Plantilla de Oficios DGAI€¦ · Web viewMartha Cubillo Jiménez, Sub-Tesorera Nacional; Lic....

Dirección General de Auditoría Interna“Un Equipo de Trabajo comprometido con la excelencia y la integridad”

San José, 14 de diciembre de 2011INF-DGAI-031-2011

SeñorFernando Herrero AcostaMinistro de Hacienda

Asunto: Servicios de AuditoríaInforme implementación Normas de TI

Estimado señor Ministro:

Nos permitimos presentarle el informe INF-DGAI-031-2011 sobre la Revisión del avance en la implantación de las Normas técnicas para la gestión y el control de Tecnología de Información en el Ministerio de Hacienda.

En el estudio se determinaron aspectos que requieren ser revisados y fortalecidos con respecto al proceso de implantación de dichas Normas y la situación actual en el Ministerio de Hacienda sobre prácticas tecnológicas, por lo que se formulan las recomendaciones correspondientes en procura de que se adopten las mejoras respectivas en la implementación de esta normativa y por ende en la gobernabilidad de TI.

Las recomendaciones contenidas en el presente informe, están sujetas a las disposiciones del artículo 37 de la Ley N° 8292 Ley General de Control Interno y al Manual para la atención de informes de la Contraloría General de la República y de la Dirección General de Auditoría Interna en este Ministerio 1. Por lo anterior, le agradecemos comunicar a esta Dirección la decisión que se tome al respecto dentro del plazo de treinta días hábiles posterior al recibo del informe según se establece en la normativa citada, así como el plan de acción que se defina en un plazo razonable para el efectivo cumplimiento de lo recomendado.

Atentamente,

Olman Saborío AlfaroDirector General

C. Estudio 014-2011

1 Decreto Nº 34323-H, publicado en La Gaceta No. 38 del 22 de febrero del 2008


INFORME SOBRE LA REVISIÓN DEL AVANCE EN LA IMPLANTACIÓN DE LAS NORMAS DE TI

INF-DGAI-031-2011

Diciembre, 2011



TABLA DE CONTENIDO

RESUMEN EJECUTIVO.....................................................................................................................................................i

1. INTRODUCCIÓN.........................................................................................................................................................1

1.1. Origen......................................................................................................................................................................1

1.2. Objetivo...................................................................................................................................................................1

1.3. Alcance....................................................................................................................................................................1

1.4. Normativa relacionada.............................................................................................................................................1

1.5. Comunicación de resultados.....................................................................................................................................2

1.6. Aspectos generales...................................................................................................................................................2

2. RESULTADOS..............................................................................................................................................................3

2.1. Acciones iniciales sobre la implantación de las normas junio 2007-noviembre 2009..............................................3

2.2. Sobre el cambio de estrategia en la implementación de las normas..........................................................................6

2.3. Necesidad de tomar decisiones oportunas sobre la gestión de TI.............................................................................9

2.4. Otros factores relacionados con la ejecución del Plan de Transformación.............................................................102.4.1 Sobre el apoyo brindado a la ejecución del proyecto...............................................................................102.4.2. Sobre la demanda de nuevos recursos para el proceso de implantación...................................................11

3. CONCLUSIONES.......................................................................................................................................................12

4. RECOMENDACIONES.............................................................................................................................................14


INFORME SOBRE LA REVISIÓN DEL AVANCE EN LAIMPLANTACIÓN DE LAS NORMAS DE TI

RESUMEN EJECUTIVO

Este informe es el resultado del estudio sobre la revisión del avance en la implementación de las Normas técnicas para la gestión y el control de las Tecnologías de Información, en adelante Normas de TI, el cual se realizó de conformidad con el Plan de Auditoría 2011, cuyo objetivo es evaluar el avance en el cumplimiento de las actividades contenidas en el plan de acción elaborado en la institución para la implementación efectiva y controlada de las Normas técnicas para la gestión y control de las Tecnologías de Información, enviado a la Contraloría General de la República por el señor Ministro de Hacienda con oficio DM-2259-08 del 29 de setiembre de 2008.

La evaluación comprendió la revisión del avance en las actividades del Plan de Implementación para las Normas de TI del Ministerio de Hacienda, durante el periodo entre el 1 de enero de 2010 y el 30 de junio de 2011, extendiéndose cuando se consideró necesario.

En el estudio se determinaron algunos aspectos que requieren ser revisados y fortalecidos, en relación con las actividades realizadas para la implantación de las Normas de TI su grado de avance y asuntos pendientes, el cambio en la estrategia seguida, la organización para atender esta labor, así como la suscripción de contratos de consultoría para asesoría y acompañamiento del proceso.

A la fecha la estrategia propuesta comprende un plan en ejecución, denominado Plan de Transformación de la Gestión de TIC (PdT), que pretende la transformación de la gestión de TIC del Ministerio de Hacienda, el cual incluye el alineamiento con las normas de TI emitidas por la CGR, así como otros estándares y marcos de referencia de sanas prácticas mundiales. Con la ejecución de este PdT se espera que resulte la gobernabilidad apropiada de los procesos de TI y por tanto la implantación de todas las Normas de TI vigentes.

Sin embargo, a la fecha el PdT se encuentra en acciones previas a su desarrollo y de toma de decisiones, y no se visualizan avances en la hoja de seguimiento, y por lo tanto, tampoco el control al cumplimiento de las normas asociadas a las tareas del PdT.

El tiempo transcurrido y los recursos humanos y materiales invertidos desde la emisión de las Normas a partir de su vigencia el 31 de julio 2007 a la fecha de este informe cuatro años después , el Ministerio de Hacienda no ha logrado avanzar significativamente en el proceso de implantación, tener identificado las normas cumplidas y las pendientes, y lo actuado se ha referido a planes, programas, conformación de equipos de trabajo, realización de contrataciones para asesoría y acompañamiento de este proceso, diagnóstico de su condición en lo relacionado a TI, , sin embargo, aún existe un incumplimiento de la normativa emitida con la Resolución, R-CO-26-2007 y el plazo previsto a pesar de la madurez insuficiente conforme se encuentran los procesos de TI en la Institución según los análisis efectuados.

Por otra parte, la estrategia seguida hasta el momento para el desarrollo del Modelo de Gestión de TIC del Ministerio de Hacienda, plantea la probabilidad de que se requiera la suscripción de nuevos contratos y la asignación de recursos para su administración, por lo que se requiere fortalecer el control relacionado y la toma de decisiones oportunas.

En razón de lo anterior, se emiten las recomendaciones correspondientes, las cuales están sujetas a las disposiciones del artículo 37 de la Ley N° 8292 Ley General de Control Interno y al Manual para la atención de informes de la Contraloría General de la República y de la Dirección General de Auditoría Interna en este Ministerio, según Decreto Nº 34323-H, y su reforma, publicado en La Gaceta No. 38 del 22 de febrero del 2008.

INF-DGAI-031-2011 i



1. INTRODUCCIÓN

1.1. Origen

Este estudio se realizó de conformidad con el Plan de Trabajo Anual 2011, como una auditoría de cumplimiento.

1.2. Objetivo

Evaluar el avance en el cumplimiento de las actividades contenidas en el plan de acción elaborado en la Institución para la implementación efectiva y controlada de las Normas técnicas para la gestión y control de las Tecnologías de Información enviado por el señor Ministro de Hacienda a la Contraloría General de la República con oficio DM-2259-08 del 29 de setiembre de 2008.

1.3. Alcance

Comprende la revisión del avance en las actividades del Plan de Implementación para las Normas de TI del Ministerio de Hacienda, en el periodo entre el 1 de enero de 2010 y el 30 de junio de 2011, extendiéndose cuando se consideró necesario.

El desarrollo del estudio se realizó con sujeción al Manual de normas generales de auditoría para el Sector Público, R-CO-94-2006, en la medida en que las circunstancias permitieron su aplicación, y las disposiciones del Decreto N° 34573-H Reglamento de Organización y Funcionamiento de la Dirección General de la Auditoría Interna del Ministerio de Hacienda.

