CONSEJO NACIONAL DE RECTORES AUDITORÍA INTERNA

Transcripción

1 CONSEJO NACIONAL DE RECTORES AUDITORÍA INTERNA Informe de Auditoría Interna Análisis del control interno del desarrollo y mantenimiento de sistemas de tecnologías de información INF-01 ( ) Febrero, 2009

2 CONTENIDO 1. INTRODUCCIÓN RESPONSABILIDAD DE LA ADMINISTRACIÓN ASPECTOS DE LA LEY GENERAL DE CONTROL INTERNO RELEVANTES EN EL ESTUDIO PROCEDIMIENTOS APLICADOS HALLAZGOS CONCUSIONES... 14

3 1. INTRODUCCIÓN 1.1 Origen del Estudio Este estudio se llevó a cabo en atención al Plan Anual Operativo de la Unidad de Auditoría de Consejo Nacional de Rectores para el año Objetivo General Evaluar la eficacia y eficiencia de las actividades de control que se aplican en el proceso de desarrollo y mantenimiento de sistemas, en cumplimiento del Plan Anual de Auditoría 2008 y de conformidad con lo indicado en la Ley de Control Interno # Alcance del estudio. El presente estudio se elaboró tomando en consideración los sistemas, equipos, recursos materiales, el personal y la estructura física de la unidad de sistemas de información durante el segundo semestre del período Normativa El presente estudio evaluó la aplicación de las Normas Técnicas para la Gestión y el control de las Tecnologías de Información (N CO-DFOE) y la Ley General de Control Interno RESPONSABILIDAD DE LA ADMINISTRACIÓN La veracidad y exactitud de la información en la que se basó esta Auditoría para llegar a los resultados obtenidos en el presente informe, es responsabilidad de la Administración Activa. La responsabilidad de esta Auditoría consiste en evaluar la efectividad del control interno sobre la Unidad de Tecnologías de información que impera en la Administración del Consejo Nacional de Rectores, CONARE, el cual fue evaluado de conformidad con las normas y técnicas de auditoría generalmente aceptadas y emitidas por la Contraloría General de la República INF-01 ( ) 1

4 3. ASPECTOS DE LA LEY GENERAL DE CONTROL INTERNO RELEVANTES EN EL ESTUDIO 3.1 Regulaciones de la Ley General de Control Interno Para lograr la consecución de los objetivos institucionales, el sistema de control interno existente en cualquier administración debe aplicar sistemáticamente, cinco componentes funcionales y relacionados entre sí; a saber: Ambiente de control, Valoración del Riesgo, Actividades de Control, Sistemas de Información y Seguimiento. Ambiente de Control: Conjunto de factores del ambiente organizacional que deben establecer y mantener el jerarca, los titulares subordinados y demás funcionarios, para permitir el desarrollo de una actitud positiva y de apoyo para el control interno y para una administración escrupulosa. (inciso e) artículo 2, Ley General de Control Interno). Valoración del Riesgo: Identificación y análisis de los riesgos que enfrenta la Institución, tanto de fuentes internas como externas relevantes para la consecución de los objetivos; deben ser realizados por el jerarca y los titulares subordinados, con el fin de determinar cómo se deben administrar dichos riesgos. (inciso f) artículo 2, Ley General de Control Interno). Actividades de Control: Políticas y procedimientos que permiten obtener la seguridad de que se llevan a cabo las disposiciones emitidas por la Contraloría General de la República, por los jerarcas y los titulares subordinados para la consecución de los objetivos del sistema de control interno. (inciso g) artículo 2, Ley General de Control Interno) Sistemas de información: conjunto de actividades realizadas con el fin de controlar, almacenar, y, posteriormente, recuperar de modo adecuado la información producida o recibida en la organización, en el desarrollo de sus actividades, con el fin de prevenir cualquier desvío de los objetivos trazados (artículo 16 Ley General de Control Interno). Seguimiento: Entiéndase por seguimiento de control interno las actividades que se realizan para valorar la calidad del funcionamiento del sistema de control interno, a lo largo del tiempo; así mismo, para asegurar que los hallazgos de la auditoría y los resultados de otras revisiones se atiendan con prontitud... (artículo 17, Ley General de Control Interno). 3.2 Responsabilidad por el sistema de control interno Artículo 10. Responsabilidad por el sistema de control interno. Serán responsabilidad del jerarca y del titular subordinado establecer, mantener, perfeccionar y evaluar el sistema de control interno institucional. Asimismo, será responsabilidad de la administración activa realizar las acciones necesarias para garantizar su efectivo funcionamiento. INF-01 ( ) 2

