DIVISIÓN DE FISCALIZACIÓN OPERATIVA Y EVALUATIVA ÁREA DE FISCALIZACIÓN DE SERVICIOS SOCIALES

Transcripción

1 INFORME N DFOE-SOC-IF de julio, 2015 DIVISIÓN DE FISCALIZACIÓN OPERATIVA Y EVALUATIVA ÁREA DE FISCALIZACIÓN DE SERVICIOS SOCIALES AUDITORIA SOBRE LA GESTIÓN DE LAS TECNOLOGÍAS DE INFORMACIÓN EN LA UNIVERSIDAD ESTATAL A DISTANCIA 2015

2 CONTENIDO Página N RESUMEN EJECUTIVO 1. INTRODUCCIÓN...1 ORIGEN DEL ESTUDIO... 1 OBJETIVO... 1 NATURALEZA Y ALCANCE... 2 LIMITACIONES... 2 GENERALIDADES DE LA UNIVERSIDAD ESTATAL A DISTANCIA... 2 METODOLOGÍA APLICADA... 4 COMUNICACIÓN PRELIMINAR DE LOS RESULTADOS RESULTADOS...5 CARENCIA DE LOS ELEMENTOS BÁSICOS PARA EJECUTAR LAS INVERSIONES EN EL COMPONENTE TECNOLÓGICO DEL PLAN DE MEJORAMIENTO INSTITUCIONAL DEBILIDADES EN LA DEFINICIÓN DE PRIORIDADES EN TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIÓN DEBILIDADES EN LA CONECTIVIDAD E INTERCONEXIÓN ENTRE LOS PRINCIPALES SISTEMAS INSTITUCIONALES AUSENCIA DE PRUEBAS DE SEGURIDAD PARA GARANTIZAR LA CONTINUIDAD DE LAS OPERACIONES EN LOS SISTEMAS INSTITUCIONALES AUSENCIA DE UN PLAN DE CAPACITACIÓN PARA LOS FUNCIONARIOS DE TI DEBILIDADES EN LA CALIDAD E INTEGRIDAD DE LA INFORMACIÓN CONTENIDA EN LAS BASES DE DATOS INSTITUCIONALES CONCLUSIONES... 19

3 2 4. DISPOSICIONES AL CONSEJO DE RECTORÍA DE LA UNIVERSIDAD ESTATAL A DISTANCIA O A QUIENES EN SU LUGAR OCUPEN ESOS CARGOS AL MAG. LUIS GUILLERMO CARPIO MALAVASSI EN SU CONDICIÓN DE RECTOR DE LA UNIVERSIDAD ESTATAL A DISTANCIA O A QUIEN OCUPE EL CARGO AL MAG. LUIS GUILLERMO CARPIO MALAVASSI EN SU CONDICIÓN DE COORDINADOR DE LA COMISIÓN ESTRATÉGICA DE TECNOLOGÍAS DE INFORMACIÓN DE LA UNIVERSIDAD ESTATAL A DISTANCIA O A QUIÉN EN SU LUGAR OCUPE ESE CARGO AL MAG. FRANCISCO DURAN MONTOYA, DIRECTOR DE TECNOLOGÍA DE INFORMACIÓN Y COMUNICACIONES, O A QUIEN EN SU LUGAR OCUPE ESE CARGO CONSIDERACIONES FINALES ANEXO N ANEXO N ANEXO N ANEXO N ANEXO N ANEXO N

