· Web viewSan José, 30 de octubre de 2015 DGAI-INF-013-2015Señor Alfredo Abarca Rojas Director...

San José, 30 de octubre de 2015DGAI-INF-013-2015

SeñorAlfredo Abarca RojasDirector Dirección de Tecnologías de Información y Comunicación

Asunto: Informe sobre el avance en la implementación de las Normas Técnicas para la Gestión y el Control de las Tecnologías de Información.

Estimado señor:

Le remitimos el presente informe de control interno, de los resultados obtenidos en el estudio realizado por esta Dirección General de Auditoría Interna, sobre el avance en la implementación de las Normas Técnicas para la Gestión y el Control de las Tecnologías de Información (NTGCTI), con el objetivo de evaluar la efectividad en el cumplimiento de las actividades definidas para la implementación efectiva y controlada de dicha normativa.

El estudio comprendió la revisión preliminar del avance en la implementación de las Normas Técnicas para la Gestión y Control de las Tecnologías de Información, durante el periodo comprendido entre el 1 de enero y el 30 de junio de 2014, resultado de la cual se obtuvo la información que se comunica, extendiéndose cuando se consideró necesario.

Las actividades de este estudio se realizaron de acuerdo con la normativa aplicable al ejercicio de la Auditoría Interna del Sector Público.

Los resultados de este informe fueron expuestos a los funcionarios Alfredo Abarca Rojas, Director de la DTIC, María Isabel Vargas, Subdirectora de la DTIC, y Ademar Guzmán Johanson, Coordinador del Departamento de Control y Aseguramiento de TIC, en reunión celebrada el 29 de octubre de 2015. Sus observaciones en lo procedente fueron consideradas en el presente informe y fueron incluidas.

1. RESULTADOS

1.1. Antecedentes

El 21 de junio del 2007, se publicó en La Gaceta la Resolución N° R-CO-26-2007 del Despacho de la Contralora General de la República, que promulga las “Normas técnicas para la gestión y el control de las tecnologías de información”, N° N-2-2007-CO-DFOE.

En el artículo N°3 de esta Resolución se establece:

“…que las ‘Normas técnicas para la gestión y el control de las tecnologías de información’ son de acatamiento obligatorio para la Contraloría General de la República y las instituciones y órganos sujetos a su fiscalización, que prevalecerán sobre cualquier disposición en contrario que emita la Administración. Asimismo, que su inobservancia generará las responsabilidades que correspondan de conformidad con el marco jurídico que resulte aplicable”

De acuerdo con el artículo N°1 de la Resolución citada, dichas normas establecen los criterios básicos de control que deben observarse en la gestión de las tecnologías de información y tienen como propósito coadyuvar en su gestión, en virtud de que esas tecnologías son un instrumento esencial en la prestación de

Edificio Fischel, Avenidas 3 y 5, Calle 2, 50 mts norte Edificio Correos de Costa Rica. San José, Costa Rica. Tel:(506)2539-6686 (506)2539-4232 Fax: 2222-4486 - www.hacienda.go.cr

http://www.hacienda.go.cr/

DGAI-INF-013-2015Página 2 de 14

los servicios públicos, representando inversiones importantes en el presupuesto del Estado y para el fortalecimiento del control interno institucional en los procesos de trabajo, que cada día más utilizan los recursos de tecnologías de información, para el mejoramiento y tecnificación de la gestión que presta.

Las Normas técnicas para la gestión y el control de las Tecnologías de Información están estructuradas en cinco capítulos, a saber:

Capítulo I: Normas de aplicación general (siete normas), Capítulo II: Planificación y organización (cinco normas), Capítulo III: Implementación de tecnologías de información (cuatro normas), Capítulo IV: Prestación de servicios y mantenimiento (seis normas), y Capítulo V: Seguimiento (tres normas).

Asimismo, en el artículo 6 de la Resolución se señala lo siguiente:

“la Administración contará con dos años a partir de su entrada en vigencia para cumplir con lo regulado en esta normativa, lapso en el cual, dentro de los primeros seis meses, deberá planificar las actividades necesarias para lograr una implementación efectiva y controlada de lo establecido en dicha normativa, contemplando los siguientes aspectos: // a. La constitución de un equipo de trabajo con representación de las unidades que correspondan. // b. La designación de un responsable del proceso de implementación, quien asumirá la coordinación del equipo de trabajo y deberá contar con la autoridad necesaria, dentro de sus competencias, para ejecutar el referido plan. //c. El estudio detallado de las normas técnicas referidas, con el fin de identificar las que apliquen a la entidad u órgano de conformidad con su realidad tecnológica y con base en ello establecer las prioridades respecto de su implementación. // d. Dicha planificación deberá considerar las actividades por realizar, los plazos establecidos para cada una, los respectivos responsables, los costos estimados, así como cualquier otro requerimiento asociado (tales como infraestructura, personal y recursos técnicos) y quedar debidamente documentada.”

Estas normas entraron a regir a partir del 31 de julio del 2007, en virtud de lo cual a la presente fecha, es decir 8 años después, es de esperar que su nivel de implementación ya tenga cierto nivel de madurez en las instituciones del Sector Público.