5 3.3 Deberes del Jerarca y los titulares subordinados en el sistema de Control Interno: Artículo 12. Deberes del jerarca y de los titulares subordinados en el sistema de control interno. En materia de control interno, al jerarca y los titulares subordinados les corresponderá cumplir, entre otros, los siguientes deberes: [ ] a. Analizar e implantar, de inmediato, las observaciones, recomendaciones y disposiciones formuladas por la Auditoría Interna, la Contraloría General de la República, la auditoría externa y las demás instituciones de control y fiscalización que correspondan. [ ] Artículo 16. Sistemas de información. Deberá contarse con sistemas de información que permitan a la administración activa tener una gestión documental institucional, entendiendo esta como el conjunto de actividades realizadas con el fin de controlar, almacenar y, posteriormente, recuperar de modo adecuado la información producida o recibida en la organización, en el desarrollo de sus actividades, con el fin de prevenir cualquier desvío en los objetivos trazados. Dicha gestión documental deberá estar estrechamente relacionada con la gestión de la información, en la que deberán contemplarse las bases de datos corporativas y las demás aplicaciones informáticas, las cuales se constituyen en importantes fuentes de la información registrada. En cuanto a la información y comunicación, serán deberes del jerarca y de los titulares subordinados, como responsables del buen funcionamiento del sistema de información, entre otros, los siguientes: a) Contar con procesos que permitan identificar y registrar información confiable, relevante, pertinente y oportuna; así mismo, que la información sea comunicada a la administración activa que la necesite, en la forma y dentro del plazo requerido para el cumplimiento adecuado de sus responsabilidades, incluidas las de control interno. b) Armonizar los sistemas de información con los objetivos institucionales y verificar que sean adecuados para el cuido y manejo eficientes de los recursos públicos. Establecer las políticas, los procedimientos y recursos para disponer de un archivo institucional, de conformidad con lo señalado en el ordenamiento jurídico y técnico. 3.4 Los informes de auditoría: Artículo 36. Informes dirigidos a los titulares subordinados. Cuando los informes de auditoría contengan recomendaciones dirigidas a los titulares subordinados, se procederá de la siguiente manera: a) El titular subordinado, en un plazo improrrogable de diez días hábiles contados a partir de la fecha de recibido el informe, ordenará la implantación de las recomendaciones. Si discrepa de ellas, en el transcurso de dicho plazo elevará el informe de auditoría al jerarca, con copia a la auditoría interna, expondrá por escrito las razones por las cuales objeta las recomendaciones del informe y propondrá soluciones alternas para los hallazgos detectados. INF-01 ( ) 3