4 RESUMEN EJECUTIVO INFORME N. DFOE-SOC-IF Qué examinamos? Con el desarrollo de la presente auditoría de carácter especial realizada en la Universidad Estatal a Distancia (UNED) se examinó la planificación, conectividad, integridad, capacitación, continuidad del negocio y calidad de la información, en materia de Tecnologías de Información, lo anterior dentro del marco de implementación de las Normas técnicas para la gestión y el control de las Tecnologías de Información emitidas por esta Contraloría General. Por qué es importante? La Universidad Estatal a Distancia cuenta con presencia en el territorio costarricense por medio de 37 Centros Universitarios, esto con el fin de cumplir sus objetivos de creación relacionados con proporcionar educación superior, principalmente mediante la utilización de técnicas de educación a distancia y atender preferentemente a aquellos sectores de la población que por razones geográficas, de trabajo o de otro tipo, no pueden asistir a los centros de educación superior. Por la importancia estratégica de esta universidad y el avance de las tecnologías de información en los últimos años, se consideró relevante evaluar el estado actual de sus sistemas informáticos, su planificación y conectividad, así como la integridad y calidad de los datos que contienen dentro del marco de la implementación de las normas técnicas en la Universidad. Lo anterior, aunado a la importante inyección de recursos por medio del financiamiento con el Banco Mundial por un monto de U$ 50 millones, del que se invertirá aproximadamente un 28%, es decir, U$ 14 millones en el componente tecnológico, aspectos relevantes para la realización de esta auditoría, con el fin de fomentar una óptima gestión en este campo Qué encontramos? Luego de concluida la presente auditoría, esta Contraloría General encontró que, entre otros aspectos, la toma de las decisiones de inversión en tecnologías de información en la UNED se está ejecutando sin estar ligada al Plan Estratégico de Tecnologías de información, aspecto que se considera vital de cara a la inversión que la UNED tiene proyectada realizar en esta materia. Asimismo, se determinaron debilidades en cuanto a la conectividad e interconexión entre los sistemas institucionales analizados, el Sistema de Administración de Estudiantes (SAE), Sistema de Cursos Virtuales (MOODLE) y el Sistema Financiero Contable, tales como: que el SAE no posee interfaces con el Sistema Financiero Contable, esto incide directamente en los cobros de matrícula, que deben generarse mediante reportes que posteriormente se ingresan manualmente al Sistema Financiero Contable, adicionalmente el SAE no realiza interface con el MOODLE, específicamente en el caso de la sincronización de las notas de los cursos, impidiendo que las mismas se visualicen y que los modelos de evaluación del sistema de Notas Parciales se

5 ii reflejen en Moodle. Lo anterior, se ha generado dado que los citados sistemas se desarrollaron en diferentes momentos, sin una visión de conjunto e integralidad. Además se encontró que, la UNED no cuenta con un plan de continuidad de negocio que establezca un procedimiento de pruebas de los respaldos de información y que refleje los requisitos de continuidad de las operaciones de la Universidad. Adicionalmente, existen limitantes en el personal y recursos de infraestructura para realizar este tipo de procedimientos de restauración de servicios críticos. A su vez, se determinó que no existe la práctica en la UNED de realizar pruebas de seguridad de los respaldos de las bases de datos institucionales para garantizar la continuidad de dichas operaciones. Por su parte, no se ha gestionado un Plan para capacitar a los funcionarios de Tecnologías de Información, situación que limita la formación de habilidades y competencias, de cara al logro de los objetivos de la Universidad y el cumplimiento de normativa técnica emitida por esta Contraloría General. Finalmente, del análisis de las bases de datos realizado por esta Contraloría General, por ejemplo, del Sistema de Asignación de Tiempos (SAT), se determinaron inconsistencias, tales como, datos inválidos en los campos correspondientes a los tutores con nombramientos, números de cédula inválidas, así como registros repetidos y horas asignadas negativas, aspectos que potencian el riesgo de que se generen eventuales inconsistencias en el pago de dichos tutores. Qué sigue? Dadas las debilidades encontradas con el desarrollo de la presente auditoría, se están girando una serie de disposiciones a las autoridades de la UNED, dentro de las cuales caben destacar: la revisión del Plan de Desarrollo de las TIC ( ), el establecimiento de políticas respecto de la conectividad y comunicación que deben poseer los sistemas de información de la Universidad, la revisión y ajuste del Modelo de Arquitectura de Información, : el nombramiento de funcionarios responsables del éxito tecnológico de los proyectos de Tecnologías de Información incluidos en el PMI, la aprobación del Plan de Capacitación para el personal de la Dirección de Tecnologías de Información y Comunicación, y la aprobación del Plan de Continuidad de Negocios, así como la corrección de las inconsistencias encontrados en los sistemas SAE y SAT.