1.2. Actividades relacionadas con la implementación de las NTGCTI

Año 2007

Con oficio DGAI-303-2007 del 04 de julio de 2007, esta Auditoría Interna emitió en su momento un Servicio de Asesoría, dirigido al señor Ministro de Hacienda, en ese entonces, Lic. Guillermo Zúñiga Chaves, en el cual se le comunica que:

“Según el artículo 7 de la resolución mencionada, la nueva normativa de TI entrará a regir a partir del 31 de julio del 2007, por lo tanto al 31 de enero del 2008 se deberá tener planificado las actividades necesarias para lograr una implementación efectiva y controlada de lo establecido en dicha normativa, y al 31 de julio del 2009 se deberá lograr el cumplimiento de lo regulado en esta normativa. // Como parte de nuestros servicios de asesoría, de conformidad con el artículo 22 de la Ley 8292 Ley General de Control Interno, nos permitimos informarle sobre esta situación para que ese Despacho ordene la conformación de un equipo de trabajo con la representación correspondiente, así como la designación de un responsable del proceso de implementación que coordine el equipo de trabajo y ejecute el plan establecido. // Una vez cumplido lo anterior, es necesario que se proceda por parte




del equipo de trabajo a valorar los avances que se han venido dando en la gestión y el control de tecnología de información en la institución, para armonizar esos esfuerzos con lo establecido en la normativa emitida por la Contraloría General de la República que es de acatamiento obligatorio y prevalecerá sobre cualquier otra disposición en contrario que emita la Administración, en razón de que la misma debe ser atendida e implementada dentro de los plazos establecidos.”

En este oficio también se hace un recuento de los esfuerzos tendentes a mejorar la gestión y el control del uso de la tecnología de información en la Institución y se solicitan informes sobre las decisiones o acciones que se tomen al respecto.

Al respecto, el señor Ministro giró instrucciones en el Acuerdo DM-50-2007 del 10 de setiembre de 2007, a fin de que se procediera con el cumplimiento de la normativa indicada, para lo cual se delegó en el Consejo Institucional de Tecnología de Información (CITI) la elaboración del plan de acciones a efectos de organizar y planificar dentro del marco estratégico de TI, el cumplimiento de las disposiciones, según lo dispuesto por la Contraloría General de la República en la Resolución R-CO-26-2007 (Directriz N-2-2007-CO-DFOE).

Por su parte, el CITI nombró una Comisión Institucional de Implementación de las Normas, que inició labores el 8 de noviembre de 2007, según Agenda de Reunión Preliminar 01-2007.

Año 2008

En enero de 2008 la Comisión Institucional para elaboración de la propuesta del Plan de Implementación de las NTGCTI, entregó al CITI una Propuesta de Implementación, la cual establecía como objetivo, lo siguiente:

“Proponer ante el Consejo Institucional de Tecnología de Información (CITI) las actividades a tomarse en consideración en el Plan de Implementación de las Normas Técnicas para la Gestión y el Control de las Tecnologías de Información (NTI) conforme con los plazos establecidos por la Contraloría General de República y la disponibilidad de recursos institucionales a ser asignados para este propósito”1.

La Propuesta de Implementación elaborada por dicha Comisión es remitida a la Contraloría General de la República por el señor Ministro de Hacienda de ese momento, Lic. Guillermo Zúñiga Chaves, mediante oficio DM-268-2008 del 4 de marzo de 2008.

Sobre esta planificación la Contraloría General emitió el informe DFOE-SAF-05-2008 del 30 de junio de 2008, en el cual se dispone:

“a) Ordenar las acciones pertinentes para que el Consejo Institucional de Tecnología de Información (CITI) finiquite, a la brevedad posible, el Plan para la implementación de las normas técnicas para la gestión y el control de las tecnologías de información, de acuerdo a las condiciones, plazos y de más especificaciones dispuestas en el artículo seis de la Resolución R-CO-26-2007. (…) // b) Instruir, de inmediato, al CITI, para que, en un plazo máximo de tres meses, se elaboren y establezcan, formalmente, los procedimientos de control y seguimiento correspondientes, para garantizar que la implementación de las referidas normas de TI se realice de conformidad con el Plan…”.

Estas disposiciones se dieron por cumplidas en el oficio N°02698 (FOE-SD-0240) del 9 de marzo de 2009, emitido por el Órgano Contralor al señor Ministro de Hacienda, Lic. Guillermo Zúñiga Chaves.

Por otra parte, en el año 2008 el Ministerio de Hacienda suscribió un contrato con la empresa consultora Integradores de Tecnología en Informática S.A. (TI-Solutions), amparado a la contratación directa 2007CD-

1 Propuesta de Implementación, página 6.




005221-13800. La consultoría se orientaba a la asesoría, guía y acompañamiento en el desarrollo del plan para la implementación de la normativa: Normas Técnicas para la Gestión y el Control de las Tecnologías de Información, que fue adjudicada el 21 de diciembre de 2007.

El costo de esta contratación fue de ¢9.162.178,00 (nueve millones ciento sesenta y dos mil ciento setenta y ocho colones, sin céntimos). Esta consultoría inició en marzo de 2008, y se obtuvieron como productos un diagnóstico de la situación del Ministerio de Hacienda respecto al cumplimiento de las normas a nivel institucional, y 30 planes de acción, que sirvieron de insumo para crear el documento final del Plan de Implementación.

Como parte de esta consultoría, se realizó a mayo de 2008 un diagnóstico del cumplimiento de las Normas de TI, según el cual el Ministerio de Hacienda se encontraba muy por debajo de los niveles aceptables de cumplimiento, lo que denotó que la situación era crítica y colocaba la ejecución del Plan de Implementación de las Normas de TI en alta prioridad dentro las actividades de la Institución.

El Plan de Implementación aprobado por el CITI incluyó 6 planes específicos (proyectos) cuya ejecución se planteó para implementar las NTGCTI, y para los cuales se estimó un plazo de 2 años y medio (de enero 2010 a junio 2012). Para cada proyecto se tenía planeado al menos una contratación externa, para un total de 10. Adicionalmente el plan preveía la conformación de un Equipo Técnico de Coordinación (ETC).

El 17 de setiembre de 2008 fue entregado al CITI por la Licda. Gabriela Espinoza, el documento denominado PLANES DE ACCIÓN PARA LA IMPLEMENTACION DEL MANUAL DE NORMAS TÉCNICAS PARA LA GESTIÓN Y EL CONTROL DE LAS TECNOLOGÍAS DE INFORMACIÓN (N-2-2007-CO-DFOE).

