MINISTERIO DE AGRICULTURA Y GANADERÍA
SERVICIO FITOSANITARIO DEL ESTADO (SFE)
Informe de auditoría
Resultados de la evaluación del sistema DE
INFORMACIÓN AUTOMATIZADO RELATIVO AL
FONDO FIJO DE CAJA CHICA DEL SFE
NOVIEMBRE 2012
San José, 12 de noviembre del 2012.
Señor
Licenciado
HENRY VALERÍN SANDINO
Auditor Interno
Servicio Fitosanitario Del Estado
Estimado Licenciado: De acuerdo con los términos en la contratación directa 2012CD-000280-10100, promovida
por la Auditoría Interna del SFE a través de la Proveeduría Institucional del Servicio
Fitosanitario del Estado; relativa a la contratación de " SERVICIOS PROFESIONALES
EN AUDITORIA INTERNA PARA AUDITAR EL FONDO FIJO DE CAJA CHICA
DEL SERVICIO FITOSANITARIO DEL ESTADO", nos permitimos adjuntarle el
informe final sobre la evaluación del sistema de información automatizado relativo al citado
sistema.
El objetivo del presente trabajo fue determinar si el mencionado sistema fue diseñado,
desarrollado y autorizada su entrada en producción, en apego a lo dispuesto en las “Normas
técnicas para la gestión y el control de las tecnologías de información (N-2-2007-CO-DFOE)”,
documento normativo emitido por la Contraloría General de la República. El mismo fue
realizado con base en los términos especificados en el cartel mencionado y en concordancia con
el programa de trabajo presentado por nuestra representada.
Las observaciones del presente informe no van dirigidas a funcionarios o empleados en
particular, sino únicamente tienden a fortalecer el sistema de control interno y los
procedimientos relacionados con las tecnologías de información y específicamente con respecto
a la operación del mencionado sistema de información.
DESPACHO CARVAJAL & COLEGIADOS
CONTADORES PÚBLICOS AUTORIZADOS
Lic. Ricardo Montenegro Guillén
Contador Público Autorizado Nº 5607 Póliza de Fidelidad Nº 0116 FIG 0007
Vence el 30 de Septiembre del 2013
TABLA DE CONTENIDOS
Contenido
I INTRODUCCIÓN .................................................................................................................................... 1
1.1 ORIGEN DEL ESTUDIO. ............................................................................................................................ 1
1.2 OBJETIVO DEL ESTUDIO ......................................................................................................................... 1
1.3 ALCANCE ......................................................................................................................................................... 1
1.4 PERÍODO DEL ESTUDIO .......................................................................................................................... 2
1.5 LIMITACIONES DEL ESTUDIO ............................................................................................................... 2
1.6 NORMAS TÉCNICAS DE AUDITORIA .................................................................................................. 2
1.7 COMUNICACIÓN VERBAL DE LOS RESULTADOS ........................................................................ 2
II RESULTADOS (HALLAZGOS IDENTIFICADOS) ............................................................................ 3
2.1 AUSENCIA DE UN PLAN DE CONTINGENCIAS PARA EL SISTEMA DE CAJA
CHICA. ............................................................................................................................................................... 3
2.2 FUNCIONARIOS DE TI CON EL PERFIL DE ADMINISTRADOR ASIGNADO. ..................... 5
2.3 INADECUADA SEGREGACIÓN DE FUNCIONES ............................................................................ 7
2.4 SOLICITUDES DE CAJA CHICA EN PROCESO, CON PERIODOS DE ANTIGÜEDAD
IMPORTANTE ................................................................................................................................................ 9
2.5 DEBILIDADES EN LA OBTENCIÓN DE INFORMACIÓN PROVENIENTE DEL
SISTEMA DE CAJA CHICA. .................................................................................................................... 11
2.6 MANUAL DE USUARIO DESACTUALIZADO. ................................................................................ 14
2.7 AUSENCIA DE BITÁCORAS DE RESPALDOS. ............................................................................... 16
ANEXO NO.1 ........................................................................................................................................... 18
EVALUACIÓN DE LA CALIDAD FUNCIONAL DEL SISTEMA DE CAJA CHICA Y DE LA
UNIDAD DE TECNOLOGÍAS DE INFORMACIÓN. .................................................................................. 18
Resumen Ejecutivo
1 Origen, objetivo y alcance del estudio
El presente estudio se llevó a cabo en atención al Plan Anual de Labores de la Auditoría Interna
del Servicio Fitosanitario del Estado relativo al período 2012; como parte de la contratación
directa 2012CD-000280-10100, promovida por dicho órgano a través de la Proveeduría
Institucional del SFE.
El objetivo del estudio fue determinar si el sistema de información automatizado relativo al
Fondo Fijo de Caja Chica fue diseñado, desarrollado y autorizada su entrada en producción,
en apego a lo dispuesto en las "Normas técnicas para la Gestión y el Control de las
Tecnologías de Información" (N-2-2007-CO-DFOE), emitidas por la Contraloría General de
la República.
El alcance que se le dio a dicho estudio consistió en verificar el grado de cumplimiento de
las citadas normas técnicas; específicamente con respecto al diseño, desarrollo y entrada en
producción del referido sistema automatizado.