6 DIVISIÓN DE FISCALIZACIÓN OPERATIVA Y EVALUATIVA ÁREA DE FISCALIZACIÓN DE SERVICIOS SOCIALES INFORME N DFOE-SOC-IF AUDITORIA SOBRE LA GESTIÓN DE LAS TECNOLOGÍAS DE INFORMACIÓN EN LA UNIVERSIDAD ESTATAL A DISTANCIA 1. INTRODUCCIÓN ORIGEN DEL ESTUDIO 1.1. La Universidad Estatal a Distancia (UNED) fue creada en el año 1977 como parte del Sistema Universitario Estatal Costarricense, su financiamiento proviene principalmente del Fondo Estatal de la Educación Superior (FEES) y dentro de sus objetivos de creación se encuentra el proporcionar educación superior, principalmente mediante la utilización de técnicas de educación a distancia, dentro de las cuales las tecnologías de información se han convertido en un factor clave de éxito para la transmisión del conocimiento a sus estudiantes. Lo anterior, aunado a la importante inyección de recursos por medio del financiamiento con el Banco Mundial por un monto de U$ 50 millones 1, del que se invertirá aproximadamente un 28% en el componente tecnológico, aspectos relevantes para la realización de esta auditoría, con el fin de fomentar una óptima gestión en este campo. OBJETIVO 1.2. Analizar la planificación, conectividad, integridad y calidad de la información gestionada en los sistemas de información de la UNED; la planificación y funcionamiento de los Servicios de Tecnologías de Información (TI) en los Centros Universitarios y el componente tecnológico incluido en las iniciativas 1 a 9 del Plan de Mejoramiento Institucional (PMI), también conocido como Acuerdo de Mejoramiento Institucional (AMI). 1 Ley N 9144 del 9 de julio de 2013, publicada en el Diario Oficial La Gaceta N 140 del 22 de julio de 2013.

7 2 NATURALEZA Y ALCANCE 1.3. Este estudio constituye una Auditoría de Carácter Especial, un tipo de auditoría de regularidad con enfoque de cumplimiento, realizada para verificar que las actividades de los sujetos fiscalizados se ejecuten de conformidad con las leyes, reglamentos u otras normativas que las regulan, tales como resoluciones, políticas, lineamientos, directrices, códigos, contratos, convenios u otros criterios considerados apropiados por el auditor. La auditoría abarcó el período comprendido entre el 1 de enero de 2014 y el 28 de febrero de 2015, el cual se amplió en los casos en que se consideró necesario Se analizó la planificación, conectividad, integridad y calidad de la información gestionada en los sistemas de información más relevantes para la toma de decisiones; la planificación y funcionamiento de los Servicios de TI en los Centros Universitarios y el componente tecnológico incluido en las iniciativas 1 a 9 2 del Plan de Mejoramiento Institucional. LIMITACIONES 1.5. Es importante indicar que el alcance del presente informe se vio limitado por retrasos en la extracción de información de las bases de datos de los sistemas institucionales por parte de la universidad, ya que los datos se encontraban en sistemas diferentes y no poseían reportes que cumplieran los requisitos solicitados por la Contraloría. GENERALIDADES DE LA UNIVERSIDAD ESTATAL A DISTANCIA 1.6. La Universidad Estatal a Distancia (UNED) fue creada en el año 1977, mediante la Ley de la República N. 6044, de Creación de la Universidad Estatal a Distancia, publicada en el Diario Oficial La Gaceta N. 50 del 12 de marzo de La UNED, forma parte del Sistema Universitario Estatal Costarricense y obtiene su financiamiento del Estado por medio del Fondo Especial para la Educación Superior (FEES), del que recibe aproximadamente un 8,0% del total de dicho fondo, además por medio de este fondo se han gestionado recursos extra según el Contrato N CR suscrito por el Gobierno de la República con el Banco Internacional de Reconstrucción y Fomento (BIRF), para financiar el Proyecto de Mejoramiento de la Educación Superior. 2 La iniciativa Nº 6 del Plan de Mejoramiento Institucional abarca únicamente Formación y capacitación para el fortalecimiento del modelo de educación a distancia.

