MINISTERIO DE AGRICULTURA Y GANADERÍA - … · 2.2 FUNCIONARIOS DE TI CON EL ... establezca las...

MINISTERIO DE AGRICULTURA Y GANADERÍA

SERVICIO FITOSANITARIO DEL ESTADO (SFE)

Informe de auditoría

Resultados de la evaluación del sistema DE

INFORMACIÓN AUTOMATIZADO RELATIVO AL

FONDO FIJO DE CAJA CHICA DEL SFE

NOVIEMBRE 2012

San José, 12 de noviembre del 2012.

Señor

Licenciado

HENRY VALERÍN SANDINO

Auditor Interno

Servicio Fitosanitario Del Estado

Estimado Licenciado: De acuerdo con los términos en la contratación directa 2012CD-000280-10100, promovida

por la Auditoría Interna del SFE a través de la Proveeduría Institucional del Servicio

Fitosanitario del Estado; relativa a la contratación de " SERVICIOS PROFESIONALES

EN AUDITORIA INTERNA PARA AUDITAR EL FONDO FIJO DE CAJA CHICA

DEL SERVICIO FITOSANITARIO DEL ESTADO", nos permitimos adjuntarle el

informe final sobre la evaluación del sistema de información automatizado relativo al citado

sistema.

El objetivo del presente trabajo fue determinar si el mencionado sistema fue diseñado,

desarrollado y autorizada su entrada en producción, en apego a lo dispuesto en las “Normas

técnicas para la gestión y el control de las tecnologías de información (N-2-2007-CO-DFOE)”,

documento normativo emitido por la Contraloría General de la República. El mismo fue

realizado con base en los términos especificados en el cartel mencionado y en concordancia con

el programa de trabajo presentado por nuestra representada.

Las observaciones del presente informe no van dirigidas a funcionarios o empleados en

particular, sino únicamente tienden a fortalecer el sistema de control interno y los

procedimientos relacionados con las tecnologías de información y específicamente con respecto

a la operación del mencionado sistema de información.

DESPACHO CARVAJAL & COLEGIADOS

CONTADORES PÚBLICOS AUTORIZADOS

Lic. Ricardo Montenegro Guillén

Contador Público Autorizado Nº 5607 Póliza de Fidelidad Nº 0116 FIG 0007

Vence el 30 de Septiembre del 2013

TABLA DE CONTENIDOS

Contenido

I INTRODUCCIÓN .................................................................................................................................... 1

1.1 ORIGEN DEL ESTUDIO. ............................................................................................................................ 1

1.2 OBJETIVO DEL ESTUDIO ......................................................................................................................... 1

1.3 ALCANCE ......................................................................................................................................................... 1

1.4 PERÍODO DEL ESTUDIO .......................................................................................................................... 2

1.5 LIMITACIONES DEL ESTUDIO ............................................................................................................... 2

1.6 NORMAS TÉCNICAS DE AUDITORIA .................................................................................................. 2

1.7 COMUNICACIÓN VERBAL DE LOS RESULTADOS ........................................................................ 2

II RESULTADOS (HALLAZGOS IDENTIFICADOS) ............................................................................ 3

2.1 AUSENCIA DE UN PLAN DE CONTINGENCIAS PARA EL SISTEMA DE CAJA

CHICA. ............................................................................................................................................................... 3

2.2 FUNCIONARIOS DE TI CON EL PERFIL DE ADMINISTRADOR ASIGNADO. ..................... 5

2.3 INADECUADA SEGREGACIÓN DE FUNCIONES ............................................................................ 7

2.4 SOLICITUDES DE CAJA CHICA EN PROCESO, CON PERIODOS DE ANTIGÜEDAD

IMPORTANTE ................................................................................................................................................ 9

2.5 DEBILIDADES EN LA OBTENCIÓN DE INFORMACIÓN PROVENIENTE DEL

SISTEMA DE CAJA CHICA. .................................................................................................................... 11

2.6 MANUAL DE USUARIO DESACTUALIZADO. ................................................................................ 14

2.7 AUSENCIA DE BITÁCORAS DE RESPALDOS. ............................................................................... 16

ANEXO NO.1 ........................................................................................................................................... 18

EVALUACIÓN DE LA CALIDAD FUNCIONAL DEL SISTEMA DE CAJA CHICA Y DE LA

UNIDAD DE TECNOLOGÍAS DE INFORMACIÓN. .................................................................................. 18

Resumen Ejecutivo

1 Origen, objetivo y alcance del estudio

El presente estudio se llevó a cabo en atención al Plan Anual de Labores de la Auditoría Interna

del Servicio Fitosanitario del Estado relativo al período 2012; como parte de la contratación

directa 2012CD-000280-10100, promovida por dicho órgano a través de la Proveeduría

Institucional del SFE.

El objetivo del estudio fue determinar si el sistema de información automatizado relativo al

Fondo Fijo de Caja Chica fue diseñado, desarrollado y autorizada su entrada en producción,

en apego a lo dispuesto en las "Normas técnicas para la Gestión y el Control de las

Tecnologías de Información" (N-2-2007-CO-DFOE), emitidas por la Contraloría General de

la República.

