INFORME Nro. DFOE-PG-IF-06-2013 18 de julio, 2013 DIVISIÓN ... · Esta auditoría de carácter...

T:. (506) 2501 8000 F:. (506) 2501 8100 C: [email protected] S: http://www.cgr.go.cr Apdo. 1179-1000, San José, Costa Rica

INFORME Nro. DFOE-PG-IF-06-2013 18 de julio, 2013

DIVISIÓN DE FISCALIZACIÓN OPERATIVA Y EVALUATIVA

ÁREA DE FISCALIZACIÓN DE SERVICIOS PÚBLICOS GENERALES INFORME DE LOS RESULTADOS DE LA AUDITORIA DE CARÁCTER ESPECIAL SOBRE LA IMPLEMENTACIÓN DEL MODELO DE ARQUITECTURA DE LA INFORMACIÓN EN

EL TRIBUNAL SUPREMO DE ELECCIONES

2013


CONTENIDO

Página Nro.

RESUMEN EJECUTIVO

1 INTRODUCCIÓN ................................................................................................................. 1

OBJETIVO .................................................................................................................................................... 1

NATURALEZA Y ALCANCE ................................................................................................................................ 1

METODOLOGÍA APLICADA .............................................................................................................................. 1

ANTECEDENTES ............................................................................................................................................ 2

2 RESULTADOS ...................................................................................................................... 3

IMPORTANCIA DE CONCLUIR EL PROCESO DE IMPLEMENTACIÓN DEL MODELO DE ARQUITECTURA DE INFORMACIÓN ..... 3

EL MAI COMO ELEMENTO DEL PROCESO DE PLANIFICACIÓN ESTRATÉGICA ............................................................. 3

PRODUCTOS GENERADOS POR EL PROCESO DE CONSTITUCIÓN DEL MAI ................................................................. 6

EL SISTEMA DE ARQUITECTURA INSTITUCIONAL (SAI), COMO HERRAMIENTA AUTOMATIZADA PROPUESTA POR EL TSE

PARA EL DESARROLLO DEL MAI ............................................................................................................................ 8

EFECTOS DE LA AUSENCIA DE UN MAI EN EL TSE.............................................................................................. 12

3 CONCLUSIONES ................................................................................................................ 15

4 DISPOSICIONES ................................................................................................................ 16

AL DR. LUIS ANTONIO SOBRADO GONZÁLEZ, PRESIDENTE DEL TRIBUNAL SUPREMO DE ELECCIONES, O A QUIEN EN SU

LUGAR OCUPE EL CARGO ................................................................................................................................... 16


INFORME Nro. DFOE-PG-IF-06-2013

RESUMEN EJECUTIVO

¿Qué examinamos?

Esta auditoría de carácter especial evalúo el grado de implementación del modelo de arquitectura de la información en el Tribunal Supremo de Elecciones, con el fin de determinar su utilización como un componente de la planificación estratégica para la gestión de tecnologías de información.

¿Por qué es importante?

La implementación de un modelo de arquitectura de información en el Tribunal Supremo de Elecciones le permite contar con una herramienta orientada a la obtención de información acerca de los procesos del negocio, tanto actuales como futuros, así como las aplicaciones y bases de datos que soportan esos procesos; todo ello como un insumo para la planificación y toma de decisiones tanto estratégicas como tecnológicas, que le permitan contribuir con el desarrollo y cumplimiento de los objetivos institucionales.

¿Qué encontramos?

El Tribunal Supremo de Elecciones incorporó en el Plan Estratégico Institucional 2008-2013, la Acción Estratégica (AE) 7.3 denominada “Desarrollo y mantenimiento del Sistema de arquitectura institucional SAI”, orientada a la elaboración del Modelo para la arquitectura de información, la cual en el año 2011 se fusionó con la acción estratégica 2.3 correspondiente a la “Implementación de un sistema de gestión de calidad”. Actualmente la función que realiza el equipo encargado del MAI como parte del Sistema de gestión de calidad (SGC), se orienta al mantenimiento del mapeo de procesos, actividad que se ha constituido en el insumo principal para apoyar el proceso de gestión de certificación en calidad.

No obstante que el TSE definió como parte de su estrategia institucional la elaboración de un MAI para fortalecer su proceso de planificación institucional, y que para ello consideró oportuno contar con un sistema experto para la toma de decisiones estratégicas (Sistema de arquitectura de información – SAI), a la fecha de este estudio, pese a los esfuerzos realizados, no se ha concluido con la implementación del MAI, ni con el desarrollo de dicho sistema, que le permita contar con la información necesaria para la toma de decisiones.


¿Qué sigue?

Al respecto se emitieron disposiciones al Presidente del Tribunal Supremo de Elecciones para que someta a conocimiento de los señores Magistrados el presente informe y previo acuerdo de dicho órgano electoral proceda a: girar las instrucciones necesarias para que el Modelo de arquitectura de información sea reubicado dentro de las prioridades institucionales, a fin de consolidarlo como herramienta que contribuya a la planificación y toma de decisiones estratégicas en el ámbito institucional; además, ordenar que se elabore un plan de actividades orientado a consolidar el Modelo de arquitectura de información y una vez aprobado por las instancias internas que se estime necesarias, se comunique a las unidades y a los funcionarios responsables de su ejecución; girar las instrucciones a los responsables de la ejecución del plan de actividades señalado con antelación, para que mediante informes periódicos se haga del conocimiento de las instancias superiores, el avance de los resultados en la consolidación del Modelo de arquitectura de información.


INFORME Nro. DFOE-PG-IF-06-2013

DIVISIÓN DE FISCALIZACIÓN OPERATIVA Y EVALUATIVA

ÁREA DE FISCALIZACIÓN DE SERVICIOS PÚBLICOS GENERALES

INFORME DE LOS RESULTADOS DE LA AUDITORIA DE CARACTER ESPECIAL SOBRE LA IMPLEMENTACIÓN DEL MODELO DE ARQUITECTURA DE LA INFORMACIÓN EN

EL TRIBUNAL SUPREMO DE ELECCIONES

1 INTRODUCCIÓN

OBJETIVO

1.1 El objetivo general de la auditoría fue evaluar el grado de implementación del modelo de arquitectura de la información (MAI) en el Tribunal Supremo de Elecciones (en adelante TSE), con el fin de determinar su utilización como un componente de la planificación estratégica para la gestión de tecnologías de información.

NATURALEZA Y ALCANCE

1.2 El análisis comprendió las actividades efectuadas por el Tribunal Supremo de Elecciones orientadas a la implementación del modelo de arquitectura de información en esa institución.

1.3 El período objeto de estudio abarcó lo actuado por el TSE entre el año 20091 y el 2012, y se amplió en aquellos casos en los que se consideró pertinente.

1.4 La auditoría se realizó de conformidad con lo establecido en el Manual de Normas Generales de Auditoría para el Sector Público, el Manual General de Fiscalización Integral, y las técnicas y prácticas de la profesión de auditoría.

METODOLOGÍA APLICADA

1.5 El estudio se ejecutó utilizando técnicas de auditoría como son la entrevista, la confirmación, consulta y análisis de documentos. Como parte de la información analizada se consideró lo relativo a la documentación consultada y facilitada en las diferentes entrevistas realizadas, así como en las solicitudes de información planteadas por escrito.

1 Según oficio Nro. FOE-SD-467 (6263) del 26 de junio de 2009.

-2-


1.6 La verificación de esta auditoría se centró en la revisión de las acciones efectuadas por la Administración orientadas a la implementación, mantenimiento y actualización del MAI en el TSE, los productos obtenidos, así como su incorporación en la planificación y toma de decisiones estratégicas en el ámbito institucional.

ANTECEDENTES

1.7 En el 2006, la Contraloría General de la República emitió el informe Nro. DFOE-GU-13-2006 cuyo objetivo estuvo orientado a determinar si el TSE disponía de un modelo de arquitectura de información, como una herramienta orientadora del proceso de planificación estratégica, que le facilitara, entre otros aspectos, dimensionar, de una manera razonablemente justificada, las necesidades de infraestructura tecnológica en función de la información requerida por el negocio, de tal forma que los recursos destinados para la implementación, adquisición y mantenimiento de las tecnologías de información (TI) se invirtieran en forma eficiente, eficaz y económica.