8 Dentro de los principales objetivos de la UNED se encuentran, entre otros, los siguientes: a) Proporcionar educación superior, principalmente mediante la utilización de técnicas de educación a distancia. b) Atender preferentemente a aquellos sectores de la población que por razones geográficas, de trabajo o de otro tipo no puedan asistir a los centros de educación superior. c) Contribuir a la investigación científica, y tecnológica para el progreso cultural, económico y social del país. d) Proporcionar los instrumentos adecuados para el perfeccionamiento y formación permanente de todos los habitantes La UNED posee presencia en todo el país por medio de 37 Centros Universitarios y 8 subsedes, estos centros son dirigidos por Directores de Centro, que son coordinados por una Dirección de Centros, ubicada en las oficinas centrales En punto a las tecnologías de información, la UNED cuenta con una Dirección de Tecnologías de Información que depende de la Rectoría y está conformada por 42 funcionarios, distribuidos en 4 unidades estratégicas 3, a saber: a) Unidad Estratégica de Seguridad Digital b) Unidad Estratégica de Sistemas de Información c) Unidad Estratégica de Soporte Técnico d) Unidad Estratégica de Telemática Los sistemas informáticos de la Universidad se encuentran distribuidos en los Macro procesos de las Gestiones Administrativa y Académica, en los que, entre otros, destacan como sistemas principales en la Gestión Administrativa, el Sistema Financiero Contable (SFC) y el Sistema de Gestión de Desarrollo del Personal (SGDP), y dentro de la Gestión Académica el Sistema de Administración de Estudiantes (SAE), el Sistema de Asignación de Tiempos (SAT), el Sistema de Graduaciones (SISGRA) y la Plataforma Tecnológica Moodle 4. 3 Manual organizacional de la UNED, elaborado por el Centro de Planificación y Programación Institucional en el año 2012, página La plataforma MOODLE (Modular Object-Oriented Dynamic Learning Environment, Entorno de Aprendizaje Modular, Dinámico Orientado a Objetos). es el ambiente donde los estudiantes interactúan en forma virtual con los profesores y tutores, y consiste en un software diseñado para ayudar a los educadores a crear cursos en línea y entornos de aprendizaje virtuales.

9 Asimismo,, en la UNED el proyecto para la utilización de los fondos provenientes del V Convenio de negociación del FEES, se materializó en el documento denominado Plan de Mejoramiento Institucional, que contiene las estrategias e inversiones dirigidas a ampliar la cobertura, asegurar el acceso y facilitar la permanencia de los estudiantes en el modelo de educación superior a distancia, principalmente fuera del área metropolitana, por medio de la transformación de los procesos de enseñanza, aumentando la producción digital de recursos educativos y disponiéndolos para el uso de los estudiantes por medio del internet El Plan de Mejoramiento Institucional, también denominado Acuerdo de Mejoramiento Institucional (AMI) consta de 9 iniciativas entre las que se distribuirán los U$50 millones de financiamiento y los recursos de contrapartida, según se aprecia en el Anexo N. 1. El AMI contiene un alto grado de componente tecnológico, distribuido entre infraestructura, equipo y desarrollo de sistemas, este último incluido principalmente en las iniciativas N s 1, 2, 3, 4 y 9, según se muestra en el Anexo N 2. METODOLOGÍA APLICADA Para la realización de esta auditoría se utilizaron las técnicas y procedimientos estipulados en el Manual General de Fiscalización Integral (MAGEFI) de la Contraloría General de la República. Asimismo, se observó en lo atinente, el Manual de Normas Generales de Auditoría para el Sector Público, las Normas técnicas para la gestión y el control de las Tecnologías de Información y demás normativa aplicable. COMUNICACIÓN PRELIMINAR DE LOS RESULTADOS La comunicación preliminar de los resultados, conclusiones y disposiciones producto de la auditoría a que alude el presente informe, se efectuó el 19 de junio de 2015 en la oficina del Rector de la UNED y estuvieron presentes los siguientes funcionarios: El Mag Luis Guillermo Carpio Malavassi, en su calidad de Rector; el Lic. Karino Lizano Arias, Auditor Interno; el Mag. Francisco Durán Montoya, en su calidad de Director de Tecnologías de Información y Comunicación; el Mag Marco Chaves Ledezma, coordinador de proyectos de TIC de la Vicerrectoría de Planificación; la Licda. Heidy Rosales Sánchez, coordinadora de la Unidad Coordinadora el Proyecto AMI y la Licda. Xinia Quesada Arce, Directora de Centros Universitarios. La convocatoria a esta actividad se realizó de manera formal por medio del oficio N (DFOE-SOC-0526) del 19 de junio de UNED, Plan de Mejoramiento Institucional, página 21.

