Transcript
MINISTERIO DE OBRAS PÚBLICAS Y TRANSPORTES AUDITORÍA GENERAL
INFORME DE CONTROL INTERNO Nº AG-I-37-2014
ANÁLISIS DE LOS RECURSOS INFORMÁTICOS A DISPOSICIÓN DE LA DIRECCIÓN DE PLANIFICACIÓN SECTORIAL
JULIO - 2014
2523-2639 // 2222-0464 Fax:2222-8310 E-mail
[email protected] 10176-1000 San José
1.-
Ministerio de Obras Públicas y Transportes Auditoría General
Informe de Control Interno No. AG-I-37-2014
ÍNDICE
1.-
INTRODUCCIÓN .............................................................................................................................. 1
1.1.- ORIGEN DEL ESTUDIO ............................................................................................................. 1 1.2.- NORMATIVA SOBRE TRÁMITE DE INFORMES ......................................................................... 1 1.3.- OBJETIVOS ............................................................................................................................. 3 1.3.1.- OBJETIVO GENERAL ....................................................................................................... 3 1.3.2.- OBJETIVOS ESPECÍFICOS ............................................................................................... 3 1.4.- ALCANCE DEL ESTUDIO ........................................................................................................ 3 1.5.- PROCEDIMIENTOS EJECUTADOS .......................................................................................... 3 1.6.- NORMATIVA APLICABLE ....................................................................................................... 4 1.8.- RIESGO ................................................................................................................................... 5 2.-
RESULTADOS ..................................................................................................................................... 7
2.1.- GENERALIDADES DE LA DIRECCIÓN DE PLANIFICACIÓN SECTORIAL. ................................................... 7 2.2.- VERIFICAR LOS SISTEMAS INFORMÁTICOS QUE UTILIZA LA DIRECCIÓN DE PLANIFICACIÓN SECTORIAL Y LA FORMA CÓMO SE LLEVA A CABO SU ADMINISTRACIÓN. ............................................................................ 8 2.3.- VERIFICAR LA SEGURIDAD DE LOS SISTEMAS QUE UTILIZA LA DIRECCIÓN DE PLANIFICACIÓN SECTORIAL. 12 2.4.- VERIFICAR LA COORDINACIÓN QUE TIENE EL PERSONAL DE INFORMÁTICA DE LA DIRECCIÓN DE PLANIFICACIÓN CON LA DIRECCIÓN DE INFORMÁTICA. ......................................................................... 14 3.- CONCLUSIONES................................................................................................................................ 16 4.- RECOMENDACIONES ....................................................................................................................... 17 GLOSARIO ............................................................................................................................................... 19 ANEXO #1................................................................................................................................................ 20
ii.-
MINISTERIO DE OBRAS PÚBLICAS Y TRANSPORTES AUDITORÍA GENERAL INFORME DE CONTROL INTERNO N° AG-I-37-2014
ANÁLISIS DE LOS RECURSOS INFORMÁTICOS A DISPOSICIÓN DE LA DIRECCIÓN DE PLANIFICACIÓN SECTORIAL
1.-
INTRODUCCIÓN
1.1.- ORIGEN DEL ESTUDIO El estudio se realizó de conformidad con las competencias que ostenta la Auditoría General, de acuerdo con lo estipulado en el Artículo 22, incisos a) y b) de la Ley General de Control Interno. En cumplimiento del Plan de Trabajo 2014, se revisó el uso y la administración que hace la Dirección de Planificación Sectorial de los recursos informáticos. 1.2.- NORMATIVA SOBRE TRÁMITE DE INFORMES Por disposición de la Contraloría General de la República, se indica a la Administración, la obligación de cumplir con los siguientes artículos de la Ley General de Control Interno, relacionados con los informes de las auditorías internas: “Artículo 36.-Informes dirigidos a los titulares subordinados. Cuando los informes de auditoría contengan recomendaciones dirigidas a los titulares subordinados, se procederá de la siguiente manera: a) El titular subordinado, en un plazo improrrogable de diez días hábiles contados a partir de la fecha de recibido el informe, ordenará la implantación de las recomendaciones. Si discrepa de ellas, en el transcurso de dicho plazo elevará el informe de auditoría al jerarca, con copia a la auditoría interna, expondrá por escrito las razones por las cuales objeta las recomendaciones del informe y propondrá soluciones alternas para los hallazgos detectados. b) Con vista de lo anterior, el jerarca deberá resolver, en el plazo de veinte días hábiles contados a partir de la fecha de recibo de la documentación remitida por el titular subordinado; además, deberá ordenar la implantación de recomendaciones de la auditoría interna, las soluciones alternas propuestas por el titular subordinado o las de su propia iniciativa, debidamente fundamentadas. Dentro de los primeros diez días de ese lapso, el auditor interno podrá apersonarse, de oficio, ante el jerarca, para pronunciarse sobre las objeciones o soluciones alternas propuestas. Las soluciones que el