Este estudio fue efectuado durante el mes de Octubre del año 2012.
2 Resultados
En el desarrollo de esta auditoría, se identificaron 7 hallazgos que tienen relación con aspectos
regulados en las citadas Normas, los cuales se clasifican por área evaluada, de la siguiente
manera:
En lo relativo a la planificación estratégica, la cual es normada por el Capítulo II
“Planificación y Organización.”, se identificó un hallazgo.
En cuanto al aspecto relacionado con el desarrollo e implementación de software, se
identificaron tres hallazgos. Este tema está regulado en el Capítulo III denominado
“Implementación de tecnologías de información”.
En lo correspondiente a la seguridad lógica y acceso a datos, se determinó un hallazgo;
mismo que se encuentra normado en el Capitulo I Normas de Aplicación General.
Por otra parte, con relación al aspecto relativo a la continuidad de operaciones, se
determinaron dos hallazgos; tema normado en el, Capítulo I Normas de Aplicación
General.
De acuerdo al nivel de riesgo asignado a cada uno de los 7 hallazgos identificados, los mismos
se clasifican de la siguiente manera: 2 de ellos con un nivel de riesgo ALTO y los 5 restantes
con un nivel de riesgo MEDIO.
A continuación se describen los principales aspectos determinados como resultado del estudio
realizado:
2.1 Sobre la Planificación Estratégica
a. Considerando que el diseño, desarrollo y entrada en producción del sistema de Caja Chica
se dio en el periodo 2009; es necesario señalar que dicho sistema no responde al Plan
Estratégico, el Plan Operativo y la metodología de Administración de proyectos de TI, pues
dicho marco normativo corresponde a los años 2010 y 2012 respectivamente.
b. Durante la auditoría realizada al sistema de Caja Chica, se identificó que todos los aspectos
relacionados con el desarrollo y mantenimiento del mismo recae sobre un único funcionario
de TI.
2.2 Sobre el Desarrollo e Implementación de Software
a. A pesar de que la metodología para el desarrollo de sistemas del SFE entró a regir a partir
de setiembre del 2011; se determinó que la metodología aplicada en el año 2009 para el
desarrollo del sistema de Caja Chica del SFE, se ajusta con lo dispuesto en la mencionada
metodología.
b. En la evaluación de la funcionalidad del sistema de Caja Chica se identificaron debilidades
relacionadas con los reportes y solicitudes de caja chica en proceso, por cuanto presentan
una antigüedad considerable.
c. Se cuenta con manuales técnicos y de usuario para el sistema de Caja Chica, que cumplen
con los requerimientos mínimos. No obstante, en el caso del manual de usuario se
identificó que se encuentra desactualizado.
d. El resultado obtenido de la evaluación por parte de los usuarios finales, sobre la
funcionalidad del Sistema de Caja Chica a nivel general fue satisfactorio.
2.3 Sobre la Seguridad Lógica y Acceso a Datos
a. Se constató que las políticas de seguridad que están siendo implementadas con relación al
sistema de Caja Chica, responden a las contenidas en el documento PL-Seguridad-001.
b. Por otra parte se indica que se debe asignar un usuario experto a la administración del
módulo de seguridad de la aplicación; quien debe ser el responsable de asignar los roles y
accesos solicitados por una jefatura para un usuario determinado.
c. Se determinó que existen dos funcionarias de la Unidad de Tecnología de la Información,
que mantienen asignado el perfil de Administrador; lo cual les permite tener acceso a
todas las opciones del sistema de Caja Chica.
2.4 Sobre la Seguridad Física
Durante la inspección que se realizó al cuarto de servidores del SFE, no se identificaron
debilidades que mencionar, por el contrario dicho servidor cuenta con medidas de seguridad
como alarma, detectores de humo, extintor, puerta con seguro, bitácora de ingreso, servidores
en rack, entre otros.
2.5 Sobre la Continuidad de Operaciones
a. La Unidad de Tecnología de la Información cuenta con procedimiento formalmente
establecido, que establece las pautas a seguir para realizar los respaldos tanto de la base de
datos como de las aplicaciones.
b. No se cuenta con un plan de contingencias referente al sistema de Caja Chica, que
establezca las acciones a seguir en caso de que se presente alguna situación que afecte la
funcionalidad del mismo.
c. Se identificó que en el documento “Guía de Elaboración de respaldo y Recuperación de
Datos”, se incluye un aparte donde se establece el programa de pruebas de recuperación de
datos. Del resultado de cada una de las pruebas que se realiza se mantiene documentación
de respaldo.
d. Se determinó que la Unidad de Tecnología de la Información, no cuenta con una bitácora
de control, que respalde el envío y el detalle del contenido de las cintas magnéticas que se
custodian en el Banco Nacional.
Una Firma, Un respaldo Web: www.despachocarvajal.com 1
I Introducción
1.1 Origen del estudio.
En atención al Plan Anual de Labores de la Auditoría Interna del Servicio Fitosanitario del
Estado (en adelante SFE) relativo al presente año, el citado órgano de fiscalización gestionó la
contratación de servicios de auditoría interna a través de la Proveeduría Institucional de dicho
órgano; con el propósito de auditar el Fondo Fijo de Caja Chica del SFE, incluyendo el
sistema de información automatizado respectivo. Dicha gestión se promovió mediante
contratación directa 2012CD-000280-10100; adjudicándose la misma al Despacho Carvajal &
Colegiados, Contadores Públicos Autorizados S.A.