1.4. Normativa relacionada

A fin de prevenir efectos negativos por inobservancia de la legislación vigente, a continuación se transcriben los artículos de la Ley General de Control Interno N° 8292 (LGCI), que regulan los deberes del jerarca y titulares subordinados en materia de control y atención de informes.

“Artículo 10.—Responsabilidad por el sistema de control interno. // Serán responsabilidad del jerarca y del titular subordinado establecer, mantener, perfeccionar y evaluar el sistema de control interno institucional. Asimismo, será responsabilidad de la administración activa realizar las acciones necesarias para garantizar su efectivo funcionamiento.”

“Artículo 12. — Deberes del jerarca y de los titulares subordinados en el sistema de control interno. “…c) Analizar e implantar, de inmediato, las observaciones, recomendaciones y disposiciones formuladas por la auditoría interna, la Contraloría General de la República, la auditoría externa y las demás instituciones de control y fiscalización que corresponde…”

“Artículo 37.—Informes dirigidos al jerarca. // Cuando el informe de auditoría esté dirigido al jerarca, este deberá ordenar al titular subordinado que corresponda, en un plazo improrrogable de treinta días hábiles contados a partir de la fecha de recibido el informe, la implementación de las recomendaciones. Si discrepa de tales recomendaciones, dentro del plazo indicado deberá ordenar las soluciones alternas que motivadamente disponga; todo ello tendrá que comunicarlo debidamente a la auditoría interna y al titular subordinado correspondiente.”

INF-DGAI-031-2011 5


“Artículo 39.—Causales de responsabilidad administrativa. //El jerarca y los titulares subordinados incurrirán en responsabilidad administrativa y civil, cuando corresponda, si incumplen injustificadamente los deberes asignados en esta Ley, sin perjuicio de otras causales previstas en el régimen aplicable a la respectiva relación de servicios.//El jerarca, los titulares subordinados y los demás funcionarios públicos incurrirán en responsabilidad administrativa, cuando debiliten con sus acciones el sistema de control interno u omitan las actuaciones necesarias para establecerlo, mantenerlo, perfeccionarlo y evaluarlo, según la normativa técnica aplicable.//(…) Igualmente, cabrá responsabilidad administrativa contra los funcionarios públicos que injustificadamente incumplan los deberes y las funciones que en materia de control interno les asigne el jerarca o el titular subordinado, incluso las acciones para instaurar las recomendaciones emitidas por la auditoría interna, sin perjuicio de las responsabilidades que les puedan ser imputadas civil y penalmente…”

1.5. Comunicación de resultados

Los resultados, las conclusiones y recomendaciones que contiene este informe fueron comunicados el 13 de diciembre de 2011 al Lic. Rowland Espinosa Howell, Viceministro de Ingresos, a la Licda. Vannessa Bolaños Castro, Directora General de Informática a.i., a Licda. Graciela García Santamaría, Administradora del contrato de la consultoría sobre el Proyecto “Modelo de Gestión de TIC” y al Lic. José Pablo Salazar Vargas, Asesor del Viceministro de Ingresos. Los participantes estuvieron de acuerdo con los resultados y lo recomendado, y las observaciones realizadas, en lo procedente, fueron consideradas en este informe.

1.6. Aspectos generales

Las Normas técnicas para la gestión y el control de las Tecnologías de Información (en adelante Normas de TI), N° N-2-2007-CO-DFOE fueron promulgadas con Resolución N° R-CO-26-2007 del Despacho de la Contralora General de la República, publicada en La Gaceta N°119 del 21 de junio del 2007, y se estableció como fecha de su vigencia el 31 de julio del 2007. Estas normas son desarrolladas conforme las mejores prácticas internacionales y es de naturaleza general para que se apliquen según las particularidades de cada institución pública.

En el artículo N°1 de la Resolución citada, se establecen los criterios básicos de control que deben observarse en la gestión de esas tecnologías y tienen como propósito coadyuvar en su gestión, en virtud de que dichas tecnologías se han convertido en un instrumento esencial en la prestación de los servicios públicos, representando inversiones importantes en el presupuesto del Estado.

Estas normas de TI son de acatamiento obligatorio para la Contraloría General de la República y las instituciones y órganos sujetos a su fiscalización, y su inobservancia generará las responsabilidades que correspondan de conformidad con el marco jurídico que resulte aplicable, según se establece en el artículo N°3 de esta Resolución.

Dichas Normas de TI están estructuradas en cinco capítulos que contienen las normas relacionadas, a saber: Capítulo I: Normas de aplicación general (siete normas), Capítulo II: Planificación y organización (cinco normas), Capítulo III: Implementación de tecnologías de información (cuatro normas), Capítulo IV: Prestación de servicios y mantenimiento (seis normas), y Capítulo V: Seguimiento (tres normas).

En el artículo 6 de la Resolución se indica que “la Administración contará con dos años a partir de su entrada en vigencia para cumplir con lo regulado en esta normativa, lapso en el cual, dentro de los primeros seis meses, deberá planificar las actividades necesarias para lograr una implementación efectiva y controlada de lo establecido en dicha normativa, contemplando los siguientes aspectos: // a. La constitución de un equipo de trabajo con representación de las unidades que correspondan. // b. La designación de un responsable del

INF-DGAI-031-2011 Página 2 de 15


proceso de implementación, quien asumirá la coordinación del equipo de trabajo y deberá contar con la autoridad necesaria, dentro de sus competencias, para ejecutar el referido plan. //c. El estudio detallado de las normas técnicas referidas, con el fin de identificar las que apliquen a la entidad u órgano de conformidad con su realidad tecnológica y con base en ello establecer las prioridades respecto de su implementación. // d. Dicha planificación deberá considerar las actividades por realizar, los plazos establecidos para cada una, los respectivos responsables, los costos estimados, así como cualquier otro requerimiento asociado (tales como infraestructura, personal y recursos técnicos) y quedar debidamente documentada.”

En razón de que estas normas entraron a regir a partir del 31 de julio del 2007, los seis meses para la elaboración del plan vencieron el 31 de enero de 2008 y los dos años para cumplir con la normativa el 31 de julio de 2009. La Contraloría General ha conocido los planes de implantación desarrollados en el Ministerio de Hacienda y su respectiva calendarización que contempla plazos hasta el año 2016.

En el Ministerio de Hacienda se definió como responsable de la elaboración del Plan de Implantación al Consejo Institucional de Tecnología de Información (CITI), y a su vez el CITI nombró una Comisión Institucional de Implementación de las Normas.

2. RESULTADOS

Para efectos del presente estudio, los esfuerzos realizados por el Ministerio de Hacienda para la implantación de las Normas técnicas para la gestión y el control de las Tecnologías de Información, N° N-2-2007-CO-DFOE se presentan en dos periodos: uno desde la emisión de las Normas en el año 2007 hasta noviembre de 2009, y el segundo de diciembre de 2009 a la fecha, debido a un cambio de estrategia que se dio en diciembre de 2009, a continuación se exponen los resultados del estudio.

2.1. Acciones iniciales sobre la implantación de las normas junio 2007-noviembre 2009

Desde la emisión de las Normas de TI en junio de 2007, el Ministerio de Hacienda ha realizado una serie de actividades en procura de su implantación. En primer lugar, se definió como responsable de la elaboración del Plan de Implantación al Consejo Institucional de Tecnología de Información (CITI). Por su parte, el CITI nombró una Comisión Institucional de Implementación de las Normas, conformada por la Licda. Gabriela Espinoza Meza, Directora General de Informática; Ing. Carlos Pravia Pichardo, de la Oficina de Proyectos de la DGI; Licda. Martha Cubillo Jiménez, Sub-Tesorera Nacional; Lic. Raúl Vargas de la Dirección General de Aduanas, Licda. Julieta Abarca, por el Área de Planificación de Tributación, Licda. Celia White Ward, Unidad de Planificación Institucional del Ministerio. El objetivo era recomendar al CITI sobre la forma de implementarlas. Esta Comisión inició labores el 8 de noviembre de 2007, según Agenda de Reunión Preliminar-01-2007.