El Ministerio de Hacienda contó con un Plan de Implementación para las Normas de TI en el mes de setiembre de 2008, lo cual sobrepasó en 8 meses el plazo estipulado en el artículo 6 de la Resolución N° R-CO-26-2007, situación que fue del conocimiento de la Contraloría General de la República, por medio del oficio DM-2259-08 del 29 de setiembre de 2008, remitido por el señor Ministro de Hacienda, Lic. Guillermo Zúñiga Chaves. En el citado oficio se incluye un “Cronograma de actividades Manual de Normas Técnicas”, en el cual se programan actividades para ejecutar desde julio de 2008 hasta enero de 2012.

Año 2009

Mediante contratación directa N°2008CD-003541-13800, adjudicada a la empresa Integradores de Tecnología en Informática S.A. (TI-Solutions), por un costo de ¢9.200.000.00 (nueve millones doscientos mil colones), se contrató otra consultoría denominada “Consultoría en Normas Técnicas para la Gestión y Control de las Tecnologías de Información a la Dirección General de Informática y el Equipo Técnico de Coordinación”, la cual inició el 29 de febrero de 20092, con el objetivo de:

“Brindar guía y acompañamiento al Equipo Técnico y Coordinador (ETC) para el desarrollo de las actividades preliminares de implementación del Plan de trabajo para la Implementación de las normas relacionadas con los lineamientos establecidos por la Contraloría General de la República, en el documento Normas técnicas para la gestión y el control de las Tecnologías de Información, (N-2- 2007-CO-DFOE).”

De esta consultoría se obtuvieron como productos dos informes, el primero del 22 de mayo de 2009 y el segundo del 01 de julio de 2009, que versan sobre cinco fases: Fase I “Capacitación en los alcances del plan de implementación”, Fase II. Priorización de las normas a implantar de acuerdo a los alcances del plan de implementación, Fase III “Formación de equipos de trabajo”, Fase IV “Validación de las prácticas actuales” y Fase V “Establecer los lineamientos para la definición de los términos de referencia para la contratación de servicios externos”.

2 De acuerdo con el Formulario Carta Constitutiva del Proyecto.




En síntesis, el resultado del trabajo realizado en el Ministerio de Hacienda desde octubre de 2008 hasta julio de 2009, en conjunto con los consultores externos contratados, permitió contar con una estrategia de implementación conformada por 6 proyectos y el detalle de las acciones y los recursos necesarios para la ejecución así como mejoras en lo relacionado con la concientización sobre los temas de riesgo en TI.

No obstante, lo comentado evidencia que durante el periodo de dos años estipulado por la Contraloría General de la República en el artículo 6 de la citada Resolución N° R-CO-26-2007 para cumplir con esta normativa, en el Ministerio de Hacienda solamente se realizaron actividades preparatorias, entre ellas, el “Plan de implementación”, la conformación de equipos de trabajo, un diagnóstico de la situación de cumplimiento de las normas de TI, y actividades de guía y acompañamiento, entre otras.

En cumplimiento de la gestión fiscalizadora, en noviembre de 2009 esta Auditoría Interna emitió el informe INF-DGAI-031-2009 sobre el estudio denominado “Evaluación del avance en el proceso de implementación de las Normas técnicas para la gestión y el control de las Tecnologías de Información”, en el cual se recomendó a la señora Ministra de Hacienda en ese entonces, Licda. Jenny Phillips Aguilar, lo siguiente:

“4.1. Fortalecer los mecanismos de seguimiento y control a nivel del Despacho, que le aseguren la implementación de las Normas Técnicas para la Gestión y el Control de las Tecnologías de Información, de conformidad con los proyectos y plazos previstos en el plan de implementación adoptado.// Lo anterior considerando la situación crítica que presenta el Ministerio de Hacienda en cuanto al cumplimiento de las Normas de Tecnología de Información, según los resultados del diagnóstico efectuado por parte de consultoría contratada, y que el plazo establecido por el órgano contralor para su cumplimiento venció el 31 de julio 2009, lo cual puede tener incidencias en el cumplimiento normativo y los objetivos institucionales. (…)// 4.2. Girar instrucciones al Consejo Institucional de Tecnología de Información (CITI), para que conforme sus competencias realice las siguientes acciones:// 4.2.1. Fortalecer los controles gerenciales necesarios para llevar un control y seguimiento adecuado sobre el avance y cumplimiento del Plan de Implementación de las Normas de TI, adoptado por el señor Ministro de Hacienda, según las actividades y fechas programadas. Esto incluye el seguimiento y control sobre la labor institucional y las contrataciones que se realicen para ese efecto, de manera que se obtengan los productos esperados de cada una de ellas en tiempo y forma, y que en conjunto se logre la implementación efectiva de las Normas de TI.// Dichos controles deberán propiciar el reporte oportuno en caso de que se presenten desviaciones en las actividades programadas, a los efectos de requerir de los responsables la información correspondiente, así como las justificaciones y recomendaciones que se estimen pertinentes para la toma de decisiones.// 4.2.2.Documentar y fundamentar adecuadamente todas las acciones y decisiones que se tomen en el proceso del Plan de Implementación de las Normas de TI conforme el plan definido, las políticas y los procedimientos institucionales que resulten aplicables en materia de tecnología de información, a efecto de que se permita el control y la rendición de cuentas sobre la implementación efectiva de esta normativa.”

Estas recomendaciones fueron aceptadas por la Ministra de ese entonces mediante Acuerdo N°DM-080-2009 del 17 de diciembre del 2009. De acuerdo con el Programa de Seguimiento de recomendaciones, las 3 recomendaciones emitidas fueron cumplidas.

