La implantación efectiva de estándares y procesos que permitan rutinas de administración de la calidad en el desarrollo de sistemas.

Transcripción

1 RESUMEN EJECUTIVO INFORME I-AIG INFORME FINAL CONTENTIVO DE LOS RESULTADOS DEL ESTUDIO SOBRE EL DISEÑO DE SISTEMAS EN PUNTO A SU ESTRUCTURA DE CONTROL CON ADICIÓN DEL CUMPLIMIENTO DE LAS NORMAS DE TI EVALUADAS DURANTE EL ESTUDIO 1 INTRODUCCIÓN El estudio se realizó de acuerdo con el Plan General de Auditoría de esta Auditoría Interna y es un producto de su Proceso de Auditoría. Su objetivo fue evaluar el cumplimiento de Normas técnicas para la gestión y el control de las Tecnologías de Información 1 vigentes emitidas por el Órgano Contralor. Su desarrollo se efectuó de forma concomitante al objetivo dirigido a evaluar si las aplicaciones desarrolladas por la UTI se diseñan con inclusión de controles que garanticen la exactitud, integridad, oportunidad y autorización de entradas, procesamiento y salidas, puesto que dicha normativa le es inherente. El análisis versó sobre el cumplimiento de las Normas técnicas para la gestión y el control de las Tecnologías de Información, comprendidas en las evaluaciones que realizó esta Auditoría Interna en relación con: 1 La creación de sistemas en un ambiente controlado de desarrollo y el correspondiente pase de los mismos al ambiente de producción una vez terminado su desarrollo. Los controles implementados en el Sistema de Activos Fijos. Las rutinas para controlar y pagar el monto por concepto de anualidades en el Sistema de Pago de Salarios. Publicado en la Gaceta No. 119 del 21/06/07. La implantación efectiva de estándares y procesos que permitan rutinas de administración de la calidad en el desarrollo de sistemas. La integridad de la información contenida en las bases de datos de los sistemas en producción relativos a Vacaciones, Suministros, Presupuesto Interno y Control de Asistencia. Los procedimientos y controles de acceso establecidos para validar la entrada a los sistemas en producción solo por personal autorizado. La separación de los ambientes de desarrollo y producción así como los privilegios y accesos controlados del personal de la UTI cuyas responsabilidades conllevan el desarrollo de sistemas. El establecimiento de las rutinas y requerimientos de control definidos e implementados en los sistemas para garantizar el ingreso sólo de datos completos y correctos. El estudio se efectuó de acuerdo con las Normas Internacionales para el Ejercicio Profesional de la Auditoría Interna, el Manual de Normas Generales de Auditoría para el Sector Público y el Manual de Normas para el Ejercicio de la Auditoría Interna en el Sector Público. El período objeto de revisión abarcó el comprendido de los años 2008 al 2010, ampliándose cuando se estimó pertinente. Su valor agregado consiste en coadyuvar a que la administración y control de las tecnologías de información logren un modelo de madurez

2 Informe I-AIG escalable cuyo impulso propicie que las herramientas y soluciones automatizadas se conviertan en pilar fundamental del quehacer institucional, cumpliendo de manera permanente con criterios de información fundamentales como lo son la efectividad, eficiencia, confidencialidad, integridad, disponibilidad y confiabilidad. mantenimiento de software e infraestructura tecnológica, se califica como parcialmente cumplida. En lo que respecta a la Norma 4.2 Administración y operación de la plataforma tecnológica, inciso f, su cumplimiento es satisfactorio puesto que efectivamente se cuenta con un ambiente de desarrollo y prueba separado del de producción. 2 RESULTADOS 2.1 PRIMER INFORME No. I-AIG El primer informe 2 aborda el tema relativo al pase de sistemas del ambiente de desarrollo al de producción, de vital importancia por cuanto el mantener estos ambientes independientes tiene como propósito fundamental separar la información utilizada para el desarrollo, de la transaccional o de producción diaria, en salvaguarda de su integridad. Se determinaron, en punto a las actividades del pase del ambiente de desarrollo a producción, una serie de condiciones que no respondían a lo estipulado en las Políticas para el uso del servidor de desarrollo y traslado de objetos al servidor de producción, impactaban de manera negativa los controles destinados a asegurar el debido traslado de sistemas a producción y, a su vez, constituían evidencia que uno de los procesos significativos el ciclo de vida del desarrollo de sistemas no estaba sujeto a un debido control de gestión. Sobre el particular fueron giradas por esta Auditoría, y aceptadas por la Unidad de Tecnología e información (UTI), cuatro recomendaciones, las cuales al 15 de marzo del año en curso no están aún implementadas. Al respecto, la Jefatura de la UTI, informó que estarán implementadas al 1 de abril, según consta en su oficio DGA-UTI del 15 de marzo del año en curso, lo cual será objeto de un estudio de seguimiento por esta Auditoría próximamente. Consecuentemente, la Norma Seguridad en la implementación y 2.2 SEGUNDO INFORME No. I-AIG El segundo informe 3 refiere a que el Sistema de Activos Fijos (SAF) reportó un total de 357 activos asignados a funcionarios que no ostentaban tal condición pues habían dejado de laborar para la entidad en el período comprendido del 1 de enero del 2008 al 31 de enero del 2010; por ende, la situación de los activos en cuestión no se conocía. Sobre el particular señaló esta Auditoría que la asignación de un bien a un funcionario no es sólo un acto de registro, sino que es inherente a ello la ejecución de la adecuada custodia del mismo. Dicha situación incide de manera negativa en el cumplimiento del Artículo 26 del Reglamento para la Administración de los Bienes y Derechos de Propiedad Intelectual de la Contraloría General de la República y de la Norma Custodia de activos, de las Normas de control interno para el Sector Público y, a su vez, impacta en el mismo sentido la administración de los datos en materia de activos e incrementa el riesgo de integridad de la información registrada en el SAF, pues no deviene en confiable, oportuna y útil, atributos fundamentales de la calidad de la información. En razón de lo anterior, la Auditoría Interna procedió a girar a la Jefatura de la UGA tres recomendaciones, que fueron por ella aceptadas y debidamente implementadas según consta en el Informe de seguimiento No. I-AIG-S-7-10 del 02 de setiembre del Remitido al Lic. Miguel Aguilar Zamora, Jefe de la UTI, el 19/10/09. 3 Remitido al Ing. Ronald Monge Salazar, Jefe de la UGA, el 19/03/10. 2