1.-
Ministerio de Obras Públicas y Transportes Auditoría General
Informe de Control Interno No. AG-I-37-2014
jerarca ordene implantar y que sean distintas de las propuestas por la auditoría interna, estarán sujetas, en lo conducente, a lo dispuesto en los artículos siguientes. c) El acto en firme será dado a conocer a la auditoría interna y al titular subordinado correspondiente, para el trámite que proceda. Artículo 37.- Informes dirigidos al jerarca. Cuando el informe de auditoría esté dirigido al jerarca, éste deberá ordenar al titular subordinado que corresponda, en un plazo improrrogable de treinta días hábiles contados a partir de la fecha de recibido el informe, la implantación de las recomendaciones. Si discrepa de tales recomendaciones, dentro del plazo indicado deberá ordenar las soluciones alternas que motivadamente disponga; todo ello tendrá que comunicarlo debidamente a la auditoría interna y al titular subordinado correspondiente. Artículo 38.- Planteamiento de conflictos ante la Contraloría General de la República. Firme la resolución del jerarca que ordene soluciones distintas de las recomendadas por la auditoría interna, ésta tendrá un plazo de quince días hábiles, contados a partir de su comunicación, para exponerle por escrito los motivos de su inconformidad con lo resuelto y para indicarle que el asunto en conflicto debe remitirse a la Contraloría General de la República, dentro de los ocho días hábiles siguientes, salvo que el jerarca se allane a las razones de inconformidad indicadas. La Contraloría General de la República dirimirá el conflicto, en última instancia, a solicitud del jerarca, de la Auditoría Interna o de ambos, en un plazo de treinta días hábiles, una vez completado el expediente que se formará al efecto. El hecho de no ejecutar injustificadamente lo resuelto en firme por el órgano contralor dará lugar a la aplicación de las sanciones previstas en el Capítulo V de la Ley Orgánica de la Contraloría General de la República, N°7428, de 7 de setiembre de 1994. Artículo 39.- Causales de responsabilidad administrativa. El jerarca y los titulares subordinados incurrirán en responsabilidad administrativa y civil, cuando corresponda, si incumplen injustificadamente los deberes asignados en esta Ley, sin perjuicio de otras causales previstas en el régimen aplicable a la respectiva relación de servicios. El jerarca, los titulares subordinados y los demás funcionarios públicos, incurrirán en responsabilidad administrativa, cuando debiliten con sus acciones el sistema de control interno u omitan las actuaciones necesarias para establecerlo, mantenerlo, perfeccionarlo y evaluarlo, según la normativa técnica aplicable. (…)”
2.-
Ministerio de Obras Públicas y Transportes Auditoría General
Informe de Control Interno No. AG-I-37-2014
1.3.- OBJETIVOS 1.3.1.- OBJETIVO GENERAL Analizar el uso y la administración que realiza la Dirección de Planificación Sectorial de los Recursos Informáticos. 1.3.2.- OBJETIVOS ESPECÍFICOS 1.3.2.1.- Verificar los Sistemas Informáticos que utiliza la Dirección de Planificación Sectorial del MOPT y la forma en que se lleva a cabo su administración. 1.3.2.2.- Verificar el funcionamiento y la seguridad de los sistemas que utiliza la Dirección de Planificación Sectorial como parte de las medidas de Control Interno que deben garantizar los aplicativos. 1.3.2.3.- Verificar la coordinación que tiene el personal de informática de la Dirección de Planificación con la Dirección Informática. 1.4.- ALCANCE DEL ESTUDIO El estudio comprende el análisis y la revisión de los Sistemas Informáticos de la Dirección de Planificación Sectorial en el periodo que va de 2012 a la fecha, así como la documentación que se brinda durante el proceso del estudio. 1.5.- PROCEDIMIENTOS EJECUTADOS El procedimiento utilizado para alcanzar los objetivos propuestos en este estudio comprende la metodología establecida en el Manual de Normas General de Auditoría para el Sector Público (Aprobado mediante Resolución del Despacho de la Contraloría General de la República, N° RCO-94-2006 del 17 de noviembre, 2006), que contempla el uso de las siguientes técnicas:
Revisión de normativa, leyes y disposiciones relacionadas. Revisión de los protocolos y lineamientos. Revisión de bitácoras, registros e informes. Entrevistas y consultas. Recolección de información. Visitas a las dependencias involucradas. Análisis de dotación de recursos.
