plantilla de oficios dgai · web viewsi bien existe un plan estratégico de tecnologías de...

Dirección General de Auditoría Interna“Un Equipo de Trabajo comprometido con la excelencia y la integridad”

San José, 31 de enero del 2011INF-DGAI-002-2011

LicenciadoFrancisco Villalobos BrenesDirector General de Tributación

ASUNTO: Servicios de Auditoría,Informe de Control Interno

Estimado señor:

Nos permitimos presentarle el informe INF-DGAI-002-2011 sobre evaluación de la gestión de la Dirección de Tecnología de Información Tributaria. Al respecto se determinó que la Dirección de Tecnología de Información Tributaria ha realizado esfuerzos significativos para contar con los aspectos que le permitan cumplir con sus objetivos y las funciones asignadas; sin embargo, se determinaron algunos aspectos que se requieren fortalecer como parte del control interno en esa Dirección.

Por lo anterior, se giran las recomendaciones correspondientes las cuales están sujetas a lo que establece el artículo 36 de la Ley 8292 Ley General de Control Interno, por lo que le agradecemos comunicar a esta Dirección la decisión que se tome al respecto para el efectivo cumplimiento de lo recomendado, dentro del plazo de diez días señalado en el artículo indicado; así como el plan de acción que un plazo razonable se defina para la implantación efectiva de lo recomendado.

Si discrepa de lo recomendado debe elevar las objeciones al señor Ministro, según se establece en el artículo 36 de la Ley General de Control Interno N° 8292.

Atentamente,

Clairé Chacón RodríguezDirector General ai

ccr/oma/xrlcc: SAI/AP/Estudios de Auditoría/Informes de Auditoríace: Estudio Nº 030-2010

INFORME SOBRE LA EVALUACIÓN DE LA GESTIÓN DE LA DIRECCIÓN DE TECNOLOGÍA DE INFORMACIÓN TRIBUTARIA

INF-DGAI-002-2011

ENERO, 2011



TABLA DE CONTENIDO

Resumen Ejecutivo.............................................................................................................................................. i

1. Introducción.................................................................................................................................................1

1.1. Origen......................................................................................................................................................1

1.2. Objetivo del estudio.................................................................................................................................1

1.3. Alcance....................................................................................................................................................1

1.4. Comunicación oral de resultados.............................................................................................................1

1.5. Normativa relacionada con control interno.............................................................................................1

2. Resultados.....................................................................................................................................................2

2.1. Mejoras en el proceso de planificación...................................................................................................3

2.1.1.Plan estratégico de tecnologías de información..................................................................................4

2.1.2.Formulación del plan táctico...............................................................................................................4

2.1.3.Procedimiento para la formulación de los planes...............................................................................5

2.2. Definición de políticas.............................................................................................................................6

2.3. Actualización del plan de contingencia...................................................................................................6

2.4. Gestión continua de riesgos.....................................................................................................................7

2.5. Plan para la elaboración de manuales de procedimientos.......................................................................8

3. Conclusiones.................................................................................................................................................9

4. Recomendaciones.......................................................................................................................................10

INF-DGAI-002-2011



RESUMEN EJECUTIVO

Este estudio se origina de conformidad con el Plan de Auditoría del 2010 y comprende la revisión de las actividades desarrolladas por la Dirección de Tecnología de Información Tributaria 1, para el cumplimiento de algunas de las funciones establecidas en el Reglamento de Organización y Funciones de la Dirección General de Tributación2 en lo relacionado con la planificación, emisión políticas, plan de contingencia y gestión continua de riesgo. Para el periodo comprendido entre enero y noviembre del 2010.

Como resultado del proceso de planificación de esa Dirección se dispone de un plan anual operativo del año 2010, cuyo objetivo principal es la implementación de la nueva organización y las nuevas funciones, pretendiendo su consolidación, como encargada de las Tecnologías de Información en la Dirección General de Tributación. Asimismo, la Dirección de Tecnología de Información Tributaria participa en las reuniones para la formulación del Plan Integrado de Control Tributario para lograr objetivos conjuntos en la materia fiscal, de acuerdo con sus competencias y las de la Dirección General de Tributación

En relación con el proceso de planificación en la Dirección de Tecnología de Información Tributaria se determinaron algunos aspectos a mejorar, a saber:

Definición de un plan estratégico de tecnología de información que le permita gestionar y dirigir los recursos de tecnologías de información (TI), en línea con la estrategia y prioridades de la Dirección General de Tributación (DGT) y del Ministerio de Hacienda en general.

Definición de un plan táctico que integra los proyectos a mediano plazo que se van a desarrollar en la Dirección de Tecnología de Información Tributaria, como un instrumento que facilita el cumplimiento del Plan Estratégico de Tecnologías de Información de la DGT, ya que establece un portafolio priorizado de proyectos tecnológicos de dicha Dirección.

Implementación de un instrumento de trabajo propio que oriente las actividades relacionadas con las acciones a seguir para la formulación de los diferentes planes que debe elaborar, y para un adecuado cumplimiento de los objetivos, en el que además se establezca la documentación que respalda la formulación de los planes.

