CONSEJO NACIONAL DE RECTORES AUDITORÍA … · 9 de 21 2.5 Matriz de hallazgos Como resultadode la...
Transcript of CONSEJO NACIONAL DE RECTORES AUDITORÍA … · 9 de 21 2.5 Matriz de hallazgos Como resultadode la...
CONSEJO NACIONAL DE RECTORES AUDITORÍA INTERNA
Informe de Auditoría Interna
INF-001-2008
Unidad de Cómputo:
“Evaluación del cumplimiento de las Normas Técnicas para la Gestión y el Control de las Tecnologías de Información”
Abril, 2008
CONTENIDO
I. DESCRIPCIÓN DEL ESTUDIO REALIZADO - METODOLÓGICA .......................... 4
II. RESUMEN DE HALLAZGOS .............................................................................................. 10
III. DESCRIPCIÓN DE LOS HALLAZGOS .......................................................................... 11
IV. CONCLUSIÓN ...................................................................................................................... 18
V. ANEXOS ................................................................................................................................. 19
VI. SEGUIMIENTO Y PLAN DE IMPLEMENTACIÓN ....................................................... 21
Unidad de Computo Informe de Auditoría Interna INF-001-2008
3 de 21
I. DESCRIPCIÓN DEL ESTUDIO REALIZADO - METODOLÓGICA .......................... 4
1. INTRODUCCIÓN .............................................................................................................. 4
1.1 ORIGEN ............................................................................................................................. 4
1.2 OBJETIVO GENERAL ..................................................................................................... 4
1.3 OBJETIVOS ESPECÍFICOS ............................................................................................. 4
1.4 ALCANCE Y NATURALEZA ......................................................................................... 5
1.5 RESPONSABILIDAD DE LA ADMINISTRACIÓN ...................................................... 5
1.6 REGULACIONES DE LA LEY GENERAL DE CONTROL INTERNO N# 8292 ........ 6
2. PROCEDIMIENTOS APLICADOS .................................................................................... 8
2.1 ENTREVISTAS ................................................................................................................. 8
2.2 REVISIÓN DE DOCUMENTOS ...................................................................................... 8
2.3 MATRIZ DE CUMPLIMIENTO ....................................................................................... 8
2.4 MATRIZ DE SEGUIMIENTO .......................................................................................... 8
2.5 MATRIZ DE HALLAZGOS ............................................................................................. 9
2.6 OBSERVACIONES DE EVIDENCIA IN SITU ............................................................... 9
Unidad de Computo Informe de Auditoría Interna INF-001-2008
4 de 21
I. Descripción del estudio realizado - Metodológica 1. INTRODUCCIÓN
1.1 Origen
El presente estudio se encuentra fundamentado en el cumplimiento del Plan de Trabajo de la
Auditoría Interna del CONARE, bajo el propósito de cumplimiento de la Ley Orgánica de la
Contraloría General de la República 7428, y de la Ley General de Control Interno N 8292.
Rigiéndonos por estos lineamientos hemos clasificado esta auditoría dentro de los atributos de
servicios de auditoría de carácter especial. Las actividades realizadas han sido ejercidas con total
independencia funcional y de criterio, respecto al jerarca y de los demás órganos de la
administración activa.
1.2 Objetivo General
La presente auditoría pretende obtener información y conocimiento del nivel de cumplimiento del
proceso realizado por la Unidad de Cómputo del CONARE para la implementación de las
Normas Técnicas para la Gestión y el Control de Tecnologías de Información N-2-2007-CO-
DFOE, aprobadas mediante resolución de la Contraloría General de República, Nº R-CO-26-
2007 del 7 de junio del 2007.
1.3 Objetivos Específicos
1) Medir el grado de implementación de las Normas Técnicas para la gestión y el control de
las tecnologías de información dentro del CONARE.
2) Dar seguimiento a las recomendaciones indicadas en el informe emitido por AUDISEG
en el mes de Mayo del 2007 y en el informe emitido por Deloitte en el mes de diciembre del
2007.
