemplo: uso de

contraseñas compartidas, periodicidad del cambio de contraseña, características de la

conformación de la contraseña, entre otros. Es importante indicar que los incumplimientos

de seguridad mencionados se presentan en los sistemas: SICA (Contraseña Compartida),

SAUDE (Analista con acceso a producción y no hay definición de roles y perfiles) y

SIDEX (Contraseña no se vence automáticamente y no está parametrizada su

conformación). Además, otros aspectos que están en contraposición con las citadas

políticas, es el hecho vinculado con el consumo de alimentos en las estaciones de trabajo.

2.4.1.3 CAUSA

La condición señalada se presenta debido a que parte de la infraestructura tecnológica del

SFE, no cuenta con las medidas de seguridad lógica adecuadas y por otra parte existe

debilidad a nivel de cultura organizacional sobre este tema.

2.4.1.4 EFECTO

El incumplimiento del manual de políticas de seguridad, genera que la información

procesada y custodiada en las bases de datos del SFE, presente mayor riesgo de: pérdida

información, modificaciones sin autorización y fuga de información.

2.4.1.5 CONCLUSIÓN

Se evidencia incumplimiento del manual de políticas de seguridad del SFE, principalmente

en lo referente a seguridad lógica; situación que debilita el sistema de control interno.



2.4.1.6.1 Realizar campañas de concientización a nivel organizacional, sobre la

importancia del cumplimiento del manual de políticas de seguridad del SFE;

aspecto que deberá reflejarse en el programa de trabajo anual de la Unidad de

TI.


2.4.1.6.2 Analizar la posibilidad de realizar el cambio o los ajustes necesarios a los

sistemas SICA, SAUDE y SIDEX que no cuentan con las medidas de seguridad

adecuadas para contribuir y lograr el cumplimiento de lo establecido en el

manual de políticas; lo anterior considerando el presente hallazgo y hallazgos

complementarios del presente informe. De presentarse inconvenientes para la

implementación de la recomendación, se deberán fundamentar y documentar

los mismos. En el caso que la administración considere que no es conveniente

invertir recursos en realizar los ajustes necesarios a los sistemas SICA y

SAUDE, que saldrán de producción con el sistema SIVUCE II dicha decisión

debe quedar fundamentada y documentada.

2.4.1.6.3 Establecer las regulaciones necesarias que permitan formalmente establecer las

responsabilidades del usuario en el cumplimiento de las políticas de seguridad

de la información del SFE. Dicha gestión debe considerar el mecanismo que se

utilizará para documentar y comunicar esos incidentes a las dependencias

competentes que deberán analizar dicho incumplimiento y la eventual

determinación de responsabilidades bajo los términos del debido proceso.


2.5 SEGREGACIÓN DE FUNCIONES

2.5.1 HALLAZGO No. 5: NO SE CUENTA CON UNA ADECUADA

SEGREGACIÓN DE FUNCIONES A NIVEL DE ACCESOS AL

SISTEMA SAUDE

2.5.1.1 CRITERIO:

En las Normas Técnicas para la Gestión y el Control de las Tecnologías de Información

emitidas por la Contraloría General de la República, punto 1.4.5 Control de acceso, se

establece que: La organización debe proteger la información de accesos no autorizados.

Para dicho propósito debe:

a. Establecer un conjunto de políticas, reglas y procedimientos relacionados con el acceso a

la información, al software de base y de aplicación, a las bases de datos y a las terminales y

otros recursos de comunicación.

b. Clasificar los recursos de TI en forma explícita, formal y uniforme de acuerdo con

términos de sensibilidad.

c. Definir la propiedad, custodia y responsabilidad sobre los recursos de TI.

d. Establecer procedimientos para la definición de perfiles, roles y niveles de privilegio, y

para la identificación y autenticación para el acceso a la información, tanto para usuarios

como para recursos de TI.

e. Asignar los derechos de acceso a los usuarios de los recursos de TI, de conformidad con

las políticas de la organización bajo el principio de necesidad de saber o menor privilegio.

Los propietarios de la información son responsables de definir quiénes tienen acceso a la

información y con qué limitaciones o restricciones.

f. Implementar el uso y control de medios de autenticación (identificación de usuario,

contraseñas y otros medios) que permitan identificar y responsabilizar a quienes utilizan los

recursos de TI. Ello debe acompañarse de un procedimiento que contemple la requisición,

aprobación, establecimiento, suspensión y desactivación de tales medios de autenticación,

así como para su revisión y actualización periódica y atención de usos irregulares.

i. Establecer controles de acceso a la información impresa, visible en pantallas o

almacenada en medios físicos y proteger adecuadamente dichos medios.

j. Establecer los mecanismos necesarios (pistas de auditoría) que permitan un adecuado y

periódico seguimiento al acceso a las TI.

k. Manejar de manera restringida y controlada la información sobre la seguridad de las TI.

2.5.1.2 CONDICIÓN:

Durante el presente proceso de auditoría se evidenció que al Sistema SAUDE, tienen

acceso actualmente 7 funcionarios del SFE. El acceso a dicho Sistema se administra

mediante Active Directory, ya que este sistema no cuenta con un Módulo de Seguridad, por

tanto todos los usuarios incluidos tienen acceso a realizar las opciones que permite el

sistema (registrar, consultar e imprimir). Un aspecto a recalcar sobre la información


facilitada, corresponde a que de acuerdo a lo expresado por la Jefatura de Ventanilla Única

este Sistema es solo utilizado por 4 funcionarios; no obstante como se evidencian existen

dos funcionarios de la Unidad de Fiscalización de Agroquímicos que tienen acceso al

SAUDE y además tiene acceso la Analista de Sistemas a cargo del mismo. Por otra parte no

existe documentación que evidencie que la Jefatura dueña del proceso haya realizado la

solicitud de que a los funcionarios detallados anteriormente se les diera acceso a SAUDE,

con la respectiva justificación, tal como se regula en el documento TI-ADS-PO-01

Creación de perfiles y Roles, que entró a regir el 02 de enero del 2012.

2.5.1.3 CAUSA:

El sistema SAUDE fue adquirido en el 2004, y de acuerdo a la normativa facilitada

referente a la creación y asignación de roles y perfiles fue confeccionada y empezó a regir

en el 2012 y a la fecha no se ha implementado para este sistema.

2.5.1.4 EFECTO:

La condición indicada puede generar que se presenten con mayor facilidad situaciones

como:

Incumplimiento de lo dispuesto en el documento TI-ADS-PO-01 Creación de

perfiles y Roles.

Fuga de información.

Errores voluntarios e involuntarios.

Debilidades en el control interno.


Se evidenció que no se ha valorado la importancia que tiene validar y estudiar la

conveniencia y necesidad de que los usuarios actuales del sistema SAUDE, tengan acceso a

éste; lo que también conlleva a una adecuada definición de roles.



2.5.1.6.1 Analizar por parte de la Unidad de Tecnologías de la Información, la

posibilidad de confeccionar un Módulo de Seguridad para el sistema SAUDE,

que permita definir roles y perfiles. Considerando que SAUDE saldrá de

producción una vez que SIVUCE II se utilice la decisión que se adopte deberá

fundamentarse y documentarse.


A la Jefatura del Departamento de Control Fitosanitario y a la Encargada de la

Ventanilla Única, coordinar lo que corresponda con el Departamento de

Agroquímicos y Equipos y la Unidad de TI:

2.5.1.6.2 Definir roles y perfiles por parte de la Jefatura dueña de la información que se

procesa y consulta mediante el sistema SAUDE, que permita mantener un

mayor control de las personas que accesan a éste. Además de estudiar y

justificar la necesidad y conveniencia de que los usuarios que actualmente

tienen acceso a SAUDE se mantengan.


2.5.1.6.3 Analizar si para el resto de los sistemas automatizados que operan en el SFE, se

está atendiendo lo dispuesto en el documento TI-ADS-PO-01 Creación de

perfiles y Roles (versión enero 2012); resultados que deberán quedar

documentados.


2.6 ANALISTA CON ACCESO A PRODUCCIÓN

2.6.1 HALLAZGO No. 6: LA ANALISTA A CARGO DE LA

ADMINISTRACIÓN DEL SISTEMA SAUDE, TIENE ACCESO AL

SISTEMA EN PRODUCCIÓN

2.6.1.1 CRITERIO:

En las Normas Técnicas para la Gestión y el Control de las Tecnologías de Información

emitidas por la Contraloría General de la República, punto 1.4.6 Seguridad en la

implementación y mantenimiento de software e infraestructura tecnológica, se establece

que: La organización debe mantener la integridad de los procesos de implementación y

mantenimiento de software e infraestructura tecnológica y evitar el acceso no autorizado,

daño o pérdida de información. Para ello debe:

a. Definir previamente los requerimientos de seguridad que deben ser considerados en la

implementación y mantenimiento de software e infraestructura.

b. Contar con procedimientos claramente definidos para el mantenimiento y puesta en

producción del software e infraestructura.

c. Mantener un acceso restringido y los controles necesarios sobre los ambientes de

desarrollo, mantenimiento y producción.

d. Controlar el acceso a los programas fuente y a los datos de prueba.

2.6.1.2 CONDICIÓN

De acuerdo al detalle de usuarios que tienen acceso al sistema SAUDE facilitados por parte

de la Unidad de TI, se determinó que la funcionaria Marcela Umaña, Analista a cargo de la

administración de este sistema, posee acceso al mismo como cualquier otro funcionario del

área usuaria.

Por otra parte, no se realizan estudios periódicos para determinar si los accesos asignados a

los sistemas de la institución están acorde con las funciones de cada colaborador.

2.6.1.3 CAUSA:

No ha sido considerado y valorado el riesgo que representa que un funcionario con

conocimientos tecnológicos mantenga acceso al ambiente de producción del sistema

SAUDE.


2.6.1.4 EFECTO:

Incumplimiento a la normativa de seguridad establecida y además existe un riesgo

potencial, ya que puede generar que personal ajeno a la Unidad de Ventanilla Única

"dueños de la información" registre o imprima información, o realice funciones que no les

corresponden, ya sea por error o bien en forma voluntaria.