La Dirección de Tecnología de Información Tributaria requiere de la definición de políticas y su divulgación, orientadoras de la gestión de las tecnologías de información que le permitan procurar el uso eficiente de los recursos invertidos en tecnología de información en concordancia con la normativa que al respecto se establezca a nivel institucional.

El plan de contingencias elaborado en el año 2006 no ha sido actualizado de conformidad con los cambios en la nueva estructura organizativa de la Dirección General de Tributación, en las funciones de la Dirección de Tecnología de Información Tributaria y los sistemas de información actuales; entre otros.

1 Hasta diciembre 2009 denominada División de Informática de Tributación2 Decreto Nº 35688-H, publicado en La Gaceta No.14 del 21 de enero del 2010

INF-DGAI-002-2011 Pág. i


Situación similar se presenta con la identificación y análisis de la gestión riesgos que se había considerado en ese plan de contingencia; por lo tanto, no cuenta con un instrumento de trabajo actualizado, que le permita maximizar la probabilidad y consecuencia de eventos positivos y minimizar la probabilidad y consecuencia de eventos adversos; acorde con las competencias señaladas en el Decreto Nº 35688-H Reglamento de Organización y Funciones de la Dirección General de Tributación.

Debido a las funciones asignadas a la Dirección de Tecnología de Información Tributaria, se inició el levantamiento de los nuevos manuales de procedimientos, los cuales se encuentran en proceso de elaboración y oficialización, sin embargo, se requiere mejorar el plan formulado para tal propósito, a fin tener información sobre el término estimado para revisión, aprobación y divulgación de esos instrumentos de trabajo.

Se realizan las recomendaciones correspondientes, según los aspectos determinados y presentados en el apartado de resultados del informe, en aras de que a la brevedad posible se tomen las medidas correctivas que proceden.

Este informe está sujeto al artículo 36 de la Ley 8292 Ley General de Control Interno, que establece un plazo improrrogable de diez días posterior al recibo del informe para ordenar la implantación de lo recomendado, y si discrepa de ellas elevar el informe al Ministro en ese mismo plazo.

INF-DGAI-002-2011 Pág. ii



1. INTRODUCCIÓN

1.1. Origen

Este estudio se origina de conformidad con el Plan de Auditoría del 2010.

1.2. Objetivo del estudio

Evaluar la gestión de la Dirección de Tecnología de Información Tributaria, a fin de determinar el cumplimiento de la normativa vigente, la salvaguarda de los recursos públicos, la eficiencia y eficacia en las operaciones, la confiabilidad y oportunidad de la información para la toma de decisiones; así como el cumplimiento de objetivos.

1.3. Alcance

Comprende la revisión de las actividades establecidas por la Dirección de Tecnología de Información Tributaria3, para el cumplimiento de algunas de sus las funciones establecidas en el Reglamento de Organización y Funciones de la Dirección General de Tributación, en lo relacionado con la planificación, la emisión políticas, el plan de contingencia, y la gestión continua de riesgo. Para el periodo comprendido entre enero y noviembre del 2010.

En el desarrollo del estudio se observaron las normas generales de auditoría para el Sector Público, las Normas técnicas para la gestión y el control de las Tecnologías de Información (N-2-2007-CO-DFOE), en la medida en que las circunstancias permitieron su aplicación y las disposiciones del Decreto N° 34573-H Reglamento de Organización y Funcionamiento de la Dirección General de Auditoría Interna del Ministerio de Hacienda.

1.4. Comunicación oral de resultados

Los resultados, conclusiones y recomendaciones que contiene este informe fueron comunicados oralmente el 31 de enero de 2011, en las oficinas de la Dirección General de Tributación, al Licenciado Juan Carlos Gómez Sánchez, Sub Director General de Tributación, Licenciada Ana Patricia Hidalgo González, Directora de Tecnología de Información Tributaria, quienes entre otros aspectos indicaron: que en términos generales estaban de acuerdo con la presentación de los resultados y las recomendaciones.

Las observaciones realizadas por los participantes, en la medida de las circunstancias, fueron incorporadas en este informe.

1.5. Normativa relacionada con control interno.

A fin de prevenir efectos negativos por inobservancia de la legislación vigente, se transcriben a continuación los artículos de la Ley General de Control Interno N° 8292, que regulan los deberes en materia de control interno, informes y los plazos que deben observarse, así como las posibles responsabilidades en que se puede incurrir por incumplimiento injustificado de esas disposiciones.

Artículo 10.- Responsabilidad por el sistema de control interno. “Serán responsabilidad del jerarca y del titular subordinado establecer, mantener, perfeccionar y evaluar el sistema de control interno institucional.

3 Conocida hasta diciembre 2009 como División de Informática de Tributación

INF-DGAI-002-2011 Pág. 1 de 11


Asimismo, será responsabilidad de la administración activa realizar las acciones necesarias para garantizar su efectivo funcionamiento.”