El alcance que se le dio a dicho estudio consistió en verificar el grado de cumplimiento de

las citadas normas técnicas; específicamente con respecto al diseño, desarrollo y entrada en

producción del referido sistema automatizado.

Este estudio fue efectuado durante el mes de Octubre del año 2012.

2 Resultados

En el desarrollo de esta auditoría, se identificaron 7 hallazgos que tienen relación con aspectos

regulados en las citadas Normas, los cuales se clasifican por área evaluada, de la siguiente

manera:

En lo relativo a la planificación estratégica, la cual es normada por el Capítulo II

“Planificación y Organización.”, se identificó un hallazgo.

En cuanto al aspecto relacionado con el desarrollo e implementación de software, se

identificaron tres hallazgos. Este tema está regulado en el Capítulo III denominado

“Implementación de tecnologías de información”.

En lo correspondiente a la seguridad lógica y acceso a datos, se determinó un hallazgo;

mismo que se encuentra normado en el Capitulo I Normas de Aplicación General.

Por otra parte, con relación al aspecto relativo a la continuidad de operaciones, se

determinaron dos hallazgos; tema normado en el, Capítulo I Normas de Aplicación

General.

De acuerdo al nivel de riesgo asignado a cada uno de los 7 hallazgos identificados, los mismos

se clasifican de la siguiente manera: 2 de ellos con un nivel de riesgo ALTO y los 5 restantes

con un nivel de riesgo MEDIO.

A continuación se describen los principales aspectos determinados como resultado del estudio

realizado:

2.1 Sobre la Planificación Estratégica

a. Considerando que el diseño, desarrollo y entrada en producción del sistema de Caja Chica

se dio en el periodo 2009; es necesario señalar que dicho sistema no responde al Plan

Estratégico, el Plan Operativo y la metodología de Administración de proyectos de TI, pues

dicho marco normativo corresponde a los años 2010 y 2012 respectivamente.

b. Durante la auditoría realizada al sistema de Caja Chica, se identificó que todos los aspectos

relacionados con el desarrollo y mantenimiento del mismo recae sobre un único funcionario

de TI.

2.2 Sobre el Desarrollo e Implementación de Software

a. A pesar de que la metodología para el desarrollo de sistemas del SFE entró a regir a partir

de setiembre del 2011; se determinó que la metodología aplicada en el año 2009 para el

desarrollo del sistema de Caja Chica del SFE, se ajusta con lo dispuesto en la mencionada

metodología.

b. En la evaluación de la funcionalidad del sistema de Caja Chica se identificaron debilidades

relacionadas con los reportes y solicitudes de caja chica en proceso, por cuanto presentan

una antigüedad considerable.

c. Se cuenta con manuales técnicos y de usuario para el sistema de Caja Chica, que cumplen

con los requerimientos mínimos. No obstante, en el caso del manual de usuario se

identificó que se encuentra desactualizado.

d. El resultado obtenido de la evaluación por parte de los usuarios finales, sobre la

funcionalidad del Sistema de Caja Chica a nivel general fue satisfactorio.

2.3 Sobre la Seguridad Lógica y Acceso a Datos

a. Se constató que las políticas de seguridad que están siendo implementadas con relación al

sistema de Caja Chica, responden a las contenidas en el documento PL-Seguridad-001.

b. Por otra parte se indica que se debe asignar un usuario experto a la administración del

módulo de seguridad de la aplicación; quien debe ser el responsable de asignar los roles y

accesos solicitados por una jefatura para un usuario determinado.

c. Se determinó que existen dos funcionarias de la Unidad de Tecnología de la Información,

que mantienen asignado el perfil de Administrador; lo cual les permite tener acceso a

todas las opciones del sistema de Caja Chica.

2.4 Sobre la Seguridad Física

Durante la inspección que se realizó al cuarto de servidores del SFE, no se identificaron

debilidades que mencionar, por el contrario dicho servidor cuenta con medidas de seguridad

como alarma, detectores de humo, extintor, puerta con seguro, bitácora de ingreso, servidores

en rack, entre otros.

2.5 Sobre la Continuidad de Operaciones

a. La Unidad de Tecnología de la Información cuenta con procedimiento formalmente

establecido, que establece las pautas a seguir para realizar los respaldos tanto de la base de

datos como de las aplicaciones.

b. No se cuenta con un plan de contingencias referente al sistema de Caja Chica, que

establezca las acciones a seguir en caso de que se presente alguna situación que afecte la

funcionalidad del mismo.

c. Se identificó que en el documento “Guía de Elaboración de respaldo y Recuperación de

Datos”, se incluye un aparte donde se establece el programa de pruebas de recuperación de

datos. Del resultado de cada una de las pruebas que se realiza se mantiene documentación

de respaldo.

d. Se determinó que la Unidad de Tecnología de la Información, no cuenta con una bitácora

de control, que respalde el envío y el detalle del contenido de las cintas magnéticas que se

custodian en el Banco Nacional.