Unidad de Computo Informe de Auditoría Interna INF-001-2008
5 de 21
1.4 Alcance y Naturaleza
Por medio de la investigación inicial se estableció que el estudio será enfocado al análisis de la
implementación y valoración del avance de las Normas Técnicas para la Gestión y el Control de
las Tecnologías de Información de la Unidad de Cómputo del CONARE. Para la obtención de la
información desarrollamos nuestro trabajo de campo con la colaboración de la Unidad de
Cómputo, la Sección Administrativa y la Asesoría Legal de Auditoría Interna. Nuestro estudio
comprendió un período de nueve meses, partiendo de la fecha en que la normativa fue aprobada
(Junio del 2007).
1.5 Responsabilidad de la Administración
Las Tecnologías de Información (en adelante TI) constituyen uno de los elementos de mayor
importancia dentro de la gestión administrativa y operativa del CONARE. Mediante las
actividades cotidianas de TI es que la Institución maneja toda la información de sus transacciones
contables, operativas y administrativas.
La Contraloría General de la República emitió las Normas Técnicas para la gestión y el control
de las Tecnologías de Información, el cual entró en vigencia desde su publicación en la Gaceta
del día 7 de junio del año 2007, las cuales son de acatamiento obligatorio para la Contraloría
General de República y las instituciones y órganos sujetos a su fiscalización, razón por la cual, el
jerarca y demás titulares subordinados, como responsables de las gestiones de control, deberán
establecer, mantener, evaluar y perfeccionar la gestión institucional de las normas de TI, bajo la
luz de lo establecido en la Ley General de Control Interno Nº 8292.
La administración debe asegurar el logro de los objetivos propuestos como parte de la gestión de
TI, para lo cual debe establecer un marco de referencia y un proceso de seguimiento en los que
defina el alcance, la metodología y los mecanismos para vigilar la gestión de TI. Asimismo, debe
determinar las responsabilidades del personal a cargo de dicho proceso.
Esta normativa es de acatamiento obligatorio para la Contraloría General de la República y las
instituciones y órganos sujetos a su fiscalización, y su inobservancia generará las
responsabilidades que correspondan de conformidad con el marco jurídico que resulte aplicable.
Unidad de Computo Informe de Auditoría Interna INF-001-2008
6 de 21
1.6 Regulaciones de la Ley General de Control Interno N# 8292
En el entendido de poder aclarar y divulgar de manera más clara los aspectos vinculantes de la
normativa de TI con la ley, haremos mención de que el artículo 3 de la Ley General de Control
Interno Nº8292 del 31de julio de 2002, refuerza las facultades de la Contraloría General de la
República para emitir la normativa técnica necesaria para el funcionamiento efectivo del sistema
de control interno de los entes y órganos sujetos a esa ley.
“Artículo 3º—Facultad de promulgar normativa técnica sobre control interno. La Contraloría General de la República dictará la normativa técnica de control interno, necesaria para el funcionamiento efectivo del sistema de control interno de los entes y de los órganos sujetos a esta Ley. Dicha normativa será de acatamiento obligatorio y su incumplimiento será causal de responsabilidad administrativa.
La normativa sobre control interno que otras instituciones emitan en el ejercicio de competencias de control o fiscalización legalmente atribuidas, no deberá contraponerse a la dictada por la Contraloría General de la República y, en caso de duda, prevalecerá la del órgano contralor.”
1.6.1 Los informes de auditoría Artículo 36. —Informes dirigidos a los titulares subordinados. Cuando los informes de auditoría contengan recomendaciones dirigidas a los titulares subordinados, se procederá de la siguiente manera: a) El titular subordinado, en un plazo improrrogable de diez días hábiles contados a partir
de la fecha de recibido el informe, ordenará la implantación de las recomendaciones. Si discrepa de ellas, en el transcurso de dicho plazo elevará el informe de auditoría al jerarca, con copia a la auditoría interna, expondrá por escrito las razones por las cuales objeta las recomendaciones del informe y propondrá soluciones alternas para los hallazgos detectados.
