San José, xx de julio del 2010 · Web viewLas recomendaciones de este informe están sujetas a lo...

Dirección General de Auditoría Interna“Un Equipo de Trabajo comprometido con la excelencia y la integridad”

San José, 19 de diciembre de 2011INF-DGAI-034-2011

Licenciada.Marjorie Morera González, Coordinadora Comisión de Coordinación de la Administración Financiera.

ASUNTO: Informe de control interno sobre los controles, funcionalidades y servicios del Sistema INTEGRA.

Estimada Marjorie:

Nos permitimos presentarle el informe INF-DGAI-034-2011 sobre los controles, funcionalidades y servicios del Sistema INTEGRA.

En el apartado de resultados se presentan algunos aspectos de control interno presentan oportunidades de mejora, por lo que se emiten las recomendaciones correspondientes para el fortalecimiento de los controles asociados con la atención de requerimientos y el desarrolla de funcionalidades, aspectos relacionados con el procedimiento aplicado, la definición de los niveles de conocimiento y aprobación, los controles y documentación relacionados con la atención de requerimientos, entre otros.

Las recomendaciones de este informe están sujetas a lo dispuesto en el artículo 36 de la Ley Nº 8292 Ley General de Control Interno, que establece un plazo improrrogable de diez días hábiles contados a partir de la fecha de recibo del informe, para ordenar la implantación de las recomendaciones, o si discrepa de ellas elevar el informe al señor Ministro de Hacienda.

Por lo anterior, le agradecemos comunicar a esta Dirección dentro del plazo señalado la decisión que se tome al respecto, así como el plan de acción que se defina en un plazo razonable para el efectivo cumplimiento de lo recomendado.

Atentamente,

Clairé Chacón RodríguezSub Director General

CCR/OSA/gbm/jcrcc: Estudio Nº 012-2011


INFORME SOBRE CONTROLES, FUNCIONALIDADES Y SERVICIOS DEL SISTEMA INTEGRA

INF-DGAI-034-2011

Diciembre, 2011



TABLA DE CONTENIDO

RESUMEN EJECUTIVO...................................................................................................................................i

1. INTRODUCCIÓN.......................................................................................................................................1

1.1. Origen......................................................................................................................................................1

1.2. Objetivo...................................................................................................................................................1

1.3. Alcance....................................................................................................................................................1

1.4. Comunicación oral de resultados.............................................................................................................1

1.5. Normativa relacionada con control Interno.............................................................................................1

1.6. Generalidades..........................................................................................................................................2

2. RESULTADOS.............................................................................................................................................3

2.1. Necesidad de mejorar los controles para el desarrollo de funcionalidades.............................................3

2.1.1 Aspectos a mejorar en el Protocolo del Procedimiento...........................................................................4

2.1.2 Sobre los requerimientos a ser conocidos por la CCAF..........................................................................5

2.1.3 Sobre los informes de avance de los proyecto de desarrollo...................................................................5

2.1.4 Sobre el archivo de Excel para el control de productos..........................................................................6

2.1.5 Sobre el archivo documental de los desarrollos realizados.....................................................................7

2.1.6 Sobre los informes de fin de gestión.......................................................................................................8

2.2 Aspectos a mejorar en el desarrollo de funcionalidades y su uso...........................................................9

3 CONCLUSIONES......................................................................................................................................11

4 RECOMENDACIONES............................................................................................................................11



RESUMEN EJECUTIVO

Este estudio se origina en el Plan de Trabajo Anual de Auditoría del 2011 y comprende la revisión y evaluación de los controles establecidos para la atención de requerimientos y el desarrollo de las funcionalidades del sistema INTEGRA, dentro del ámbito del Ministerio de Hacienda. Asimismo, la identificación de las funcionalidades que no se utilizan o se utilizan parcialmente desde la puesta en operación del sistema.

No comprende la revisión de los controles de operación del sistema, ni el uso que se le brinda a las diferentes funcionalidades por parte del Ministerio y otros entes externos a este.

Como resultado de este estudio se determinó que, aún cuando se han establecido mecanismos de control para la atención de requerimientos, desarrollo, y puesta en producción de funcionalidades en el sistema INTEGRA, estos no son suficientes para garantizar que las actividades que se desarrollan para este fin, se encuentren debidamente controladas y documentadas, en razón de lo siguiente:

El procedimiento que viene utilizado el Comité Técnico Funcional de INTEGRA, desde el 2008 como guía para la elaboración de las actividades que realiza desde que recibe el requerimiento hasta que autoriza la puesta en producción de la aplicación no comprende todas las actividades que en la práctica se ejecutan en el proceso, como tampoco contiene elementos de forma, que podrían contribuir a asegurar razonablemente la eficiencia y eficacia a las actividades que se ejecutan para darle mantenimiento preventivo y correctivo al sistema.

Aunado a la existencia de otros aspectos susceptibles de mejora que vendrían a fortalecer el sistema de control que se tiene para el desarrollo de nuevas funcionalidades del Sistema INTEGRA, tales como la definición de criterios para determinar que requerimientos deben ser elevados a la CCAF o en su defecto pueden ser atendidos por el Comité Técnico Funcional, la generación de informes de avance y de fin de gestión, el control de productos y el archivo de documentos, aspectos que presentan oportunidades de mejora en la gestión de los proyectos y el aprovechamiento de los recursos.

Por último, el sistema INTEGRA tiene tres subsistemas en el Sistema de Recursos Humanos que no se usan o usan parcialmente por cuanto requieren que se le completen cambios funcionales. Estos son el subsistema de capacitación y el de análisis ocupacional que se utilizan parcialmente y el de dotación que no se utiliza del todo. Por otra parte, se tiene que existen tres funcionalidades que no pudieron ser puestas en el ambiente de producción, desarrolladas al amparo del contrato MH-041-2006, por no haberse podido terminar todas las actividades que comprende el proceso seguido para su puesta en producción a tiempo, tales como la ejecución de pruebas y un desarrollo paralelo.