Año 2010

En diciembre de 2009, se tomó la decisión de variar la estrategia de implementación de las NTGCTI, según consta en el Informe Ejecutivo N° ETC-IP-003 del 15 de diciembre de 2009 presentado por el Equipo Técnico Coordinador al CITI, en el cual se informa lo siguiente:




“…la coordinación del proyecto (…) tomó la decisión de modificar el esquema de contratación de múltiples proyectos, por la contratación integral para la implementación de un modelo por procesos, para la gestión del TIC institucional, que posibilite el cumplimiento con la normativa, un modelo de gobernabilidad de las TIC y alcanzar el nivel de madurez acordado en el plan de implementación y que permita dar sostenibilidad al proceso de mejora continua.”

Este informe del ETC fue conocido y aprobado por el CITI según consta en el Acta N°26-2010 del 14 de enero de 2010.3

El cambio de estrategia se implementó con la contratación de una consultoría con la empresa Price Waterhouse Coopers (PwC), por un monto total de $325.000,00 (trescientos veinticinco mil dólares con 00/100), contrato “MH-023-2010 (DGI) // Licitación Pública N°2010LN-000021-13801 denominado como “Consultoría para establecer un modelo de proceso de TIC del Ministerio de Hacienda que permita el cumplimiento del Manual de Normas Técnicas para la Gestión y el Control de las Tecnologías de Información”.

El contrato fue firmado el 22 de setiembre de 2010, con el objeto de:

“Brindar Servicios de Consultoría para la asesoría, guía y acompañamiento en la implementación de un modelo de procesos de TIC (Tecnologías de la Información y Comunicaciones) en el Ministerio de Hacienda, conforme con las mejores prácticas de la industria, a partir de un análisis de impacto de la situación actual, que permita el cumplimiento del Manual de Normas Técnicas de la Contraloría General de la República (N-2-2007-CO-DFOE) y un nivel de madurez 3 conforme al marco de referencia COBIT.”

Año 2011

En el año 2011 se prosiguió con la ejecución del contrato de consultoría con la firma Price Waterhouse Coopers (PwC), mediante contrato MH-023-2010.

En ese año, la Contraloría General de la República emitió el informe DFOE-SAF-IF-11-2010 del 30 de noviembre de 2010 denominado “Estudio realizado en el Ministerio de Hacienda, sobre el avance en la implementación de las “Normas técnicas para la gestión y el control de las Tecnología de Información (N-2-2007-CO-DFOE)”. En este informe se concluye que:

“El estudio realizado permitió determinar que el plan detallado para la implementación de la normas técnicas para la gestión y el control de las Tecnologías de Información en el Ministerio de Hacienda, comunicado a esta Contraloría General en setiembre del 2008, fue ajustado en enero del 2010 en cuanto a la estrategia de implementación, los costos previstos y los plazos. // El cambio de estrategia de implementación consiste en una nueva contratación externa orientada a la asesoría, guía y acompañamiento en la implementación de un modelo de procesos de TIC para el Ministerio con un plazo máximo de finalización al 2014. Este proceso apenas se ha iniciado recientemente, y podría tardar dos años más del plazo establecido en el plan que ese Ministerio fijó originalmente para la aplicación de la normativa en cuestión. Sin embargo no se contempla de forma expresa, un producto específico que permita contar con una valoración del cumplimiento en la implementación de las citadas normas. // Ese Ministerio, ha realizado algunas acciones de mejora en su proceso de gestión de TI, sin embargo considerando que la nueva programación de actividades para la contratación de la implementación del nuevo modelo de gestión de TI tiene un horizonte de culminación proyectado al año 2014, resulta necesario

3 Acuerdo N°4 del Acta N°26-2010 del 26/01/2010 del Consejo Institucional de Tecnología de Información, folios del 66 al 68.




mantener lo avanzado hasta la fecha de este estudio así como realizar otras acciones relacionadas con la atención de los riesgos implícitos del proceso de gestión de las TI que se mantienen en operación hasta la fecha de culminación de la contratación que garanticen la continuidad de los productos de información y servicios de TI de forma ininterrumpida, entre varios aspectos.”

Las disposiciones emitidas en dicho informe fueron las siguientes:

“a) Establecer las acciones y plazos específicos que le permitan dar a ese Despacho un seguimiento adecuado y oportuno al avance en la aplicación de las normas técnicas para la gestión y el control de las tecnologías de información, durante el período de ejecución de la contratación que ese Ministerio ha efectuado para el modelo de los procesos y el cumplimiento de dicha normativa, con el fin de garantizarse al término del plazo fijado para dicha contratación, el cumplimiento pleno de las normas. (…). Esta disposición deberá cumplirse a más tardar el 31 de marzo de 2011, y las medidas adoptadas deberán informarse a ese Despacho para el seguimiento correspondiente, y a esta Contraloría, para efectos de su fiscalización. // b) Realizar las acciones necesarias con el fin de que se formule, apruebe y comunique a las distintas direcciones de ese Ministerio una política institucional que ordene la planificación y administración de los riesgos asociados a la gestión de TI, que garanticen en todo momento la adecuada gestión, continuidad y control de los servicios de TI durante el periodo en que se estará desarrollando el proyecto de definición del modelo de proceso y cumplimiento de las referidas normas técnicas para la gestión y el control de las Tecnologías de Información. (…). Esta disposición deberá cumplirse a más tardar el 31 de marzo de 2011. // c) Efectuar las acciones necesarias para establecer un mecanismo de evaluación periódico del cumplimiento de la política institucional para la planificación y administración de los riesgos asociados a la gestión de TI. (…). Esta disposición deberá cumplirse a más tardar el 31 de marzo de 2011.”

Asimismo, esta Dirección General de Auditoría Interna realizó el estudio sobre la “Revisión del avance en la implementación de las Normas técnicas para la gestión y el control de Tecnología de Información en el Ministerio de Hacienda”, y al respecto, emitió el Informe INF-DGAI-031-2011 del 14 de diciembre de 2011.