3.-
Ministerio de Obras Públicas y Transportes Auditoría General
Informe de Control Interno No. AG-I-37-2014
1.6.- NORMATIVA APLICABLE El estudio se efectuó de conformidad con los procedimientos, políticas y lineamientos establecidos por la siguiente normativa:
Ley General de Control Interno, No. 8292. Manual de Normas de Control Interno para el Sector Público (N-2-2009-CO-DFOE). Manual de Funciones y Procedimientos del Departamento de Formación y Capacitación, actualizado en Junio 2010. Normas para el Ejercicio de la Auditoría Interna en el Sector Público (R-DC-119-2009). Normas Técnicas para la gestión y el control de las Tecnologías de Información (N-2-2007-CO-DFOE). Manual de Procedimientos de la Auditoría General. Normas Institucionales de Seguridad Informática. Sistema de Información Organizacional (SIOR). Informe de la Contraloría Nro. DFOE-IFR-IF-04-2013, del 28 de mayo de 2013.
1.7.- COMUNICACIÓN DE RESULTADOS En atención a lo señalado en la Norma N° 205 (Comunicación de Resultados) del Manual de Normas Generales de Auditoría para el Sector Público, se remitió borrador del informe en formato digital, a la Dirección de Planificación Sectorial, el día 23 de julio del año en curso, convocando para el día 30 de este mismo mes a las 10:00 a.m., para la discusión de resultados.
4.-
Ministerio de Obras Públicas y Transportes Auditoría General
Informe de Control Interno No. AG-I-37-2014
1.8.- RIESGO Nivel de Riesgo: De acuerdo con lo establecido en el Manual de Normas Generales de Auditoría para el Sector Público (M-2-2006-CO-DFOE), específicamente en el inciso c) del punto 05 de la Norma 203, para efectos de sus estudios, las Auditorías Internas deben considerar los resultados de la valoración del riesgo institucional. La herramienta desarrollada por esta Auditoría General denominada “Matriz de Riesgo” refleja un nivel medio para los controles relacionados con la actividad de estudio. El personal de informática y los sistemas de información se encuentran ubicados en el Departamento de Gestión Tecnológica y el Departamento de Medios de Transporte.
Fuente: Matriz de Riesgo de la Auditoría General.
Debido a que la naturaleza del estudio que comprende la evaluación del recurso informático de la Dirección de Planificación Sectorial tan necesario para la operativa de los procesos y el servicio que presta a la Institución, se determina que el riesgo es alto. De acuerdo con la metodología establecida, el riesgo a nivel de procesos se mide de acuerdo con su nivel de cumplimiento, el cual se establece en función de los estudios de control interno, advertencias, denuncias, cumplimiento de recomendaciones y demás estudios de carácter especial, obteniendo para este proceso un nivel de riesgo medio según la siguiente escala:
5.-
Ministerio de Obras Públicas y Transportes Auditoría General
Informe de Control Interno No. AG-I-37-2014
NIVEL DE CUMPLIMIENTO Ponderación
Rango inferior
Rango superior
Alto
0
3
Medio
4
6
Bajo
7
10
Por lo que esta Auditoría efectuó la evaluación respectiva con el propósito de emitir recomendaciones tendientes a subsanar cualquier deficiencia detectada en el Sistema y en los controles internos del procedimiento en estudio, para disminuir el riesgo.
6.-
Ministerio de Obras Públicas y Transportes Auditoría General
2.-
Informe de Control Interno No. AG-I-37-2014
RESULTADOS
Del análisis documental relacionado con los recursos informáticos de la Dirección de Planificación Sectorial, la revisión de la normativa, aplicación de entrevistas, observaciones realizadas y la verificación física de los sistemas, se determinó lo siguiente. 2.1.- Generalidades de la Dirección de Planificación Sectorial. La Dirección de Planificación Sectorial está compuesta por el Departamento de Medios de Transportes, Departamento de Gestión Tecnológica, Departamento de Planes y Proyectos y el Departamento de Financiamiento e Inversiones, tal como se ilustra en el Anexo N°1. Se cuenta con 5 funcionarios informáticos, distribuidos de la siguiente manera: CUADRO N° 1 Funcionarios informáticos de la Dirección de Planificación Sectorial por Departamento
Departamento
Puesto
Cantidad
Gestión Tecnológica
Profesional 2 en Informática
1
Medios de Transporte
Profesional 2 en Informática
1
Medios de Transporte
Profesional 1B en Informática
2
Medios de Transporte
Profesional 1A en Informática
1
Fuente: Elaboración propia a partir de información suministrada.