b) Con vista de lo anterior, el jerarca deberá resolver, en el plazo de veinte días hábiles
contados a partir de la fecha de recibo de la documentación remitida por el titular subordinado; además, deberá ordenar la implantación de recomendaciones de la auditoría interna, las soluciones alternas propuestas por el titular subordinado o las de su propia iniciativa, debidamente fundamentadas. Dentro de los primeros diez días de ese lapso, el auditor interno podrá apersonarse, de oficio, ante el jerarca, para pronunciarse sobre las objeciones o soluciones alternas propuestas. Las soluciones que el jerarca ordene implantar y que sean distintas de las propuestas por la auditoría interna, estarán sujetas, en lo conducente, a lo dispuesto en los artículos siguientes.
c) El acto en firme será dado a conocer a la auditoría interna y al titular subordinado
correspondiente, para el trámite que proceda.
Unidad de Computo Informe de Auditoría Interna INF-001-2008
7 de 21
Artículo 37. —Informes dirigidos al jerarca. Cuando el informe de auditoría esté dirigido al jerarca, este deberá ordenar al titular subordinado que corresponda, en un plazo improrrogable de treinta días hábiles contados a partir de la fecha de recibido el informe, la implantación de las recomendaciones. Si discrepa de tales recomendaciones, dentro del plazo indicado deberá ordenar las soluciones alternas que motivadamente disponga; todo ello tendrá que comunicarlo debidamente a la auditoría interna y al titular subordinado correspondiente. Artículo 38. —Planteamiento de conflictos ante la Contraloría General de la República. Firme la resolución del jerarca que ordene soluciones distintas de las recomendadas por la auditoría interna, esta tendrá un plazo de quince días hábiles, contados a partir de su comunicación, para exponerle por escrito los motivos de su inconformidad con lo resuelto y para indicarle que el asunto en conflicto debe remitirse a la Contraloría General de la República, dentro de los ocho días hábiles siguientes, salvo que el jerarca se allane a las razones de inconformidad indicadas. La Contraloría General de la República dirimirá el conflicto en última instancia, a solicitud del jerarca, de la auditoría interna o de ambos, en un plazo de treinta días hábiles, una vez completado el expediente que se formará al efecto. El hecho de no ejecutar injustificadamente lo resuelto en firme por el órgano contralor, dará lugar a la aplicación de las sanciones previstas en el capítulo V de la Ley Orgánica de la Contraloría General de la República, N° 7428, de 7 de septiembre de 1994.
1.6.2 Causales de Responsabilidad Administrativa
Artículo 39. — Causales de responsabilidad administrativa. El jerarca y los titulares subordinados incurrirán en responsabilidad administrativa y civil, cuando corresponda, si incumplen injustificadamente los deberes asignados en esta Ley, sin perjuicio de otras causales previstas en el régimen aplicable a la respectiva relación de servicios. […] Igualmente, cabrá responsabilidad administrativa contra los funcionarios públicos que injustificadamente incumplan los deberes y las funciones que en materia de control interno les asigne el jerarca o el titular subordinado, incluso las acciones para instaurar las recomendaciones emitidas por la auditoría interna, sin perjuicio de las responsabilidades que les puedan ser imputadas civil y penalmente.
Unidad de Computo Informe de Auditoría Interna INF-001-2008
8 de 21
2. PROCEDIMIENTOS APLICADOS
2.1 Entrevistas
Se realizaron entrevistas a los funcionarios de la Unidad de Cómputo, con el fin de obtener
información de la estructura organizativa del área, los procedimientos ejecutados, la existencia de
procedimientos escritos y el desarrollo de las actividades para la implementación de la normativa
de TI.
2.2 Revisión de documentos
Para la investigación inicial del presente estudio se revisaron varios documentos de la normativa
en relación con el tema de TI, además se solicitaron algunos compendios vinculados con el tema,
los cuales fueron analizados con el fin de obtener un panorama más amplio al respecto.
