INSTITUTO NACIONAL DE APRENDIZAJE Unidad de Recursos Humanos Proceso de Dotación

Informe de fin de gestión

FR URH PO 11 Edición 01

30/09/2014

Se elabora el presente Informe de Fin de Gestión, de conformidad con la normativa interna

vigente en el Instituto Nacional de Aprendizaje, las Directrices Nº D-1-2005-CO-DFOE emitidas

por la Contraloría General de la República aplicables a la Institución y la Ley N° 8292 "Ley

General de Control Interno".

Datos generales:

Dirigido a: Licda. Rita María Mora Bustamante, Auditora Interna.

Copia a (Unidad de Recursos Humanos): Lic. Carlos Chacón Reta na y Licda. Eva Jimenez Juárez

Fecha del Informe: 12 de Octubre del 2016

Nombre de la Persona Funcionaria: Roberto Alfara Bolaños

Nombre del Puesto: Profesional de Apoyo 111. Encargado del Proceso de Fiscalización de

Tecnologías de la Información y Comunicación. (PFTIC}.

Unidad Ejecutora: Auditoría Interna

Período de Gestión: 03 de Mayo del 2010 al 14 de Octubre del 2016.

Informe recibido en la Unidad de Recursos Humanos

\ 1 - vi .'""'\C~w~"-"·

Recibido por: f-A\/\(\ }...t(\\ tf" "1- Firma e"' .. ~!u.r

" ( ~

NA

(

Fecha: ll\-\()- \" Sello llHIDAD RECURSOS HUMAMD~ ~9CESO SOPORTE ' P · ~ "" .

2de 19

1. Presentación: en este apartado se incluye un resumen ejecutivo del contenido del informe.

2. Resultados de la Gestión: Indicar la labor realizada durante el periodo de su gestión en el área donde estuvo nombrado.

3. Cambios en el entorno: Indicar los cambios presentados durante el periodo de su gestión, incluyendo los principales cambios en el ordenamiento jurídico que afectan el quehacer institucional o de la unidad, según corresponda al jerarca o titular subordinado.

4. Control Interno: Estado de la auto evaluación del sistema de control interno institucional o de la Unidad al inicio y al final de su gestión, según corresponda al jerarca o titular subordinado.

5. Acciones emprendidas: Para establecer, mantener, perfeccionar y evaluar el sistema de control interno institucional o de la Unidad, al menos durante el último año, según corresponda al jerarca o titular subordinado.

6. Logros alcanzados: Principales logros durante su gestión de conformidad con la planificación institucional o de la Unidad, según corresponda.

7. Proyectos relevantes: Estado actual de los proyectos más relevantes en el ámbito institucional o de la Unidad, existentes al inicio de su gestión y de los que dejó pendientes de concluir.

8. Administración de recursos financieros: Asignados durante su gestión a la institución o a la Unidad, según corresponda.

9. Sugerencias: Para la buena marcha de la institución o de la Unidad, según corresponda, si

la persona funcionaria que rinde el informe lo estima necesario.

10. Observaciones: Sobre otros asuntos de actualidad que a criterio del funcionario que rinde el informe la instancia correspondiente enfrenta o debería aprovechar, si lo estima

necesario.

11. Disposiciones de la Contraloría General de la República: Estado actual del cumplimiento de las disposiciones que durante su gestión le hubiera girado la CGR.

12. Órganos de Control Externo: Estado actual del cumplimiento de las disposiciones o recomendaciones que durante su gestión le hubiera girado algún otro órgano de control externo, según la actividad propia de cada administración.

13. Auditoría Interna: Estado actual de cumplimiento de las recomendaciones que durante su gestión le hubiera formulado la respectiva Auditoría Interna.

3de19

La persona funcionaria saliente da fe de que lo expuesto en el presente informe de fin de gestión corresponde a la realidad de los hechos y es consciente de que la responsabilidad administrativa de las personas funcionarias del Instituto Nacional de Aprendizaje, INA prescribirá según se indica en el artículo 71 de la Ley Orgánica de la Contraloría General de la República #7428, del 7 de setiembre de 1994, y sus reformas.

Nombre y Firma de la persona funcionaria:

Roberto Alfara Bolaños:

Número de identificación: 1-01466-0146

ce: Unidad de Recursos Humanos

4de19

1

1. PRESENTACIÓN

INFORME DE FIN DE GESTIÓN ROBERTO ALFARO BOLAÑOS

Este informe se presenta en cumplimiento de lo dispuesto en la Ley General de Control Interno en el inciso e) del artículo 12, así como lo dispuesto en la directriz #8 emitida por la Contraloria General de la República, en el Diario Oficial La Gaceta #131 del 07 de Julio del 2005 y la norma 4.6.2 Informe de fin de gestión de las "Normas de control interno para el Sector Público", utilizando para ello el formulario FR URH PO 11, y en la normativa vigente conexa y concordante.