3 Informe I-AIG Si bien las situaciones disfuncionales abordadas en el informe de cita no son resorte fundamental de la UTI, el cumplimiento pleno de las recomendaciones por parte de la UGA, contribuye a lograr el cumplimiento de la Norma 4.3 Administración de los datos, por cuanto con la normalización de la situación de los activos, la información contenida en el SAF ofrece una garantía razonable respecto de la situación de los activos propiedad del Órgano Contralor. Por ende, en cuanto al SAF la Norma 4.3 se da por cumplida. 2.3 TERCER INFORME No. I-AIG En el tercer informe 4 se refiere puntualmente a la evaluación de la integridad de los datos sobre el pago de anualidades en el Sistema de Pagos de Salarios. Se determinó que los controles incorporados en las rutinas establecidas para el pago de anualidades no detectaron el conteo incorrecto de las anualidades para dos funcionarias y, producto de ello, no recibían el pago que por ese concepto les corresponde según los datos que constan en sus respectivos expedientes de personal, que mantiene la Unidad de Gestión de Potencial Humano. Con el propósito de promover el cumplimiento de la normativa aplicable al pago de salarios a saber, el Estatuto Autónomo de Servicios 5 y la Ley de Salarios y Régimen de Méritos de la Contraloría General de la República No , corregir las situaciones salariales de las funcionarias y fortalecer la estructura de control del sistema de pagos, en lo que compete a la gestión de las anualidades y con ello propiciar que la información contenida en el Sistema de pagos mantenga su integridad, cumplimiento y confiabilidad esta Remitido al Gerente de la División de Gestión de Apoyo, Lic. Manuel Martínez Sequeira el 18/05/10 Publicado en la Gaceta No. 94 del 17/05/96. Publicada en La Gaceta No. 180 del 2/08/66 y actualizada el 20/03/02. Auditoría Interna giró tres recomendaciones a la Gerencia de la División de Gestión de Apoyo. La toma de acciones por parte de tres dependencias Unidad de Gestión de Potencial Humano, Unidad de Tecnologías de Información, Unidad de Administración Financiera, integrantes de la División de Gestión de Apoyo fue necesaria y se efectuó de manera coordinada y pronta, dando lugar a un cumplimiento efectivo de las recomendaciones, constatado por esta Auditoría Interna al 18 de mayo del 2010 según consta en su Informe de seguimiento N I-AIG-S Por lo tanto, en cuanto a la rutina de pago de anualidades del Sistema de Pagos, la Norma 4.3, Administración de los datos se califica como cumplida a satisfacción. 2.4 CUARTO INFORME No. I-AIG Con el cuarto informe 7 se abordó el tema de la definición e implantación efectiva de estándares y procesos que permitan rutinas de administración de la calidad durante el desarrollo de sistemas. El estudio en particular permitió determinar que la UTI como producto de las acciones acometidas para el cumplimiento de las Normas técnicas emitidas por esta Contraloría General en materia de TI y, en particular, para la gestión y aseguramiento de la calidad durante el desarrollo y evolución de las soluciones tecnológicas, formuló el documento denominado Marco General para la Gestión de la Calidad en TIC No obstante lo anterior, ese Marco General no ha sido debidamente implementado y tampoco, los procedimientos o rutinas de registro formales que deben acompañar ese tipo de normativa para asentar de manera razonable su cumplimiento y propiciar su mejoramiento continuo durante el desarrollo de sistemas; aunado a ello, no se determinó su promulgación oficial, ni la fecha a partir de la cual rige. 7 Remitido al Jefe de la Unidad de Tecnologías de Información, Lic. Miguel Aguilar Zamora, el 23/03/11. 3