Artículo 17.- Seguimiento del sistema de control interno. “Entiéndase por seguimiento del sistema de control interno las actividades que se realizan para valorar la calidad del funcionamiento del sistema de control interno, a lo largo del tiempo; asimismo, para asegurar que los hallazgos de la auditoría y los resultados de otras revisiones se atiendan con prontitud”

Artículo 36.-Informes dirigidos a los titulares subordinados. “Cuando los informes de auditoría contengan recomendaciones dirigidas a los titulares subordinados, se procederá de la siguiente manera: // a) El titular subordinado, en un plazo improrrogable de diez días hábiles contados a partir de la fecha de recibido el informe, ordenará la implantación de las recomendaciones. Si discrepa de ellas, en el transcurso de dicho plazo elevará el informe de auditoría al jerarca, con copia a la auditoría interna, expondrá por escrito las razones por las cuales objeta las recomendaciones del informe y propondrá soluciones alternas para los hallazgos detectados . // b) Con vista de lo anterior, el jerarca deberá resolver, en el plazo de veinte días hábiles contados a partir de la fecha de recibo de la documentación remitida por el titular subordinado; además, deberá ordenar la implantación de recomendaciones de la auditoría interna, las soluciones alternas propuestas por el titular subordinado o las de su propia iniciativa, debidamente fundamentadas. Dentro de los primeros diez días de ese lapso, el auditor interno podrá apersonarse, de oficio, ante el jerarca, para pronunciarse sobre las objeciones o soluciones alternas propuestas. Las soluciones que el jerarca ordene implantar y que sean distintas de las propuestas por la auditoría interna, estarán sujetas, en lo conducente, a lo dispuesto en los artículos siguientes. // c) El acto en firme será dado a conocer a la auditoría interna y al titular subordinado correspondiente, para el trámite que proceda.”

Artículo 39.-Causales de responsabilidad administrativa. “El jerarca y los titulares subordinados incurrirán en responsabilidad administrativa y civil, cuando corresponda, si incumplen injustificadamente los deberes asignados en esta Ley, sin perjuicio de otras causales previstas en el régimen aplicable a la respectiva relación de servicios.[…] // Igualmente, cabrá responsabilidad administrativa contra los funcionarios públicos que injustificadamente incumplan los deberes y las funciones que en materia de control interno les asigne el jerarca o el titular subordinado, incluso las acciones para instaurar las recomendaciones emitidas por la auditoría interna, sin perjuicio de las responsabilidades que les puedan ser imputadas civil y penalmente. […]”

2. RESULTADOS

Mediante el Decreto Nº 35688-H Reglamento de Organización y Funciones de la Dirección General de Tributación, publicado en La Gaceta Nº 14 del 21 de enero del 2010, se crea la Dirección de Tecnología de Información Tributaria como una de las Direcciones de la Dirección General de Tributación.

Según información remitida vía correo electrónica por la Licda. Ana Patricia Hidalgo, Directora de la Dirección de Tecnología de Información Tributaria, la misión de la Dirección de Tecnología de Información Tributaria está orientada a desarrollar herramientas en tecnología de la información que potencien las labores de control de cumplimiento de las obligaciones tributarias y diseñar y mantener esquemas de ayuda y soporte a los contribuyentes que faciliten el cumplimiento de las obligaciones tributarias.

El artículo 44 del Reglamento de Organización y Funciones de la Dirección General de Tributación precitado, define las funciones de la Dirección de Tecnología de Información Tributaria. Para efectos de este estudio se seleccionaron las siguientes funciones, a consideración de esta Auditoría como las de mayor riesgo dentro de su gestión:



Traducir las estrategias en materia de Tecnología de Información en prácticas cotidianas de la Dirección General de Tributación, mediante un proceso continuo de promulgación y divulgación de un marco estratégico constituido por políticas organizacionales.

Participar en la formulación del Plan Estratégico de la Dirección General de Tributación.

Asegurar que existan los mecanismos necesarios para responder adecuadamente a las amenazas que puedan afectar la gestión de la Tecnología de Información, al servicio de la Administración Tributaria, mediante una gestión continua de riesgos que esté integrada al sistema específico de valoración del riesgo institucional y considere el marco normativo que le resulte aplicable.

Asegurar que los productos y servicios de Tecnología de Información sean de conformidad con los requerimientos de sus usuarios con base en un enfoque de eficiencia y mejoramiento continuo.

Elaborar el plan anual operativo de la Dirección de Tecnología de Información Tributaria para su aprobación por parte del Director General.

Elaborar el plan táctico de la Dirección de Tecnología de Información Tributaria de conformidad con el plan estratégico de la Dirección General de Tributación y para su aprobación por parte del Director General.

Asegurar que existan los mecanismos de seguridad de la información Tributaria de manera que garantice razonablemente, la confidencialidad, integridad y disponibilidad de la información, lo que implica protegerla contra uso, divulgación o modificación no autorizados, daño o pérdida u otros factores disfuncionales.