En enero de 2008 la Comisión Institucional para elaboración de la propuesta del Plan de Implementación de las NTI, entregó al CITI una Propuesta de Implementación, la cual tiene como objetivo “Proponer ante el Consejo Institucional de Tecnología de Información (CITI) las actividades a tomarse en consideración en el Plan de Implementación de las Normas Técnicas para la Gestión y el Control de las Tecnologías de Información (NTI) conforme con los plazos establecidos por la Contraloría General de República y la disponibilidad de recursos institucionales a ser asignados para este propósito”2.

La Propuesta de Implementación elaborada por la Comisión Institucional para elaboración de la propuesta del Plan de Implementación de las NTI es remitida a la Contraloría General de la República por el señor Ministro de Hacienda en ese entonces, Lic. Guillermo Zúñiga Chaves, según solicitud, mediante oficio DM-268-2008 del 4 de marzo de 2008.

2 Propuesta de Implementación, página 6.



Sobre esta planificación la Contraloría General emitió el informe DFOE-SAF-05-2008 del 30 de junio de 2008, en el cual se dispone: “a) Ordenar las acciones pertinentes para que el Consejo Institucional de Tecnología de Información (CITI) finiquite, a la brevedad posible, el Plan para la implementación de las normas técnicas para la gestión y el control de las tecnologías de información, de acuerdo a las condiciones, plazos y de más especificaciones dispuestas en el artículo seis de la Resolución R-CO-26-2007. (…) // b) Instruir, de inmediato, al CITI, para que, en un plazo máximo de tres meses, se elaboren y establezcan, formalmente, los procedimientos de control y seguimiento correspondientes, para garantizar que la implementación de las referidas normas de TI se realice de conformidad con el Plan…”. Estas disposiciones se dieron por cumplidas en el oficio N°02698 (FOE-SD-0240) del 9 de marzo de 2009, emitido por el Órgano Contralor al señor Ministro de Hacienda, Lic. Guillermo Zúñiga Chaves.

Por otra parte, en el año 2008 el Ministerio suscribe un contrato con la empresa consultora Integradores de Tecnología en Informática S.A. (TI-Solutions), amparado a la contratación directa 2007CD-005221-13800 Consultoría para la asesoría, guía y acompañamiento en el desarrollo del plan para la implementación de la normativa: Normas técnicas para la gestión y el control de las Tecnologías de Información, (N-2-2007-CO-DFOE) que fue adjudicada el 21 de diciembre de 2007. El costo de esta contratación fue de ¢9.162.178,00 (nueve millones ciento sesenta y dos mil ciento setenta y ocho colones, sin céntimos). Esta consultoría inició en marzo de 2008, y se obtuvieron como productos un diagnóstico de la situación del Ministerio de Hacienda respecto al cumplimiento de las normas a nivel institucional, y treinta planes de acción, que sirvieron de insumo para crear el documento final del Plan de Implementación.

El 17 de setiembre de 2008 fue entregado al CITI por la Licda. Gabriela Espinoza, el documento denominado PLANES DE ACCIÓN PARA LA IMPLEMENTACION DEL MANUAL DE NORMAS TÉCNICAS PARA LA GESTIÓN Y EL CONTROL DE LAS TECNOLOGÍAS DE INFORMACIÓN (N-2-2007-CO-DFOE), el cual constituye el actual Plan de Implementación. Este documento fue enviado por el Despacho del señor Ministro de Hacienda a la Contraloría General de la República con oficio DM-2259-08 del 29 de setiembre de 2008.

El Plan de Implementación aprobado por el CITI incluye los apartados de Antecedentes, Escenario institucional de las TIC, Diagnóstico del cumplimiento de las normativas, Estructura para la gestión y control del Proyecto, Costos y tiempos estimados para la implementación, Objetivos del Plan, Factores de éxito del plan de Implementación de las NTI, Beneficios esperados, Planes de Acción, e Indicadores de gestión, además de seis planes específicos (proyectos) cuya ejecución se plantea para implantar las Normas de TI, a saber:

Proyecto No1. Análisis Estratégico de la Tecnología de Información, coordinado por Vanessa Bolaños. Proyecto No 2. Establecer los Alcances de la función corporativa de tecnologías del Ministerio de

Hacienda, coordinado por Gabriela Espinoza. Proyecto No 3. Establecer lineamientos para la definición del plan de infraestructura y las prácticas de

gestión y control para la implementación de los alcances de dicho plan, coordinado por Gabriela Espinoza y Harold Salazar.

Proyecto No 4. Definir y Administrar los Niveles de Servicios y los requerimientos de los usuarios, coordinado por Carlos Pravia.

Proyecto No 5. Administración y Operación de la Plataforma Tecnológica, coordinado por Carlos Pravia.

Proyecto No 6. Gestión de riesgos, seguridad y continuidad de la TI, coordinado por Johnny Huertas.

Para la ejecución de estos proyectos se estimó un plazo de dos años y medio (de enero 2010 a junio 2012). Asimismo, para cada proyecto se tenía planeado al menos una contratación externa, para un total de diez.



Adicionalmente el plan preveía la conformación de un Equipo Técnico de Coordinación (ETC) lo cual se efectuó en el 2008 asignándose la coordinación a la Licda. Gabriela Espinoza Meza. Este grupo lo conforman además: por la Dirección General de Tributación, la Licda. Julieta Abarca y la Licda. Marielos Villalobos; por la Dirección General de Aduanas, el Lic. Roberto Acuña; por la Administración Financiera, el Lic. Ademar Guzmán; por DGI el Ing. Carlos Pravia y el Ing. Johnny Huertas; y la Licda. Celia White por la Unidad de Planificación.

El objetivo general del ETC es “Implementar el plan de acción del proyecto institucional de las MNTI”, y sus objetivos específicos son: “Generar un plan de proyecto como guía para el seguimiento y ejecución del plan de implementación. // Integrar las acciones desarrolladas por las áreas del ministerio que coadyuven al logro de los objetivos del proyecto. // Dar seguimiento y evaluar los resultados obtenidos en la ejecución del proyecto. // Establecer los lineamientos para la conformación de los Equipos de Trabajo Institucionales y Específicos. // Mantener informado al CITI sobre el avance del proyecto.// Coordinar la programación de recursos económicos y humanos para la ejecución de las actividades del proyecto. // Establecer mecanismos de seguimiento y de control para la administración de los recursos financieros.”3

Mediante contratación directa N°2008CD-003541-13800, adjudicada a la empresa Integradores de Tecnología en Informática S.A. (TI-Solutions), con un costo de ¢9.200.000.00 (nueve millones doscientos mil colones), se contrató otra consultoría denominada “Consultoría en Normas Técnicas para la Gestión y control de las Tecnologías de Información a la Dirección General de Informática y el Equipo Técnico de Coordinación”, la cual inició el 29 de febrero de 20094, con el objetivo de “Brindar guía y acompañamiento al Equipo Técnico y Coordinador (ETC) para el desarrollo de las actividades preliminares de implementación del Plan de trabajo para la Implementación de las normas relacionadas con los lineamientos establecidos por la Contraloría General de la República, en el documento Normas técnicas para la gestión y el control de las Tecnologías de Información, (N-2- 2007-CO-DFOE).”

De esta consultoría se obtuvo como productos dos informes, el primero del 22 de mayo de 2009 y el segundo del 01 de julio de 2009, que versan sobre cinco fases: Fase I “Capacitación en los alcances del plan de implantación”, Fase II. Priorización de las normas a implantar de acuerdo a los alcances del plan de implantación, Fase III “Formación de equipos de trabajo”, Fase IV “Validación de las prácticas actuales” y Fase V “Establecer los lineamientos para la definición de los términos de referencia para la contratación de servicios externos”.