2.3 Matriz de cumplimiento
Se elaboró una matriz donde se muestra el resultado obtenido de la aplicación de la encuesta
titulada “Herramienta 03”, la cual fue aplicada a los cuatro funcionarios de la Unidad de
Cómputo del CONARE. Los resultados obtenidos reflejaron claramente la situación actual con
respecto a la aplicación de la normativa de TI, dichos resultados serán detallados más adelante en
el resumen de los hallazgos. (Ver Anexo 1)
2.4 Matriz de Seguimiento
Se realizó una entrevista al encargado de la Unidad de Cómputo, con el fin de obtener
conocimiento sobre los avances en el cumplimiento de las recomendaciones emitidas en el
informe de AUDISEG y de DELOITTE. La información obtenida de la aplicación de esta
herramienta fue esquematizada por medio de una matriz de seguimiento la cual está contemplada
en nuestras observaciones finales.
Unidad de Computo Informe de Auditoría Interna INF-001-2008
9 de 21
2.5 Matriz de hallazgos
Como resultado de la verificación del cumplimiento de las Normas Técnicas para la Gestión y
Control de Tecnologías de Información, se obtuvieron varias observaciones, las cuales se detallan
en una matriz de hallazgos dentro del informe.
2.6 Observaciones de evidencia in situ
Se visitaron las áreas asignadas a la Unidad de Cómputo para obtener evidencia física de los
cambios actuales en relación con tema del espacio físico, seguridad perimetral, accesos a las
áreas de trabajo, separación adecuada de las áreas y riesgos asociados con el ambiente.
Unidad de Computo Informe de Auditoría Interna INF-001-2008
10 de 21
II. Resumen de Hallazgos
Núm. Hallazgo Nivel de Riesgo
Alto Medio Bajo
1 Incumplimiento de los tiempos establecidos por la CGR para la implementación de las Normas Técnicas de Información. X
2 Inadecuada gestión en la implementación de las normas de aplicación general establecidas por la CGR. X
3 Inadecuada gestión en la aplicación de las normas de planificación y organización, establecidas por la CGR. X
4 Inadecuada gestión en la aplicación de las normas de implementación tecnológicas. X
5 No hay una adecuada gestión en la aplicación de las normas relacionadas a la prestación de servicios y mantenimiento. X
6 Las recomendaciones indicadas en el informe de AUDISEG en el mes de mayo de 2007 en su mayoría no han sido implementadas. X
7 Falta de una adecuada comunicación entre la administración y la Unidad de Cómputo. No se han implementado las mejoras propuestas por Deloitte.
X
Unidad de Computo Informe de Auditoría Interna INF-001-2008
11 de 21
III. Descripción de los Hallazgos
Dependencia Unidad de Cómputo
Proceso Valoración de la aplicación de las normas generales
Hallazgo Nº 1 Incumplimiento de los tiempos establecidos por la CGR para la implementación de las Normas Técnicas de Información.
Objetivo de control Operativo Financiero Cumplimiento Nivel de Riesgo
Alto Medio Bajo
x x
Descripción del Hallazgo En seguimiento de lo establecido por la CGR en la publicación de la normativa N-2-2007-CO-DFOE, la Unidad de Cómputo en el mes de agosto del 2007 presentó un documento el cual describía las etapas de implementación de la normativa de TI en dos etapas: la primera etapa sería de Julio 2007 a Julio 2008 y el segunda etapa en el siguiente año, sin embargo a la fecha de nuestro estudio se observó que no se ha iniciado dicha gestión, por lo que no se ha cumplido con los tiempos establecidos por la Unidad de Cómputo del CONARE para la, implementación y monitoreo de la normativa.
Causas La Unidad de Cómputo no cuenta en la actualidad con los recursos humanos, económicos y demás para llevar a cabo el plan de implementación de la normativa en CONARE. Impacto En la actualidad la Institución se encuentra totalmente desvinculada de las normativas existentes en el sector público en cuanto a tecnologías de información, efecto que trae graves repercusiones sobre los controles administrativos poniendo en riesgo el desempeño de la Institución y el logro de sus objetivos, además, la inobservancia de la normativa podría generar responsabilidades legales a la Institución y sus responsables.