Mantener actualizados los procedimientos para la realización de los diferentes trámites en materia de su competencia.

Durante el estudio se determinaron algunos aspectos susceptibles de mejora en esa Dirección de Tecnología, esenciales de su gestión para el cumplimiento de las funciones mencionadas, los cuales se exponen seguidamente:

2.1. Mejoras en el proceso de planificación.

Como resultado del proceso de planificación de la Dirección de Tecnología de Información Tributaria se dispone de un plan operativo del periodo 2010, el cual contiene las actividades que le corresponden realizar de conformidad con las funciones establecidas en el Decreto Nº 35688-H antes citado, alineado con la planificación estratégica, operativa y presupuestaria de la Dirección General de Tributación.

El Plan Anual Operativo año 2010, tiene como objetivo principal la implementación de la nueva organización y las nuevas funciones, pretendiendo la consolidación de dicha Dirección, como encargado de las Tecnologías de Información en la Dirección General de Tributación. A partir de ahí, se establecen las estrategias a seguir y las áreas de acción a desarrollar durante el año, mismas que están orientadas hacia la consecución de los objetivos planteados en el Plan Estratégico de la Dirección General de Tributación.

Asimismo, la Dirección de Tecnología de Información Tributaria participa en las reuniones de formulación del Plan Integrado de Control Tributario para lograr objetivos conjuntos en la materia fiscal, de acuerdo con sus competencias y las de la Dirección General de Tributación.



No obstante, en relación con la planificación en la Dirección General de Tecnología de Información, se encontraron algunos aspectos a mejorar, según se expone a continuación:

2.1.1. Plan estratégico de tecnologías de información.

Se determinó que no hay evidencia que la Dirección General de Tributación y bajo el apoyo de la Dirección de Tecnología de Información Tributaria disponga de un Plan Estratégico de Tecnologías de Información (PETI), que permita entre otros aspectos gestionar y dirigir los recursos tecnológicos de información, en línea con la estrategia y prioridades de la DGT y del Ministerio de Hacienda, necesaria para contar con un conocimiento pleno de los requerimientos y prioridades actuales y futuros.

Si bien existe un Plan Estratégico de Tecnologías de Información Institucional, que incluye algunas de las necesidades en materia de tecnología de información de la Dirección General de Tributación; sin embargo, de conformidad con las sanas prácticas y la normativa relacionada con las tecnologías de información, es importante el Plan Estratégico de Tecnologías de Información que oriente los esfuerzos, relacionados con la función de apoyo en tecnología de información para los procesos sustantivos y adjetivos de la Dirección General de Tributación, además facilite la orientación de los planes tácticos, operativos y proyectos, así como la definición de los recursos presupuestarios. Lo anterior debidamente alineado con la estrategia de la Dirección General de Tributación y del Ministerio de Hacienda.

Al respecto, la norma 2.1 relacionada con la Planificación de las tecnologías de información de las “Normas técnicas para la gestión y el control de las Tecnologías de Información (N-2-2007-CO-DFOE)”, establece que “La organización debe lograr que las TI apoyen su misión, visión y objetivos estratégicos mediante procesos de planificación que logren el balance óptimo entre sus requerimientos, su capacidad presupuestaria y las oportunidades que brindan las tecnologías existentes y emergentes.”

En el mismo sentido, la norma 1.1 de las normas mencionadas, indica que “El jerarca debe traducir sus aspiraciones en materia de TI en prácticas cotidianas de la organización, mediante un proceso continuo de promulgación y divulgación de un marco estratégico constituido por políticas organizacionales que el personal comprenda y con las que esté comprometido”, función en la Dirección General de Tributación ha sido delegada a la Dirección de Tecnología de Información, según lo establece el apartado d) del artículo 44 del Decreto Nº 35688-H, Reglamento de Organización y Funciones de la Dirección General de Tributación.

Aunado a lo anterior, el objetivo identificado como PO1 contenido en el documento denominado COBIT 4.1, establece que “Se requiere una planeación estratégica de TI para administrar y dirigir todos los recursos de TI de acuerdo con la estrategia del negocio y las prioridades.(…) El plan estratégico debe mejorar el entendimiento de los interesados clave respecto a las oportunidades y limitaciones de TI, evaluar el desempeño actual y aclarar el nivel de inversión requerido…”.

Disponer de un Plan Estratégico de Tecnología de Información permite establecer claramente los requerimientos de la Dirección General de Tributación, en concordancia con los objetivos y metas tanto de la Dirección como del Ministerio, para una efectiva recaudación de ingresos tributarios.

2.1.2. Formulación del plan táctico.

Actualmente la Dirección de Tecnología de Información no cuenta con un Plan táctico de tecnologías de información, que le permita verificar la propuesta de prioridades de ejecución de sus proyectos de Tecnología de Información, así como la vinculación entre los objetivos estratégicos o líneas de acción en relación con la situación esperada, los efectos, productos resultantes, el alcance, las relaciones de coordinación, los



responsables, los requerimientos, costos, la programación y las fechas de inicio y finalización de cada proyecto de la DGT.