En síntesis, el resultado del trabajo realizado en el Ministerio de Hacienda desde octubre de 2008 hasta julio de 2009, en conjunto con los consultores externos contratados, permitió contar con una estrategia de implementación conformada por seis proyectos y el detalle de las acciones y los recursos necesarios para la ejecución así como mejoras en lo relacionado con la concientización sobre los temas de riesgo en TI.

No obstante, lo comentado evidencia que durante el periodo de dos años estipulado por la Contraloría General de la República en el artículo 6 de la citada Resolución N° R-CO-26-2007 para cumplir con esta normativa, en el Ministerio de Hacienda solamente se realizaron actividades preparatorias, entre ellas, el plan de implementación, la conformación de equipos de trabajo, un diagnóstico de la situación de cumplimiento de las normas de TI, y actividades de guía y acompañamiento, entre otras.

En noviembre de 2009, esta Auditoría Interna emitió el informe INF-DGAI-031-2009 sobre el estudio denominado Evaluación del avance en el proceso de implementación de las Normas técnicas para la gestión y el control de las Tecnologías de Información, en el cual se recomendó a la señora Ministra de Hacienda en ese entonces, Licda. Jenny Phillips Aguilar, lo siguiente:3 Según documentos Definición de la forma de Trabajo del ETC y Plan de Trabajo del ETC4 De acuerdo con el Formulario Carta Constitutiva del Proyecto



“4.1. Fortalecer los mecanismos de seguimiento y control a nivel del Despacho, que le aseguren la implementación de las Normas Técnicas para la Gestión y el Control de las Tecnologías de Información, de conformidad con los proyectos y plazos previstos en el plan de implementación adoptado.// Lo anterior considerando la situación crítica que presenta el Ministerio de Hacienda en cuanto al cumplimiento de las Normas de Tecnología de Información, según los resultados del diagnóstico efectuado por parte de consultoría contratada, y que el plazo establecido por el órgano contralor para su cumplimiento venció el 31 de julio 2009, lo cual puede tener incidencias en el cumplimiento normativo y los objetivos institucionales. (…)// 4.2. Girar instrucciones al Consejo Institucional de Tecnología de Información (CITI), para que conforme sus competencias realice las siguientes acciones:// 4.2.1. Fortalecer los controles gerenciales necesarios para llevar un control y seguimiento adecuado sobre el avance y cumplimiento del Plan de Implementación de las Normas de TI, adoptado por el señor Ministro de Hacienda, según las actividades y fechas programadas. Esto incluye el seguimiento y control sobre la labor institucional y las contrataciones que se realicen para ese efecto, de manera que se obtengan los productos esperados de cada una de ellas en tiempo y forma, y que en conjunto se logre la implementación efectiva de las Normas de TI.// Dichos controles deberán propiciar el reporte oportuno en caso de que se presenten desviaciones en las actividades programadas, a los efectos de requerir de los responsables la información correspondiente, así como las justificaciones y recomendaciones que se estimen pertinentes para la toma de decisiones.// 4.2.2.Documentar y fundamentar adecuadamente todas las acciones y decisiones que se tomen en el proceso del Plan de Implementación de las Normas de TI conforme el plan definido, las políticas y los procedimientos institucionales que resulten aplicables en materia de tecnología de información, a efecto de que se permita el control y la rendición de cuentas sobre la implementación efectiva de esta normativa.” Estas recomendaciones fueron aceptadas por la Ministra de ese entonces mediante Acuerdo N°DM-080-2009 del 17 de diciembre del 2009. No obstante, a la fecha no se ha recibido información suficiente conforme al manual para atención de informes5 sobre acciones realizadas tendentes a controlar el proceso de implantación de esta normativa, sino solo el Plan de Acción elaborado al efecto, sin que se tengan actualizaciones de las tareas ejecutadas y pendientes, y las prioridades definidas, lo cual implica que no se pueda identificar en forma razonable, las mejoras realizadas a las condiciones presentadas en el informe de auditoría citado sobre la implementación de las normas TI.

2.2. Sobre el cambio de estrategia en la implementación de las normas

En diciembre de 2009, se tomó la decisión de variar la estrategia de implementación de las NTI, según consta en el Informe Ejecutivo N° ETC-IP-003 del 15 de diciembre de 2009 presentado por el Equipo Técnico Coordinador al CITI, en el cual se informa que “la coordinación del proyecto (…) tomó la decisión de modificar el esquema de contratación de múltiples proyectos, por la contratación integral para la implementación de un modelo por procesos, para la gestión del TIC institucional, que posibilite el cumplimiento con la normativa, un modelo de gobernabilidad de las TIC y alcanzar el nivel de madurez acordado en el plan de implementación y que permita dar sostenibilidad al proceso de mejora continua.” Este informe del ETC fue conocido y aprobado por el CITI según consta en el Acta N°26-2010 del 14 de enero de 2010.6

El cambio de estrategia, se implementó con la contratación de una consultoría con la empresa Price Waterhouse Coopers (PwC), cuyo contrato “MH-023-2010 (DGI) // Licitación Pública N°2010LN-000021-13801 “Consultoría para establecer un modelo de proceso de TIC del Ministerio de Hacienda que permita el cumplimiento del Manual de Normas Técnicas para la Gestión y el Control de las Tecnologías de Información” , fue firmado el 22 de setiembre de 2010. El objeto del contrato es “Brindar Servicios de Consultoría para la asesoría, guía y acompañamiento en la implantación de un modelo de procesos de TIC (Tecnologías de la

5 Manual para la atención de los informes de la Contraloría General de la República y la Dirección General de Auditoría Interna 6 Acuerdo N°4 del Acta N°26-2010 del 26/01/2010 del Consejo Institucional de Tecnología de Información, folios del 66 al 68.



Información y Comunicaciones) en el Ministerio de Hacienda, conforme con las mejores prácticas de la industria, a partir de un análisis de impacto de la situación actual, que permita el cumplimiento del Manual de Normas Técnicas de la Contraloría General de la República (N-2-2007-CO-DFOE) y un nivel de madurez 3 conforme al marco de referencia COBIT.”

El precio total de la contratación es de $325.000,00 (trescientos veinticinco mil dólares con 00/100) por un año. La vigencia del contrato es por un plazo de 12 meses, con posibilidad de prórroga por periodos iguales hasta completar un máximo de 48 meses. Para el desarrollo de las actividades indicadas en el cartel, el Ministerio contratará un total de 25.000 horas a consumir en un plazo de máximo de 48 meses (4 años), con un consumo mínimo estimado de 5.000 horas anuales y un mínimo mensual de 160 horas.

Según se observa en el objetivo, la contratación de esta consultoría con la empresa Price Waterhouse Coopers no pretende específicamente la implantación de las Normas sino más bien de un Modelo de proceso de TIC, conforme con las mejores prácticas, para lo cual se ha emitido el documento denominado Plan de Transformación de la Gestión de TIC (PdT).

El 30 de noviembre de 2010, la Contraloría General de la República emitió el informe DFOE-SAF-IF-11-2010 sobre el avance en la implementación de las Normas técnicas para la gestión y el control de las Tecnologías de Información (N-2-2007-CO-DFOE, concluye que: “El estudio realizado permitió determinar que el plan detallado para la implementación de la normas técnicas para la gestión y el control de las Tecnologías de Información en el Ministerio de Hacienda, comunicado a esta Contraloría General en setiembre del 2008, fue ajustado en enero del 2010 en cuanto a la estrategia de implementación, los costos previstos y los plazos. // El cambio de estrategia de implementación consiste en una nueva contratación externa orientada a la asesoría, guía y acompañamiento en la implantación de un modelo de procesos de TIC para el Ministerio con un plazo máximo de finalización al 2014. Este proceso apenas se ha iniciado recientemente, y podría tardar dos años más del plazo establecido en el plan que ese Ministerio fijó originalmente para la aplicación de la normativa en cuestión. Sin embargo no se contempla de forma expresa, un producto específico que permita contar con una valoración del cumplimiento en la implementación de las citadas normas. // Ese Ministerio, ha realizado algunas acciones de mejora en su proceso de gestión de TI, sin embargo considerando que la nueva programación de actividades para la contratación de la implementación del nuevo modelo de gestión de TI tiene un horizonte de culminación proyectado al año 2014, resulta necesario mantener lo avanzado hasta la fecha de este estudio así como realizar otras acciones relacionadas con la atención de los riesgos implícitos del proceso de gestión de las TI que se mantienen en operación hasta la fecha de culminación de la contratación que garanticen la continuidad de los productos de información y servicios de TI de forma ininterrumpida, entre varios aspectos.”