Entre las funciones que realizan tenemos: - Coordinación y supervisión. - Ejecución de investigaciones y proyectos informáticos. - Manejo de sistemas CDS/ISIS, GIS, TransCAD, HDM-4. - Creación de Bases de Datos y manuales o instructivos. - Capacitan usuarios para el uso de los sistemas. - Analizan las necesidades de los usuarios y los sistemas. - Realizan respaldos. - Administran Sitio Web de la Dirección de Planificación. 7.-
Ministerio de Obras Públicas y Transportes Auditoría General
Informe de Control Interno No. AG-I-37-2014
2.2.- Verificar los Sistemas Informáticos que utiliza la Dirección de Planificación Sectorial y la forma cómo se lleva a cabo su administración. La Dirección de Planificación Sectorial cuenta con sistemas informáticos automatizados, tal como se detalla en el Cuadro N° 2, que han sido implementados para agilizar la labor operativa de determinados procesos que se realizan en esa Dirección. CUADRO N° 2 Sistemas de la Dirección de Planificación Sectorial
N°
Siglas
Nombre del Sistema
Departamento
1
CDS/ISIS
Computarized Documentation System
Gestión Tecnológica
2
GIS
Sistema de Información Geográfica
Medios de Transporte
3
TransCAD
Software de Planificación de Transportes
Medios de Transporte
4
HDM-4
Highway Development and Management Tool
Medios de Transporte
Fuente: Elaboración propia a partir de información suministrada.
El Departamento de Gestión Tecnológica cuenta con el sistema CDS/ISIS (Computarized Documentation System) que permite construir y administrar bases de datos estructurales, para el almacenamiento y recuperación de información bibliográfica. Este sistema fue desarrollado por la UNESCO, la primera versión beta apareció en 1996 y la última versión oficial fue de abril de 2001, luego no hubo actualizaciones, por lo que equipo nuevo que utiliza Sistema Operativo1 de 64 bits2 está dando problemas. De momento se está trabajando en una máquina virtual hasta adquirir un software que permita 1
Programa informático que administra los recursos de hardware (componentes tangibles) de una computadora.
2
Término referido al modo en que el procesador (CPU) de un equipo administra la información. La versión de 64 bits de Windows (más reciente) permite administrar grandes cantidades de memoria de acceso aleatorio (RAM), más eficientemente que un sistema de 32 bits.
8.-
Ministerio de Obras Públicas y Transportes Auditoría General
Informe de Control Interno No. AG-I-37-2014
el manejo de gestión de Unidades de Información con funciones de: Adquisiciones, gestión de bases de datos bibliográficas, gestión de usuarios, gestión de préstamos, control de publicaciones periódicas, búsquedas de usuarios, etc. Esto debido a lo obsoleto de la plataforma3 en que fue desarrollado, por esta razón es funcional localmente y sólo mediante la utilización de la máquina virtual puede estar disponible a nivel Web. Lo que representa el riesgo en esta situación ya que dificulta el acceso a la información que maneja y la aplicación como tal va quedando en desuso, porque aunque se está utilizando una medida correctiva para consultar la información, no se está atacando de frente el problema de la incompatibilidad del sistema con las nuevas versiones de sistemas operativos. El personal de informática realiza una labor de reproceso4 de la información que es remitida a la Dirección de Planificación, proveniente de los contadores vehiculares que sirve de insumo para aplicaciones como GIS y HDM-4. El reproceso para que esta información sea traducida a lenguaje entendible por estos sistemas, consiste en utilizar herramientas informáticas como el VIZIROAD o el Sistema de Información de Tránsito que es un diseño interno que surge de la necesidad de procesar estos datos, de manera que pueda coincidir la información de todos los sistemas (recibida por los sistemas GIS y HDM-4). Lo que se ha logrado es automatizar una solución ágil para el procesamiento de la información con que se trabaja, y dado el apremio con que se han desarrollado (el Sistema de Información de Tránsito) no se ha utilizado una documentación formal como la diseñada por la Dirección de Informática donde queda registrado de manera correcta el diseño de un sistema junto con las mismas solicitudes de modificación. La parte de nuevas solicitudes se canalizan en la Dirección de varias formas como correos electrónicos, reuniones o solicitudes verbales pero esto no queda debidamente documentado mediante un formato estandarizado. El riesgo de esta situación, es que no se puede recurrir a documentos que permitan determinar el desarrollo de los sistemas así como futuras fallas en los sistemas, o desacuerdos por parte de los clientes relacionados con el(los) entregable(s) que está recibiendo, ya que no existe un respaldo adecuado, es decir no es posible realizar consultas o análisis a la documentación, porque no se tiene, lo que representa una falla de control interno. 3
Es un sistema que sirve como base para hacer funcionar determinados módulos físicos y lógicos (hardware y software) con los que es compatible. 4
La norma ISO 9000:2005 define el reproceso como una acción tomada sobre un producto para que cumpla con ciertos requisitos.