6 b) Con vista de lo anterior, el jerarca deberá resolver, en el plazo de veinte días hábiles contados a partir de la fecha de recibo de la documentación remitida por el titular subordinado; además, deberá ordenar la implantación de recomendaciones de la auditoría interna, las soluciones alternas propuestas por el titular subordinado o las de su propia iniciativa, debidamente fundamentadas. Dentro de los primeros diez días de ese lapso, el auditor interno podrá apersonarse, de oficio, ante el jerarca, para pronunciarse sobre las objeciones o soluciones alternas propuestas. Las soluciones que el jerarca ordene implantar y que sean distintas de las propuestas por la auditoría interna, estarán sujetas, en lo conducente, a lo dispuesto en los artículos siguientes. El acto en firme será dado a conocer a la auditoría interna y al titular subordinado correspondiente, para el trámite que proceda. Artículo 37. Informes dirigidos al jerarca. Cuando el informe de auditoría esté dirigido al jerarca, este deberá ordenar al titular subordinado que corresponda, en un plazo improrrogable de treinta días hábiles contados a partir de la fecha de recibido el informe, la implantación de las recomendaciones. Si discrepa de tales recomendaciones, dentro del plazo indicado deberá ordenar las soluciones alternas que motivadamente disponga; todo ello tendrá que comunicarlo debidamente a la auditoría interna y al titular subordinado correspondiente. Artículo 38. Planteamiento de conflictos ante la Contraloría General de la República. Firme la resolución del jerarca que ordene soluciones distintas de las recomendadas por la auditoría interna, esta tendrá un plazo de quince días hábiles, contados a partir de su comunicación, para exponerle por escrito los motivos de su inconformidad con lo resuelto y para indicarle que el asunto en conflicto debe remitirse a la Contraloría General de la República, dentro de los ocho días hábiles siguientes, salvo que el jerarca se allane a las razones de inconformidad indicadas. La Contraloría General de la República dirimirá el conflicto en última instancia, a solicitud del jerarca, de la auditoría interna o de ambos, en un plazo de treinta días hábiles, una vez completado el expediente que se formará al efecto. El hecho de no ejecutar injustificadamente lo resuelto en firme por el órgano contralor, dará lugar a la aplicación de las sanciones previstas en el capítulo V de la Ley Orgánica de la Contraloría General de la República, N 7428, de 7 de septiembre de Causales de Responsabilidad Administrativa: Artículo 39. Causales de responsabilidad administrativa. El jerarca y los titulares subordinados incurrirán en responsabilidad administrativa y civil, cuando corresponda, si incumplen injustificadamente los deberes asignados en esta Ley, sin perjuicio de otras causales previstas en el régimen aplicable a la respectiva relación de servicios. [ ] Igualmente, cabrá responsabilidad administrativa contra los funcionarios públicos que injustificadamente incumplan los deberes y las funciones que en materia de control interno les asigne el jerarca o el titular subordinado, incluso las acciones para instaurar las recomendaciones emitidas por la auditoría interna, sin perjuicio de las responsabilidades que les puedan ser imputadas civil y penalmente. INF-01 ( ) 4

7 4. PROCEDIMIENTOS APLICADOS 4.1 Entrevistas Se realizaron varias entrevistas para obtener evidencia sobre el desarrollo y mantenimiento de sistemas operativos dentro de la unidad de tecnologías de información del CONARE. Entre los funcionarios entrevistados podemos mencionar los siguientes: David Guerra Danny Silva Alejandra Salazar Erick Zamora 4.2 Pruebas de Control Se realizaron pruebas de control para verificar y documentar las actividades de control que se aplican en dicha unidad. Además se analizó la ejecución de presupuesto, contra la documentación de cada contratación administrativa, para obtener información del grado de avance en la que se encuentra la reestructuración de la unidad de cómputo. 4.3 Matriz de cumplimiento Se elaboró una matriz de cumplimiento con relación a las Normas Técnicas para la Gestión y el control de las Tecnologías de Información (N CO-DFOE), a fin de verificar su adecuada aplicación y el grado de avance en el cumplimiento de esta norma. 4.4 Matriz de hallazgos Como resultado del estudio se obtuvieron observaciones importantes que se presentan en los hallazgos del informe y están respaldadas con los papeles de trabajo respectivos. INF-01 ( ) 5