También se menciona en el citado informe que “…tanto en el formulario sobre el nivel de cumplimiento de las Normas técnicas para la gestión y el control de las Tecnologías de Información que el Ministerio de Hacienda remitió a esta Contraloría en diciembre de 2009, como en la citada verificación general efectuada por este Órgano Contralor sobre aspectos relevantes atinentes a las normas de TI, el Ministerio ha efectuado avances en el cumplimiento de algunas normas mientras que en otras hay algunos aspectos importantes pendientes de desarrollar e implementar”7.A agosto de 2011 como resultado de esta contratación, se han recibido los siguientes productos correspondientes a las etapas I y II del primer año de contratación:

Plan de Proyecto Modelo de Gestión de TIC, del 8 de diciembre de 2010. Informe de actividades de concientización, del 20 de enero de 2011. Plan de Transformación de la gestión TIC, del 20 de mayo de 2011. Resumen ejecutivo de la situación actual, del 30 de mayo de 2011.

7 Página 7 del Informe DFOE-SAF-11-2010 del 30/11/2010



Plan detallado de acompañamiento en la transformación de la gestión TIC. Adendum No.1, del 16 de junio de 2011 y Adendum N°2 del 24/08/2011

“Hoja de Seguimiento Relación acciones – NT CGR Informe ejecutivo de resultados de nivelación del conocimiento #1 del 30/08/2011, modificado el

26/09/2011. Modelo de seguimiento y control, del 03/08/2011, del 30/08/2011 Plan de Proyecto Plan Estratégico Institucional, del 29/08/2011, modificado el 08/09/2011 Cronograma del Programa de Transformación de la Gestión de TIC

Con respecto a la relación entre el Plan de Transformación de la Gestión de TIC y la implantación de las normas TI, se determinó que dicho Plan se ha conceptualizado como un “Programa” en el entendido de que puede verse como un compendio de varios planes, cuya ejecución individual pretende resultar en la transformación de la gestión de TIC del Ministerio, con la implantación intrínseca de las normas de TI emitidas por la Contraloría General de la República.

En el marco de la contratación que se encuentra en ejecución por parte de la empresa PwC, se realizó un análisis de los procesos de TIC del Ministerio de Hacienda8, tomando como marco de referencia las prácticas estándar de la industria aplicables al Ministerio, el cual incluye el cumplimiento de las Normas técnicas emitidas por la Contraloría, aunque se concentró en la valoración de la madurez acorde al modelo COBIT 4.1.

Como resultado se determinó la madurez de cada uno de los procesos de tecnología de información y comunicaciones (TIC), llegando a la conclusión de que en el Ministerio de Hacienda “…no existen procesos claramente definidos y formalizados que permitan una gestión eficiente y orientada a la mejora continua para la planificación, diseño, entrega, soporte, operación y seguimiento a los servicios de TIC” 9. Además, que “el esquema de gestión actual de las áreas informáticas del Ministerio requiere ser mejorado sustancialmente con el fin de poder responder a los requerimientos de Gobierno de TIC que establecen los marcos de referencia de sanas prácticas mundiales (tales como COBIT, ITIL, ISO, entre otros), dado que ninguno de los procesos dentro del alcance del proyecto muestra un nivel satisfactorio de madurez y por lo consiguiente, considerando la estrecha relación que existe entre dichos marcos y las Normas Técnicas de la Contraloría es necesario enfocarse en el cierre de las brechas existentes para así lograr el cumplimiento con dicha regulación.”

Asimismo, identifican los siguientes impactos negativos para la institución: “- Duplicidad de funciones, ya que al no existir métodos estandarizados la repetitividad y madurez de las prácticas de gestión de TIC no se mantienen uniformemente a través de la organización // - Aprovechamiento limitado de los recursos, ya que se dan casos de esfuerzos paralelos en diferentes áreas, debido a que no se tiene una visión general y centralizada de la orientación de las TIC// - Desalineación entre la visión estratégica del negocio y las operaciones de TIC, ya que no se cuenta con mecanismos adecuados que aseguren la gobernabilidad de las TIC10”

Se encontró que el Plan de Transformación cuenta con una herramienta para el control del avance de las acciones de transformación, desde la perspectiva del avance en el cumplimiento de dichas normas, la cual se espera que ofrezca información sobre el nivel de cumplimiento a partir de las asociaciones entre las acciones y los apartados de la norma que se presentan en la herramienta de seguimiento del PdT. No obstante, en dicha herramienta aún no se ofrece información sobre el nivel de avance en su implementación, debido a que el Plan de Transformación se encuentra en acciones previas a su desarrollo y de toma de decisiones, y no se visualizan avances en la hoja de seguimiento al PdT, y por lo tanto, tampoco en el seguimiento al cumplimiento de las normas asociadas a las tareas del PdT.

8 Página 10 Informe Resumen ejecutivo de la situación actual del 30/11/2011, de PricewaterhouseCoopers Consultores S.A.9 idem10 Página 12 del Informe Resumen ejecutivo de la situación actual del 30/11/2011, de PricewaterhouseCoopers Consultores S.A.



De lo anterior se evidencia que en el Ministerio de Hacienda la implantación de las Normas de TI no presenta avances significativos en la gobernabilidad de los procesos de TI y en el cumplimiento específico de las Normas de TI, respecto a las revisiones precedentes efectuadas por la Contraloría General de la República y la Dirección General de Auditoría Interna, y se cuenta solamente con acciones de planeación, programación y diagnóstico, a pesar de haberse realizado inversión con recursos propios y de tres contrataciones por un monto de alrededor de ¢ 183 millones para asesoría y acompañamiento de este proceso.

En la comunicación oral de resultados, el Licenciado Rowland Espinosa, Viceministro de Ingresos, comentó de algunas actividades que se vienen realizando desde agosto del 2011 en el marco de gestión de TIC, en forma paralela al proyecto de Modelo de Gestión, en función de una visión de negocio según la cual el eje principal son los ingresos, para lo cual se ha venido aprovechando la cooperación que brinda la Agencia Estatal de Administración Tributaria Española y los productos obtenidos en la consultoría en ejecución. Esto involucra la definición de nuevos cursos de acción que vienen a afectar la estrategia de implantación de las normas que se había definido y la gobernabilidad de los procesos de TI. Indica además, que en razón de este proceso se espera fortalecer la Dirección General de Informática con el nombramiento de un Sub Director y realizar una reunión del CITI en el mes de enero próximo. Agrega que este asunto se le encomendó a ese Despacho, y que ya ha tomado algunas acciones de revisión de este proceso, incluido la suspensión de algunas contrataciones relacionadas con aspectos tecnológicos.

En relación con lo indicado, si bien es cierto se considera importante las actividades que se están realizando en materia de TI por parte del Despacho del Viceministro, es necesario que estas acciones se integren al proyecto Modelo de Gestión de TIC de manera que se realice un solo esfuerzo en procura de alcanzar los objetivos planteados, incluido el nivel de madurez deseado; así como también que se fundamenten y documenten las decisiones tomatadas al respecto.