El informe se emite con el fin de rendir cuentas de los resultados obtenidos en cumplimiento de las funciones bajo mi responsabilidad, resumiendo entre otros aspectos, los logros alcanzados, las actividades realizadas resultantes de la gestión, los cambios en el entorno, los aspectos de control interno, las acciones emprendidas, los proyectos relevantes, la administración de recursos financieros, las sugerencias, las observaciones, las disposiciones de la CGR y las recomendaciones de los órganos de control externo, en atención al FR-URH-PD 11 Edición 01, 30 de setiembre del 2014. No se hace referencia a los puntos no relacionados con las responsabilidades del puesto desempeñado en particular los puntos 4 (Control Interno), 8 (Administración de recursos financieros), 11 (Disposiciones de la Contraloría General de la República), 12 (Órganos de Control Externo) y 13 (Auditoria Interna), dado. que no procede, por las características y alcance del puesto de Encargado de Proceso del PFTIC desempeñado en la Unidad de Auditoría Interna.

Otro de los objetivos del informe es servir de referencia al sucesor en el puesto de Encargado (a) del Proceso de Fiscalización de Tecnologías de la Información y Comunicación (PFTIC), para que si lo considera conveniente y lo autoriza la Auditora Interna, proceda a darle seguimiento y completar las actividades que quedaron inconclusas y continúe . <;OI'\ la programación de actividades establecidas en el Plan Anual de Trabajo del período 2016 y le sirvan de base para la planificación del Plan Anual de trabajo para el año 2017.

Las acciones realizadas por el suscrito se ejecutaron garantizando transparencia en la actuación, ante mis superiores, compañeros y compañeras y la administración activa del INA, en apego a la normativa técnica y jurídica que regula el ejercicio de la auditoría interna en el Sector Público y las actividades que desarrollé durante el intervalo de mi gestión.

5 de19

2. RESULTADOS DE LA GESTIÓN

Mediante el Regamento de Organización y Funcionamiento de la Auditoría Interna del Instituto

Nacional aprobado por la Junta Directiva del Instituto Nacional de Aprendizaje mediante

acuerdo Ne 022-2011-JD, acordado en la sesión Ne 4472 del 14 de febrero del 2011, me doy por

comunicado del ámbito de competencia del puesto de Encargado del Proceso de Fiscalización

de Tecnologías de la Información y Comunucación (PFTIC} y asi procedí a comunicar a las

personas funcionarias subordinadas, entre otras funciones, las relaciones y coordinaciones con

el puesto de Encargado del PFTIC dentro de la Auditoría Interna del INA, de acuerdo con la

estructura orgánica vigente; delimitando con ello el marco de acción de la persona en ese

puesto.

Durante estos seis años, cinco meses y 12 días, elaboré los borradores de los siguientes

documentos para los periódos 2010, 2011, 2012, 2013, 2014, 2015 y 2016:

• Informe anual de labores del PFTIC.

• Plan Anual de Trabajo,

• Plan Anual de Capacitación.

• POIA y formulación del presupuesto.

• Estrategia y política de fiscalización del PFTIC con base en riesgo.

• Plan Estratégico de TI para la Auditoría Interna periodo 2010-2013 y 2014-2016.

Además, ejecuté las siguientes actividades:

• Informe Técnico para identificar las necesidades de recurso humano en el PFTIC (2011 y el

2016).

• Durante mi gestión, además de las labores administrativas diversas asignadas por la

Dirección de Auditoria (DAI), y también por asignación directa de la DAI, fungí como el

Administrador de los Recursos Informáticos de Auditoria Interna (ARI), labor que incluía,

entre otras varias, el gestionamiento del mantenimiento y adquisición del parque

computacional de la Unidad de Auditoria (Centro de Cómputo, estaciones de trabajo,

impresoras multifuncionales, fotocopiadoras, lnfocomunicaciones) y la infraestructura

eléctrica y física.

• También fungí como el encargado de gestionar los casos tanto técnicos como

administrativos en la Mesa de Servicio (Service Desk) y del seguimiento de los casos que

se registraran.