10 El borrador del presente informe se entregó el 19 de junio de 2015 en versión digital, al Rector, Mag Luis Guillermo Carpio Malavassi, mediante el oficio N (DFOE-SOC- 0525) de 19 de junio de 2015, con el propósito de que en un plazo no mayor a cinco días hábiles, se formulara y remitiera a la Gerencia del Área de Fiscalización de Servicios Sociales, las observaciones que se consideraran pertinentes con respecto a su contenido Mediante oficio Ref del 26 de junio de 2015, la administración de la UNED presentó observaciones al borrador del informe, las cuales se analizaron con detalle en el Anexo N. 3 a este documento, incorporándose los ajustes correspondientes en los párrafos 1.4, 2.15, 2.17 y 2.19, al Anexo Nº 2 y a las disposiciones 4.4, 4.9 y RESULTADOS 2.1. En la auditoría realizada se analizó la planificación, conectividad, integridad y calidad de la información gestionada en los sistemas de información para la toma de decisiones; la planificación y funcionamiento de los servicios de TI en los Centros Universitarios y el componente tecnológico incluido en las iniciativas 1 a 9 6 del Plan de Mejoramiento Institucional, con el fin de determinar si las tecnologías de información se han canalizado a potenciar la consecución de los fines y objetivos institucionales Por otra parte, también se analizó la implementación de las Normas Técnicas para la gestión y el control de las Tecnologías de Información 7,, que tal como se mencionó en el Informe Nº DFOE-SOC-IF , tienen como propósito coadyuvar con el marco de control de la administración y contribuir con una gestión óptima de las tecnologías, tema que se complementa con los aspectos que se mencionan a continuación. CARENCIA DE LOS ELEMENTOS BÁSICOS PARA EJECUTAR LAS INVERSIONES EN EL COMPONENTE TECNOLÓGICO DEL PLAN DE MEJORAMIENTO INSTITUCIONAL Las normas técnicas para la gestión y el control de las Tecnologías de Información emitidas por la Contraloría General de la República en el año 2007, tienen dentro de sus objetivos promover que el sector público organice, planifique y dirija los esfuerzos en el 6 La iniciativa Nº 6 del Plan de Mejoramiento Institucional abarca únicamente Formación y capacitación para el fortalecimiento del modelo de educación a distancia. 7 Contraloría General de la República. Normas técnicas para la gestión y el control de las Tecnologías de Información, (N CO-DFOE).