1.8 Mediante el informe citado se lograron determinar aspectos objeto de mejora, relacionados con el proceso de planificación estratégica y toma de decisiones en el ámbito institucional, teniendo como base una gestión efectiva de las tecnologías de información. Para ello los señores Magistrados del TSE giraron, en su momento, las órdenes necesarias con el propósito de conformar un equipo de trabajo que se encargara del levantamiento de requisitos para una adecuada implementación y mantenimiento del MAI en el TSE.

Comunicación preliminar de los resultados de la Auditoría

1.9 La comunicación preliminar de los principales resultados, conclusiones y disposiciones, producto de la auditoría a que alude el presente informe, se efectuó el pasado 1° de julio de 2013 en el Salón de Expresidentes, ubicado en el sexto piso del edificio del Tribunal Supremo de Elecciones (TSE). Se contó con la presencia de los siguientes funcionarios del Tribunal Supremo de Elecciones: Luis Antonio Sobrado González, Magistrado Presidente; Eugenia María Zamora Chavarría, Magistrada Vicepresidenta; Magistrado Max Alberto Esquivel Faerron; Magistrada Marisol Castro Dobles; Magistrado Fernando del Castillo Riggioni; José Francisco Rodríguez Siles, Director Ejecutivo; Ing. Ma. Auxiliadora Protti Quesada, Encargada, Sistema Gestión de Calidad; Armenia Masís Soto, Directora de Estrategia Tecnológica; Oscar A. León Alonso, Auditor Interno; actividad a la que se convocó mediante el oficio Nro. 6420 (DFOE-PG-215) del 27 de junio de 2013.

1.10 En dicha reunión y en cumplimiento de las “Directrices para la remisión del borrador del informe de fiscalización posterior”, por medio del oficio Nro. 6539 del 1° de julio de 2013, se le entregó al Dr. Luis Antonio Sobrado González, Magistrado Presidente, copia digital del borrador del presente informe. Lo anterior, a efecto de obtener las observaciones y sustento documental que la Administración tuviera al respecto.

-3-


1.11 Sobre el particular, este Órgano Contralor recibió el oficio Nro. STSE-1553-2013 del 4 de julio de 2013, suscrito por el Sr. Erick Guzmán Vargas, Secretario General del Tribunal Supremo de Elecciones, con el cual adjuntan el oficio DE-1381-2013(Sustituir) del 3 de julio de 2013 remitido por el Sr. Francisco Rodríguez Siles, Director Ejecutivo de esa institución, mediante el cual consignó comentarios a los resultados contenidos en el borrador del informe, específicamente en los puntos 2.4, 2.6, 2.9, 2.36 y 2.37, referentes a la importancia de concluir con el proceso de implementación del modelo de arquitectura de información.

1.12 Una vez analizadas y verificadas las argumentaciones expuestas en el oficio de referencia, este Órgano Contralor procede a realizar los ajustes pertinentes al informe, en los apartes correspondientes, según la suficiencia y razonabilidad de la evidencia aportada y aquella recopilada por el equipo de fiscalización para fundamentar los resultados del estudio. El análisis de la información aportada por la Administración se muestra en el anexo dos a este informe.

2 RESULTADOS

2.1 En el 2006, los Señores Magistrados del TSE solicitaron2 al entonces Comité Gerencial de Informática (CGI) preparar y presentar un plan de trabajo, así como un cronograma tendiente a construir un modelo de arquitectura de información en atención a lo dispuesto por este Órgano Contralor en el informe Nro. DFOE-GU-13-2006. Para ello se conformó un equipo de trabajo que se encargaría del levantamiento de requisitos para la implementación y mantenimiento del MAI. Como mecanismo de control tendiente a monitorear el avance de las acciones efectuadas por este equipo de trabajo, debían remitirse informes periódicos a los señores Magistrados, así como a los diferentes comités encargados de brindarle seguimiento a las actividades propuestas y efectuadas por ese equipo. Entre las acciones llevadas a cabo por ese equipo de trabajo, se cita la búsqueda de posibles opciones de software para la implementación de una herramienta automatizada que sirviera de base para la planificación y toma de decisiones estratégicas a cargo de los jerarcas institucionales.

IMPORTANCIA DE CONCLUIR EL PROCESO DE IMPLEMENTACIÓN DEL MODELO DE ARQUITECTURA DE INFORMACIÓN

EL MAI COMO ELEMENTO DEL PROCESO DE PLANIFICACIÓN ESTRATÉGICA

2.2 Como parte de las acciones realizadas para la implementación del MAI el Tribunal Supremo de Elecciones incorporó en el Plan Estratégico Institucional (PEI)3 correspondiente al sexenio 2008-2013, la Acción Estratégica (AE) 7.3 denominada

2 Acta Nro. 145-2006 del 13 de junio de 2006. 3 El TSE aprobó en la sesión Nro. 20-2007 del 22 de febrero de 2007, comunicado con el oficio Nro. TSE-874-2007 del 26 de febrero del

mismo año, el marco filosófico institucional (Misión, Visión y Valores). El Comité Ejecutivo del Plan Estratégico Institucional (CEPEI) solicitó que el PEI vigente se amplíe al 31 de diciembre del 2013, quedando su vigencia del 2008 al 2013, lo cual fue aprobado en sesión ordinara Nro. 91-2011 del 4 de octubre del 2011 y comunicado con oficio Nro. STSE-2915-2011 de misma fecha.

-4-


“Desarrollo y mantenimiento del Sistema de arquitectura institucional SAI”, cuyo objetivo consistió en “Fortalecer la capacidad gerencial en la toma de decisiones del Tribunal Supremo de Elecciones, mediante el mantenimiento del SAI4 (Sistema de arquitectura de información)” (lo indicado entre paréntesis no corresponde al original).

2.3 De acuerdo con lo señalado5 por la encargada del Área de Planificación Institucional del TSE, la incorporación de esa acción estratégica se realizó tomando en cuenta el impacto del desarrollo de esa actividad en el ámbito institucional. La citada acción estratégica planteó una serie de metas y actividades para la implementación del Modelo para la arquitectura de información e infraestructura (MAII)6 en el TSE (Ver Anexo Nro. 1).

2.4 El equipo designado para la elaboración del MAI, conformado por el encargado de la acción estratégica y tres asistentes, debía enviar informes periódicos al Comité Ejecutivo del Plan Estratégico Institucional (CEPEI)7 con el propósito de comunicar el desarrollo de las actividades propuestas. En esos documentos se indica el porcentaje de avance de cada una de las actividades emprendidas; la gran mayoría fueron concluidas según lo propuesto; sin embargo, otras actividades programadas no fueron cerradas o finiquitadas según lo planificado, esto debido a: la contratación tardía del recurso humano especializado (programador); el trabajo efectuado en la recolección de información en todo el TSE; la búsqueda de posibles opciones para utilizar un software para la recolección y análisis de toda la información recopilada; la recopilación de la información, así como la labor de convencimiento del cambio de esquema laboral orientado a pasar de un trabajo enfocado a funciones a un sistema por procesos, estuvo a cargo del equipo señalado.

2.5 De las actividades efectuadas por ese equipo, se puede señalar la búsqueda de opciones de software para el levantamiento de procesos para efectuar la representación de los diferentes flujos de procesos institucionales. Una vez seleccionado el software se capacitó a los funcionarios de la institución con el fin de que cada área se encargara del levantamiento y representación de los procesos, y a su vez mantenerlos actualizados.

4 Punto c) del artículo segundo del acta de los señores Magistrados Nro. 44-2007 del 22 de mayo de 2007. 5 Entrevista realizada el 4 de febrero de 2013, como parte del desarrollo del estudio. 6 MAII: Modelo para la arquitectura de información e infraestructura, es el nombre propuesto por los encargados de la AE 7.3. (Acta del

CEPEI Nro. 10-2010, del 16 de diciembre de 2010). Se define como “una representación de los procesos y procedimientos con una visión integral donde se plasma (sic) todas las relaciones entre las áreas organizacionales, funcionales y operacionales, con los sistemas de información que en un momento determinado se tienen”, fuente: “Guía informativa de gestión de procesos”.

7 El Comité Gerencial de Informática se transformó en julio de 2007 en el Comité Asesor en Tecnologías de Información (CATI) el cual funcionó como una instancia asesora y de apoyo del TSE en las decisiones sobre asuntos estratégicos en materia de TI. El CATI funcionó hasta el 5 de abril de 2011, sus funciones fueron asumidas por el Comité Ejecutivo del Plan Estratégico Institucional (CEPEI).