Recomendación o Actividad de Control por Implementar Dotar a la Unidad de Cómputo de los recursos humanos, económicos y tecnológicos necesarios para la implementación, divulgación y monitoreo de la normativa de tecnologías de información. El jerarca deberá implementar un proceso continuo de promulgación y divulgación de las normas de TI en el CONARE y presentar un plan de acción. La administración debe mantener la integridad de los procesos de implementación y mantenimiento de software e infraestructura tecnológica y evitar el acceso no autorizado, daño o pérdida de información.
Unidad de Computo Informe de Auditoría Interna INF-001-2008
12 de 21
Dependencia Unidad de Cómputo
Proceso Valoración de la aplicación del Capítulo I . Normas Generales de TI
Hallazgo Nº 2 Inadecuada gestión en la implementación de las normas de aplicación general establecidas por la CGR.
Objetivo de control Operativo Financiero Cumplimiento Nivel de Riesgo
Alto Medio Bajo
X X
Descripción del Hallazgo De la verificación del cumplimiento de los trece componentes vinculantes de las normas de Aplicación General, se pudo observar que sólo se ha implementado uno (Control de acceso), quedando cinco componentes en proceso y ocho pendientes de implementar. (Ver Anexo 1)
Causa La administración del CONARE no ha dotado a la Unidad de Cómputo de los recursos humanos, tecnológicos, físicos y económicos necesarios para el desarrollo las actividades establecidas en ésta normativa. Impacto El incumplimiento de las normas de aplicación general amenaza a la Institución en la gestión de valoración el riesgo institucional, la gestión de calidad, de seguridad, de gestión de los proyectos y todo lo relacionado con asuntos estratégicos. La inobservancia de esta norma generará las responsabilidades de conformidad con el marco jurídico que resulte aplicable.
Recomendación o Actividad de Control por Implementar La administración deberá de monitorear el avance del cumplimiento de las Normas Técnicas y dar el soporte que requiere la Unidad de TI, a fin de poder cumplir con lo establecido por la CGR. Realizar una planificación que considere las actividades por ejecutar, los plazos establecidos para cada una, los responsables, los costos estimados, así como cualquier otro requerimiento asociado (tales como infraestructura, personal y recursos técnicos) y quedar debidamente documentada, de conformidad con lo indicado por la CGR.
Dependencia Informe de Auditoría Interna (Ref. informe)
13 de 21
Dependencia Unidad de Cómputo
Proceso Verificación de los aspectos de dirección, información, planificación, independencia, recursos humanos y financieros.
Hallazgo Nº 3 Inadecuada gestión ¡en la aplicación ¡de las normas de planificación y organización, establecida por la CGR.
Objetivo de control Operativo Financiero Cumplimiento Nivel de Riesgo
Alto Medio Bajo
X X
Descripción del Hallazgo De la verificación del cumplimiento de los cinco componentes de la normativa referente a las normas de planificación y organización, se observó que sólo se ha implementado un componente, dos están en proceso y dos no se han implementado. (ver Anexo 1)
Causas 1- La Unidad de Cómputo no cuenta con los fondos necesarios para poder implementar las normas técnicas. A pesar de que anualmente hace su presupuesto, éste no ha sido considerado dentro del presupuesto de CONARE. 2- CONARE posee un organigrama que ubica la Unidad de Cómputo en línea directa con la oficina administrativa y bajo el mando de la dirección ejecutiva pero en materia de ejecución el organigrama no refleja la realidad institucional, debido a que la Unidad de Cómputo opera bajo el mando de la División de Sistemas y con total dependencia de la misma, excluyéndola de los procesos de planificación de las TI. Impacto En ausencia de recursos financieros y de un organigrama aplicable a la realidad Institucional, la Unidad de Cómputo enfrenta grandes problemas de dependencia para desarrollar sus funciones, lo cual pone a la misma en un punto crítico de funcionamiento, sin potestad para tomar decisiones de importancia para la organización, quedando la Institución sin controles adecuados en los sistemas y al margen de el marco jurídico.