1.2 Objetivo del estudio
Determinar si el sistema de información automatizado relativo al Fondo Fijo de Caja Chica
fue diseñado, desarrollado y autorizada su entrada en producción, en apego a lo dispuesto en
las "Normas técnicas para la Gestión y el Control de las Tecnologías de Información"
(N-2-2007-CO-DFOE), emitidas por la Contraloría General de la República.
1.3 Alcance Se analizó la gestión emprendida por la administración activa a efecto de verificar el grado de
cumplimiento de las Normas Técnicas para la Gestión y el Control de las Tecnologías de
Información” (N-2-2007-CO-DFOE); específicamente con respecto al diseño, desarrollo y
entrada en producción del referido sistema automatizado. Al respecto se procedió a verificar
lo siguiente:
ASPECTO EVALUADO ACTIVIDADES EJECUTADAS Normas N-2-2007-CO-DFOE
Planificación Estratégica
Verificamos que el proyecto de
desarrollo e implementación del
sistema de Caja Chica estuviera
incluido en el Plan Estratégico de TI.
Verificamos que el proyecto de
desarrollo e implementación del
sistema de Caja Chica estuviera
incluido en el Plan Operativo Anual
de TI.
Revisamos la metodología empleada
para la administración de proyectos
informáticos.
Analizamos la segregación de
funciones de los funcionarios de TI.
1.1 Marco estratégico de TI.
3.1 Consideraciones generales de la
implementación de TI.
Una Firma, Un respaldo Web: www.despachocarvajal.com 2
ASPECTO EVALUADO ACTIVIDADES EJECUTADAS NORMATIVA APLICABLE Desarrollo e Implementación de
Software
Revisamos la metodología empleada para
el desarrollo de sistemas.
Revisamos el manual técnico del sistema
de Caja Chica.
Revisamos el manual de usuario del
Sistema de Caja Chica.
Revisamos los estándares de
programación.
Revisamos el procedimiento de solicitud
de mejora o cambios a sistemas.
Evaluamos la funcionalidad del sistema de
Caja Chica.
3.1 Consideraciones generales de la
implementación de TI.
3.2 Implementación de software
Seguridad Lógica y Acceso a
Datos
Revisamos las políticas de Seguridad de
TI.
Revisamos el procedimiento de creación y
asignación de perfiles.
Analizamos la lista de perfiles del sistema
de Caja Chica.
1.4 Gestión de la seguridad de la
información.
1.4.5 Control de acceso.
Seguridad Física Revisamos la seguridad física presente en el
cuarto de servidores.
1.4.3 Seguridad física y ambiental.
Continuidad de Operaciones
Revisamos el procedimiento para el
respaldo y recuperación de datos.
Revisamos el plan de pruebas de los
respaldos.
Revisamos el plan de contingencias.
1.4.7 Continuidad de los servicios de TI
1.4 Período del estudio
Este estudio fue efectuado durante el mes de Octubre del año 2012.
1.5 Limitaciones del estudio
Durante el proceso de auditoría no existieron limitaciones al estudio realizado.
1.6 Normas técnicas de auditoria
En la ejecución de la presente auditoría se observaron en lo aplicable, las regulaciones
establecidas para las Auditorías Internas en la Ley General de Control Interno Nº 8292, normas
técnicas, directrices y resoluciones emitidas por la Contraloría General de la República.
1.7 Comunicación verbal de los resultados
Los resultados del presente estudio fueron comentados con el Lic. Didier Suárez Chavez y la
Licda Silvia Villalobos el día 19 de Diciembre del 2012.
Una Firma, Un respaldo Web: www.despachocarvajal.com 3
II Resultados (hallazgos identificados)
2.1 AUSENCIA DE UN PLAN DE CONTINGENCIAS PARA EL SISTEMA DE CAJA
CHICA. RIESGO ALTO
2.1.1 CRITERIO
Las Normas Técnicas para la gestión y el control de las Tecnologías de Información, en el
punto 1.4.7 Continuidad de los servicios de TI, establece que:
“La organización debe mantener una continuidad razonable de sus procesos y su
interrupción no debe afectar significativamente a sus usuarios.
Como parte de ese esfuerzo debe documentar y poner en práctica, en forma
efectiva y oportuna, las acciones preventivas y correctivas necesarias con base en
los planes de mediano y largo plazo de la organización, la evaluación e impacto
de los riesgos y la clasificación de sus recursos de TI según su criticidad.”
2.1.2 CONDICIÓN
Se determinó que el SFE no cuenta con un plan de contingencias y continuidad del negocio, que
señale las acciones a seguir en caso de que el sistema de Caja Chica presente fallos o que se
presente un siniestro que impida la continuidad de dicho sistema.
2.1.3 CAUSA
Las debilidades que presenta el sistema de control interno de la Unidad de TI; no han permitido
establecer un plan de contingencias y continuidad del negocio que guíe el accionar de la
organización en caso de que se presente un fallo en el sistema de Caja Chica.