Una Firma, Un respaldo Web: www.despachocarvajal.com 1

I Introducción

1.1 Origen del estudio.

En atención al Plan Anual de Labores de la Auditoría Interna del Servicio Fitosanitario del

Estado (en adelante SFE) relativo al presente año, el citado órgano de fiscalización gestionó la

contratación de servicios de auditoría interna a través de la Proveeduría Institucional de dicho

órgano; con el propósito de auditar el Fondo Fijo de Caja Chica del SFE, incluyendo el

sistema de información automatizado respectivo. Dicha gestión se promovió mediante

contratación directa 2012CD-000280-10100; adjudicándose la misma al Despacho Carvajal &

Colegiados, Contadores Públicos Autorizados S.A.

1.2 Objetivo del estudio

Determinar si el sistema de información automatizado relativo al Fondo Fijo de Caja Chica

fue diseñado, desarrollado y autorizada su entrada en producción, en apego a lo dispuesto en

las "Normas técnicas para la Gestión y el Control de las Tecnologías de Información"

(N-2-2007-CO-DFOE), emitidas por la Contraloría General de la República.

1.3 Alcance Se analizó la gestión emprendida por la administración activa a efecto de verificar el grado de

cumplimiento de las Normas Técnicas para la Gestión y el Control de las Tecnologías de

Información” (N-2-2007-CO-DFOE); específicamente con respecto al diseño, desarrollo y

entrada en producción del referido sistema automatizado. Al respecto se procedió a verificar

lo siguiente:

ASPECTO EVALUADO ACTIVIDADES EJECUTADAS Normas N-2-2007-CO-DFOE

Planificación Estratégica

Verificamos que el proyecto de

desarrollo e implementación del

sistema de Caja Chica estuviera

incluido en el Plan Estratégico de TI.

Verificamos que el proyecto de

desarrollo e implementación del

sistema de Caja Chica estuviera

incluido en el Plan Operativo Anual

de TI.

Revisamos la metodología empleada

para la administración de proyectos

informáticos.

Analizamos la segregación de

funciones de los funcionarios de TI.

1.1 Marco estratégico de TI.

3.1 Consideraciones generales de la

implementación de TI.


ASPECTO EVALUADO ACTIVIDADES EJECUTADAS NORMATIVA APLICABLE Desarrollo e Implementación de

Software

Revisamos la metodología empleada para

el desarrollo de sistemas.

Revisamos el manual técnico del sistema

de Caja Chica.

Revisamos el manual de usuario del

Sistema de Caja Chica.

Revisamos los estándares de

programación.

Revisamos el procedimiento de solicitud

de mejora o cambios a sistemas.

Evaluamos la funcionalidad del sistema de

Caja Chica.

3.1 Consideraciones generales de la

implementación de TI.

3.2 Implementación de software

Seguridad Lógica y Acceso a

Datos

Revisamos las políticas de Seguridad de

TI.

Revisamos el procedimiento de creación y

asignación de perfiles.

Analizamos la lista de perfiles del sistema

de Caja Chica.

1.4 Gestión de la seguridad de la

información.

1.4.5 Control de acceso.

Seguridad Física Revisamos la seguridad física presente en el

cuarto de servidores.

1.4.3 Seguridad física y ambiental.

Continuidad de Operaciones

Revisamos el procedimiento para el

respaldo y recuperación de datos.

Revisamos el plan de pruebas de los

respaldos.

Revisamos el plan de contingencias.

1.4.7 Continuidad de los servicios de TI

1.4 Período del estudio

Este estudio fue efectuado durante el mes de Octubre del año 2012.

1.5 Limitaciones del estudio

Durante el proceso de auditoría no existieron limitaciones al estudio realizado.

1.6 Normas técnicas de auditoria

En la ejecución de la presente auditoría se observaron en lo aplicable, las regulaciones

establecidas para las Auditorías Internas en la Ley General de Control Interno Nº 8292, normas

técnicas, directrices y resoluciones emitidas por la Contraloría General de la República.

1.7 Comunicación verbal de los resultados

Los resultados del presente estudio fueron comentados con el Lic. Didier Suárez Chavez y la

Licda Silvia Villalobos el día 19 de Diciembre del 2012.


II Resultados (hallazgos identificados)

2.1 AUSENCIA DE UN PLAN DE CONTINGENCIAS PARA EL SISTEMA DE CAJA

CHICA. RIESGO ALTO

2.1.1 CRITERIO

Las Normas Técnicas para la gestión y el control de las Tecnologías de Información, en el

punto 1.4.7 Continuidad de los servicios de TI, establece que:

“La organización debe mantener una continuidad razonable de sus procesos y su

interrupción no debe afectar significativamente a sus usuarios.

Como parte de ese esfuerzo debe documentar y poner en práctica, en forma

efectiva y oportuna, las acciones preventivas y correctivas necesarias con base en

los planes de mediano y largo plazo de la organización, la evaluación e impacto

de los riesgos y la clasificación de sus recursos de TI según su criticidad.”

2.1.2 CONDICIÓN

Se determinó que el SFE no cuenta con un plan de contingencias y continuidad del negocio, que

señale las acciones a seguir en caso de que el sistema de Caja Chica presente fallos o que se

presente un siniestro que impida la continuidad de dicho sistema.