En este Informe se concluyó que el Proyecto Modelo de Gestión de TIC en su primer año de contratación se encontraba:

“…en la etapa II actividades preliminares y al día, según lo previsto en el cronograma, de acuerdo con lo informado por la Gerente del Proyecto, excepto porque se encuentra pendiente de aprobación por parte del CITI y el Despacho del señor Ministro el Modelo Operativo Meta, el cual se refiere a las opciones sobre la estrategia de gestión de TI que desee seguir el Ministerio de Hacienda y que es determinante para definir las siguientes actividades a ejecutar en el resto del proyecto. Si bien se han realizado gestiones para esta aprobación, aún no se han logrado resultados por cuanto se tiene que el CITI no sesiona desde el mes de marzo del 2011, lo cual representa un retraso en la continuación de actividades contratadas a la empresa consultora y en el Plan de Transformación de TIC y por ende en la implementación de las Normas técnicas para la gestión y el control de Tecnologías de Información. // Según lo indicado por el señor Viceministro de Ingresos, Lic. Rowland Espinosa, en la reunión de Comunicación de Resultados, dicha situación se presenta debido a que existen algunos asuntos relacionados con la gestión de TIC del Ministerio, que deben ser resueltos a nivel del Despacho antes de una nueva convocatoria de ese Consejo, acciones que se vienen efectuando aprovechando el convenio de cooperación con la Agencia Estatal de Administración Tributaria Española. // Conforme con los productos de la contratación en ejecución,




se evidencia que no ha sido posible contar con todo el apoyo y la participación de algunos directores y jerarcas de áreas que tienen un rol importante en la gestión de TIC en el Ministerio de Hacienda, para informarles del alcance y los beneficios del proyecto y la participación esperada. Tampoco se tiene evidencia sobre las decisiones relacionadas con la recomendación de que la función del Plan de Transformación se posesione fuera de las áreas de TIC y con una posición jerárquica superior, así como sobre las acciones sobre una serie de riesgos inherentes identificados. // Dadas las características de este proyecto, se ha recomendado por parte de consultores disponer de una contraparte técnica, una gerencia del proyecto y un encargado de la ejecución contractual en procura de cumplir los objetivos, lo cual requiere del apoyo antes mencionado. Asimismo, se requiere continuidad en el control y seguimiento, sin embargo, personas nombradas en el año 2010 por parte del Despacho para cumplir algunas actividades relacionadas con la implementación de las normas fueron reemplazadas, sin que existan documentos y fundamentos de las razones que mediaron en dicho cambio. //Estas condiciones ponen en alto riesgo el cumplimiento de los objetivos del proyecto de transformación y por ende el cumplimiento de las Normas para la gestión y el control de Tecnología de Información, aspecto que se considera critico dado el nivel limitado de madurez que se evidencia de los análisis realizados de los procesos de TI en la Institución, en el intento por aplicar la normativa establecida al respecto durante un periodo de cuatro años, aspecto que compromete la responsabilidad de los jerarcas institucionales.”

Años 2012 y 2013

Durante el año 2012 se continuó la ejecución del Proyecto Modelo de Gestión de TIC, con apoyo de la firma consultora Price Waterhouse Coopers (PwC).

Para el año 2013, esta Auditoría Interna ejecutó el estudio sobre la “Evaluación del cumplimiento del contrato para establecer un modelo de proceso TIC que permita el cumplimiento de las NTGCTI”, en el cual se incluyó el avance del Proyecto durante los años 2012 y 2013. Los resultados se presentaron en el Informe INF-DGAI-022-2013 del 9 de agosto de 2013.

Se concluyó de este estudio lo siguiente:

“Con respecto al cumplimiento en la recepción de entregables y productos resultantes de la consultoría, se determinó que a la fecha de revisión, se han recibido los entregables de la ‘Consultoría para establecer un modelo de procesos de TIC del Ministerio de Hacienda que permita el cumplimiento del manual de Normas Técnicas para la Gestión y el Control de las Tecnologías de Información (N-2-2007-CO-DFOE)’, según lo estipulado en el contrato MH-023-2010. Asimismo, la empresa consultora PricewaterhouseCoopers Consultores S.A., contratada para esta consultoría, en general ha cumplido con lo estipulado en el Contrato en lo relacionado con ‘Obligaciones de la empresa’ (…) // En el Cartel de la Licitación Pública # 2010LN-000021-13801, no se definieron características detalladas para el cronograma que se solicitó, por lo cual se recibió en la oferta de la firma consultora contratada un cronograma que solamente incluía el primer año de contratación, y se consignaba que ante una posible prórroga se estaría utilizando el tiempo correspondiente a la etapa de acompañamiento. No obstante, en la oferta se previó la utilización de un total 25.000 horas a consumir en un plazo máximo de 48 meses (4 años), y después efectivamente se contrató ese total de horas, con un consumo mínimo estimado de 5.000 horas anuales y un mínimo mensual de 160 horas. Por lo tanto, se contrataron horas que no estaban asociadas a un requerimiento específico o las tareas a realizar, lo cual debilita el control que se pueda ejercer sobre el proyecto.”




El 31 de octubre de 2013, la Gerente del Proyecto Modelo de Gestión de TIC, licenciada Rosa Chaves y la Administradora del Contrato MH-023-2010, licenciada Graciela García, hacen entrega mediante nota PMGTIC-014-2013, dirigida a la Directora de la DTIC, licenciada Gabriela Espinoza, del documento denominado “Estrategia de implementación, Programa de Implementación de las Normas Técnicas para la Gestión y el Control de las Tecnologías de Información (N-2-2007-CO-DFOE) Octubre 2013”

En el apartado “Recomendaciones” de este informe se señala lo siguiente:

“En el Plan de Transformación se definieron 29 acciones de las cuales se han diseñado 10 acciones completas y 4 acciones parcialmente, de las cuales 2 procesos se encuentran en etapas de implementación y 1 está implementado, las restantes deben planificarse sea como planes de trabajo o proyectos independientes. // Se sugiere el establecimiento de un Plan de Acción que incluya las actividades requeridas para ejecutar todas las actividades pendientes, alineado con los objetivos estratégicos, para tener un control y seguimiento de todas las tareas y asegurarse que la implementación de las normas cumpla con las fechas indicadas a la CGR, o en su defecto, indicar en el mismo plan las acciones de mitigación que justifiquen la implementación de esos procesos posterior al año 2016. // Se recomienda que la Dirección realice la oficialización de todas las políticas, procedimientos y formularios inmersos en cada proceso. // Es muy importante el involucramiento y participación activa de todos los funcionarios del Ministerio (tanto de la función de TIC como de otras áreas de la institución) que se verán impactados por los cambios en los procesos planteados, por lo que la comunicación bien orientada y la gestión de cambio organizacional, previstos en el marco de control y seguimiento, son elementos que no pueden obviarse.”