Se evidencia que un funcionario de la Unidad de TI mantiene acceso al sistema SAUDE

que se encuentra en producción, lo que incumple con lo establecido en las Normas

N-2-2007-CO-DFOE; situación que genera un debilitamiento al sistema de control interno.



2.6.1.6.1 Realizar las gestiones necesarias, con el fin de que se proceda a:

a) Eliminar el acceso al sistema SAUDE que tiene la funcionaria de la Unidad

de Tecnologías de la Información; con el propósito de que la información del

citado sistema sea accesada solo por personal autorizado de acuerdo con las

funciones que desempeñan.

b) Analizar que dicha situación no se esté presentando en otros sistemas

automatizados del SFE que se encuentran en producción; gestión que deberá

quedar debidamente documentada.


2.7 CLASIFICACIÓN Y RESGUARDO

2.7.1 HALLAZGO No. 7: NO SE CUENTA CON UNA POLITICA DE

CLASIFICACION DE LA INFORMACION, NI CON UNA

POLITICA PARA EL REGUARDO DE LOS DATOS EN EL SFE

2.7.1.1 CRITERIO:

De acuerdo con las Normas Técnicas para la Gestión y el Control de las Tecnologías de

Información emitidas por la Contraloría General de la República, en el punto 1.4.1

Implementación de un marco de seguridad de la información, se establece que: La

organización debe implementar un marco de seguridad de la información, para lo cual debe:

a. Establecer un marco metodológico que incluya la clasificación de los recursos de TI,

según su criticidad, la identificación y evaluación de riesgos, la elaboración e

implementación de un plan para el establecimiento de medidas de seguridad, la evaluación

periódica del impacto de esas medidas y la ejecución de procesos de concienciación y

capacitación del personal.

b. Mantener una vigilancia constante sobre todo el marco de seguridad y definir y ejecutar

periódicamente acciones para su actualización.

c. Documentar y mantener actualizadas las responsabilidades tanto del personal de la

organización como de terceros relacionados.

PO2.3 Esquema de Clasificación de Datos, del COBIT menciona: Establecer un esquema

de clasificación que aplique a toda la empresa, basado en que tan crítica y sensible es la

información (esto es, pública, confidencial, secreta) de la empresa. Este esquema incluye

detalles acerca de la propiedad de datos, la definición de niveles apropiados de seguridad y

de controles de protección, y una breve descripción de los requerimientos de retención y

destrucción de datos, además de qué tan críticos y sensibles son. Se usa como base para

aplicar controles como el control de acceso, archivo o cifrado.

2.7.1.2 CONDICIÓN:

Se determinó que el SFE no cuenta con políticas de clasificación de la información y para

el reguardo de los datos en el SFE; cuya implementación permita lograr un nivel aceptable

de seguridad de la información.

2.7.1.3 CAUSA:

No se ha visualizado a nivel institucional la importancia de contar con las políticas

referentes a la clasificación y el reguardo de los datos del SFE.


2.7.1.4 EFECTO:

No contar con políticas formalmente establecidas en materia de clasificación y resguardo de

los datos, trae consigo la eventual materialización de conductores de riesgos, tales como:

Requisitos de seguridad inadecuados.

Las inversiones inadecuadas o excesivas en controles de seguridad.

El incumplimiento de normativa o requerimientos de terceros.

Información ineficaz o incoherente para la toma de decisiones.


El SFE no se ha dado a la tarea de confeccionar e implementar las políticas de clasificación

de la información y resguardo de los datos, lo cual propicia un riesgo potencial respecto a la

seguridad de la información custodiada en la institución.


A la Jefatura del Archivo Institucional en coordinación con las jefaturas de la Unidad

de Asuntos Jurídicos y la Unidad de Tecnología de la Información:

2.7.1.6.1 Confeccionar tanto la política de clasificación de la información como la

correspondiente al resguardo de los datos (documentos físicos o electrónicos).

Lo anterior considerando entre otros los siguientes aspectos:

Definir los atributos de clasificación de datos, tales como la propiedad de los datos, la

definición de los niveles de seguridad (confidencialidad, integridad y disponibilidad),

una breve descripción de los requisitos de retención de datos y destrucción.

Definir los niveles de clasificación de datos para cada uno de los atributos definidos

(por ejemplo, a la confidencialidad: público interno, confidencial).

Identificar los dueños responsables de la información.

Asegurar que los dueños de la información la clasifican utilizando el esquema y los

niveles definidos. La clasificación cubre todo el ciclo de vida de la información desde

la creación hasta disposición.

Hacer que los dueños de información comprendan las consecuencias de la

clasificación, y las necesidades de seguridad en contra de las consideraciones de costo

y otros requisitos de negocio teniendo en cuenta el valor de los activos que poseen.

Asegurar que la información y los datos están etiquetados, manejados, protegidos y

asegurados de una manera consistente con las categorías de clasificación de datos.

Establecer los recursos mediante los cuales se va a custodiar la información.

Para esta labor la administración puede tomar como referencia la ISO 27001 referente a

la seguridad de la información.


2.8 MODELO ARQUITECTURA DE INFORMACIÓN

2.8.1 HALLAZGO No. 8: NO SE HA ESTABLECIDO UN MODELO DE

ARQUITECTURA DE LA INFORMACIÓN PARA EL SFE

2.8.1.1 CRITERIO:

P02. (COBIT) Definir la Arquitectura de la Información, la función de sistemas de

información debe crear y actualizar de forma regular un modelo de información del negocio

y definir los sistemas apropiados para optimizar el uso de esta información. Esto incluye el

desarrollo de un diccionario corporativo de datos que contiene las reglas de sintaxis de los

datos de la organización, el esquema de clasificación de los datos y los niveles de

seguridad. Este proceso mejora la calidad de la toma de decisiones gerenciales

asegurándose que se proporciona información confiable y segura, y permite racionalizar los

recursos de los sistemas de información para igualarse con las estrategias del negocio. Este

proceso de TI también es necesario para incrementar la responsabilidad sobre la integridad

y seguridad de los datos y para mejorar la efectividad y control de la información

compartida a lo largo de las aplicaciones y de las entidades.

2.8.1.2 CONDICIÓN:

Durante la ejecución de este estudio se evidenció que la Unidad de Tecnologías de

Información del SFE, no ha confeccionado y establecido formalmente un modelo de

arquitectura de la información.

2.8.1.3 CAUSA:

La implementación de un modelo de arquitectura de la información del SFE, no ha sido

considerado como un aspecto relevante para lograr una adecuada gestión de las TI.

2.8.1.4 EFECTO:

Las consecuencias de no contar con un modelo de arquitectura de la información

formalmente establecido, podrían verse materializadas de la siguiente manera:

Información insuficiente para las funciones o actividades que se realizan en la

institución.

La inconsistencia entre la información y requisitos de aplicación desarrollos.

Inconsistencia de datos entre la organización y los sistemas.

Gran esfuerzo requerido o la imposibilidad de cumplir con las obligaciones (por

ejemplo, los informes de cumplimiento, seguridad, privacidad).

Planificación ineficaz de los programas de inversión de TI, debido a la falta de la

información.


La acumulación de datos que no es relevante, consistente o utilizable de una

manera económica.


No se cuenta con un modelo de arquitectura de la información en el SFE, impidiendo

generar beneficios para la gestión tanto de la organización como para la gestión de TI, entre

las cuales se encuentran:

Mejora de la toma de decisión basada en información relevante, fiable y utilizable.

Mejora la agilidad de TI y la capacidad de respuesta a los requisitos de la

institución.

Soporte para funciones de la organización a través de datos exactos, completos y

válidos.

Gestión de datos y eficiente reducción de la redundancia y la duplicación.

Integridad de datos mejorada.

Cumplir con los requisitos internos y externos, referentes a

seguridad y privacidad de los datos.



2.8.1.6.1 Confeccionar, implementar y mantener actualizado un modelo de arquitectura

de información, que considere los siguientes aspectos:

Implementación de un diccionario de datos.

Definición de lenguaje o lenguajes de programación a utilizar en el SFE.

Definición de base de datos a utilizar en el SFE.

Establecimiento de reglas de sintaxis.

Establecimiento de un modelo de entidad relación.

Definición de un esquema de clasificación de los datos.

Documentación del contexto en que se desarrolla toda la organización, de una manera

comprensible para la institución y la gestión de TI. (flujos de procesos)

El modelo de arquitectura de la información debe ser consistente con la estrategia de la

organización y sus planes tácticos.

Se debe comprobar el modelo de arquitectura de la información periódicamente para

verificar su adecuación con respecto a la flexibilidad, funcionalidad, rentabilidad,

seguridad, el cumplimiento y satisfacción del usuario.

También se debe analizar la posibilidad de estandarizar la arquitectura de la información

del SFE, y caso contrario se deben detallar claramente las excepciones.


2.9 REGISTROS CONTABLES

2.9.1 HALLAZGO No. 9: NO EXISTEN REGISTROS CONTABLES QUE

PERMITAN REFLEJAR EN LOS ESTADOS FINANCIEROS LOS

SISTEMAS SICA, SAUDE, SICOIN Y SIDEX.

2.9.1.1 CRITERIO:

Las Normas de Control Interno para el Sector Público establecen que "4.5.5 Control sobre

bienes y servicios provenientes de donantes externos, El jerarca y los titulares

subordinados, según sus competencias, deben establecer, mantener, perfeccionar y evaluar

las actividades de control necesarias en relación con los bienes y servicios provenientes de

donantes externos, sean estos obtenidos bajo la modalidad de donación, cooperación

técnica o cooperación financiera no reembolsable. Lo anterior, de manera que sobre esos

bienes o servicios se ejerzan los controles de legalidad, contables, financieros y de

eficiencia que determina el bloque de legalidad.

Como parte del control ejercido, deben velar porque tales bienes y servicios cumplan con la

condición de satisfacer fines públicos y estén conformes con los principios de

transparencia, rendición de cuentas, utilidad, razonabilidad y buena gestión administrativa."