4 Informe I-AIG Con el objetivo de regular la situación sobre la normativa y los procedimientos de control de calidad; al efecto de coadyuvar en la mejora continua del proceso de desarrollo de sistemas y teniendo como valor agregado promover la definición e implantación efectiva de estándares y procesos que permitan rutinas de administración de la calidad, esta Auditoría emitió tres recomendaciones, aceptadas por la UTI y cuya implementación programó, según consta en su oficio No. DGA- UTI-0076 del 6 de abril de En consecuencia, la Norma 1.2 Gestión de la calidad se califica en proceso de cumplimiento hasta tanto sean evaluadas por esta Auditoría, las acciones que efectivamente implemente la UTI con motivo de las recomendaciones a ella formuladas. 2.5 OTRAS NORMAS EVALUADAS DURANTE EL ESTUDIO Como resultado del estudio se debe señalar que también fueron evaluadas otras Normas a efecto de determinar su implementación, según se detalla de seguido. Norma Control de acceso Sobre este particular se debe acotar que durante la revisión ejecutada sobre el esquema de seguridad definido por la UTI para las aplicaciones desarrolladas con Oracle Application Express (APEX) a partir del año 2008, se constató que el esquema utilizado para otorgar roles y privilegios a usuarios fue evaluado por esta Auditoría Interna brinda una seguridad razonable por lo que la Norma Control de acceso, se considera cumplida con respecto a la protección de la confidencialidad, integridad y disponibilidad de la información, contra uso, divulgación o modificaciones no autorizadas. Norma 4.3 Administración de los datos Con motivo de la evaluación de la integridad de los datos de los sistemas de Vacaciones, Suministros, Presupuesto Interno y Control de Asistencia contenidos en sus respectivas base de datos, se determinó que la información derivada de tales aplicaciones ofrece una garantía razonable que sus datos son correctos, completos y válidos de acuerdo con las especificaciones y requerimientos para los cuales fueron originados. Por lo anterior la Norma 4.3 referida a continuación se considera cumplida en lo que compete a los sistemas analizados. Norma 3.2 Implementación de software Respecto de esta Norma, de alcance particularmente amplio, la evaluación realizada en punto a sus incisos b, c y d, permitió comprobar que la UTI realiza esfuerzos importantes y sostenidos que han propiciado su cumplimiento. Puntualmente esas acciones realizadas por la UTI mantienen, tal como lo establece el inciso b. de la Norma, una Metodología para el Desarrollo de Proyectos de Tecnologías de Información y Comunicaciones, actualizada, que comprende métodos y procedimientos que abonan en la calidad del desarrollo de sistemas. Consta en las pruebas realizadas por esta Auditoría Interna que los funcionarios a cargo del desarrollo y mantenimiento de sistemas no tienen asignados permisos específicos en el ambiente o base de datos de producción; situación que es congruente con lo señalado en el inciso c. de la Norma 3.2, lo cual además tiene un valor agregado cual es el de contribuir a la integridad en esa base de datos de producción, pues garantiza de manera razonable que los datos de producción no podrán ser modificados mediante accesos no autorizados por parte del personal antes mencionado. Asimismo, es importante acotar en cuanto al inciso d. de la misma Norma 3.2, que efectivamente en la UTI se mantienen separados los ambientes de desarrollo y producción como, ya se indicara, lo que también permite a esta Unidad tener un control efectivo sobre los sistemas que son desarrollados y posteriormente emigrados al ambiente de producción. 4

5 Informe I-AIG CONCLUSIÓN Con un enfoque orientado a fortalecer el cumplimiento de las Normas técnicas para la gestión y el control de las Tecnologías de Información, se giraron un total de trece recomendaciones a diferentes dependencias administrativas de la entidad, cuya respuesta a las acciones de mejoramiento promovidas se caracterizó por su positiva apertura y disposición así como por acciones implementadas o compromisos asumidos a ese fin, en aras de una estructura de control interno robusta, garante de que la información procesada y mantenida por los sistemas automatizados y su administración ofrecen una garantía razonable de que la misma responde a principios de efectividad, eficiencia, integridad y confiabilidad, entre otros. Lo anterior, deviene en aspectos claves en el escalamiento por la Administración Activa de un nivel de madurez cada vez mayor en cuanto al control y a la administración de los recursos de TI, lo cual corresponde con el valor agregado motivo de la gestión de la Auditoría Interna. Es de especial relevancia manifestar que en este Informe Final específicamente no se formulan nuevas recomendaciones, por lo tanto, su trámite no está sujeto a lo dispuesto en el artículo 36 o 37 de la Ley General de Control Interno. Sí se somete a lo dispuesto en los artículos 35 de esta Ley, 40 y 41 del Reglamento de Organización y Funcionamiento de la Auditoría Interna y la Norma 205 del Manual de Normas Generales de Auditoría para el Sector Público, en razón de lo cual media la conferencia final con esa Jefatura de previo a su remisión oficial. 4 OBSERVACIONES DE LA ADMINISTRACIÓN De conformidad con los artículos 40 y 41 del Reglamento de Organización y Funcionamiento de la Auditoría Interna, el borrador del presente Informe No. I-AIG fue remitido 8 al Lic. Miguel Aguilar Zamora, Jefe de la UTI previo a la conferencia final, con la finalidad de propiciar una mayor comprensión y análisis de su contenido y brindarle un debido soporte a los comentarios a realizar. Dicha reunión se realizó el 13 de mayo del año en curso, sin que se presentaran observaciones escritas 8 Mediante oficio No. AIG-025 del 10/05/11. 5

6 Contenido 1 INTRODUCCIÓN ORIGEN DEL ESTUDIO OBJETIVO ALCANCE DEL ESTUDIO VALOR AGREGADO DE LA GESTIÓN DE LA AUDITORÍA INTERNA SITUACIÓN AFRONTADA EN LA REALIZACIÓN DEL ESTUDIO INHERENTE A CAMBIOS INTERNOS DE LA AUDITORÍA INTERNA RESULTADOS PRIMER INFORME, NO. I-AIG RELATIVO A LA PUESTA EN PRODUCCIÓN DE LOS SISTEMAS DE INFORMACIÓN SEGUNDO INFORME, NO. I-AIG RELATIVO A LOS ACTIVOS QUE PERMANECEN ASIGNADOS A FUNCIONARIOS QUE HAN DEJADO DE LABORAR PARA LA INSTITUCIÓN TERCER INFORME, NO. I-AIG SOBRE EL PAGO INCORRECTO DE ANUALIDADES A DOS FUNCIONARIAS CUARTO INFORME, NO. I-AIG RELATIVO A LA IMPLANTACIÓN EFECTIVA DE ESTÁNDARES Y PROCESOS QUE PERMITAN RUTINAS DE ADMINISTRACION DE LA CALIDAD OTRAS NORMAS EVALUADAS DURANTE EL ESTUDIO CONCLUSIÓN OBSERVACIONES DE LA ADMINISTRACIÓN i