Se realizan las recomendaciones correspondientes, según los aspectos determinados y presentados en el apartado de resultados del informe, en aras de que a la brevedad posible se tomen las medidas correctivas que proceden.

Este informe está sujeto al artículo 36 de la Ley 8292 Ley General de Control Interno, que establece un plazo improrrogable de diez días posterior al recibo del informe para ordenar la implantación de lo recomendado, y si discrepa de ellas deberá elevar el informe al Ministro, indicando las objeciones así como las soluciones alternas.

INF-DGAI-034-2011 Página i



1. INTRODUCCIÓN

1.1. Origen

El presente estudio tiene su origen en el Plan de Trabajo Anual de Auditoría del 2011.

1.2. Objetivo

Evaluar los controles establecidos para el desarrollo de funcionalidades en el Sistema INTEGRA y el uso de las funcionalidades que ese ofrece, con el fin determinar su eficacia y eficiencia en el servicio.

1.3. Alcance

El estudio comprende la revisión y evaluación de los controles establecidos para la atención de requerimientos y el desarrollo de las funcionalidades del sistema INTEGRA, dentro del ámbito del Ministerio de Hacienda. Asimismo, la identificación de las funcionalidades que no se utilizan o se utilizan parcialmente desde la puesta en operación del sistema

No comprende la revisión de los controles de operación del sistema, ni el uso que se le brinda a las diferentes funcionalidades por parte del Ministerio y otros entes externos a este.

Aún cuando para la ejecución del estudio se utilizó información relacionada con algunos requerimientos y productos desarrollados al amparo del Contrato MH-041-2006, esto no significó la revisión del cumplimiento de dicho contrato.

En el desarrollo del estudio se observaron las normas generales de auditoría para el Sector Público, en la medida en que las circunstancias permitieron su aplicación y las disposiciones del Decreto Nº 34573-H Reglamento de Organización y Funcionamiento de la Dirección General de la Auditoría Interna del Ministerio de Hacienda.

1.4. Comunicación oral de resultados

Los resultados y recomendaciones que contiene este informe fueron comunicados oralmente el 16 de diciembre del 2011, a la Licenciada Marjorie Morera González, Coordinadora de la Comisión de Coordinación de la Administración Financiera, señora Vannessa Bolaños Castro, Directora a.i. de la Dirección General de Informática, la Licenciada María Eugenia Espinoza Zamora, Coordinadora del Comité Técnico Funcional de INTEGRA, señora Isabel Ramos Corea y Gabriel Acuña Loaiciga, funcionarios de la DGI, Marlen Rodriguez Núñez funcionaria de Presupuesto Nacional y Alexandra Quirós Román designada en la CCAF, quienes en términos generales manifestaron estar de acuerdo con los resultados y las recomendaciones comunicadas. Los aspectos comentados, según correspondió fueron considerados en este informe.

1.5. Normativa relacionada con control Interno.

A fin de prevenir efectos negativos por inobservancia de la legislación vigente, se transcriben los artículos de la Ley General de Control Interno Nº 8292 (LGCI), que regulan los deberes del jerarca y titulares subordinados en cuanto al Sistema de Control Interno y la atención de informes.

INF-DGAI-034-2011 Pág. 1 de 12


“Artículo 10. Responsabilidad por el sistema de control interno. // Serán responsabilidad del jerarca y del titular subordinado establecer, mantener, perfeccionar y evaluar el sistema de control interno institucional. Asimismo, será responsabilidad de la administración activa realizar las acciones necesarias para garantizar su efectivo funcionamiento.”

“Artículo 12. Deberes del jerarca y de los titulares subordinados en el sistema de control interno . “…c) Analizar e implantar, de inmediato, las observaciones, recomendaciones y disposiciones formuladas por la auditoría interna, la Contraloría General de la República, la auditoría externa y las demás instituciones de control y fiscalización que corresponde…”

“Artículo 36.-Informes dirigidos a los titulares subordinados. Cuando los informes de auditoría contengan recomendaciones dirigidas a los titulares subordinados, se procederá de la siguiente manera: a) El titular subordinado, en un plazo improrrogable de diez días hábiles contados a partir de la fecha de recibido el informe, ordenará la implantación de las recomendaciones. Si discrepa de ellas, en el transcurso de dicho plazo elevará el informe de auditoría al jerarca, con copia a la auditoría interna, expondrá por escrito las razones por las cuales objeta las recomendaciones del informe y propondrá soluciones alternas para los hallazgos detectados .b) Con vista de lo anterior, el jerarca deberá resolver, en el plazo de veinte días hábiles contados a partir de la fecha de recibo de la documentación remitida por el titular subordinado; además, deberá ordenar la implantación de recomendaciones de la auditoría interna, las soluciones alternas propuestas por el titular subordinado o las de su propia iniciativa, debidamente fundamentadas. Dentro de los primeros diez días de ese lapso, el auditor interno podrá apersonarse, de oficio, ante el jerarca, para pronunciarse sobre las objeciones o soluciones alternas propuestas. Las soluciones que el jerarca ordene implantar y que sean distintas de las propuestas por la auditoría interna, estarán sujetas, en lo conducente, a lo dispuesto en los artículos siguientes. c) El acto en firme será dado a conocer a la auditoría interna y al titular subordinado correspondiente, para el trámite que proceda.”