2.1.3 CAUSA

Las debilidades que presenta el sistema de control interno de la Unidad de TI; no han permitido

establecer un plan de contingencias y continuidad del negocio que guíe el accionar de la

organización en caso de que se presente un fallo en el sistema de Caja Chica.

2.1.4 EFECTO

No contar con un plan de contingencias o continuidad de operaciones podría generar

importantes inconvenientes para la organización si se presentaran fallas o un siniestro; tales

como:

Ausencia de alternativas, para la toma de decisiones.

Carencia de recursos necesarios para la recuperación.

Falta de disponibilidad de recursos críticos.

Aumento de costos para lograr la continuidad.


2.1.5 CONCLUSIÓN

Se evidencia que no se cuenta con un plan de contingencias definido y formalizado, referente al

Sistema de Caja Chica; que incluya e indique las acciones o pasos a seguir en caso de que dicho

sistema falle o se presente un siniestro. Dicha situación debilita el sistema de control interno.

2.1.6 RECOMENDACIÓN

2.1.6.1 Elaborar, aprobar, divulgar e implementar el Plan de Contingencias y Continuidad de

Operaciones relativo al Sistema de Caja Chica; gestión que debería realizarse en forma

coordinada entre las áreas usuarias y la Unidad de Tecnología de la Información; instrumento

que se debe mantener actualizado. Lo anterior con el fin de que el mismo responda en caso de

que se presenten fallos o un siniestro que afecte su funcionalidad. Dicha gestión debe

considerar, entre otros aspectos, lo siguiente: Requisitos mínimos de recuperación para

mantener las operaciones, definición de responsables y sus funciones, definición de recursos

críticos, contacto de los proveedores, sensibilización, educación y capacitación, instalaciones de

procesamiento alternativos, definir y priorizar los procesos de comunicación.


2.2 FUNCIONARIOS DE TI CON EL PERFIL DE ADMINISTRADOR ASIGNADO.

RIESGO ALTO

2.2.1 CRITERIO

El punto 1.4 Gestión de la seguridad de la información, de las Normas Técnicas para la gestión

y el control de las Tecnologías de Información, establece que:

“La organización debe garantizar, de manera razonable, la confidencialidad,

integridad y disponibilidad de la información, lo que implica protegerla contra

uso, divulgación o modificación no autorizados, daño o pérdida u otros factores

disfuncionales. Para ello debe documentar e implementar una política de

seguridad de la información y los procedimientos correspondientes, asignar los

recursos necesarios para lograr los niveles de seguridad requeridos y considerar

lo que establece la presente normativa en relación con los siguientes aspectos:

- La implementación de un marco de seguridad de la información.

- El compromiso del personal con la seguridad de la información.

- La seguridad física y ambiental.

- La seguridad en las operaciones y comunicaciones.

- El control de acceso.

- La seguridad en la implementación y mantenimiento de software e

infraestructura tecnológica.

- La continuidad de los servicios de TI.”

2.2.2 CONDICIÓN

Se determinó que dos funcionarios de la Unidad de Tecnologías de la Información mantienen

asignado el perfil de Administrador con respecto al sistema de Caja Chica; lo cual les permite

tener acceso a todas las opciones del sistema y además tienen derecho a insertar, eliminar,

modificar, consultar e imprimir en todas las pantallas del sistema.

2.2.3 CAUSA

La debilidad detectada se presenta, debido a que en un inicio la asignación de perfiles

relacionada con los sistemas de información que se encontraban en producción, era realizada

por funcionarios de la Unidad de Tecnologías de la Información; situación que no fue corregida

con respecto al el sistema de Caja Chica.


2.2.4 EFECTO

Con base en la evidencia obtenida, existe un riesgo real y/o potencial de que funcionarios que

no laboran en el Departamento Administrativo y Financiero (específicamente en la operación

del sistema de Caja Chica), tengan acceso a dicho sistema en el ambiente de producción;

situación que puede generar que la información sea modificada o eliminada.

2.2.5 CONCLUSIÓN

De acuerdo con el análisis de los perfiles establecidos para el uso de las diferentes opciones del

sistema de Caja Chica, se evidencia que dos funcionarios del área de TI mantienen asignado el

perfil de Administrador; situación que se contrapone a lo regulado en las Normas

N-2-2007-CO-DFOE visualizándose un incumplimiento a la misma y un debilitamiento al

sistema de control interno.


2.2.6.1 Eliminar el acceso al sistema de Caja Chica que tienen dos funcionarios de la Unidad

de Tecnología de la Información en condición de “Administrador”; con el propósito de que la

información del citado sistema sea accesada solo por personal autorizado de acuerdo con las

funciones que desempeñan.