7 1 INTRODUCCIÓN 1.1 ORIGEN DEL ESTUDIO El estudio se realizó de acuerdo con el Plan General de Auditoría de esta Auditoría Interna y es un producto de su Proceso de Auditoría, constituyendo este documento el informe final. 1.2 OBJETIVO Evaluar el cumplimiento de Normas técnicas para la gestión y el control de las Tecnologías de Información 1 vigentes emitidas por el Órgano Contralor. Su desarrollo se efectuó de forma concomitante al objetivo dirigido a evaluar si las aplicaciones desarrolladas por la UTI se diseñan con inclusión de controles que garanticen la exactitud, integridad, oportunidad y autorización de entradas, procesamiento y salidas, puesto que dicha normativa le es inherente. 1.3 ALCANCE DEL ESTUDIO El análisis se llevó a cabo sobre el cumplimiento de las Normas técnicas para la gestión y el control de las Tecnologías de Información, comprendidas en las evaluaciones que realizó esta Auditoría Interna en relación con: La creación de sistemas en un ambiente controlado de desarrollo y el correspondiente pase de los mismos al ambiente de producción una vez terminado su desarrollo. Los controles implementados en el Sistema de Activos Fijos. Las rutinas para controlar y pagar el monto por concepto de anualidades en el Sistema de Pago de Salarios. La implantación efectiva de estándares y procesos que permitan rutinas de administración de la calidad en el desarrollo de sistemas. 1 Publicado en la Gaceta No. 119 del 21/06/07. 1

8 La integridad de la información contenida en las bases de datos de los sistemas en producción relativos a Vacaciones, Suministros, Presupuesto Interno y Control de Asistencia. Los procedimientos y controles de acceso establecidos para validar la entrada a los sistemas en producción solo por personal autorizado. La separación de los ambientes de desarrollo y producción así como los privilegios y accesos controlados del personal de la UTI cuyas responsabilidades conllevan el desarrollo de sistemas. El establecimiento de las rutinas y requerimientos de control definidos e implementados en los sistemas para garantizar el ingreso sólo de datos completos y correctos. Lo anterior en cumplimiento a su Norma 5.3 Participación de la Auditoría Interna que al efecto indica: La actividad de la Auditoría Interna respecto de la gestión de las TI debe orientarse a coadyuvar, de conformidad con sus competencias, a que el control interno en TI de la organización proporcione una garantía razonable del cumplimiento de los objetivos en esa materia. El período objeto de revisión abarcó el período comprendido de los años 2008 al 2010, ampliándose cuando se estimó pertinente. El estudio se efectuó de acuerdo con las Normas Internacionales para el Ejercicio Profesional de la Auditoría Interna, el Manual de Normas Generales de Auditoría para el Sector Público y el Manual de Normas para el Ejercicio de la Auditoría Interna en el Sector Público. 1.4 VALOR AGREGADO DE LA GESTIÓN DE LA AUDITORÍA INTERNA Coadyuvar a que la administración y control de las tecnologías de información logren un modelo de madurez escalable cuyo impulso propicie que las herramientas y soluciones automatizadas se conviertan en pilar fundamental del quehacer institucional, cumpliendo de manera permanente con criterios de información fundamentales como lo son la efectividad, eficiencia, confidencialidad, integridad, disponibilidad y confiabilidad. 2

9 1.5 SITUACIÓN AFRONTADA EN LA REALIZACIÓN DEL ESTUDIO INHERENTE A CAMBIOS INTERNOS DE LA AUDITORÍA INTERNA La Auditoría Interna ha estado abocada a pasar de un ambiente manual a uno automatizado en los procesos relativos a sus servicios de auditoría, de manera que el análisis, desarrollo e implantación de formas de trabajo que respondan a sus calidades de operación demandó, tanto a lo interno de la Auditoría como por la gestión con otras instancias internas y externas a la entidad, una intensa y recurrente labor, concomitante a la ejecutoria de tales servicios, en especial por parte del personal calificado en tecnologías de información a cargo del presente estudio. Es así como en este particular estudio la situación en comentario generó una extensión en el tiempo para cubrir las respectivas actividades, en razón de lo cual se estima procedente brindar dicha explicación. 3

10 2 RESULTADOS 2.1 PRIMER INFORME, No. I-AIG RELATIVO A LA PUESTA EN PRODUCCIÓN DE LOS SISTEMAS DE INFORMACIÓN El primer informe dirigido 2 a la Unidad de Tecnología e información (UTI) aborda el tema relativo al pase de sistemas del ambiente de desarrollo al de producción, actividad que reviste vital importancia por cuanto el mantener estos ambientes independientes tiene como propósito fundamental separar la información utilizada para el desarrollo, de la transaccional o de producción diaria, en salvaguarda de su integridad; lo cual permite realizar modificaciones en los sistemas sin que se afecten los datos o sistemas de uso cotidiano en la Institución. Como resultado del estudio se determinaron, en punto a las actividades del pase del ambiente de desarrollo a producción, una serie de condiciones que no respondían a lo estipulado en las Políticas para el uso del servidor de desarrollo y traslado de objetos al servidor de producción, impactaban de manera negativa los controles destinados a asegurar el debido traslado de sistemas a producción y, a su vez, constituían evidencia que uno de los procesos significativos el ciclo de vida del desarrollo de sistemas no estaba sujeto a un debido control de gestión. Sobre el particular fueron giradas por esta Auditoría, y aceptadas por la Administración, las siguientes recomendaciones: 3.1 Llevar a cabo una revisión de las Políticas para el uso del servidor de desarrollo y traslado de objetos al servidor de producción, emitidas en el 2004, con el propósito de establecer si las mismas son aplicables al entorno bajo el cual actualmente opera la UTI y responden claramente a lo establecido en los incisos b. y c. de la Norma 1.4.6, de las Normas técnicas para la gestión y el control de las Tecnologías de Información y, proceder de así requerirse, a realizar las modificaciones necesarias en un plazo perentorio. 3.2 Establecer si de cara al cumplimiento de la Norma 1.4.6, referida con anterioridad, se precisa de procedimientos que complementen las Políticas en lo que respecta a la generación del respaldo documental pertinente. 2 Remitido al Lic. Miguel Aguilar Zamora, Jefe de la UTI, el 19/10/09. 4

