CONSEJO NACIONAL DE RECTORES AUDITORÍA INTERNA. Informe de Auditoría Interna. Estudio de la planificación estratégica de Tecnologías de Información

Transcripción

1 CONSEJO NACIONAL DE RECTORES AUDITORÍA INTERNA Informe de Auditoría Interna Estudio de la planificación estratégica de Tecnologías de Información INF-15 ( ) Setiembre, 2009

2 TABLA DE CONTENIDO 1. Introducción Responsabilidad de la Administración Aspectos relevantes de la Ley General de Control Interno Procedimientos Aplicados Resultados Conclusión Plan de implementación de las recomendaciones sugeridas... 14

3 1. INTRODUCCIÓN La Unidad de Auditoría Interna a lo largo del presente período, ha desarrollado diversas actividades para la verificación del cumplimiento de la Normativa de Tecnologías de Información dentro de CONARE, y en seguimiento de tal objetivo se ha efectuado, para el presente estudio, el análisis de la planificación estratégica de tecnologías de información. El presente estudio se basó en el seguimiento de los lineamientos establecidos en la normativa de tecnologías de información, con el fin de verificar la eficiente utilización de los recursos institucionales disponibles en el cumplimiento de la función de la Unidad de Tecnologías de Información. 1.1 Origen: El estudio se ejecutó en cumplimento a lo que establece la Ley General de Control Interno Nº8292 y conforme al Plan de Trabajo de la Auditoría Interna; la selección del proceso a auditar se basó en el modelo de valoración de riesgo establecido por esta Unidad. Las actividades y pruebas realizadas se ejercieron con total independencia funcional y de criterio, respecto al jerarca y demás órganos de la administración activa; asimismo, se ejecutaron conforme a lo que establece el Manual de Normas Generales de Auditoría para el Sector Público (M CO-DFOE) y el Manual de Normas para el ejercicio de la Auditoría Interna en el Sector Público (M CO-DDI). 1.2 Objetivos General: Evaluar la eficacia y eficiencia de las actividades de control que se aplica en el proceso de planeamiento estratégico de TI, de conformidad con lo indicado en las Normas de TI establecidas por la Contraloría General de la República; en cumplimiento del Plan Anual de Auditoría 2009 y de conformidad con lo indicado en la Ley de Control Interno No Específicos: 1.3 Alcance Evaluar el proceso realizado en la planificación estratégica del período Verificar el cumplimiento de lo dispuesto en las Normas de Técnicas para la Gestión y el control de las Tecnologías de Información. Evaluar y documentar el avance del plan estratégico con relación al presupuesto. El alcance del trabajo de auditoría interna comprende la evaluación de la eficacia y eficiencia de la planificación estratégica de la unidad de tecnologías de información. En procura de INF-15 ( ) 1

4 proporcionar una seguridad razonable de que este proceso está funcionando de acuerdo con lo deseado y que permita alcanzar los objetivos y metas de la Institución. 2. RESPONSABILIDAD DE LA ADMINISTRACIÓN La veracidad y exactitud de la información en la que se basó esta Auditoría para llegar a los resultados obtenidos en el presente informe, es responsabilidad de la Administración Activa. La responsabilidad de esta Auditoría consiste en evaluar la efectividad del control interno sobre el proceso de Elaboración del Plan Estratégico de T.I., el cual fue evaluado de conformidad con el Manual de Normas Generales de Auditoría para el Sector Público (M CO-DFOE) y el Manual de Normas para el ejercicio de la Auditoría Interna en el Sector Público (M CO- DDI). 3. ASPECTOS RELEVANTES DE LA LEY GENERAL DE CONTROL INTERNO Para lograr la consecución de los objetivos institucionales, el sistema de control interno existente en cualquier administración debe aplicar sistemáticamente, los cinco componentes funcionales y relacionados entre sí; a saber: Ambiente de control, Valoración del Riesgo, Actividades de Control, Sistemas de Información y Seguimiento. Asimismo, estable diferentes responsabilidades y deberes, según se detalla a continuación: Artículo 10. Responsabilidad por el sistema de control interno. Artículo 12. Deberes del jerarca y de los titulares subordinados en el sistema de control interno. Artículo 16. Sistemas de información. Finalmente, se establecen los plazos para dar respuesta a los informes de auditoría y los causales al respecto, en los siguientes artículos: Artículo 36. Informes dirigidos a los titulares subordinados. Artículo 37. Informes dirigidos al jerarca. Artículo 38. Planteamiento de conflictos ante la Contraloría General de la República. Artículo 39. Causales de responsabilidad administrativa. 4. PROCEDIMIENTOS APLICADOS 4.1 Entrevistas: Durante el curso de revisión del presente estudio, se prepararon y aplicaron varias preguntas a los funcionarios de la unidad de TI. Muchas de estas preguntas dieron lugar a evidencias importantes INF-15 ( ) 2