“Artículo 39.-Causales de responsabilidad administrativa. El jerarca y los titulares subordinados incurrirán en responsabilidad administrativa y civil, cuando corresponda, si incumplen injustificadamente los deberes asignados en esta Ley, sin perjuicio de otras causales previstas en el régimen aplicable a la respectiva relación de servicios.[…] // Igualmente, cabrá responsabilidad administrativa contra los funcionarios públicos que injustificadamente incumplan los deberes y las funciones que en materia de control interno les asigne el jerarca o el titular subordinado, incluso las acciones para instaurar las recomendaciones emitidas por la auditoría interna, sin perjuicio de las responsabilidades que les puedan ser imputadas civil y penalmente. […]”

1.6. Generalidades

El Sistema Informático de Gestión de Recursos Humanos, Planillas y Pagos, INTEGRA, está constituido por dos grandes sistemas como son el de recursos humanos y el de pagos. A su vez estos están conformados por una serie de subsistemas que contienen los módulos que le permiten ejecutar las funcionalidades que vienen a asegurar el pago de la planilla del Gobierno y permitir al Departamento de Gestión del Potencial Humano y a las Gestorías de la Dirección Administrativa y Financiera, la gestión de información relativa a la administración de recursos humanos. Dichos sistemas contienen 13 y 5 subsistemas respectivamente, estando cada subsistema constituido por módulos, cuyo número varía entre 1 y 35.

De acuerdo con el artículo 28, inciso a), de la Ley Nº 8131, Ley de la Administración Financiera de la República y Presupuestos Públicos, el Ministerio de Hacienda es el ente Rector del Sistema de la



Administración Financiera, por lo que le compete dirigir, coordinar y supervisar los subsistemas que conforman dicho sistema.

En relación a dicha disposición el 2 de noviembre del 2004, se emitió el Decreto Ejecutivo 32170, Reglamento de Creación de la Comisión de Coordinación de la Administración Financiera y el 05 de junio del 2008 el Decreto Ejecutivo 34534-H, con la que se busca fortalecer la coordinación de aspectos estratégicos en la operación del Sistema de Administración Financiera.

Con la creación de esta Comisión de Coordinación se pretende obtener una visión técnica operativa integral del funcionamiento de los sistemas de información computarizados que involucran a dos o más direcciones de la Administración Financiera1. Para ello entre sus funciones está la de emitir políticas, lineamientos, procedimientos de operación relacionados con los sistemas de información computarizados, así como la verificación de la correcta operación funcional de dichos sistemas dentro del ámbito de su competencia, con el propósito de optimizar y mejorar los procesos de la Administración Financiera. A su vez, se le faculta para crear subcomisiones técnicas, que le permitan atender aspectos específicos de interés especial o para la definición de aspectos técnico operativos2.

Por otra parte, le permite crear un Comité Técnico Funcional por cada uno de los Sistemas de Información de la Administración Financiera, dependiendo este funcionalmente de la Comisión de Coordinación. Entre sus funciones se encuentra la de analizar los requerimientos funcionales, participar en la elaboración del plan de pruebas, realizarlas, preparar y actualizar los manuales de usuario y autorizar la aplicación en ambiente de producción, entre otras.

El Comité de Seguimiento y Control en cada uno de los Sistemas de Información de la Administración Financiera, se encargaría de verificar la congruencia entre las actualizaciones a los sistemas de información y los procedimientos establecidos por los entes rectores, proponerle a la Comisión mejoras en los procesos y procedimientos de operación, revisar la operación de los sistemas desde la óptica funcional para contribuir a su correcto funcionamiento, entre otras funciones.

La debida coordinación entre la Comisión de Coordinación de la Administración Financiera y los Comités, creados para atender lo referente al Sistema INTEGRA, permite que los mismos operen como una sola unidad funcional, en procura de favorecer la eficiencia y eficacia de las operaciones del Sistema INTEGRA, como también de los controles que se llevan de los procesos relacionados con la puesta en producción de las aplicaciones informáticas de mantenimiento o mejora que se realizan a dicho Sistema.

2. RESULTADOS

2.1. Necesidad de mejorar los controles para el desarrollo de funcionalidades

Las mejoras que se implementan en el Sistema INTEGRA, deben seguir todo un proceso que inicia con la elaboración del requerimiento por parte de los diferentes usuarios adscritos al sistema y culmina con la emisión del informe post-puesta en producción. Dicho proceso comprende una serie de actividades operacionales y de control que buscan salvaguardar los recursos que la institución invierte en el mantenimiento y mejora del sistema; así como también alcanzar los objetivos esperados con la puesta en producción de las nuevas funcionalidades.

1 Artículo 05, Decreto Ejecutivo 34534-H.2 Artículos 11 y 12, Decreto Ejecutivo 34534-H.



De la revisión de dicho proceso se encontraron una serie de actividades de control que son susceptibles de ser mejoradas, las que se detallan seguidamente.

2.1.1 Aspectos a mejorar en el Protocolo del Procedimiento

Para la atención de un requerimiento hasta la emisión del informe post-puesta en producción de la nueva funcionalidad en el ambiente de producción del Sistema INTEGRA, el Comité Técnico Funcional (en lo sucesivo CTFi), desde el 21 de mayo del 2008, viene utilizando como guía el “Protocolo del Procedimiento para la Puesta en Producción de Mejoras al Sistema INTEGRA”, el cual presenta los siguientes aspectos susceptibles de mejora:

a) No indica las actividades de control que debe ejecutar el funcionario del CTFi que recibe el requerimiento, entre otros: el debido registro en el control establecido al efecto, la asignación de un número de control, y el estado en que se encuentra el requerimiento.b) No se indica quién o quiénes del CTFi realizan la evaluación de los requerimientos funcionales o modificaciones que requiere el Sistema INTEGRA.c) No se indica que documentos deben generarse una vez realizado el análisis de los requerimientos funcionales o modificaciones que requiere el Sistema INTEGRA. d) No se indica quien dentro del CTFi, determina cuales requerimientos deben ser conocidos por la Comisión de Coordinación de la Administración Financiera y cuales debe atender el Comité Técnico Funcional directamente. e) No especifica cuáles requisitos deben cumplir los requerimientos funcionales antes de ser remitidos al jefe de Ingeniería de Sistemas de la Dirección General de Informática y/o al gerente del proyecto ya sea que los desarrollos sean realizados con recursos propios o contratados. f) No se especifica la forma ni el momento en que debe ser trasladado un requerimiento de una instancia a otra.g) No especifica la información técnica y funcional que se debe suministrar a la Comisión de Coordinación de la Administración Financiera o el Comité Técnico Funcional de INTEGRA, según corresponda, para poder autorizar la puesta en producción de una funcionalidad.

Adicionalmente, según las sanas prácticas los procedimientos deben contener los siguientes aspectos formales, que no constan en el documento de cita:

a) Del objetivo general y específico que se pretende alcanzar con el procedimientob) El alcance del procedimiento.c) Indicación de la normativa que lo sustenta.d) Su vigencia.

Entre las posibles causas que se tienen para que este procedimiento no describa en forma clara las actividades a seguir para la puesta en producción de las nuevas mejoras del Sistema INTEGRA, es que no ha sido revisado y actualizado desde el 2008, año en que se aprobó y divulgó.

Las Normas de control interno para el Sector Público, en el numeral 4.2, Requisitos de las actividades de control, inciso e) Documentación, establece: “…/ Las actividades de control deben documentarse mediante su incorporación en los manuales de procedimientos, en las descripciones de puestos y procesos, o en documentos de naturaleza similar. Esa documentación debe estar disponible, en forma ordenada conforme a criterios previamente establecidos, para su uso, consulta y evaluación.”

Los procedimientos, tienen como fin que los funcionarios que intervienen en las diferentes etapas del proceso, dispongan de un instrumento que guíe su accionar, estableciendo no sólo lo que debe hacerse, sino



también el cómo y cuándo, los controles que aplican, así como la documentación y productos que deben generarse y los roles y responsabilidades de los funcionarios que intervienen, promoviéndose además la estandarización y rendición de cuentas, sin embargo, de acuerdo con la condición determinada, dicho Protocolo en la descripción breve que contiene de las once actividades a realizar por el CTFi y dos por la CCAF, deja por fuera algunas actividades que deberían estar consideradas, y que requiere mejorarse.

Esta condición compromete la uniformidad del procedimiento seguido para la puesta en producción de un producto o grupo de productos en el tiempo y los controles que se aplican, dificulta el establecimiento de responsabilidades en caso de darse una eventual situación que atente con el logro de los objetivos de la institución y/o le venga a causar un perjuicio económico, y deja a los diferentes entes fiscalizadores internos y externos, sin los elementos necesarios que le permitan verificar que la administración actuó durante todo el proceso apegada a la normativa vigente y las sanas prácticas.

2.1.2 Sobre los requerimientos a ser conocidos por la CCAF.

De acuerdo con lo establecido en el Decreto Ejecutivo 34534-H en el inciso a) del artículo 5, a la Comisión de Coordinación de la Administración Financiera entre sus funciones le corresponde: “…aprobar y priorizar los requerimientos funcionales de los sistemas de información computarizados que sean sometidos a su conocimiento.”. No obstante, no encontramos evidencia suficiente de que esta Comisión de Coordinación haya emitido un lineamiento que contenga los criterios a considerar por el Comité Técnico Funcional de INTEGRA para determinar cuando un requerimiento debe ser elevado a esa Comisión o cuando ellos lo pueden atender.

Al respecto la Licda. María Eugenia Espinoza Zamora, Coordinadora del Comité Técnico Funcional de INTEGRA, indicó “no se cuenta con un documento que nos ayude a determinar qué requerimientos deben ser elevados a la CCAF, sin embargo los requerimientos son analizados por los miembros del CTFi quienes en razón de su representatividad y experticia actúan conforme a lo que dicta el Articulo 11, inciso a) del Decreto 34534-H.” 3

El artículo 11 mencionado establece: “Analizar los requerimientos funcionales o modificaciones necesarias de los sistemas de información, determinar la factibilidad de su implementación, asegurando la Integración de los mismos. En aquellos casos que por sus implicaciones se requiera, elevará el respectivo informe a la Comisión de Coordinación.”

Lo anterior, genera el riesgo que el CTFi atienda y permita el desarrollo de funcionalidades, que por su naturaleza o importancia, debían ser conocidas y aprobadas por la Comisión de Coordinación de la Administración Financiera. Lo anterior, con la consecuente pérdida en los niveles de eficiencia y eficacia en el uso de las nuevas funcionalidades, el incremento de los costos de desarrollo, y por ende que los recursos invertidos por la Institución en los sistemas informáticos, no estén siendo debidamente salvaguardados.

2.1.3 Sobre los informes de avance de los proyecto de desarrollo.

Durante la ejecución de los diferentes proyectos de desarrollo de nuevas funcionalidades que requiere el Sistema INTEGRA, se genera información gerencial relacionada con el grado de avance de cada uno de los requerimientos, así como los recursos invertidos y/o las horas invertidas en cada uno de ellos, ya sea que se estén desarrollando con recursos propios o contratados, así como cualquier atraso o situación que se dé que

3 Oficio Nº CTFi -065-2011 del 11 de octubre del 2011.



ponga en riesgo la puesta en producción de uno o un grupo de funcionalidades, de acuerdo con la planificación que se tiene para su implementación.