11 3.3 Realizar, por los canales pertinentes, la comunicación oficial de las Políticas debidamente aprobadas que con carácter vinculante, en adelante, deberán observar los diferentes actores del proceso del pase de desarrollo y prueba de sistemas al ambiente de producción. 3.4 Establecer los procedimientos pertinentes mediante los cuales la jefatura de la UTI, o a quien ésta designe, realizará las actividades de supervisión que garanticen el cumplimiento de las Políticas emitidas y coadyuven a mantener un enfoque de calidad con miras al mejoramiento continuo. Las recomendaciones de cita al 15 de marzo del año en curso no están aún implementadas. Al respecto, el Lic. Miguel Aguilar Zamora, Jefe de la UTI, informó que estarán implementadas al 1 de abril del presente año, según consta en su oficio DGA-UTI-0051 del 15 de marzo del año en curso de la UTI, lo cual será objeto de un estudio de seguimiento por esta Auditoría próximamente. Consecuentemente, la Norma de las Normas para la gestión y el control de las TI, abajo transcrita, objeto de evaluación como parte del estudio, se califica como parcialmente cumplida Seguridad en la implementación y mantenimiento de software e infraestructura tecnológica / La organización debe mantener la integridad de los procesos de implementación y mantenimiento de software e infraestructura tecnológica y evitar el acceso no autorizado, daño o pérdida de información. Para ello debe: a. Definir previamente los requerimientos de seguridad que deben ser considerados en la implementación y mantenimiento de software e infraestructura. b. Contar con procedimientos claramente definidos para el mantenimiento y puesta en producción del software e infraestructura. c. Mantener un acceso restringido y los controles necesarios sobre los ambientes de desarrollo, mantenimiento y producción. d. Controlar el acceso a los programas fuente y a los datos de prueba. (El subrayado no consta en el original). 5

12 En lo que respecta a la Norma 4.2, inciso f, Administración y operación de la plataforma tecnológica, transcrita en lo de interés seguidamente, su cumplimiento es satisfactorio puesto que efectivamente se cuenta con un ambiente de desarrollo y prueba separado del de producción. 4.2 Administración y operación de la plataforma tecnológica / La organización debe mantener la plataforma tecnológica en óptimas condiciones y minimizar su riesgo de fallas. Para ello debe: f. Mantener separados y controlados los ambientes de desarrollo y producción. (El destacado no consta en el original.) 2.2 SEGUNDO INFORME, No. I-AIG RELATIVO A LOS ACTIVOS QUE PERMANECEN ASIGNADOS A FUNCIONARIOS QUE HAN DEJADO DE LABORAR PARA LA INSTITUCIÓN El segundo informe remitido a la Unidad de Gestión Administrativa 3 (UGA) refiere a que el Sistema de Activos Fijos (SAF) reportó un total de 357 activos asignados funcionarios que no ostentaban tal condición pues habían dejado de laborar para la entidad en el período comprendido del 1 de enero del 2008 al 31 de enero del 2010; consecuentemente, la situación de los activos en cuestión no se conocía. Sobre el particular señaló esta Auditoría que la asignación de un bien a un funcionario no es sólo un acto de registro, sino que es inherente a ello la ejecución de la adecuada custodia del mismo, entendida ésta como la obligación que tiene, en primera instancia, la persona a la que se le asigna, de cuidarlo, protegerlo y responder por él y, en segunda instancia, la de los encargados de vigilar su ubicación y condición. Dicha condición incide de manera negativa en el cumplimiento del Artículo 26 del Reglamento para la Administración de los Bienes y Derechos de Propiedad Intelectual de la Contraloría General de la República y de la Norma Custodia de activos, de las Normas de control interno para el Sector Público y, a su vez, impacta en el mismo sentido la administración de los datos en materia de activos e incrementa el riesgo de integridad de la información registrada en el SAF, pues no deviene en confiable, oportuna y útil, atributos fundamentales de la calidad de la información. 3 Remitido al Ing. Ronald Monge Salazar, Jefe de la Unidad de Gestión Administrativa (UGA) el 19/03/10. 6