También se establece en dicho marco normativo, lo siguiente "4.3.1 Regulaciones para la

administración de activos. El jerarca y los titulares subordinados, según sus competencias,

deben establecer, actualizar y comunicar las regulaciones pertinentes con respecto al uso,

conservación y custodia de los activos pertenecientes a la institución. Deben considerarse al

menos los siguientes asuntos:

a. La programación de las necesidades de determinados activos, tanto para efectos de

coordinación con las instancias usuarias, como para la previsión de sustituciones,

reparaciones y otros eventos.

b. La asignación de responsables por el uso, control y mantenimiento de los activos,

incluyendo la definición de los deberes, las funciones y las líneas de autoridad y

responsabilidad pertinentes.

c. El control, registro y custodia de la documentación asociada a la adquisición, la

inscripción, el uso, el control y el mantenimiento de los activos.

d. El control de los activos asignados a dependencias desconcentradas o descentralizadas.

e. El cumplimiento de requerimientos legales asociados a determinados activos, tales como

inscripción, placas y distintivos.

f. Los convenios interinstitucionales para préstamo de activos, así como su justificación y

autorización, las cuales deben constar por escrito.

g. El tratamiento de activos obsoletos, en desuso o que requieran reparaciones costosas."

De acuerdo a lo establecido en la Norma Internacional de Contabilidad para el Sector

Público 31, “Un activo intangible se reconocerá si, y solo si:


(a) es probable que los beneficios económicos futuros o potencial de servicio que se han

atribuido al mismo fluyan a la entidad; y (b) el valor razonable o el costo del activo puedan

ser medidos de forma fiable.”

Los Principios de Contabilidad Generalmente Aceptados, establecidos como requeridos a

aplicar en el sector Público, establecen lo siguiente "Revelación Suficiente: Los estados

contables y financieros deben contener toda la información necesaria que exprese

adecuadamente la situación económica-financiera y de los recursos y gastos del Ente y, de

esta manera, sean la base para la toma de decisiones.

Dicha información en consecuencia, debe ser pertinente, comprensible, imparcial,

verificable, oportuna, confiable, comparable y suficiente.

Cuando ocurran eventos o transacciones en términos monetarios extraordinarios o que

ameriten algún tipo de explicación para que la información sea transparente, se deberán

poner notas explicativas al pie de los estados financieros y otros cuadros."

2.9.1.2 CONDICIÓN:

No existe evidencia que demuestre que los sistemas SAUDE, SICA, SICOIN Y SIDEX se

registraran a nivel contable como un Activo propiedad del SFE, así como los costos que la

Institución incurrió para su adquisición; situación que no permite su revelación (valor

monetario) en los Estados Financieros de la institución.

Consecuente con lo anterior, a la fecha no es posible conocer el costo en los que incurrió el

SFE en la adquisición de los sistemas SICA, SICOIN y SAUDE; así como la puesta en

producción del sistema SIDEX.

Es importante indicar que se informó que los tres primeros sistemas mencionados fueron

adquiridos aproximadamente en el 2004 y en el caso de SIDEX su donación se realizó en el

2011.

2.9.1.3 CAUSA:

Los sistemas SICA, SAUDE, SICOIN y SIDEX, al momento de implantarlos en el SFE no

fueron considerados como un activo intangible.

2.9.1.4 EFECTO:

En cuanto a los SICA, SAUDE, SICOIN y SIDEX, los estados financieros no reflejan

exactitud respecto a su situación financiera; situación que no estaría conforme al

cumplimiento de la normativa técnica contable aplicable al SFE.



Se evidencia que para la puesta en marcha de los sistemas SICA, SAUDE, SICOIN y

SIDEX no se realizó el tratamiento contable correspondiente de acuerdo a la naturaleza de

este tipo de activos; situación que debilita el sistema de control interno y propicia un

incumplimiento a la aplicación de la normativa técnica contable aplicable al SFE.


A la Jefatura del Departamento Administrativo y Financiero con el apoyo de la

Unidad de Tecnología de la Información:

2.9.1.6.1 Asignar el valor económico razonable a los sistemas SICA, SAUDE, SICOIN y

SIDEX (haciendo extensiva la presente recomendación para todos los

sistemas que se encuentran en producción en el SFE y que presentan la

misma condición), para posteriormente registrarlos contablemente como un

activo intangible conforme con la naturaleza de este tipo de activo; situación

que debe propiciar su revelación en los estados financieros del SFE. Este avalúo

debe ser realizado por un profesional calificado.

En los casos en que la administración activa considere que no es conveniente

asignarle valor a los sistemas, deberá fundamentarlo y documentarlo.


2.10 ADMINISTRACIÓN DE PROBLEMAS

2.10.1 HALLAZGO No. 10: NO SE CUENTA CON UNA METODOLOGIA

PARA LA ADMINISTRACION DE PROBLEMAS EN LA UNIDAD

DE T.I. DEL SFE.

2.10.1.1 CRITERIO:

COBIT establece mediante el objetivo de control DS10 Administración de Problemas, que

"Una efectiva administración de problemas requiere la identificación y clasificación de

problemas, el análisis de las causas desde su raíz, y la resolución de problemas. El proceso

de administración de problemas también incluye la identificación de recomendaciones para

la mejora, el mantenimiento de registros de problemas y la revisión del estatus de las

acciones correctivas. Un efectivo proceso de administración de problemas mejora los

niveles de servicio, reduce costos y mejora la conveniencia y satisfacción del usuario."

Incidente: Cualquier evento que no sea parte de la operación estándar de un servicio que

ocasione, o pueda ocasionar, una interrupción o una reducción de la calidad de ese servicio.

Problema: Causa subyacente desconocida de uno o más incidentes

2.10.1.2 CONDICIÓN:

A la fecha de la presente auditoría, la Unidad de Tecnología de la Información, no ha

confeccionado e implementado una metodología para la administración de problemas

informáticos, que abarque los aspectos relacionados con la plataforma tecnológica del SFE.

2.10.1.3 CAUSA:

La Unidad de TI no ha establecido una metodología para la administración de problemas,

debido a que no se diferenció en su momento el concepto de incidente y de problema.

2.10.1.4 EFECTO:

La ausencia de una metodología de problemas, puede generar que se presenten con mayor

facilidad las siguientes situaciones:

La interrupción de los servicios de TI.

Aumento de la probabilidad de la reaparición de un problema.

Los problemas y los incidentes no resueltos de manera oportuna.

La falta de pistas de auditoría de los problemas, incidentes y sus soluciones, como

información proactiva para la administración de problemas.


La recurrencia de incidentes.


No se cuenta con una metodología de administración de problemas, impidiendo visualizar y

establecer en forma clara cuando un incidente se convierte en un problema; lo anterior

considerando que su incidencia es constante. Se genera además, que no se identifiquen e

implementen acciones a problemas que permitan minimizar la ocurrencia y su efecto en la

gestión diaria de la organización.

2.10.1.6 RECOMENDACIÓN


2.10.1.6.1 Confeccionar, aprobar y mantener actualizada una metodología para la

administración de problemas informáticos, considerando durante su elaboración

los siguientes elementos:

Identificar los problemas a través de la correlación de los informes de incidentes, los registros de error y otros recursos de la identificación del

problema.

Determinar los niveles de prioridad y la categorización de abordar los

problemas de manera oportuna.

Definir e implementar un proceso de solución que tenga acceso a todos los

datos, incluyendo la información del sistema de gestión del cambio y de la

configuración de activos y detalles del incidente, para abordar con eficacia

la causa.

Definir los grupos de apoyo necesarios para facilitar la identificación de

problemas, análisis de causa raíz y la determinación de la solución para

apoyar la gestión de problemas.

Definir grupos de apoyo basados en categorías predefinidas, como hardware,

software, redes, aplicaciones y software de apoyo.

Definir los niveles de prioridad a través de consultas con la organización

para asegurar que la identificación de problemas y análisis de causa raíz se

manejen de una manera oportuna, de acuerdo a los niveles de prioridad con

base de impacto en el negocio y la urgencia.

Informar sobre el estado de atención de los problemas identificados en el

mostrador de servicio, para que los clientes y la gestión de TI puedan

mantenerse informados.


2.11 COMISIÓN DE INFORMÁTICA

2.11.1 HALLAZGO No.11: NO SE EVIDENCIA QUE EL COMITÉ DE

INFORMÁTICA DEL SFE HAYA TRATADO EL TEMA DEL

PROYECTO CON PROCOMER.

2.11.1.1 CRITERIO:

De acuerdo a lo establecido en el objetivo de control PO4.2 Comité Estratégico de TI, de

COBIT es necesario “Establecer un comité estratégico de TI. Este Comité deberá asegurar

que el gobierno de TI, como parte del gobierno corporativo, se maneja de forma adecuada,

asesora sobre la dirección estratégica y revisa las inversiones a nombre del consejo

completo.”


Producto de la revisión del contenido de las actas que respaldan las sesiones realizadas por

la Comisión de Informática durante el 2012 y los meses transcurridos del 2013, no se

evidencia que el tema del proyecto de implementación del sistema SIVUCE II de

PROCOMER se esté considerando como un tema institucional que afecta al SFE; aun

cuando para dicho proyecto la información registrada mediante los sistemas SICA,

SAUDE, SICOIN y SIDEX es relevante.

2.11.1.3 CAUSA:

La Comisión Informática del SFE no ha visualizado el proyecto SIVUCE II, como un

asunto de impacto institucional, lo cual se ve reflejado en el resultado de las entrevistas

realizadas a diferentes funcionarios del SFE, que intervienen en el desarrollo del proyecto.

2.11.1.4 EFECTO:

Debido a que este proyecto no ha sido visualizado a nivel institucional, podría provocar que

el SFE no cumpla con su papel y sus responsabilidades; situación que podría generar

retrasos en la implantación de SIVUCE II.


El Proyecto SIVUCE II de PROCOMER, fue concebido para generar un beneficio a nivel

nacional una vez finalizada su implementación. El SFE juega un papel importante en el

éxito de este, debido a que sus bases de datos alimentarán las transacciones o procesos que

se realicen mediante este sistema.


Por otra parte se observa que la Comisión de Informática no está cumpliendo con un papel

regulador y asesor de la planificación estratégica en materia de Tecnologías de la

Información, lo cual puede originar planificación insuficiente a nivel organizacional y el

desaprovechamiento de recursos relacionados con las T.I.