Durante el año 2014 se prosiguió con la ejecución de las actividades del Proyecto Modelo de Gestión de Tecnologías de Información y Comunicación.

1.3. Avances en la implementación de las NTGCTI y situación actual

Como se señaló en el apartado anterior, desde la emisión de las NTGCTI, bajo la coordinación de la Dirección de Tecnologías de Información y Comunicación se han realizado actividades tendentes a su implementación. Como resultado de estas actividades se tienen productos que forman parte de la implementación de dichas normas de TI. A continuación se mencionan resultados del proceso de implementación y la situación del avance:

Existe información que documenta el proceso de implementación de las Normas de TI. Se observaron oficios y circulares que respaldan las actividades realizadas y el involucramiento de los distintos directores de la DTIC (anteriormente Dirección General de Informática, DGI), que se encontraban en funciones en los diferentes momentos, entre los años 2012 a 2015.

Se observaron 15 oficios de entrega formal de procesos. Estos oficios, firmados por la Directora o Director de la DTIC, en su oportunidad, fueron dirigidos a los Jefes de las diferentes unidades de la DTIC responsables de cada proceso. Los procesos para los cuales se entregaron documentos son:

N° Oficio Proceso Entregado a1 DGI-597-2013 del

16/07/2013EG-03 Implementar el marco de planificación de TIC

Unidad de Estrategia de TIC

2 DGI-598-2013 del 16/07/2013

AR-02 Implementar el modelo de contratación y seguimiento a relaciones con terceros.


3 DGI-600-2013 del 16/07/2013

EG-02 Principios base de Gobierno de TIC Unidad de Estrategia de TIC




N° Oficio Proceso Entregado a4 DGI-601-2013 del

16/07/2013AR-01 Formalizar los lineamientos para la evaluación de inversiones de TIC.


5 DGI-605-2013 del 16/07/2013

OS-01 Implementar el esquema de soporte a usuarios de los servicios de TIC.

Unidad de Mesa de Servicios Informáticos

6 DGI-606-2013 del 16/07/2013

DI-01 Formalizar el marco de referencia para la Administración de Proyectos de TIC

Unidad de Administración de Proyectos

7 DGI-607-2013 del 16/07/2013

DI- 03 Implementar un modelo de administración de cambios de TIC.

Unidad de Gestión de Servicios de TIC

8 DGI-608-2013 del 16/07/2013

GR-03 Implementar la Administración de la Seguridad de la Información

Unidad de Seguridad de TIC

9 DGI-609-2013 del 16/07/2013

AC-02 Consolidar el Sistema de Gestión de la Calidad de TIC

Unidad de Gestión de Calidad de Servicios TIC

10 DTIC-150-2013 del 8/10/2013

GR-01 Implementar un esquema de contingencia tecnológica

Departamento de Servicios de TIC

11 DTIC-429-2014 del 5/5/2014

EG-04 Formalizar el modelo inicial de arquitectura de información

Departamento de Sistemas Informáticos

12 DTIC-847-2014 del 22/09/2014

AS-02 Implementar portafolio de Servicios TIC Unidad de Gestión de Servicios TIC

13 DTIC-848-2014 del 22/09/2014

GR-02 Implementar la administración de los riesgos de TIC

Unidad de Normalización y Control Interno

14 DTIC-336-2013 del 22/11/2013

AC-01 – formalizar el modelo de administración de procesos de TIC

Unidad de Normalización y Control Interno de TIC

15 DTIC-372-2013 del 02/12/2013

GR-03 Implementar la administración de la seguridad de la información

Unidad de Seguridad de TIC

También se tuvo a la vista la Circular DGI-005-2013, del 19 de marzo de 2013, en la que se oficializaron políticas y procedimientos de TI y plantillas para documentación de proyectos de TI. En abril del mismo año se oficializó la “Política de Roles y Responsabilidades de Proyectos de TIC’s”, y se observaron otras políticas y procedimientos, oficializados en diciembre de 2012 y enero de 2013.

En el mencionado documento “Estrategia de implementación Programa de Implementación de las Normas Técnicas para la Gestión y el Control de las Tecnologías de Información (N-2-2007-CO-DFOE) Octubre 2013”, se detallan 4 acciones por iniciar, 4 acciones diseñadas parcialmente y 10 acciones pendientes, así como se enlistan las actividades implementadas y se proponen dos escenarios para la continuidad de las acciones.

Otro documento denominado “Estrategia de implementación // Programa de Implementación de las Normas Técnicas para la Gestión y el Control de las Tecnologías de Información (N-2-2007-CO-DFOE)// Adendum 3 // Febrero de 2014”, señala que a esa fecha había 4 acciones diseñadas parcialmente y cuyo pendiente es factible diseñarlo con recurso interno, y recomienda el establecimiento de un Plan de Acción que incluya las actividades requeridas para la ejecución de las actividades pendientes, con el fin de mantener un control y seguimiento de las tareas y asegurarse que la implementación de las Normas Técnicas cumpla con las fechas indicadas a la CGR.