9.-
Ministerio de Obras Públicas y Transportes Auditoría General
El Departamento informáticos:
Medios
de
Informe de Control Interno No. AG-I-37-2014
Transporte
cuenta
con
tres
sistemas
1. Sistema de Información Geográfica (GIS): almacena, manipula, analiza y despliega información del globo terrestre espacialmente georeferenciada. Este sistema permite la integración de bases de datos que contengan información de inventarios de la Red Vial Nacional y Cantonal, tanto físicos como de condición de la estructura de pavimento, del señalamiento vial, de vulnerabilidad de la red en cuanto a eventos asociados al cambio climático y a accidentes de tránsito, etc. Se encuentra que el funcionario informático, encargado directo de dar mantenimiento a esta herramienta ha estado trasladando el conocimiento del sistema a otra funcionaria también informática pero según indica hace falta tiempo para este proceso, el riesgo encontrado en ante esta situación es la concentración del conocimiento generando dependencia de la administración para continuar con su labor operativa sin el aporte de estos. Tampoco fue posible establecer la contribución particularmente informática que recibe esta herramienta, ya que ni la actualización de la información que es remitida e ingresada, ni la actualización del dato cartográfico es función específica de un informático. 2. Software de Planificación de Transportes (TransCAD): plataforma de modelación de la oferta y demanda de transporte. La herramienta permite almacenar, visualizar y analizar los datos relativos al transporte, por lo que se facilita el trabajo del planificador, que interviene en las distintas etapas a partir de la creación de redes, el análisis de la oferta y la demanda, cálculo de características socio-demográficas por zonas, análisis de tiempos medios de viajes, etc., posibilitando la integración con los Sistemas de Información Geográfica que permitirán visualizar y facilitar los análisis. 3. Software para Administración y Mantenimiento de Carreteras o Highway Development and Management Tool (HDM-4): herramienta informática para evaluar alternativas de inversión de carreteras. La principal función de los modelos en HDM-4 es calcular la evolución del deterioro del pavimento, los costos del mantenimiento de una vía y los costos de usuario para un periodo de análisis específico. Es utilizado para evaluaciones económicas de proyectos de infraestructura vial y en la 10.-
Ministerio de Obras Públicas y Transportes Auditoría General
Informe de Control Interno No. AG-I-37-2014
elaboración de planes estratégicos y quinquenales de conservación de la Red Vial Nacional Pavimentada. Estas herramientas informáticas especializados, están orientadas a las labores técnicas de Planeamiento Sectorial y en la actualidad son apoyadas por el recurso informáticos de esa Dirección. El Departamento de Gestión Tecnológica también administra una página Web con información de la Dirección de Planificación Sectorial, de uso tanto interno como externo, que fue producto de una contratación previa, pero el mantenimiento quedó a cargo del funcionario informático de ese Departamento. La importancia de la tecnología de la información como herramienta de trabajo, está considerada en las Normas técnicas para la gestión y el control de las Tecnologías de la Información (N-2-2007-CO-DFOE) publicada en La Gaceta N° 119 del 21 de junio, 2007, desde la Introducción, “Las tecnologías de información (TI) constituyen uno de los principales instrumentos que apoyan la gestión de las organizaciones mediante el manejo de grandes volúmenes de datos necesarios para la toma de decisiones y la implementación de soluciones para la prestación de servicios ágiles y de gran alcance.” La misma documentación cobra relevancia como medida de control para la Institución y de apoyo al personal, encuentra sustento en las Normas de control interno para el Sector Público (N-2-2009-CO-DFOE del 26 de enero del 2009), inciso c) de la norma 1.4: “La emisión de instrucciones a fin de que las políticas, normas y procedimientos para el cumplimiento del SCI, estén debidamente documentados, oficializados y actualizados, y sean divulgados y puestos a disposición para su consulta”. Las mismas actividades de control, deben buscar los objetivos del negocio, tal como indica la norma 4.1: “El jerarca y los titulares subordinados, según sus competencias, deben diseñar, adoptar, evaluar y perfeccionar, como parte del SCI, las actividades de control pertinentes, las que comprenden las políticas, los procedimientos y los mecanismos que contribuyen a asegurar razonablemente la operación y el fortalecimiento del SCI y el logro de objetivos institucionales.” 11.-
Ministerio de Obras Públicas y Transportes Auditoría General
Informe de Control Interno No. AG-I-37-2014
Y estar disponibles para su uso, tal como establece la norma 4.2: “Las actividades de control deben documentarse mediante su incorporación en los manuales de procedimientos, en las descripciones de puestos y procesos, o en documentos de naturaleza similar. Esa documentación debe estar disponible, en forma ordenada conforme a criterios previamente establecidos, para su uso, consulta y evaluación.”