Fuente:http://www.consulta.tse.go.cr/pdf/informes_gestion/inf_final_fernandoviquez.pdf?zoom_highlight=Comit%E9+asesor+en+tecnolog%EDas+de+informaci%F3n#search="Comité asesor en tecnologías de información”, y el oficio DE-0149-2013 del 24 de enero de 2013.

-5-


2.6 Asimismo, producto de las actividades realizadas por el equipo encargado del MAI se aborda el concepto del modelo de arquitectura empresarial8 (MAE), el cual engloba como uno de sus componentes al modelo de arquitectura de información (MAI). Si bien este concepto se hizo del conocimiento del nivel intermedio9 del TSE, no se logró determinar que éste tema fuera analizado y discutido en las sesiones10 de los señores Magistrados.

2.7 Por otra parte, desde el 2009, se valoró la posibilidad de fusionar la acción estratégica de la implementación del MAI con las actividades orientadas a la implementación de un sistema de gestión de calidad, aspecto que se denota en el acta de los señores Magistrados, Nro. 130-200911, en la cual se conoce el oficio Nro. DE-1564-2009 del 22 de diciembre de 2009, indicándose en el punto 4. lo siguiente:

“…podría adelantarse trabajo para disminuir las brechas entre lo existente y lo estipulado en la norma ISO 9001:2008, por lo que sugiere que a partir de marzo de 2010 se integre un equipo de trabajo (…), el cual funcionaría como administrador del “Sistema de Gestión de Calidad” e incluiría las labores del grupo SAI/MAI que tiene a cargo la acción estratégica 7,3 “Sistema de Arquitectura de la Información”, pues esta constituiría una plataforma fundamental de un sistema ISO 9001.” (El resaltado no pertenece al original).

2.8 La acción estratégica 7.3 citada, relativa al Modelo para la arquitectura de información e infraestructura estuvo a cargo del Departamento de Informática; no obstante, en el 2011 fue trasladada a la Dirección Ejecutiva12. Posteriormente, se fusiona con la acción estratégica 2.3 “Implementación de un sistema de gestión de calidad”13, la cual considera los procesos relacionados con los servicios electorales y registrales.

2.9 Es oportuno señalar que esta Contraloría General reconoce el esfuerzo realizado por el TSE para obtener la certificación internacional ISO 9001:200814. Entre los beneficios obtenidos por el TSE, al encontrarse en un proceso de certificación de calidad, están contar con procedimientos actualizados y aprobados por la Dirección respectiva o por la Secretaría General del Tribunal, según corresponda; con ello cumple tanto con la

8 La arquitectura empresarial tiene como principal objetivo garantizar la correcta alineación de la tecnología y los procesos de negocio en

una organización, con el propósito de alcanzar el cumplimiento de sus objetivos estratégicos. Es el esquema mediante el cual se representan todos los componentes, procesos y políticas que maneja una organización a través de modelos que permiten alinear las reglas y objetivos del negocio con la tecnología, sistemas de información e infraestructura.

Fuente: http://www.revistaempresarial.com/tic/arquitectura-empresarial-alineando-procesos-de-tecnologia.html 9 Dado a conocer en el informe del 2008 “Manual de Ejecución de la Acción Estratégica” y en el artículo cuarto del acta Nro. 4-2010 del

CEPEI realizada el 6 de mayo de 2010. 10 Consulta de las actas del TSE en la página Web de esa institución. 11 Realizada el 29 de diciembre de 2009. 12 PUNTO SETIMO. ASUNTOS INTERNOS DIVERSOS del acta de los Señores Magistrados Nro. 53-2011 realizada el 2 de junio dos mil

once. 13 En el acta del CEPEI Nro. 13-2011 del 13-12-2011, se cita el oficio Nro. STSE-1564-2011 del 3 de junio de 2011. 14 Especifica los requisitos para un Sistema de Gestión de la Calidad (SGC) que pueden utilizarse para su aplicación interna por las

organizaciones, sin importar si el producto o servicio lo brinda una organización pública o empresa privada, cualquiera sea su tamaño, para su certificación o con fines contractuales. (Tomado de: http://es.wikipedia.org/wiki/ISO_9001. Página consultada el 31 de enero de 2013.)

http://www.revistaempresarial.com/tic/arquitectura-empresarial-alineando-procesos-de-tecnologia.html

http://es.wikipedia.org/wiki/ISO_9001

-6-


cláusula 4.2.3 de la Norma ISO 9001:2008, como con el artículo 15 de la Ley General de Control Interno, Nro. 8292, que solicita documentar y mantener actualizados así como divulgadas las políticas, las normas y los procedimientos institucionales.

2.10 Otro aspecto a ser destacado, es la revisión y depuración que ha llevado a cabo el TSE de los procedimientos internos, derivándose de ello la eliminación de trámites repetidos o requisitos que no tenían asidero en la normativa vigente, atendiéndose con esta acción lo estipulado por la Ley de protección al ciudadano del exceso de requisitos y trámites administrativos, Nro. 8220.

2.11 Si bien el TSE definió como parte de su estrategia institucional la elaboración de un MAI para fortalecer su proceso de planificación estratégica, a la fecha de este estudio, pese a los esfuerzos realizados, no ha concluido su implementación; por otra parte, no se logró ubicar un plan de trabajo mediante el cual se pueda determinar el grado de avance y conocer cuáles son las tareas pendientes para amalgamar su consecución.

PRODUCTOS GENERADOS POR EL PROCESO DE ELABORACIÓN DEL MAI

2.12 Mediante consulta realizada a la encargada de la acción estratégica 2.3 relacionada con la implementación del sistema de gestión de calidad, donde actualmente se ubica el equipo MAI, sobre los principales insumos que ha generado el proceso de elaboración del MAI para el TSE, indicó15 lo siguiente:

“a. Principales insumos generados del MAII para la administración. o Adopción del enfoque de procesos en la institución. o Clasificación de los procesos institucionales en procesos de misión, gestión o

control. o Estandarización de la utilización del BPM (Business Process Modeler) como

estándar institucional en el diseño de procesos y flujos. o El diseño de los procesos civiles con BPM. o Trabajo en conjunto con las Acciones Estratégicas (AE) de Gobierno Digital y

Rediseño de Sistemas Civiles y Electorales para el análisis (Sic) los procesos civiles a considerar en la eventual modernización de estos sistemas (Acciones ya cerradas).

o Aportes al Proyecto de Modernización de la Cédula de Identidad en el aspecto de indicadores del proceso, como insumos para el borrador del respectivo cartel de licitación.

o Identificación de la Arquitectura de la Información Institucional. o Definición de la estructura de clasificación de productos y servicios,

clasificación de la información, clasificación de instrumentos, la estructura sistémica institucional e indicadores.

o Identificación de los requerimientos para un eventual "Sistema de Inteligencia Institucional" automatizado.

o Establecimiento y oficialización de las políticas para el mantenimiento de la información del MAI.

15 Oficio Nro. AE-2.3-036-2013 del 20 de marzo de 2013.

-7-


o Selección e identificación de herramientas de software libre "Freemind" y "BiZagi” como estándares de trabajo para la documentación de procesos; así como capacitación de personal en las diversas unidades organizativas en el uso de estas herramientas sucedáneas a Microsoft®.

o Conceptualización y diseño del Sistema de Arquitectura de la Información (SAI) del TSE.

o Entrega a la Dirección General de Estrategia Tecnológica (DGET) de los requerimientos de usuario para el SAI.”

2.13 De los productos generados por el equipo encargado del MAI, la encargada de la acción estratégica 2.3 indicó16 que actualmente están siendo utilizados solamente los siguientes: el enfoque a procesos, según el principio 4 de la norma ISO 9000; la clasificación y el mapeo de procesos; los procedimientos de los procesos como base fundamental de la gestión documental, según la cláusula 4 de la norma ISO 9001:2008; y el levantamiento de información de procesos registrales y electorales.

2.14 También se indicó17 que, actualmente la función que realiza el equipo encargado del MAI dentro del Sistema de gestión de calidad (SGC) está orientada al mantenimiento del enfoque a procesos en la institución y de los mapas de procesos en donde se identifican interacciones requeridas por el SGC (cláusula 0 de la norma ISO 9001:2008); apoyo a las unidades organizativas con el manejo documental de los procesos; mantenimiento del sistema documental que requiere la cláusula 4 de la norma ISO 9001:2008; y apoyo para la mejora continua del SGC.

2.15 En relación con la perspectiva a futuro para el MAI en el TSE, se tienen identificados dos componentes18: uno relacionado con la clasificación de la información y el mantenimiento de los procesos, a cargo del Sistema de Gestión de Calidad; y el otro orientado a la toma de decisiones en materia de tecnologías de información, cuyo responsable es la Dirección General de Estrategia Tecnológica.