11 6 área de TI mediante la utilización de mecanismos e instrumentos de planificación dirigidos, entre otros, a crear una buena gobernanza de las Tecnologías de Información y Comunicación, a definir y estandarizar los procedimientos y los sistemas en aspectos como la calidad, los riesgos, la seguridad de la información y el manejo exitoso de los proyectos. Estas normas tienen su fundamento tanto en normativas de organismos internacionales como en sanas prácticas en este campo, entre otras en el COBIT Dentro de los principales elementos que contiene esta normativa está la planificación y organización de las tecnologías, con el nombramiento de una Comisión de Tecnologías, en la que las autoridades universitarias apoyen la toma de decisiones sobre asuntos estratégicos de TI, así como para que coadyuve a mantener la concordancia entre las actividades de TI y la estrategia institucional. Esta Comisión debe estar conformada por miembros de la organización con el conocimiento suficiente para dirigir, dictar las políticas y lineamientos necesarios y tomar las decisiones correspondientes, según el avance de la organización en este campo. Asimismo, es a la Comisión de TI 9, como apoyo a la administración, a quien le corresponde analizar y dictaminar, mediante acuerdos, los asuntos relacionados con la planificación, las inversiones, la normativa, las políticas y procedimientos propuestos, la evaluación del desempeño, el establecimiento de prioridades en los proyectos de TI y cualesquiera otro asunto de importancia. Dado lo anterior, esta Comisión sesionará periódicamente y formalizará sus sesiones mediante el acta respectiva También, un producto del proceso de planificación, es la elaboración del Plan Estratégico de TIC (PETIC), que debe ser elaborado mediante un proceso estructurado y continuo, de forma que asegure un óptimo balance entre las oportunidades tecnológicas existentes y los requerimientos de TI organizacionales. Este plan considerará, entre otros elementos, el marco estratégico, la orientación tecnológica, las regulaciones gubernamentales a que se encuentra sujeta la organización, los lineamientos referentes a la calidad, los riesgos, los costos, la protección del medio ambiente, el modelo de información, la infraestructura tecnológica y los recursos humanos y financieros requeridos. Se debe incluir también el portafolio de proyectos que deben ser 8 COBIT, Control Objectives for Information and related Technology, son emitidas por Information Systems Audit and Control Association (ISACA), su propósito fundamental es el desarrollo de políticas claras y buenas prácticas para la seguridad y el control de las Tic s, y se constituyen en un marco de referencia para ayudar a las organizaciones a administrar efectivamente este recurso. 9 Contraloría General de la República. Normas técnicas para la gestión y el control de las Tecnologías de Información, (N CO-DFOE)., norma 1.6 relacionada con Decisiones sobre asuntos estratégicos.

12 7 desarrollados, así como la forma en que todos estos elementos serán puestos en operación anualmente en el Plan Operativo Anual Institucional Según se ha indicado, con el fin de optimizar la organización de los sistemas, es necesario crear y dar mantenimiento periódico a un modelo de arquitectura de la información, que en el caso de la UNED se encuentra en borrador 11. Además este modelo debe ser consistente con el PETIC, fundamentarse en políticas o principios que promuevan la estandarización, incorporar la información de toda la organización, el diseño de los sistemas, los datos y sus interrelaciones (en la búsqueda de un eficiente uso de la información). Asimismo, este modelo contribuirá con la toma de decisiones respecto de por ejemplo, la migración de los sistemas, desarrollo de módulos nuevos, mejoras en sus bases de datos, cambios en los lenguajes de programación, o de proyectos para el desarrollo de nuevos sistemas, ya que contribuye a clarificar la forma en que armonizaran los nuevos sistemas en la organización Por su parte, las normas técnicas también precisan que toda organización debe sustentar y respaldar en forma clara y explícita los proyectos de TI, que se deben aprobar formalmente las implementaciones realizadas, e instaurar líderes de proyecto con una asignación clara, detallada y documentada de su autoridad y responsabilidad. Así como que la organización debe analizar las alternativas de solución de acuerdo con criterios técnicos, económicos, operativos y jurídicos, y lineamientos previamente establecidos 13, y que se debe desarrollar y aplicar un marco metodológico que guíe los procesos de implementación También, es de especial relevancia en los procesos de contratación con terceros la observancia de lo contenido en los incisos d y e de la norma 3.4, relacionada con la obtención satisfactoria de los objetos contratados, en cuanto al establecimiento de un procedimiento para la definición de los términos de referencia y para la aprobación formal de los criterios, términos y conjunto de pruebas que se requerirán para dar por aceptadas las instalaciones, hardware o software contratados. 10 También del PETIC se derivan otros planes, tales como el Plan Táctico y el Plan de Continuidad y Contingencias, según las normas1.1, y Oficio DTIC del 8 de agosto de 2014, de la Dirección de Tecnología, Información y Comunicaciones UNED. 12 Contraloría General de la República. Normas técnicas para la gestión y el control de las Tecnologías de Información, (N CO-DFOE), normas Contraloría General de la República. Normas técnicas para la gestión y el control de las Tecnologías de Información, (N CO-DFOE), norma Contraloría General de la República. Normas técnicas para la gestión y el control de las Tecnologías de Información, (N CO-DFOE), norma 3.2.