Como parte del mismo proceso, se han dado cambios en la forma de operación y en la estructura de la Dirección General de Tecnología de Información y Comunicación (DTIC), así como de los funcionarios a cargo de las operaciones, lo cual también ha impactado la implementación de las NTGCTI. La unidad a cargo del seguimiento del Plan de Transformación y del proceso de implementación de las Normas de TI según oficio DTIC-884-2014 del 7 de octubre de 2014, es la Unidad de Normalización y Control Interno de TIC, y anteriormente estaba a cargo de la Unidad Administración de Proyectos de TIC. En la reunión de comunicación de inicio del presente estudio el 30 de octubre de 2014 y todavía en enero de 2015 dicha Unidad del Normalización y Control Interno




estaba a cargo de la funcionaria Teresita Artavia Marín, sin embargo en la reunión del 22 de julio de 2015, se informó de que el nuevo responsable es el señor Franklin Meléndez Garita.

El oficio DTIC-884-2014 indica que dicho Plan propone el desarrollo individual e integrado de las 29 acciones citadas, que permitiría una implementación gradual del Modelo de Gestión de TIC y el alineamiento con las NTGCTI. El nuevo Administrador del Plan debe velar por la correcta y oportuna implementación de las acciones definidas y diseñadas, y coordinar con la Unidad Administración de Proyectos de TIC, la cual había estado al frente de este proceso, para la transferencia de conocimiento y el acceso a la documentación respectiva.

El 16 de setiembre de 2015, esta Auditoría Interna recibió el documento denominado “Informe Proceso Implementación de las Normas Técnicas para la Gestión y el Control de las TI// Dirección de Tecnologías de Información y Comunicación// Agosto 2015”, cuyo objetivo es “Informar del estado de las actividades que se han previsto realizar, en el Ministerio de Hacienda, para la implementación de las normas técnicas para la gestión y control de las Tecnologías de Información.” En él se indica que se ha definido un responsable para cada actividad propuesta. El informe consta de 3 secciones: “1. Acciones de gestión previstas en un inicio, agrupadas por el tipo de acción” y “2. Cantidad de acciones vigentes”, y “3. Estado de acciones vigentes”, además incluye cuatro anexos.

Según el apartado “Cantidad de acciones vigentes”, de las 29 acciones generadas como resultado de la consultoría, hay 10 que se encuentran pendientes de diseñar, a saber:

1. EG05 Implementar la administración de la arquitectura empresarial2. EG06 Implementar la administración del portafolio de proyectos y PMO Institucional3. AS01 Implementar el catálogo de servicios de negocio4. DI02 Implementar un repositorio de la configuración de TIC5. GR04 Implementar la administración de la continuidad de negocio6. AI01 Implementar la administración de la capacidad y disponibilidad7. AR03 Implementar la administración de los costos de TIC8. AR04 Implementar la administración del portafolio de inversiones de TIC9. AR05 Implementar la administración del conocimiento de TIC10. AR06 Implementar la administración del recurso humano de TIC

De las restantes 19 “hay dos que no son procesos, y otra correspondía a definir el plan de trabajo” Se refiere a las acciones “EG01 Definir el modelo operativo meta para la gestión de TIC” y “AP01 Definir el modelo de control y seguimiento del PdT” (no corresponden a procesos) y “AP02 Definir el plan de trabajo inicial”, que como su nombre lo indica, corresponde al Plan.

Lo anterior da como resultado que las acciones a las que se les está dando seguimiento son 16. No obstante, señala que: “La acción EG-02 Formalizar los principios base de gobierno de TIC tampoco se implementará ya que al haberse concentrado las áreas de TI del Ministerio mediante decreto Número 37859-H, no aplica (…) la conformación y el modo de operar de un Comité Operativo de TIC (COTIC) que buscaba coordinación entre las diferentes áreas del Ministerio”

Asimismo, se presenta el seguimiento de las 16 acciones, incluida la que no se desarrollará. De las actividades en proceso, se muestra su estado en el siguiente cuadro:

Resumen del estado de las acciones para implementar las NGCTI, a agosto 2015

N° Cód Actividad Responsable Estado de avance1 AC01 Formalizar el modelo de

administración de procesos de TIC

Franklin Meléndez Concluidas cuatro acciones. Pendiente: Revisión de documentación, propuesto un software para repositorio DTIC.

2 EG02 Formalizar los principios base de Vanessa Bolaños No se realizará, por la concentración de




N° Cód Actividad Responsable Estado de avancegobierno de TIC áreas TI, Decreto 37859-H

3 EG03 Implementar el marco de planificación de TIC

Vanessa Bolaños Se identifican 6 actividades pendientes y sus posibles fechas de cumplimiento, hasta noviembre 2015.

4 EG04 Implementar la arquitectura de información

Patricia Hidalgo Tienen planteadas actividades a iniciar en setiembre 2015 y terminar en noviembre 2015

5 AS02 Implementar el portafolio de servicios de TIC

Nicolás Corrales En desarrollo. En el Anexo 2 incluyen cronograma de pendientes, programadas hasta mayo de 2016.

6 AS03 Implementar la administración de niveles de servicio

Nicolás Corrales Plantea 7 actividades iniciadas, no indica fechas de finalización.

7 DI01 Formalizar el marco de referencia para la administración de proyectos de TIC

Rosa Chávez Actividad concluida. Falta divulgación y oficialización.

8 DI03 Implementar el modelo de administración de cambios de TIC

Jorge Jiménez Se han desarrollado dos de tres acciones programadas. La primera tiene un 85% de avance y se espera terminar para octubre 2015, La segunda 96% de avance, pendiente automatización del proceso.

9 OS01 Implementar el esquema de soporte a usuarios

Harold Salazar Avance 75%. Cronograma con 5 actividades pendientes a ejecutar hasta nov 2015

10 OS02 Implementar el esquema de operación de los servicios de TIC

Jorge Jiménez Avance 75%. Concluida la Primera Fase y falta Fase de implementación. Está programada de junio a diciembre 2015

11 GR01 Implementar la administración de contingencia tecnológica

Jeffrey Taylor Iniciándose. Consideran que no existe un nivel de madurez en la cultura de servicio básico para pensar en contingencia. Plantea terminar las 6 actividades para febrero 2016.