6de 19

• Supervisión de los estudios especiales y operativos de las áreas relacionadas con la TIC's,

como parte de mis funciones, dándome la oportunidad de conocer el ajuste o desviación

de las estrategias de desarrollo de las TIC' s en relación a los objetivos del Plan Estratégico

de Tecnología de Información y Comunicación (PETIC) contratado por medio de un

convenio interinstitucional con la Universidad Nacional de Costa Rica y posteriormente el

Plan Estratégico Institucional 2011 - 2016 denominado Dr. Alfonso Carro Zúñiga. Estos

informes generaron valor agregado a la seguridad y continuidad de las operaciones de la

Institución.

• Revisión y actualización de los siguientes manuales instructivos y procedimientos (PFTIC-

05-2016):

);;>- Manual para ejecutar la rutina de Respaldo Diario.

);;>- Respaldo manual de las Bases de Datos

);;>- Organización del parque de Servidores del Centro de Cómputo.

);;>- Proceso de Instalación de una nueva Estación de Trabajo.

);;>- Asignación fija de una dirección IP en la VLAN de la Al.

);;>- Restauración de la Base de Datos de la Al.

);;>- Instructivo para la configuración de las multifuncionales (WorkCentre 6400 y Aficio

MP C3002)

);;>- Instructivo para atender incidentes en el parque de aires acondicionados de la Al.

);;>- Manual para ejecutar la rutina de Respaldo Semanal.

• Revisión y preparación de la propuesta para modificaciones de informes internos

especiales.

• Análisis, diseño y propuesta para la definición del Universo Auditable de la Al en materia de TI, desglosado en procesos y actividades, tomando como base referente la normativa costarricense y las mejores prácticas internacionales en TIC's.

• Procedimiento para la actividad de seguimiento para proporcionar al personal de la Al los procedimientos a utilizar, para que éstos verifiquen oportunamente el cumplimiento de

las disposiciones y recomendaciones emitidas tanto por la Auditoría del INA como las

dirigidas al INA por otras organizaciones de Auditoría, para atender las "Normas Generales

de Auditoría para el Sector Público", específicamente la norma 206, sobre seguimiento.

7 de19

• Uso e implementación del Office 365, documento preparado para la divulgación del uso de estas herramientas para la intercomunicación interna de la Al. Una de las herramientas . tecnológicas a las cuales tenemos acceso los funcionarios del INA por el convenio que se suscribe con la empresa Microsoft, es el office 365. Este provee un espacio de SO GB en la nube denominado (OneDrive), además se cuenta con un servicio de correo electrónico, y las herramientas de edición de documentos online (Word, Excel y PowerPoint). Esta herramienta se accede mediante la dirección web: https://portal.office.com/Home. Estas herramientas de edición de documentos online (no deben ser instaladas) contienen funcionalidades menores a las acostumbradas a las versiones de Escritorio (Instaladas), permitiendo almacenar los documentos en la nube (OneDrive).

• Participé en todas las reuniones de discusión de informes con auditados, y de las cuales obtuvimos un 100% de aceptación de las recomendaciones emitidas, estas reuniones me brindaron la oportunidad de ampliar los conocimientos sobre temas de interés institucional, fortaleciendo la habilidad de auditor fiscalizador y el desarrollo personal profesional.

• Participé en una sesión de Junta Directiva, como invitado de la DAI para brindar criterio técnico sobre el proyecto de la Red Inalámbrica de la Institución.

• Elaboré el borrador del "Informe Técnico para identificar las necesidades de Recursos Humanos (RH) en el PFTIC de la Al", el cual se remitió vía correo electrónico. Se justificó la determinación del recurso humano manteniendo la información brindada con el oficio PFTIC-006-2014, con un cambio en los días estimados para la ejecución de cada estudio de 35 a 31.

• Inicié el estudio de "Actualización del Plan Estratégico de la Al 2016-2018", con la revisión de las políticas, siguiendo la instrucción de la señora Auditora Interna, de acuerdo con el análisis y la propuesta presentada a esa Dirección. Se remitió el borrador del documento que contiene la propuesta para su valoración y aprobación.

• Participación en reuniones y comités en reuniones convocadas por la Auditora Interna y algunas solicitadas por mi persona, para coordinar aspectos relacionados con actividades y proyectos a mi cargo.

• Atención de personal de Auditorias del Sector Publico con el objetivo de atender a sus funcionarios auditores, sobre nuestra experiencia exitosa con el desarrollo e implementación del Sistema Integrado de Auditoria Interna (SIA).

• Participé en reuniones organizadas por los Encargados de los otros Procesos de Fiscaliazción en temas relacionados con el proceso de auditoría y con la normativa técnica y jurídica que regula la acción del PFTIC.

8de19

Actividades administrativas:

• Lectura de correos, documentos recibidos, normativa técnica y legal, pronunciamientos de la CGR, reglamentos, redacción de solicitudes de información a las diferentes áreas de la Institución, control de asistencia del PFTIC.