2.16 De acuerdo con lo indicado, los componentes relacionados con la implementación del MAI estarían siendo desarrollados por dos instancias ubicadas actualmente en diferentes ámbitos organizacionales. Al respecto, es necesario tener presente la necesidad de contar al menos con un comité directivo encargado de brindar la dirección general del proyecto, el cual sería el responsable de dotar los recursos necesarios, evaluar el avance de los cronogramas propuestos y de los productos obtenidos durante la realización del proyecto; así como el gerente del proyecto, quien debe encargarse de liderar las actividades propias de éste para cumplir con las expectativas, el alcance y el cronograma establecido para la consecución del MAI.

16 Oficio Nro. AE-2.3-036-2013 del 20 de marzo de 2013. 17 Oficio Nro. AE-2.3-036-2013 del 20 de marzo de 2013. 18 Oficio Nro. AE-2.3-036-2013 del 20 de marzo de 2013.

-8-


2.17 Si bien el TSE ha realizado esfuerzos para formular e implementar un MAI, lo correspondiente al levantamiento de procesos, ha sido la actividad más constante en su desarrollo y actualización; prueba de ello es que se ha constituido en el insumo principal para apoyar el proceso de gestión de certificación en calidad, según se puede apreciar en las labores que actualmente atiende el equipo MAI, las cuales se enfocan en el mantenimiento y actualización de los mapas de procesos.

2.18 Al respecto, la Norma 3.1 de las Normas técnicas para la gestión de las tecnologías de información19 relacionada con las consideraciones generales de la implementación de TI, menciona que la “organización debe implementar y mantener las TI requeridas en concordancia con su marco estratégico, planificación, modelo de arquitectura de información e infraestructura tecnológica.” En referencia a la implementación y mantenimiento de las TI, en el inciso h. de esa misma norma se indica que la organización debe “Formular y ejecutar estrategias de implementación que incluyan

todas las medidas para minimizar el riesgo de que los proyectos no logren sus objetivos, no satisfagan los requerimientos o no cumplan con los términos de tiempo y costo preestablecidos.”

EL SISTEMA DE ARQUITECTURA INSTITUCIONAL (SAI), COMO HERRAMIENTA AUTOMATIZADA PROPUESTA

POR EL TSE PARA EL DESARROLLO DEL MAI

2.19 El TSE propuso20 la creación del Sistema de arquitectura de información (SAI), como una herramienta automatizada para apoyar al MAI en la toma de decisiones estratégicas en TI. Con ello, se procuraba que el SAI, en el ámbito institucional, fuera como “…el sistema nervioso de la organización, que permite a los eventos que suceden en cualquier parte de la estructura organizativa y de procesos, puedan (sic) establecer una comunicación bidireccional entre el origen y el tomador de decisiones.”21

2.20 No obstante, al momento de la realización de este estudio, el SAI no se encuentra en operación. Este aspecto se ratifica con lo señalado en el informe del 2009 denominado “Estudio de fundamentos teórico – prácticos de requerimientos para futura herramienta de apoyo a la toma de decisiones”, elaborado por el encargado del equipo del MAI, en el que se indica, en lo de interés, lo siguiente:

19 Nro. N-2-2007-CO-DFOE, promulgadas por medio de la Resolución Nro. R-CO-26-2007 del 7 de junio de 2007, publicada en La Gaceta

Nro. 119 del 21 de junio de 2007. 20 Por medio del equipo encargado de la Acción Estratégica 7-3 encargado del Desarrollo y mantenimiento del Sistema de arquitectura

institucional. 21 Página 7 del documento “Estudio de fundamentos teórico-prácticos de requerimientos para futura herramienta de apoyo a la toma de

decisiones” 2009.

-9-


“La problemática de no contar con una herramienta automatizada fue solventada con la identificación del software llamado Bizagi, para continuar sin graves inconvenientes el proceso de actualización de la información. Debido al éxito obtenido con la herramienta se toma la decisión de no dar mantenimiento a la aplicación SAI ver.1 que sirvió de manera excelente para cumplir con las exigencias de la CG , pero que resultó poco exible para la actuali ación”.22 (El resaltado no pertenece al original).

2.21 Por otra parte, mediante el acta del CEPEI Nro. 2-201123, se evidencia que el SAI no contó con los recursos necesarios para su desarrollo, tal y como lo señala el encargado de la entonces acción estratégica (AE) 7.3:

“Una vez recibido y analizado el Oficio N° DE-140-2011, en el que se me informa los recursos asignados a la acción estratégica a mi cargo, le comunico que he llegado a la conclusión de que con los recursos aprobados no se pueden desarrollar los objetivos N° 5 y N° 6 a cabalidad. (…)/El objetivo N° 5 será eliminado de la planificación, debido a que no fueron aprobados los profesionales de apoyo y de gestión solicitados en el POA 2011, sin este recurso humano no es posible desarrollar el SAI, (…) por otra parte me permito recordarle que sí fueron aprobadas las licencias de Base de Datos y de Desarrollo, pero de igual manera al no contar con el personal profesional mencionado no se tiene oportunidad de emplearse en dicho desarrollo, por lo cual le comunico que no se requieren comprar. Para el Objetivo N° 6, no fueron aprobadas las asesorías que se solicitaron ‘para la definición de un sistema experto para el TSE‘ y ‘para la consolidación de la arquitectura empresarial en el SAI‘, ambas de vital importancia para definir los fundamentos de un sistema experto acorde a la Institución, para establecer condiciones que propicien el empleo de una herramienta inteligente, (…).” (El resaltado no pertenece al original).

2.22 Considerando que el Tribunal Supremo de Elecciones, propuso la creación del SAI como un elemento fundamental para el desarrollo del MAI, se consultó sobre la incorporación del diseño e implementación del mencionado sistema en la cartera de proyectos del TSE. Sobre el particular, se determinó que en la actualidad el TSE no cuenta con un Plan Estratégico de Tecnologías de Información (PETI); en sustitución de éste, en el Plan Estratégico Institucional (PEI) 2008-2013 se incluyeron acciones estratégicas con componentes relacionados con TI, para ello se elaboró el documento denominado “Estrategia institucional en tecnologías de información”24.

22 Página 28 del documento “Estudio de fundamentos teórico-prácticos de requerimientos para futura herramienta de apoyo a la toma de

decisiones” 2009. 23 Sesión efectuada el 24 de febrero de 2011. 24 Documento aprobado por el TSE en sesión ordinaria Nro. 11-2009 del 5 de febrero de 2009, comunicado en oficio Nro. STSE-355-2009.

-10-


2.23 La Dirección General de Estrategia Tecnológica (DGET)25 elaboró el documento denominado “Estrategia de Transición de TI 2011-2013”26, con el cual se presenta un análisis de la estrategia institucional relacionada con tecnologías de información y del impacto que tienen en las diversas iniciativas presentadas en el PEI 2008-2013. Como parte del accionar de la referida Dirección General, se cuenta con la definición de una cartera de proyectos27 de tecnologías de información, la cual se puede apreciar en el siguiente cuadro.

Cuadro Nro. 1 Dirección General de Estrategia Tecnológica

Cartera de Proyectos

Proyecto Estado actual

1. Digitalización de documentos. Proyecto pendiente.

2. Modernización del Sistema de Emisión de TIM. Proyecto pendiente.

3. Proyecto de Implementación del Sistema de Información Geográfico Electoral.

Este proyecto lo asume la Dirección General del Registro Electoral y Financiamiento de Partidos Políticos.

4. Proyecto de Modernización del Documento de Identidad y actualización en línea del Padrón.

En ejecución.

5. Proyecto de Rediseño de los Sistemas Civil, Electoral y Elecciones.

En ejecución.

6. Proyecto Sustitución del Servidor Central. Finalizado.

7. Voto Electrónico. Proyecto pendiente.

Fuente: Elaboración propia a partir de los datos mostrados en el Cuadro Nro. 4 de la “Cartera de Proyectos TI” del documento “Estrategia de transición TI 2011-2013”.

2.24 Aunado a lo anterior, según las prioridades previamente establecidas por los señores Directores del TSE, la DGET tiene los siguientes tres grandes proyectos que se encuentran en ejecución:

MSCI – Mejoras al Sistema de Emisión de Documento de Identidad MSIC – Modernización de los Sistemas que soportan el proceso Civil MSIE – Modernización de los Sistemas que soportan el proceso Electoral.