13 Asimismo, la norma 5.3 del Manual de Control Interno para el sector público, se refiere a la armonización que debe existir entre los sistemas de información y los objetivos institucionales 15,, e indica que: La organización y el funcionamiento de los sistemas de información deben estar integrados a nivel organizacional y ser coherentes con los objetivos institucionales y, en consecuencia, con los objetivos del SCI. La adecuación de tales sistemas a los objetivos institucionales involucra, entre otros, su desarrollo de conformidad con el plan estratégico institucional, y con el marco estratégico de las tecnologías de información, cuando se haga uso de estas para su funcionamiento. El destacado es nuestro En punto a lo comentado en párrafos anteriores, los elementos descritos, constituyen, entre otros, pilares fundamentales para cimentar adecuadamente el avance de las TIC s y a su vez la toma de decisiones sobre las inversiones en este recurso (tanto en hardware, como en software y recurso humano) sobre todo al considerar que las inversiones en este campo por lo general son de alto valor monetario y constituyen una parte significativa de los presupuestos institucionales. Por esta razón, conforme a la normativa vigente, resulta de importancia que las administraciones afiancen esta área, en particular en la UNED, por las características del modelo de educación a distancia utilizado, y que según se definió en el Plan de Desarrollo Institucional, el área de tecnologías de información constituye un factor clave de éxito para el logro de sus objetivos Por su parte, un estudio realizado por la Contraloría General en el año en esa universidad, detectó debilidades en el manejo de las tecnologías de información, debido a que no obstante haber transcurrido siete años desde la emisión de la normativa, la UNED había realizado intentos aislados para su implementación, y dejó inconclusas las actividades necesarias para lograrla en forma efectiva y controlada, debido a que no cumplió con las actividades establecidas en el artículo N 6 de dicha normativa. Además de que no poseía una adecuada gestión de Gobierno de Tecnologías de Información, debido a la ausencia de elementos como el Comité de TI y el PETIC En punto a las disposiciones giradas en el citado informe, es importante indicar, que ya fue comunicada a este Órgano Contralor la conformación de la Comisión Estratégica de 15 Normas de Control Interno para el Sector Público, N R-CO del 26 de enero de 2009, norma 5.3 Control de Sistemas de Información. 16 Contraloría General de la República, Informe DFOE-SOC-IF , del 11 de diciembre de 2014, página i.