2.3.- Verificar la seguridad de los sistemas que utiliza la Dirección de Planificación Sectorial. Las Normas de control interno para el Sector Público (N-2-2009-CO-DFOE), publicado en La Gaceta N° 26 del 6 de febrero, 2009, en el Capítulo V: NORMAS SOBRE SISTEMAS DE INFORMACIÓN, se refiere en el apartado 5.1 Sistemas de información: “El jerarca y los titulares subordinados, según sus competencias, deben disponer los elementos y condiciones necesarias para que de manera organizada, uniforme, consistente y oportuna se ejecuten las actividades de obtener, procesar, generar y comunicar, en forma eficaz, eficiente y económica, y con apego al bloque de legalidad, la información de la gestión institucional y otra de interés para la consecución de los objetivos institucionales. El conjunto de esos elementos y condiciones con las características y fines indicados, se denomina sistema de información, los cuales pueden instaurarse en forma manual, automatizada, o ambas.” Debe estar custodiada de forma correcta, 5.7.4 Seguridad, “Deben instaurarse los controles que aseguren que la información que se comunica resguarde sus características propias de calidad, y sea trasladada bajo las condiciones de protección apropiadas, según su grado de sensibilidad y confidencialidad. Así también, que garanticen razonablemente su disponibilidad y acceso por parte de los distintos usuarios en la oportunidad y con la prontitud que la requieran.” 12.-
Ministerio de Obras Públicas y Transportes Auditoría General
Informe de Control Interno No. AG-I-37-2014
Los sistemas que han sido desarrollados en la Dirección (propios) o están en proceso de desarrollo, como el Sistema de Información de Tránsito o el Sistema de Inventarios Planificación Sectorial, no cuentan con bitácoras o pistas de auditoría que permitan realizar la revisión o monitoreo periódico de los datos ni el correcto establecimiento de la trazabilidad de la información, lo que representa un riesgo ya que no es posible determinar los cambios que experimenta la información en el tiempo ni los usuarios que registran estos cambios. Otra situación a tomar en cuenta es que tanto el CDS/ISIS, GIS, TransCAD, HDM-4, están almacenados en estaciones de trabajo o computadoras de trabajo y no se encuentran custodiados en un área que reúna las condiciones idóneas para este tipo de activo que garanticen razonablemente niveles de seguridad en caso de robo, desastres naturales (incendio, inundación, rayería, entre otros). El riesgo presente de esta situación es que los equipos con sistemas que son importantes tanto para la Dirección de Planificación Sectorial como para la Institución no cuentan con una infraestructura adecuada que otorgue condiciones seguras para la aplicación y para la información que custodian. Se realizan respaldos en los equipos, de la información que ingresa proveniente de los contadores vehiculares o Lanamme, que sirve a su vez como insumo para los sistemas que maneja la Dirección de Planificación Sectorial, el riesgo al respaldar la información únicamente en los mismos equipos es que en caso de algún accidente que afecte la integridad física de las computadoras, la información se puede perder o puede verse seriamente comprometida, lo que afectaría la operativa de la Dirección de Planificación.