Lo anterior no está conforme con la función encomendada de "Elaborar el plan táctico de la Dirección de Tecnología de Información Tributaria de conformidad con el plan estratégico de la Dirección General de Tributación y para su aprobación por parte del Director General ."4 que no es un tema desconocido para esa Dirección de Tecnología ya que se elaboró un plan táctico para los años 2007-2008, no obstante según lo manifestado por la Licda. Ana Patricia Hidalgo5 dado que todos los esfuerzos de la Dirección General de Tributación estaban centrados en el proyecto de Tributación Digital, la preparación del plan del 2009-2010 no se concluyó.

La existencia de un Plan táctico minimiza el riesgo de un incumplimiento de los objetivos estratégicos de la Dirección General de Tributación, asimismo, facilita el diseño y mantenimiento adecuado de esquemas de ayuda y soporte a los contribuyentes para el cumplimiento oportuno de las obligaciones tributarias. Además, le permite a esa Dirección contar una herramienta para el control y seguimiento oportuno de los avances de los proyectos, facilita la planificación del recurso humano, el seguimiento y los requerimientos necesarios, así como la distribución de las cargas de trabajo.

2.1.3. Procedimiento para la formulación de los planes.

La Dirección de Tecnología de Información Tributaria se encuentra en el proceso de oficialización de la Guía denominada “Control de Operaciones y del Desempeño”, documento que a consideración de la Licda. Ana Patricia Hidalgo, Directora de la citada Dirección, corresponde a la guía que se está desarrollando para el proceso de planificación en esa Dirección.

Sin embargo; al revisar ese documento se determinó que el objetivo de esa Guía es "Medir y controlar el desempeño anual de las subdirecciones de la Dirección de Tecnología de Información Tributaria.", por lo que no se dispone de un procedimiento formalizado para la formulación de los planes, ya que la citada guía no corresponde a un instrumento de trabajo propio que oriente las actividades relacionadas con las acciones a seguir en el proceso de formulación de los diferentes planes que debe elaborar, producto de los procesos de planificación y que además, establezca la documentación que respalda la formulación de los planes.

Es importante señalar que de acuerdo con las mejores prácticas para la elaboración de los diferentes planes, se debe disponer de un procedimiento, debidamente documentado y comunicado, con fecha de vigencia y de aprobación, el cual permita elaborar un plan que contenga, al menos, lo siguiente:

Aspectos generales (tipo de plan, ámbito de acción, base legal, misión y visión, entre otros.) Periodo de ejecución del plan. Aspectos considerados y documentación en la preparación del plan. Objetivos y metas para el periodo. Actividades a realizar. Responsabilidad Directrices o políticas utilizadas Descripción del procedimiento para elaborar el plan.

Al respecto, la norma 4.4.1 de las Normas de control interno para el Sector Público (N-2-2009-CO-DFOE), establece: “4.4.1 Documentación y registro de la gestión institucional. El jerarca y los titulares subordinados,

4 Apartado b), Artículo 44 del Decreto Nº 35688-H, Reglamento de Organización y Funciones de la Dirección General de Tributación5 Según correo electrónico del 12 de enero del 2010.



según sus competencias, deben establecer las medidas pertinentes para que los actos de la gestión institucional, sus resultados y otros eventos relevantes, se registren y documenten en el lapso adecuado y conveniente, y se garanticen razonablemente la confidencialidad y el acceso a la información pública, según corresponda.”

Contar con la definición de los procedimientos para la formulación de los planes, minimiza el riesgo de que por desconocimiento del personal , en los procesos de planificación no se realice con la vinculación con los planes estratégicos y presupuestarios, no se tenga el conocimiento de las actividades a realizar, se desconozca cuándo y cómo realizar el proceso, cuáles son los insumos que se deben considerar, y el grado de participación y responsabilidad.

2.2. Definición de políticas.

La Dirección de Tecnología de Información Tributaria carece de un marco normativo que contenga las políticas, orientadoras de la gestión de las tecnologías de información que le permitan procurar el uso eficiente de los recursos invertidos en tecnología de información. Estas políticas deben estar dirigidas a formular, desarrollar, documentar, promulgar y controlar el conjunto de políticas en materia de riesgos, calidad, seguridad y funcionamiento de comités, que mejor aborden la orientación estratégica que el nivel superior desea imprimir al desempeño organizacional.

De mano con la definición de políticas se encuentra el plan de divulgación de esas políticas, para que se promueva la comprensión, conciencia y compromiso con las aspiraciones de la Dirección, que contribuyan a la efectividad de la información y cumplimiento de las políticas que defina esa Dirección.

Si bien es cierto6, la Dirección General de Informática del Ministerio de Hacienda ha emitido políticas en materia de Tecnología de Información que son de aplicación obligatorio para todas las dependencias del Ministerio, sin embargo, es importante que la Dirección de Tecnología de Información Tributaria defina sus políticas internas, de manera tal que pueda cumplir con la función encomendada de traducir las estrategias en materia de Tecnología de Información en prácticas cotidianas de la Dirección General de Tributación, mediante un proceso continuo de promulgación y divulgación de un marco estratégico constituido por políticas organizacionales .