5 para los hallazgos encontrados. Aún cuando con frecuencia la evidencia oral no es suficiente por sí misma se logró validar de forma documental las aportaciones. 4.2 Revisión de documentos: La evidencia documental se empleó como una herramienta de gran ayuda para el presente estudio. Tipos de evidencia utilizada: 4.3 Pruebas: Evidencia que se origina dentro de la Institución pero que circula entre terceros, tal como los documentos suministrados por otras dependencias del CONARE. Evidencia que se origina dentro del área de estudio, tal es el caso de los documentos suministrados por los funcionarios de la unidad de CETIC Se realizaron pruebas de control, sustantivas y de cumplimiento, basados en la información suministrada por el personal involucrado en el proceso, la documentación y correspondencia relacionada con el tema del estudio. Además se realizó una prueba intencional, seleccionando una muestra representativa de todas las operaciones realizadas por la unidad de cómputo para la actividad de planificación estratégica. 4.4 Matriz de cumplimiento: Se elaboró una matriz de cumplimiento para dar seguimiento a los hallazgos establecidos en estudios de períodos anteriores, dicha matriz fue establecida en procura de dar continuidad a las mejoras recomendadas. 4.5 Matriz de hallazgos: Como resultado del estudio se obtuvieron observaciones importantes que se presentan en los hallazgos del informe y están respaldados con los papeles de trabajo respectivos. INF-15 ( ) 3

6 5. RESULTADOS 5.1 Resumen de hallazgos Nº Hallazgo 1 Ausencia de un plan de implementación de seguimiento a las mejoras de periodos anteriores 2 Ausencia de un adecuado nivel de independencia de las funciones de TI 3 Carencia de un adecuado proceso de identificación y valoración de riesgos. 4 Falta de un adecuado modelo de evaluación del cumplimiento de objetivos 5 Falta de capacitación del personal en materia de normativa y otros temas de calidad. 6 Incumplimiento de los plazos de implementación de las Normas Técnicas de TI. 7 Carencia de plazos de cumplimiento en la Planificación Estratégica, tanto para la planificación en general como para cada una de las actividades específicas 8 Ausencia de evidencia y de documentación de las actividades realizadas con relación al PAO 2009 Nivel de implementación Medio Medio Medio Medio Bajo Alto Medio Medio Nivel de implementación Alto: deben ser atendidas y solucionadas a la mayor brevedad posible. Medio: deben ser atendidas durante los siguientes 30 a 90 días. Bajo: deben ser atendidas en plazos razonables y bajo directrices de la Administración. INF-15 ( ) 4

7 5.2 Descripción de los hallazgos Hallazgo 1: Ausencia de un plan de implementación de seguimiento a las mejoras de periodos anteriores Condición No se obtuvo evidencia de las acciones correctivas necesarias para subsanar los hallazgos encontrados en el informe de la Auditoría Interna del CONARE. Causa Falta de coordinación y planificación de la unidad de TI, para el seguimiento adecuado de las recomendaciones sugeridas por esta unidad de control. Efecto Algunos de los hallazgos encontrados en períodos anteriores se presentan de forma reincidente en el presente estudio, lo que incrementa el nivel de criticidad de la unidad. Incumplimiento en lo establecido en las normas técnicas con relación a la gestión de la Unidad de T.I. Criterio Ley de Control Interno 8292, Capítulo III, Artículo 17 "Seguimiento del Sistema de Control interno" Recomendación Incorporar en la planificación de las actividades a desarrollar, los recursos y demás elementos necesarios para el debido desarrollo y seguimiento de las mejoras. INF-15 ( ) 5

8 Hallazgo 2: Ausencia de un adecuado nivel de independencia de las funciones de TI Condición Se observó que la estructura organizacional para el área de TIC, aún se encuentra en proceso de restructuración retardando los plazos establecidos por la Normativa de Tecnologías de Información. Causa Falta de compromiso por parte de los Jerarcas de la organización, en cuanto al cumplimiento de la normativa vigente y reguladora de las actividades del área de TI. Efecto Criterio Incumplimiento de las disposiciones establecidas por la normativa técnica para la gestión y el Control de las Tecnologías de Información en materia de independencia funcional. No cumplir con los objetivos y metas establecidos. No contar con una adecuada asignación de responsabilidades y niveles de autoridad de las funciones, que limiten el quehacer de la unidad. Normas técnicas para la gestión y el control de las Tecnologías de Información. N CO- DFOE, Capítulo II, Inciso 2.4 "Independencia y recurso humano de la Función de TI" Recomendación Establecer e implementar una estructura acorde a las necesidades de la unidad de CETIC, a fin de establecer su nivel de responsabilidad y de autoridad, que le ayude a cumplir con los objetivos planteados y de apoyo la gestión institucional INF-15 ( ) 6