2.3 INADECUADA SEGREGACIÓN DE FUNCIONES. RIESGO MEDIO.

2.3.1 CRITERIO

La Norma 2.5.3 Separación de funciones incompatibles y del procesamiento de transacciones

de las Normas de control interno para el Sector Público (N-2-2009-CO-DFOE), establece que:

“El jerarca y los titulares subordinados, según sus competencias, deben

asegurarse de que las funciones incompatibles, se separen y distribuyan entre los

diferentes puestos; así también, que las fases de autorización, aprobación,

ejecución y registro de una transacción, y la custodia de activos, estén

distribuidas entre las unidades de la institución, de modo tal que una sola

persona o unidad no tenga el control por la totalidad de ese conjunto de

labores.

Cuando por situaciones excepcionales, por disponibilidad de recursos, la

separación y distribución de funciones no sea posible debe fundamentarse la

causa del impedimento. En todo caso, deben implantarse los controles

alternativos que aseguren razonablemente el adecuado desempeño de los

responsables.”

El punto 2.4 Independencia y recurso humano de la Función de TI, de las Normas Técnicas para

la gestión y el control de las Tecnologías de Información (N-2-2007-CO-DFOE), establece que:

“El jerarca debe asegurar la independencia de la Función de TI respecto de las

áreas usuarias y que ésta mantenga la coordinación y comunicación con las

demás dependencias tanto internas y como externas.

Además, debe brindar el apoyo necesario para que dicha Función de TI cuente

con una fuerza de trabajo motivada, suficiente, competente y a la que se le haya

definido, de manera clara y formal, su responsabilidad, autoridad y funciones.”

2.3.2 CONDICIÓN

Se evidenció que el desarrollo y mantenimiento del sistema de Caja Chica recae sobre un único

funcionario de la Unidad de Tecnología de la Información del SFE.

2.3.3 CAUSA

La condición indicada, se presenta debido a la forma en que se organiza el trabajo en la Unidad

de TI, ya que cuando un funcionario termina un proyecto o trabajo, se le asigna otro; sobre el

cual tendrá la responsabilidad de desarrollar y realizar el mantenimiento o mejoras que se

soliciten.


2.3.4 EFECTO

La debilidad detectada genera que sea un único funcionario el que conoce los aspectos técnicos

y que además custodie la documentación referente al proyecto sobre el cual es responsable; y

que en caso de que este se ausente de su trabajo, ningún otro funcionario tenga acceso a los

mismos.

2.3.5 CONCLUSIÓN

El hecho de que sea un único funcionario el responsable del desarrollo y mantenimiento de un

sistema, está en contraposición con lo dispuesto por la Norma 2.5.3 de las Normas N-2-2009-

CO-DFOE y el numeral 2.4 de las Normas N-2-2007-CO-DFOE y debilita el sistema de control

interno.


2.3.6.1 Diseñar, aprobar e implementar controles alternativos que aseguren razonablemente un

acceso a la información de los diferentes sistemas que se encuentran en producción,

mantenimiento y desarrollo. Lo anterior cuando el funcionario directamente responsable de un

sistema determinado, se encuentre en forma temporal fuera de la organización (vacaciones,

incapacitado, suspendido, capacitándose, de gira, etc); a efecto de ajustar el sistema de control

interno de la Unidad de TI a lo dispuesto en la 2.5.3 de las Normas N-2-2009-CO-DFOE y el

numeral 2.4 de las Normas N-2-2007-CO-DFOE.


2.4 SOLICITUDES DE CAJA CHICA EN PROCESO, CON PERIODOS DE

ANTIGÜEDAD IMPORTANTE RIESGO MEDIO

2.4.1 CRITERIO

En el punto 1.2 Gestión de la calidad de las Normas Técnicas para la gestión y el control de las

Tecnologías de Información, se establece que:

“La organización debe generar los productos y servicios de TI de conformidad

con los requerimientos de sus usuarios con base en un enfoque de eficiencia y

mejoramiento continuo.”

2.4.2 CONDICIÓN

Se determinó que en el Sistema de Caja Chica existen solicitudes de caja chica que

corresponden a los periodos 2009, 2010 y 2011, cuya gestión no concluyó en la adquisición de

bienes y servicios. Dichas solicitudes presentan únicamente la aprobación de dos de las

instancias correspondientes. En el siguiente cuadro se mencionan algunos ejemplos:

I_PK

SOLIC

NÚMERO

SOLICITUD

FECHA

SOLICITUD

DEPENDENCIA CÓDIGO

SUBPARTIDA

SUBPARTIDA

157 154 09-11-2009 Dpto. Control Fitosanitario-

Dpto. de Control Fitosanitario

Estación Paso Canoas

10499 1.04.99-Otros

servicios gestión

y apoyo

186 183 17-11-2009 Dpto. de Certificación

Fitosanitaria- Dpto.

Certificación Fitosanitaria

Funcionarios

20402 2.04.02

Repuestos y

accesorios.

213 210 24-11-2009 Dpto. de Administración y

Finanzas. Dpto. Administrativo

y Financiero-Servicios

Generales

20402 2.04.02

Repuestos y

accesorios

250 247 01-12-2009 Dpto. de Administración y

Finanzas. Dpto. Administrativo

y Financiero-Unidad de

Proveed.

20402 2.04.02

Repuestos y

accesorios

8 7 01-12-2009 Asesoría Legal-Asesoría Legal 50105 5.01.05-Equipo y

programas de

cómputo.