Las Normas técnicas para la gestión y el control de las Tecnologías de Información (N-2-2007-CO-DFOE), señala lo siguiente: Marco estratégico de TI: El jerarca debe traducir sus aspiraciones en materia de TI en prácticas cotidianas de la organización, mediante un proceso continuo de promulgación y divulgación de un marco estratégico constituido por políticas organizacionales que el personal comprenda y con las que esté comprometido.

La ausencia de políticas propias, así como su correcta divulgación; en materia de riesgos, calidad, seguridad y funcionamiento de comités, podrían afectar el adecuado procesamiento de la información, la toma de decisiones la efectividad y eficiencia de las operaciones, lo cual podría incidir en la efectividad de los procesos tributarios tanto para el contribuyente como para los funcionarios de la Dirección General de Tributación.

2.3. Actualización del plan de contingencias

En el año 2006 la Dirección de Tecnología de Información Tributaria elaboró un plan de contingencias que contenía, entre otros aspectos, objetivos del plan, alcances, límites, metodología, contexto organizacional, identificación de riesgos, metodología de análisis de riesgos, resultado de análisis de riesgos, planes de acción propuestos, plan de prueba del plan de contingencia, conclusiones y recomendaciones, glosarios, el cual no ha

6 Según señaló la Licda. Ana Patricia Hidalgo, Directora de la Dirección de Tecnología de Información Tributaria, en indagación efectuada el 19 de noviembre del 2010.



sido actualizado acorde a los cambios de la nueva estructura organizativa de la Dirección General de Tributación, las funciones de la Dirección de Tecnología de Información Tributaria y los sistemas de información actuales; entre otros.

Al respecto las Normas técnicas para la gestión y el control de las Tecnologías de Información (N-2-2007-CO-DFOE), señalan:

“1.4 Gestión de la seguridad de la información. La organización debe garantizar, de manera razonable, la confidencialidad, integridad y disponibilidad de la información, lo que implica protegerla contra uso, divulgación o modificación no autorizados, daño o pérdida u otros factores disfuncionales. Para ello debe documentar e implementar una política de seguridad de la información y los procedimientos correspondientes, asignar los recursos necesarios para lograr los niveles de seguridad requeridos y considerar lo que establece la presente normativa en relación con los siguientes aspectos: La implementación de un marco de seguridad de la información; el compromiso del personal con la seguridad de la información, la seguridad física y ambiental, la seguridad en las operaciones y comunicaciones, el control de acceso, la seguridad en la implementación y mantenimiento de software e infraestructura tecnológica,la continuidad de los servicios de TI.../...Además debe establecer las medidas de seguridad relacionadas con : el acceso a la información por parte de terceros y la contratación de servicios prestados por éstos, el manejo de la documentación, la terminación normal de contratos, su rescisión o resolución, la salud y seguridad del personal, las medidas o mecanismos de protección que se establezcan deben mantener una proporción razonable entre su costo y los riesgos asociados...”

La no actualización de un plan de contingencias en tecnologías de información eleva los niveles de riesgo en materias de tecnologías de información, lo que podría ocasionar pérdida injustificada de información o recursos tecnológicos, tanto a nivel de la Dirección General de Tributación como en la información de los contribuyentes, así como la interrupción injustificada de los servicios tecnológicos.

Contar con un plan de continuidad, tiene los siguientes beneficios, por lo que es necesario que se tomar medidas correctivas para clarificar las acciones a seguir en caso de una contingencia y evitar así la interrupción del servicio:

Brinda protección a los funcionarios y a los usuarios de la Dirección General de Tributación Reduce la pérdida de información, en detrimento del control tributario que debe ejercer la Dirección

General de Tributación. Evita que se paralicen las funciones vitales de las gestiones tributarias relacionadas con la fiscalización,

gestión y recaudación. Permite la recuperación de las operaciones en un tiempo y costos razonables. Protege los activos vitales de la Dirección General de Tributación Brinda una mejor imagen de confianza y seguridad a los funcionarios y usuarios.

2.4. Gestión continua de riesgos

Como parte del plan de contingencia elaborado en el año 2006, se incluyó la identificación de riesgos, la metodología y los resultados del análisis de riesgos para los procesos de la Dirección de Tecnología de Información Tributaria, sin embargo, se determinó que esta información no ha sido actualizada de acuerdo con los cambios en sus procesos internos.



En ese sentido, se determinó que la Dirección de Tecnología de Información Tributaria no cuenta con un documento actualizado, que le permita maximizar la probabilidad y consecuencia de eventos positivos y minimizar la probabilidad y consecuencia de eventos adversos; lo anterior acorde con las funciones señaladas en el Reglamento de Organización y Funciones de la Dirección General de Tributación.