25 Creada a partir del 1° de mayo de 2011, según se indica en la sesión ordinaria de los Señores Magistrados Nro. 038-2011 del 26 de abril

del mismo año. 26 Documento aprobado por el TSE en la sesión ordinaria Nro. 063-2012, del 24 de julio de 2012, comunicado con el oficio STSE-2740-2012

de la misma fecha. 27 Información confirmada por correo electrónico del 4 de abril de 2013.

-11-


2.25 Ante consulta planteada por este Órgano Contralor sobre el estado actual del SAI, la encargada de la AE 2.3, responsable de la implantación de un sistema de gestión de calidad en el TSE, señaló28 que:

“La versión 1 del SAI, fue una herramienta diseñada exclusivamente para recopilar la información del MAI inicialmente elaborada con herramienta Excel, de manera que fuese más eficiente realizar correcciones por parte del equipo de trabajo de entonces. Su diseño fue requerido con premura y para una situación muy particular. Es por esta razón que, aunado a la necesidad de actualizar la información y que la herramienta pudiera apoyar la toma de decisiones, se optó por investigar y diseñar una nueva herramienta que vendría a ser la versión 2 del SAI./Los requerimientos que se recopilaron para esta última versión del SAI fueron entregados a la Dirección de Estrategia Tecnológica en agosto de 2012 (sic), por ser de su competencia su eventual desarrollo informático.” (El resaltado no pertenece al original. Donde se indica “agosto 2012” léase que corresponde al año 201129).

2.26 Sobre este mismo tema, la Directora a.í. de Estrategia Tecnológica comentó30 que los requerimientos del SAI están a un nivel básico de usuario; considera que esa Dirección debe efectuar un análisis profundo en el contexto institucional sobre la necesidad de contar con un sistema de este tipo. Para ello, en la DGET están conscientes de la necesidad de fortalecer otros sistemas del TSE, que se convertirían en proveedores de información para un sistema experto para la toma de decisiones.

2.27 Si bien el TSE propuso la creación del SAI como una herramienta para la toma de decisiones estratégicas en TI y el cual a su vez contribuiría y apoyaría en la información que presenta el MAI; su desarrollo no forma parte de la cartera de proyectos de tecnologías de información (ver cuadro Nro. 1 anterior); situación que fue confirmada31 por la Directora a.í. de la DGET, al indicar que el SAI no forma parte de las prioridades de desarrollo actuales de esa dirección. La propuesta de una nueva versión del SAI se encuentra en una “lista de requerimientos”, que será valorada por los Jerarcas Superiores, para ser incluidos en la cartera de proyectos los cuales formarán parte del PETI correspondiente al siguiente período que inicia a partir del 2014, según los lineamientos brindados por Planificación Institucional.

2.28 En razón de lo expuesto, y pese a los esfuerzos realizados, el TSE a la fecha de este estudio, no ha logrado desarrollar el sistema automatizado propuesto, que le permita apoyar el proceso de planificación y toma de decisiones en el ámbito estratégico; el cual le facilite visualizar de manera integral los diferentes procesos institucionales, la información generada y los requerimientos tecnológicos necesarios para su apoyo.

28

Mediante el oficio AE-2.3-036-2013 del 20 de marzo de 2013. 29

Documento remitido a la Dirección General de Estrategia Tecnológica por parte de la Encargada de la AE 2.3 mediante el oficio Nro. AE-2.3-056-2011 del 30 de agosto de 2011.

30 Entrevista realizada el 21 de febrero de 2013, como parte del desarrollo del estudio.

31 Entrevista realizada el 21 de febrero de 2013, como parte del desarrollo del estudio.

-12-


2.29 Aspectos como los señalados, contravienen lo estipulado en el artículo 16 de la Ley General de Control Interno Nro. 8292, que establece para el jerarca y los titulares subordinados, como responsables del buen funcionamiento del sistema de información, entre otros deberes, los siguientes:

a) Contar con procesos que permitan identificar y registrar información confiable,

relevante, pertinente y oportuna (…)

b) Armonizar los sistemas de información con los objetivos institucionales y verificar que sean adecuados para el cuido y manejo eficientes de los recursos públicos.

2.30 Al respecto, la Norma 2.2 Modelo de arquitectura de información de las Normas técnicas para la gestión de las tecnologías de información32 indica que “La organización debe optimizar la integración, uso y estandarización de sus sistemas de información de manera que se identifique, capture y comunique, en forma completa, exacta y oportuna, sólo la información que sus procesos requieren.”.

2.31 Por su parte, en el objetivo PO2.1 de las mejores prácticas recogidas en el documento denominado COBIT 4.133, refiere que se debe “Establecer y mantener un modelo de información empresarial que facilite el desarrollo de aplicaciones y las actividades de soporte a la toma de decisiones, consistente con los planes de TI como se describen en P01. El modelo debe facilitar la creación, uso y el compartir en forma óptima la información por parte del negocio de tal manera que se mantenga su integridad, sea flexible, funcional, rentable, oportuna, segura y tolerante a fallos.”.

EFECTOS DE LA AUSENCIA DE UN MAI EN EL TSE

2.32 Uno de los elementos del MAI es la infraestructura tecnológica (diseño general de los sistemas y las bases de datos que soportan los procesos institucionales), es por ello que esta Contraloría General dispuso que el TSE debería contar con un diseño general de los sistemas y bases de datos que operan en esa institución, para lo cual el TSE se abocó a la construcción de ese diseño apoyado en la implementación del SAI.

2.33 Al respecto se le consultó a la encargada del Sistema de Gestión de Calidad (SGC), donde actualmente se encuentra asignado funcionalmente el desarrollo del proyecto de elaboración del MAI, indicando lo siguiente:

32

Nro. N-2-2007-CO-DFOE, promulgadas por medio de la Resolución Nro. R-CO-26-2007 del 7 de junio de 2007, publicada en La Gaceta Nro. 119 del 21 de junio de 2007.

33 Documento denominado “Objetivos de Control para la Información y la Tecnología Relacionada” y conocido por

sus siglas en inglés como COBIT 4.1. Este documento es desarrollado por la Information Systems Audit and Control Association (ISACA) y el IT Governance Institute (ITGI).

-13-


“En la primera versión de la información contenida en el Sistema de Arquitectura de la Información (SAI) se realizó dicho mapeo. Dado los cambios que ha sufrido la organización y con el nuevo enfoque de procesos requiere actualización, la competencia por el diseño de los sistemas y bases de datos compete al DTIC.”34

2.34 En relación con el tema de infraestructura tecnológica, la Directora a.i. de Estrategia Tecnológica, indicó35 que en la actualidad “no se cuenta con el mapeo objeto de la consulta. No obstante, la Sección de Ingeniería de Software ha realizado el levantamiento de los procesos del modelado del negocio para la modernización de los sistemas electorales, registrales civiles y de identificación.”.

2.35 El hecho de que el TSE recientemente haya experimentado cambios organizacionales, y que actualmente el SAI no esté funcionando, tal y como se señaló con antelación, son situaciones que podrían contribuir a que la información relacionada con el mapeo de los sistemas y bases de datos se encuentre desactualizada.

2.36 A la fecha de realización del presente estudio, pese a que el TSE en su momento definió como parte de sus acciones para la implementación de un MAI, la necesidad de contar con un sistema experto para la toma de decisiones estratégicas, éste no ha sido desarrollado. Hasta el momento, el producto visible y aprovechable por el TSE es el correspondiente al levantamiento de procesos. Si bien éste es un insumo importante, el cual es aprovechado para el trabajo de certificación en gestión de calidad en que actualmente se encuentra el TSE, es uno de los productos base para todo lo que se engloba dentro del concepto del modelo de arquitectura institucional. Es necesario mencionar que, el modelo de arquitectura de información como tal, permite a la organización contar con una visión total e integrada del modelo del negocio, para lo cual resulta necesaria la existencia de un diagrama que muestre la visualización de las diferentes relaciones que pueden existir entre los procesos del negocio y los datos, así como la relación y determinación de sus propietarios, un diccionario de datos corporativo, la clasificación de la información, las reglas de acceso a la información, y el establecimiento de los niveles de seguridad para cada clasificación de datos según la identificación realizada.

2.37 Aunado a lo anterior, el no contar con una visión integral del modelo de negocio y de los sistemas que soportan los procesos sustantivos, sustentada en un MAI, contribuye a la generación de soluciones tecnológicas parciales con el riesgo de una probable pérdida de datos o la formación de islas de información.