2.4.3 CAUSAS

2.4.3.1 No se cuenta con un procedimiento que establezca las acciones a seguir en caso de que

se determine que no va hacer necesario utilizar una solicitud de caja chica ya incluida en el

sistema.

2.4.3.2 La debilidad detectada se genera por cuanto dicho aspecto no fue considerado durante el

desarrollo del sistema.


2.4.4 EFECTO

Dicha condición genera que el sistema de Caja Chica presente debilidades en cuanto su

eficiencia; provocando eventuales inconvenientes en el suministro de la información que

podría afectar el análisis de la misma y la toma de decisiones.

2.4.5 CONCLUSIÓN

Se puede afirmar que el proceso de ejecución del Fondo de Caja Chica no está diseñado para

generar las alertas oportunas que propicien el mejoramiento continuo del sistema automatizado

respectivo; aspecto que de no ser corregido continuará evidenciando un debilitamiento del

sistema de control interno.


2.4.6.1 Incorporar como parte de los procedimientos que regulan las diferentes actividades

vinculadas con la ejecución de los recursos del Fondo de Caja Chica; el aspecto que regulará la

inactividad o anulación de las solicitudes de caja chica que por diferentes razones no se

asociaron a un trámite de adquisición de bienes y servicios; lo cual lleva implícito la

divulgación de la citada regulación a nivel institucional. Asimismo, dicha gestión debe

considerar el análisis y definición oficial, de cuál sería el tiempo conveniente para que una

solicitud de caja chica que no haya sido utilizada; sea anulada o quede inactiva, mediante un

proceso automático del mismo sistema (no se necesitaría de un funcionario dedicado a dicho

proceso).


2.5 DEBILIDADES EN LA OBTENCIÓN DE INFORMACIÓN PROVENIENTE DEL

SISTEMA DE CAJA CHICA. RIESGO MEDIO

2.5.1 CRITERIO

En el punto 1.2 Gestión de la calidad de las Normas Técnicas para la gestión y el control de las

Tecnologías de Información, se establece que:

“La organización debe generar los productos y servicios de TI de conformidad

con los requerimientos de sus usuarios con base en un enfoque de eficiencia y

mejoramiento continuo.”

2.5.2 CONDICIÓN

Al evaluar la percepción que tiene los usuarios con respecto a la operatividad del sistema de

información relativo al Fondo de Caja Chica, indicaron lo siguiente:

Requiere reportes por Departamento.

Requiere reportes por Proveedor.

Requiere reportes por Sub-Partidas.

Cierres Caja mensuales.

Reportes anulación de cheques.

Reportes de liquidación Caja Auxiliar.

Reportes Cheques emitidos por departamentos.

Por lo general nosotros como secretarias tenemos que hacer nuestra propia hoja de Excel

para llevar nuestros controles, sería bueno tener un sistema integrado el cual nos ayudara

para unificar la información y los controles.

Asimismo, los usuarios expertos de las áreas funcionales denominadas Presupuesto y Bodega

de Suministros, señalaron que existen reportes que no despliegan la información

correspondiente, como: número de solicitud, fecha de solicitud, justificación, dependencia o

área, subpartida, entre otros. Los casos corresponden a los reportes de Proveedores y Solicitud

de Caja Chica.

2.5.3 CAUSAS

2.5.3.1 El desarrollo del sistema de Caja Chica puede presentar algunos errores técnicos en su

código fuente que genera esta condición.

2.5.3.2 No se han establecido e implementado prácticas administrativas que en forma periódica

permitan monitorear la percepción o el nivel de satisfacción de los usuarios con relación a los

sistemas de información que se mantienen en producción.


2.5.4 EFECTOS

2.5.4.1 La situación actual del sistema de Caja Chica, no permite que los usuarios finales

maximicen el uso de la aplicación para la realización de sus funciones, y que tengan que optar

por otro método para obtener la información requerida.

2.5.4.2 Riesgo real y/o potencial de que existan sistemas en producción que no estén

satisfaciendo a cabalidad las necesidades de la administración activa.

2.5.5 CONCLUSIÓN

Los sistemas de información deben estar orientados a facilitar el quehacer de la organización así

como a suministrar datos suficientes y pertinentes que contribuyan con la toma de decisiones y

la adecuada rendición de cuentas.

En el caso concreto del sistema de Caja Chica, será necesario que se realice el diagnóstico que

sea requerido a efecto de ajustarlo a las necesidades de la organización; considerando que

existen debilidades en la funcionalidad de los reportes incluidos en el citado sistema; situación

que se mantiene en el tiempo, por cuanto la falta de análisis periódico de la condición que

presenta el sistema con respecto a las necesidades de información que requieren los usuarios, no

está generando las alertas que propicien los reportes de incidentes que en forma posterior

permitan a través de los ajustes correspondientes el mejoramiento de la herramienta.