Recomendación o Actividad de Control por Implementar Se recomienda a la administración que analice las necesidades de la Unidad de Cómputo y tome las medidas necesarias en la elaboración del presupuesto de tal forma que le de contenido presupuestario a dicha unidad. Se recomienda llevar a cabo una modificación de las acciones administrativas para dar a la Unidad de Cómputo, una conceptualización diferente sobre sus funciones, con total independencia de función, y con un nivel jerárquico adecuado para la toma de decisiones en materia de planificación, dirección e información de tecnologías.
Dependencia Informe de Auditoría Interna (Ref. informe)
14 de 21
Causas La Unidad no cuenta con los recursos necesarios para hacerle frente a lo que solicitan las normas técnicas en cuanto a la implementación de tecnologías. Impacto Formular y ejecutar estrategias de implementación que no incluyan todas las medidas para minimizar el riesgo de que los proyectos no logren sus objetivos, no satisfagan los requerimientos o no cumplan con los términos de tiempo y costo preestablecidos Recomendación o Actividad de Control por Implementar La administración debe implementar y mantener las TI requeridas en concordancia con su marco estratégico, planificación, modelo de arquitectura de información e infraestructura tecnológica, de conformidad con lo indicado en la normativa.
Dependencia Unidad de Cómputo
Proceso Cumplimiento de las normas de implementación de tecnologías
Hallazgo Nº 4 Inadecuada gestión en la aplicación de las normas de implementación tecnológicas.
Objetivo de control Operativo Financiero Cumplimiento Nivel de Riesgo
Alto Medio Bajo
X X
Descripción del Hallazgo Se observó que de los cuatro componentes que conforman la norma de implementación de tecnología no se ha implementado ninguna.
Dependencia Informe de Auditoría Interna (Ref. informe)
15 de 21
Dependencia Unidad de Cómputo
Proceso Valoración del proceso de implementación de tecnologías de información.
Hallazgo N. 5 No hay una adecuada gestión en la aplicación de las normas relacionadas a la prestación de servicios y mantenimiento.
Objetivo de control Operativo Financiero Cumplimiento Nivel de Riesgo
Alto Medio Bajo
X x
Descripción del Hallazgo Se observó que sólo un 50% de los componentes de la norma de prestación de servicios y mantenimiento se han implementado. Ver anexo adjunto.
Causa La Unidad no cuenta con el personal necesario para poder implementar y dar seguimiento a la normativa. Impacto El no aplicar estas normas, puede hacer que la Institución realice contrataciones de servicios inadecuados para el cumplimiento de sus objetivos, además de la pérdida de recursos económicos por la falta de roles y responsabilidades de terceros. Pérdida de información vital de la Institución que no sea recuperable, al no tener una adecuada seguridad en las bases de datos. Contratación de servicios que no cumplan con las expectativas de la Institución. Riesgo de imagen y reputación de la institución.
Recomendación o Actividad de Control por Implementar Asignar a un responsable con las competencias necesarias que evalúe periódicamente la calidad y cumplimiento oportuno de los servicios contratados. Se recomienda establecer un plan de implementación a corto plazo, con el fin de que, en la medida posible, se pongan en marcha todas estas normas técnicas, que lo que buscan es mitigar riesgos, fortalecer la estructura de control interno y principalmente evitar que la Institución pueda incurrir en pérdidas económicas significativas.
Dependencia Informe de Auditoría Interna (Ref. informe)
16 de 21
Dependencia Unidad de Cómputo
Proceso Seguimiento a las recomendaciones de informes anteriores.
Hallazgo Nº 6 Las recomendaciones indicadas en el informe de AUDISEG en el mes de mayo de 2007 en su mayoría no han sido implementadas.