Es importante señalar que para el cumplimiento de las funciones asignadas a la Dirección de Tecnología de Información Tributaria, se debe responder adecuadamente a las amenazas que puedan afectar los procesos asociados con las Tecnologías de Información, mediante una gestión continua de riesgos que esté integrada al sistema específico de valoración del riesgo institucional, de conformidad con las regulaciones internas y la normativa definida por la Contraloría General de la República para su establecimiento y funcionamiento.

Las Normas técnicas para la gestión y el control de las Tecnologías de Información (N-2-2007-CO-DFOE), en la norma 1.3 señala lo siguiente:

“1.3 Gestión de riesgos. La organización debe responder adecuadamente a las amenazas que puedan afectar la gestión de las TI, mediante una gestión continua de riesgos que esté integrada al sistema específico de valoración del riesgo institucional y considere el marco normativo que le resulte aplicable.”

Lo citado podría generar que la Dirección de Tecnología de Información Tributaria, desconozca los posibles riesgos de tecnologías de información, y no se tomen medidas oportunas, con un eventual impacto en las metas establecidas y el cumplimiento de los objetivos tanto de esa Dirección como de la Dirección General de Tributación, con la incidencia en la recaudación de ingresos tributarios.

2.5. Plan para la elaboración de manuales de procedimientos.

De conformidad con las funciones asignadas a la Dirección de Tecnología de Información Tributaria, se inició el levantamiento de los nuevos manuales de procedimientos, los cuales se encuentran en proceso de elaboración. Sin embargo, se determinó que el plan definido para ese propósito carece de información relacionada con el proceso de revisión, aprobación y divulgación de esos instrumentos

Para este tipo de actividades el Ministerio de Planificación Nacional y Política Económica en Mayo 2009, emitió la Guía de Manuales Administrativos, en la que se indican las fases o etapas a desarrollar en la elaboración de manuales administrativos, que deben ser consideradas en la formulación de planes para tal propósito, a saber:

Planificación del Trabajo. Búsqueda de la Información. Análisis de la Información. Elaboración del Manual. Validación del Manual. Autorización del Manual. Difusión y distribución del Manual. Revisión y Actualización del Manual.

Lo antes expuesto, tiene como consecuencia que no existan plazos definidos para la aprobación, oficialización y divulgación de los manuales de procedimientos, considerando la importancia de la implementación los mismos, por cuanto constituyen un instrumento de trabajo que describe en forma lógica, sistemática y detallada las actividades, así como quién, cuándo, dónde, cómo y para qué han de realizarse las diferentes actividades. Además, permite orientar al personal y unificar criterios sobre la manera correcta en que deben ser realizadas.



3. CONCLUSIONES

3.1 Como resultado del proceso de planificación de esa Dirección se dispone de un plan anual operativo del año 2010, dicho plan tiene como objetivo principal la implementación de la nueva organización y las nuevas funciones, pretendiendo la consolidación de dicha Dirección, como el encargado de las Tecnologías de Información en la Dirección General de Tributación. No obstante, se encontraron algunos aspectos a mejorar en el proceso de planificación en la Dirección de Tecnología de Información Tributaria, tales como:

Necesidad de que la Dirección General de Tributación y bajo el apoyo de la Dirección de Tecnología de Información Tributaria disponga de un Plan Estratégico de Tecnología de Información que le permita gestionar y dirigir todos los recursos de tecnologías de información (TI), en línea con la estrategia y prioridades del negocio.

Elaboración de un plan táctico que integre los proyectos a mediano plazo que se van a desarrollar en la Dirección de Tecnología de Información Tributaria, además, es un instrumento que facilita el cumplimiento del Plan Estratégico de Tecnologías de Información de la DGT, ya que establece un portafolio priorizado de proyectos tecnológicos de dicha Dirección.

Elaboración de un instrumento de trabajo propio que oriente las actividades relacionadas con las acciones a seguir para la formulación de los diferentes planes que debe elaborar, y lograr un adecuado cumplimiento de los objetivos, que sirva como instrumento para generar valor al cumplimiento de sus objetivos y que además, establezca la documentación que respalda la formulación de los planes.

Ver punto 2.1 del presente informe

3.2 La Dirección de Tecnología de Información Tributaria requiere políticas, orientadoras de la gestión de las tecnologías de información que le permitan procurar el uso eficiente de los recursos invertidos en tecnología de información. De mano con la definición de políticas se encuentra el plan de divulgación de esas políticas, para que se promueva la comprensión, conciencia y compromiso con las aspiraciones de la Dirección. Ver punto 2.2 del presente informe.

3.3 El plan de contingencias elaborado en el año 2006 por la Dirección de Tecnología de Información Tributaria, no ha sido actualizado acorde con los cambios en la estructura organizativa de la Dirección General de Tributación, las funciones de esa Dirección de Tecnología y los sistemas de información actuales; entre otros. Situación que podría ocasionar pérdida injustificada de información o recursos tecnológicos, tanto a nivel de la Dirección General de Tributación como en la información de los contribuyentes, así como la interrupción injustificada de los servicios tecnológicos.. Ver punto 2.3 del presente informe.