2.38 En el informe Nro. ICI-01/2011 la Auditoría Interna del TSE cita el documento denominado “Informe final de la primera fase del Proyecto de Implementación de un Sistema de Gestión de la Calidad conforme a la Norma ISO-9001:2008 en los procesos de Registro Civil y Proceso Electoral en el Tribunal Supremo de Elecciones de Costa Rica (SG-

34

Oficio Nro. AE-2.3-036-2013 del 20 de marzo de 2013. 35

Oficio Nro. DGET-082-2013 del 28 de marzo de 2013.

-14-


BID No.01/09)”36, en el cual se hace referencia a los resultados obtenidos del diagnóstico efectuado a los procesos del Registro Civil y Electoral, donde se hace énfasis, dentro del análisis FODA, a la desactualización tecnológica y a la falta de claridad en la información, como importantes debilidades de control interno. También, se evidencia una desactualización en la plataforma tecnológica e inconsistencias en la información generada por el Registro Civil.

2.39 Esta situación fue señalada por este Órgano Contralor en el informe Nro. DFOE-GU-13-2006, al indicar que la “…obsolescencia tecnológica ha provocado problemas de redundancia en las bases de datos que utilizan los sistemas de información. A su vez, dicha obsolescencia eventualmente pudo haber afectado, en alguna medida, la integridad de la información almacenada en esas bases de datos…”37.

2.40 Asimismo, en el citado informe, este Órgano Contralor señaló que el TSE no contaba con un modelo de arquitectura de información; a pesar que se habían realizado esfuerzos e inversiones que le permitirían disponer de información sobre sus procesos de negocio38. Según se indicó en ese momento, la ausencia de un MAI constituye una limitante que puede afectar, entre otros, “…el apropiado dimensionamiento de los procesos del negocio, actuales y futuros, a la luz del marco estratégico en materia tecnológica; la proyección del impacto a nivel de TI, como producto de los cambios en tales procesos; la calidad de la información almacenada en las bases de datos existentes; los requerimientos de tecnologías de información (TI) relacionados con equipos, seguridad y comunicación para el cumplimiento de los objetivos estratégicos; y el aporte de TI a los objetivos institucionales.”.

2.41 Se colige del análisis realizado que, a pesar del trabajo efectuado por el TSE en la atención de las disposiciones emitidas por este Órgano Contralor, a la fecha de este estudio el TSE no ha sido eficaz en la implementación del MAI, situación que conlleva una serie de riesgos relacionados tanto con la obsolescencia tecnológica como modificaciones efectuadas producto del mantenimiento a los sistemas que soportan los procesos claves de la organización, aspectos que podrían ocasionar problemas de redundancia, integridad y seguridad en la información almacenada en las bases de datos. La situación antes descrita viene en detrimento de los sistemas que soportan los procesos sustantivos, de gran importancia tanto para el TSE como para la ciudadanía en general, por el tipo de servicios que esta institución brinda.

36

Presentado al TSE por la empresa Mexicana ABS Group el 12 de febrero de 2010. 37

Pág 9 del informe Nro. DFOE-GU-13-2006. 38

Como producto de una consultoría que realizó el Programa de las Naciones Unidas para el Desarrollo (PNUD). Al respecto ver nota al pie Nro. 3 del informe Nro. DFOE-GU-13-2006.

-15-


3 CONCLUSIONES 2

3.1. El Tribunal Supremo de Elecciones es el órgano constitucional superior en el ámbito electoral, por ello es el responsable de la organización, dirección y vigilancia de todas las actividades relacionados con el sufragio; ejerce su rol constitucional como órgano máximo de la administración electoral y simultáneamente ejerce la jurisdicción electoral. Asimismo, es la institución encargada de los registros de nacimientos, defunciones, emisión de la identificación de menores y de las cédulas de identidad, y demás actos civiles; además, debe mantener un padrón electoral permanente, entre otros.

3.2. Por la naturaleza de los servicios que brinda y las actividades realizadas por el TSE, y la eventual incursión en proyectos tales como el voto electrónico, la incorporación de la firma digital en la cédula de identificación, la incorporación de sus servicios en el ámbito del gobierno digital, entre otros; la implementación del MAI como una herramienta de planificación estratégica, tendiente a apoyar la planificación de corto y largo plazo, le facilitaría a sus Jerarcas contar con una visión integral de la organización. Además, ante un eventual cambio en la organización, se podría dimensionar cómo se afectan sus procesos, los ajustes requeridos y las inversiones necesarias en materia de TI.

3.3. Para lograr lo señalado con antelación, es necesario que los Jerarcas del TSE cuenten con una comprensión clara de cuáles procesos sustantivos están apoyados en tecnologías de información. De la misma forma, resulta necesario conocer cómo fluye la información entre los diversos procesos del negocio, así como determinar cuáles aplicaciones y herramientas tecnológicas son requeridas o demandan algún ajuste para la puesta en marcha de los proyectos que inciden directamente en el accionar del TSE, a efecto de poder brindar los servicios a la ciudadanía en general, satisfaciendo criterios de oportunidad y calidad.

3.4. Si bien el proyecto de implementación del MAI ha brindado insumos de importancia para el proceso de certificación en calidad ISO; su desarrollo y gestión no deben orientarse y enmarcarse solamente en este ámbito. La implementación de un MAI trasciende a toda la organización, lo que demanda la combinación de insumos de diferentes fuentes de información tanto a lo interno como externo de la organización. La administración y el manejo óptimo de la información para la toma de decisiones estratégicas, requiere del apoyo de un sistema de gestión documental que brinde información exacta, oportuna, confiable y completa.

3.5. No obstante los esfuerzos realizados, el TSE aún no ha logrado implementar un MAI; muestra de ello es que éste no ha brindado insumos para la planificación y toma de decisiones estratégicas; tampoco se cuenta con un diseño de arquitectura tecnológica institucional que permita visualizar las relaciones entre: los sistemas (dueños y usuarios), las bases de datos, y los elementos de seguridad necesarios para garantizar la confiabilidad, integridad y disponibilidad de la información. Por otra parte, no han logrado desarrollar e implementar el sistema propuesto para apoyar la toma de

-16-


decisiones relacionadas con la planificación estratégica, y el cual a su vez le permita a los Jerarcas contar con un panorama integral de los procesos y datos que soportan el giro normal de la organización.

4 DISPOSICIONES 3

4.1. Con fundamento en lo expuesto y de conformidad con las competencias asignadas en los artículos 183 y 184 de la Constitución Política y los artículos 12 y 21 de la Ley Orgánica de la Contraloría General de la República, Nro. 7428, se emiten las siguientes disposiciones, las cuales son de acatamiento obligatorio y deberán ser cumplidas dentro del plazo (o en el término) conferido para ello, por lo que su incumplimiento no justificado constituye causal de responsabilidad.

4.2. Este Órgano Contralor se reserva la posibilidad de verificar, por los medios que considere pertinentes, la efectiva implementación de las disposiciones emitidas, así como de valorar la aplicación de los procedimientos administrativos que correspondan, en caso de incumplimiento injustificado de tales disposiciones.

AL DR. LUIS ANTONIO SOBRADO GONZÁLEZ, PRESIDENTE DEL TRIBUNAL SUPREMO DE ELECCIONES, O A

QUIEN EN SU LUGAR OCUPE EL CARGO

Para que someta a conocimiento del Tribunal Supremo de Elecciones el presente informe y previo acuerdo de dicho órgano electoral proceda a:

4.3. Girar las instrucciones necesarias para que el Modelo de arquitectura de información (MAI) sea reubicado dentro de las prioridades institucionales, a fin de consolidarlo como una herramienta que contribuya a la planificación y toma de decisiones estratégicas en el ámbito institucional. Para ello se deberán considerar, al menos, aspectos como la ubicación organizacional, dotación de recursos, productos requeridos e insumos esperados, así como la definición de políticas para la actualización periódica del referido modelo. Remitir a esta Contraloría General, a más tardar el 2 de setiembre de 2013, un oficio donde se indique el cumplimiento de esta disposición.