2.1.4 EFECTO
No contar con un plan de contingencias o continuidad de operaciones podría generar
importantes inconvenientes para la organización si se presentaran fallas o un siniestro; tales
como:
Ausencia de alternativas, para la toma de decisiones.
Carencia de recursos necesarios para la recuperación.
Falta de disponibilidad de recursos críticos.
Aumento de costos para lograr la continuidad.
Una Firma, Un respaldo Web: www.despachocarvajal.com 4
2.1.5 CONCLUSIÓN
Se evidencia que no se cuenta con un plan de contingencias definido y formalizado, referente al
Sistema de Caja Chica; que incluya e indique las acciones o pasos a seguir en caso de que dicho
sistema falle o se presente un siniestro. Dicha situación debilita el sistema de control interno.
2.1.6 RECOMENDACIÓN
2.1.6.1 Elaborar, aprobar, divulgar e implementar el Plan de Contingencias y Continuidad de
Operaciones relativo al Sistema de Caja Chica; gestión que debería realizarse en forma
coordinada entre las áreas usuarias y la Unidad de Tecnología de la Información; instrumento
que se debe mantener actualizado. Lo anterior con el fin de que el mismo responda en caso de
que se presenten fallos o un siniestro que afecte su funcionalidad. Dicha gestión debe
considerar, entre otros aspectos, lo siguiente: Requisitos mínimos de recuperación para
mantener las operaciones, definición de responsables y sus funciones, definición de recursos
críticos, contacto de los proveedores, sensibilización, educación y capacitación, instalaciones de
procesamiento alternativos, definir y priorizar los procesos de comunicación.
Una Firma, Un respaldo Web: www.despachocarvajal.com 5
2.2 FUNCIONARIOS DE TI CON EL PERFIL DE ADMINISTRADOR ASIGNADO.
RIESGO ALTO
2.2.1 CRITERIO
El punto 1.4 Gestión de la seguridad de la información, de las Normas Técnicas para la gestión
y el control de las Tecnologías de Información, establece que:
“La organización debe garantizar, de manera razonable, la confidencialidad,
integridad y disponibilidad de la información, lo que implica protegerla contra
uso, divulgación o modificación no autorizados, daño o pérdida u otros factores
disfuncionales. Para ello debe documentar e implementar una política de
seguridad de la información y los procedimientos correspondientes, asignar los
recursos necesarios para lograr los niveles de seguridad requeridos y considerar
lo que establece la presente normativa en relación con los siguientes aspectos:
- La implementación de un marco de seguridad de la información.
- El compromiso del personal con la seguridad de la información.
- La seguridad física y ambiental.
- La seguridad en las operaciones y comunicaciones.
- El control de acceso.
- La seguridad en la implementación y mantenimiento de software e
infraestructura tecnológica.
- La continuidad de los servicios de TI.”
2.2.2 CONDICIÓN
Se determinó que dos funcionarios de la Unidad de Tecnologías de la Información mantienen
asignado el perfil de Administrador con respecto al sistema de Caja Chica; lo cual les permite
tener acceso a todas las opciones del sistema y además tienen derecho a insertar, eliminar,
modificar, consultar e imprimir en todas las pantallas del sistema.
2.2.3 CAUSA
La debilidad detectada se presenta, debido a que en un inicio la asignación de perfiles
relacionada con los sistemas de información que se encontraban en producción, era realizada
por funcionarios de la Unidad de Tecnologías de la Información; situación que no fue corregida
con respecto al el sistema de Caja Chica.
Una Firma, Un respaldo Web: www.despachocarvajal.com 6
2.2.4 EFECTO
Con base en la evidencia obtenida, existe un riesgo real y/o potencial de que funcionarios que
no laboran en el Departamento Administrativo y Financiero (específicamente en la operación
del sistema de Caja Chica), tengan acceso a dicho sistema en el ambiente de producción;
situación que puede generar que la información sea modificada o eliminada.
2.2.5 CONCLUSIÓN
De acuerdo con el análisis de los perfiles establecidos para el uso de las diferentes opciones del
sistema de Caja Chica, se evidencia que dos funcionarios del área de TI mantienen asignado el
perfil de Administrador; situación que se contrapone a lo regulado en las Normas
N-2-2007-CO-DFOE visualizándose un incumplimiento a la misma y un debilitamiento al
sistema de control interno.
2.2.6 RECOMENDACIÓN
2.2.6.1 Eliminar el acceso al sistema de Caja Chica que tienen dos funcionarios de la Unidad
de Tecnología de la Información en condición de “Administrador”; con el propósito de que la
información del citado sistema sea accesada solo por personal autorizado de acuerdo con las
funciones que desempeñan.
Una Firma, Un respaldo Web: www.despachocarvajal.com 7
2.3 INADECUADA SEGREGACIÓN DE FUNCIONES. RIESGO MEDIO.
2.3.1 CRITERIO
La Norma 2.5.3 Separación de funciones incompatibles y del procesamiento de transacciones
de las Normas de control interno para el Sector Público (N-2-2009-CO-DFOE), establece que:
“El jerarca y los titulares subordinados, según sus competencias, deben
asegurarse de que las funciones incompatibles, se separen y distribuyan entre los
diferentes puestos; así también, que las fases de autorización, aprobación,
ejecución y registro de una transacción, y la custodia de activos, estén
distribuidas entre las unidades de la institución, de modo tal que una sola
persona o unidad no tenga el control por la totalidad de ese conjunto de
labores.