13.-
Ministerio de Obras Públicas y Transportes Auditoría General
Informe de Control Interno No. AG-I-37-2014
2.4.- Verificar la coordinación que tiene el personal de informática de la Dirección de Planificación con la Dirección de Informática. Las Normas técnicas para la gestión y el control de las Tecnologías de Información (N-2-2007-CO-DFOE), en el Capítulo II Planificación y organización, apartado 2.4 Independencia y recurso humano de la Función de TI, habla del papel gestionador de TI. “El jerarca debe asegurar la independencia de la Función de TI respecto de las áreas usuarias y que ésta mantenga la coordinación y comunicación con las demás dependencias tanto internas y como externas.” El Informe de la Contraloría Nro. DFOE-IFR-IF-04-20135 del 28 de mayo de 2013, señala en relación con las Tecnologías de Información en el apartado 2.56 que: “La gestión de las tecnologías de información (TI) en el MOPT no se realiza de manera centralizada y coordinada” Al no existir coordinación con la Dirección de Informática, se trabaja en forma aislada tal como señala el apartado 2.59: “Sobre el particular se observó que así como se han instaurado unidades de informática que operan de manera descentralizada de la Dirección de Informática, en otras dependencias se cuenta con al menos un funcionario con especialidad en informática ejecutando las actividades de esa materia de forma independiente de la citada Dirección, y en direcciones de Planificación Sectorial; Proveeduría Institucional; Educación Vial; Puentes – Obras Públicas y Servicios Generales, existen unidades informáticas que no están oficializadas”. Pese a que el apartado 2.59 es cita textual del DFOE-IFR-IF-04-2013, se corroboró que en la Dirección de Planificación Sectorial no existe una Unidad de Informática, sino recursos informáticos que apoyan los procesos propios de la planificación estratégica que utilizan herramientas informáticas especializadas.
Título: “Informe sobre auditoría financiera realizada en el Ministerio de Obras Públicas y Transportes sobre las partidas de gastos de remuneraciones, transferencia de capital y servicios correspondientes al ejercicio económico 2012”. 5
14.-
Ministerio de Obras Públicas y Transportes Auditoría General
Informe de Control Interno No. AG-I-37-2014
Siguiendo con el Informe de la Contraloría, la situación representa un riesgo en materia de seguridad de la información y de costos, apartado 2.61: “Los hechos descritos podrían generar riesgos relacionados con la seguridad de la información, de interoperabilidad6, de incremento de costos y manejo integral de políticas y lineamientos”.
El Departamento de Gestión Tecnológica, que tiene a su cargo el sitio Web de la Dirección de Planificación, cuenta con información valiosa como: -
Estadísticas del Sector Transporte desde 1966. Mapas de la Red Vial Nacional. Documentos como manuales, informes de estudios finales, PNT, etc. Revista Electrónica Tecnológica MOPT. His-MOPT, etc.
Pero debido al cambio de plataforma de Sitio Web del MOPT, el apartado correspondiente a Planificación Sectorial quedó ubicado en lugar poco accesible, lo que dificulta a los usuarios llegar de forma fácil, es por esto que se han atendido constantes llamadas solicitando guía para poder consultar la información, que antes era más accesible. El Departamento de Gestión Tecnológica está coordinando con la Dirección de Informática la migración de esta página. Conforme a consulta realizada a la Dirección de Informática se tiene que no existe, desde el punto de vista técnico, coordinación con el personal de ocupa puestos informáticos en la Dirección de Planificación Sectorial. El riesgo que se sigue de esta situación es que no hay un control o seguimiento adecuados del mando técnico que debe tener la Dirección de Informática.
6
La interoperabilidad es la capacidad de los sistemas de información y de los procedimientos a los que éstos dan soporte, de compartir datos y posibilitar el intercambio de información y conocimiento entre ellos. Resulta necesaria para la cooperación, el desarrollo, la integración y la prestación de servicios conjuntos en el MOPT; para la transferencia de tecnología y la reutilización de aplicaciones en beneficio de una mejor eficiencia; para la cooperación entre diferentes aplicaciones que habiliten nuevos servicios; todo ello facilitando el desarrollo de la administración electrónica.