Al respecto en la revisión realizada se evidenció la ausencia de lineamientos por parte de la CCAF tendentes a regular la información que deben contener dichos informes y la oportunidad en su presentación, con el fin de que estos le permitan conocer la situación existente en cada proyecto y la toma de decisiones que corresponda, conforme con los riesgos identificados.

Esta condición se observa en los informes emitidos en el periodo, del 01 de abril al 19 de julio del 2011, por parte de la Gerencia del Proyecto del contrato MH 041-2006 Contrato de Mantenimiento del Sistema Integra 2006, en los cuales se determinaron algunos aspectos de control que son susceptibles de ser mejorados en procura de una mayor transparencia en el proceso de rendición de cuentas, aspectos que se detallan seguidamente:

No se informa sobre la existencia de riesgos que puedan atentar contra la consecución de los objetivos del proyecto, como la cantidad de horas dedicadas al proyecto por mes, la devolución de requerimientos por problemas en su definición, o atrasos en el desarrollo por posibles cambios en la normativa, entre otros.

Cuantos días después de finalizado el mes tiene el Jefe de Ingeniería de Sistemas ó el Gerente del Proyecto, para presentar informe de avance. Lo anterior pudo ser la razón que se determinara informes que fueron conocidos por la Comisión de Coordinación tres meses después, con lo cual se pierde oportunidad en la toma de decisiones o medidas correctivas.

Adicionalmente de acuerdo con las sanas prácticas de control interno se encontraron los siguientes aspectos que son susceptibles de ser mejoradas en dichos informes de avance:

No indican el nombre de la persona que confecciona el informe. No indican la fecha en que este fue elaborado No consta la fecha en que el informe fue recibido por la CCAF. Pese a contar cada informe con seis hojas, la última no está numerada.

En relación con lo indicado, la norma 1.5 Gestión de proyectos de las Normas Técnicas para la Gestión y el Control de las Tecnologías de Información, establece: “La organización debe administrar sus proyectos de TI de manera que logre sus objetivos, satisfaga los requerimientos y cumpla con los términos de calidad, tiempo y presupuesto óptimos preestablecidos.”La falta de lineamientos sobre el contenido y oportunidad de los informes de avance relacionados con la elaboración de funcionalidades en los diferentes proyectos de mejora del Sistema INTEGRA, genera el riesgo que la Administración no esté siendo informada oportunamente del estado en que estos se encuentran; así como de otras situaciones que los pueden afectar a futuro, en detrimento de los objetivos que se pretendían alcanzar con dichas mejoras funcionales en la prestación del servicio. Por otra parte, los aspectos de forma del informe señalados generan el riesgo que en caso de darse una eventualidad las autoridades superiores no tengan la posibilidad de generar las medidas correctivas pertinentes de forma oportuna y por otra no se tengan todos los elementos necesarios para establecer las responsabilidades del caso en caso de corresponder.

2.1.4 Sobre el archivo de Excel para el control de productos



Para el control del desarrollo de los requerimientos funcionales o modificaciones que requiere el Sistema INTEGRA y su posterior puesta en producción, el CTFi cuenta además de los controles incorporados en el Protocolo citado en el apartado 2.1.1, con un archivo de Excel denominado “Control productos”, con el que busca tener en un solo lugar información general de los diferentes desarrollos culminados y puestos en el ambiente de producción del Sistema INTEGRA.

Dicho archivo permite dar seguimiento a todas aquellas mejoras que se desarrollan, sea con personal del Ministerio o por medio de contratación externa, no obstante, de la revisión efectuada se determinó que este instrumento es importante para brindar seguimiento y control actualizado sobre las mejoras, por lo que se podría fortalecer su uso en razón de lo siguiente.

En 14 productos diferentes contemplados en el archivo citado se determinó que el campo denominado como “condición de prueba” estaba en blanco.

En 18 productos diferentes contemplados en el archivo se determino que el campo denominado como “condición en el sistema” estaba en blanco.

En 03 productos diferentes contemplados en el archivo se determino que tanto el campo referente a la “condición de prueba” y el campo denominado “condición en el sistema”, estaban en blanco.

Al respecto el punto 5.6.1 al referirse a la confiabilidad como un atributo de la calidad de la información de las Normas de control interno para el Sector Público establece que “La información debe poseer las cualidades necesarias que la acrediten como confiable, de modo que se encuentre libre de errores, defectos, omisiones y modificaciones no autorizadas, y sea emitida por la instancia competente.”

Lo anterior genera el riesgo que la información contenida en dicho archivo electrónico no le permita al Comité Técnico Funcional de INTEGRA evacuar de forma ágil las consultas que le podrían estar realizando en cualquier momento sobre alguno de los productos puestos en producción, o en su defecto generar los informes correspondientes. Asimismo tiene la limitante que al tener omisiones de información no permite que se puedan hacer un análisis completo de la información contenida en el archivo.

2.1.5 Sobre el archivo documental de los desarrollos realizados.

El archivo documental que lleva el CTFi sobre los productos puestos en producción puede ser mejorado, ya que sólo contiene información sobre los productos recibidos, los oficios de solicitud y autorización de la puesta en producción, no así de aquella información previa relacionada con el análisis efectuado de los requerimientos sometidos a su consideración.