9 Hallazgo 3: Carencia de un adecuado proceso de identificación y valoración de riesgos. Condición Del análisis de las entrevistas aplicadas al personal de CETIC, se observó lo siguiente: Causa Un nivel de desconocimiento en materia de riesgos y el efecto de este sobre las actividades que desarrollan a diario. Falta de capacitación del personal en materia de riesgos y normativa vinculante. Falta de una cultura de riesgo en las actividades que se desarrollan en la unidad. Falta de una adecuada identificación y análisis de los riesgos relevantes de la institución y vinculación con los riesgos de TI. Falta de asignación de recursos humanos y de tiempo para la identificación, divulgación y documentación de riesgos de la unidad. Efecto Criterio Desactualización y desconocimiento de las actividades de mayor riesgo para el área de TIC. Desaprovechamiento de recursos y operaciones de tecnología, en actividades poco significativas para el desarrollo de los objetivos del área. Probabilidad de que ocurran eventos que tengan consecuencias negativas sobre los objetivos de la unidad de CETIC. Ley de Control Interno 8292, Capítulo III, Artículo 14 Normas técnicas para las gestión y el control de las tecnologías de Información N CO-DFOE, Capítulo I, inciso 1.3 "Gestión de Riesgos". Recomendación Se recomienda capacitar al personal del área de TIC en el tema de la valoración del riesgo y establecer una herramienta que les permita identificar y valorar los riesgos. INF-15 ( ) 7

10 Hallazgo 4: Falta de un adecuado modelo de evaluación del cumplimiento de objetivos. Condición Del análisis de las herramientas aplicadas a los diferentes funcionarios de TI sujetos de estudio; se observó: Causa Que en la actualidad la unidad de cómputo mantiene un bajo nivel de control y evaluación de las actividades desarrolladas por el personal y su impacto sobre el cumplimiento de objetivos. Ausencia de mecanismos de vigilancia del cumplimiento de las responsabilidades del personal de la unidad. Falta de aplicación y documentación de procedimientos escritos para la autoevaluación de la calidad del área de TI. No aplicación de las normas de control y evaluación de la normativa de tecnologías de información. Efecto Criterio No poder medir adecuadamente el cumplimiento de las metas u objetivos de manera eficiente y eficaz. Ausencia de datos de medición para el análisis comparativo del cumplimiento de metas. Ausencia de una adecuada y continua evaluación del Marco de Seguridad de la Información Institucional. No poder evaluar el desempeño de los funcionarios. Normas técnicas para la gestión y el control de las Tecnologías de Información. N CO- DFOE, Capítulo II, Inciso 2.5 " Administración de recursos financieros". Recomendación Formular la implementación de un modelo de autoevaluación de calidad del personal de la unidad. Solicitar con mayor regularidad informes de labores al personal de la unidad de TI. INF-15 ( ) 8

11 Hallazgo 5: Falta de capacitación del personal en materia de normativa y otros temas de calidad. Condición Como resultado del análisis de la aplicación de las entrevistas al personal de cómputo se determinó la ausencia de una adecuada capacitación en materia de normativa de tecnologías y calidad. Causa Falta de planificación y programación de las actividades de capacitación. Efecto Inseguridad en el cumplimiento de las actividades a desarrollar dentro de la unidad de TI. Criterio Normas técnicas para la gestión y el control de las Tecnologías de Información. N CO- DFOE, Capítulo II, Inciso 2.4 "Independencia y recurso humano de la Función de TI" Recomendación Establecer un canal de comunicación y divulgación interno que procure la interacción del personal y su continuidad de capacitación. Elaborar un cronograma anual para la capacitación del personal que sustente las necesidades del mismo en relación al trabajo realizado y el mejoramiento continuo. INF-15 ( ) 9

12 Hallazgo 6: Incumplimiento de los plazos de implementación de las Normas Técnicas de TI. Condición Se observó que a la fecha, el plazo establecido por la Contraloría General de la República para el finiquito de la implementación de la normativa existente no se ha cumplido, mismo que se estableció para dos años después de la entrada en vigencia (31 de julio 2007), es decir para el pasado 31 de julio del Causa Ausencia de estructura más acorde con las necesidades planteadas en la normativa vigente. Efecto Criterio Incapacidad de poder dar continuidad a un servicio moderno y oportuno estandarizado para las necesidades de la Institución y de terceros vinculados con CONARE. Inobservancia de la normativa, el cual podría generar responsabilidades de conformidad con el marco jurídico que resulte aplicable. Normas técnicas para la gestión y el control de las Tecnologías de Información. N CO- DFOE. Recomendación Se recomienda establecer actividades dentro del plan de trabajo de la unidad, que ayuden al cumplimiento de la normativa, y dar seguimiento a las recomendaciones sugeridas en otros estudios por esta unidad de control. INF-15 ( ) 10