2.3. Necesidad de tomar decisiones oportunas sobre la gestión de TI

Con respecto a la situación actual de Proyecto Modelo de Gestión para las TI, se encontró que actualmente se están desarrollando actividades preliminares enmarcadas dentro de la Etapa II del Proyecto, entendido como el primer año de contratación. Estas actividades, de acuerdo con lo manifestado por la Gerente del Proyecto, Licda. Rosa Chaves Corrales, son la base para el Plan de Trabajo del año 2.

Al momento de la revisión realizada, la ejecución del contrato se encontraba al día según lo previsto en el cronograma presentado por la empresa consultora, excepto porque se encontraba pendiente la aprobación del Modelo Operativo Meta (TOM, por sus siglas en inglés Target Operative Model), el cual se refiere a las opciones sobre la estrategia de gestión de TI institucional que se desea seguir en el Ministerio y que es determinante para la definición de las actividades a ejecutar durante el resto del desarrollo del proyecto, de continuarse con la estrategia que se desarrolla actualmente.

Aunque se habían realizado gestiones por parte de la Gerente del Proyecto Modelo de Gestión de TIC, Licda. Rosa Chaves Corrales, ante la Licda. Gabriela Espinoza, en su condición de Secretaria del CITI, para presentar el Modelo Operativo Meta (TOM) en una sesión del CITI, no se ha recibido respuesta.

Esto por cuanto el Consejo Institucional de Tecnología de Información (CITI), órgano que tiene competencia para la toma de decisiones relacionadas con TIC, desde marzo de este año no sesiona 11, y por lo tanto no ha conocido los asuntos relacionados con el avance del Proyecto “Modelo de Gestión de TIC”, ni se tiene evidencia de que se hayan realizado gestiones para propiciar la toma de la decisión sobre el TOM, la cual corresponde, debido a su naturaleza estratégica, al señor Ministro o al Viceministro designado al efecto.

11 Según Libro de Actas del CITI, Acta N°38-2011 del 9 de marzo de 2011. Folio 25.



Cabe mencionar que en relación con esa competencia que se le otorga al CITI, esta Auditoría Interna en su informe INF-DGAI-033-2010 del 17 de diciembre de 2010, ante la dualidad del rol de órgano decisor o asesor por la participación del señor Ministro o su delegado en dicho Consejo, recomendó, entre otras cosas, revisar “la naturaleza, conformación, competencias y funciones del Consejo Institucional de Tecnología de Información, a la luz de la normativa vigente, las particularidades institucionales y su organización, así como las responsabilidades del Despacho en esta materia, a fin de que el señor Ministro disponga de un órgano que asesore y coadyuve en materia de TI y que le permita, entre otros, tomar las mejores decisiones en cuanto a mantener la concordancia de TI con la estrategia institucional, establecer las prioridades de los proyectos de TI, lograr un equilibrio en la asignación de recursos y la adecuada atención de los requerimientos de todas las unidades de la organización; así como para enfrentar eficazmente los importantes retos y oportunidades que el Ministerio de Hacienda tiene en esta materia”, recomendación que no ha sido implementada hasta el momento.

Por otra parte, el informe de avance presentado por la empresa consultora al 12 de octubre de 2011 12, confirma el atraso en la ejecución de algunas actividades, las cuales son necesarias para la continuidad del proyecto.

Según lo anterior, no se cuenta a la fecha, con la definición del escenario de gestión de TI institucional. El retraso en la toma de esta decisión representa un riesgo para la ejecución del proyecto, entendido como el contrato de la empresa consultora y del Plan de Transformación de la Gestión de TIC, y por ende, de la implantación de las Normas técnicas para la gestión y el control de Tecnología de Información.

Sobre este punto, en la reunión de Comunicación de Resultados, el señor Viceministro de Ingresos, Lic. Rowland Espinosa manifestó que el hecho de que el CITI no se haya reunido desde marzo de este año, se debe que existen algunos asuntos relacionados con la gestión de TIC del Ministerio, que deben ser resueltos a nivel del Despacho, en forma previa a la convocatoria para una nueva reunión del Consejo.

2.4. Otros factores relacionados con la ejecución del Plan de Transformación

2.4.1 Sobre el apoyo brindado a la ejecución del proyecto

En el Informe de Actividades de Concientización, que es uno de los productos de la contratación en ejecución se concluye sobre la participación obtenida de los funcionarios en las actividades realizadas, a saber: “No fue posible contar con la participación de funcionarios de áreas que asumen un rol importante en la gestión de TIC del Ministerio y por lo tanto no se pudo comunicar efectivamente el alcance del proyecto y el nivel de participación y colaboración esperado, así como los beneficios que el proyecto les puede representar, tal es el caso de las siguientes áreas: // Dirección Tecnológica de Información Tributaria // Unidad de Informática de Presupuesto // No se contó con la participación de la totalidad de los directores de negocio del Ministerio, de los que se espera un alto nivel de involucramiento a lo largo del proyecto para que empoderen a sus subalternos para que colaboren con las necesidades que surjan a raíz del avance del proyecto. // Por último, no fue posible disponer de la presencia de los altos mandos jerárquicos del Ministerio de Hacienda, lo cual puede afectar la imagen de prioridad y necesidad que se brinde al proyecto.” 13

El Plan de Transformación de la Gestión de TIC propone con respecto a la ubicación de la Función de Administración lo siguiente: “Con el fin de promover una gestión eficiente, canales de comunicación apropiados, líneas de reporte claras y una visión general del avance en la ejecución del PdT es recomendable que la Función de Administración del PdT se posicione fuera de cualquiera de las áreas de TIC del Ministerio y

12 Informe mensual N°12- Oct 2011. Ministerio de Hacienda: Modelo de Gestión de TIC, presentado por la empresa PwC, para el periodo 1 al 31 de octubre de 2011.13 Página 14 del “Informe de actividades de Concientización” del 20 de enero de 2011, presentado por la empresa PwC.



que preferiblemente cuente con una posición jerárquica superior a éstas. Esto con el fin de disminuir y atender cualquier tipo de resistencia cultural y de cambio organizacional que se pueda generar producto de un brazo de acción horizontal a la hora de gestionar la implementación del PdT.”14

No obstante, no se encontró evidencia de que la administración del plan citado se le haya encomendado a alguien ajeno a las áreas TIC del Ministerio, ni con una posición jerárquica superior a estas, o que se hayan realizado acciones tendentes a lograr una mayor participación de funcionarios claves en materia de TI..

En el citado PdT se menciona los riesgos identificados inherentes a las actividades por realizar, entre los cuales que citan entre otros: “- Desalineamiento entre los objetivos del Programa de Transformación y la estrategia y los PAO de las Direcciones del Ministerio.// - No disponer de los recursos (humanos, tecnológicos y financieros) necesarios oportunamente para la consecución de los objetivos del plan de remediación de brechas. // - Generar expectativas de mejora sin contar con un plan de acción formal que permita la consecución de objetivos reales y alineados a las necesidades del negocio.// - No considerar los aspectos culturales de la organización durante la implementación de los planes de acción, lo que puede repercutir en una fuerza laboral que no se integre eficazmente en la consecución de las metas del negocio.(…)// - No lograr el compromiso integral por parte del personal de todos los niveles de la organización del Ministerio.// - No gestionar oportunamente la ejecución del programa de acciones, causando retrasos y desaprovechamiento de recursos de la institución.”15

También en el PdT se emiten recomendaciones (calificadas como elementos críticos) para el desarrollo exitoso del Programa de Transformación de la Gestión de TIC del Ministerio, entre las que se incluye: “ Patrocinio efectivo. El apoyo y orientación estratégica del programa son fundamentales para desarrollar de forma completa el programa en apego a la estrategia definida. Esto requiere un patrocinio sostenido de alto nivel, que integre de manera efectiva el programa de transformación en la agenda institucional.(…)Involucramiento de negocio. El desarrollo de las acciones y de la estrategia establecida requieren una participación activa y comprometida de las unidades y procesos de negocio y no sólo de TIC…”16

De acuerdo con lo anterior, aún cuando el Modelo de Gestión de TIC es un proyecto institucional y que comprende también de forma implícita la implantación de las NTI, no ha propiciado el apoyo requerido de las demás direcciones y de los jerarcas del Ministerio para garantizar que las acciones se realizan de forma consensuada y en procura de los objetivos propuestos. Esta condición pone en riesgo la consecución del objetivo deseado, cual es mejorar la gobernabilidad y los procesos de TI en la Institución, y por ende cumplir con las Normas de TI según lo dispone la normativa vigente.