3.4 Como parte del plan de contingencias elaborado en el año 2006, se realizó la identificación de riesgos, metodología y los resultados del análisis de riesgos para los procesos de la Dirección de Tecnología de Información Tributaria, sin embargo, actualmente esa Dirección carece de un documento actualizado, que le permita maximizar la probabilidad y consecuencia de eventos positivos y minimizar la probabilidad y consecuencia de eventos adversos; acorde con las funciones de la Dirección de Tecnología de Información Tributaria. Ver punto 2.4 del presente informe.

3.5 Actualmente la Dirección de Tecnología de Información Tributaria, se encuentra en proceso de elaboración y oficialización de los manuales de procedimientos, sin embargo, en la formulación del plan no se han considerado las actividades relacionadas con la revisión, aprobación y divulgación de estos instrumentos, que permitan establecer los plazos de conclusión del proceso. Ver punto 2.5 del presente informe.



4. RECOMENDACIONES

Al Director General de Tributación

4.1 Ordenar a la Directora de la Dirección de Tecnología de Información Tributaria para que se mejore el proceso de planificación indicado en el punto 2.1 del presente informe, con el fin de que se disponga de:

a) Un plan estratégico de tecnología de información que le permita gestionar y dirigir todos los recursos de tecnologías de información de la Dirección General de Tributación, que este en línea con la estrategia y prioridades del negocio, que además le permita orientar los esfuerzos relacionados con la función de apoyo en tecnología de información para el resto de los procesos sustantivos y adjetivos de la Dirección General de Tributación.

b) Un plan táctico de la Dirección de Tecnología de Información Tributaria, a fin de que esa Dirección cuente con un instrumento que le permita integrar los proyectos a mediano plazo que se van a desarrollar y contar con un instrumento que facilite el cumplimiento del Plan Estratégico de Tecnologías de Información de la Dirección General de Tributación, que se defina.

c) Un manual de procedimiento oficializado que describa en forma lógica, sistemática y detallada las actividades que se desarrollan para el proceso de planificación de la Dirección de Tecnología de Información Tributaria , con el objeto de orientarlo a las actividades de mayor riesgo, optimizar el uso de los recursos asignados y lograr un adecuado cumplimiento de sus objetivos, que sirva como instrumento para generar valor al cumplimiento de sus objetivos y que entre otras cosas establezca la documentación que respalda la formulación de los planes.

Ver punto 3.1 del presente informe.

4.2 Ordenar a la Directora de la Dirección de Tecnología de Información Tributaria, definir políticas sobre Tecnologías de Información, que se derive de un análisis comprensivo y profundo de la realidad tecnológica de la Dirección General de Tributación y la Dirección de Tecnología de Información Tributaria, orientadores de la gestión de TI, de conformidad con la normativa vigente y en concordancia con la normativa emitida a nivel institucional, tanto por la Dirección General de Informática como por el Consejo Institucional de Tecnología de Información (CITI). Ver punto 3.2 del presente informe.

4.3 Ordenar a la Directora de la Dirección de Tecnología de Información Tributaria la actualización del plan de contingencia en tecnologías de información, acorde con los riesgos y funciones definidas en la nueva estructura, a fin de establecer medidas preventivas y de detección que reduzcan los niveles de riesgo en la Dirección General de Tributación. Ver punto 3.3 del presente informe.

4.4 Ordenar a la Directora de la Dirección de Tecnología de Información Tributaria la actualización de la valoración de riesgos, a fin de que esa Dirección cuente con un marco de trabajo de administración de riesgos actualizado. Ver punto 3.4 del presente informe.

4.5 Ordenar a la Directora de la Dirección de Tecnología de Información Tributaria completar el plan para la elaboración de los manuales de procedimientos, de manera que considere las etapas de revisión, aprobación y divulgación, que facilite el control y seguimiento de la conclusión de ese proceso.

Las recomendaciones contenidas en el presente informe, están sujetas a las disposiciones del artículo 36 de la Ley Nº 8292 Ley General de Control Interno, que establece un plazo improrrogable de diez días hábiles

INF-DGAI-002-2011 Pág. 10 de 11


posterior al recibo del informe, para ordenar la implantación de las recomendaciones. Si discrepa de tales recomendaciones, dentro del plazo indicado elevará el informe de auditoría al jerarca, quién deberá resolver en el plazo de veinte días hábiles, ordenando la implantación de recomendaciones de la Auditoría Interna, las soluciones alternas propuestas por el titular subordinado o las de su propia iniciativa.

Licda. Xinia R. López Corella Lic. Oldemar Murillo Arce Profesional de Auditoría Interna 3 Coordinador de Auditoría Área de Ingresos

c. Estudio 030-2010

INF-DGAI-002-2011 Pág. 11 de 11

plantilla de oficios dgai · web viewsi bien existe un plan estratégico de tecnologías de...

Documents