13 Hallazgo 7: Carencia de plazos de cumplimiento en la Planificación Estratégica, tanto para la planificación en general como para cada una de las actividades específicas. Condición Se observó que el documento de la planificación estratégica enviado al Sr. Director mediante el oficio UC , no muestra las fechas de cumplimiento de las actividades especificadas, ni hace mención del período en que se desarrollará esta planificación. Causa Desatención de los controles básicos en la elaboración de la planificación estratégica y la falta de perspectiva de la dirección y ejecución de las actividades de TI. Efecto Criterio La ausencia de plazos impide medir el nivel de cumplimiento de las actividades de la planificación. Podría darse un desaprovechamiento de los recursos presupuestados para el desarrollo de las actividades de TI. Normas técnicas para la gestión y el control de las Tecnologías de Información. N CO- DFOE, Capítulo II. Recomendación Se recomienda actualizar la planificación estratégica e incorporarle las respectivas fechas de cumplimiento. INF-15 ( ) 11

14 Hallazgo 8: Ausencia de evidencia y de documentación de las actividades realizadas con relación al PAO Condición No se obtuvo evidencia de que los objetivos estratégicos vinculados a las actividades del PAO se estén desarrollando de forma efectiva y eficiente y que la misma esté debidamente controlada. Criterio Normas técnicas para la gestión y el control de las Tecnologías de Información. N CO- DFOE. Causa Falta de una adecuada gestión de calidad y cultura de riesgos dentro del personal de TI. Efecto No utilizar los recursos financieros de manera eficiente en el desarrollo de las actividades de TI. No poder conocer de manera oportuna el cumplimiento de los objetivos establecidos en el PAO. Recomendación Establecer herramientas o mecanismos que documenten de manera apropiada el desarrollo de las actividades del PAO. INF-15 ( ) 12

15 6. CONCLUSIÓN Por medio del presente estudio logramos establecer el importante avance que ha alcanzado la Unidad de Tecnologías de Información del CONARE, en relación con la aplicación de la normativa en la primera etapa de implementación, sin embargo se logró evidenciar que aún existen algunos aspectos de organización que requieren de mayor atención, tal es el caso de los modelos de delegación de autoridad. Las Normas Técnicas para la gestión y control de las Tecnologías, establecen los criterios básicos de control que deben observarse en la gestión de tecnologías y que tiene como propósito coadyuvar en su gestión, en virtud de que dichas tecnologías se han convertido en un instrumento esencial en la prestación de los servicios públicos, representando inversiones importantes en el presupuesto del Estado. Estas normas son de acatamiento obligatorio para la Contraloría General de la República y las instituciones y órganos sujetos a su fiscalización, que prevalecerán sobre cualquier disposición en contrario que emita la Administración. Asimismo, que su inobservancia generará las responsabilidades que correspondan de conformidad con el marco jurídico que resulte aplicable. Es por ello que esta Unidad de Control le ha dado seguimiento a esta normativa. También logramos determinar la necesidad de un modelo de unidad más vinculado con los objetivos de la Institución. TI en la actualidad cuenta con los recursos económicos necesarios para el desarrollo de una adecuada planificación estratégica, sin embargo los hallazgos anteriormente mencionados ponen en evidencia que los recursos son una parte importante de la planificación, pero no el motor del clima organizacional adecuado para el logro de las actividades planteadas en TI. Todos los hallazgos encontrados en este estudio, han demostrado que la unidad de TI se encuentra en un estado de incumplimiento de plazos, en la segunda etapa de implementación, lo cual en corto plazo podría incrementar de forma importante el nivel de riesgo tanto de la Institución como de la unidad. En virtud de todo lo anterior, es que solicitamos plantear un programa a corto plazo para el seguimiento de recomendaciones tanto a nivel de TI como de la Institución. INF-15 ( ) 13

16 7. PLAN DE IMPLEMENTACIÓN DE LAS RECOMENDACIONES SUGERIDAS Nº Hallazgo Ausencia de un plan de implementación de seguimiento a las mejoras de periodos anteriores Ausencia de un adecuado nivel de independencia de las funciones de TI Carencia de un adecuado proceso de identificación y valoración de riesgos. Falta de un adecuado modelo de evaluación del cumplimiento de objetivos Falta de capacitación del personal en materia de normativa y otros temas de calidad. Incumplimiento de los plazos de implementación de las Normas Técnicas de TI. Carencia de plazos de cumplimiento en la Planificación Estratégica, tanto para la planificación en general como para cada una de las actividades específicas Ausencia de evidencia y de documentación de las actividades realizadas con relación al PAO 2009 Comentarios de la Administración Plan de Implementación Responsable Fecha Estimada de Implementación INF-15 ( ) 14