13 En razón de lo anterior, la Auditoría Interna procedió a girar a la Jefatura de la UGA las recomendaciones siguientes, que fueron por ella aceptadas y debidamente implementadas según consta en el Informe de seguimiento No. I-AIG-S-7-10 del 02 de setiembre del 2010: 3.1 Determinar, en coordinación con las Unidades que estime necesario, la cantidad de activos que según el Sistema de Activos Fijos ostentan la condición de estar asignados a personas que ya no laboran para esta Contraloría General e inspeccionar físicamente el estado actual de los mismos. 3.2 Girar las instrucciones a quien corresponda para que mediante los mecanismos que procedan y con la documentación pertinente, ejecute la reasignación de los activos a los funcionarios que actualmente son los titulares de los mismos. 3.3 Establecer en coordinación con las Unidades de Gestión del Potencial Humano y de Tecnologías de Información y cualesquier otra que estime pertinente, los mecanismos manuales o automatizados para que en adelante no se presenten situaciones similares a las abordadas en el presente documento. Si bien las situaciones disfuncionales abordadas en el informe de cita no son resorte fundamental de la UTI, el cumplimiento pleno de las recomendaciones por parte de la UGA, contribuye a lograr el cumplimiento de la Norma 4.3 Administración de los datos, de las Normas para la gestión y el control de las TI, evaluada en el estudio, por cuanto con la normalización de la situación de los activos, la información contenida en el SAF ofrece una garantía razonable respecto de la situación de los activos propiedad del Órgano Contralor. Por ende, en cuanto al SAF la Norma 4.3 transcrita de seguido se da por cumplida. 4.3 Administración de los datos / La organización debe asegurarse de que los datos que son procesados mediante TI corresponden a transacciones válidas y debidamente autorizadas, que son procesados en forma completa, exacta y oportuna, y transmitidos, almacenados y desechados en forma íntegra y segura. (El subrayado no consta en el original.) 7

14 2.3 TERCER INFORME, No. I-AIG SOBRE EL PAGO INCORRECTO DE ANUALIDADES A DOS FUNCIONARIAS En el tercer informe remitido al Gerencia de la División de Gestión de Apoyo 4 se refiere puntualmente a la evaluación de la integridad de los datos sobre el pago de anualidades en el Sistema de Pagos de Salarios. Al respecto, se determinó que los controles incorporados en las rutinas establecidas para el pago de anualidades no detectaron el conteo incorrecto de las anualidades para dos funcionarias y, producto de ello, no recibían el pago que por ese concepto les corresponde según los datos que constan en sus respectivos expedientes de personal, que mantiene la Unidad de Gestión de Potencial Humano. Con el propósito de promover el cumplimiento de la normativa que aplica al pago de salarios a saber, el Estatuto Autónomo de Servicios 5 y la Ley de Salarios y Régimen de Méritos de la Contraloría General de la República No , corregir las situaciones salariales de las funcionarias y fortalecer la estructura de control del sistema de pagos, en lo que compete a la gestión de las anualidades y con ello propiciar que la información contenida en el Sistema de pagos mantenga su integridad, cumplimiento y confiabilidad esta Auditoría Interna giró las recomendaciones siguientes: 3.1 El análisis de las anualidades de las servidoras indicadas en el aparte de Resultados del presente documento y corrección, según proceda, de su remuneración salarial. 3.2 La evaluación documentada del rubro de anualidades de los funcionarios que según la normativa aplicable les corresponde, a efecto de determinar la existencia de estados similares y proceder a su corrección según sea pertinente. 3.3 La determinación de las razones que originaron el conteo indebido de anualidades para establecer los controles necesarios que garanticen, de manera razonable, que situaciones como la abordada en el presente informe no se repitan a futuro Remitido al Gerente de la División de Gestión de Apoyo, Lic. Manuel Martínez Sequeira el 18/05/10 Publicado en la Gaceta No. 94 del 17/05/96. Publicada en La Gaceta No. 180 del 2/08/66 y actualizada el 20/03/02. 8

15 En este caso particular fue necesaria la toma de acciones por parte de tres dependencias de la Institución Unidad de Gestión de Potencial Humano, Unidad de Tecnologías de Información, Unidad de Administración Financiera, integrantes de la División de Gestión de Apoyo la cual se llevó a cabo de manera coordinada y pronta dando lugar a un cumplimiento efectivo de las recomendaciones, constatado por esta Auditoría Interna al 18 de mayo del 2010 y comunicado mediante el informe I-AIG-S Por lo tanto, en cuanto a la rutina de pago de anualidades del Sistema de Pagos, la Norma 4.3, Administración de los datos, de las Normas técnicas para la gestión y el control de las TI, evaluada en el estudio y transcrita en el punto inmediato anterior, se califica como cumplida a satisfacción. 2.4 CUARTO INFORME, No. I-AIG RELATIVO A LA IMPLANTACIÓN EFECTIVA DE ESTÁNDARES Y PROCESOS QUE PERMITAN RUTINAS DE ADMINISTRACION DE LA CALIDAD Con el cuarto informe 7 se abordó el tema de la definición e implantación efectiva de estándares y procesos que permitan rutinas de administración de la calidad durante el desarrollo de sistemas. El estudio en particular permitió determinar que la UTI como producto de las acciones acometidas para el cumplimiento de las Normas técnicas emitidas por esta Contraloría General en materia de TI y, en particular, para la gestión y aseguramiento de la calidad durante el desarrollo y evolución de las soluciones tecnológicas, formuló el documento denominado Marco General para la Gestión de la Calidad en TIC, según consta en el informe intitulado Normas Técnicas en Tecnologías de Información y Comunicaciones, Informe final, Versión Expresamente consigna ese Marco que: Generalidades /Para que el sistema opere consistentemente, se mantenga y pueda mejorarse, se deben establecer, documentar e implantar, documentos que incluyen: a. Las declaraciones documentadas de una Política y objetivos de la calidad, b. El presente Marco de Gestión de la Calidad, c. Los documentos y procedimientos requeridos por la organización para asegurar la planificación, operación y control efectivo de las actividades 7 Remitido al Jefe de la Unidad de Tecnologías de Información, Lic. Miguel Aguilar Zamora, el 23/03/11. 9