La condición citada podría ser el motivo por el cual se presentan problemas en la documentación, tal como se desprende del análisis documental de 29 requerimientos de un total de 91, contenidos en el archivo electrónico denominado “control de productos”, que lleva el CTFi, en que no se hace mención a los siguientes documentos:

a) El Formulario del requerimiento inicial, por lo que no se pudo verificar que cada requerimiento contuviera el nombre y firma del solicitante, que dicha persona estuviera facultada para presentarlo, el detalle y la justificación de la necesidad de dicho desarrollo y las repercusiones que podría conllevar su no desarrollo. Asimismo, la fecha en que fue recibido por la Comité Técnico Funcional de INTEGRA.

b) El documento donde consta el análisis realizado por el Comité Técnico Funcional de INTEGRA del requerimiento planteado, por lo que no se pudo verificar si se habían documentado los aspectos técnicos



y funcionales tomados en cuenta que permitan determinar en este estudio la pre-factibilidad de desarrollar este requerimiento, ya sea con recursos propios o contratados. c) El documento con que el Comité Técnico Funcional de INTEGRA y/o la Comisión de Coordinación de la Administración Financiera le envió el requerimiento al Gerente del Proyecto de Mantenimiento del Sistema INTEGRA 2006 para que fuera pasado a desarrollo. Por lo que no se pudo verificar si efectivamente el requerimiento tenía el aval del ente rector.

d) El estudio post puesta en producción de cada desarrollo, por lo que no se pudo verificar que las aplicaciones que se pusieron en producción en atención a un requerimiento o grupo de requerimientos no presentaba problemas funcionales o técnicos que impidieran su uso por parte de los funcionarios de las diferentes instituciones del Gobierno Central.

Lo anterior genera el riesgo de que no se disponga de información suficiente y oportuna sobre los requerimientos recibidos, cuando así sea requerido por las autoridades superiores y/o los diferentes interesados en el funcionamiento del Sistema.

También se presenta el riesgo que dichas fuentes de información no permitan ubicar toda la información atinente a la puesta en producción de una funcionalidad en el Sistema INTEGRA o cualquier otro evento relacionado. Asimismo, el archivo de control no permite generar información estadística para determinar de forma preventiva posibles puntos críticos del proceso que requieren ser atendidos con el fin de mejorar la gestión realizada para la puesta en producción de las nuevas aplicaciones, como también tener elementos para poder gestionar nuevos recursos en equipo y recurso humano que sean necesarios para el logro de los objetivos establecidos.

Sobre el particular, la norma 5.5 referente al archivo institucional de las Normas de control interno para el sector público, establece que “El jerarca y los titulares subordinados, según sus competencias, deben implantar, comunicar, vigilar la aplicación y perfeccionar políticas y procedimientos de archivo apropiados para la preservación de los documentos e información que la institución deba conservar en virtud de su utilidad o por requerimiento técnico o jurídico. ”

2.1.6 Sobre los informes de fin de gestión

No se tiene un mecanismo para la rendición de cuentas cuando por una u otra razón el coordinador de uno de los Comités adscritos a la CCAF o el de esta última, deja ese cargo. Al respecto Irene Espinoza Alvarado, Secretaria de la CCAF, consultada sobre este aspecto señaló que no se cuenta con un mecanismo interno para la rendición de cuentas, agregando: “… pero atendiendo los criterios generales se ha solicitado un informe final”.4 Sin embargo, cuando se quiso verificar estos informes solo se nos mostraron los informes bimensuales y semestrales que le hacen llegar estos Comités.5 Indicándonos posteriormente por otro funcionario por correo electrónico que “ sobre el informe final, son los informes de gestión que se les pide a los coordinadores de los comités en forma bimensual y semestral.”

Al respecto, en procura de asegurar la continuidad y el resguardo de las experiencias acumuladas por los funcionarios que tienen a cargo alguna coordinación, se considera como una sana práctica que dichos funcionarios, elaboren un informe interno al dejar su cargo, similar al que se regula para los jerarcas y los titulares subordinados en el artículo 12, inciso e , de la Ley General de Control Interno, la resolución R -CO-61, referente a las directrices que deben observar los funcionarios obligados a presentar el informe final de su gestión y la D-1-2005-CO-DFOE, del 07 de julio del 2005, la Circular DAF-007-2009 del 19-08-2009, que contiene algunos lineamientos para la confección y presentación de Informes de Fin de Gestión. 4 Oficio Nº CCAF-052-2011 del 26 de setiembre del 20115 Oficio Nº CCAF-055-2011 del 06 de Octubre del 2011



Lo anterior, para evitar el riesgo que los funcionarios que están al frente de una coordinación no estén informando, al finalizar su gestión, sobre aspectos relevante para evaluar su gestión y a la vez asegurar la continuidad de los proyectos en ejecución por parte de otros funcionarios.

2.2 Aspectos a mejorar en el desarrollo de funcionalidades y su uso

El Sistema INTEGRA desde su puesta en producción se compone de sistemas, subsistemas y módulos que le permiten realizar el pago de la planilla del Gobierno Central y otras actividades propias del Departamento de Gestión del Potencial Humano.

Sin embargo, existían tres subsistemas relacionados con este último, que no estaban en condiciones de ser utilizados ya que requerían de cambios funcionales que no se han realizado. De estos, en la actualidad se usan dos parcialmente, a saber:

a) El Subsistema de capacitación, este Subsistema entre sus servicios se contempla que los usuarios puedan registrar cursos aprobados y mantenimientos varios para reconocimiento en carrera profesional.

b) El Subsistema de análisis ocupacional, este Subsistema entre los servicios que ofrece comprende una serie de herramientas que permiten al usuario la actualización de los manuales de clases de puestos.

En tanto, el siguiente subsistema no se utiliza del todo:

Subsistema de dotación, entre los servicios que ofrecería este subsistema está el de permitir al usuario la elaboración de concursos que resulten en la generación de una base de datos de elegibles. Por medio de esta, se podría haber resuelto una serie de pedimentos y realizado nuevas contrataciones en la institución.

Esta condición, aunque es conocida por la Comisión de Coordinación de la Administración Financiera y por el Comité Técnico Funcional de INTEGRA, ninguna de las dos instancias tiene conocimiento de las razones que prevalecieron, en su momento, para que se hubiera autorizado la puesta en producción de dichos Subsistemas, ya que no cuentan con información de acontecimientos que se dieron previamente a su conformación en el 20056.