4.4. Ordenar que se elabore un plan de actividades orientado a consolidar el Modelo de arquitectura de información (MAI), el cual deberá contener al menos: plazos, funcionarios responsables, recursos necesarios e informes de avance. Una vez elaborado el plan de cita, hacerlo del conocimiento de las instancias internas que se estime necesarias a fin de contar con su respectiva aprobación, y posterior a ello, se comunique a las unidades y a los funcionarios responsables de su ejecución. Como parte de la atención de esta disposición, remitir a esta Contraloría General, a más tardar el 2 de setiembre de 2013, un oficio donde se indique que se giró la orden para la confección del referido plan; asimismo, remitir a este Órgano Contralor, al 30 de noviembre de 2013, un oficio mediante el cual se certifique la confección del citado plan; y al 30 de junio de 2014, un oficio donde se certifique que el referido plan se está ejecutando.

-17-


4.5. Girar las instrucciones a los responsables de la ejecución del plan de actividades señalado en la disposición anterior, para que mediante informes periódicos se haga del conocimiento de las instancias superiores, el avance de los resultados en la consolidación del Modelo de arquitectura de información (MAI). Remitir a esta Contraloría General, a más tardar el 2 de setiembre de 2013, un oficio donde se indique que se giraron las instrucciones correspondientes.


Anexo Nro. 1

Resumen de informes de seguimiento y evaluaciones periódicas y anuales de la Acción Estratégica 7.3 Desarrollo de un Sistema de arquitectura institucional (SAI),

correspondientes al periodo del 2008 al 2010

Meta Actividad Resultado / Avance Actividad cerrada (Si/No)

Período 2008

Objetivo específico Nro. 1. Estudiar el MAI para su futura modernización mediante el establecimiento de políticas y procedimientos que permitan mantenerlo actualizado para desarrollarlo hacia el SAI

Meta 1.1 Políticas y procedimientos diseñados a la fecha prevista.

1.1.1.1. Elaborar cronograma trabajo 100% SI

1.1.1.2. Recibir capacitación y estudiar Cobit.

0% Se elimina por falta de recurso humano.

NO

1.1.1.3. Determinar el ámbito del MAI para el TSE

5%

NO

1.1.1.7. Diseñar metodología de integración del COBIT.

N/I Avance en informe, pero se implantaron medidas en cuanto a esta actividad.

N/A

Objetivo específico Nro. 2. Desarrollar la primera etapa del SAI mediante el estudio de la realidad institucional, para definir los fundamentos teóricos-prácticos que establezcan los requerimientos de la futura herramienta automatizada.

Meta 2.1 Realizar un estudio para el establecimiento de requerimientos al 18/12/2009.

2.1.1.1 Elaborar un cronograma. 100% SI

2.1.1.2 Definición de la población meta a estudiar.

100%

SI

2.1.1.3 Elaborar una herramienta metodológica.

100%

SI

2.1.1.4 Aplicar la herramienta metodológica.

100% SI

2.1.1.5 Analizar los resultados obtenidos.

98% NO

2.1.1.6 Elaborar un informe de resultados del estudio.

80% NO

-2-



2.1.1.7 Presentar informe al CEPEI. 10% NO

Objetivo específico Nro. 3. Dar seguimiento al proceso de actualización de la información del MAI, mediante reuniones de coordinación con el equipo de trabajo para determinar el nivel de avance en su desarrollo.

Meta 3.1 Realizar el estudio para el establecimiento de los requerimientos al 18/12/2009.

3.1.1.1 Establecer la calendarización de las reuniones con el equipo de trabajo.

100%

SI

3.1.1.2 Establecer procedimientos de recolección de información sobre el avance del proceso de actualización.

100%

SI

3.1.1.3 Recolección de información. 100% SI

3.1.1.4 Presentación de informe del CEPEI.

100% SI

Objetivo específico Nro. 4. Consolidar las bases del marco documental de la arquitectura institucional, mediante la recopilación de información relacionada con los procesos y procedimientos que sustenten el diseño de mapas de procesos de la Dirección General de Registro Civil.

Meta 4.1 Diseñar 7 mapas de procesos de la Dirección General del Registro Civil al 31/12/2010.

4.1.1.1 Definir el plan de trabajo para el desarrollo de los diseños.

100% SI

4.1.1.2 Realizar modificaciones necesarias al cronograma.

100% SI

4.1.1.3 Analizar los requerimientos. 100%39

SI

4.1.1.4 Realizar informe de análisis de los requerimientos.

27% NO

4.1.1.5 Pre diseñar la base de datos. 0% NO

4.1.1.3 Definir elementos que conforman el diseño de la sistematización de los procesos de DGRC.

100% SI

39 Según el Primer informe ejecutivo AE-POA-2010 del seguimiento de acciones estratégicas PEI 2008-2012, suministrado por planificación

Institucional. En Informes de la AE-7.3, no se tiene evidencia de su avance.

../../../../../../../../100-Borradores/Mario%20Pérez%20Fonseca/Informes_solicitados_CGR/Inform_evaluac_periodicas_y_anualesPEI/2010/I%20Informe%20Ejecutivo%20AE-POA%202010(U%20V-Obs.%20Mynor-27-05-2010)%201%20.doc

-3-



4.1.1.4 Realizar jornadas de trabajo con las oficinas de la DGRC.

100% SI

4.1.1.5 Realizar jornadas de trabajo con las acciones estratégicas de Gobierno Digital, Rediseño y Modernización del documento de identidad.

100% SI

4.1.1.6 Realizar jornadas de trabajo con la AE de Gestión de Calidad.

100% SI

4.1.1.7 Diseñar los procedimientos civiles institucionales.

100% SI

4.1.1.8 Clasificación de instrumentos. 100% SI

4.1.1.9 Generar propuestas de productos y servicios.

100% SI

Objetivo específico Nro. 5. Definir un Sistema Experto mediante la investigación de documentación que integre las características y particularidades necesarias para establecer condiciones que propicien el empleo de una herramienta

inteligente. 40

Meta 5.141

Realizar la investigación, estudio de documentos y programas que integren las características y particularidades al 31/12/2010.

5.1.1.1. Investigar acerca de la inteligencia de negocios.

1%

NO

5.1.1.2. Investigar los requerimientos necesarios en la toma de decisiones.

1% NO

40 Según el I informe de seguimiento de AE del 2011, suministrados por Planificación Institucional; en acta 2-2011, el encargado de esta AE,

presenta orden de cambio e informa que debido al recorte presupuestario no es posible el desarrollo de este objetivo. Se plantea su

eliminación debido a que no fueron aprobados por profesionales de apoyo y gestión, indica que ellos se encargarían del análisis y diseño

utilizando RUP. Informa que en el objetivo Nro. 6 no fueron aprobadas las asesorías solicitadas para la definición del sistema experto para

el TSE y debido a que serían ese mismo recurso humano el que utilizaría las asesorías se pierde la prevalencia de este objetivo. 41 Según el primer informe de seguimiento del año 2011 realizado por Planificación Institucional, el encargado de la AE indica que las

actividades 5.1.1.1 y 5.1.1.2 cumplieron en un 100%; esto no se evidencia en los informes remitidos por ese funcionario (en el primer

informe de 2010, indica que solo poseen un 1% de avance a esa fecha), ya que el equipo de auditoría solo cuenta con informes del año

2008 al 2010. Además de las anteriores, se agregan las actividades 5.1.1.3 con un 5% de avance, y actividades 5.1.1.4, 5.1.1.5, 5.1.1.6 y

5.1.1.10 con un 10% de avance.

-4-



Meta 5.442

Dar seguimiento a la

actualización de los mapas de procesos y procedimientos registrales a cargo de la AE-7.3 y de la DGRC, al primer semestre del 2011.

45% NO

Valga aclarar que después de lo anterior; a partir del II Informe de 2011, se incluyen actividades del equipo MAII pero ya formando parte de la AE 2.3, relacionada con el Sistema de Gestión de Calidad.

Fuente: Elaboración propia a partir de los informes de evaluación periódicas y anuales de la AE 7.3, facilitados por el Área de Planificación Institucional del TSE.

42 Se incluyó esta meta dentro del III informe de seguimiento del 2011 su alcance se encuentra en un 45%, la actualización de mapeos de la

Dirección General del Registro Civil (DGRC) está lista; equipo PEI considera que esta meta alcanzó un 100% debido a que la aprobación es una decisión externa a la encargada de la AE.