16 propias del proceso de Gestión de tecnologías de información y comunicación (El subrayado no consta en el original). No obstante lo anterior, ese Marco General no ha sido debidamente implementado y tampoco, los procedimientos o rutinas de registro formales que deben acompañar ese tipo de normativa para asentar de manera razonable su cumplimiento y propiciar su mejoramiento continuo durante el desarrollo de sistemas; aunado a ello, no se determinó su promulgación oficial, ni la fecha a partir de la cual rige. Con el objetivo de regular la situación sobre la normativa y los procedimientos de control de calidad; al efecto de coadyuvar en la mejora continua del proceso de desarrollo de sistemas y teniendo como valor agregado promover la definición e implantación efectiva de estándares y procesos que permitan rutinas de administración de la calidad, esta Auditoría recomendó a esa Jefatura lo siguiente: 3.1 Efectuar las diligencias que correspondan, según sus competencias, para la promulgación oficial y vinculante de un marco de gestión de la calidad de TIC el cual proveerá una plataforma básica para dotar de un enfoque institucional, estándar y formal de esa gestión y coadyuvará a la evolución progresiva del mismo. 3.2 Definir formalmente los procedimientos por medio de los cuales se propiciará la ejecución del marco de gestión de la calidad de TIC incluyendo las pistas documentales pertinentes que se deberán generar ya sea de tipo electrónico o manual. 3.3 Establecer los responsables que, en adelante, deberán monitorear los procedimientos, y realizar la optimización permanente del sistema de gestión de calidad en los diferentes proyectos de desarrollo. Cabe señalar que las recomendaciones de cita fueron aceptadas por la UTI y su implementación programada, lo cual se comunicó oficialmente a esta Auditoría mediante el oficio No. DGA-UTI-0076 del 6 de abril de En consecuencia, la Norma 1.2 Gestión de la calidad del as Normas técnicas ya citadas, de obligada consideración en el presente estudio, indicativa de que La organización debe generar los productos y servicios de TI de conformidad con los requerimientos de sus usuarios con base en un enfoque de eficiencia y mejoramiento continuo., se califica en proceso de cumplimiento hasta tanto sean evaluadas por esta Auditoría las acciones que efectivamente implemente la UTI con motivo de las recomendaciones a ella formuladas. 10

17 2.5 OTRAS NORMAS EVALUADAS DURANTE EL ESTUDIO. Como resultado del estudio se debe señalar que también fueron evaluadas otras Normas a efecto de determinar su implementación, según se detalla de seguido. Norma Control de acceso Sobre este particular se debe acotar que durante la revisión ejecutada sobre el esquema de seguridad definido por la UTI para las aplicaciones desarrolladas con Oracle Application Express (APEX) a partir del año 2008, se constató que el esquema empleado consta de una función de tipo lógica que se calcula dependiendo del usuario que esté intentando accesar el sistema. Este esquema utilizado para otorgar roles y privilegios a usuarios fue evaluado por esta Auditoría Interna y se determinó que el mismo brinda una seguridad razonable por lo que la Norma Control de acceso, abajo transcrita, se considera cumplida con respecta a la protección de la confidencialidad, integridad y disponibilidad de la información, contra uso, divulgación o modificaciones no autorizadas Control de acceso / La organización debe proteger la información de accesos no autorizados. Para dicho propósito debe: a. Establecer un conjunto de políticas, reglas y procedimientos relacionados con el acceso a la información, al software de base y de aplicación, a las bases de datos y a las terminales y otros recursos de comunicación. b. Clasificar los recursos de TI en forma explícita, formal y uniforme de acuerdo con términos de sensibilidad. c. Definir la propiedad, custodia y responsabilidad sobre los recursos de TI. d. Establecer procedimientos para la definición de perfiles, roles y niveles de privilegio, y para la identificación y autenticación para el acceso a la información, tanto para usuarios como para recursos de TI. e. Asignar los derechos de acceso a los usuarios de los recursos de TI, de conformidad con las políticas de la organización bajo el principio de necesidad de saber o menor privilegio. Los propietarios de la información son responsables de definir quiénes tienen acceso a la información y con qué limitaciones o restricciones. f. Implementar el uso y control de medios de autenticación (identificación de usuario, contraseñas y otros medios) que 11

18 permitan identificar y responsabilizar a quienes utilizan los recursos de TI. Ello debe acompañarse de un procedimiento que contemple la requisición, aprobación, establecimiento, suspensión y desactivación de tales medios de autenticación, así como para su revisión y actualización periódica y atención de usos irregulares. i. Establecer controles de acceso a la información impresa, visible en pantallas o almacenada en medios físicos y proteger adecuadamente dichos medios. j. Establecer los mecanismos necesarios (pistas de auditoría) que permitan un adecuado y periódico seguimiento al acceso a las TI. k. Manejar de manera restringida y controlada la información sobre la seguridad de las TI. Norma 4.3 Administración de los datos Con motivo de la evaluación de la integridad de los datos de los sistemas de Vacaciones, Suministros, Presupuesto Interno y Control de Asistencia contenidos en sus respectivas base de datos, se determinó que la información derivada de tales aplicaciones ofrece una garantía razonable que sus datos son correctos, completos y válidos de acuerdo con las especificaciones y requerimientos para los cuales fueron originados. Por lo anterior la Norma 4.3 referida a continuación se considera cumplida en lo que compete a los sistemas analizados. 4.3 Administración de los datos / La organización debe asegurarse de que los datos que son procesados mediante TI corresponden a transacciones válidas y debidamente autorizadas, que son procesados en forma completa, exacta y oportuna, y transmitidos, almacenados y desechados en forma íntegra y segura. Norma 3.2 Implementación de software, en sus incisos b, c, y d Respecto de esta norma, de alcance particularmente amplio, la evaluación realizada en punto a sus incisos b, c y d, abajo transcritos, permitió comprobar que la UTI realiza esfuerzos importantes y sostenidos que han propiciado su cumplimiento. 3.2 Implementación de software / La organización debe implementar el software que satisfaga los requerimientos de sus usuarios y soporte efectivamente sus procesos, para lo cual debe: 12