La Licda. María Eugenia Espinoza Zamora, Coordinadora del Comité Técnico Funcional de INTEGRA, indica “que desde su puesta en producción en el 2003 se le ha dado énfasis y se ha dedicado las mejoras a garantizar el adecuado tramite de las planillas y pagos de las instituciones usuarias;…” 7

Por otra parte, hay tres requerimientos atendidos por la empresa Grupo Asesor, al amparo del Contrato de Mantenimiento del Sistema INTEGRA MH-041-2006, que de acuerdo con lo indicado por la Comisión de Coordinación de la Administración Financiera y el Comité Técnico Funcional, no se han puesto en producción, debido a las siguientes razones:8

a) Falta de preparación de los escenarios de pruebas para todo el proceso de pago y su aplicación b) Falta del paralelo correspondiente c) Necesidad de ir preparando el Sistema de INTEGRA actual para que reciba las planillas de pago

del MEP, para su respectivo pago con las demás planillas y el pago que genera el Sistema actual. 6 Oficio Comisión de Coordinación de Administración Financiera-052-2011 del 26-09-2011.7 Oficio Comité Técnico Funcional de INTEGRA 053-2011 del 22/08/2011.8 Oficio Comisión de Coordinación de la Administración Financiera-055-2011 del 06/10/2011 y Comité Técnico Funcional de INTEGRA 065-2011 del 11 de octubre del 2011.



d) Falta de horas consultor.

Los requerimientos en mención son los siguientes:

a) Desarrollo requerimientos ajuste archivo SICERE y montos retenidos por cargas sociales. Aplicación que permitiría realizar los ajuste necesarios en el Sistema INTEGRA así como el desarrollo de nuevas aplicaciones que le permita a las Oficina de Recursos Humanos realizar de forma ágil y expedita la verificación de los montos retenidos por la Tesorería Nacional contra la información salarial reportada en el archivo SICERE y por ende, la validación de la Facturación emitida por la Caja Costarricense de Seguro Social.

b) Optimización de pase de propuestas de pago, con lo que se estaría permitiendo aplicar mejoras en el rendimiento del sistema para que cuando se procese la propuesta de pago del Ministerio de Educación Pública, MEP, los demás usuarios del Gobierno Central no tengan inconveniente al procesar su planilla.

c) Aplicación de optimización de mejoras proyecto MEP al proceso de pago Tesorería Nacional (TN), con la cual se busca optimizar todos los procesos relacionados con la emisión de pago (entre los que se tiene la propuesta de pago, el cálculo de deducciones; embargos, pensiones alimentarias, deducciones de terceros, validaciones, aguinaldo, salario escolar) con el fin de que todos ellos estén preparados para el advenimiento del MEP en INTEGRA. Adicionalmente minimizar los bloqueos, garantiza el servicio a otras instituciones usuarias mientras el MEP esté ejecutando algún proceso.

En relación con la condición señalada, el apartado h) de la norma 3.1 de las Normas técnicas para la gestión y el control de las tecnologías de información establece “…/ h. Formular y ejecutar estrategias de implementación que incluyan todas las medidas para minimizar el riesgo de que los proyectos no logren sus objetivos, no satisfagan los requerimientos o no cumplan con los términos de tiempo y costo preestablecidos.”

Adicionalmente la norma 4.3 referente a la protección y conservación del patrimonio de las Normas de Control Interno para el sector público, N-2-2009-CO-DFOE señala “El jerarca y los titulares subordinados, según sus competencias, deben establecer, evaluar y perfeccionar las actividades de control pertinentes a fin de asegurar razonablemente la protección, custodia, inventario, correcto uso y control de los activos pertenecientes a la institución, incluyendo los derechos de propiedad intelectual.”

Aunado a lo dispuesto en dichas normas, Cobit 4.1, marco de referencia de sanas prácticas en TI, en el proceso AI 1 referente a la identificación de soluciones automatizadas, indica que “La necesidad de una nueva aplicación o función requiere de análisis antes de la compra o desarrollo para garantizar que los requisitos del negocio se satisfacen con un enfoque efectivo y eficiente. Este proceso cubre la definición de las necesidades, considera las fuentes alternativas, realiza una revisión de la factibilidad tecnológica y económica, ejecuta un análisis de riesgo y de costo-beneficio y concluye con una decisión final de “desarrollar” o “comprar”. Todos estos pasos permiten a las organizaciones minimizar el costo para Adquirir e Implementar soluciones, mientras que al mismo tiempo facilitan el logro de los objetivos del negocio.”

La condición mencionada tiene como consecuencia no sólo la inversión de recursos de la institución en sistemas informáticos que al final no son utilizados total o parcialmente, sino también la eventual afectación de la imagen institucional producida por el no logro de los objetivos que se pretendían alcanzar con la puesta en operación de las nuevas funcionalidades.

INF-DGAI-034-2011 Pág. 10 de 12


La Licda. María Eugenia Espinoza Zamora, consultada respecto a los subsistemas subutilizados indicó que esta situación ha venido a afectar la “…posibilidad de atender la gestión de recursos humanos, concretamente de los procesos que podrían ser soportados tales como los que tienen que ver con la organización de concursos internos, artículo 15, trámite del plan de capacitación y control de los estudios de análisis ocupacional.”

3 CONCLUSIONES

3.1 El desarrollo de nuevas funcionalidades en los sistemas informáticos implica una alta inversión de recursos financieros en que incurre el Ministerio de Hacienda, con el fin de brindar mantenimiento preventivo y correctivo en aras de prestar un mejor servicio a los usuarios del Sistema de Administración Financiera, sin embargo, estos esfuerzos no han sido acompañados de un sistema de control interno, que le asegure razonablemente dar seguimiento adecuado a las acciones para la consecución de los objetivos programados o en su defecto tomar las medidas correctivas que procedan en forma oportuna.