14 9 TIC denominada CETIC, y sus funciones 17, así como la elaboración del PETIC por parte de la Vicerrectoría de Planificación, quien lo elevó para la aprobación del nivel superior Asimismo, es de vital importancia considerar que la UNED está en proceso de ejecución del proyecto denominado Plan de Mejoramiento Institucional, que según se comentó supra, es financiado con recursos externos y contiene un alto porcentaje de inversión en tecnologías de información. El PMI consta de varias iniciativas en las que se hará una inversión relevante en tecnologías con un monto cercano a los U$11,6 millones, según se muestra en el Anexo N El destino de los mencionados recursos es realizar inversión en infraestructura (salas tecnológicas de videoconferencias, laboratorios de cómputo y conectividad) en la mayoría de los Centros Universitarios; la construcción de un cuarto para la colocación de servidores de respaldo de los servidores principales ubicados en la sede central; para resguardar la información y la operatividad de las comunicaciones de toda la UNED 19 ; dotar a estudiantes en condición de pobreza de dispositivos tecnológicos para tener acceso a los recursos audiovisuales y multimedia; también incluye este plan el desarrollo de un Sistema de información para el apoyo a la toma de decisiones y la gestión institucional, y depurar las bases de datos del Sistema de Administración de Estudiantes (SAE), el Sistema Financiero Contable (SFC), el Sistema de Gestión y Desarrollo del Personal (SGDP) y del Sistema Web En el Plan de Mejoramiento Institucional (PMI) se muestra la vinculación entre los objetivos institucionales, las nueve iniciativas y los ejes estratégicos de cobertura, equidad y acceso; calidad y pertinencia; innovación y desarrollo científico y tecnológico y gestión institucional No obstante, para el área de tecnologías de información no es posible relacionar cada una de las iniciativas con su(s) correspondiente(s) estrategia(s) en tecnologías, debido a que cuando se elaboró el PMI, no se había emitido el Plan Estratégico de Tecnologías de Información, siendo este un elemento fundamental contemplado en la normativa técnica 21. Por ejemplo, según la normativa, los proyectos se deben valorar, e incorporar al portafolio general de proyectos de TI, pero en este caso no fue posible acreditar la existencia de esta valoración, ni su inclusión como parte de los proyectos del PETIC, y de una estrategia que considerara las diferentes alternativas tecnológicas versus los requerimientos institucionales. Tampoco es posible identificar la 17 Acuerdo del Consejo Universitario, sesión , del 26 de febrero de 2015, artículo II, inciso 1-a). 18 Oficio V.P del 27 de marzo de 2015, de la Vicerrectoría de Planificación. 19 Plan de Mejoramiento Institucional, página Plan de Mejoramiento Institucional, páginas 70 a Oficios DTIC del 8 de agosto de 2014 y DTIC del 10 de marzo de 2015.

15 10 relación existente entre los proyectos y las estrategias en tecnologías de información, la calidad, los riesgos, los costos, el modelo de arquitectura de información y de infraestructura tecnológica, de forma que estas iniciativas promuevan y contribuyan con la estandarización de los sistemas, y que hayan sido considerados los recursos humanos y financieros que garantizarán su sostenibilidad en el tiempo y de las inversiones que implican También, con respecto a los procesos de contratación con terceros, según se ha comentado, la implementación de la norma se encuentra pendiente, por lo que la UNED no cuenta con procedimientos generales debidamente aprobados por la comisión y el nivel superior que le permitan velar por la observancia de lo contenido en la norma 3.4 sobre la obtención satisfactoria de los objetos contratados, en especial, en cuanto a la definición de los términos de referencia y la aprobación formal de los criterios, términos y conjunto de pruebas para aceptar las instalaciones, hardware o software que se contratarán. Además, de que en su ausencia, la organización debería contar con funcionarios responsables, encargados de coordinar su observancia Es decir, las iniciativas tecnológicas del PMI, en criterio de este Órgano Contralor, no tienen como punto de partida una base sólida, debidamente fundamentada en las normas técnicas como parte de una óptima administración de estas tecnologías en la organización, y de una transparente gestión de proyectos de TI, en los que se pueda identificar los funcionarios responsables de que en estos proyectos, no solo se acate lo establecido en la normativa técnica de tecnologías de información, sino que se pueda garantizar su éxito tecnológico Dado lo anterior, y conforme a la normativa vigente, resulta de vital importancia que previo a continuar con la realización de inversiones en el área de tecnologías de información, la UNED prosiga con las gestiones iniciadas para la implementación de la normativa técnica que rige en este campo de forma que se dé en concordancia y coherencia, entre otros, con el marco estratégico, la planificación institucional, el modelo de arquitectura de información y la infraestructura tecnológica, el establecimiento de lineamientos para el análisis de las alternativas de solución según criterios técnicos y económicos, la definición clara, completa y oportuna de los requerimientos, en los cuales se deben incorporar aspectos de control, seguridad y auditoría bajo un contexto de costo beneficio. Así como que se formulen y ejecuten estrategias de implementación que incluyan todas las medidas para minimizar el riesgo de que los proyectos no logren sus 22 Oficios DTIC del 8 de agosto de 2014 y DTIC del 10 de marzo de 2015.