A la Directora del SFE, a efecto de que gire instrucciones a la Comisión de

Informática:

2.11.1.6.1 Adoptar las medidas que sean necesarias, cuya implementación le permita al

SFE cumplir en forma efectiva con los compromisos asumidos con relación al

proyecto PROCOMER relativo al sistema SIVUCE II. Lo anterior con el

objetivo de que la organización responda de manera oportuna a la atención de

cada una de las actividades requeridas para facilitar la entrada en producción

del mencionado sistema; según el papel que le corresponde emprender al SFE

dentro de los términos del citado proyecto. En ese sentido, el SFE deberá

valorar la necesidad de elaborar e emitir un cronograma específico de

actividades (o documento similar) cuya implementación guíe y facilite la

gestión del SFE sobre este particular, manteniendo un continuo seguimiento de

las acciones establecidas y ajustando dicho cronograma, según corresponda.

Las acciones que se adopten con relación a la elaboración e implementación

del citado cronograma, deberán alinearse a la recomendación N° 2.18.6.1

contenida en el Hallazgo 18 del presente informe (numeral 2.18.1).

2.11.1.6.2 Adoptar las medidas necesarias a efecto de que cada uno de los aspectos

vinculados con las necesidades tecnologías de información (en forma previa a

gestionar y cubrir las mismas) sean conocidas, analizadas y resueltas por la

Comisión de Informática; lo anterior con el fin de que ese órgano colegiado

emita la asesoría y los acuerdos respectivos que deben ir dirigidos al órgano

competente responsable de la toma de decisiones. Dicha gestión debe permitir

establecer la estructura básica y/o el formato mediante el cual se deberá reportar

el incidente que informe sobre la adquisición de tecnología de la información,

cuyo trámite no fue conocido en forma previa por la citada Comisión; lo

anterior con el fin de que se efectúe la investigación respectiva y se resuelva

según corresponda.

2.11.1.6.3 Realizar las acciones necesarias para que se analice y se proceda según

corresponda con la aprobación e implementación de la nueva versión del

Reglamento de la Comisión de Informática (el mismo debe considerar lo

señalado en la recomendación 2.11.1.6.4 anterior)


2.11.1.6.4 Ampliar el reglamento del Comité de Informática, de manera que incluya las

funciones de:

Proponer las políticas generales sobre TI.

Revisar periódicamente el marco para la gestión de TI.

Presentar al menos semestralmente o cuando las circunstancias así lo

ameriten, un reporte sobre el impacto de los riesgos asociados a TI.

Monitorear que la alta gerencia tome medidas para gestionar el riesgo de

TI en forma consistente con las estrategias y políticas y que cuenta con

los recursos necesarios para esos efectos.


2.12 ADMINISTRACIÓN DE DATOS

2.12.1 HALLAZGO No.12: NO EXISTE DOCUMENTACIÓN QUE

RESPALDE LA ADQUISICIÓN DE LOS SISTEMAS SICA, SAUDE Y

SICOIN Y LA DONACIÓN DEL SISTEMA SIDEX.

2.12.1.1 CRITERIO:


emitidas por la Contraloría General de la República, establecen en el punto 3.2

Implementación de software, que “La organización debe implementar el software que

satisfaga los requerimientos de sus usuarios y soporte efectivamente sus procesos, para lo

cual debe:

a. Observar lo que resulte aplicable de la norma 3.1anterior.

b. Desarrollar y aplicar un marco metodológico que guíe los procesos de implementación y

considere la definición de requerimientos, los estudios de factibilidad, la elaboración de

diseños, la programación y pruebas, el desarrollo de la documentación, la conversión de

datos y la puesta en producción, así como también la evaluación postimplantación de la

satisfacción de los requerimientos.

c. Establecer los controles y asignar las funciones, responsabilidades y permisos de acceso

al personal a cargo de las labores de implementación y mantenimiento de software.

d. Controlar la implementación del software en el ambiente de producción y garantizar la

integridad de datos y programas en los procesos de conversión y migración.

e. Definir los criterios para determinar la procedencia de cambios y accesos de emergencia

al software y datos, y los procedimientos de autorización, registro, supervisión y evaluación

técnica, operativa y administrativa de los resultados de esos cambios y accesos.

f. Controlar las distintas versiones de los programas que se generen como parte de su

mantenimiento.”

Por otra parte, las Normas de Control Interno para el Sector Público, en el punto 5.4

Gestión documental, establecen que “El jerarca y los titulares subordinados, según sus

competencias, deben asegurar razonablemente que los sistemas de información propicien

una debida gestión documental institucional, mediante la que se ejerza control, se almacene

y se recupere la información en la organización, de manera oportuna y eficiente, y de

conformidad con las necesidades institucionales.”



Al solicitar la documentación (estudio de factibilidad, requerimientos del usuario, pruebas

de implementación, entre otros) tanto electrónica como física que respalde el estudio,

desarrollo, implementación y mantenimiento de los sistemas SICA, SAUDE, SICOIN y

SIDEX, mismos que actualmente se encuentran en producción en el SFE, se indicó por

parte de los analistas a cargo de la administración de los mismos, que la documentación

solicitada no existe.

2.12.1.3 CAUSA:

Al momento de la adquisición de los sistemas SICA, SAUDE, SICOIN y de la donación del

sistema SIDEX, no se documentaron los aspectos mínimos requeridos para lograr una

administración adecuada de los sistemas.

2.12.1.4 EFECTO:

Se dificulta el mantenimiento y administración de los sistemas SICA, SAUDE, SIDEX y

SICOIN.


La ausencia de documentación, genera que no exista la información necesaria para que los

analistas de sistemas brinden un adecuado mantenimiento de estos o bien la posibilidad de

corregir algún tipo de error en su funcionamiento. Lo cual generaría costos extras para el

SFE, ya que el tiempo que debe dedicar el analista podría ser no razonable. Además, se

podría incurrir en costos elevados para la implementación a nivel institucional de Software

de una baja calidad y que no cumple con las necesidades reales de la organización.


A la jefatura de la Unidad de Tecnología de la Información:

2.12.1.6.1 Realizar las gestiones necesarias para contar con la documentación tanto a nivel

técnico como a nivel de usuario de los sistemas SICA, SAUDE, SICOIN y

SIDEX; situación que además debe garantizar en forma razonable que en

futuras implementaciones de software los sistemas cuenten con este

requerimiento. La gestión y decisiones que se adopten con relación a la

presente recomendación, deberán quedar fundamentadas y documentadas.


2.13 BITÁCORAS

2.13.1 HALLAZGO No.13: EL SISTEMA SAUDE NO CUENTA CON

BITÁCORAS DE TRANSACCIONES

2.13.1.1 CRITERIO:

En las Normas Técnicas para la Gestión y el Control de las Tecnologías de Información de

la Contraloría General de la Republica, se establece lo siguiente 1.4.5 Control de acceso, La

organización debe proteger la información de accesos no autorizados. Para dicho propósito

debe:























k. Manejar de manera restringida y controlada la información sobre la seguridad de las TI.


Durante la evaluación funcional del sistema SAUDE, el cual fue desarrollado por un tercero

y adquirido por el SFE en el 2004, se determinó que dicho sistema no cuenta con bitácoras

de las principales transacciones que se realizan mediante éste; lo cual quedó confirmado

con lo indicado por parte de la Analista a cargo de la Administración de SAUDE.


2.13.1.3 CAUSA:

Desde la puesta en marcha el sistema SAUDE careció de bitácoras. Actualmente es

administrado por una funcionaria de la Unidad de TI; sin embargo a la fecha no se han

confeccionado las bitácoras de las principales transacciones que se realizan en este sistema.

2.13.1.4 EFECTO

La ausencia de bitácoras puede generar que se materialicen con mayor facilidad, las

siguientes situaciones:

Imposibilidad de establecer responsabilidad de las transacciones realizadas.

No existe posibilidad de auditar las transacciones realizadas.


Se evidencia la ausencia de la confección e implantación de bitácoras, que permitan

conocer los movimientos básicos de las principales transacciones que se realizan en el

sistema SAUDE.



2.13.1.6.1 Valorar la necesidad de elaborar las bitácoras para las principales transacciones

que se realizan mediante SAUDE; lo anterior lo relacionado con el sistema

SIVUCE II (la decisión que se adopte deberá quedar fundamentada y

documentada). Las mismas de incluir al menos los siguientes datos:

Fecha y hora

Terminal origen

Usuario

Actividad realizada

2.13.1.6.2 Incorporar como parte de los procedimientos, la obligación de que se debe

asignar un responsable por parte de la Unidad dueña de la información, para

que se realicen revisiones o seguimientos periódicos de los datos almacenados

en las bitácoras; gestión que deberá quedar documentada.


2.14 CONTRASEÑA COMPARTIDA

2.14.1 HALLAZGO No.14: NO SE CUMPLE CON EL PRINCIPIO DE

CONFIDENCIALIDAD Y PRIVACIDAD EN CONTRASEÑA

2.14.1.1 CRITERIO:

De acuerdo a lo normado en las Normas Técnicas para la Gestión y el Control de las

Tecnologías de Información de las Contraloría General de la Republica en el punto 1.4.5

Control de acceso, se establece que "La organización debe proteger la información de

accesos no autorizados. Para dicho propósito debe:























k. Manejar de manera restringida y controlada la información sobre la seguridad de las TI."

El Manual de Políticas de Seguridad del SFE, establece en el apartado 4.3.5 lo siguiente:

"Sin importar las circunstancias, las contraseñas nunca se deben compartir o revelar. Hacer

esto responsabiliza al usuario que prestó su contraseña de todas las acciones que se realicen

con la misma."



Al momento de realizar la evaluación funcional del sistema SICA, la funcionaria experta

del mismo se encontraba de vacaciones, por tanto otro funcionario ingresó a dicho sistema

utilizando para ello el usuario y contraseña de la funcionaria en vacaciones que corresponde

a LMORA.

2.14.1.3 CAUSA:

Falta de concientización en los funcionarios respecto a la importancia de no revelar y

compartir su contraseña a terceros.

2.14.1.4 EFECTO:

a) Incumplimiento a la normativa interna establecida en materia de seguridad de la

información para el SFE.

b) Posible fuga de información, pérdida de información.

c) Imposibilidad de asentar responsabilidades de manera clara ante un mal uso de la

información.