2.5.6 RECOMENDACIONES

2.5.6.1 Establecer los mecanismos y prácticas de control que propicien en forma periódica la

realización de sesiones de trabajo entre el personal de la Unidad de TI con los usuarios del

sistema de Caja Chica, con el propósito de conocer las necesidades de mejora o cambios de

dicho sistema y analizar su viabilidad. Como sana práctica administrativa, la citada

recomendación debe hacerse extensiva al resto de los sistemas de información que se

encuentran en producción.

2.5.6.2 Establecer, aprobar y divulgar el procedimiento cuya implementación le permita al

usuario final, presentar en forma oportuna ante la Unidad de TI los incidentes con respecto a la

calidad e integridad de la información que generan los sistemas de información que se

encuentran en producción (incluye el sistema de Caja Chica). Lo anterior para que cada caso en

particular sea analizado y solucionado (según corresponda); situación que le debe permitir a la

organización mantener herramientas tecnológicas más eficientes y que respondan a sus

necesidades.


2.5.6.3 Analizar los casos mencionados en el presente hallazgo (como referencia), con el fin de

que los reportes que están definidos en el sistema de Caja Chica sean validados y/o ajustados o

adicionados según las necesidades de información que requieren los usuarios. Dicha gestión

debe ser canalizada en forma conjunta entre las áreas usuarias y la Unidad de T.I; situación que

deberá permitir establecer los requerimientos oficiales y la atención de los mismos en el corto

plazo; cuyo propósito principal debe estar orientado a la obtención de información completa y

oportuna que contribuya con el análisis de la ejecución de los recursos y la toma de decisiones.


2.6 MANUAL DE USUARIO DESACTUALIZADO. RIESGO MEDIO

2.6.1 CRITERIO

La Norma 4.1 Actividades de control de las Normas de control interno para el Sector Público

(N-2-2009-CO-DFOE), establece que:

El jerarca y los titulares subordinados, según sus competencias, deben diseñar,

adoptar, evaluar y perfeccionar, como parte del SCI, las actividades de control

pertinentes, las que comprenden las políticas, los procedimientos y los

mecanismos que contribuyen a asegurar razonablemente la operación y el

fortalecimiento del SCI y el logro de los objetivos institucionales. Dichas

actividades deben ser dinámicas, a fin de introducirles las mejoras que procedan

en virtud de los requisitos que deben cumplir para garantizar razonablemente su

efectividad.

El ámbito de aplicación de tales actividades de control debe estar referido a

todos los niveles y funciones de la institución. En ese sentido, la gestión

institucional y la operación del SCI deben contemplar, de acuerdo con los niveles

de complejidad y riesgo involucrados, actividades de control de naturaleza

previa, concomitante, posterior o una conjunción de ellas. Lo anterior, debe

hacer posible la prevención, la detección y la corrección ante debilidades del SCI

y respecto de los objetivos, así como ante indicios de la eventual materialización

de un riesgo relevante.

En el punto 3.2 Implementación de software de las Normas Técnicas para la gestión y el control

de las Tecnologías de Información, se establece que:

“La organización debe implementar el software que satisfaga los requerimientos

de sus usuarios y soporte efectivamente sus procesos, para lo cual debe:

a. Observar lo que resulte aplicable de la norma 3.1anterior.

b. Desarrollar y aplicar un marco metodológico que guíe los procesos de

implementación y considere la definición de requerimientos, los estudios de

factibilidad, la elaboración de diseños, la programación y pruebas, el desarrollo

de la documentación, la conversión de datos y la puesta en producción, así como

también la evaluación postimplantación de la satisfacción de los requerimientos.

c. Establecer los controles y asignar las funciones, responsabilidades y permisos

de acceso al personal a cargo de las labores de implementación y mantenimiento

de software.

d. Controlar la implementación del software en el ambiente de producción y

garantizar la integridad de datos y programas en los procesos de conversión y

migración.

e. Definir los criterios para determinar la procedencia de cambios y accesos de

emergencia al software y datos, y los procedimientos de autorización, registro,


supervisión y evaluación técnica, operativa y administrativa de los resultados de

esos cambios y accesos.

f. Controlar las distintas versiones de los programas que se generen como parte

de su mantenimiento.”

2.6.2 CONDICIÓN

Se cuenta con un Manual de Usuario del sistema de Caja Chica; no obstante, éste se encuentra

desactualizado por cuanto no se describe el uso que se le debe dar a algunos de los botones

(opciones).

Consecuente con lo anterior, se determinó que en lo correspondiente a la solicitud de jefe de

departamento (aspecto descrito en el procedimiento 4- "Aprobación de solicitudes"), no se

indica cual es la funcionalidad de los botones para limpiar, guardar, solicitud pendientes y salir.

A pesar de que en las imágenes si se muestra, dicho aspecto no se visualiza en la parte del texto

del citado Manual.

La misma situación se presenta en el caso de las solicitudes caja chica y bodega.

2.6.3 CAUSA

Falta de un adecuado control de la calidad en el proceso de elaboración, revisión y aprobación

del Manual de Usuario; situación que propicia que el mismo presente debilidades como las

evidenciadas.