• Edición de borradores de oficios solicitados por la DAI, entre otros temas como por ejemplo: sobre el reglamento de uso de los activos informáticos del INA; advertencias: sobre las debilidades de las claves de ingreso al parque de Sistemas de Información de la Institución; sobre las garantía de servicio en los Servidores de Archivos Hewlett Packard que se estaban comprando a nivel institucional; sobre el estado de desarrollo del Sistema Integrado Financiero (SIF) mediante Lactación Abreviada 2010-LAOOOOOl-01, el cual finalmente fue suspendido y está en litigio con el proveedor; sobre el estado de desarrollo del Sistema Ayudas Económicas (SIAE) licitación Abreviada 2010-LA000012-01; sobre incumplimientos al Manual de Normas Técnicas para la Gestión y el Control de la TI ((n-2-2007-CO-DFOE) y con lo establecido en el Reglamento Interno de usos de los activos de TI.

• Reuniones con la DAI y los integrante del PFTIC, para solictar su aprobación en aspectos como la evaluación de los riesgos de TI, los alcances del Universo Auditable del PFTIC, y sobre planificación de actividades de capacitación.

• Coordinación proceso de adquisición de equipos como Servidores de archivos, unidades interrumpibles de poder (UPS), Aires Acondicionados, nuevas estaciones de trabajo, nuevo software, un nuevo cielo raso para el salón de auditoria, nuevo cableado eléctrico, ver aparte de Logros alcanzados.

• Participé directamente en la gestión de contratación de la nueva auditora de TI, realicé las entrevistas a las personas preseleccionadas y se practicaron pruebas de idoneidad en el área de la auditoria de TI se realizaron los análisis de los resultados de las pruebas aplicadas.

• Colaboré directamente en temas relacionados con Salud Ocupacional, Presupuesto, planes de planificación del trabajo.

• Fui miembro participante del Comité de DAI y los encargados de procesos, comité que tuvo dentro de su funcionalidad el análisis y discusión de las nuevas normativas y de las políticas y directrices a implementar.

• Atención a los reportes de seguimiento que solicitan las diferentes dependencias referentes al estado de las recomendaciones de la Auditoría Interna.

9de 19

3. CAMBIOS EN EL ENTORNO

• Ley 9078 Ley de Tránsito por vías públicas y terrestres y seguridad vial.

• Ley 9274 Reforma Integral de la Ley 8634, Ley del Sistema de Banca para el Desarrollo, y reforma de otras leyes.

• Ley 9158 Ley reguladora del Sistema Nacional de Contralorías de Servicios

• La Contraloría General de la República aprobó y promulgó las "Normas Generales de Auditoría para el Sector Público R-DC-64-2014, Diario Oficial La Gaceta 184 del 25 de setiembre del 2014 que actualizó el Manual de Normas Generales de Auditoría para el Sector Público.

• Manual de prácticas éticas del INA-2012.

• Política Ambiental del INA-2012

• Política de Igualdad de Género del INA-2013

• Directrices para la solicitud y asignación de recursos de las Auditorías lnternas-R-DC-010-2015 CGR

4. CONTROL INTERNO

Dadas las características del puesto que desempeñé durante este período no procede.

S. ACCIONES EMPRENDIDAS

l. Análisis de requerimiento de equipo, análisis de necesidades de suministros y consumibles

para el parque de impresión de la Al y análisis del medio ambiente donde se ubica el

centro de cómputo de la Al.

2. Seguimiento, análisis y revisión de los reportes del uso de internet institucional,

colaboración con el área de seguridad de la GTIC en mantener la lista de direcciones de

tipo SPAM, y de malware.

10de19

3. Monitoreo y mantenimiento del Sistema Información interno de "Control de Tiempo" que

provee el tiempo dedicado a cada una de las actividades realizadas por las personas

funcionarias, que facilita información para comparar los tiempos estimados con respecto a

los realmente dedicados a la actividad. Este control contribuye a la estimación de los

tiempos de actividades a planificar en los períodos subsiguientes, y es un marco de

referencia efectivo y confiable, siempre y cuando reportemos los tiempos de la actividad

que realmente se está ejecutando; y en forma oportuna.

Este control es una herramienta que informa sobre las actividades que realizan las

personas funcionarias, durante el tiempo laboral, identificadas como: Estudio de Auditoría,

Labor administrativa, Unidad de Salud, Reunión, Trabajo fuera de oficina, Vacaciones­

Feriado, Incapacidad, Valoración de denuncias, Soporte Técnico, Seguimiento,

Capacitación, Servicios preventivos, Supervisión, Asesoría Jurídica y Permiso.