Objetivo de control Operativo Financiero Cumplimiento Nivel de Riesgo
Alto Medio Bajo
X x
Descripción del Hallazgo Del seguimiento de las diecinueve recomendaciones propuestas por AUDISEG en su informe emitido en mayo de 2007, sólo se han implementado nueve, quedando temas pendientes como seguridad de redes, equipos, software, instalaciones, rediseños de redes, reasignación de tareas y otras más sin ser implementadas.
Causa Por falta de una adecuada coordinación y asignación de recursos humanos y de recursos económicos es que la Unidad no ha podido dar seguimiento a estos temas pendientes. Impacto El desacatamiento de las recomendaciones anteriormente emitidas, podría agravar la situación de retardo tecnológico que atraviesa la Institución en la actualidad y ante una posible valoración de cumplimiento por parte de la Contraloría General de la República la Institución podría verse afectada.
Recomendación o Actividad de Control por Implementar Se recomienda a la administración analizar las necesidades que tiene la Unidad de Cómputo, para implementar a corto plazo las recomendaciones emitidas anteriormente por AUDISEG. La administración debe establecer y mantener el sistema de control interno asociado con la gestión de las TI, evaluar su efectividad y cumplimiento y mantener un registro de las excepciones que se presenten y de las medidas correctivas implementadas.
Dependencia Informe de Auditoría Interna (Ref. informe)
17 de 21
Dependencia Unidad de Cómputo
Proceso Seguimiento a las recomendaciones de informes anteriores.
Hallazgo Nº 7 A falta de una adecuada comunicación entre al administración y la Unidad de Cómputo, no se han implementado las mejoras propuestas por Deloitte
Objetivo de control Operativo Financiero Cumplimiento Nivel de Riesgo
Alto Medio Bajo
X x
Descripción del Hallazgo Se retomaron las recomendaciones emitidas por DELOITTE en el informe, para darles seguimiento y se determinó que, de las 12 recomendaciones emitidas, ninguna ha sido implementada hasta la fecha, sin embargo al dar seguimiento a las mismas se determinó que la Unidad de Cómputo desconocía por completo el documento.
Causa Falta de una adecuada comunicación entre la Sección Administrativa y la Unidad de Cómputo. La administración no realiza una gestión de monitoreo de las actividades realizadas por la Unidad de Cómputo. Impacto El desacatamiento de las recomendaciones anteriormente emitidas, podría agravar la situación de retardo tecnológico que atraviesa la Institución en la actualidad, desmejorando el control interno de dicha Unidad.
Recomendación o Actividad de Control por Implementar Se recomienda que la administración del CONARE informe de manera oportuna a la Unidad de Cómputo, todo lo referido a mejorar la estructura de control interno y que la misma le dé el respectivo seguimiento a fin de velar el cumplimiento de las recomendaciones dadas por la auditoría interna y cumplir con lo dispuesto en la Ley de Control Interno.
Unidad de Computo Informe de Auditoría Interna INF-001-2008
18 de 21
IV. Conclusión En la actualidad la mayoría de las instituciones públicas ha determinado la necesidad de un área
de tecnologías de información moderna, segura y de un rol de participación Institucional más
activo.
En CONARE, al inicio de la entrada en vigencia de la normativa de tecnologías de información,
se ofreció un gran apoyo a estos cambios, pero hoy, diez meses después de aprobadas las Normas
Técnicas, el apoyo se ha venido desvaneciendo y con ello todos los aspectos de importancia de
esta nueva normativa.
Es importante recordar que los jerarcas y demás titulares son los más vinculados con el
desarrollo de estos cambios, por tal circunstancia recomendamos no olvidar su papel en los
procesos de coordinación y planeación del trabajo Institucional.
El presente estudio de auditoría especial efectuado durante el mes de marzo del año en curso,
permitió determinar que la Institución ha venido desarrollando estudios y proyectos de
implementación de la normativa de TI, sin embargo a falta de una adecuada coordinación con la
administración, la Unidad de TI no cuenta con los recursos económicos necesarios para
implementar dicha normativa, mostrando un bajo nivel de implementación de las mismas, razón
por la cual la Unidad de Cómputo debe trabajar en un plan de implementación en donde se
muestren las fechas y las personas responsables, con el fin de poder cumplir en el tiempo
solicitado por la Contraloría General de la Republica y que CONARE no se vea afectado por el
incumplimiento de esta normativa.