2.6.4 EFECTO

Las debilidades detectadas pueden generar que los usuarios finales (personal actual y el de

recién ingreso) del sistema de Caja Chica, no tengan claro la funcionalidad del mismo y que por

tanto no puedan maximizar el uso de la aplicación.

2.6.5 CONCLUSIÓN

Desde el punto de vista de un sistema de control interno integral, las debilidades detectadas con

relación al Manual de Usuario del Sistema de Caja Chica propician un debilitamiento de ese

SCI; situación que eventualmente generaría inconvenientes en la operación el mencionado

sistema automatizado.


2.6.6.1 Realizar una revisión de cada una de las pantallas del sistema de Caja Chica con

respecto a lo descrito en el Manual de Usuario (considerando como insumo lo descrito en el

apartado de Condición del presente hallazgo); con el fin de ajustar dicho Manual.


2.7 AUSENCIA DE BITÁCORAS DE RESPALDOS. RIESGO MEDIO

2.7.1 CRITERIO

En el punto .4.7 Continuidad de los servicios de TI de las Normas Técnicas para la gestión y el

control de las Tecnologías de Información, se establece que:

“La organización debe mantener una continuidad razonable de sus procesos y su

interrupción no debe afectar significativamente a sus usuarios.

Como parte de ese esfuerzo debe documentar y poner en práctica, en forma

efectiva y oportuna, las acciones preventivas y correctivas necesarias con base en

los planes de mediano y largo plazo de la organización, la evaluación e impacto

de los riesgos y la clasificación de sus recursos de TI según su criticidad.”

2.7.2 CONDICIÓN

Se cuenta con la política PSI-006 Política Realización de Respaldos para Aplicaciones, en la

cual se establece que los respaldos de las bases de datos deben ser realizados por el

Administrador de Bases de Datos y los respaldos de los sistemas de Información por los

Analistas Encargados del mantenimiento de los mismos, para lo cual se cuenta con una guía de

la elaboración. No obstante, se comprobó que se realizan los respaldos correspondientes, pero

no se cuenta con una bitácora de control que respalde el envío y el detalle del contenido de las

cintas magnéticas que se custodian en el Banco Nacional.

2.7.3 CAUSA

No se ha establecido e implementado la medida de control interno, referente a la

implementación de una bitácora formal mediante la cual se registren los respaldos realizados

sobre las bases de datos y las aplicaciones.

2.7.4 EFECTO

No se cuenta con un detalle de la información respaldada, que permita en caso de necesitarla

identificar con facilidad la cinta magnética donde se encuentra y solucionar rápidamente el

incidente o situación presentada.

2.7.5 CONCLUSIÓN

Los respaldos realizados sobre las bases de datos y las aplicaciones deben garantizar en forma

razonable que las medidas implementadas serían las suficientes y pertinentes para ejercer un

adecuado control sobre el aspecto antes descrito; así como de propiciar un ambiente idóneo para

dar una respuesta oportuna ante la presencia de situaciones impredecibles. No obstante, si bien

el SFE ha realizado esfuerzos importantes para tratar este tema; es necesario que fortalezca

dicha gestión a través de la implementación de una bitácora (o registro similar) al que se

recomienda en el presente hallazgo.



2.7.6.1 Adoptar la práctica y medidas de control (bitácora o registro similar), cuya

implementación le garantice en forma razonable que los respaldos de información de las

aplicaciones y base de datos enviados al Banco Nacional (que incluya aspectos como: fecha de

envío, funcionario que realizó el respaldo, detalle del contenido de la cinta magnética, firma de

recibido del banco) sean de fácil ubicación ante la necesidad de obtener información que

contribuya con el análisis de aspectos concretos y con la toma de decisiones; así como de

brindar una respuesta inmediata ante la presencia de incidentes impredecibles.


ANEXO NO.1

EVALUACIÓN DE LA CALIDAD FUNCIONAL DEL SISTEMA DE CAJA CHICA Y

DE LA UNIDAD DE TECNOLOGÍAS DE INFORMACIÓN.

En este anexo se muestra el resultado de la evaluación realizada referente a la calidad funcional

del sistema de Caja Chica, según la percepción de los usuarios finales. Los usuarios

encuestados corresponde a:

Nombre del Funcionario Puesto

Wilberth Villalobos Rojas Tesorería Encargado de Caja Chica

Ana María Valerio Cordero Depto. Administración y Finanzas

Liliana Pastor Ovares Depto. Administrativo y Financiero

Rafael Núñez Salas Encargado de Suministros Bodega

El resultado obtenido, de la evaluación de la calidad funcional del sistema de caja chica por

parte de los usuarios detallados en el cuadro anterior; se muestra en la siguiente grafica.


El detalle del resultado de la evaluación, con respecto a la percepción de los usuarios finales

respecto al servicio recibido por la Unidad de Tecnologías de Información se muestra en el

siguiente gráfico:

MINISTERIO DE AGRICULTURA Y GANADERÍA - … · 2.2 FUNCIONARIOS DE TI CON EL ... establezca las...

Documents

Transcript of MINISTERIO DE AGRICULTURA Y GANADERÍA - … · 2.2 FUNCIONARIOS DE TI CON EL ... establezca las...