4. Gestioné el uso e implementación de la firma digital con la GTIC, a todos los miembros del

PFTIC y la DAI a los efectos de participar en el proyecto piloto de implementación de la

firma digital de todas las personas funcionarias del INA; asimismo, se implementó el uso

de la firma digital en el Outlook de la Al.

S. Se elaboraron los Planes de Trabajo Anuales (PAT) del PFTIC de la Auditoría Interna, se

brindó información a los DAI sobre el cálculo de los días laborales y la distribución de éstos

entre las diferentes actividades a realizar, identificando los días que se asignan

específicamente para la ejecución de los servicios de auditoría en el PAT.

6. Elaboración de los cronogramas de trabajo de acuerdo con la programación de las .

actividades anuales de las personas que se desempeñan en la DAI.

7. Elaboré informes tanto para la DAI como para la Presidencia Ejecutiva, la determinación

de necesidades de Recurso Humano en auditoria de las TIC's, con el objetivo, de poder

cubrir el Universo Auditable del PFTIC en un lapso no mayor a los cinco años.

8. Realicé anualmente el plan de capacitación (PAC), capacitación requerida y recibida por

las personas funcionarias del PFTIC y de mi persona, con el fin de identificar, para cada

periodo siguiente, la capacitación individual requerida, específicamente en temas de

Auditoria de las TI, Gobernanza de las TI, Riesgos, controles de tecnologías de

información, uso de técnicas asistidas por computador y cursos de temas relacionados con

la naturaleza de la institución, siendo estos insumos, la información básica para la

determinación de las brechas por persona funcionaria, que contribuyera con la

programación y asignación de los recursos de capacitación en forma eficiente.

11de19

9. Elaboré anualmente el Presupuesto del PFTIC en cuanto a equipos de cómputo, equipos

de impresión y fotocopiado, de materiales consumibles, unidades ininterrumpidas de

Poder, necesidades de alimentación eléctrica, discos de almacenamiento externo para

respaldo.

10. Elaboré el estudio de necesidades de extinguidores tipo Halón para la protección contra

posibles incendios en equipos electrónicos y así proteger al máximo su utilidad después de

un incendio apagado con agua.

11. Participación en la capacitación de personas funcionarias en un programa para optar por

la Certificación de Auditor Interno (CIA) para disminuir la brecha con las mejores prácticas

en relación con profesionales certificados.

12. Participación en la capacitación para preparación para optar por la Certificación de

Auditor Interno (CIA) para mejorar la brecha con las mejores prácticas en relación con

profesionales certificados.

6. LOGROS ALCANZADOS

1. Gestión del proyecto para la implementación de la unidad de aire acondicionado del

Centro de Cómputo de la Al. Esta unidad de enfriamiento vino a mitigar los riesgos de

caídas e interrupción del Sistema Integrado de Auditoria (SIA), y por ende el de garantizar

razonablemente la continuidad de operaciones de la Unidad de Auditoría.

2. Análisis de requerimientos para la gestión del proyecto para dotar a la Al de cableado

estructurado categoría 5 UTP para interconectar el parque de computadores y servidores,

con la idea de mejorar la seguridad de la red interna, de mejorar su rendimiento, y

proteger así la inversión en infraestructura tecnológica. La idea principal era la de

interconectar los equipos activos, de diferente o igual tecnología permitiendo la

integración de los diferentes servicios que brindamos.

3. Análisis de requerimientos para la gestión del proyecto para dotar al Centro de Cómputo

de una unidad ininterrumpida de poder (UPS) de 10 KVA. Con esta unidad de potencia con

un Banco de baterías de hasta 210 minutos, podemos proteger a todas las estaciones de

trabajo; así como a los servidores de archivos y de base de datos del centro de cómputo, y

los activos de información (hardware y software) contra interrupciones del fluido eléctrico.

Protegiendo así la integridad de las bases de datos propias de la Al.

12de19

4. Análisis de requerimientos para la gestión del proyecto para crear una subred de la red

principal de la Institución, con el objetivo de proteger la información sensible y

confidencial que maneja y administra la Auditoría, así como los papeles de trabajo que

sustentan los estudios realizados. Esta subred asigna una dirección de internet única (IP) a

cada funcionario y reduce el riesgo de intrusos digitales a las bases de datos. La idea

principal es la de mantener el control de la información que entra y se gestiona dentro de

la unidad.