Se evidencia un debilitamiento en la cultura organizacional en materia de seguridad de la

información; situación que incide negativamente en el sistema de control interno.



2.14.1.6.1 Realizar capacitaciones continuas de concientización para el personal del SFE,

referente a la importancia y las consecuencias que puede generar, tanto a la

institución como en el plano personal, el uso de contraseñas de terceras

personas; situación que debe responder al plan anual de trabajo de la Unidad de

TI.

2.14.1.6.2 Incorporar como parte de los procedimientos, la regulación de realizar

revisiones periódicas sobre el cumplimiento de lo establecido en el Manual de

Políticas de Seguridad del SFE; resultados que deberán documentarse y

gestionarse según corresponda.

2.14.1.6.3 Establecer un mecanismo de comunicación continuo y efectivo entre la Unidad

de Recursos Humanos y la Unidad de TI, en donde se informe del personal que

se encuentra de vacaciones y que solamente tienen la posibilidad de acceder al

sistema en una terminal del SFE, con el fin de controlar el uso del usuario y

contraseña.


2.15 PRUEBAS POR PARTE DEL USUARIO

2.15.1 HALLAZGO No.15: EL SISTEMA DE CONTROL DE FIRMAS

PARA EL FRP (FORMULARIO REGISTRO DE FIRMAS), SE

ENCUENTRA A LA ESPERA DE LAS PRUEBAS POR PARTE DEL

USUARIO DESDE MAYO 2013.

2.15.1.1 CRITERIO

Las Normas Técnicas para la Gestión y el Control de las Tecnologías de Información de la

Contraloría General de la República, establecen en el punto 3.1 Consideraciones generales

de la implementación de TI, que "La organización debe implementar y mantener las TI

requeridas en concordancia con su marco estratégico, planificación, modelo de arquitectura

de información e infraestructura tecnológica. Para esa implementación y mantenimiento

debe:

a. Adoptar políticas sobre la justificación, autorización y documentación de solicitudes de

implementación o mantenimiento de TI.

b. Establecer el respaldo claro y explícito para los proyectos de TI tanto del jerarca como de

las áreas usuarias.

c. Garantizar la participación activa de las unidades o áreas usuarias, las cuales deben tener

una asignación clara de responsabilidades y aprobar formalmente las implementaciones

realizadas.

d. Instaurar líderes de proyecto con una asignación clara, detallada y documentada de su

autoridad y responsabilidad.

e. Analizar alternativas de solución de acuerdo con criterios técnicos, económicos,

operativos y jurídicos, y lineamientos previamente establecidos.

f. Contar con una definición clara, completa y oportuna de los requerimientos, como parte

de los cuales debe incorporar aspectos de control, seguridad y auditoría bajo un contexto de

costo –beneficio.

g. Tomar las previsiones correspondientes para garantizar la disponibilidad de los recursos

económicos, técnicos y humanos requeridos.

h. Formular y ejecutar estrategias de implementación que incluyan todas las medidas para

minimizar el riesgo de que los proyectos no logren sus objetivos, no satisfagan los

requerimientos o no cumplan con los términos de tiempo y costo preestablecidos.

i. Promover su independencia de proveedores de hardware, software, instalaciones y

servicios."


2.15.1.2 CONDICIÓN

Al momento de efectuar la evaluación del sistema de Control de Firmas para el FRP, en

conjunto con los usuarios expertos se determinó que el mismo aún se encuentra en proceso

de pruebas. Por otra parte la funcionaria de la Unidad de TI encargada de la Administración

de este sistema informó mediante correo electrónico que este sistema se encuentra en

espera de las pruebas por parte de los usuarios finales desde mayo del 2013.

De acuerdo a lo expresado por los usuarios expertos del sistema de Control de Firmas para

el FRP, el proceso de pruebas no ha sido finalizado debido a la falta de tiempo,

considerando las funciones y actividades que se realizan en el Departamento de Control

Fitosanitario.

2.15.1.3 CAUSA

No se visualiza que la entrada en producción del sistema de Control de Firmas para el FRP

responda a una prioridad institucional o cuando menos al propósito que dio origen a su

diseño y desarrollo.

2.15.1.4 EFECTO

Posible desaprovechamiento de recursos tecnológicos y humanos.

2.15.1.5 CONCLUSIÓN

Se evidencia que no han sido asignado los recursos humanos y tiempo necesarios para

poner en producción de una manera adecuada el sistema para el Control del Firmas para el

FRP; situación que no propicia condiciones favorables para fortalecer el sistema de control

interno.


A la Jefatura del Departamento de Control Fitosanitario:

2.15.1.6.1 Realizar las gestiones necesarias, para finalizar el periodo de pruebas del

sistema de Control de Firmas para el FRP y en caso de ser necesario solicitar a

la Unidad de Tecnología de la Información realizar las modificaciones y

correcciones correspondientes. Dicha gestión deberá quedar documentada.


2.16 ACCESO SIN CONTRASEÑA

2.16.1 HALLAZGO No.16: LOS USUARIOS EXTERNOS DEL SISTEMA

CONTROL DE FIRMAS PARA EL FRP NO NECESITARAN

CONTRASEÑA PARA INGRESAR

2.16.1.1 CRITERIO

De acuerdo a lo normado en las Normas Técnicas para la Gestión y el Control de las

Tecnologías de Información de las Contraloría General de la Republica en el punto 1.4.5

Control de acceso, que "La organización debe proteger la información de accesos no

autorizados. Para dicho propósito debe:























k. Manejar de manera restringida y controlada la información sobre la seguridad de las TI."

2.16.1.2 CONDICIÓN

De acuerdo a lo expresado el usuario experto y así como lo evidenciado durante la

evaluación del sistema Control de Firmas para el FRP, es posible indicar que los usuarios

externos de este sistema no necesitarán contraseña para acceder a este.


La información que será procesada mediante el sistema de Control de Firmas para el FRP,

corresponde a autorizaciones de personas por parte de las empresas importadoras

(mensajeros, entre otros) para retirar documentación oficial sobre permisos o

autorizaciones.

2.16.1.3 CAUSA

No se consideró necesario por parte del área usuaria asignar un usuario y contraseña a los

usuarios externos del sistema Control de Firmas para el FRP y por tanto este requerimiento

no fue solicitado a la Unidad de TI.

2.16.1.4 EFECTO:

No existiría la posibilidad de identificar la identidad del usuario que solicita el trámite y

que además esta corresponda al representante legal, que sería el único con potestad de

solicitar las autorizaciones.


Se evidencia que no se valoró por parte del área usuaria la importancia de la información

que se procesará mediante el Sistema de Control de Firmas.


A las Jefaturas de la Unidad de Tecnologías de la Información y del Departamento de

Control Fitosanitario.

2.16.1.6.1 Valorar los aspectos indicados en el desarrollo del presente hallazgo y realizar

las gestiones necesarias, para implementar el mecanismo que mejor se ajuste

para que, los usuarios externos del sistema Control de Firmas para el FRP,

ingresen pudiendo ser identificadas las transacciones que cada uno realice. Las

decisiones que se adopten deberán quedar fundamentas y documentadas.


2.17 MIGRACIÓN DE BASES DE DATOS

2.17.1 HALLAZGO No.17: AUSENCIA DE UN PROCEDIMIENTO QUE

REGULE LOS ASPECTOS A SEGUIR PARA EL PROCESO DE

MIGRACIÓN DE BASE DE DATOS.

2.17.1.1 CRITERIO:


emitidas por la Contraloría General de la República, establecen en el numeral 3.2

Implementación de software, que: La organización debe implementar el software que

satisfaga los requerimientos de sus usuarios y soporte efectivamente sus procesos, para lo

cual debe:

a. Observar lo que resulte aplicable de la norma 3.1anterior.

b. Desarrollar y aplicar un marco metodológico que guíe los procesos de implementación y

considere la definición de requerimientos, los estudios de factibilidad, la elaboración de

diseños, la programación y pruebas, el desarrollo de la documentación, la conversión de

datos y la puesta en producción, así como también la evaluación postimplantación de la

satisfacción de los requerimientos.

c. Establecer los controles y asignar las funciones, responsabilidades y permisos de acceso

al personal a cargo de las labores de implementación y mantenimiento de software.

d. Controlar la implementación del software en el ambiente de producción y garantizar la

integridad de datos y programas en los procesos de conversión y migración.

e. Definir los criterios para determinar la procedencia de cambios y accesos de emergencia

al software y datos, y los procedimientos de autorización, registro, supervisión y evaluación

técnica, operativa y administrativa de los resultados de esos cambios y accesos.

f. Controlar las distintas versiones de los programas que se generen como parte de su

mantenimiento.

2.17.1.2 CONDICIÓN

Dentro de la normativa interna implementada por la Unidad de TI (TI-BD-M-01 Manual

para la Administración de Bases de Datos, TI-BD-PO-01 Creación de Base de Datos por

nuevo sistema de información, TI-BD-PO-02 Modificación de Base de Datos por

modificación en sistema de información existente, TI-BD-PO-03 Solicitud de paquetes de

información de administración de bases de datos y TI-I-02 Estándares de bases de datos);

relacionada con procesos o actividades de la base de datos, no se incluyen los pasos o

aspectos a considerar durante una migración de base de datos.


2.17.1.3 CAUSA

No se consideró durante el desarrollo de la normativa relacionada con las bases de datos,

las regulaciones relacionadas con la migración de las mismas.

2.17.1.4 EFECTO

Debido a la condición indicada se pueden generar situaciones perjudiciales para la

institución, tales como: datos incorrectos, confusión entre campos, la plataforma no

soporta los datos, procesos de escritura ineficientes, entre otros.


Se evidencia la ausencia de regulaciones a nivel interno referente a la migración de las

bases de datos; situación que podría generar inconvenientes significativos para la

organización al propiciar un debilitamiento en el sistema de control interno.


A las Jefaturas de la Unidad de Tecnología de la Información

2.17.1.6.1 Confeccionar y mantener un procedimiento actualizado que regule los pasos a

seguir al momento de migrar bases de datos. Al respecto, se deben considerar

los siguientes elementos:

Incluir un proceso de planeación y análisis del trabajo a realizar.

Realizar un mapeo de los campos en la nueva base de datos.