Cuando por situaciones excepcionales, por disponibilidad de recursos, la
separación y distribución de funciones no sea posible debe fundamentarse la
causa del impedimento. En todo caso, deben implantarse los controles
alternativos que aseguren razonablemente el adecuado desempeño de los
responsables.”
El punto 2.4 Independencia y recurso humano de la Función de TI, de las Normas Técnicas para
la gestión y el control de las Tecnologías de Información (N-2-2007-CO-DFOE), establece que:
“El jerarca debe asegurar la independencia de la Función de TI respecto de las
áreas usuarias y que ésta mantenga la coordinación y comunicación con las
demás dependencias tanto internas y como externas.
Además, debe brindar el apoyo necesario para que dicha Función de TI cuente
con una fuerza de trabajo motivada, suficiente, competente y a la que se le haya
definido, de manera clara y formal, su responsabilidad, autoridad y funciones.”
2.3.2 CONDICIÓN
Se evidenció que el desarrollo y mantenimiento del sistema de Caja Chica recae sobre un único
funcionario de la Unidad de Tecnología de la Información del SFE.
2.3.3 CAUSA
La condición indicada, se presenta debido a la forma en que se organiza el trabajo en la Unidad
de TI, ya que cuando un funcionario termina un proyecto o trabajo, se le asigna otro; sobre el
cual tendrá la responsabilidad de desarrollar y realizar el mantenimiento o mejoras que se
soliciten.
Una Firma, Un respaldo Web: www.despachocarvajal.com 8
2.3.4 EFECTO
La debilidad detectada genera que sea un único funcionario el que conoce los aspectos técnicos
y que además custodie la documentación referente al proyecto sobre el cual es responsable; y
que en caso de que este se ausente de su trabajo, ningún otro funcionario tenga acceso a los
mismos.
2.3.5 CONCLUSIÓN
El hecho de que sea un único funcionario el responsable del desarrollo y mantenimiento de un
sistema, está en contraposición con lo dispuesto por la Norma 2.5.3 de las Normas N-2-2009-
CO-DFOE y el numeral 2.4 de las Normas N-2-2007-CO-DFOE y debilita el sistema de control
interno.
2.3.6 RECOMENDACIÓN
2.3.6.1 Diseñar, aprobar e implementar controles alternativos que aseguren razonablemente un
acceso a la información de los diferentes sistemas que se encuentran en producción,
mantenimiento y desarrollo. Lo anterior cuando el funcionario directamente responsable de un
sistema determinado, se encuentre en forma temporal fuera de la organización (vacaciones,
incapacitado, suspendido, capacitándose, de gira, etc); a efecto de ajustar el sistema de control
interno de la Unidad de TI a lo dispuesto en la 2.5.3 de las Normas N-2-2009-CO-DFOE y el
numeral 2.4 de las Normas N-2-2007-CO-DFOE.
Una Firma, Un respaldo Web: www.despachocarvajal.com 9
2.4 SOLICITUDES DE CAJA CHICA EN PROCESO, CON PERIODOS DE
ANTIGÜEDAD IMPORTANTE RIESGO MEDIO
2.4.1 CRITERIO
En el punto 1.2 Gestión de la calidad de las Normas Técnicas para la gestión y el control de las
Tecnologías de Información, se establece que:
“La organización debe generar los productos y servicios de TI de conformidad
con los requerimientos de sus usuarios con base en un enfoque de eficiencia y
mejoramiento continuo.”
2.4.2 CONDICIÓN
Se determinó que en el Sistema de Caja Chica existen solicitudes de caja chica que
corresponden a los periodos 2009, 2010 y 2011, cuya gestión no concluyó en la adquisición de
bienes y servicios. Dichas solicitudes presentan únicamente la aprobación de dos de las
instancias correspondientes. En el siguiente cuadro se mencionan algunos ejemplos:
I_PK
SOLIC
NÚMERO
SOLICITUD
FECHA
SOLICITUD
DEPENDENCIA CÓDIGO
SUBPARTIDA
SUBPARTIDA
157 154 09-11-2009 Dpto. Control Fitosanitario-
Dpto. de Control Fitosanitario
Estación Paso Canoas
10499 1.04.99-Otros
servicios gestión
y apoyo
186 183 17-11-2009 Dpto. de Certificación
Fitosanitaria- Dpto.
Certificación Fitosanitaria
Funcionarios
20402 2.04.02
Repuestos y
accesorios.
213 210 24-11-2009 Dpto. de Administración y
Finanzas. Dpto. Administrativo
y Financiero-Servicios
Generales
20402 2.04.02
Repuestos y
accesorios
250 247 01-12-2009 Dpto. de Administración y
Finanzas. Dpto. Administrativo
y Financiero-Unidad de
Proveed.