S. Certificación en el Programa Capacitando al Capacitador, obteniendo la subespecialidad

de Especialista en Capacitación de Adultos, con un total de trescientas cuarenta horas

(340 horas) , durante 26 semanas dictado en el Centro de Capacitación de la Contraloría

General de la República.

6. Gestión del proyecto para capacitar al personal auditor, en el uso de herramientas

técnicas de auditoria asistidas por computadora TAAC's, en este caso se seleccionó el

software ACL, para proporcionar una herramienta de análisis de datos mediante pruebas

de control como el análisis y selección de muestras de un gran volumen de transacciones

digitales, para mejorar la efectividad y eficiencia de los procedimientos de auditoria para

aplicar procedimientos. Este curso es de apoyo, al personal auditor para realizar pruebas

de auditoria que no son posibles mediante métodos manuales, permitiéndole realizar, de

ser necesario, análisis y revisión del 100% del universo de datos disponibles, reduciendo el

error de auditoría.

7. Implementación del Sistema de Control de Ingresos a las instalaciones de la Al, este

sistema está siendo rediseñado para adaptarlo a las necesidades emergentes de control

de acceso a sus instalaciones. Este nuevo módulo está listo para su instalación a la espera

de la autorización de la DAI.

8. Gestión del proyecto para el recambio del parque de estaciones de trabajo del personal

por computadoras más actualizadas, ergonómicas y con mayor capacidad para apoyarlos

en su trabajo fiscalizador.

9. Participación en los siguientes cursos de capacitación de aprovechamiento y de

participación, para promover las mejores prácticas en el ejercicio profesional, que además

de fortalecer y realimentar los conocimientos y competencias para realizar las

responsabilidades que me fueron asignadas, contribuyeron a mejorar la pericia y la

aplicación con el debido cuidado profesional de la normativa técnica y jurídica en las

actividades desempeñadas.

13de19

A continuación enumero temas reforzados y actualizados por medio de la capacitación recibida:

~ FOURTH R: MS Power Point

~ CPIC: ITIL V3

~ ARISOL: Ética y Función Pública

~ FOURTH R: MS Word

~ UCR: Muestreo Estadístico aplicado a la Auditoria.

~ ARISOL: Curso General de Contratación Administrativa

~ INA: Propiedad Intelectual

~ UCR: Mallas Curriculares basadas en competencias.

~ INA: Programa de Bienestar y Salud

~ ARISOL: Responsabilidad del servidor Contratación Administrativa

~ CGR: Auditoria y TIC' s.

~ CGR: Técnicas de Instrucción.

~ CPIC: Administración de Servicios de TI según demanda ITIL V3

~ FOURTH R: MS Excel

~ ISACA: Preparación para certificación Examen CISA 2012

~ CENFOCAH: Módulo 11 Conduciendo el compromiso de la Al

~ CENFOCAH: Módulo 111 Análisis de Negocios y TI

~ CENFOCAH: Módulo IV Habilidades en la Gestión del Negocio

~ IAICR: XIV Congreso de Auditoria Interna

~ ISM: Fundamentos de Cobit 5.1

~ CENFOCAH: Módulo 1 El rol de la actividad de la Al

~ CGR: Capacitando al Capacitador 340 horas

~ IAICR: Gestión de la Auditoria Interna

~ ISACA: VII Congreso 2014 COBIT 5 Creación de Valor en TI

~ SACR: Curso de ACL

~ CIDI: Alcance e Interpretación de las NGASP

~ CIDI: Ciclo de Auditoria por actividades

10. Participación en cursos y seminarios organizados por la Institución, relacionados entre

otros con los siguientes tópicos:

~ Inducción sobre el INA

~ Etiqueta y protocolo

~ Legislación Ambiental

~ Sistema de gestión ambiental INA

~ Desechos sólidos

~ Compras verdes

14de19

);.>- Ahorro de Energía

);.>- El INA hacia un desarrollo de la gestión del conocimiento

);.>- Centro virtual de formación

;;.. Sistema formulación del presupuesto (SIFOPRE)

;;.. Taller oportunidad de mejora.

);.>- Prevención y combate de incendios

11. Asistí a los siguientes congresos:

);.>- XIV Congreso Auditoría Interna 2013

);;;- VII Congreso 2014 COBIT 5 Creación de Valor en TI

7. PROYECTOS RELEVANTES

Los proyectos relevantes realizados, se enumeran a continuación:

l. Capacitación brindada a la Contraloría General de la República. Durante tres años

consecutivos el PFTIC del INA fue invitado a apoyar el Programa de Desarrollo de

Capacidades de las Unidades de Auditoría Interna, en estos cursos participaron más de 95

personas funcionarias de las unidades de auditoria de todo el sector público costarricense.