8 5. HALLAZGOS Hallazgo 1. Ausencia de procedimientos formales para el manejo de la Ley de Contratación Administrativa por parte de la unidad de tecnologías de información. Condición Del análisis realizado sobre los diferentes procesos que se realizan en la unidad de tecnologías de información para la contratación administrativa en función de sus actividades; se observó la falta de un procedimiento formal que vincule dicho proceso con los controles internos necesarios para el buen manejo de esta actividad. Asimismo se observó: a) Falta de controles cruzados entre la proveeduría institucional con la unidad de tecnologías de información. b) Ausencia de un adecuado modelo de manejo de incidentes para el proceso de contratación administrativa. c) Ausencia de procedimientos formales en el manejo de inventarios entrantes y existentes en la unidad de tecnologías de información. Causa Carencia de una adecuada proyección y planificación de las actividades de la unidad de Tecnologías de Información. Efecto La Institución puede incurrir en costos adicionales de recursos materiales y humanos al aplicar un inadecuado proceso de contratación administrativa, misma que puede elevar el riesgo de adquisición de la Institución. Inobservancia de los principios de eficacia y eficiencia. Criterio Los criterios evaluados para la presente condición se desprenden de la Ley de Contratación Administrativa y su reglamento y lo indicado en la Ley de Control Interno Recomendación a) Se recomienda, a la unidad de tecnologías de información, desarrollar para cada contratación una matriz de condiciones técnicas requeridas lo más específica posible de acuerdo a cada caso de contratación administrativa. INF-01 ( ) 6

9 b) Elaborar un procedimiento formal para el manejo de la contratación administrativa, donde se establezcan los funcionarios responsables de dicho proceso y su respectivo rol dentro del mismo; además de la importancia de documentar dicho rol de trabajo. COMENTARIOS DEL AUDITADO: VER ANEXO 1 INF-01 ( ) 7

10 Hallazgo 2. Ausencia de políticas y procedimientos que garanticen el cumplimiento de las actividades de TI. Condición Al analizar las labores realizadas por el personal de soporte de la unidad de tecnologías de información, se pudo observar la carencia de políticas y procedimientos internos. Además, no se cuenta con una designación formal de los roles y responsabilidades del personal de tecnologías de información Causa a) Carencia de una adecuada proyección y planificación de las actividades sustanciales del personal. b) Ausencia de un adecuado sistema de valoración de riesgos que determine las áreas más susceptibles de la unidad de tecnologías de información del CONARE. Efecto a) Desaprovechamiento de los recursos técnicos, profesionales y materiales disponibles dentro de las unidad de tecnologías de información. b) Dificultad en la asignación de responsabilidades. c) Encarecimiento de los objetivos de la unidad de tecnologías de información. Criterio De conformidad con lo indicado en la Ley de Control Interno y lo establecido en la Normas de Tecnologías de información. Recomendación Se recomienda desarrollar un Manual de Procedimientos en Tecnologías de Información para la unidad de CETIC del CONARE, iniciando con los procesos de alto riesgo, aprovechando los recursos humanos existentes a fin de documentar: Regulaciones Directrices Líneas de autoridad Procedimientos a seguir Funcionarios Responsables. COMENTARIOS DEL AUDITADO: VER ANEXO 1 INF-01 ( ) 8

11 Hallazgo 3. Carencia de un Marco regulador de Servicios de Desarrollo y Mantenimiento de sistemas. Condición Como resultado del análisis del capítulo IV de la Normativa de Tecnologías de Información, se observó que la unidad de CETIC no cuenta con un Marco regulador de Servicios de Desarrollo y Mantenimiento de sistemas, donde se indique los servicios requeridos por la Institución. Causa La principal causa de la ausencia del Marco Regulador de servicios es la carencia de un Marco Estratégico Institucional en materia de tecnologías de información, el cual sustentaría gran parte del Marco regulador de los servicios de desarrollo y mantenimiento de sistemas. Efecto a) La ausencia de un Marco regulador de los servicios de desarrollo y mantenimiento de sistemas, limita el desarrollo y establecimiento de criterios a evaluar sobre el desempeño de la unidad de tecnologías de información dentro de CONARE. b) Incumplimiento de la normativa de tecnologías de información. Criterio En relación con el presente hallazgo tomamos en consideración el inciso 4.1 "Definición y administración de acuerdos de servicio " que dice: Capítulo IV Prestación de servicios y mantenimiento 4.1 Definición y administración de acuerdos de servicio La organización debe tener claridad respecto de los servicios que requiere y sus atributos, y los prestados por la Función de TI según sus capacidades. El jerarca y la Función de TI deben acordar los servicios requeridos, los ofrecidos y sus atributos, lo cual deben documentar y considerar como un criterio de evaluación del desempeño. Para ello deben: a. Tener una comprensión común sobre: exactitud, oportunidad, confidencialidad, autenticidad, integridad y disponibilidad. b. Contar con una determinación clara y completa de los servicios y sus atributos, y analizar su costo y beneficio. c. Definir con claridad las responsabilidades de las partes y su sujeción a las condiciones establecidas. d. Establecer los procedimientos para la formalización de los acuerdos y la incorporación de cambios en ellos. e. Definir los criterios de evaluación sobre el cumplimiento de los acuerdos. f. Revisar periódicamente los acuerdos de servicio, incluidos los contratos con terceros. INF-01 ( ) 9