2.4.2. Sobre factores críticos del proceso de implantación

El Plan de Transformación de la gestión de TIC establece como factor crítico de éxito la planificación orientada a la ejecución y los resultados, que incluye la definición de planes de ejecución sensibles e integrados con los planes operativos, así como la asignación del personal adecuado para su administración.17 En este sentido, la ejecución del PdT exige contar, por parte del Ministerio, con una contraparte técnica, una gerencia de proyecto y un encargado de la ejecución contractual, para cada contratación, en procura de alcanzar los objetivos del Plan.

Según se mencionó en el punto anterior, la ejecución del Proyecto Modelo de Gestión de TIC, no ha obtenido apoyo necesario para su ejecución, y el modelo propuesto al involucrar la ejecución de varios proyectos enmarcados dentro del Plan de Transformación de TIC plantea la probabilidad de que se requiera la suscripción

14 Página 31 del “Plan de Transformación de la Gestión de TIC” del 20 de mayo de 2011, presentado por la empresa PwC.15 Páginas 42-43 del “Plan de Transformación de la Gestión TIC” del 20 de mayo de 2011, presentado por la empresa PwC.16 Página 44 del “Plan de Transformación de la Gestión TIC” del 20 de mayo de 2011, presentado por la empresa PwC.17 Página 45 del “Plan de Transformación de la Gestión TIC” del 20 de mayo de 2011, presentado por la empresa PwC.



de nuevos contratos, lo cual en consecuencia demandaría un mayor apoyo en la asignación de recursos para administrar y acompañar su ejecución.

El Plan de Transformación de la Gestión de TIC establece también como elementos críticos para el desarrollo exitoso del Programa de Transformación de la Gestión de TIC del Ministerio lo siguiente: “Adopción del concepto de programa. Mantener la coordinación de todos los elementos relevantes y poder asimilar y dar sostenibilidad a los resultados de las acciones depende fundamentalmente de visualizar el conjunto de acciones y sus dependencias e impactos. Una visión de “proyectos” puntuales o un enfoque limitado a los impactos “internos” en los procesos de TIC limita considerablemente el valor y la posibilidad de mantener esfuerzos de transformación o de integrar sus resultados. //(…)Control y seguimiento. La continuidad en el control y seguimiento de todo el programa son fundamentales para gestionarlo y ajustarlo oportuna y objetivamente y lograr las mejores condiciones para el Ministerio y sus unidades constituyentes. Este enfoque es la base general para mantener un esfuerzo sostenido y el involucramiento e interés de los actores clave.” 18

En relación con lo anterior, se encontró que el Gerente del Proyecto Ing. Johnny Huertas Lizano, nombrado según consta en oficio DM-4179-2010 del 17 de diciembre de 2010 y el Encargado de la Ejecución del contrato, Ing. Carlos Pravia Pichardo, fueron reemplazados en julio del 2011, según lo comunican los oficios DGI-526-2011 y DGI-527-2011, ambos del 27 de julio de 2011, sin que se evidencie las razones que fundamentan esa decisión, ni la conveniencia de este cambio conforme las actividades pendientes y la experticia de los funcionarios. Dada la importancia de los procesos de control y seguimiento en la ejecución del Proyecto Modelo de Gestión de TIC, y siendo este un factor crítico de éxito, se considera un riesgo realizar cambios de esta índole, sin que se cuente con la debida fundamentación de la decisión.

3. CONCLUSIONES

3.1. Con motivo de la promulgación de las Normas técnicas para la gestión y el control de las Tecnologías de Información, publicadas el 21 de junio de 2007 y con vigencia desde el 31 de julio de ese año, en el Ministerio de Hacienda entre el año 2007 y 2009, se realizaron una serie de actividades para su implantación. Estas incluyen la designación por parte del Despacho del señor Ministro, del Consejo Institucional de Tecnología de Información para planificar las actividades para lograr una implementación efectiva, la conformación de una Comisión y equipo técnico de implementación, la contratación de tres consultorías para guía y acompañamiento del proceso, y la elaboración de un Plan de Implementación que fue aprobado por el CITI y enviado a la Contraloría General de la República, que contiene actividades y una calendarización para el desarrollo de los planes, que se extiende hasta el año 2012. Además, como parte de la primera consultoría para el desarrollo del plan, se realizó un diagnóstico del cumplimiento de las Normas de TI, según el cual el Ministerio de Hacienda se encontraba muy por debajo de los niveles aceptables de cumplimiento.

En informe presentado por la Dirección General de Auditoría Interna a finales del año 2009 al Despacho de la señora Ministra de ese entonces se concluyó que no se había iniciado la ejecución del Plan de Implementación de las Normas TI y en consecuencia, la Institución a esa fecha no tenía implantada esa normativa conforme lo estipulado en el artículo N°6 de la Resolución R-CO-26-2007, y que establecía un plazo de dos años para su cumplimiento. En razón de lo anterior, se giraron las recomendaciones tendentes a fortalecer los mecanismos de seguimiento y control a nivel del Despacho, así como también para que el CITI mejorara los controles gerenciales y el seguimiento adecuado sobre el avance y cumplimiento del Plan de Implementación, la documentación y fundamentación adecuada de todas las acciones y decisiones que se tomen en el proceso, a fin de asegurar la implementación efectiva de dicha normativa, de conformidad con los proyectos y plazos previstos.

Estas recomendaciones fueron aceptadas mediante Acuerdo N°DM-080-2009 del 17 de diciembre del 2009 por de la señora Ministra en ese entonces Licda. Jenny Phillips, sin embargo, a la fecha solo se cuenta con el Plan de

18 Página 44 del “Plan de Transformación de la Gestión TIC” del 20 de mayo de 2011, presentado por la empresa PwC.



Acción elaborado al respecto, sin que se cuente con información sobre acciones realizadas en tal sentido, aspectos pendientes, responsables y plazos de cumplimiento.

Ver punto 2.1. de este informe

3.2. En diciembre de 2009 el Consejo Institucional de Tecnología de Información conoció y aprobó modificación de la estrategia seguida hasta ese entonces por el Ministerio de Hacienda para la implementación de las Normas Técnicas para la Gestión y el Control de Tecnología de Información, propuesto por Equipo Técnico Coordinador, que consistía en variar el esquema de contratar múltiples proyectos por una única contratación, lo cual implicaba la variación de costos y el plazo previsto para finalización al año 2014.

Este cambio de estrategia se implementó con la contratación de la empresa Price Waterhouse Coopers para brindar servicios de asesoría, guía y acompañamiento en la implementación de un modelo de gestión de TIC a partir de una análisis de impacto de la situación actual que permita el cumplimiento del manual de normas citado y un nivel de madurez 3 conforme COBIT, cuyo costo es de $325.000 por un año y la posibilidad de prórroga por periodos iguales hasta completar un máximo de cuatro años.

Como resultado de esta contratación se realizó un análisis de los procesos de TIC en la Institución y se determinó que no existen procesos claramente definidos y formalizados que permitan una gestión eficiente, que el esquema de gestión de las áreas informáticas requiere ser mejorado sustancialmente, y otros impactos negativos, además se estableció un Plan de Transformación de la Gestión de TIC, no obstante, y a pesar de que existe una herramienta para el control de avance de las acciones de transformación desde la perspectiva del cumplimiento de avance de dichas normas, aún no se dispone de información sobre el nivel de avance en su implementación en la hoja de seguimiento, debido a que este plan de transformación se encuentra en acciones previas a su desarrollo.