Participación que fue muy apreciada y valorada por la CGR y que consta en los oficios

correspondientes dirigidos a la Al, cito como un ejemplo el oficio DGA-UCC-0092 del 29 de

mayo del 2013.

2. Planificación y diseño del ambiente de desarrollo de software separado del ambiente de

producción. Con este proyecto se pretende disponer de una ambiente de programación y

pruebas para el SIA y poder llegarlo a convertir en el SIGA (Sistema de Información

Integrado de Gestión de la Auditoria).

3. Participación activa del proceso para la formulación del Plan Estratégico de la Auditoría

Interna 2014-2016, en el cual participaron todas las personas funcionarias profesionales

de la unidad.

4. Planificación del proyecto de certificación CISA (Certified lnformation Systems Auditor).

Esta es una certificación que llevamos todos los integrantes del PFTIC de la Unidad de

Auditoria, es para auditores respaldada por la Asociación de Control y Auditoría de

Información (ISACA), con la idea de contar con auditores certificados en auditoria de las

TIC' s.

15de19

S. Definición del Procedimiento de Seguimiento en el Ciclo de Auditoria para proporcionar al

personal de la Auditoría Interna los procedimientos a utilizar en la actividad de

seguimiento, para que éstos verifiquen oportunamente el cumplimiento de las

disposiciones y recomendaciones emitidas tanto por la Auditoría del INA, como las

dirigidas al INA por otras entidades externas que tienen la competencia, en cumplimiento

de las normas para el Ejercicio de la auditoría interna en el Sector Público y las "Normas

Generales de Auditoría para el Sector Público", específicamente la norma 206, sobre

seguimiento.

6. Definición del Universo de Auditoria de TIC' s.

Objetivo: Elaborar el Universo de Auditoría de TIC's desglosado en procesos y actividades

para la Auditoria Interna del INA, tomando como referente la normativa costarricense y

las mejores prácticas internacionales en TIC's. Se diseñó como un procedimiento de

Auditoria para:

);;;- Identificar la estructura organizativa del INA en materia de TIC's y la definición de

Procesos en el SICOI.

);;;- Identificar las mejores prácticas internacionales a nivel de las TIC' s.

);;;- Identificar la normativa costarricense vigente referente a las TIC' s.

);;;- Mapear las mejores prácticas internacionales con la normativa costarricense,

incluyendo las Normas Técnicas para la gestión y el control de las Tecnologías de

Información.

);;;- Generar el Universo de Auditoría de TIC's desglosado en procesos y actividades.

8. ADMINISTRACIÓN DE RECURSOS FINANCIEROS

Dadas las características del puesto que desempeñé durante este período no procede.

16de19

9. SUGERENCIAS

l. La normativa vigente emitida por la Contraloría General de la República sobre lo que

podemos llamar el Manual de Normas técnicas para la gestión y el control de las

tecnologías de información (N-2-2007-CO-DFOE), y la misma Ley de Control Interno,

establecida aquella en virtud de que las tecnologías de información y comunicación {TIC's)

constituyen, hoy por hoy, uno de los principales instrumentos (sino el más importante) de

apoyo a la gestión y al logro de los objetivos de las Instituciones del Estado costarricense.

Esta orientación ha implicado desde hace bastante tiempo, en toda organización privada o

estatal, donde el INA no es la excepción, la asignación de elevadas inversiones en recursos

de todo tipo para realizar proyectos de TI, destacables en el presupuesto institucional,

asimismo esta nueva era de la información está provocando una mayor demanda de

servicios digitales con la implementación de más y mejores servicios de información

automatizados apoyados en las nuevas tecnologías como el medio idóneo de mantener la

calidad y competitividad de los servicios que presta el INA, es por lo anterior que se

sugiere orientar aún más los servicios de auditoria en TIC's hacia lo que estable este

manual de normas técnicas en el Capítulo V Seguimiento:

5.3 Participación de la Auditoría Interna:

La actividad de la Auditoría Interna respecto de la gestión de las TI debe orientarse a coadyuvar, de

conformidad con sus competencias, a que el control interno en TI de Ja organización proporcione

una garantía razonable del cumplimiento de Jos objetivos en esa materia. El subrayado no es del

original.

2. Complementar el alcance que debe tener el PFIC, con los Recursos Humanos necesarios

que le permitan atender tanto el proceso de fiscalización de las TI así como las funciones

de Soporte Técnico, mantenimiento a los Sistemas de Información propios de la Al, así

como personal que se encargue de los sistemas de administración de recursos de

información que posee la Al.