15.-
Ministerio de Obras Públicas y Transportes Auditoría General
Informe de Control Interno No. AG-I-37-2014
3.- CONCLUSIONES 3.1.- De acuerdo con la verificación de sistemas de información que se realizó en la Dirección de Planificación Sectorial, se llegó a identificar la obsolescencia de sistemas como CDS/ISIS, lo que genera problemas con las nuevas versiones de Sistemas Operativos ya que no son compatibles con el lenguaje de programación en que fue desarrollado el sistema, dificultando el acceso a la información, esto repercute negativamente en la administración de la herramienta informática. (ref. 2.2) 3.2.- En relación con la documentación, el desarrollo y el control de incidencias de los sistemas internos de la Dirección de Planificación Sectorial, no se utiliza la metodología documental establecida por la Dirección de Informática, lo que hace que la información no quede registrada y sirva como medida de control interno. (ref. 2.2) 3.3.- En el caso del Sistema de Información Geográfica (GIS), actualmente presenta una concentración de conocimiento técnico en el manejo de la herramienta y la generación de los productos correspondientes en un funcionario, lo que genera una relación de dependencia de la Administración con el funcionario. (ref. 2.3) 3.4.- Los sistemas informáticos que han sido desarrollados en la Dirección de Planificación Sectorial, no cuentan con bitácoras, pistas de auditoría o registro de información, que permitan establecer la trazabilidad de la información y determinar así los cambios o modificaciones realizadas desde su inclusión. (ref. 2.3) 3.5.- No se cuenta con las condiciones físicas adecuadas que permitan el correcto resguardo de las aplicaciones informáticas especializadas de la Dirección de Planificación Sectorial y la información que estas custodian. (ref. 2.3) 3.6.- No se determina el seguimiento y control del mando técnico que debe tener la Dirección de Informática, de los recursos informáticos de la Dirección de Planificación Sectorial. (ref. 2.4)
16.-
Ministerio de Obras Públicas y Transportes Auditoría General
Informe de Control Interno No. AG-I-37-2014
4.- RECOMENDACIONES De conformidad con los resultados y las conclusiones se emiten las siguientes recomendaciones: AL DIRECTOR DE LA DIRECCIÓN DE PLANIFICACIÓN SECTORIAL 4.1.- En coordinación con la Dirección de Informática, se debe valorar la importancia y utilidad tanto del sistema CDS/ISIS, como de la página Web de Planificación Sectorial, ambos recursos valiosos utilizados por esa Dirección, de manera que si se determina la relevancia de estos dentro de gestión de Planificación, se deben tomar las acciones respectivas para su actualización o implementación de una mejor opción, de forma que no se vean interrumpidos los servicios que se prestan al público en general (tanto interno como externo de la Institución), lo anterior en un plazo de 1 mes. (ref. 3.1) 4.2.- En coordinación con la Dirección de Informática, se debe gestionar una capacitación para el personal de informática que se encuentra en esa Dirección relacionada con la metodología documental que manejan y de esta forma estandarizar el flujo de la información que se tiene, para que queden registrados todos los cambios, desarrollos e incidencias que son atendidos, lo anterior en un plazo de 1 mes. (ref. 3.2) 4.3.- En coordinación con la Dirección de Informática, se debe valorar el aporte específicamente informático que está recibiendo el Sistema de Información Geográfica (GIS) en la actualidad, y se deben documentar en forma clara los procedimientos de trabajo realizados en esta aplicación con el fin de no crear dependencia de la Administración hacia funcionarios específicos y facilitar los procesos de generación de capacidades a los distintos profesionales usuarios a lo interno de los departamentos y/o unidades de esa dependencia, lo anterior en un plazo de 1 mes. (ref. 3.3) 4.4.- En coordinación con la Dirección de Informática se debe fortalecer el registro de la información mediante la implementación de controles en los desarrollos de los sistemas internos (en los que existen y en los nuevos), tanto de acceso como pistas de auditoría, de forma que los cambios que experimenten los datos queden debidamente registrados, lo anterior en un plazo de 1 mes. (ref. 3.4)
17.-
Ministerio de Obras Públicas y Transportes Auditoría General
Informe de Control Interno No. AG-I-37-2014
4.5.- En coordinación con la Dirección de Informática, se deben evaluar las condiciones físicas que tienen en la actualidad los equipos donde se encuentran alojadas las aplicaciones de esa Dirección. En caso que se determinen deficiencias, se deben implementar las correcciones respectivas, lo anterior en un plazo de 1 mes. (ref. 3.5) 4.6.- Se debe poner en conocimiento a la Dirección de Informática de los desarrollos de los sistemas realizados por la Dirección de Planificación Sectorial así como los resultados obtenidos. (ref. 3.6) 4.7.- Comunicar en un plazo de diez días, posteriores a la recepción del presente informe, de acuerdo con lo que establece el artículo 36 de la Ley General de Control Interno, las gestiones realizadas en atención a lo recomendado.
18.-
Ministerio de Obras Públicas y Transportes Auditoría General
Informe de Control Interno No. AG-I-37-2014
GLOSARIO Interoperabilidad. Es la capacidad de los sistemas de información y de los procedimientos a los que éstos dan soporte, de compartir datos y posibilitar el intercambio de información y conocimiento entre ellos. Plataforma. Es un sistema que sirve como base para hacer funcionar determinados módulos físicos y lógicos (hardware y software) con los que es compatible. Sistema Operativo. Programa o conjunto de programas que efectúan la gestión de los procesos básicos de un sistema informático, y permite la normal ejecución del resto de las operaciones.
19.-
Ministerio de Obras Públicas y Transportes Auditoría General
Informe de Control Interno No. AG-I-37-2014
ANEXO #1 Organigrama.
20.-