No obstante, se ha venido realizando otras actividades en materia de TIC, paralelas al Plan de Transformación, que sin duda impactarán la Estrategia de gestión de TIC planteada, aspecto que es importante considerar a fin de que se integren dichas actividades al proyecto Modelo de Gestión de TIC, de manera que se realice un solo esfuerzo en procura de alcanzar los objetivos planteados, incluido el nivel de madurez deseado, y el cumplimiento de la citada normativa.

Ver punto 2.2. de este informe.

3.3. El Proyecto Modelo de Gestión de TIC en su primer año de contratación se encuentra en la etapa II actividades preliminares y al día, según lo previsto en el cronograma, de acuerdo con lo informado por la Gerente del Proyecto, excepto porque se encuentra pendiente de aprobación por parte del CITI y el Despacho del señor Ministro el Modelo Operativo Meta, el cual se refiere a las opciones sobre la estrategia de gestión de TI que desee seguir el Ministerio de Hacienda y que es determinante para definir las siguientes actividades a ejecutar en el resto del proyecto. Si bien se han realizado gestiones para esta aprobación, aún no se han logrado resultados por cuanto se tiene que el CITI no sesiona desde el mes de marzo del 2011, lo cual representa un retraso en la continuación de actividades contratadas a la empresa consultora y en el Plan de Transformación de TIC y por ende en la implantación de las Normas técnicas para la gestión y el control de Tecnologías de Información.

Según lo indicado por el señor Viceministro de Ingresos, Lic. Rowland Espinosa, en la reunión de Comunicación de Resultados, dicha situación se presenta debido a que existen algunos asuntos relacionados con la gestión de TIC del Ministerio, que deben ser resueltos a nivel del Despacho antes de una nueva convocatoria de ese Consejo, acciones que se vienen efectuando aprovechando el convenio de cooperación con la Agencia Estatal de Administración Tributaria Española.



Ver punto 2.3. de este informe.

3.4. Conforme con los productos de la contratación en ejecución, se evidencia que no ha sido posible contar con todo el apoyo y la participación de algunos directores y jerarcas de áreas que tienen un rol importante en la gestión de TIC en el Ministerio de Hacienda, para informarles del alcance y los beneficios del proyecto y la participación esperada. Tampoco se tiene evidencia sobre las decisiones relacionadas con la recomendación de que la función del Plan de Transformación se posesione fuera de las áreas de TIC y con una posición jerárquica superior, así como sobre las acciones sobre una serie de riesgos inherentes identificados.

Dadas las características de este proyecto, se ha recomendado por parte de consultores disponer de una contraparte técnica, una gerencia del proyecto y un encargado de la ejecución contractual en procura de cumplir los objetivos, lo cual requiere del apoyo antes mencionado. Asimismo, se requiere continuidad en el control y seguimiento, sin embargo, personas nombradas en el año 2010 por parte del Despacho para cumplir algunas actividades relacionadas con la implementación de las normas fueron reemplazadas, sin que existan documentos y fundamentos de las razones que mediaron en dicho cambio.

Estas condiciones ponen en alto riesgo el cumplimiento de los objetivos del proyecto de transformación y por ende el cumplimiento de las Normas para la gestión y el control de Tecnología de Información, aspecto que se considera critico dado el nivel limitado de madurez que se evidencia de los análisis realizados de los procesos de TI en la Institución, en el intento por aplicar la normativa establecida al respecto durante un periodo de cuatro años, aspecto que compromete la responsabilidad de los jerarcas institucionales. Ver punto 2.4. de este informe.

4. RECOMENDACIONES

Al señor Ministro de Hacienda:

4.1. Solicitar al Consejo Institucional de Tecnología de Información un informe sobre el avance logrado en la implementación de las Normas técnicas para la gestión y el control de las Tecnologías de Información (N-2-2007-CO-DFOE) según los planes, programas y fechas previstas, así como sobre la estrategia de implementación aplicada, a efecto de proveer al Despacho del insumo necesario para la toma de decisiones sobre acciones realizadas o pendientes, la conveniencia de mantener estrategias o tomar medidas correctivas al respecto, dada la condición de incumplimiento de la Resolución R-CO-26-2007 de la Contraloría General de la República y las condiciones adversas, en que conforme los análisis efectuados, se encuentra los procesos de Tecnología de Información en el Ministerio de Hacienda. Ver puntos 3.1. y 3.2. de este informe.

4.2. Revisar la organización de equipos de trabajo que se ha utilizado para atender la implementación de las Normas técnicas para la gestión y el control de las Tecnologías de Información y de proceder, redefinir grupos de trabajo con roles específicos, funciones y responsabilidades claramente definidas, que aseguren el control y seguimiento del proceso de implantación de las normas y las mejoras en la gobernabilidad en los procesos TI en los términos y plazos previstos, así como los controles y la rendición de informes periódicos sobre el grado de avance, que permitan tomar decisiones y medidas correctivas oportunas en caso de corresponder, dado que resulta inconveniente prolongar más este proceso. Ver puntos 3.1., 3.2. y 3.3. de este informe.

4.3. Establecer los mecanismos de coordinación y comunicación requeridos para que los funcionarios del Ministerio de Hacienda conozcan el proyecto de mejora de los procesos tecnológicos y de implementación de las Normas técnicas para la gestión y el control de las Tecnologías de Información, sus alcances y beneficios esperados, y se propicie el apoyo y la participación de funcionarios de áreas que tienen un rol importante en la gestión de TIC, así como de los directores y Jerarcas del Ministerio, a efecto de que se pueda lograr la



transformación de los procesos, el cumplimiento de la normativa, y se ubique a la Institución en un grado de madurez satisfactorio conforme las mejoras prácticas en materia de TI. Ver punto 3.4. de este informe.

4.4. Revisar los costos externos incurridos en el proyecto de implementación de las Normas técnicas para la gestión y el control de tecnología de información y el logro de los objetivos de la contratación, a efecto de valorar la conveniencia de continuar con la contratación de consultores externos para lograr la asesoría y el acompañamiento en la implementación efectiva de esta normativa o el modelo de gobernabilidad de TI que se defina, o en su defecto asegurar los productos esperados y el cumplimiento de los objetivos previstos en los plazos que se establezcan. Ver puntos 3.1. y 3.2. de este informe.

Estas recomendaciones están sujetas a las disposiciones del artículo 37 de la Ley Nº 8292, Ley General de Control Interno, que establece: “Cuando el informe de auditoría esté dirigido al jerarca, este deberá ordenar al titular subordinado que corresponda, en un plazo improrrogable de treinta días hábiles contados a partir de la fecha de recibido el informe, la implantación de las recomendaciones. Si discrepa de tales recomendaciones, dentro del plazo indicado deberá ordenar las soluciones alternas que motivadamente disponga; todo ello tendrá que comunicarlo debidamente a la auditoría interna y al titular subordinado correspondiente.”

Con base en lo anterior, se le solicita respetuosamente proceder en lo que corresponda, con la aplicación de esta normativa y el Manual para la atención de informes de la Contraloría General de la República y de la Dirección General de Auditoría Interna, según Decreto Nº 34323-H del 22 de febrero de 2008, y comunicar a esta Dirección la decisión que se tome al respecto y el plan de acción para su oportuna atención, dentro del plazo de treinta días hábiles señalado.

Natalia Mora Sánchez Guillermo Badilla MartínezProfesional de Auditoría Interna 3 Coordinador Auditoría Servicios Corporativos

C. Estudio N°014-2011Archivo


Plantilla de Oficios DGAI€¦ · Web viewMartha Cubillo Jiménez, Sub-Tesorera Nacional; Lic....

Documents

Transcript of Plantilla de Oficios DGAI€¦ · Web viewMartha Cubillo Jiménez, Sub-Tesorera Nacional; Lic....