Cabe señalar que la administración contará con dos años a partir de la entrada en vigencia de las
normas técnicas para cumplir con lo regulado en la normativa, lapso en el cual, dentro de los
primeros seis meses, deberá planificar las actividades necesarias para lograr una implementación
efectiva y controlada.
Unidad de Computo Informe de Auditoría Interna INF-001-2008
20 de 21
NORMATIVA COMPONENTES
1.1 Marco estrategico1.2 Gestión de la calidad1.3 Gestión de Riesgos1.4 Gestión de la seguridad de la información1.4.1 Implementación de un marco de seguridad de la información1.4.2 Compromiso del personal con la seguridad de información1.4.3 Seguridad Física y ambiental1.4.4 Seguridad en las operaciones y comunicaciones1.4.5 Control de acceso1.4.6 Seguridad en la implementación y mantenimiento de Sofware e infraestructura tecnológica1.4.7 Continuidad de los servicios de TI1.5 Gestión de Proyectos1.6 Decisiones sobre asuntos estratégicos de TI1.7 Cumplimiento de obligaciones relacionadas con la gestión de TI
2.1 Planificación de las tecnológias de información.2.2 Modelo de arquitectura de información2.3 Infraestructura tecnológica2.4 Independencia y recurso humano de la Función de TI2.5 Administración de Recursos financieros
3.1 Consideraciones generales de la implementación de TI3.2 Implementación de software 3.3 Implementación de infraestructura tecnológica3.4 Contratacíon de terceros para la impletación y mantenimiento de sofware e infraestructura
4.1 Definición y administración de acuerdos de servicio4.2 Administración y operación de la plataforma tecnológica4.3 Administración de los datos4.4 Atención de requerimientos de los usuarios de TI4.5 Manejo de incidentes4.6 Administración de servicios prestados por terceros
Implementada VerdeEn proceso AmarilloNo implementada Roja
Nota: Esta matriz de cumplimiento, muestra el grado de avance que la unidad de Cómputo ha gestionado en la implemntación de las normas técnicas de TI.
Nor
mas
de
aplic
ació
n ge
nera
l
Planificación y organicación
Implementación de tecnologías
Prestacíon de servicios y mantenimiento
Abril 2008
Nilvel de Cumplimiento
Anexo 1 CONARE
Matriz de CumplimientoNormas técnicas para la Gestión y el Control de las tecnologías de información
Unidad de cómputo
Unidad de Computo Informe de Auditoría Interna INF-001-2008
21 de 21
VI. Seguimiento y Plan de Implementación
Nº Hallazgo Riesgo Comentarios de la Administración
Plan de Implementación Responsable Fecha Estimada de
Implementación 1 Incumplimiento de los tiempos establecidos por la
CGR para la implementación de las Normas Técnicas de Información.
Alto Unidad de TI y Jerarcas
2 Inadecuada gestión en la implementación de las normas de aplicación general establecidas por la CGR.
Alto Unidad de TI y Jerarcas
3 Inadecuada gestión en la aplicación de las normas de planificación y organización, establecidas por la CGR.
Alto Unidad de TI y Jerarcas
4 Inadecuada gestión en la aplicación de las normas de implementación tecnológicas.
Alto Unidad de TI y Jerarcas
5 No hay una adecuada gestión en la aplicación de las normas relacionadas a la prestación de servicios y mantenimiento.
Alto Unidad de TI y Jerarcas
6 Las recomendaciones indicadas en el informe de AUDISEG en el mes de mayo de 2007 en su mayoría no han sido implementadas.
Alto Unidad de TI y Jerarcas
7 Falta de una adecuada comunicación entre la administración y la Unidad de Cómputo. No se han implementado las mejoras propuestas por Deloitte
Alto Unidad de TI y Jerarcas