12 GR02 Implementar la administración de los riesgos de TIC

Franklin Meléndez Implementada en un 80%. Falta revisión, aprobación de documentos, oficialización y publicación.

13 GR03 Implementar la administración de la seguridad de la Información

Franklin Meléndez Cita 5 actividades y su estado, programa fechas hasta setiembre de 2015. En general está en proceso. Debe coordinarse con DI03, GR01, EG04, GR02.

14 AR01 Formalizar los lineamientos para la evaluación de inversiones de TIC

Vanessa Bolaños Avance en proceso de análisis por UETIC. Se detallan 5 actividades pendientes, con fechas a dic 2015.

15 AR02 Implementar el modelo de contratación y seguimiento a relaciones con terceros

Vanessa Bolaños Consta de dos acciones, no cita porcentaje de avance, aunque dice que solo falta ser remitida a la UNCI para trámite.

16 AC02 Consolidar el Sistema de gestión de la calidad de TIC

Isabel Benavides Implementado en un 95%. Actualizó documentación. Falta revisión, aprobación, divulgación y oficialización de documentos.




N° Cód Actividad Responsable Estado de avance

Fuente: Informe “Informe Proceso Implementación de las Normas Técnicas para la Gestión y el Control de las TI// Dirección de Tecnologías de Información y Comunicación// Agosto 2015"

Durante la reunión de comunicación de resultados, la licenciada María Isabel Vargas, Sub-Directora de la DTIC señaló que existen actividades dentro del Plan de Transformación de TIC que son responsabilidad de la parte estratégica del Ministerio (DIPI) y no de la DTIC, así como otras cuya implementación no es obligatoria debido a que tienen como marco de referencia Cobit 5, en tanto la NTGCTI tienen como sustento Cobit 4.1. En razón de lo anterior, esta Auditoría Interna considera que estos aspectos deben ser tomados en consideración por la DTIC en la implementación de la recomendación 3.1. del presente informe.

2. CONCLUSIONES

De la información anterior se concluye:

2.1) Se tienen avances en las implementación de las Normas técnicas para la gestión y el control de las TI en el Ministerio de Hacienda, producto de los avances en el Proceso de Transformación de TIC. Este mismo proceso ha generado cambios en la estructura y la asignación de responsabilidades en Dirección General de Tecnología de Información y Comunicación (DTIC), responsable en el Ministerio de Hacienda de la implementación de las Normas.

2.2) Se observó que de las 29 actividades que conforman el Proceso o Plan de implementación, 16 se encuentran en proceso o pendientes de inicio, 10 pendientes de diseño, 2 no corresponden a procesos y 1 no se realizará. Considerando que el Plan de implementación había programado acciones con un plazo máximo al año 2016, se prevé que no será posible contar con todas las acciones ejecutadas a diciembre de ese año, situación que obliga a la Administración a replantear las actividades, de forma que se cuente con una programación adecuada, clara y realista de lo que se espera lograr.

2.3) Debido a la coyuntura de cambios en la DTIC, que incluye la generación y documentación de nuevos procesos, cambios en la estructura y en los funcionarios responsables, esta Auditoría Interna consideró no oportuno continuar con la evaluación del avance en la implementación de las NTGCTI y en su lugar efectuar una revisión del estado que presenta el Plan de Transformación a setiembre del 2015; así como realizar un nuevo estudio cuando se hayan consolidado los cambios actuales y se pueda ver el efecto de estos en la puesta en marcha de las Normas.

3. RECOMENDACIONES

Al señor Director General de Tecnologías de Información y Comunicación:

3.1. Valorar la pertinencia de realizar un ajuste al Plan de Transformación de TIC del cual se deriva la implementación de las Normas Técnicas para la Gestión y el Control de las Tecnologías de Información, considerando que existen actividades que no han iniciado y algunas que no se han diseñado, y las actividades que dependen de la conclusión de otras previas, esto por cuanto el plazo señalado para la finalización del Plan de Implementación está definido para diciembre del 2016.

3.2. Continuar con el seguimiento a la ejecución del Plan de Transformación de TIC, de forma que se tenga total claridad del avance de cada actividad y de los ajustes que se realicen en las tareas y plazos; así como estar informando a los superiores y a la Contraloría General de la República, cuando esta lo requiera, sobre los avances que obtenga el Ministerio de Hacienda en la implementación de las Normas Técnicas para la Gestión y el Control de las Tecnologías de Información.

Las recomendaciones contenidas en este informe, están sujetas a las disposiciones del artículo 36 de la Ley Nº 8292 Ley General de Control Interno, que establece un plazo improrrogable de 10 días hábiles, contados a




partir de la fecha de recibo del informe, para ordenar la implementación de las recomendaciones o si discrepa de ellas, debe elevar la objeción y soluciones alternas al señor Ministro en el plazo establecido con copia a la Auditoría Interna, para su correspondiente valoración.

Por lo anterior, le agradecemos comunicar a esta Dirección dentro del plazo señalado la decisión que se tome respecto a las recomendaciones que se plantean.

Dejándolo informado para la toma de decisiones, se suscribe,

Atentamente,

Máster Juan de Dios Araya NavarroDirector General

Licenciada Natalia Mora Sánchez Lic. Guillermo Badilla Martínez, Profesional Auditoría Interna 3 Coordinador de Auditoría Servicios Corporativos

JAN/gbm/nmsce: Helio Fallas Venegas, Ministro de Hacienda

Estudio 017-2014



· Web viewSan José, 30 de octubre de 2015 DGAI-INF-013-2015Señor Alfredo Abarca Rojas Director...

Documents

Transcript of · Web viewSan José, 30 de octubre de 2015 DGAI-INF-013-2015Señor Alfredo Abarca Rojas Director...