3. Mantener los planes de capacitación orientados hacia la obtención de las certificaciones

en Mejores Prácticas de la Auditoria de TI (Aseguramiento de la información,

Aseguramiento de la calidad de la información, COBIT 5, ITIL, modelo de madurez, ISO

17799 así como en COSO. Ver Plan de Capacitación para el 2016.

17de19

4. La Unidad de Auditoria Interna cuenta con cuatro procesos de fiscalización muy bien

identificados y definidos en su alcance, con personas altamente calificadas en sus puestos,

por ello sugiero que se implemente gradualmente un proceso de empoderamiento en

estas jefaturas para que los beneficios óptimos de la tecnología de la información sean

alcanzados. Los miembros, equipos de trabajo y la organización, tendrán completo acceso

y uso de información crítica, poseerán la tecnología, habilidades, responsabilidad, y

autoridad para utilizar la información y llevar a cabo la entrega de los servicios de

auditoria en la Institución. No sólo se trataría de delegar poder y autoridad a los Auditores

Encargados de Proceso y sino el de conferirles el sentimiento de que son "dueños" de su

propio trabajo; es además una herramienta utilizada tanto en la calidad total, como en

reingeniería, que provee de elementos para fortalecer los procesos que llevan a las

organizaciones a su adecuado desarrollo.

En mi experiencia este modelo de trabajo (herramienta) se reemplaza la vieja jerarquía

por equipos auto dirigidos, en donde la información se comparte con todos y las personas

funcionarias tienen la oportunidad y la responsabilidad de dar lo mejor de sí.

10. DISPOSICIONES DE LA CONTRALORÍA GENERAL DE LA REPÚBLICA

En atención de los artículos 17 inciso c) y 22 inciso g) de la LGCI, esta Auditoría tiene establecido e implementado, un seguimiento automatizado de las recomendaciones derivadas de los servicios de auditoría realizados, con el fin de verificar oportunamente el estado de éstas y su cumplimiento dentro de los plazos acordados.

En lo que se refiere al seguimiento de las disposiciones giradas por la Contraloría General de la República a la Institución, fundamentado en los puntos 6.2 y 6.4 de las "Directrices que deben observ.ar las auditorías internas para la verificación del cumplimiento de las disposiciones emitidas por la Contraloría General de la República", durante el período de mi gestión, se recibió un único informe:

• DFOE-EC-IF-08-2012-03-08-2012 Informe de Auditoría de Carácter Especial sobre el Plan de Continuidad de los Sistemas de Información que soportan las actividades sustantivas del INA, y las disposiciones giradas en este informe fueron cumplidas por la Administración Activa.

11. ·óRGANOS DE CONTROL EXTERNO

Dadas las características del puesto que desempeñé durante este período no procede.

12. AUDITORÍA INTERNA

Dadas las características del puesto que desempeñé durante este período no procede.

18de19

RESUMEN

Durante estos seis años, cinco meses y catorce días, de servicio en esta honorable Institución

he recibido más de mil horas de capacitación que han contribuido a incrementar mis atinencias

personales para el puesto y en general en mi carrera profesional.

Agradezco primeramente a DIOS por la oportunidad que me brindó de trabajar en este bello

lugar, gracias a él pude disfrutar de esta riquísima experiencia laboral, y en esta acreditada

Institución, seguidamente agradezco a mis compañeros y compañeras del Departamento de

Auditoría Interna las atenciones y el respeto que me brindaron durante el desempeño de las

actividades que ejecuté durante estos años, así como la oportunidad de compartir sus

conocimientos, experiencias y habilidades, ruego al señor que continúe bendiciendo y guiando a

los jerarcas de la Institución para que día a día se mejore la calidad y la variedad de sus

invaluables servicios a la sociedad costarricense.

Gracias a Dios por las oportunidades que me ha brindado durante el trayecto de mi camino hacia su gloria, porque hasta hoy puedo decir como dijo samuel, EBENEZER: hasta aquí nos ha ayudado el señor. 1 Samuel 7-12

La persona funcionaria saliente da fe de que lo expuesto en el presente informe de fin de

gestión corresponde a la realidad de los hechos y es consciente de que la responsabilidad

administrativa de las personas funcionarias del Instituto Nacional de Aprendizaje (INA),

prescribirá según se indica en el artículo 71 de la Ley Orgánica de la Contraloría General de la

República #7428, del 7 de setiembre de 1994, y sus reformas.

Nombre y Firma de la persona funcionaria:

Número de identificación: 1-0466-0146 ~=.....;~"""'-"-=-"""'-~~~~~~~~-

ce: Unidad de Recursos Humanos1

El Informe final de gestión se envía en formato físico y digital.

19de19

1