Incluir un contador por cada registro migrado con éxito.

Identificar la codificación de caracteres que la BD destino.

Deshabilitar los Trigers y/o restricciones que puedan generar error al

momento que el DBMS ejecute el proceso de escritura de los datos.


2.18 PROCEDIMIENTO PARA LA ATENCIÓN DE REQUERIMIENTOS

DEL SISTEMA SIVUCE II

2.18.1 HALLAZGO No.18: NO SE CUENTA CON UN PROCEDIMIENTO

QUE REGULE Y GUÍE LA ATENCIÓN DE LOS

REQUERIMIENTOS PLANTEADOS POR PROCOMER CON

RELACIÓN AL SIVUCE II

2.18.2 CRITERIO

Las Normas Técnicas para la Gestión y Control de las T.I. emitidas por la CGR mencionan

en su apartado 3.1. Consideraciones Generales de la Implementación de T.I. lo siguiente:

"La organización debe implementar y mantener las TI requeridas en concordancia con su

marco estratégico, planificación, modelo de arquitectura de información e infraestructura

tecnológica. Para esa implementación y mantenimiento debe:

a. Adoptar políticas sobre la justificación, autorización y documentación de solicitudes de

implementación o mantenimiento de TI.

b. Establecer el respaldo claro y explícito para los proyectos de TI tanto del jerarca como de

las áreas usuarias.

c. Garantizar la participación activa de las unidades o áreas usuarias, las cuales deben tener

una asignación clara de responsabilidades y aprobar formalmente las implementaciones

realizadas.

d. Instaurar líderes de proyecto con una asignación clara, detallada y documentada de su

autoridad y responsabilidad.

e. Analizar alternativas de solución de acuerdo con criterios técnicos, económicos,

operativos y jurídicos, y lineamientos previamente establecidos.

f. Contar con una definición clara, completa y oportuna de los requerimientos, como parte

de los cuales debe incorporar aspectos de control, seguridad y auditoría bajo un contexto de

costo – beneficio.

g. Tomar las previsiones correspondientes para garantizar la disponibilidad de los recursos

económicos, técnicos y humanos requeridos.

h. Formular y ejecutar estrategias de implementación que incluyan todas las medidas para

minimizar el riesgo de que los proyectos no logren sus objetivos, no satisfagan los

requerimientos o no cumplan con los términos de tiempo y costo preestablecidos.

i. Promover su independencia de proveedores de hardware, software, instalaciones y

servicios."

2.18.3 CONDICIÓN

Si bien la Unidad de TI viene atendiendo los requerimientos que se vienen presentando con

relación al sistema SIVUCE II; se determinó que dicha dependencia a la fecha no cuenta

con un procedimiento escrito y oficializado, que regule y guie su accionar con respecto a la

atención de las solicitudes que presenta PROCOMER con respecto a dicho sistema.


2.18.4 CAUSA

No se ha visualizado la necesidad de contar con un procedimiento como el citado en el

apartado de “Condición” del presente hallazgo.

2.18.5 EFECTO

La ausencia de un procedimiento como el señalado, eventualmente podría generar algunos

inconvenientes a la entrada en producción del sistema SIVUCE II; con las consecuencias

negativas que eso podría conllevar.

2.18.6 CONCLUSIÓN

Uno de los aspectos relevantes del sistema de control interno, es el hecho de contar con

actividades de control suficientes y pertinentes; que mediante su aplicación generen

condiciones propicias para la prevención, detección y corrección de debilidades que podría

presentar el SCI y que eviten que se pueda materializar un riesgo importante. En ese

sentido, el SFE con relación a todo lo que representa el sistema SIVUCE II, debe contar

como parte de su sistema de control interno, con las actividades de control que sean

necesarias para cumplir en forma efectiva con los compromisos asumidos.

2.18.7 RECOMENDACIÓN

A la Unidad de TI del SFE

2.18.8 Gestionar la elaboración y aprobación del procedimiento, cuya

implementación permita ejercer control (incluye, supervisión,

documentación, etc) y atender en forma efectiva los requerimientos

planteados por PROCOMER, con relación al sistema SIVUCE II (lo que

incluye, entre otros aspectos, lo relativo al tema de los web services).


2.19 PERCEPCIÓN DE LOS USUARIOS

2.19.1 HALLAZGO No.19: DEBILIDADES QUE EN APARIENCIA

PRESENTAN LOS SISTEMAS AUDITADOS SEGÚN LA

PERCEPCIÓN DE LOS USUARIOS INTERNOS.

2.19.1.1 CRITERIO:


emitidas por la Contraloría General de la República, establecen en el numeral 5.2

Flexibilidad de los Sistemas de Información, que: Los sistemas de información deben ser lo

suficientemente flexibles, de modo que sean susceptibles de modificaciones que permitan

dar respuesta oportuna a necesidades cambiantes de la institución.

2.19.1.2 CONDICIÓN

Como parte del estudio realizado, se aplicó una encuesta conocer la percepción de los

usuarios internos con relación a los sistemas SAUDE, SICA, SICOIN y SIDEX (ver anexo

2). Al respecto, los usuarios manifestaron lo siguiente:

Sobre el sistema SAUDE:

Un sistema de comunicación interna entre los Departamentos de Agroquímicos y

Equipos Control Fitosanitario (incluyendo todos los puntos de ingreso),

Administrativo Financiero y la Unidad de TI. El producto final de todos los

sistemas es un servicio ágil y oportuno al usuario interno y externo, debido a esto

desde que inicia un trámite alguien tiene que verificar en qué punto está el atraso.

Si el producto no está registrado o se va hacer una anotación marginal, es

importante que todos los funcionarios involucrados en el proceso puedan ver el

desarrollo del mismo en línea desde su inicio hasta el final, con su debida

transparencia.

En algunos casos en la casilla de la cantidad no hay separación de dígitos (miles,

decimales), si lo separa en la pantalla pero a la hora de imprimir no lo hace.

Se debe mejorar el módulo de reportes.

Incluir los controladores biológicos en el sistema, ya que son productos

registrados, pero cada vez que hay una solicitud, la información se debe incluir con

el registro 99999.

Me parece que la información incluida en el sistema debe salir directamente del

expediente electrónico de cada registro; sé que es información confidencial y debe

ser restringida, pero en algunos casos necesitamos más información técnica, pero

tenemos que conformarnos con lo que está disponible.

Creo importante incluir un registro de firmas electrónicas, no solamente nombres

de las personas autorizadas.


Sobre el sistema SICOIN:

Actualmente se desarrolla un sistema actualizado SIVUCE 2.0 el cual contempla

incluir las funciones de SICOIN, por lo que no se considera hacer mejoras al

SICOIN.

Sobre el sistema SICA:

Actualmente está en desarrollo un versión mejorada de un sistema informático

desarrollado por PROCOMER; el cual incluye entre otros aspectos, todas las

aplicaciones del SICA por lo que este sistema dejará de operar para el próximo

año, por lo que toda mejora se estaría realizando en el sistema de SIVUCE 2.0

Sobre el sistema SIDEX:

Que no se trabe al pedir un reporte cuando el expediente es “enorme”.

Que podamos imprimir el Certificado de Operación desde el Sistema, sería más

fácil

Poder ver las observaciones en las resoluciones.

Que se puedan ver los productos de los empacadores y ambos, en el módulo de

usuarios del SFE, ya dieron con la clave, pero aún falta.

2.19.1.3 CAUSA

No se acostumbra aplicar en forma periódica encuestas de opinión a efecto de valorar la

percepción de los usuarios internos con relación a los sistemas en producción; lo anterior

con el fin de visualizar acciones de mejora en los casos en que corresponda.

2.19.1.4 EFECTO

Se presenta un riesgo potencial de que existan sistemas en producción que no satisfagan las

necesidades integrales de la organización; situación que podría incidir negativamente en el

cumplimiento de objetivos.


El SFE como parte de las prácticas administrativas que ha venido adoptando para fortalecer

su sistema de control interno, deberá incorporar aquellas que le posibiliten el monitoreo

periódico de la condición de sus sistemas de información, a efecto de obtener y atender las

observaciones de los usuarios de esos sistemas en forma oportuna. Dicha situación le debe

permitir a la organización fortalecer su sistema de control interno, especialmente con

respecto al componente función denominado “sistemas de información”.



A las Jefaturas de la Unidad de Tecnología de la Información, Departamento de

Control Fitosanitario, Departamento de Certificación Fitosanitaria y Departamento

de Agroquímicos y Equipos

2.19.1.6.1 Valorar los aspectos señalados por los usuarios en el presente hallazgo

(apartado de condición), con relación a los sistemas SAUDE, SICA, SICOIN y

SIDEX; situación que deberá permitir validar la posibilidad de que se gestione

según los procedimientos existentes, los ajustes y/o adiciones que sean

requeridos; caso contrario se fundamente y documente la imposibilidad de

llevar a cabo los mismos.

2.19.1.6.2 Realizar capacitaciones a los usuarios sobre los sistemas que estos manipulan y

dejar evidencia de dichas capacitaciones.


ANEXO No.1 NIVEL DE VALORACIÓN DE RIESGO

Condición

Vulnerabilidad

Comentarios Observaciones Tipo

Riesgo Sí No

Marco de Control Interno

Se cuenta con un modelo de control interno formalmente establecido para el SFE.

No obstante durante el 2013, no se valoraron los 5 componentes que integran la metodología.

Planeación Estratégica

Existe una planeación estratégica para la Unidad de TI, formalmente aprobada.

Sin embargo, en la planeación estratégica de la Unidad de TI no se evidencia la inclusión de los proyectos relacionados con automatización de los sistemas. Y además no se evidencia una adecuada alineación estratégica con las demás dependencias del SFE.

Gestión de la Calidad

La política de gestión de la calidad fue aprobada en el 2011.

Debido a que la mayoría de sistemas fueron adquiridos antes de la confección de esta política, no se les aplicó.

Política de Clasificación de la Información y Resguardo de los Datos

A la fecha de la presente auditoria no se cuenta con este tipo de políticas.

Contingencias

El SFE cuenta con un plan de contingencias y continuidad y en el mismo se incluye los aspectos a considerar respecto a los sistemas

A


de información.