Lo anterior, debido a que los controles establecidos, tanto en el procedimiento que se utiliza para la atención y puesta en producción de los requerimientos o las nuevas aplicaciones, como en otras actividades relacionadas con la definición de los requerimientos que deben ser conocidos por la CCAF, el informe de avance de los proyectos, el control de productos, el archivo documental y los informes de fin de gestión, ofrecen oportunidades de mejora, para asegurar razonablemente el buen uso de los recursos y la mejora en los servicios que brinda el sistema INTEGRA. Ver punto 2.1 del presente informe

3.2 Aún cuando el sistema INTEGRA está en producción desde el 2003, presenta tres subsistemas que no se utilizan, se usan parcialmente, o están sin estar todavía terminado su desarrollo, sin embargo, no se tienen detalladas las razones que privaron para que estos subsistemas fueran puestos en producción en su oportunidad. Condición similar se presenta con tres de las funcionalidades desarrolladas al amparo del Contrato de Mantenimiento del Sistema INTEGRA 2006, las cuales pese haber concluido su desarrollo, no fueron puestas en producción. Para ninguno de los dos casos, se han realizado un estudio que valore las posibles causas que privaron para que esto sucediera, y las posibles opciones de mejora o medidas correctivas al respeto. Ver punto 2.2 del presente informe

4 RECOMENDACIONES

A la Comisión de Coordinación de la Administración Financiera

4.1 Definir y comunicar los criterios que deberá aplicar el Comité Técnico Funcional de Integra para determinar cuáles requerimientos recibidos, deben ser elevados a la CCAF para su conocimiento y aprobación correspondiente. Ver punto 2.1.2 de este informe.

4.2 Revisar las razones o causas que han permitido el desarrollo de aplicaciones sin que estas finalmente sean utilizadas y conforme con los resultados adoptar las medidas de control pertinentes, de manera que se garantice razonablemente el buen uso de los recursos invertidos en sistemas informáticos y el cumplimiento de los objetivos que dieron lugar a su desarrollo. Ver punto 2.2 de este informe.

4.3 Instaurar como una sana práctica la presentación de un informe de fin de gestión por parte del Coordinador de la Comisión, Coordinador de equipo, o Gerente de Proyecto cada vez que culmina su gestión. Lo anterior con el fin de que el nuevo funcionario tenga una visión general de lo realizado, lo que está en proceso y lo que queda pendiente de realizar, los riesgos, así como conocer algunos aspectos que

INF-DGAI-034-2011 Pág. 11 de 12


favorecieron el logro de las metas alcanzadas como otros que requieren una mayor atención. Ver punto 2.1.6 de este informe.

4.4 Definir el contenido y oportunidad en la entrega de los informes de avance sobre el estado de los requerimientos pasados a desarrollo, que le son remitidos a esa Comisión por parte de Jefe de Ingeniería de Sistemas ó el Gerente del Proyecto, con el fin de favorecer la toma de decisiones de forma pronta y oportuna. Ver punto 2.1.3 del presente informe.

4.5 Girar las instrucciones correspondientes al CTFi, a efectos de que se proceda con lo siguiente:

a) Revisar y actualizar el Protocolo del procedimiento para la puesta en producción de mejoras al Sistema INTEGRA, con el fin de que se constituya en un instrumento y mecanismo de control a seguir para asegurar la debida atención de los requerimientos que recibe hasta la puesta en producción del desarrollo que da origen. Ver punto 2.1.1. de este informe.

b) Registrar oportunamente en el control electrónico que lleva el Comité Técnico Funcional de INTEGRA sobre los requerimientos desarrollados, la información sobre la situación en que se encuentra cada requerimiento en un momento dado, a fin de que dicho Comité disponga de información actualizada, cuando así lo requiera. Ver punto 2.1.4 de este informe.

c) Archivar sistemáticamente los documentos que se generan en relación con cada uno de los requerimientos recibidos, desde su recepción hasta su puesta en producción, de manera que ese Comité disponga en un mismo expediente de toda la información asociada a cada requerimiento. Ver punto 2.1.5 de este informe

Estas recomendaciones están sujetas a las disposiciones del artículo 36 de la Ley Nº 8292, Ley General de Control Interno, que establece un plazo improrrogable de diez días hábiles contados a partir de la fecha de recibido el informe, para ordenar la implantación de las recomendaciones. Si discrepa de ellas, en el transcurso de dicho plazo elevará el informe de auditoría al jerarca y enviará copia a la Auditoría Interna.

Con base en lo anterior, se le solicita respetuosamente, proceder en lo que corresponda, conforme con el artículo 36 de la Ley 8292 Ley General de Control Interno, y la aplicación del Manual para la atención de informes de la Contraloría General de la República y de la Dirección General de Auditoría Interna, y comunicar a esta Dirección la decisión que se tome al respecto dentro del plazo de 10 días hábiles establecido en el citado artículo, así como el plan de acción que en un plazo razonable se defina para la efectiva implementación de lo recomendado.

Juan Carlos Ramírez CortésProfesional de Auditoría Interna.

Guillermo Badilla Martínez, Coordinador Auditoría de Servicios Corporativos

Estudio 012-2011

INF-DGAI-034-2011 Pág. 12 de 12

San José, xx de julio del 2010 · Web viewLas recomendaciones de este informe están sujetas a lo...

Documents

Transcript of San José, xx de julio del 2010 · Web viewLas recomendaciones de este informe están sujetas a lo...