20402 2.04.02
Repuestos y
accesorios
8 7 01-12-2009 Asesoría Legal-Asesoría Legal 50105 5.01.05-Equipo y
programas de
cómputo.
2.4.3 CAUSAS
2.4.3.1 No se cuenta con un procedimiento que establezca las acciones a seguir en caso de que
se determine que no va hacer necesario utilizar una solicitud de caja chica ya incluida en el
sistema.
2.4.3.2 La debilidad detectada se genera por cuanto dicho aspecto no fue considerado durante el
desarrollo del sistema.
Una Firma, Un respaldo Web: www.despachocarvajal.com 10
2.4.4 EFECTO
Dicha condición genera que el sistema de Caja Chica presente debilidades en cuanto su
eficiencia; provocando eventuales inconvenientes en el suministro de la información que
podría afectar el análisis de la misma y la toma de decisiones.
2.4.5 CONCLUSIÓN
Se puede afirmar que el proceso de ejecución del Fondo de Caja Chica no está diseñado para
generar las alertas oportunas que propicien el mejoramiento continuo del sistema automatizado
respectivo; aspecto que de no ser corregido continuará evidenciando un debilitamiento del
sistema de control interno.
2.4.6 RECOMENDACIÓN
2.4.6.1 Incorporar como parte de los procedimientos que regulan las diferentes actividades
vinculadas con la ejecución de los recursos del Fondo de Caja Chica; el aspecto que regulará la
inactividad o anulación de las solicitudes de caja chica que por diferentes razones no se
asociaron a un trámite de adquisición de bienes y servicios; lo cual lleva implícito la
divulgación de la citada regulación a nivel institucional. Asimismo, dicha gestión debe
considerar el análisis y definición oficial, de cuál sería el tiempo conveniente para que una
solicitud de caja chica que no haya sido utilizada; sea anulada o quede inactiva, mediante un
proceso automático del mismo sistema (no se necesitaría de un funcionario dedicado a dicho
proceso).
Una Firma, Un respaldo Web: www.despachocarvajal.com 11
2.5 DEBILIDADES EN LA OBTENCIÓN DE INFORMACIÓN PROVENIENTE DEL
SISTEMA DE CAJA CHICA. RIESGO MEDIO
2.5.1 CRITERIO
En el punto 1.2 Gestión de la calidad de las Normas Técnicas para la gestión y el control de las
Tecnologías de Información, se establece que:
“La organización debe generar los productos y servicios de TI de conformidad
con los requerimientos de sus usuarios con base en un enfoque de eficiencia y
mejoramiento continuo.”
2.5.2 CONDICIÓN
Al evaluar la percepción que tiene los usuarios con respecto a la operatividad del sistema de
información relativo al Fondo de Caja Chica, indicaron lo siguiente:
Requiere reportes por Departamento.
Requiere reportes por Proveedor.
Requiere reportes por Sub-Partidas.
Cierres Caja mensuales.
Reportes anulación de cheques.
Reportes de liquidación Caja Auxiliar.
Reportes Cheques emitidos por departamentos.
Por lo general nosotros como secretarias tenemos que hacer nuestra propia hoja de Excel
para llevar nuestros controles, sería bueno tener un sistema integrado el cual nos ayudara
para unificar la información y los controles.
Asimismo, los usuarios expertos de las áreas funcionales denominadas Presupuesto y Bodega
de Suministros, señalaron que existen reportes que no despliegan la información
correspondiente, como: número de solicitud, fecha de solicitud, justificación, dependencia o
área, subpartida, entre otros. Los casos corresponden a los reportes de Proveedores y Solicitud
de Caja Chica.
2.5.3 CAUSAS
2.5.3.1 El desarrollo del sistema de Caja Chica puede presentar algunos errores técnicos en su
código fuente que genera esta condición.
2.5.3.2 No se han establecido e implementado prácticas administrativas que en forma periódica
permitan monitorear la percepción o el nivel de satisfacción de los usuarios con relación a los
sistemas de información que se mantienen en producción.
Una Firma, Un respaldo Web: www.despachocarvajal.com 12
2.5.4 EFECTOS
2.5.4.1 La situación actual del sistema de Caja Chica, no permite que los usuarios finales
maximicen el uso de la aplicación para la realización de sus funciones, y que tengan que optar
por otro método para obtener la información requerida.
2.5.4.2 Riesgo real y/o potencial de que existan sistemas en producción que no estén
satisfaciendo a cabalidad las necesidades de la administración activa.
2.5.5 CONCLUSIÓN
Los sistemas de información deben estar orientados a facilitar el quehacer de la organización así
como a suministrar datos suficientes y pertinentes que contribuyan con la toma de decisiones y
la adecuada rendición de cuentas.
En el caso concreto del sistema de Caja Chica, será necesario que se realice el diagnóstico que
sea requerido a efecto de ajustarlo a las necesidades de la organización; considerando que
existen debilidades en la funcionalidad de los reportes incluidos en el citado sistema; situación
que se mantiene en el tiempo, por cuanto la falta de análisis periódico de la condición que
presenta el sistema con respecto a las necesidades de información que requieren los usuarios, no
está generando las alertas que propicien los reportes de incidentes que en forma posterior
permitan a través de los ajustes correspondientes el mejoramiento de la herramienta.