Metodología de Proyectos

Actualmente el SFE, cuenta con una metodología de administración de proyectos informáticos, pero la misma es de reciente aprobación (Enero 2013).

No obstante, al momento de la adquisición y desarrollo de los sistemas incluidos en el presente estudio que se llevó a cabo no existía dicha metodología.

Seguridad de la Información

A la fecha de la presente auditoría, se evidenció la existencia de un manual de Políticas de Seguridad de la Información, formalmente aprobado.

No obstante, en el desarrollo del presente estudio se determinó incumplimiento de algunas de las políticas.

Gestión de Riesgos

En el momento de la adquisición y desarrollo de los sistemas sistemas incluidos en el presente estudio el SFE no contaba con una metodología de administración de riesgo institucional.

No obstante, en la metodología aprobada en el 2013, se considera las tecnologías de la información.

Políticas de Respaldo y Recuperación

Se determinó que se cuenta con políticas y procedimientos para la ejecución de respaldos y además estos se implementan adecuadamente

Modelo de Arquitectura de la Información

A la fecha del presente estudio la Unidad de TI, no ha establecido un modelo de arquitectura de la información.

Registros contables

Durante el presente proceso de auditoría se determinó que no existen registros a nivel contable de los costos en que incurrió el SFE para la adquisición de estos sistemas, así como el registro del valor como activo

Políticas y Estándares de Desarrollo

No se cuenta con documentación o información electrónica que respalde la existencia de los manuales o documentos sobre políticas, estándares y procedimientos para el desarrollo de sistemas y su aplicación durante el desarrollo o adquisición de estos sistemas. Sin embargo, es importante indicar

A

A

A


Con respecto al impacto de cada una de las condiciones expuestas, la escala de calificación utilizada es la siguiente: alto, medio y bajo, su

respectiva explicación se muestra a continuación:

que actualmente se encuentra establecida la normativa referente a este tema.

Metodología de Cambios

Actualmente se cuenta con una metodología para la administración de cambios a nivel de sistemas; misma que está siendo implementada.

Metodología para la Administración de Incidentes.

Se cuenta con un procedimiento para la atención de incidentes relacionados con sistemas de información; pero no incluye las demás áreas de tecnologías

Metodología para la Administración de Problemas

No se cuenta con una metodología de este tipo.

Manuales de Usuario, Operativos y Técnicos

Los sistemas SAUDE, SICA, SICOIN, no cuenta con este tipo de manuales.

Herramienta Automatizada Control de Versionamiento de Licencias

Se cuenta con la herramienta automatizada, donde se custodia y controla las versiones de los diferentes sistemas del SFE.

Políticas y procedimientos actualizados para la instalación, administración, migración, mantenimiento y seguridad de la base de datos

No se ha establecido normativa referente al proceso de migración de base de datos.

Procedimiento establecido para la contratación y adquisición de recursos de TI

A


Escala Descripción del nivel

Alto

Requiere una atención inmediata por su impacto en seguridad,

integridad, efectividad, eficiencia, confidencialidad,

confiabilidad, disponibilidad y continuidad de la plataforma

tecnológica. No se han establecido controles en este nivel de

riesgo.

Medio

Requiere una atención intermedia ya que su impacto

representaría riesgos sobre seguridad, integridad, efectividad,

eficiencia, confidencialidad, confiabilidad, disponibilidad y

continuidad de la plataforma tecnológica. Se han establecido

controles insuficientes en este nivel de riesgo.

Bajo

Requiere una atención no prioritaria ya que su impacto no es

directamente sobre seguridad, integridad, efectividad,

eficiencia, confidencialidad, confiabilidad, disponibilidad y

continuidad de la plataforma tecnológica. Se han establecido

controles adecuados en este nivel de riesgo.


ANEXO No. 2

EVALUACIÓN FUNCIONAL A LOS SISTEMAS SICA, SAUDE, SICOIN, SIDEX Y

CONTROL DE FIRMAS PARA EL FRP

En este apartado se muestra el resultado de la evaluación realizada, respecto a la calidad

funcional de los sistemas de información incluidos en el presente estudio y que se encuentran en

producción; así como la percepción de los servicios brindados por la Unidad de Tecnologías de

Información según la percepción de los usuarios finales. Los módulos evaluados, referente a la

calidad funcional se muestran en la siguiente tabla:

NOMBRE DEL SISTEMA

SAUDE

SICA

SICOIN

SIDEX

CONTROL DE FIRMAS PARA EL FRP

a. El resultado obtenido en la evaluación de la calidad funcional de los sistemas incluidos en

el estudio, de acuerdo a lo indicado por los usuarios, se muestran en el siguiente gráfico:

1

1

1

1

1

3

4 2

3 3 3

2

2

1 1 1 1 1

2

1 1

No Sé Pésimo Malo Regular Bueno Excelente


b. Percepción de los usuarios finales respecto al servicio brindado por parte de la Unidad de

Tecnología de la Información del SFE

3

1

4

2

4

2

No responde Nunca Insuficiente Rara vez

Siempre Regular Ocasionalmente Generalmente

Aceptable Satisfactorio Excelente


ANEXO No. 3

OPINIÓN JURÍDICA EMITIDA POR LA UNIDAD DE ASUNTOS JURÍDICOS DEL SFE

HOJA DE TRABAJO Dependencia: Unidad de Asuntos Jurídicos SFE H/T Nº: 01 Fecha: 10/10/2013 Auditor: RCJ Funcionario entrevistado: Lic. Gerardo Castro Salazar Cédula 106520589 Cargo: Jefe de Unidad Asunto: Consulta sobre aspectos relacionados con la Autoevaluación Anual del Sistema de Control Interno, según lo dispuesto en la Ley General de Control Interno N° 8292 y las Normas de Control Interno para el Sector Público emitidas por la Contraloría General de la República.

Antecedentes normativos:

1. LEY GENERAL DE CONTROL INTERNO N° 8292

Artículo 3º—Facultad de promulgar normativa técnica sobre control interno. La Contraloría

General de la República dictará la normativa técnica de control interno, necesaria para el

funcionamiento efectivo del sistema de control interno de los entes y de los órganos sujetos a esta Ley. Dicha normativa será de acatamiento obligatorio y su incumplimiento será causal de

responsabilidad administrativa. La normativa sobre control interno que otras instituciones emitan en el ejercicio de competencias

de control o fiscalización legalmente atribuidas, no deberá contraponerse a la dictada por la

Contraloría General de la República y, en caso de duda, prevalecerá la del órgano contralor.

Artículo 7º—Obligatoriedad de disponer de un sistema de control interno. Los entes y órganos sujetos a esta Ley dispondrán de sistemas de control interno, los cuales deberán ser

aplicables, completos, razonables, integrados y congruentes con sus competencias y atribuciones

institucionales. Además, deberán proporcionar seguridad en el cumplimiento de esas atribuciones y competencias; todo conforme al primer párrafo del artículo 3 de la presente Ley.

Artículo 10.—Responsabilidad por el sistema de control interno. Serán responsabilidad del

jerarca y del titular subordinado establecer, mantener, perfeccionar y evaluar el sistema de control interno institucional. Asimismo, será responsabilidad de la administración activa realizar las acciones

necesarias para garantizar su efectivo funcionamiento.

Artículo 17.—Seguimiento del sistema de control interno.

Entiéndese por seguimiento del sistema de control interno las actividades que se realizan para valorar la calidad del funcionamiento del sistema de control interno, a lo largo del tiempo;

asimismo, para asegurar que los hallazgos de la auditoría y los resultados de otras revisiones se

atiendan con prontitud. En cuanto al seguimiento del sistema de control interno, serán deberes del jerarca y los titulares

subordinados, los siguientes: (…)


*b) Que la administración activa realice, por lo menos una vez al año, las autoevaluaciones que

conduzcan al perfeccionamiento del sistema de control interno del cual es responsable. Asimismo, que pueda detectar cualquier desvío que aleje a la organización del cumplimiento de sus

objetivos. (…)

2. NORMAS DE CONTROL INTERNO PARA EL SECTOR PÚBLICO

1.1 Sistema de control interno (SCI) El jerarca y los titulares subordinados, según sus competencias, deben emprender las medidas

pertinentes para contar con un SCI, conformado por una serie de acciones diseñadas y ejecutadas por la administración activa para proporcionar una seguridad razonable en la consecución de los

objetivos organizacionales. El SCI tiene como componentes orgánicos a la administración

activa y a la auditoría interna; igualmente, comprende los siguientes componentes funcionales: ambiente de control, valoración del riesgo, actividades de control,

sistemas de información y seguimiento, los cuales se interrelacionan y se integran al proceso de gestión institucional.

Los responsables por el SCI deben procurar condiciones idóneas para que los componentes

orgánicos y funcionales del sistema operen de manera organizada, uniforme y consistente.

6.3 Actividades de seguimiento del SCI Las actividades de seguimiento del SCI, deben incluir:

a) La comprobación durante el curso normal de las operaciones, de que se estén cumpliendo las actividades de control incorporadas en los procesos y ordenadas por la jerarquía correspondiente.

b) Autoevaluaciones periódicas en las que se verifiquen el cumplimiento, validez y suficiencia del

SCI.

6.3.1 Seguimiento continuo del SCI Los funcionarios en el curso de su labor cotidiana, deben observar el funcionamiento del SCI, con el

fin de determinar desviaciones en su efectividad, e informarlas oportunamente a las instancias

correspondientes.

6.3.2 Autoevaluación periódica del SCI El jerarca y los titulares subordinados, según sus competencias, deben disponer la realización, por

lo menos una vez al año, de una autoevaluación del SCI, que permita identificar

oportunidades de mejora del sistema, así como detectar cualquier desvío que aleje a la institución del cumplimiento de sus objetivos.

Las estrategias y los mecanismos para la autoevaluación periódica, deben estar definidos como

parte de las orientaciones a que se refiere la norma 6.2. En todo caso, se debe procurar que sea ejecutada sistemáticamente y que sus resultados se comuniquen a las instancias idóneas para la

correspondiente toma de acciones y seguimiento de implementación.

El jerarca y los titulares subordinados, según sus competencias, deben constituirse en parte activa

del proceso que al efecto se instaure.