12 Recomendación a) Se recomienda elaborar un análisis a corto plazo de la importancia de implementar un Marco Regulador de Servicios en materia de tecnologías de información. b) Capacitar al personal de TI en la normativa promulgada por la Contraloría General de la República, la cual establece de forma clara los criterios de control que deben ser observados y cumplidos como parte de la gestión institucional de TI, el jerarca y demás titulares subordinados. COMENTARIOS DEL AUDITADO: VER ANEXO 1 INF-01 ( ) 10

13 Hallazgo 4. Ausencia de un Plan de Contingencia en tecnologías de información Condición La unidad de tecnologías de información no cuenta en la actualidad con un plan formal de contingencias para atender los posibles riesgos de fallas y proteger la integridad del software y de la información institucional. Causa Falta de control en los servicios prestados por la unidad de tecnologías de información, lo que genera un desconocimiento de los procedimientos con mayor nivel de riesgos. Efecto La ausencia de un adecuado Plan de Contingencias en tecnologías de información eleva los niveles de riesgo institucional en materias de tecnologías de información. Pérdida injustificada de información o recursos tecnológicos institucionales. Interrupción injustificada de los servicios tecnológicos de la Institución. Criterio Este aspecto se ve estrechamente relacionado con las normas de aplicación general, específicamente con el enunciado Seguridad en las operaciones y comunicaciones y con la Seguridad en la implementación y mantenimiento de software e infraestructura tecnológica Recomendación Se recomienda elaborar un adecuado plan de contingencias en tecnologías de información para el CONARE, a fin de establecer medidas preventivas y de detección, que reduzcan los niveles de riesgo institucional, en materias de tecnologías de información. COMENTARIOS DEL AUDITADO: VER ANEXO 1 INF-01 ( ) 11

14 Hallazgo 5. Ausencia de una adecuada gestión de Riesgos Condición Al analizar los procedimientos ejecutados en la unidad de tecnologías de información se pudo determinar que la misma no cuenta con la documentación y valoración adecuada de riesgos para sus procesos internos. Causa La ausencia de acciones concretas tales como: Efecto Carencia de un adecuado programa de capacitación en materia de riesgos para la unidad de TI Ausencia de una adecuada asignación de procesos y roles a los recursos humanos existentes. a) Desconocimiento de los posibles riesgos de TI en CONARE, así como de su impacto en las metas establecidas por la unidad de tecnologías de información. b) No cumplir con los objetivos establecidos a falta de una adecuada identificación de riesgos. c) Riesgos asociados con el ambiente, que comprometen de forma inadecuada los activos administrados por la unidad de tecnologías de información. Criterio De conformidad con lo establecido en la Normas de Tecnologías de información, emitidas por la Contraloría General de la República Recomendación Se recomienda llevar a cabo un análisis más profundo de las áreas críticas de TI enfocadas al entorno institucional actual. Previo a dicho análisis es importante valorar el grado de cumplimiento de la etapa "Misión Crítica 2008" y considerar dentro del nuevo análisis los puntos que fueron identificados con anterioridad y que aún no han sido subsanados. COMENTARIOS DEL AUDITADO: VER ANEXO 1 INF-01 ( ) 12