-5-


Anexo Nro. 2

VALORACIÓN DE OBSERVACIONES AL BORRADOR DEL INFORME DE AUDITORÍA DE CARÁCTER ESPECIAL SOBRE LA IMPLEMENTACIÓN DEL MODELO

DE ARQUITECTURA DE INFORMACIÓN EN EL TRIBUNAL SUPREMO DE ELECCIONES

Nro. Párrafo 2.4

Observaciones Administración

En cuanto a, “…la mayor parte del tiempo el equipo estuvo conformado por el encargado de la acción estratégica (AE) y un asistente funcional asignado por medio tiempo…”; lo correcto es que durante la mayor parte del tiempo, el equipo estuvo conformado por el encargado de la acción estratégica y tres asistentes, en el período del 2008 al 2011. De hecho el MAI empezó en diciembre 2006 con ocho personas prestadas de varias dependencias, bajo la conducción del Coordinador de Servicios Regionales. Luego a partir de enero 2008 el MAI pasó al Departamento de Tecnologías de Información a cargo del encargado y tres personas a tiempo completo para esta tarea. En el 2011 que el MAI se funde con la AE 2.3 de la Dirección Ejecutiva queda con el encargado y dos personas.

¿Se acoge? Sí

No

Parcial

Argumentos CGR

Se acepta la observación efectuada por la Administración, la cual se verá reflejada en el punto correspondiente del informe. No obstante que la Administración señala que el proyecto relacionado con el MAI ha contado con un equipo a tiempo completo, a la fecha de este estudio el TSE no ha logrado la implementación del MAI.

Nro. Párrafo 2.6


Si bien los componentes del MAI no se hicieron de conocimiento explícito a los señores Magistrados y señoras Magistradas, sí se hicieron de conocimiento del Comité Ejecutivo del Plan Estratégico Institucional, CEPEI, en las diversas presentaciones efectuadas así como en los informes semestrales entregados. Las actas del CEPEI son luego enviadas al Superior para su conocimiento.

¿Se acoge? Sí

No

Parcial

Argumentos CGR

En el punto 2.6 del informe se hace referencia a que la propuesta del concepto del modelo de arquitectura empresarial fue conocida por el Comité Ejecutivo del Plan Estratégico Institucional (CEPEI); sin embargo, no se logró determinar, que en las sesiones de los Señores Magistrados se haya analizado y discutido sobre el tema en mención; comentario que es reforzado por la observación remitida por la Administración en la cual se indica que “los componentes del MAI no se hicieron de conocimiento explícito a los señores Magistrados y señoras Magistradas”.

Nro. Párrafos 2.9


El esfuerzo que realiza el TSE es tanto para certificar en la ISO 9001:2008 como en la eventual nueva norma internacional ISO 17582 Sistema de Gestión Electoral, elaborada a partir de una iniciativa de este órgano electoral.

¿Se acoge? Sí

No

Parcial

-6-


Argumentos CGR

Producto de la realización de esta auditoría, esta Contraloría tuvo conocimiento de los esfuerzos que ha realizado el TSE para lograr la certificación en la ISO 9001:2008, labor que se destaca y reconoce en los puntos 2.9 y 2.10.

Nro. Párrafos 2.36


Si bien los aspectos de seguridad de la información no están explícitos en el MAI, en el TSE sí se cuenta con reglas de acceso a la información y niveles estrictos de seguridad para los datos y los acceso (sic) dada la naturaleza de la información sensible de las personas ciudadanas que maneja este órgano electoral. Se cuenta con un modelo de arquitectura de seguridad de red, tanto para la Sede Central como para las 32 Oficinas Regionales. Y cada perfil de usuario es asociado a los sistemas y datos según su nivel de autorización.

¿Se acoge? Sí

No

Parcial

Argumentos CGR

El objetivo de la auditoría efectuada se circunscribe a evaluar el grado de implementación del modelo de arquitectura de información en el TSE, razón por la cual no se efectuó una evaluación de la seguridad relacionada con la información y el acceso a ésta. No obstante, lo señalado por la Administración en cuanto la existencia de reglas de acceso a la información y niveles estrictos de seguridad para los datos, debe ser considerado en el proceso de desarrollo e implementación del MAI en el TSE.

Nro. Párrafos 2.37


Se indica que se mitigan los riesgos de una probable pérdida de datos o formación de islas de información, mediante la implementación de la arquitectura de seguridad de red.

¿Se acoge? Sí

No

Parcial

Argumentos CGR

Tal y como se indicó en el punto anterior, el estudio se enfocó a la implementación del MAI en ese órgano electoral. Es importante denotar lo señalado por la Administración, en cuanto a la existencia de la arquitectura de seguridad de red, elemento que podría ser aprovechado en el momento de dimensionar la implementación y consolidación del MAI en el TSE.

-7-


Este Órgano Contralor consideró oportuno hacer una variación en los plazos y lo requerido para el cumplimiento de las disposiciones emitidas en el aparte 4. del borrador del informe, ajuste que no modifica los resultados y las conclusiones señaladas en el borrador del informe, quedando las disposiciones de la siguiente manera:

Nro. Párrafos 4.3

Borrador del informe

Girar las instrucciones necesarias para que el Modelo de arquitectura de información (MAI) sea reubicado dentro de las prioridades institucionales, a fin de consolidarlo como una herramienta que contribuya a la planificación y toma de decisiones estratégicas en el ámbito institucional. Para ello se deberán considerar, al menos, aspectos como la ubicación organizacional, dotación de recursos, productos requeridos e insumos esperados, así como la definición de políticas para la actualización periódica del referido modelo. Remitir a esta Contraloría General, a más tardar el 1° de agosto de 2013, un oficio donde se certifique el cumplimiento de esta disposición.

Ajuste disposición

Girar las instrucciones necesarias para que el Modelo de arquitectura de información (MAI) sea reubicado dentro de las prioridades institucionales, a fin de consolidarlo como una herramienta que contribuya a la planificación y toma de decisiones estratégicas en el ámbito institucional. Para ello se deberá considerar, al menos, aspectos como la ubicación organizacional, dotación de recursos, productos requeridos e insumos esperados, así como la definición de políticas para la actualización periódica del referido modelo. Remitir a esta Contraloría General, a más tardar el 2 de setiembre de 2013, un oficio donde se indique el cumplimiento de esta disposición.

Nro. Párrafos 4.4


Ordenar que se elabore un plan de actividades orientado a consolidar el Modelo de arquitectura de información (MAI) y una vez aprobado por las instancias internas que se estime necesarias, se comunique a las unidades y a los funcionarios responsables de su ejecución. Dicho plan deberá contener al menos: plazos, funcionarios responsables, recursos necesarios e informes de avance. Como parte de la atención de esta disposición, remitir a esta Contraloría General, a más tardar el 1° de agosto de 2013, un oficio donde se certifique que se giró la orden para la confección del plan de actividades.

Ajuste disposición

Ordenar que se elabore un plan de actividades orientado a consolidar el Modelo de arquitectura de información (MAI), el cual deberá contener al menos: plazos, funcionarios responsables, recursos necesarios e informes de avance. Una vez elaborado el plan de cita, hacerlo del conocimiento de las instancias internas que se estime necesarias a fin de contar con su respectiva aprobación, y posterior a ello, se comunique a las unidades y a los funcionarios responsables de su ejecución. Como parte de la atención de esta disposición, remitir a esta Contraloría General, a más tardar el 2 de setiembre de 2013, un oficio donde se indique que se giró la orden para la confección del referido plan; asimismo, remitir a este Órgano Contralor, al 30 de noviembre de 2013, un oficio mediante el cual se certifique la confección del citado plan; y al 30 de junio de 2014, un oficio donde se certifique que el referido plan se está ejecutando.

-8-


Nro. Párrafos 4.5


Girar las instrucciones a los responsables de la ejecución del plan de actividades señalado en la disposición anterior, para que mediante informes periódicos se haga del conocimiento de las instancias superiores, el avance de los resultados en la consolidación del Modelo de arquitectura de información (MAI). Remitir a esta Contraloría General, a más tardar el 1° de agosto de 2013, un oficio donde se certifique que se giraron las instrucciones correspondientes.

Ajuste disposición

Girar las instrucciones a los responsables de la ejecución del plan de actividades señalado en la disposición anterior, para que mediante informes periódicos se haga del conocimiento de las instancias superiores, el avance de los resultados en la consolidación del Modelo de arquitectura de información (MAI). Remitir a esta Contraloría General, a más tardar el 2 de setiembre de 2013, un oficio donde se indique que se giraron las instrucciones correspondientes.

INFORME Nro. DFOE-PG-IF-06-2013 18 de julio, 2013 DIVISIÓN ... · Esta auditoría de carácter...

Documents

Transcript of INFORME Nro. DFOE-PG-IF-06-2013 18 de julio, 2013 DIVISIÓN ... · Esta auditoría de carácter...