(Lo resaltado no es del original)


3. Metodología de Seguimiento Control Interno (PCCI-CI-MT-04 / Versión 01 del

15/06/2012) –se adjunta impresión del documento obtenida de la web del SFE-

2. OBJETIVO 2.1. Valorar la calidad del funcionamiento del Sistema de Control Interno en el Servicio Fitosanitario

del Estado.

2.2. Proponer acciones para fortalecer el Sistema de Control Interno, de conformidad con los

objetivos y recursos institucionales.

(…)

4. JUSTIFICACION En el Artículo 17 de la Ley General de Control Interno se establece la obligación del jerarca y los

titulares subordinados de valorar la calidad del funcionamiento del sistema de control interno, a lo

largo del tiempo. (…)

6.5. Período de Ejecución

Con la finalidad de ser congruentes con el proceso de planificación institucional, la autoevaluación

debe de planificarse en el I trimestre para ser implementada en el mes de mayo, para que las actividades de mejora identificadas puedan ser incorporadas en el Plan Anual Operativo y el

presupuesto de cada una de las instancias técnicas y administrativas del SFE. Posteriormente, se hará un seguimiento al plan de mejora en el mes de diciembre. El cronograma de implementación

para la aplicación de la autoevaluación se detalla a continuación. (…)

Cuadro #3 Cronograma de implementación 2012-2015

Año 2012 Aplicar el instrumento de autoevaluación a todos los componentes funcionales

Año 2013 Aplica el instrumento de autoevaluación solamente a los componentes Ambiente de

Control, Valoración de Riesgos y Seguimiento

Año 2014 Aplica el instrumento de autoevaluación solamente a los componentes Actividades de

Control , Sistemas de Información y

Seguimiento

A partir del año 2015 Cada titular subordinado diseñará y aplicará su

propia autoevaluación y la UPCCI supervisará el proceso.


Consultas:

1- Considerando los términos de la Ley General de Control Interno N° 8292 y las Normas Técnicas de Control Interno para el Sector Público emitidas por la Contraloría General de la República, ¿debe entenderse que la autoevaluación anual del sistema de control interno debe integrar cada uno de los componentes funcionales (ambiente de control, valoración del riesgo, actividades de control, sistemas de información y seguimiento; o es legalmente posible interpretar que la administración activa cumpliría con lo dispuesto en el citado ordenamiento, si dicha autoevaluación anual incluye únicamente algunos de esos componentes funcionales?

Respuesta:

El Control Interno es parte esencial en la función pública, que nace del precepto constitucional del artículo 11 de la Carta Magna, que dispone que “(…) La Administración Pública (…) estará sometida a un procedimiento de evaluación de resultados y rendición de cuentas (…) para que este control de resultados y rendición de cuentas opere como un sistema (…)” (el resaltado no corresponde al original). La norma fundamental conlleva a la existencia de un sistema de control que abarque los Principios de Legalidad, Responsabilidad, Transparencia y Rendición de Cuentas. El Sistema de Control Interno se desarrolla esencialmente en dos normas, la primera es la Ley Orgánica de la Contraloría General de la República N° 7428, que es sus artículos 8, 10 y 11 lo presenta como un sistema para percibir, administrar, custodiar, conservar, manejar, gastar e invertir la hacienda pública a través de normas, que regulan la competencia, la estructura, la actividad, las relaciones, los procedimientos, las responsabilidades y las sanciones, con el fin de garantizar la legalidad y la eficiencia de los controles internos y del manejo de los fondos públicos. La segunda es la Ley General de Control Interno N° 8292, que conceptualiza al sistema de control interno como una serie de acciones ejecutadas por la administración activa que busca proteger y conservar el patrimonio público, fiabilidad y oportunidad de información, eficiencia y eficacia de las operaciones y el cumplimiento del ordenamiento jurídico y técnico (Art. 8), sistema que debe ser completo y que asegure el cumplimiento de los fines (Art. 7). La norma concibe el sistema de control interno como “completo”, esa universalidad de mecanismos están direccionados a una gestión eficiente e integral, planificado, para la congruente consecución de objetivos, y la disminución de riesgos. El control interno en la Administración Pública, esta obligado a regirse por los Principios de Eficacia, Eficiencia, Simplicidad y Celeridad que norman la Organización y Función Administrativas, así como los de Continuidad, Regularidad y Adaptabilidad de los Servicios Públicos, porque la Administración Pública está concebida para dirigir y servir. Bajo esta tesis, se potenciada más el artículo 10 de la Ley General de la Administración Pública al decir: “Artículo 10.- 1. La norma administrativa deberá ser interpretada en la forma que mejor garantice la realización del fin público a que se dirige, dentro del respeto debido a los derechos e intereses del particular.


2. Deberá interpretarse e integrarse tomando en cuenta las otras normas conexas y la naturaleza y valor de la conducta y hechos a que se refiere.” Lo expuesto tiene un solo motivo, la consecución del fin público (Art. 113, 130, 131, 132 y 214 de la LGAP). Ahora bien, frente a la interrogante, se ha de concluir que, si hay una división de la autoevaluación, esta requiere una justificación motivada y proyectada que permita valorar el efecto negativo o positivo de su aplicación, no obstante, esta Unidad no visualiza la vialidad de esta decisión jurídicamente, no solo desde el punto normativo, sino de servicio público. Los componentes del sistema de control interno puntualizan los procesos indispensables para la planificación y eficiencia del Estado, como lo establece la Constitución Política en los artículos 139 inciso 4) al instituir “la buena marcha del Gobierno, y el progreso y bienestar de la Nación” y el artículo 140 inciso 8) referente a “vigilar el buen funcionamiento de los servicios y dependencias administrativas”. Es importante resaltar que la “Normas de control interno para el Sector Público” (N-2-2009-CO-DFOE) (en adelante Normas), en su parte considerativa explica que el sistema tiene un enfoque integral para el fortalecimiento del desempeño de las actividades desde el punto de vista de control interno, el artículo 1 de las Normas dispone que sus componentes se interrelacionan y se integran al proceso de gestión institucional para que el sistema opere de manera organizada, uniforme y consistente. El artículo 1.3 sub incisos b) y d) del mismo cuerpo legal, detalla como características imperativas del SCI que: sea completo, que “(…) debe considerar la totalidad de la gestión institucional, y en él deben estar presentes los componentes orgánicos y funcionales.”, e integrado para “(….) interrelacionarse adecuadamente e incorporarse en la gestión institucional.”. Téngase presente que el sistema de control es integral para minimizar el riesgo, pero la revisión de estos mecanismos de manera parcial resultaría en que habría siempre un factor que, lejos de disminuir, podría mantener un estado negativo, de exposición, e incluso aumentar, véase incluso que el artículo 1.4 de las Normas resalta que la Administración debe “(…) dar especial énfasis a áreas consideradas relevantes (…)”, no autoriza una exclusión de componentes, sino el abordaje completo de todas las áreas, aplicando criterios de vulnerabilidad y trascendencia para la priorización, lo que sería concordante con los artículos citados en la presente hoja de trabajo de la Auditoría Interna. Con base en la normativa indicada y lo expuesto, tratándose del sistema de control interno, la autoevaluación debe ser integral, como indica el artículo 7 de la Ley N° 8292, este necesariamente debe ser “completo”, porque se ha de integrar con competencias legales de la Administración Pública. La estrecha vinculación con las competencias legales, refuerza la exigencia de una revisión global de la conducta administrativa, porque de lo contrario sería suponer que el funcionamiento de la Administración Pública dado por ley debería ejecutarse por partes, lo cual sería una violación al ordenamiento público. Un proceso trascendental para la operatividad de la Administración Pública, que esta fraccionado, no garantiza el cumplimiento del fin público.


2- Tomando en cuenta la consulta anterior, ¿se ajusta el cronograma de implementación 2012-2015 que forma parte integral de la Metodología de Seguimiento Control Interno (PCCI-CI-MT-04 / Versión 01 del 15/06/2012); a lo regulado en la Ley General de Control Interno N° 8292 y las Normas Técnicas de Control Interno para el Sector Público emitidas por la Contraloría General de la República, con respecto a la autoevaluación anual del sistema de control interno?

Respuesta:

No. La normativa de control interno, de servicio y función pública no autoriza ni visualiza una autoevaluación del sistema de control interno como el cronograma de implementación 2012-2015.

3- De acuerdo con la Ley General de Control Interno N° 8292, el establecimiento,

mantenimiento, perfeccionamiento y evaluación el sistema de control interno

institucional es responsabilidad de la administración activa; quien está conformada por el Jerarca y los titulares subordinados. En forma consecuente, dicha ley establece la obligación de que la administración activa como parte del cita sistema de control interno debe realizar las autoevaluaciones que conduzcan al perfeccionamiento del SCI del cual es responsable por lo menos una vez al año; considerando lo dispuesto en el citado ordenamiento, ¿se estaría violentado el mismo respecto a lo que se persigue con relación a efectuar una autoevaluación anual del SCI institucional, al disponer el SFE que a partir del año 2015 (en el cronograma de implementación 2012-2015 que forma parte integral de la Metodología de Seguimiento Control Interno), delegue en cada titular subordinado la obligación de diseñar y aplicar su propia autoevaluación; procediendo la Unidad de Planificación, Gestión de la Calidad y Control Interno únicamente a ejercer supervisión sobre el proceso; o si por el contrario, la organización debe disponer de una metodología institucional que a través de los criterios que sean definidos, autoevalúe en forma técnica y estandarizada el sistema de control interno institucional?

Respuesta:

La norma es reiterativa de que el sistema es para los jerarcas y titulares subordinados, mediante la ordenación de una escala de funciones y competencias según la estructura organizativa. La metodología de autoevaluación es casuística, definida por las funciones distribuidas a lo interno, por lo que puede haber una estructura básica para el SFE pero que incluya las variables particulares de cada área. El control interno es para la Administración Pública, como un todo, siendo la función del jerarca revisar, modificar, direccionar, rechazar y aprobar lo realizado por sus inferiores, como máximo representante de la institución, por lo que, debe existir una metodología institucional con criterios definidos.

ministerio de agricultura y ganaderÍa servicio … · 2015-04-21 · en el caso del sistema sidex,...

Documents