15 Hallazgo 6. Ausencia de un Marco Estratégico Condición Como resultado del análisis realizado de las funciones que realiza la unidad de tecnologías de información se observó que en la actualidad el CONARE no ha establecido un Marco Estratégico de TI para la Institución. Causa Falta de compromiso del personal de la institución con la unidad de tecnologías de información. Efecto a) Aumento en forma sustancial de los riesgos para la unidad de tecnologías de información del CONARE. b) Carencia de lineamientos para el establecimiento de controles internos. c) Incumplimiento de los objetivos establecidos por la unidad. Criterio La ausencia de un Marco Estratégico se encuentra vinculada con el capítulo I, inciso 1.1 Marco Estratégico de TI: que dice: "1.1 Marco estratégico de TI El jerarca debe traducir sus aspiraciones en materia de TI en prácticas cotidianas de la organización, mediante un proceso continuo de promulgación y divulgación de un marco estratégico constituido por políticas organizacionales que el personal comprenda y con las que esté comprometido. " Recomendación Como bien lo indica la norma, el Jerarca del CONARE es el responsable de la elaboración de un Marco Estratégico constituido por las políticas organizacionales necesarias y vinculantes al personal de la Institución. Una vez establecido dicho Marco estratégico se recomienda a la unidad de TI del CONARE, implementar las modificaciones necesarias para la corrección de los elementos ausentes de control por la carencia del mismo. COMENTARIOS DEL AUDITADO: VER ANEXO 1 INF-01 ( ) 13

16 6. CONCUSIONES El presente estudio de auditoría interna fue realizado en cumplimiento del plan anual de trabajo, para el 2009, con la finalidad de evaluar la eficacia y eficiencia de las actividades de control que se aplican en el desarrollo y mantenimiento de sistemas. De dicho estudio podemos concluir que la unidad de tecnologías de información en la actualidad se encuentra en una etapa de transición, procurando redefinir sus metas y objetivos en busca de la consolidación de una nueva estructura que sea diferente a la condición actual de unidad de soporte tecnológico La unidad de tecnologías de información del CONARE ha ido implementando en sus procesos las Normas Técnicas para la gestión y el control de las tecnologías de información para el sector público; generando un marco jurídico cambiante que tiende a buscar un paralelismo con las nuevas relaciones que se dan a raíz del uso de tecnologías de información, sin embargo la unidad de CETIC aún no cuenta con los procedimientos y políticas necesarias para su adecuado funcionamiento. Por lo anterior resulta evidente la importancia que reviste un proceso adecuado de implementación del marco estratégico institucional en materia de tecnologías de información, que tienda a dar valor agregado y de fortalecimiento a los sistemas de control interno institucionales. Asimismo, es importante resaltar lo relevante que resulta para el logro de los objetivos de la unidad de tecnologías de información el cumplimento de las recomendaciones anteriormente emitidas por la auditoría interna, proceso que si bien es cierto en la actualidad vislumbra algunos cambios, particularmente en los últimos meses no se ha alcanzado el cien porciento de cumplimiento de las recomendaciones, manteniéndose un considerable porcentaje de 40% en proceso, lo cual ante la ausencia de mecanismos idóneos de verificación de la efectividad de las recomendaciones, podría tener efectos negativos sobre los niveles de riesgo institucional, así como para el fomento de una cultura administrativa diferente. INF-01 ( ) 14

17 ANEXO 1 COMENTARIOS DEL AUDITADO

18 PLAN DE SEGUIMIENTO E IMPLEMENTACIÓN Nº Hallazgo Ausencia de procedimientos formales para el manejo de la Ley de Contratación 1 Administrativa por parte de la unidad de tecnologías de información. Ausencia de políticas y procedimientos 2 que garanticen el cumplimiento de las actividades de TI. Carencia de un Marco regulador de 3 Servicios de Desarrollo y Mantenimiento de sistemas Ausencia de un Plan de Contingencia en 4 tecnologías de información Ausencia de una adecuada gestión de 5 Riesgos 6 Ausencia de un Marco Estratégico Comentarios de la Administración Plan de Implementación Responsable Fecha Estimada de Implementación