2.5.6 RECOMENDACIONES
2.5.6.1 Establecer los mecanismos y prácticas de control que propicien en forma periódica la
realización de sesiones de trabajo entre el personal de la Unidad de TI con los usuarios del
sistema de Caja Chica, con el propósito de conocer las necesidades de mejora o cambios de
dicho sistema y analizar su viabilidad. Como sana práctica administrativa, la citada
recomendación debe hacerse extensiva al resto de los sistemas de información que se
encuentran en producción.
2.5.6.2 Establecer, aprobar y divulgar el procedimiento cuya implementación le permita al
usuario final, presentar en forma oportuna ante la Unidad de TI los incidentes con respecto a la
calidad e integridad de la información que generan los sistemas de información que se
encuentran en producción (incluye el sistema de Caja Chica). Lo anterior para que cada caso en
particular sea analizado y solucionado (según corresponda); situación que le debe permitir a la
organización mantener herramientas tecnológicas más eficientes y que respondan a sus
necesidades.
Una Firma, Un respaldo Web: www.despachocarvajal.com 13
2.5.6.3 Analizar los casos mencionados en el presente hallazgo (como referencia), con el fin de
que los reportes que están definidos en el sistema de Caja Chica sean validados y/o ajustados o
adicionados según las necesidades de información que requieren los usuarios. Dicha gestión
debe ser canalizada en forma conjunta entre las áreas usuarias y la Unidad de T.I; situación que
deberá permitir establecer los requerimientos oficiales y la atención de los mismos en el corto
plazo; cuyo propósito principal debe estar orientado a la obtención de información completa y
oportuna que contribuya con el análisis de la ejecución de los recursos y la toma de decisiones.
Una Firma, Un respaldo Web: www.despachocarvajal.com 14
2.6 MANUAL DE USUARIO DESACTUALIZADO. RIESGO MEDIO
2.6.1 CRITERIO
La Norma 4.1 Actividades de control de las Normas de control interno para el Sector Público
(N-2-2009-CO-DFOE), establece que:
El jerarca y los titulares subordinados, según sus competencias, deben diseñar,
adoptar, evaluar y perfeccionar, como parte del SCI, las actividades de control
pertinentes, las que comprenden las políticas, los procedimientos y los
mecanismos que contribuyen a asegurar razonablemente la operación y el
fortalecimiento del SCI y el logro de los objetivos institucionales. Dichas
actividades deben ser dinámicas, a fin de introducirles las mejoras que procedan
en virtud de los requisitos que deben cumplir para garantizar razonablemente su
efectividad.
El ámbito de aplicación de tales actividades de control debe estar referido a
todos los niveles y funciones de la institución. En ese sentido, la gestión
institucional y la operación del SCI deben contemplar, de acuerdo con los niveles
de complejidad y riesgo involucrados, actividades de control de naturaleza
previa, concomitante, posterior o una conjunción de ellas. Lo anterior, debe
hacer posible la prevención, la detección y la corrección ante debilidades del SCI
y respecto de los objetivos, así como ante indicios de la eventual materialización
de un riesgo relevante.
En el punto 3.2 Implementación de software de las Normas Técnicas para la gestión y el control
de las Tecnologías de Información, se establece que:
“La organización debe implementar el software que satisfaga los requerimientos
de sus usuarios y soporte efectivamente sus procesos, para lo cual debe:
a. Observar lo que resulte aplicable de la norma 3.1anterior.
b. Desarrollar y aplicar un marco metodológico que guíe los procesos de
implementación y considere la definición de requerimientos, los estudios de
factibilidad, la elaboración de diseños, la programación y pruebas, el desarrollo
de la documentación, la conversión de datos y la puesta en producción, así como
también la evaluación postimplantación de la satisfacción de los requerimientos.
c. Establecer los controles y asignar las funciones, responsabilidades y permisos
de acceso al personal a cargo de las labores de implementación y mantenimiento
de software.
d. Controlar la implementación del software en el ambiente de producción y
garantizar la integridad de datos y programas en los procesos de conversión y
migración.
e. Definir los criterios para determinar la procedencia de cambios y accesos de
emergencia al software y datos, y los procedimientos de autorización, registro,
Una Firma, Un respaldo Web: www.despachocarvajal.com 15
supervisión y evaluación técnica, operativa y administrativa de los resultados de
esos cambios y accesos.
f. Controlar las distintas versiones de los programas que se generen como parte
de su mantenimiento.”
2.6.2 CONDICIÓN
Se cuenta con un Manual de Usuario del sistema de Caja Chica; no obstante, éste se encuentra
desactualizado por cuanto no se describe el uso que se le debe dar a algunos de los botones
(opciones).
Consecuente con lo anterior, se determinó que en lo correspondiente a la solicitud de jefe de
departamento (aspecto descrito en el procedimiento 4- "Aprobación de solicitudes"), no se
indica cual es la funcionalidad de los botones para limpiar, guardar, solicitud pendientes y salir.
A pesar de que en las imágenes si se muestra, dicho aspecto no se visualiza en la parte del texto
del citado Manual.
La misma situación se presenta en el caso de las solicitudes caja chica y bodega.