19 b. Desarrollar y aplicar un marco metodológico que guíe los procesos de implementación y considere la definición de requerimientos, los estudios de factibilidad, la elaboración de diseños, la programación y pruebas, el desarrollo de la documentación, la conversión de datos y la puesta en producción, así como también la evaluación post-implantación de la satisfacción de los requerimientos. c. Establecer los controles y asignar las funciones, responsabilidades y permisos de acceso al personal a cargo de las labores de implementación y mantenimiento de software. d. Controlar la implementación del software en el ambiente de producción y garantizar la integridad de datos y programas en los procesos de conversión y migración. Puntualmente esas acciones realizadas por la UTI mantienen una Metodología para el Desarrollo de Proyectos de Tecnologías de Información y Comunicaciones actualizada que comprende métodos y procedimientos que abonan en la calidad del desarrollo de sistemas. Sobre este particular conviene traer a colación que esta Auditoría Interna corroboró en dieciocho expedientes de los sistemas evaluados, la recopilación de los requerimientos funcionales establecidos por los usuarios tal como lo dispone la Metodología citada supra, respecto de que: Los requerimientos funcionales son las indicaciones de servicio que el sistema debe proveer en cuanto a actualización de datos, opciones de consulta, reportes a generar, interacción con otros sistemas 8 Esos requerimientos deben ser: correctos, factibles, necesarios, claros y verificables, a efecto de permitir un aseguramiento de la calidad razonable en el software desarrollado localmente. 8 Anexo 4. apartado Especificación de requerimientos, inciso a) Requerimientos funcionales. 13

20 Por otra parte, consta en las pruebas realizadas por esta esta Auditoría Interna que los funcionarios a cargo del desarrollo y mantenimiento de sistemas tienen asignados permisos específicos para crear, modificar, borrar y alterar entidades únicamente en la base de datos de desarrollo y prueba, no así en el ambiente o base de datos de producción; situación que es congruente con lo señalado en el inciso c. citado con anterioridad, lo cual además tiene un valor agregado cual es el de contribuir a la integridad en esa base de datos de producción, pues garantiza de manera razonable que los datos de producción no podrán ser modificados mediante accesos no autorizados por parte del personal antes mencionado. Asimismo, es importante acotar en cuanto al inciso d. que efectivamente en la UTI se mantienen separados los ambiente de desarrollo y producción como, ya se indicara, lo que también permite a esta Unidad tener un control efectivo sobre los sistemas que son desarrollados y posteriormente emigrados al ambiente de producción. 14

21 3 CONCLUSIÓN Con un enfoque orientado a fortalecer el cumplimiento de las Normas técnicas para la gestión y el control de las Tecnologías de Información, se giraron un total de trece recomendaciones a diferentes dependencias administrativas de la entidad, cuya respuesta a las acciones de mejoramiento promovidas se caracterizó por su positiva apertura y disposición así como por acciones implementadas o compromisos asumidos a ese fin, en aras de una estructura de control interno robusta, garante de que la información procesada y mantenida por los sistemas automatizados y su administración ofrecen una garantía razonable de que la misma responde a principios de efectividad, eficiencia, integridad y confiabilidad, entre otros. Lo anterior, deviene en aspectos claves en el escalamiento por la Administración Activa de un nivel de madurez cada vez mayor en cuanto al control y a la administración de los recursos de TI, lo cual corresponde con el valor agregado motivo de la gestión de la Auditoría Interna. Es de especial relevancia manifestar que en este Informe Final específicamente no se formulan nuevas recomendaciones, por lo tanto, su trámite no está sujeto a lo dispuesto en el artículo 36 o 37 de la Ley General de Control Interno. Sí se somete a lo dispuesto en los artículos 35 de esta Ley, 40 y 41 del Reglamento de Organización y Funcionamiento de la Auditoría Interna y la Norma 205 del Manual de Normas Generales de Auditoría para el Sector Público, en razón de lo cual media la conferencia final con esa Jefatura de previo a su remisión oficial. 15

22 4 OBSERVACIONES DE LA ADMINISTRACIÓN De conformidad con los artículos 40 y 41 del Reglamento de Organización y Funcionamiento de la Auditoría Interna, el borrador de este Informe fue remitido 9 al Lic. Miguel Aguilar Zamora, Jefe de la UTI previo a la conferencia final, con la finalidad de propiciar una mayor comprensión y análisis de su contenido y brindarle un debido soporte a los comentarios a realizar. Dicha reunión se realizó el 13 de mayo del año en curso con el Lic. Aguilar Zamora y los siguientes Licenciados Javier Brenes Arrieta, Jorge Garnier Rovira, Johnny Umaña Alfaro y Jorge León Rodríguez, Fiscalizadores de esa Unidad. En la citada reunión se discutieron ampliamente los asuntos expuestos en este informe, sin que se presentaran observaciones escritas. 9 Mediante oficio No. AIG-025 del 10/05/11. 16