2.6.3 CAUSA
Falta de un adecuado control de la calidad en el proceso de elaboración, revisión y aprobación
del Manual de Usuario; situación que propicia que el mismo presente debilidades como las
evidenciadas.
2.6.4 EFECTO
Las debilidades detectadas pueden generar que los usuarios finales (personal actual y el de
recién ingreso) del sistema de Caja Chica, no tengan claro la funcionalidad del mismo y que por
tanto no puedan maximizar el uso de la aplicación.
2.6.5 CONCLUSIÓN
Desde el punto de vista de un sistema de control interno integral, las debilidades detectadas con
relación al Manual de Usuario del Sistema de Caja Chica propician un debilitamiento de ese
SCI; situación que eventualmente generaría inconvenientes en la operación el mencionado
sistema automatizado.
2.6.6 RECOMENDACIÓN
2.6.6.1 Realizar una revisión de cada una de las pantallas del sistema de Caja Chica con
respecto a lo descrito en el Manual de Usuario (considerando como insumo lo descrito en el
apartado de Condición del presente hallazgo); con el fin de ajustar dicho Manual.
Una Firma, Un respaldo Web: www.despachocarvajal.com 16
2.7 AUSENCIA DE BITÁCORAS DE RESPALDOS. RIESGO MEDIO
2.7.1 CRITERIO
En el punto .4.7 Continuidad de los servicios de TI de las Normas Técnicas para la gestión y el
control de las Tecnologías de Información, se establece que:
“La organización debe mantener una continuidad razonable de sus procesos y su
interrupción no debe afectar significativamente a sus usuarios.
Como parte de ese esfuerzo debe documentar y poner en práctica, en forma
efectiva y oportuna, las acciones preventivas y correctivas necesarias con base en
los planes de mediano y largo plazo de la organización, la evaluación e impacto
de los riesgos y la clasificación de sus recursos de TI según su criticidad.”
2.7.2 CONDICIÓN
Se cuenta con la política PSI-006 Política Realización de Respaldos para Aplicaciones, en la
cual se establece que los respaldos de las bases de datos deben ser realizados por el
Administrador de Bases de Datos y los respaldos de los sistemas de Información por los
Analistas Encargados del mantenimiento de los mismos, para lo cual se cuenta con una guía de
la elaboración. No obstante, se comprobó que se realizan los respaldos correspondientes, pero
no se cuenta con una bitácora de control que respalde el envío y el detalle del contenido de las
cintas magnéticas que se custodian en el Banco Nacional.
2.7.3 CAUSA
No se ha establecido e implementado la medida de control interno, referente a la
implementación de una bitácora formal mediante la cual se registren los respaldos realizados
sobre las bases de datos y las aplicaciones.
2.7.4 EFECTO
No se cuenta con un detalle de la información respaldada, que permita en caso de necesitarla
identificar con facilidad la cinta magnética donde se encuentra y solucionar rápidamente el
incidente o situación presentada.
2.7.5 CONCLUSIÓN
Los respaldos realizados sobre las bases de datos y las aplicaciones deben garantizar en forma
razonable que las medidas implementadas serían las suficientes y pertinentes para ejercer un
adecuado control sobre el aspecto antes descrito; así como de propiciar un ambiente idóneo para
dar una respuesta oportuna ante la presencia de situaciones impredecibles. No obstante, si bien
el SFE ha realizado esfuerzos importantes para tratar este tema; es necesario que fortalezca
dicha gestión a través de la implementación de una bitácora (o registro similar) al que se
recomienda en el presente hallazgo.
Una Firma, Un respaldo Web: www.despachocarvajal.com 17
2.7.6 RECOMENDACIÓN
2.7.6.1 Adoptar la práctica y medidas de control (bitácora o registro similar), cuya
implementación le garantice en forma razonable que los respaldos de información de las
aplicaciones y base de datos enviados al Banco Nacional (que incluya aspectos como: fecha de
envío, funcionario que realizó el respaldo, detalle del contenido de la cinta magnética, firma de
recibido del banco) sean de fácil ubicación ante la necesidad de obtener información que
contribuya con el análisis de aspectos concretos y con la toma de decisiones; así como de
brindar una respuesta inmediata ante la presencia de incidentes impredecibles.
Una Firma, Un respaldo Web: www.despachocarvajal.com 18
ANEXO NO.1
EVALUACIÓN DE LA CALIDAD FUNCIONAL DEL SISTEMA DE CAJA CHICA Y
DE LA UNIDAD DE TECNOLOGÍAS DE INFORMACIÓN.
En este anexo se muestra el resultado de la evaluación realizada referente a la calidad funcional
del sistema de Caja Chica, según la percepción de los usuarios finales. Los usuarios
encuestados corresponde a:
Nombre del Funcionario Puesto
Wilberth Villalobos Rojas Tesorería Encargado de Caja Chica
Ana María Valerio Cordero Depto. Administración y Finanzas
Liliana Pastor Ovares Depto. Administrativo y Financiero
Rafael Núñez Salas Encargado de Suministros Bodega
El resultado obtenido, de la evaluación de la calidad funcional del sistema de caja chica por
parte de los usuarios detallados en el cuadro anterior; se muestra en la siguiente grafica.
Top Related